Azure Information Protection gereksinimleri

  • Makale

Not

Eski adı Microsoft Information Protection (MIP) olan Microsoft Purview Bilgi Koruması mi arıyorsunuz?

Azure Information Protection eklentisi kullanımdan kaldırılır ve microsoft 365 uygulama ve hizmetlerinizde yerleşik olarak bulunan etiketlerle değiştirilir. Diğer Azure Information Protection bileşenlerinin destek durumu hakkında daha fazla bilgi edinin.

Yeni Microsoft Information Protection istemcisi (eklenti olmadan) şu anda önizleme aşamasındadır ve genel kullanılabilirlik için zamanlanmıştır.

Azure Information Protection'ı dağıtmadan önce sisteminizin aşağıdaki önkoşulları karşıladığından emin olun:

Azure Information Protection'ı dağıtmak için AIP özelliklerini kullanmak istediğiniz tüm makinelerde AIP istemcisi yüklü olmalıdır. Daha fazla bilgi için bkz . Kullanıcılar için Azure Information Protection birleşik etiketleme istemcisini yükleme ve Azure Information Protection'ın istemci tarafı.

Azure Information Protection aboneliği

Azure Information Protection tarayıcısını veya istemcisini kullanarak sınıflandırma, etiketleme ve koruma için bir Azure Information Protection planınız olmalıdır. Daha fazla bilgi için bkz.

Sorunuz orada yanıtlı değilse Microsoft Hesap Yöneticinize veya Microsoft Desteği başvurun.

Microsoft Entra Kimlik

Azure Information Protection kimlik doğrulamasını ve yetkilendirmesini desteklemek için bir Microsoft Entra Id'niz olmalıdır. Şirket içi dizininizdeki (AD DS) kullanıcı hesaplarını kullanmak için dizin tümleştirmesini de yapılandırmanız gerekir.

  • Azure Information Protection için çoklu oturum açma (SSO) desteklenir, böylece kullanıcılardan sürekli olarak kimlik bilgileri istenmez. Federasyon için başka bir satıcı çözümü kullanıyorsanız, bunu Microsoft Entra Kimliği için nasıl yapılandırabileceğinizi öğrenmek için bu satıcıya başvurun. WS-Trust, bu çözümlerin çoklu oturum açmayı desteklemesi için yaygın bir gereksinimdir.

  • Çok faktörlü kimlik doğrulaması (MFA), gerekli istemci yazılımına sahip olduğunuzda ve MFA destekleyen altyapıyı doğru yapılandırdığınızda Azure Information Protection ile desteklenir.

Koşullu erişim, Azure Information Protection tarafından korunan belgeler için önizlemede desteklenir. Daha fazla bilgi için bkz. Azure Information Protection'ın koşullu erişim için kullanılabilir bir bulut uygulaması olarak listelendiğini görüyorum; bu nasıl çalışır?

Sertifika tabanlı veya çok faktörlü kimlik doğrulaması kullanılması veya UPN değerlerinin kullanıcı e-posta adresleriyle eşleşmemesi gibi belirli senaryolar için ek önkoşullar gereklidir.

Daha fazla bilgi için bkz.

İstemci cihazları

Kullanıcı bilgisayarlar veya mobil cihazlar, Azure Information Protection'ı destekleyen bir işletim sisteminde çalıştırılmalıdır.

İstemci cihazları için desteklenen işletim sistemleri

Windows için Azure Information Protection istemcileri aşağıdaki işletim sistemleri desteklenir:

  • Windows 11

  • Windows 10 (x86, x64). El yazısı Windows 10 RS4 derlemesinde ve sonraki sürümlerde desteklenmez.

  • Windows Server 2019

  • Windows Server 2016

  • Windows Server 2012 R2 ve Windows Server 2012

Windows'un önceki sürümlerindeki destek hakkında ayrıntılı bilgi için Microsoft hesabınıza veya destek temsilcinize başvurun.

Not

Azure Information Protection istemcileri Azure Rights Management hizmetini kullanarak verileri koruduğunda, veriler Azure Rights Management hizmetini destekleyen aynı cihazlar tarafından kullanılabilir.

ARM64

ARM64 şu anda desteklenmiyor.

Sanal makineler

Sanal makinelerle çalışıyorsanız, sanal masaüstü çözümünüz için yazılım satıcısının Azure Information Protection birleşik etiketlemesini veya Azure Information Protection istemcisini çalıştırmak için gereken ek yapılandırmalar olup olmadığını denetleyin.

Örneğin Citrix çözümleri için, Office, Azure Information Protection birleşik etiketleme istemcisi veya Azure Information Protection istemcisi için Citrix Uygulama Programlama Arabirimi (API) kancalarını devre dışı bırakmanız gerekebilir.

Bu uygulamalar sırasıyla şu dosyaları kullanır: winword.exe, excel.exe, outlook.exe, powerpnt.exe, msip.app.exe, msip.viewer.exe

Sunucu desteği

Yukarıda listelenen sunucu sürümlerinin her biri için, Uzak Masaüstü Hizmetleri için Azure Information Protection istemcileri desteklenir.

Uzak Masaüstü Hizmetleri ile Azure Information Protection istemcilerini kullanırken kullanıcı profillerini silerseniz %Appdata%\Microsoft\Protect klasörünü silmeyin.

Ayrıca, Sunucu Çekirdeği ve Nano Sunucu desteklenmez.

İstemci başına ek gereksinimler

Her Azure Information Protection istemcisinin ek gereksinimleri vardır. Ayrıntılar için bkz.

Uygulamalar

Azure Information Protection istemcileri, aşağıdaki Office sürümlerinden herhangi birinden Microsoft Word, Excel, PowerPoint ve Outlook kullanarak belgeleri ve e-postaları etiketleyebilir ve koruyabilir:

  • Office uygulaması s, Microsoft 365 Uygulamaları İş veya Microsoft 365 İş Ekstra güncelleştirme kanalına göre Microsoft 365 Uygulamaları için desteklenen sürümler tablosunda listelenen sürümler için, kullanıcıya Azure Rights Management için bir lisans atandığında (Office 365 için Azure Information Protection olarak da bilinir)

  • Kurumsal için Microsoft 365 Uygulamaları

  • Office Profesyonel Plus 2021

  • Office Profesyonel Plus 2019

  • Office Profesyonel Plus 2016 - Office 2016 temel desteğin dışında olduğundan, AIP desteğinin en iyi çaba temelinde yapılacağını ve sürüm 2016'da bulunan sorunlar için hiçbir düzeltme yapılmayacağını lütfen unutmayın. bkz. Microsoft Office 2016

Office'in diğer sürümleri, Rights Management hizmetini kullanarak belgeleri ve e-postaları koruyamaz. Bu sürümler için Azure Information Protection yalnızca sınıflandırma için desteklenir ve koruma uygulayan etiketler kullanıcılar için görüntülenmez.

Etiketler, Birleşik etiketleme istemcisindeki Duyarlılık düğmesinden erişilebilen, Office belgesinin üst kısmında görüntülenen bir çubukta görüntülenir.

  • Sürüm 1.4 ve daha düşük olan PDF dosyaları, AIP İstemcisi dosyayı etiketlediğinde otomatik olarak sürüm 1.5'e yükseltilir.

Daha fazla bilgi için bkz . Azure Rights Management veri korumasını destekleyen uygulamalar.

Desteklenmeyen Office özellikleri ve özellikleri

  • Windows için Azure Information Protection istemcileri, aynı bilgisayarda birden çok Office sürümünü desteklemez veya Office'teki kullanıcı hesaplarını değiştirmez.

  • Office adres mektup birleştirme özelliği herhangi bir Azure Information Protection özelliğiyle desteklenmez.

Güvenlik duvarları ve ağ altyapısı altında listelenen tüm ağ önkoşullarına uyduğunuzu doğrulayın

Belirli bağlantılara izin verecek şekilde yapılandırılmış güvenlik duvarlarınız veya benzer araya gelen ağ cihazlarınız varsa, ağ bağlantısı gereksinimleri şu Office makalesinde listelenmiştir: Microsoft 365 Common ve Office Online.

Azure Information Protection aşağıdaki ek gereksinimlere sahiptir:

  • Birleşik etiketleme istemcisi. Etiketleri ve etiket ilkelerini indirmek için HTTPS üzerinden şu URL'ye izin verin: *.protection.outlook.com

  • Web proxy'leri. Kimlik doğrulaması gerektiren bir web ara sunucusu kullanıyorsanız, proxy'yi kullanıcının Active Directory oturum açma kimlik bilgileriyle tümleşik Windows kimlik doğrulamasını kullanacak şekilde yapılandırmanız gerekir.

    Belirteç almak için ara sunucu kullanırken Proxy.pac dosyalarını desteklemek için aşağıdaki yeni kayıt defteri anahtarını ekleyin:

    • Yol: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\
    • Anahtar: UseDefaultCredentialsInProxy
    • Tür: DWORD
    • Değer: 1

  • TLS istemciden hizmete bağlantılar. Aadrm.com URL'sine paket düzeyinde inceleme yapmak gibi tls istemciden hizmete bağlantıları sonlandırmayın. Bunu yapmanız halinde, RMS istemcilerinin Azure Rights Management hizmetiyle kurduğu iletişimin güvenliğini sağlamaya yardımcı olmak için Microsoft tarafından yönetilen sertifika yetkilileriyle kullandığı sertifika sabitleme işlemleri yarıda kesilmiş olur.

    İstemci bağlantınızın Azure Rights Management hizmetine ulaşmadan önce sonlandırılıp sonlandırılmadığını belirlemek için aşağıdaki PowerShell komutlarını kullanın:

    $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
$request.GetResponse()
$request.ServicePoint.Certificate.Issuer

    Sonuç, veren CA'nın bir Microsoft CA'dan geldiğini göstermelidir, örneğin: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US.

    Microsoft'tan olmayan bir sertifika yetkilisi adı görüyorsanız, büyük olasılıkla güvenli istemciden hizmete bağlantınız sonlandırılıyordur ve güvenlik duvarınızda yeniden yapılandırmanız gerekir.

  • TLS sürüm 1.2 veya üzeri (yalnızca birleşik etiketleme istemcisi). Birleşik etiketleme istemcisi, şifreleme açısından güvenli protokollerin kullanılmasını ve Microsoft güvenlik yönergeleriyle uyumlu olmasını sağlamak için 1.2 veya üzeri bir TLS sürümü gerektirir.

  • Microsoft 365 Gelişmiş Yapılandırma Hizmeti (ECS). AIP'nin microsoft 365 Gelişmiş Yapılandırma Hizmeti (ECS) olan config.edge.skype.com URL'sine erişimi olmalıdır.

    ECS, Microsoft'a AIP yüklemelerini AIP'yi yeniden dağıtmanıza gerek kalmadan yeniden yapılandırma olanağı sağlar. Özelliklerin veya güncelleştirmelerin aşamalı dağıtımını denetlemek için kullanılırken, dağıtımın etkisi toplanan tanılama verilerinden izlenir.

    ECS, bir özellik veya güncelleştirmeyle ilgili güvenlik veya performans sorunlarını azaltmak için de kullanılır. ECS, uygun olayların toplandığından emin olmak için tanılama verileriyle ilgili yapılandırma değişikliklerini de destekler.

    config.edge.skype.com URL'sini sınırlamak Microsoft'un hataları azaltma becerisini ve önizleme özelliklerini test etme becerinizi etkileyebilir.

    Daha fazla bilgi için bkz . Office için temel hizmetler - Office'i dağıtma.

  • Denetim günlüğü URL'si ağ bağlantısı. AIP denetim günlüklerini desteklemek için AIP'nin aşağıdaki URL'lere erişebilmesi gerekir:

    • https://*.events.data.microsoft.com
    • https://*.aria.microsoft.com (Yalnızca Android cihaz verileri)

    Daha fazla bilgi için bkz . AIP raporlama önkoşulları.

AD RMS'nin Azure RMS ile birlikte bulunma

Ad RMS ve Azure RMS'nin aynı kuruluşta yan yana kullanılması, aynı kuruluştaki aynı kullanıcının içeriğini korumak için yalnızca AZURE Information Protection ile HYOK için AD RMS (kendi anahtarınızı tutma) korumasında desteklenir.

Bu senaryo geçiş sırasında desteklenmez. Desteklenen geçiş yolları şunlardır:

İpucu

Azure Information Protection'ı dağıtıp bu bulut hizmetini artık kullanmak istemediğinize karar verirseniz bkz . Azure Information Protection'ın yetkisini alma ve devre dışı bırakma.

Her iki hizmetin de aynı kuruluşta etkin olduğu diğer geçiş dışı senaryolarda, her iki hizmetin de yalnızca birinin belirli bir kullanıcının içeriği korumasına izin vermesi için yapılandırılması gerekir. Bu tür senaryoları aşağıdaki gibi yapılandırın:

  • AD RMS'den Azure RMS'ye geçiş için yeniden yönlendirmeleri kullanma

  • Her iki hizmetin de aynı anda farklı kullanıcılar için etkin olması gerekiyorsa, münhasırlığı zorlamak için hizmet tarafı yapılandırmalarını kullanın. AD RMS için Salt Okunur modunu ayarlamak için bulut hizmetinde Azure RMS ekleme denetimlerini ve Yayımlama URL'sindeki bir ACL'yi kullanın.

Hizmet Etiketleri

Azure uç noktası ve NSG kullanıyorsanız, aşağıdaki Hizmet Etiketleri için tüm bağlantı noktalarına erişime izin verdiğinizden emin olun:

  • AzureInformationProtection
  • AzureActiveDirectory
  • AzureFrontDoor.Frontend

Ayrıca, bu durumda Azure Information Protection hizmeti de aşağıdaki IP adreslerine ve bağlantı noktasına bağlıdır:

  • 13.107.9.198
  • 13.107.6.198
  • 2620:1ec:4::198
  • 2620:1ec:a92::198
  • 13.107.6.181
  • 13.107.9.181
  • HTTPS trafiği için 443 numaralı bağlantı noktası

Bu belirli IP adreslerine ve bu bağlantı noktası aracılığıyla giden erişime izin veren kurallar oluşturduğunuzdan emin olun.

Azure Rights Management veri koruması için desteklenen şirket içi sunucular

Aşağıdaki şirket içi sunucular, Microsoft Rights Management bağlayıcısını kullandığınızda Azure Information Protection ile desteklenir.

Bu bağlayıcı bir iletişim arabirimi işlevi görür ve Şirket içi sunucular ile Office belgelerini ve e-postalarını korumak için Azure Information Protection tarafından kullanılan Azure Rights Management hizmeti arasında geçiş yapar.

Bu bağlayıcıyı kullanmak için Active Directory ormanlarınız ile Microsoft Entra Id arasında dizin eşitlemesini yapılandırmanız gerekir.

Desteklenen sunucular şunlardır:

Sunucu türü Desteklenen sürümler
Exchange Server - Exchange Server 2019
- Exchange Server 2016
- Exchange Server 2013
Office SharePoint Server - Office SharePoint Server 2019
- Office SharePoint Server 2016
- Office SharePoint Server 2013
Windows Server çalıştıran ve Dosya Sınıflandırma Altyapısı (FCI) kullanan dosya sunucuları - Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012

Daha fazla bilgi için bkz . Microsoft Rights Management bağlayıcısını dağıtma.

Azure Rights Management için desteklenen işletim sistemleri

Aşağıdaki işletim sistemleri, AIP için veri koruması sağlayan Azure Rights Management hizmetini destekler:

OS Desteklenen sürümler
Windows bilgisayarları - Windows 10 (x86, x64)
- Windows 11 (x86, x64)
macOS en düşük macOS 10.8 sürümü (Mountain Lion)
Android telefonlar ve tabletler Android 6.0'ın en düşük sürümü
i Telefon ve iPad iOS 11.0'ın en düşük sürümü
Windows telefonlar ve tabletler Windows 10 Mobile

Daha fazla bilgi için bkz . Azure Rights Management veri korumasını destekleyen uygulamalar.

Sonraki adımlar

Tüm AIP gereksinimlerini gözden geçirip sisteminizin uygun olduğunu onayladıktan sonra Kullanıcıları ve grupları Azure Information Protection için hazırlama bölümüne geçin.