Anforderungen für Azure Information Protection

Vor der Bereitstellung von Azure Information Protection müssen Sie sicherstellen, dass Ihr System die folgenden Voraussetzungen erfüllt:

• Azure Information Protection-Abonnement
• Microsoft Entra ID
• Client-Geräte
• Anwendungen
• Firewalls und Netzwerkinfrastruktur

Für die Bereitstellung von Azure Information Protection müssen Sie den AIP-Client auf allen Computern installiert haben, auf denen Sie AIP-Features verwenden möchten. Weitere Informationen finden Sie unter Installieren des Azure Information Protection Unified Labeling-Client für Benutzer und Die Clientseite von Azure Information Protection.

Azure Information Protection-Abonnement

Sie müssen über einen Azure Information Protection-Plan für Klassifizierung, Bezeichnung und Schutz mit dem Azure Information Protection-Scanner oder -Client verfügen. Weitere Informationen finden Sie unter:

• Microsoft 365 Lizenzierungsleitfaden für Sicherheit und Compliance
• Vergleich der Pläne für den modernen Arbeitsplatz (PDF-Download)

Wenn Ihre Frage dort nicht beantwortet wird, wenden Sie sich an Ihren Microsoft Account Manager oder Microsoft-Support.

Microsoft Entra ID

Damit die Authentifizierung und Autorisierung für Azure Information Protection unterstützt wird, müssen Sie über eine Microsoft Entra ID verfügen. Um Benutzerkonten aus Ihrem lokalen Verzeichnis (AD DS) verwenden zu können, müssen Sie auch die Verzeichnisintegration konfigurieren.

• Einmaliges Anmelden (Single Sign-On, SSO) wird für Azure Information Protection unterstützt, sodass Benutzer nicht wiederholt zur Eingabe ihrer Anmeldeinformationen aufgefordert werden. Wenn Sie die Lösung eines anderen Anbieters für den Partnerverbund nutzen, sollten Sie mit diesem Anbieter klären, wie sie für Microsoft Entra ID zu konfigurieren ist. WS-Trust ist bei diesen Lösungen eine häufige Anforderung für die Unterstützung von Single Sign-On.

• Die mehrstufige Authentifizierung (MFA) wird mit Azure Information Protection unterstützt, wenn Sie über die erforderliche Clientsoftware verfügen und die MFA-unterstützende Infrastruktur ordnungsgemäß konfiguriert haben.

Bedingter Zugriff wird in der Vorschau für Dokumente unterstützt, die durch Azure Information Protection geschützt sind. Weitere Informationen finden Sie unter: Azure Information Protection wird als verfügbare Cloud App für den bedingten Zugriff genannt. Wie funktioniert das?

Weitere Voraussetzungen sind für bestimmte Szenarien erforderlich, z. B. bei Verwendung der zertifikatbasierten Authentifizierung oder Multi-Factor Authentication oder wenn UPN-Werte nicht mit Benutzer-E-Mail-Adressen übereinstimmen.

Weitere Informationen finden Sie unter:

• Weitere Anforderungen an Microsoft Entra für Azure Information Protection
• Was ist Microsoft Entra Directory?
• Integrieren lokaler Active Directory-Domänen in Microsoft Entra ID.

Client-Geräte

Benutzercomputer oder mobile Geräte müssen ein Betriebssystem haben, das Azure Information Protection unterstützt.

• Unterstützte Betriebssysteme für Client-Geräte
• ARM64
• Virtuelle Computer
• Serverunterstützung
• Weitere Voraussetzungen für jeden Client

Unterstützte Betriebssysteme für Client-Geräte

Die Azure Information Protection-Clients für Windows werden von den folgenden Betriebssystemen unterstützt:

• Windows 11

• Windows 10 (x86, x64) Handschrift wird im Windows 10 RS4-Build und höher nicht unterstützt.

• Windows Server 2019

• Windows Server 2016

• Windows Server 2012 R2 und Windows Server 2012

Weitere Informationen zur Unterstützung in früheren Windows-Versionen erhalten Sie von Ihrem Microsoft-Konto oder Supportmitarbeiter.

ARM64

ARM64 wird aktuell nicht unterstützt.

Virtuelle Computer

Wenn Sie mit virtuellen Computern arbeiten, sollten Sie klären, ob es beim Softwareanbieter für Ihre virtuelle Desktoplösung zusätzliche Konfigurationen gibt, die für einheitliche Bezeichnungen mit Azure Information Protection oder den Azure Information Protection-Client erforderlich sind.

Bei Citrix-Lösungen ist z. B. die Deaktivierung von Citrix Application Programming Interface (API)-Hooks für Office, den Azure Information Protection Unified Labeling-Client oder den Azure Information Protection-Client erforderlich.

Diese Anwendungen verwenden jeweils die folgenden Dateien: winword.exe, excel.exe, outlook.exe, powerpnt.exe, msip.app.exe, msip.viewer.exe

Serverunterstützung

Für jede der oben aufgeführten Serverversionen werden Azure Information Protection-Clients für Remotedesktopdienste unterstützt.

Wenn Sie Benutzerprofile löschen, wenn Sie die Azure Information Protection-Clients mit Remotedesktopdiensten verwenden, löschen Sie nicht den Ordner "%Appdata%\Microsoft\Protect ".

Darüber hinaus werden Server Core und Nano Server nicht unterstützt.

Weitere Voraussetzungen für jeden Client

Für jeden Azure Information Protection-Client gelten weitere Voraussetzungen. Weitere Informationen finden Sie unter:

• Anforderungen für den Azure Information Protection Unified Label Client

• Anforderungen für den Azure Information Protection-Client

Anwendungen

Der Azure Information Protection-Client kann Dokumente und E-Mails unter Verwendung von Microsoft Word, Excel, PowerPoint und Outlook aus einer der folgenden Office-Editionen mit Bezeichnungen versehen und schützen:

• Office-Apps für die in der Tabelle der unterstützten Versionen für Microsoft 365 Apps nach Updatekanal aufgeführten Versionen von Microsoft 365 Apps for Business oder Microsoft 365 Business Premium, wenn dem Benutzer eine Lizenz für Azure Rights Management (auch als Azure Information Protection für Office 365 bezeichnet) zugewiesen ist

• Microsoft 365 Apps for Enterprise

• Office Professional Plus 2021

• Office Professional Plus 2019

• Office Professional Plus 2016 – Beachten Sie bitte, dass des für Office 2016 keinen Mainstream-Support mehr gibt. Der AIP-Support erfolgt daher nach bestem Wissen, und es gibt keine Korrekturen für Probleme, die in Version 2016 festgestellt werden. siehe Microsoft Office 2016

Andere Editionen von Office können Dokumente und E-Mails nicht mithilfe eines Rechteverwaltungsdiensts schützen. Für diese Editionen wird Azure Information Protection nur für klassifizierungen unterstützt, und Bezeichnungen, die Schutz anwenden, werden für Benutzer nicht angezeigt.

Bezeichnungen werden in einer Leiste oben im Office-Dokument angezeigt, die über die Schaltfläche Vertraulichkeit im Unified Labeling-Client zugänglich ist.

• PDF-Dateien in der Version 1.4 und niedriger werden automatisch auf Version 1.5 aktualisiert, wenn der AIP-Client die Datei mit einer Bezeichnung versieht.

Weitere Informationen finden Sie unter Anwendungen mit Unterstützung für den Azure Rights Management-Schutz von Daten.

Office-Features und -Funktionen werden nicht unterstützt

• Die Azure Information Protection-Clients für Windows unterstützen nicht mehrere Versionen von Office auf demselben Computer oder das Wechseln von Benutzerkonten in Office.

• Das Feature für den Seriendruck von Office wird mit keinem Azure Information Protection-Feature unterstützt.

Firewalls und Netzwerkinfrastruktur

Wenn Sie über Firewalls oder ähnliche zwischengeschaltete Netzwerkgeräte verfügen, die so konfiguriert sind, dass sie bestimmte Verbindungen zulassen, sind die Anforderungen an die Netzwerkkonnektivität in diesem Office-Artikel aufgeführt: Microsoft 365 Common und Office Online.

Für Azure Information Protection gelten die folgenden weiteren Voraussetzungen:

• Unified Labeling-Client. Zum Herunterladen von Bezeichnungen und Bezeichnungsrichtlinien müssen Sie die folgende URL über HTTPS zulassen: *.protection.outlook.com

• Webproxys Wenn Sie einen Webproxy verwenden, für den eine Authentifizierung erforderlich ist, müssen Sie den Proxy für die Verwendung der integrierten Windows-Authentifizierung mit den Active Directory-Anmeldedaten des Benutzers konfigurieren.

  Zur Unterstützung von Proxy.pac-Dateien bei Verwendung eines Proxys zum Abrufen eines Tokens müssen Sie den folgenden neuen Registrierungsschlüssel hinzufügen:

  • Pfad: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\
  • Schlüssel: UseDefaultCredentialsInProxy
  • Typ:DWORD
  • Wert: 1

• Verbindungen zwischen TLS-Client und Dienst. Beenden Sie keine TLS-Client-zu-Service-Verbindungen, z. B. zum Durchführen einer Überprüfung auf Paketebene, an die aadrm.com-URL . Ansonsten wird die Anheftung von Zertifikaten beendet, die von RMS-Clients für von Microsoft verwaltete Zertifizierungsstellen verwendet wird, um die Kommunikation mit dem Azure Rights Management-Dienst zu schützen.

  Mit den folgenden PowerShell-Befehlen können Sie feststellen, ob die Clientverbindung beendet wird, bevor sie den Azure Rights Management-Dienst erreicht:

  $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
  $request.GetResponse()
  $request.ServicePoint.Certificate.Issuer
  

  Das Ergebnis sollte zeigen, dass die ausstellende CA von einer Microsoft-CA stammt, z. B.: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US.

  Wenn ein ausstellende Zertifizierungsstellenname angezeigt wird, der nicht von Microsoft stammt, wird ihre sichere Client-zu-Service-Verbindung wahrscheinlich beendet und benötigt eine Neukonfiguration in Ihrer Firewall.

• TLS Version 1.2 oder höher (nur Unified Labeling-Client). Der Unified Labeling-Client erfordert eine TLS-Version von 1.2 oder höher, um sicherzustellen, dass kryptografisch sichere Protokolle verwendet werden und den Sicherheitsrichtlinien von Microsoft entsprechen.

• Microsoft 365 Enhanced Configuration Service (ECS). AIP muss Zugriff auf die URL config.edge.skype.com haben, bei der es sich um einen erweiterten Microsoft 365 Enhanced Configuration Service (ECS) handelt.

  ECS ermöglicht Microsoft das Neukonfigurieren der AIP-Installationen, ohne dass AIP erneut bereitgestellt werden muss. Er dient zum Steuern des schrittweisen Rollouts von Features und Updates. Dabei wird die Auswirkung des Rollouts anhand der erfassten Diagnosedaten überwacht.

  ESC dient auch dazu, Sicherheits- oder Leistungsprobleme mit einem Feature oder Update einzugrenzen. ECS unterstützt auch Konfigurationsänderungen im Zusammenhang mit Diagnosedaten, um sicherzustellen, dass die entsprechenden Ereignisse gesammelt werden.

  Wenn die URL config.edge.skype.com eingeschränkt wird, hat das gegebenenfalls Auswirkungen auf die Fähigkeit von Microsoft, Fehler zu beheben, und auf Ihre Möglichkeit zum Testen von Previewfunktionen.

  Weitere Informationen finden Sie unter Wesentliche Dienste für Office – Bereitstellung von Office.

• Protokollierung der URL-Netzwerkkonnektivität prüfen. AIP muss auf die folgenden URLs zugreifen können, damit AIP-Überwachungsprotokolle unterstützt werden:

  • https://*.events.data.microsoft.com
  • https://*.aria.microsoft.com (nur Daten von Android-Geräten)

  Weitere Informationen finden Sie unter Voraussetzungen für AIP-Berichte.

Koexistenz von AD RMS mit Azure RMS

Der gleichzeitige Einsatz von AD RMS und Azure RMS in derselben Organisation zum Schutz von Inhalten durch denselben Benutzer in derselben Organisation wird in AD RMS nur für den HYOK-Schutz (Schutz mit eigenem Schlüssel) mit Azure Information Protection unterstützt.

Dieses Szenario wird nicht während der Migration unterstützt. Unterstützte Migrationspfade:

• Von AD RMS zu Azure Information Protection

• Von Azure Information Protection zu AD RMS

Bei anderen Szenarien ohne Migration, in denen beide Dienste in derselben Organisation aktiv sind, müssen beide Dienste so konfiguriert werden, dass nur einer davon einem bestimmten Benutzer den Schutz von Inhalten erlaubt. Solche Szenarien sind folgendermaßen zu konfigurieren:

• Verwenden von Umleitungen für eine Migration von AD RMS zu Azure RMS

• Wenn beide Dienste für unterschiedliche Benutzer gleichzeitig aktiv sein müssen, müssen Sie mit dienstseitigen Konfigurationen die Exklusivität durchsetzen. Verwenden Sie die Azure RMS-Onboarding-Steuerelemente im Clouddienst und eine ACL auf der Veröffentlichungs-URL, um den Schreibschutz-Modus für AD RMS festzulegen.

Diensttags

Wenn Sie einen Azure-Endpunkt und einen NSG verwenden, müssen Sie den Zugriff auf alle Ports für die folgenden Diensttags zulassen:

• AzureInformationProtection
• AzureActiveDirectory
• AzureFrontDoor.Frontend

Darüber hinaus hängt der Azure Information Protection-Dienst in diesem Fall auch von den folgenden IP-Adressen und -Ports ab:

• 13.107.9.198
• 13.107.6.198
• 2620:1ec:4::198
• 2620:1ec:a92::198
• 13.107.6.181
• 13.107.9.181
• Port 443 für HTTPS-Datenverkehr

Sie müssen unbedingt Regeln erstellen, die ausgehenden Zugriff auf diese konkreten IP-Adressen und über diesen Port zulassen.

Unterstützte lokale Server für Azure Rights Management-Datenschutz

Die folgenden lokalen Server werden mit Azure Information Protection unterstützt, wenn Sie den Microsoft Rights Management-Connector verwenden.

Dieser Connector dient als Kommunikationsschnittstelle und vermittelt zwischen lokalen Servern und dem Azure Rights Management-Dienst, der von Azure Information Protection zum Schutz von Office-Dokumenten und E-Mails verwendet wird.

Zum Verwenden dieses Connectors müssen Sie die Verzeichnissynchronisierung zwischen Ihren Active Directory-Gesamtstrukturen und Microsoft Entra ID konfigurieren.

Folgende Server werden unterstützt:

Weitere Informationen finden Sie unter Bereitstellung des Microsoft Rights Management-Connectors.

Unterstützte Betriebssysteme für Azure Rights Management

Die folgenden Betriebssysteme unterstützen den Azure Rights Management-Dienst, der Datenschutz für AIP bietet:

Weitere Informationen finden Sie unter Anwendungen mit Unterstützung für den Azure Rights Management-Schutz von Daten.

Nächste Schritte

Wenn Sie alle AIP-Anforderungen durchgesehen und bestätigt haben, dass sie von Ihrem System erfüllt werden, können Sie fortfahren mit Vorbereiten von Benutzern und Gruppen für Azure Information Protection.