Vereisten voor Azure Information Protection

Voordat u Azure Information Protection implementeert, moet u ervoor zorgen dat uw systeem voldoet aan de volgende vereisten:

• Firewalls en netwerkinfrastructuur

Firewalls en netwerkinfrastructuur

Als u firewalls of vergelijkbare tussenliggende netwerkapparaten hebt die zijn geconfigureerd om specifieke verbindingen toe te staan, worden de netwerkverbindingsvereisten vermeld in dit Office-artikel: Microsoft 365 Common en Office Online.

Azure Information Protection heeft de volgende aanvullende vereisten:

• Microsoft Purview Informaiton Protection-client. Als u labels en labelbeleid wilt downloaden, staat u de volgende URL toe via HTTPS: *.protection.outlook.com

• Webproxy's. Als u een webproxy gebruikt waarvoor verificatie is vereist, moet u de proxy configureren om geïntegreerde Windows-verificatie te gebruiken met de Active Directory-aanmeldingsreferenties van de gebruiker.

  Als u proxy.pac-bestanden wilt ondersteunen wanneer u een proxy gebruikt om een token te verkrijgen, voegt u de volgende nieuwe registersleutel toe:

  • Pad: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\
  • Sleutel: UseDefaultCredentialsInProxy
  • Type: DWORD
  • Waarde: 1

• TLS-client-naar-service-verbindingen. Beëindig geen TLS-client-naar-service-verbindingen, bijvoorbeeld om inspectie op pakketniveau uit te voeren, naar de aadrm.com URL. Als u die verbindingen verbreekt, wordt de certificaatkoppeling opgeheven die RMS-clients gebruiken met door Microsoft beheerde certificeringsinstanties om u te helpen de communicatie met de Azure Rights Management-service te beveiligen.

  Gebruik de volgende PowerShell-opdrachten om te bepalen of de clientverbinding wordt beëindigd voordat deze de Azure Rights Management-service bereikt:

  $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
  $request.GetResponse()
  $request.ServicePoint.Certificate.Issuer
  

  Het resultaat moet laten zien dat de verlenende CA afkomstig is van een Microsoft-CA, bijvoorbeeld: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US

  Als u een verlenende CA-naam ziet die niet afkomstig is van Microsoft, is het waarschijnlijk dat uw beveiligde client-naar-service-verbinding wordt beëindigd en dat uw firewall opnieuw moet worden geconfigureerd.

• TLS-versie 1.2 of hoger (alleen client voor geïntegreerde labels). De geïntegreerde labelclient vereist een TLS-versie van 1.2 of hoger om ervoor te zorgen dat cryptografisch beveiligde protocollen worden gebruikt en wordt afgestemd op de beveiligingsrichtlijnen van Microsoft.

• Microsoft 365 Enhanced Configuration Service (ECS). AIP moet toegang hebben tot de config.edge.skype.com-URL , een Microsoft 365 Enhanced Configuration Service (ECS).

  ECS biedt Microsoft de mogelijkheid om AIP-installaties opnieuw te configureren zonder dat u AIP opnieuw hoeft te implementeren. Het wordt gebruikt om de geleidelijke implementatie van functies of updates te beheren, terwijl de impact van de implementatie wordt gecontroleerd op diagnostische gegevens die worden verzameld.

  ECS wordt ook gebruikt om beveiligings- of prestatieproblemen met een functie of update te beperken. ECS ondersteunt ook configuratiewijzigingen met betrekking tot diagnostische gegevens om ervoor te zorgen dat de juiste gebeurtenissen worden verzameld.

  Het beperken van de config.edge.skype.com URL kan van invloed zijn op de mogelijkheid van Microsoft om fouten te beperken en kan van invloed zijn op de mogelijkheid om preview-functies te testen.

  Zie Essentiële services voor Office - Office implementeren voor meer informatie.

• Netwerkconnectiviteit van logboekregistratie controleren. AIP moet toegang hebben tot de volgende URL's om AIP-auditlogboeken te kunnen ondersteunen:

  • https://*.events.data.microsoft.com
  • https://*.aria.microsoft.com (Alleen Android-apparaatgegevens)

  Zie Vereisten voor AIP-rapportage voor meer informatie.

Co-existentie van AD RMS met Azure RMS

Het gebruik van AD RMS en Azure RMS naast elkaar, in dezelfde organisatie, om inhoud door dezelfde gebruiker in dezelfde organisatie te beveiligen, wordt alleen ondersteund in AD RMS voor HYOK-beveiliging (hold your own key) met Azure Information Protection.

Dit scenario wordt niet ondersteund tijdens de migratie. Ondersteunde migratiepaden zijn onder andere:

• Van AD RMS naar Azure Information Protection

• Van Azure Information Protection naar AD RMS

Voor andere, niet-migratiescenario's, waarbij beide services actief zijn in dezelfde organisatie, moeten beide services zodanig worden geconfigureerd dat slechts één van hen toestaat dat een bepaalde gebruiker inhoud beveiligt. Configureer dergelijke scenario's als volgt:

• Omleidingen gebruiken voor een AD RMS-migratie naar Azure RMS

• Als beide services tegelijkertijd actief moeten zijn voor verschillende gebruikers, gebruikt u configuraties aan de servicezijde om exclusiviteit af te dwingen. Gebruik de besturingselementen voor onboarding van Azure RMS in de cloudservice en een ACL op de publicatie-URL om de modus Alleen-lezen in te stellen voor AD RMS.

Servicetags

Als u een Azure-eindpunt en een NSG gebruikt, moet u toegang tot alle poorten toestaan voor de volgende servicetags:

• AzureInformationProtection
• AzureActiveDirectory
• AzureFrontDoor.Frontend

Bovendien is de Azure Information Protection-service in dit geval ook afhankelijk van de volgende IP-adressen en poort:

• 13.107.9.198
• 13.107.6.198
• 2620:1ec:4::198
• 2620:1ec:a92::198
• 13.107.6.181
• 13.107.9.181
• Poort 443 voor HTTPS-verkeer

Zorg ervoor dat u regels maakt waarmee uitgaande toegang tot deze specifieke IP-adressen en via deze poort wordt toegestaan.

Ondersteunde on-premises servers voor Azure Rights Management-gegevensbeveiliging

De volgende on-premises servers worden ondersteund met Azure Information Protection wanneer u de Microsoft Rights Management-connector gebruikt.

Deze connector fungeert als een communicatie-interface en relays tussen on-premises servers en de Azure Rights Management-service, die wordt gebruikt door Azure Information Protection om Office-documenten en e-mailberichten te beveiligen.

Als u deze connector wilt gebruiken, moet u adreslijstsynchronisatie configureren tussen uw Active Directory-forests en Microsoft Entra-id.

Ondersteunde servers zijn onder andere:

Zie De Microsoft Rights Management-connector implementeren voor meer informatie.

Ondersteunde besturingssystemen voor Azure Rights Management

De volgende besturingssystemen ondersteunen de Azure Rights Management-service, die gegevensbeveiliging biedt voor AIP:

Volgende stappen

Zodra u alle AIP-vereisten hebt gecontroleerd en hebt bevestigd dat uw systeem voldoet, gaat u verder met het voorbereiden van gebruikers en groepen voor Azure Information Protection.