Krav för Azure Information Protection

Gäller för:Azure Information Protection

Relevant för:AIP unified labeling client and AIP classic client.

Om du har Windows 7 eller Office 2010 kan du gå till AIP och äldre Windows och Office versioner.

Innan du distribuerar Azure Information Protection bör du kontrollera att ditt system uppfyller följande krav:

• Prenumeration på Azure Information Protection
• Azure Active Directory
• Klientenheter
• Program
• Brandväggar och nätverksinfrastruktur

För att distribuera Azure Information Protection måste AIP-klienten vara installerad på alla datorer där du vill använda AIP-funktionerna. Mer information finns i Installera Den enhetliga azure informationsskyddsklienten för användare och Klientsidan av Azure Information Protection.

Prenumeration på Azure Information Protection

Du måste ha en Azure Information Protection-plan för klassificering, märkning och skydd med hjälp av Azure Information Protection-skannern eller Azure Information Protection-klienten. Mer information finns i:

• Microsoft 365 om licensiering för säkerhetsefterlevnad
• Jämförelse av moderna arbetsscheman (nedladdning av PDF)

Om du inte får svar på din fråga kontaktar du din Microsoft-kontohanterare eller Microsoft Support.

Azure Active Directory

För att stödja autentisering och auktorisering för Azure Information Protection måste du ha en Azure Active Directory (AD). Om du vill använda användarkonton från din lokala katalog (AD DS) måste du också konfigurera katalogintegrering.

• Enkel inloggning (SSO) stöds för Azure Information Protection, så att användarna inte uppmanas att ange sina autentiseringsuppgifter flera gånger. Om du använder en annan leverantörslösning för federation kontrollerar du med leverantören hur den ska konfigureras för Azure AD. WS-Trust är ett vanligt krav för dessa lösningar för att stödja enkel inloggning.

• Multifaktorautentisering (MFA) stöds med Azure Information Protection när du har den klientprogramvara som krävs och har korrekt konfigurerat den MFA-stödande infrastrukturen.

Villkorsstyrd åtkomst stöds i förhandsgranskningen av dokument som skyddas av Azure Information Protection. Mer information finns i: Azure Information Protection visas som ett tillgängligt molnapp för villkorsstyrd åtkomst – hur fungerar det?

Ytterligare förutsättningar krävs för specifika scenarier, till exempel när du använder certifikatbaserad eller multifaktorautentisering, eller när UPN-värdena inte matchar användarnas e-postadresser.

Mer information finns i:

• Ytterligare Azure AD-krav för Azure Information Protection.
• Vad är Azure AD Directory?
• Integrera lokala Active Directory-domäner med Azure Active Directory.

Klientenheter

Användardatorer eller mobila enheter måste köras på ett operativsystem som stöder Azure Information Protection.

• Operativsystem som stöds för klientenheter
• ARM64
• Virtuella datorer
• Serversupport
• Ytterligare krav per klient

Operativsystem som stöds för klientenheter

Azure Information Protection-klienterna för Windows stöds är följande operativsystem:

• Windows 11

• Windows 10 (x86, x64). Handskrift stöds inte i RS4 Windows 10-versionen och senare.

• Windows 8.1 (x86, x64)

• Windows 8 (x86, x64)

• Windows Server 2019

• Windows Server 2016

• Windows Server 2012 R2 och Windows Server 2012

Om du vill ha mer information om support i Windows versioner kontaktar du ditt Microsoft-konto eller din supportrepresentant.

ARM64

ARM64 stöds inte för närvarande.

Virtuella datorer

Om du arbetar med virtuella maskiner kontrollerar du om programvaruleverantören för din virtuella skrivbordslösning är ytterligare konfigurationer som krävs för att köra Den enhetliga Azure Information Protection-märkning eller Azure Information Protection-klienten.

För Citrix-lösningar kan du till exempel behöva inaktivera API-hakar (Citrix Application Programming Interface) för Office, Azure Information Protection-unified labeling-klienten eller Azure Information Protection-klienten.

Dessa program använder följande filer: winword.exe, excel.exe,outlook.exe, powerpnt.exe, msip.app.exe, msip.viewer.exe

Serversupport

För var och en av de serverversioner som anges ovan stöds Azure Information Protection-klienter för Fjärrskrivbordstjänster.

Om du tar bort användarprofiler när du använder Azure Information Protection-klienter med Fjärrskrivbordstjänster ska du inte ta bort mappen %Appdata%\Microsoft\Protect.

Dessutom stöds inte Server Core och Nano Server.

Ytterligare krav per klient

Varje Azure Information Protection-klient har ytterligare krav. Mer information finns i:

• Klientkrav för enhetlig Azure Information Protection-märkning

• Azure Information Protection-klientkrav

Program

Azure Information Protection-klienterna kan märka och skydda dokument och e-postmeddelanden med hjälp av Microsoft Word,Excel,PowerPointoch Outlook från någon av följande Office utgåva:

• Office förde versioner som anges i tabellen med versioner som stöds för Microsoft 365-applikationer via uppdateringskanal, från Microsoft 365-applikationer för företag eller Microsoft 365 Business Premium när användaren tilldelas en licens för Azure Rights Management (kallas även Azure Information Protection för Office 365)

• Microsoft 365-applikationer för företag

• Office Professional Plus 2019

• Office Professional Plus 2016

• Office Professional Plus 2013 med Service Pack 1

• Office Professional Plus 2010 med Service Pack 2

I andra versioner av Office inte skydda dokument och e-postmeddelanden med hjälp av rättighetshanteringstjänsten. I de här versionerna stöds Azure Information Protection endast för klassificering och etiketter som tillämpar skydd visas inte för användare.

Etiketter visas i ett fält som visas högst upp i Office-dokumentet, tillgängliga från knappen Känslighet i den enhetliga etikettklienten eller knappen Skydda i den klassiska klienten.

Mer information finns i Program som stöder dataskydd i Azure Rights Management.

Office funktioner som inte stöds

• Azure Information Protection-klienterna för Windows stöder inte flera versioner av Office på samma dator eller byte av användarkonton i Office.

• Funktionen Office dokumentkoppling stöds inte med någon Azure Information Protection-funktion.

Brandväggar och nätverksinfrastruktur

Om du har en brandvägg eller liknande mellanliggande nätverksenheter som är konfigurerade för att tillåta specifika anslutningar visas nätverksanslutningskraven i den här Office artikeln: Microsoft 365 Common och Office Online.

Azure Information Protection har följande ytterligare krav:

• Unified labeling client. Om du vill ladda ned etiketter och etikettprinciper tillåter du följande URL över HTTPS: *.protection.outlook.com

• Webb proxy . Om du använder en webbproxy som kräver autentisering måste du konfigurera proxyn så att den använder integrerad Windows-autentisering med användarens Active Directory-inloggningsuppgifter.

  Lägg till följande nya registernyckel för att stödja Proxy.pac-filer när du använder en proxy för att hämta en token:

  • Sökväg:
  • Nyckel:
  • Typ:
  • Värde:

• TLS klient-till-tjänst-anslutningar. Avsluta inte några TLS-klient-till-tjänst-anslutningar, till exempel för att utföra kontrollen på paketnivån, aadrm.com URL. Om du gör det bryts den pinering för certifikat som RMS-klienter använder med Microsoft-hanterade certifikatutfärdare för att skydda kommunikationen med Azure Rights Management-tjänsten.

  Använd följande PowerShell-kommandon för att avgöra om klientanslutningen avslutas innan den når Azure Rights Management-tjänsten:

  $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
  $request.GetResponse()
  $request.ServicePoint.Certificate.Issuer
  

  Resultatet bör visa att den utfärdar certifikatutfärdaren är från en Microsoft-certifikatutfärdare, till exempel: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US .

  Om du ser ett på vilket sätt ca-namn inte kommer från Microsoft är det troligt att den säkra klient till tjänst-anslutningen avslutas och att du måste konfigurera om den i brandväggen.

• TLS version 1.2 eller senare (endast unified labeling client). Den enhetliga etikettklienten kräver en TLS-version av 1.2 eller senare för att säkerställa användningen av kryptografiskt säkra protokoll och följa Microsofts riktlinjer för säkerhet.

• Microsoft 365 Enhanced Configuration Service (ECS). AIP måste ha åtkomst till url config.edge.skype.com, som är en Microsoft 365 Enhanced Configuration Service (ECS).

  ECS ger Microsoft möjlighet att konfigurera om AIP-installationer utan att du måste distribuera om AIP. Den används för att styra den gradvisa utrullningen av funktioner eller uppdateringar, medan effekterna av utrullningen övervakas från att diagnostikdata samlas in.

  ECS används också för att minimera säkerhets- eller prestandaproblem med en funktion eller uppdatering. ECS har också stöd för konfigurationsändringar relaterade till diagnostikdata, för att säkerställa att lämpliga händelser samlas in.

  Om du begränsar config.edge.skype.com URL:en kan påverka Microsofts möjlighet att minimera fel och kan påverka möjligheten att testa förhandsgranskningsfunktioner.

  Mer information finns i Viktiga tjänster för Office – Distribuera Office.

• Anslutning av granskningsloggning för URL-nätverksanslutning. AIP måste kunna komma åt följande URL:er för att kunna stödja AIP-granskningsloggar:

  • https://*.events.data.microsoft.com
  • https://*.aria.microsoft.com (Endast Data på Android-enheter)

  Mer information finns i Förutsättningar för AIP-rapportering.

Ad RMS samexistens med Azure RMS

Användning av AD RMS och Azure RMS sida vid sida, i samma organisation, för att skydda innehåll av samma användare i samma organisation, stöds endast i AD RMS för HYOK (håll din egen nyckel) skydd med Azure Information Protection.

Det här scenariot stöds inte under migreringen. Migreringssökvägar som stöds:

• Från AD RMS till Azure Information Protection

• Från Azure Information Protection till AD RMS

För andra scenarier som inte är migreringsscenarier, där båda tjänsterna är aktiva i samma organisation, måste båda tjänsterna konfigureras så att bara en av dem tillåter en viss användare att skydda innehåll. Konfigurera sådana scenarier enligt följande:

• Använda omdirigeringar för en AD RMS-migrering till Azure RMS-migrering

• Om båda tjänsterna måste vara aktiva för olika användare samtidigt kan du använda konfigurationer på tjänstsidan för att framtvinga utropstecken. Använd Azure RMS-onboarding-kontrollerna i molntjänsten och en ACL på Publicera URL om du vill ange skrivskyddsläge för AD RMS.

Tjänsttaggar

Om du använder en Azure-slutpunkt och en NSG måste du tillåta åtkomst till alla portar för följande tjänsttaggar:

• AzureInformationProtection
• AzureActiveDirectory
• AzureFrontDoor.Frontend

I det här fallet beror dessutom tjänsten Azure Information Protection på följande IP-adresser och port:

• 13.107.9.198
• 13.107.6.198
• 2620:1ec:4::198
• 2620:1ec:a92::198
• 13.107.6.181
• 13.107.9.181
• Port 443för HTTPS-trafik

Se till att skapa regler som tillåter utgående åtkomst till dessa specifika IP-adresser, och via den här porten.

Lokala servrar som stöds för Azure Rights Management data protection

Följande lokala servrar stöds med Azure Information Protection när du använder Microsoft Rights Management-anslutningen.

Den här anslutningen fungerar som ett kommunikationsgränssnitt och vidarebefordrar mellan lokala servrar och Azure Rights Management-tjänsten, som används av Azure Information Protection för att skydda Office dokument och e-postmeddelanden.

Om du vill använda den här anslutningen måste du konfigurera katalogsynkronisering mellan Active Directory-skogar och Azure Active Directory.

Servrar som stöds är bland annat:

Mer information finns i Distribuera Microsoft Rights Management-kopplingen.

Operativsystem som stöds för Azure Rights Management

Följande operativsystem stöder Azure Rights Management-tjänsten, som ger dataskydd för AIP:

Nästa steg

När du har granskat alla AIP-krav och bekräftat att systemet uppfyller, fortsätter du med Förbereda användare och grupper för Azure Information Protection.