Azure 信息保护要求

适用于:Azure信息保护

相关:AIP 统一标签客户端和 AIP 经典客户端

如果 2010 Windows 7 或 Office,请参阅AIP和旧版 Windows Office 版本。

注意

为了提供统一且简化的客户体验,Azure 门户中的Azure信息保护经典客户端和标签管理在2021年 3 月 31 日已弃用。 不再提供对经典客户端的进一步支持,并且将不再发布维护版本。

经典客户端将于 2022 年 3 月 31 日正式停用并停止运行。

所有当前的 Azure 信息保护经典客户端客户必须迁移到统一Microsoft 信息保护平台,并升级到统一标签客户端。 在迁移博客 中了解更多信息

在部署 Azure 信息保护之前,请确保系统满足以下先决条件:

若要部署 Azure 信息保护,必须在想要使用 AIP 功能的任何计算机上安装 AIP 客户端。 有关详细信息,请参阅 为用户安装 Azure 信息 保护统一标签客户端和 Azure 信息保护的客户端

Azure 信息保护订阅

必须使用 Azure 信息保护 扫描 程序或客户端为分类、标记和保护制定 Azure 信息保护计划。 有关详细信息,请参阅:

如果在那里没有解答你的问题,请联系你的 Microsoft 客户经理或 Microsoft 支持部门

Azure Active Directory

若要支持 Azure 信息保护的身份验证和授权,必须具有 Azure Active Directory (AD) 。 若要从本地目录和 AD DS (用户帐户) ,还必须配置目录集成。

  • Azure 信息保护 (SSO ) 单一登录,因此不会反复提示用户提供凭据。 如果使用其他供应商解决方案进行联合身份验证,请咨询该供应商,了解如何将其配置为Azure AD。 WS-Trust是这些解决方案支持单一登录的常见要求。

  • 如果拥有 所需的客户端 (并正确配置了 MFA 支持) ,则 Azure 信息保护支持多重身份验证和 MFA 身份验证。

受 Azure 信息保护保护的文档在预览版中支持条件访问。 有关详细信息,请参阅:我看到 Azure 信息保护被列为可用于条件访问的云应用 - 此操作如何工作?

特定方案(例如,使用基于证书的身份验证或多重身份验证时,或者 UPN 值与用户电子邮件地址不匹配时)需要其他先决条件。

有关详细信息,请参阅:

客户端设备

用户计算机或移动设备必须在支持 Azure 信息保护的操作系统上运行。

客户端设备支持的操作系统

以下操作系统支持Windows Azure 信息保护客户端:

  • Windows 11

  • Windows 10 ( x86,x64) 。 RS4 版本及Windows 10不支持手写。

  • Windows 8.1 ( x86、x64)

  • Windows 8 ( x86、x64)

  • Windows Server 2019

  • Windows Server 2016

  • Windows Server 2012 R2Windows Server 2012

有关早期版本的产品/服务支持Windows,请联系 Microsoft 帐户或支持代表。

注意

当 Azure 信息保护客户端使用 Azure Rights Management 服务保护数据时,支持 Azure Rights Management 服务的相同设备可以使用数据。

ARM64

目前 不支持 ARM64。

虚拟机

如果使用虚拟机,请检查虚拟桌面解决方案的软件供应商是运行 Azure 信息保护统一标签或 Azure 信息保护客户端所需的其他配置。

例如,对于 Citrix 解决方案,可能需要为 Office、Azure 信息保护统一标签客户端或 Azure 信息保护客户端禁用Citrix应用程序编程接口 (API) 挂钩。

这些应用程序分别使用以下文件:winword.exe、excel.exe、outlook.exe、powerpnt.exe、msip.app.exe、msip.viewer.exe

服务器支持

对于上面列出的每个服务器版本,远程桌面服务都支持 Azure 信息保护客户端。

如果在将 Azure 信息保护客户端与远程桌面服务一同使用时删除用户配置文件,请不要删除 %Appdata%\Microsoft\Protect 文件夹。

此外,不支持 Server Core 和 Nano Server。

每个客户端的其他要求

每个 Azure 信息保护客户端都有其他要求。 有关详细信息,请参阅:

应用程序

Azure 信息保护客户端可以使用以下任一版本的 Microsoft Word、Excel、PowerPointOutlook标记Office电子邮件:

  • Office应用,适用于支持的版本表中列出的版本(更新Microsoft 365 应用版从 Microsoft 365 应用版 for Business 或 Microsoft 365 商业高级版为用户分配 Azure Rights Management 许可证时, (Azure 信息保护 for Office 365)

  • Microsoft 365 应用版 Enterprise

  • Office 专业增强版 2019

  • Office 专业增强版 2016

  • Office Professional Plus Service Pack 1 的 2013 年 1 月

  • 2010 Office Professional Plus Service Pack 2

其他版本的Office无法使用权限管理服务保护文档和电子邮件。 对于这些版本,仅支持对分类使用 Azure 信息保护,并且不会向用户显示应用保护的标签。

标签显示在文档顶部显示的栏中Office,可从统一标签客户端中的"敏感度"按钮或经典客户端中的"保护"按钮访问。

有关详细信息,请参阅支持 Azure Rights Management 数据保护的应用程序

重要

Office 2010 扩展支持于 2020 年 10 月 13 日结束。 有关详细信息,请参阅AIP 和旧版 Windows Office 版本

Office不支持的功能

  • 适用于 Windows 的 Azure 信息保护客户端不支持在同一Office计算机上切换多个版本的 Office。

  • 任何Office Azure信息保护功能都不支持邮件合并功能。

防火墙和网络基础结构

如果防火墙或类似中间网络设备配置为允许特定连接,则此 Office 文章中列出了网络连接要求:Microsoft 365 Common 和Office Online。

Azure 信息保护具有以下附加要求:

  • 统一标签客户端。 若要下载标签和标签策略,请通过 HTTPS 允许以下 URL:*.protection.outlook.com

  • Web 代理。 如果使用要求身份验证的 Web 代理,则必须将代理配置为使用集成身份验证Windows用户的 Active Directory 登录凭据。

    若要在使用代理获取令牌时支持 Proxy.pac 文件,请添加以下新注册表项:

    • 路径
    • 密钥
    • 类型
  • TLS 客户端到服务连接。 请勿终止任何 TLS 客户端到服务连接(例如,执行数据包级检查)到 aadrm.com URL。 这样做会中断 RMS 客户端用于 Microsoft 托管 CA 的证书固定,以帮助保护与 Azure Rights Management 服务的通信。

    若要确定客户端连接在到达 Azure Rights Management 服务之前是否终止,请使用以下 PowerShell 命令:

    $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
    $request.GetResponse()
    $request.ServicePoint.Certificate.Issuer
    

    结果应显示颁发 CA 来自 Microsoft CA,例如 CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US :。

    如果看到不是来自 Microsoft 的颁发 CA 名称,则安全客户端到服务连接可能会终止,需要在防火墙上重新配置。

  • TLS 版本 1.2 或更高版本 ( 统一标签客户端) 。 统一标签客户端需要 TLS 版本 1.2 或更高版本,以确保使用加密安全协议并符合 Microsoft 安全准则。

  • Microsoft 365增强配置服务 (ECS) 。 AIP 必须有权访问 config.edge.skype.com URL,这是一个Microsoft 365增强型配置服务 (ECS) 。

    ECS 使 Microsoft 能够重新配置 AIP 安装,而无需重新部署 AIP。 它用于控制功能或更新的逐步推出,而推出的影响则通过收集的诊断数据进行监视。

    ECS 还用于缓解功能或更新的安全性或性能问题。 ECS 还支持与诊断数据相关的配置更改,以帮助确保收集相应的事件。

    限制 config.edge.skype.com URL 可能会影响 Microsoft 缓解错误的能力,并可能影响测试预览功能的能力。

    有关详细信息,请参阅适用于 Office 的基本服务- Office。

  • 审核日志记录 URL 网络连接。 AIP 必须能够访问以下 URL 才能支持 AIP 审核日志:

    • https://*.events.data.microsoft.com
    • https://*.aria.microsoft.com (Android 设备数据)

    有关详细信息,请参阅 AIP 报告的先决条件

AD RMS 与 Azure RMS 共存

在同一组织中并行使用 AD RMS 和 Azure RMS 来保护同一组织中同一用户的内容,仅在 AD RMS for HYOK (支持使用 Azure 信息保护进行自己的密钥) 保护。

迁移期间不支持此方案。 支持的迁移路径包括:

提示

如果部署了 Azure 信息保护,然后决定不再使用此云服务,请参阅解除授权和 停用 Azure 信息保护

对于其他非迁移方案,如果两个服务在同一组织中处于活动状态,则必须配置这两个服务,以便只有一个服务允许任何给定用户保护内容。 配置此类方案,如下所示:

  • 使用AD RMS到 Azure RMS 迁移的重定向

  • 如果两个服务必须同时对不同的用户处于活动状态,请使用服务端配置来强制实施独有性。 使用云服务中的 Azure RMS 载入控件和发布 URL 上的 ACL 为AD RMS 设置只读模式。

服务标记

如果使用 Azure 终结点和 NSG,请确保允许访问以下服务标记的所有端口:

  • AzureInformationProtection
  • AzureActiveDirectory
  • AzureFrontDoor.Frontend

此外,在这种情况下,Azure 信息保护服务还依赖于以下 IP 地址和端口:

  • 13.107.9.198
  • 13.107.6.198
  • 2620:1ec:4::198
  • 2620:1ec:a92::198
  • 13.107.6.181
  • 13.107.9.181
  • 端口 443,用于 HTTPS 流量

请确保创建允许通过此端口访问这些特定 IP 地址的出站访问的规则。

Azure Rights Management 数据保护支持本地服务器

使用 Microsoft Rights Management 连接器时,Azure 信息保护支持以下本地服务器。

此连接器充当通信接口,在本地服务器与 Azure Rights Management 服务之间中继,Azure 信息保护Office文档和电子邮件。

若要使用此连接器,必须在 Active Directory 林和 Azure Active Directory 之间配置目录Azure Active Directory。

支持的服务器包括:

服务器类型 支持的版本
Exchange Server - Exchange Server 2019
- Exchange Server 2016
- Exchange Server 2013
- Exchange Server 2010
Office SharePoint 服务器 - Office SharePoint Server 2016
- Office SharePoint Server 2013 - Office SharePoint Server
2010
运行 Windows 服务器并使用文件分类基础结构 (FCI) - Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012

有关详细信息,请参阅部署 Microsoft Rights Management 连接器

Azure Rights Management 支持的操作系统

以下操作系统支持 Azure Rights Management 服务,该服务为 AIP 提供数据保护:

OS 支持的版本
Windows计算机 - Windows 7 (x86、x64) -
Windows 8 (x86、x64) - Windows 8.1 (
x86、x64)
- Windows 10 (x86、x64)
macOS macOS 10.8 (Mountain Lion)
Android 手机和平板电脑 Android 6.0 的最低版本
iPhone 和 iPad iOS 11.0 的最低版本
Windows手机和平板电脑 Windows 10 移动版

下一步

查看所有 AIP 要求并确认系统符合要求后,请继续准备 Azure 信息保护 的用户和组