Требования к Azure Information Protection
Примечание.
Ищете информацию о Microsoft Purview Information Protection (прежнее название — Microsoft Information Protection, MIP)?
Надстройка Azure Information Protection отменяется и заменяется метками, встроенными в приложения и службы Microsoft 365. Дополнительные сведения о состоянии поддержки других компонентов Azure Information Protection.
Клиент Защита информации Microsoft Purview (без надстройки) общедоступен.
Перед развертыванием Azure Information Protection убедитесь, что система соответствует следующим предварительным требованиям:
Брандмауэры и сетевая инфраструктура
Если у вас есть брандмауэры или аналогичные сетевые устройства, которые настроены для разрешения определенных подключений, требования к сетевому подключению перечислены в этой статье Office: Microsoft 365 Common и Office Online.
Azure Information Protection имеет следующие дополнительные требования:
Клиент Microsoft Purview Informaiton Protection. Чтобы скачать метки и политики меток, разрешите следующий URL-адрес по протоколу HTTPS: *.protection.outlook.com
Веб-прокси. При использовании веб-прокси, требующего проверки подлинности, необходимо настроить прокси-сервер для использования интегрированных проверка подлинности Windows с учетными данными входа пользователя в Active Directory.
Чтобы поддерживать файлы Proxy.pac при использовании прокси-сервера для получения маркера, добавьте следующий новый раздел реестра:
- Путь:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\. - Ключ:
UseDefaultCredentialsInProxy - Тип:
DWORD - Значение:
1
- Путь:
Подключения между клиентами и службами TLS. Не прерывайте подключения tls типа "клиент — служба" (например, для проверки уровня пакета) к URL-адресу aadrm.com . Это нарушает привязку сертификата, которую клиенты RMS используют в ЦС, управляемых корпорацией Майкрософт, для защиты обмена данными со службой Azure Rights Management.
Чтобы определить, завершается ли подключение клиента до достижения службы Azure Rights Management, используйте следующие команды PowerShell:
$request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc") $request.GetResponse() $request.ServicePoint.Certificate.IssuerРезультат должен показать, что выдающий ЦС находится из ЦС Майкрософт, например:
CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=USЕсли вы видите выдающееся имя ЦС, которое не входит в корпорацию Майкрософт, скорее всего, будет завершено безопасное подключение клиента к службе и требуется перенастройка в брандмауэре.
TLS версии 1.2 или выше (только клиент унифицированных меток). Для использования криптографически безопасных протоколов и соответствия рекомендациям по безопасности Майкрософт требуется tls версии 1.2 или более поздней.
Расширенная служба конфигурации Microsoft 365 (ECS). AIP должен иметь доступ к URL-адресу config.edge.skype.com , который является расширенной службой конфигурации Microsoft 365 (ECS).
ECS предоставляет корпорации Майкрософт возможность перенастройки установок AIP без необходимости повторного развертывания AIP. Он используется для управления постепенным развертыванием функций или обновлений, а влияние развертывания отслеживается из собираемых диагностических данных.
ECS также используется для устранения проблем с безопасностью или производительностью компонента или обновления. ECS также поддерживает изменения конфигурации, связанные с диагностическими данными, чтобы обеспечить сбор соответствующих событий.
Ограничение URL-адреса config.edge.skype.com может повлиять на способность Корпорации Майкрософт устранять ошибки и может повлиять на возможность тестирования предварительных версий функций.
Дополнительные сведения см. в разделе "Основные службы" для Office — развертывание Office.
Аудит подключения к сети URL-адреса ведения журнала. AIP должен иметь доступ к следующим URL-адресам, чтобы поддерживать журналы аудита AIP:
https://*.events.data.microsoft.comhttps://*.aria.microsoft.com(Только данные устройства Android)
Дополнительные сведения см. в разделе "Предварительные требования для отчетов AIP".
Сосуществование AD RMS с Azure RMS
Использование AD RMS и Azure RMS параллельно в той же организации для защиты содержимого одним и тем же пользователем в той же организации поддерживается только в AD RMS для HYOK (хранения собственного ключа) с помощью Azure Information Protection.
Этот сценарий не поддерживается во время миграции. Поддерживаемые пути миграции:
Совет
Если вы развернете Azure Information Protection, а затем решите, что вы больше не хотите использовать эту облачную службу, см . раздел "Отмена эксплуатации" и деактивация Azure Information Protection.
Для других сценариев, не относящихся к миграции, где обе службы активны в одной организации, обе службы должны быть настроены таким образом, чтобы только один из них позволял любому пользователю защищать содержимое. Настройте такие сценарии следующим образом:
Использование перенаправлений для миграции AD RMS в Azure RMS
Если обе службы должны быть активными для разных пользователей одновременно, используйте конфигурации на стороне службы для обеспечения эксклюзивности. Используйте элементы управления подключением Azure RMS в облачной службе и ACL на URL-адресе публикации, чтобы задать режим только для чтения для AD RMS.
Теги служб
Если вы используете конечную точку Azure и группу безопасности сети, обязательно разрешите доступ ко всем портам для следующих тегов службы:
- AzureInformationProtection
- AzureActiveDirectory
- AzureFrontDoor.Frontend
Кроме того, в этом случае служба Azure Information Protection также зависит от следующих IP-адресов и портов:
- 13.107.9.198
- 13.107.6.198
- 2620:1ec:4:198
- 2620:1ec:a92::198
- 13.107.6.181
- 13.107.9.181
- Порт 443 для трафика HTTPS
Обязательно создайте правила, разрешающие исходящий доступ к этим конкретным IP-адресам и через этот порт.
Поддерживаемые локальные серверы для защиты данных Azure Rights Management
Следующие локальные серверы поддерживаются в Azure Information Protection при использовании соединителя Microsoft Rights Management.
Этот соединитель выступает в качестве интерфейса связи и ретрансляции между локальными серверами и службой Azure Rights Management, которая используется Azure Information Protection для защиты документов и сообщений электронной почты Office.
Чтобы использовать этот соединитель, необходимо настроить синхронизацию каталогов между лесами Active Directory и идентификатором Microsoft Entra.
Поддерживаемые серверы включают:
| Тип сервера | Поддерживаемые версии |
|---|---|
| Exchange Server | — Exchange Server 2019 — Exchange Server 2016 — Exchange Server 2013 |
| Office SharePoint Server | — Office SharePoint Server 2019 — Office SharePoint Server 2016 — Office SharePoint Server 2013 |
| Файловые серверы под управлением Windows Server и использующие инфраструктуру классификации файлов (FCI) | — Windows Server 2016 — Windows Server 2012 R2 — Windows Server 2012 |
Дополнительные сведения см. в разделе "Развертывание соединителя Microsoft Rights Management".
Поддерживаемые операционные системы для Azure Rights Management
Следующие операционные системы поддерживают службу Azure Rights Management, которая обеспечивает защиту данных для AIP:
| ОС | Поддерживаемые версии |
|---|---|
| Компьютеры Windows | — Windows 10 (x86, x64) — Windows 11 (x86, x64) |
| macOS | Минимальная версия macOS 10.8 (Mountain Lion) |
| Телефоны и планшеты Android | Минимальная версия Android 6.0 |
| i Телефон и iPad | Минимальная версия iOS 11.0 |
| Телефоны и планшеты с Windows | Windows 10 Mobile |
Следующие шаги
После проверки всех требований AIP и подтверждения соответствия вашей системы перейдите к подготовке пользователей и групп для Azure Information Protection.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по