Requisitos da Proteção de Informações do Azure

Antes de implantar a Proteção de Informações do Azure, verifique se o sistema atende aos seguintes pré-requisitos:

• Assinatura da Proteção de Informações do Azure
• Microsoft Entra ID
• Dispositivos cliente
• Aplicativos
• Firewalls e infraestrutura de rede

Para implantar a Proteção de Informações do Azure, é necessário ter o cliente AIP instalado em qualquer computador no qual você deseja usar os recursos da AIP. Para obter mais informações, consulte Instalar o cliente de rotulagem unificada da Proteção de Informações do Azure para usuários e O lado do cliente da Proteçãode Informações do Azure.

Assinatura da Proteção de Informações do Azure

É necessário um plano da Proteção de Informações do Azure para classificação, rotulagem e proteção usando o mecanismo de scanner ou o cliente da Proteção de Informações do Azure. Para saber mais, veja:

• Diretrizes de licenciamento do Microsoft 365 para conformidade e segurança
• Comparação do plano Trabalho Moderno (download PDF)

Se a sua pergunta não for respondida, contacte o Gestor de Conta Microsoft ou o Suporte Microsoft.

Microsoft Entra ID

Para dar suporte à autenticação e autorização da Proteção de Informações do Azure, é necessário ter uma ID do Microsoft Entra. Para usar contas de usuário do diretório local (AD DS), também é necessário configurar a integração de diretórios.

• O logon único (SSO) tem suporte para a Proteção de Informações do Azure para que os usuários não sejam solicitados repetidamente a fornecer suas credenciais. Se você usar uma solução de federação de outro fornecedor, verifique com esse fornecedor como configurá-la para o Microsoft Entra ID. O WS-Trust é um requisito comum para que essas soluções forneçam suporte ao logon único.

• A autenticação multifator (MFA) tem suporte com a Proteção de Informações do Azure quando você tem o software cliente necessário e configurou corretamente a infraestrutura de suporte a MFA.

O acesso condicional tem suporte em preview para documentos protegidos pela Proteção de Informações do Azure. Para obter mais informações, consulte: Vejo que a Proteção de Informações do Azure está listada como um aplicativo de nuvem disponível para acesso condicional. Como isso funciona?

São necessários pré-requisitos adicionais para cenários específicos, como o uso da autenticação baseada em certificado ou da autenticação multifator, ou quando os valores UPN não correspondem aos endereços de email do usuário.

Para saber mais, veja:

• Requisitos adicionais do Microsoft Entra para a Proteção de Informações do Azure.
• O que é o diretório do Microsoft Entra?
• Integrar domínios do Active Directory local com o Microsoft Entra ID.

Dispositivos cliente

Os computadores ou dispositivos móveis do usuário devem ser executados em um sistema operacional que dê suporte à Proteção de Informações do Azure.

• Sistemas operacionais com suporte para dispositivos cliente
• ARM64
• Máquinas virtuais
• Suporte de servidor
• Requisitos adicionais por cliente

Sistemas operacionais com suporte para dispositivos cliente

Os clientes da Proteção de Informações do Azure para Windows com suporte são os seguintes sistemas operacionais:

• Windows 11

• Windows 10 (x86, x64). O manuscrito não é suportado na compilação do Windows 10 RS4 e posterior.

• Windows Server 2019

• Windows Server 2016

• Windows Server 2012 R2 e Windows Server 2012

Para obter detalhes sobre o suporte em versões anteriores do Windows, entre em contato com seu representante da conta Microsoft ou do suporte.

ARM64

Atualmente, não há suporte para ARM64.

Máquinas virtuais

Caso esteja trabalhando com máquinas virtuais, verifique se o fornecedor de software da sua solução de área de trabalho virtual tem configurações adicionais necessárias para executar o a rotulagem unificada da Proteção de Informações do Azure ou o cliente da Proteção de Informações do Azure.

Por exemplo, para soluções da Citrix, talvez seja necessário desabilitar os ganchos da interface de programação de aplicativos (API) da Citrix para o Office, o cliente de rotulagem unificada da Proteção de Informações do Azure ou o cliente da Proteção de Informações do Azure.

Esses aplicativos usam os seguintes arquivos, respectivamente: winword.exe, excel.exe, outlook.exe, powerpnt.exe, msip.app.exe e msip.viewer.exe

Suporte de servidor

Em uma das versões de servidor listadas acima, os clientes da Proteção de Informações do Azure recebem suporte para os Serviços de Área de Trabalho Remota.

Se você excluir perfis de usuário ao usar os clientes da Proteção de Informações do Azure com os Serviços de Área de Trabalho Remota, não exclua a pasta %Appdata%\Microsoft\Protect .

Além disso, Server Core e Nano Server não são suportados.

Requisitos adicionais por cliente

Há requisitos adicionais para cada cliente da Proteção de Informações do Azure. Para obter detalhes, confira:

• Requisitos do cliente de rotulagem unificada da Proteção de Informações do Azure

• Requisitos do cliente da Proteção de Informações do Azure

Aplicativos

Os clientes da Proteção de Informações do Azure pode rotular e proteger documentos e emails usando Microsoft Word, Excel, PowerPoint e Outlook de qualquer uma das seguintes edições do Office:

• Aplicativos do Office, nas versões listadas na tabela correspondente com suporte para o Microsoft 365 Apps por canal de atualizações, do Microsoft 365 Apps para Pequenos e Médios Negócios ou do Microsoft 365 Business Premium, quando o usuário recebe uma licença do Azure Rights Management (também conhecido como Proteção de Informações do Azure para Office 365)

• Microsoft 365 Apps para Grandes Empresas

• Office Professional Plus 2021

• Office Professional Plus 2019

• Office Professional Plus 2016 - Observe que, como o Office 2016 está fora do suporte base, o suporte da AIP será feito com base no melhor esforço e não será feita nenhuma correção de problemas descobertos na versão 2016. consulte Microsoft Office 2016

Outras edições do Office não podem proteger documentos e emails usando um serviço Rights Management. Para essas edições, a Proteção de Informações do Azure tem suporte apenas para classificação, e os rótulos que aplicam proteção não são exibidos para os usuários.

Os rótulos são exibidos em uma barra exibida na parte superior do documento do Office, acessível a partir do botão Confidencialidade no cliente de rotulagem unificada.

• Os arquivos PDF da versão 1.4 e inferiores serão atualizados automaticamente para a versão 1.5 quando o cliente da AIP rotular o arquivo.

Para obter mais informações, confira Aplicativos que dão suporte à proteção de dados do Azure Rights Management.

Recursos e funcionalidades do Office sem suporte

• Os clientes da Proteção de Informações do Azure para Windows não oferecem suporte a várias versões do Office no mesmo computador ou à troca de contas de usuário no Office.

• O recurso de mala direta do Office não tem suporte com nenhum recurso da Proteção de Informações do Azure.

Firewalls e infraestrutura de rede

Caso tenha firewalls ou dispositivos de rede intervenientes similares configurados para permitir conexões específicas, consulte os requisitos de conectividade de rede listados neste artigo do Office: Microsoft 365 Common e Office Online.

A Proteção de Informações do Azure tem os seguintes requisitos adicionais:

• Cliente de rotulagem unificada. Para baixar rótulos e políticas de rótulo, permita o acesso à seguinte URL por HTTPS: *.protection.outlook.com

• Proxies da Web. Se você usar um proxy da Web que requer autenticação, você deve configurá-lo para usar a autenticação integrada do Windows com as credenciais de logon do usuário do Active Directory.

  Para fornecer suporte a arquivos Proxy.pac ao usar um proxy para adquirir um token, adicione a nova chave do Registro a seguir:

  • Caminho: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\
  • Chave: UseDefaultCredentialsInProxy
  • Tipo: DWORD
  • Valor: 1

• Conexões de cliente a serviço do TLS. Não encerre nenhuma conexão de cliente TLS para serviço, por exemplo, para executar inspeção em nível de pacote, para a URL aadrm.com. Fazer isso interrompe a anexação do certificado que os clientes RMS usam com as autoridades de certificação gerenciadas pela Microsoft para ajudar a garantir a comunicação com o serviço do Azure Rights Management.

  Para determinar se sua conexão de cliente foi encerrada antes de chegar ao serviço do Azure Rights Management, use os seguintes comandos do PowerShell:

  $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
  $request.GetResponse()
  $request.ServicePoint.Certificate.Issuer
  

  O resultado deve mostrar que a autoridade de certificação emissora é de uma autoridade de certificação da Microsoft, por exemplo: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US.

  Se você vir um nome de CA emissor que não seja da Microsoft, é provável que sua conexão segura de cliente para serviço esteja sendo encerrada e precise de reconfiguração no firewall.

• TLS versão 1.2 ou superiores (somente cliente de rotulagem unificada). O cliente de rotulagem unificada requer uma versão TLS de 1.2 ou superior para garantir o uso de protocolos seguros criptograficamente e alinhar com as diretrizes de segurança da Microsoft.

• Serviço de Configuração Aprimorado (ECS) do Microsoft 365. A AIP deve ter acesso à URL do config.edge.skype.com, que é um Serviço de Configuração Aprimorada (ECS) do Microsoft 365.

  O ECS fornece à Microsoft a capacidade de reconfigurar instalações da AIP sem a necessidade de reimplantá-la. Ele é usado para controlar o lançamento gradual de recursos ou atualizações, enquanto o impacto do lançamento é monitorado a partir dos dados de diagnóstico que estão sendo coletados.

  Também é usado para atenuar problemas de segurança ou desempenho de um recurso ou atualização. O ECS também possui suporte a alterações de configuração relacionadas a dados de diagnóstico para ajudar a garantir que os eventos apropriados sejam coletados.

  Limitar a URL de config.edge.skype.com pode afetar a capacidade da Microsoft de mitigar erros e pode afetar sua capacidade de testar versões prévias do recurso.

  Para obter mais informações, confira Serviços essenciais do Office - Implantação do Office.

• URL de conectividade de rede de log de auditoria. É necessário que a AIP consiga acessar as seguintes URLs a fim de dar suporte a logs de auditoria da AIP:

  • https://*.events.data.microsoft.com
  • https://*.aria.microsoft.com (Somente dados de dispositivo Android)

  Para obter mais informações, confira Pré-requisitos para relatórios da AIP.

Coexistência do AD RMS com o Azure RMS

O uso do AD RMS e o Azure RMS lado a lado na mesma organização para proteger o conteúdo do mesmo usuário na mesma organização, tem suporte somente no AD RMS para proteção HYOK (manter sua própria chave) com Proteção de Informações do Azure.

Não há suporte para a migração nesse cenário. Os caminhos de migração com suporte incluem:

• Do AD RMS para a Proteção de Informações do Azure

• Da Proteção de Informações do Azure para o AD RMS

Para outros cenários de não migração, em que ambos os serviços estejam ativos na mesma organização, é necessário configurar os serviços de modo que apenas um deles permita a proteção de conteúdo por um determinado usuário. Configure esses cenários da seguinte maneira:

• Use redirecionamentos para uma migração do AD RMS para o Azure RMS

• Se for necessário que ambos os serviços estejam ativos para usuários diferentes ao mesmo tempo, use configurações do lado do serviço para impor exclusividade. Use os controles de integração do Azure RMS no serviço de nuvem e uma ACL na URL de publicação para definir o AD RMS como modo Somente leitura.

Marcas de serviço

Se você estiver usando um ponto de extremidade do Azure e um NSG, certifique-se de permitir o acesso a todas as portas para as seguintes Marcas de Serviço:

• AzureInformationProtection
• AzureActiveDirectory
• AzureFrontDoor.Frontend

Além disso, nesse caso, o serviço Proteção de Informações do Azure também depende dos seguintes endereços IP e porta:

• 13.107.9.198
• 13.107.6.198
• 2620:1ec:4::198
• 2620:1ec:a92::198
• 13.107.6.181
• 13.107.9.181
• Porta 443 para tráfego HTTPS

Crie regras que permitam acesso de saída a esses endereços IP específicos e por meio dessa porta.

Servidores locais com suporte para a proteção de dados do Azure Rights Management

Os seguintes servidores locais são compatíveis com a Proteção de Informações do Azure ao usar o conector do Microsoft Rights Management.

Esse conector atua como uma interface de comunicação e faz retransmissões entre servidores locais e o serviço Azure Rights Management, usado pela Proteção de Informações do Azure para proteger documentos e emails do Office.

Para usar esse conector, é necessário configurar a sincronização de diretórios entre as florestas do Active Directory e do Microsoft Entra ID.

Os servidores compatíveis incluem:

Para obter mais informações, confira Implantacão do conector do Microsoft Rights Management.

Sistemas operacionais compatíveis com o Azure Rights Management

Os seguintes sistemas operacionais oferecem suporte ao serviço Azure Rights Management, que fornece proteção de dados para a AIP:

Para obter mais informações, confira Aplicativos que dão suporte à proteção de dados do Azure Rights Management.

Próximas etapas

Depois de revisar todos os requisitos da AIP e confirmar que seu sistema está em conformidade, continue com a Preparação de usuários e grupos para a Proteção de Informações do Azure.