Krav för Azure Information Protection
Kommentar
Letar du efter Microsoft Purview Information Protection, tidigare Microsoft Information Protection (MIP)?
Azure Information Protection-tillägget dras tillbaka och ersätts med etiketter som är inbyggda i dina Microsoft 365-appar och -tjänster. Läs mer om supportstatus för andra Azure Information Protection-komponenter.
Microsoft Purview Information Protection-klienten (utan tillägget) är allmänt tillgänglig.
Kontrollera att systemet uppfyller följande krav innan du distribuerar Azure Information Protection:
Brandväggar och nätverksinfrastruktur
Om du har brandväggar eller liknande mellanliggande nätverksenheter som är konfigurerade för att tillåta specifika anslutningar visas kraven på nätverksanslutning i den här Office-artikeln: Microsoft 365 Common och Office Online.
Azure Information Protection har följande ytterligare krav:
Microsoft Purview Informaiton Protection-klienten. Om du vill ladda ned etiketter och etikettprinciper tillåter du följande URL via HTTPS: *.protection.outlook.com
Webbproxy. Om du använder en webbproxy som kräver autentisering måste du konfigurera proxyn så att den använder integrerad Windows-autentisering med användarens autentiseringsuppgifter för Active Directory-inloggning.
Lägg till följande nya registernyckel för att stödja Proxy.pac-filer när du använder en proxy för att hämta en token:
- Sökväg:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\ - Nyckel:
UseDefaultCredentialsInProxy - Typ:
DWORD - Värde:
1
- Sökväg:
TLS-klient-till-tjänst-anslutningar. Avsluta inte några TLS-klient-till-tjänst-anslutningar, till exempel för att utföra inspektion på paketnivå, till aadrm.com URL. Då bryts certifikatkopplingen som RMS-klienterna använder med Microsoft-hanterade certifikatutfärdare för att hjälpa till att säkra kommunikationen med Azure Rights Management-tjänsten.
Om du vill ta reda på om klientanslutningen avslutas innan den når Azure Rights Management-tjänsten använder du följande PowerShell-kommandon:
$request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc") $request.GetResponse() $request.ServicePoint.Certificate.IssuerResultatet bör visa att den utfärdande certifikatutfärdare kommer från en Microsoft CA, till exempel:
CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US.Om du ser ett utfärdande CA-namn som inte kommer från Microsoft är det troligt att din säkra klient-till-tjänst-anslutning avslutas och behöver konfigureras om i brandväggen.
TLS version 1.2 eller senare (endast enhetlig etiketteringsklient). Den enhetliga etiketteringsklienten kräver en TLS-version av 1.2 eller senare för att säkerställa användningen av kryptografiskt säkra protokoll och följa Microsofts säkerhetsriktlinjer.
Microsoft 365 Enhanced Configuration Service (ECS). AIP måste ha åtkomst till config.edge.skype.com-URL:en, som är en Microsoft 365 Enhanced Configuration Service (ECS).
ECS ger Microsoft möjlighet att konfigurera om AIP-installationer utan att du behöver distribuera om AIP. Den används för att styra den gradvisa distributionen av funktioner eller uppdateringar, medan effekten av distributionen övervakas från diagnostikdata som samlas in.
ECS används också för att minska säkerhets- eller prestandaproblem med en funktion eller uppdatering. ECS stöder även konfigurationsändringar relaterade till diagnostikdata för att säkerställa att lämpliga händelser samlas in.
Att begränsa config.edge.skype.com URL kan påverka Microsofts möjlighet att åtgärda fel och kan påverka din möjlighet att testa förhandsversionsfunktioner.
Mer information finns i Viktiga tjänster för Office – Distribuera Office.
Granska url-nätverksanslutning för granskningsloggning. AIP måste kunna komma åt följande URL:er för att kunna stödja AIP-granskningsloggar:
https://*.events.data.microsoft.comhttps://*.aria.microsoft.com(Endast Android-enhetsdata)
Mer information finns i Krav för AIP-rapportering.
Samexistens för AD RMS med Azure RMS
Användning av AD RMS och Azure RMS sida vid sida, i samma organisation, för att skydda innehåll av samma användare i samma organisation, stöds endast i AD RMS för HYOK-skydd (håll din egen nyckel) med Azure Information Protection.
Det här scenariot stöds inte under migreringen. Migreringsvägar som stöds är:
Dricks
Om du distribuerar Azure Information Protection och sedan bestämmer dig för att du inte längre vill använda den här molntjänsten läser du Inaktivera och inaktivera Azure Information Protection.
För andra scenarier som inte är migrering, där båda tjänsterna är aktiva i samma organisation, måste båda tjänsterna konfigureras så att endast en av dem tillåter att en viss användare skyddar innehåll. Konfigurera sådana scenarier på följande sätt:
Använda omdirigeringar för en AD RMS till Azure RMS-migrering
Om båda tjänsterna måste vara aktiva för olika användare samtidigt använder du konfigurationer på tjänstsidan för att framtvinga exklusivitet. Använd Azure RMS-registreringskontrollerna i molntjänsten och en ACL på publicerings-URL:en för att ange skrivskyddat läge för AD RMS.
Tjänsttaggar
Om du använder en Azure-slutpunkt och en NSG måste du tillåta åtkomst till alla portar för följande tjänsttaggar:
- AzureInformationProtection
- AzureActiveDirectory
- AzureFrontDoor.Frontend
I det här fallet är Azure Information Protection-tjänsten dessutom beroende av följande IP-adresser och port:
- 13.107.9.198
- 13.107.6.198
- 2620:1ec:4::198
- 2620:1ec:a92::198
- 13.107.6.181
- 13.107.9.181
- Port 443 för HTTPS-trafik
Se till att skapa regler som tillåter utgående åtkomst till dessa specifika IP-adresser och via den här porten.
Lokala servrar som stöds för Azure Rights Management-dataskydd
Följande lokala servrar stöds med Azure Information Protection när du använder Microsoft Rights Management-anslutningsappen.
Den här anslutningsappen fungerar som ett kommunikationsgränssnitt och vidarebefordrar mellan lokala servrar och Azure Rights Management-tjänsten, som används av Azure Information Protection för att skydda Office-dokument och e-postmeddelanden.
Om du vill använda den här anslutningsappen måste du konfigurera katalogsynkronisering mellan dina Active Directory-skogar och Microsoft Entra-ID.
Servrar som stöds är:
| Servertyp | Versioner som stöds |
|---|---|
| Exchange Server | – Exchange Server 2019 – Exchange Server 2016 – Exchange Server 2013 |
| Office SharePoint Server | – Office SharePoint Server 2019 – Office SharePoint Server 2016 – Office SharePoint Server 2013 |
| Filservrar som kör Windows Server och använder FCI (File Classification Infrastructure) | – Windows Server 2016 – Windows Server 2012 R2 – Windows Server 2012 |
Mer information finns i Distribuera Microsoft Rights Management-anslutningsappen.
Operativsystem som stöds för Azure Rights Management
Följande operativsystem stöder Azure Rights Management-tjänsten, som tillhandahåller dataskydd för AIP:
| OS | Versioner som stöds |
|---|---|
| Windows-datorer | – Windows 10 (x86, x64) – Windows 11 (x86, x64) |
| macOS | Lägsta version av macOS 10.8 (Mountain Lion) |
| Android-telefoner och surfplattor | Lägsta version av Android 6.0 |
| i Telefon och iPad | Lägsta version av iOS 11.0 |
| Windows-telefoner och surfplattor | Windows 10 Mobil |
Nästa steg
När du har granskat alla AIP-krav och bekräftat att systemet uppfyller kraven fortsätter du med Förbereda användare och grupper för Azure Information Protection.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för