Az Azure Information Protection követelményei

Feljegyzés

Microsoft Purview információvédelem, korábban Microsoft Information Protection (MIP) szolgáltatást keres?

Az Office Azure Information Protection bővítménye karbantartási módban van, és 2024 áprilisában megszűnik. Ehelyett azt javasoljuk, hogy olyan címkéket használjon , amelyek beépítettek az Office 365-alkalmazásokba és -szolgáltatásokba. További információ a többi Azure Information Protection-összetevő támogatási állapotáról.

Az Azure Information Protection üzembe helyezése előtt győződjön meg arról, hogy a rendszer megfelel a következő előfeltételeknek:

Az Azure Information Protection üzembe helyezéséhez telepítenie kell az AIP-ügyfelet minden olyan gépen, ahol AIP-funkciókat szeretne használni. További információ: Az Azure Information Protection egységes címkézési ügyfél telepítése a felhasználók számára és az Azure Information Protection ügyféloldala.

Előfizetés az Azure Information Protectionhez

Azure Information Protection-csomaggal kell rendelkeznie a besoroláshoz, címkézéshez és védelemhez az Azure Information Protection scanner vagy -ügyfél használatával. További információkért lásd:

Ha a kérdésére nem ad választ, forduljon a Microsoft Fiókkezelőjéhez vagy Microsoft ügyfélszolgálata.

Microsoft Entra-azonosító

Az Azure Information Protection hitelesítésének és engedélyezésének támogatásához Microsoft Entra-azonosítóval kell rendelkeznie. A helyszíni címtárból (AD DS) származó felhasználói fiókok használatához konfigurálnia kell a címtár-integrációt is.

  • Az egyszeri bejelentkezés (SSO) az Azure Information Protection esetében támogatott, így a rendszer nem kéri a felhasználóktól a hitelesítő adataik ismételt kérését. Ha egy másik szállítói megoldást használ az összevonáshoz, kérdezze meg a szállítót, hogyan konfigurálhatja azt a Microsoft Entra-azonosítóhoz. A WS-Trust gyakori követelmény ezeknek a megoldásoknak az egyszeri bejelentkezés támogatásához.

  • A többtényezős hitelesítés (MFA) akkor támogatott az Azure Information Protectionben, ha rendelkezik a szükséges ügyfélszoftverrel, és megfelelően konfigurálta az MFA-t támogató infrastruktúrát.

A feltételes hozzáférés előzetes verzióban támogatott az Azure Information Protection által védett dokumentumok esetében. További információ: Látom, hogy az Azure Information Protection elérhető felhőalkalmazásként jelenik meg a feltételes hozzáféréshez – hogyan működik ez?

Bizonyos esetekben további előfeltételekre van szükség, például tanúsítványalapú vagy többtényezős hitelesítés használatakor, vagy ha az UPN-értékek nem felelnek meg a felhasználói e-mail-címeknek.

További információkért lásd:

Ügyféleszközök

A felhasználói számítógépeknek vagy mobileszközöknek olyan operációs rendszeren kell futniuk, amely támogatja az Azure Information Protectiont.

Támogatott operációs rendszerek ügyféleszközökhöz

A WindowsHoz készült Azure Information Protection-ügyfelek a következő operációs rendszerek támogatottak:

  • Windows 11

  • Windows 10 (x86, x64). A kézírás nem támogatott a Windows 10 RS4-buildben és újabb verziókban.

  • Windows Server 2019

  • Windows Server 2016

  • Windows Server 2012 R2 és Windows Server 2012

A Windows korábbi verzióinak támogatásával kapcsolatos részletekért forduljon Microsoft-fiókjához vagy támogatási képviselőjéhez.

Feljegyzés

Amikor az Azure Information Protection-ügyfelek az Azure Tartalomvédelmi szolgáltatások szolgáltatással védik az adatokat, az adatokat ugyanazok az eszközök használhatják fel, amelyek támogatják a Azure Tartalomvédelmi szolgáltatások szolgáltatást.

ARM64

Az ARM64 jelenleg nem támogatott.

Virtual machines (Virtuális gépek)

Ha virtuális gépekkel dolgozik, ellenőrizze, hogy a virtuális asztali megoldás szoftverszállítója további konfigurációként van-e szükség az Azure Information Protection egységes címkézésének vagy az Azure Information Protection-ügyfél futtatásához.

A Citrix-megoldások esetében például le kell tiltania a Citrix Application Programming Interface (API) horgokat az Office-hoz, az Azure Information Protection egyesített címkézési ügyfélhez vagy az Azure Information Protection-ügyfélhez.

Ezek az alkalmazások a következő fájlokat használják: winword.exe, excel.exe, outlook.exe, powerpnt.exe, msip.app.exe, msip.viewer.exe

Kiszolgálói támogatás

A fent felsorolt kiszolgálóverziók mindegyikéhez az Azure Information Protection-ügyfelek támogatottak a távoli asztali szolgáltatások esetében.

Ha törli a felhasználói profilokat, amikor az Azure Information Protection-ügyfeleket távoli asztali szolgáltatásokkal használja, ne törölje a %Appdata%\Microsoft\Protect mappát.

Emellett a Server Core és a Nano Server nem támogatott.

További követelmények ügyfélenként

Minden Azure Information Protection-ügyfélnek további követelményei vannak. Részletes információ:

Alkalmazások

Az Azure Information Protection-ügyfelek a Microsoft Word, az Excel, a PowerPoint és az Outlook használatával címkézhetik és védhetik a dokumentumokat és az e-maileket az alábbi Office-kiadások bármelyikéből:

  • Office-app, a Microsoft 365-alkalmazások támogatott verzióinak táblázatában felsorolt verziókhoz frissítési csatornán, Microsoft 365-alkalmazások vállalati verzióból vagy Microsoft 365 Vállalati prémium verzió, ha a felhasználóhoz licenc van hozzárendelve Azure Tartalomvédelmi szolgáltatások (más néven Az Office 365-höz készült Azure Information Protection)

  • nagyvállalati Microsoft 365-alkalmazások

  • Office Professional Plus 2021

  • Office Professional Plus 2019

  • Office Professional Plus 2016 – Vegye figyelembe, hogy mivel az Office 2016 nem támogatja az általános támogatást, az AIP támogatása a legjobb erőfeszítések alapján történik, és a 2016-os verzióban felfedezett problémákat nem javítjuk ki. lásd: Microsoft Office 2016

  • Office Professional Plus 2013 Service Pack 1 csomaggal

Az Office más kiadásai nem tudják megvédeni a dokumentumokat és az e-maileket a Rights Management szolgáltatással. Ezekben a kiadásokban az Azure Information Protection csak besoroláshoz támogatott, a felhasználók számára pedig nem jelennek meg a védelmet alkalmazó címkék.

A címkék az Office-dokumentum tetején megjelenő sávon jelennek meg, amely az egyesített címkézési ügyfélprogram Bizalmasság gombjáról érhető el.

  • Az 1.4-es és újabb verziójú PDF-fájlok automatikusan frissülnek az 1.5-ös verzióra, amikor az AIP-ügyfél címkézi a fájlt.

További információkért lásd az Azure Tartalomvédelmi szolgáltatások adatvédelemmel kapcsolatos alkalmazásokat.

Az Office funkciói és képességei nem támogatottak

  • A WindowsHoz készült Azure Information Protection-ügyfelek nem támogatják az Office több verzióját ugyanazon a számítógépen, és nem váltanak felhasználói fiókokat az Office-ban.

  • Az Office körlevélkészítési funkciója nem támogatott az Azure Information Protection egyik funkciójával sem.

Tűzfalak és hálózati infrastruktúra

Ha tűzfalak vagy hasonló beavatkozó hálózati eszközök vannak konfigurálva bizonyos kapcsolatok engedélyezésére, a hálózati kapcsolat követelményeit a következő Office-cikkben találja: Microsoft 365 Common és Office Online.

Az Azure Information Protection a következő további követelményekkel rendelkezik:

  • Egyesített címkézési ügyfél. Címkék és címkeszabályzatok letöltéséhez engedélyezze a következő URL-címet HTTPS-en keresztül: *.protection.outlook.com

  • Webes proxyk. Ha hitelesítést igénylő webes proxyt használ, a proxyt úgy kell konfigurálnia, hogy integrált Windows-hitelesítést használjon a felhasználó Active Directory-bejelentkezési hitelesítő adataival.

    Ha proxy.pac fájlokat szeretne támogatni, amikor proxyt használ egy jogkivonat beszerzéséhez, adja hozzá a következő új beállításkulcsot:

    • Elérési út: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\
    • Kulcs: UseDefaultCredentialsInProxy
    • Típus: DWORD
    • Érték: 1
  • TLS-ügyfél-szolgáltatás kapcsolatok. Ne szüntesse meg az ügyfél-szolgáltatás közötti TLS-kapcsolatokat( például csomagszintű vizsgálat elvégzéséhez) a aadrm.com URL-címére. Ha így tesz, azzal megszünteti a tanúsítvány rögzítését, amelyet az RMS-ügyfelek a Microsoft által kezelt hitelesítésszolgáltatókkal együtt az Azure Rights Management szolgáltatással folytatott kommunikációjuk biztosítására használnak.

    Annak megállapításához, hogy az ügyfélkapcsolat megszakadt-e, mielőtt eléri a Azure Tartalomvédelmi szolgáltatások szolgáltatást, használja a következő PowerShell-parancsokat:

    $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
    $request.GetResponse()
    $request.ServicePoint.Certificate.Issuer
    

    Az eredménynek azt kell mutatnia, hogy a kiállító hitelesítésszolgáltató microsoftos hitelesítésszolgáltatótól származik, például: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US.

    Ha olyan hitelesítésszolgáltatói nevet lát, amely nem a Microsofttól származik, akkor valószínű, hogy a biztonságos ügyfél-szolgáltatás kapcsolat megszakad, és újrakonfigurálásra van szükség a tűzfalon.

  • TLS 1.2-es vagy újabb verzió (csak egységes címkézési ügyfél). Az egységes címkézési ügyfélnek 1.2-es vagy újabb TLS-verzióra van szüksége a kriptográfiailag biztonságos protokollok használatának biztosításához és a Microsoft biztonsági irányelveihez való igazodáshoz.

  • Microsoft 365 Enhanced Configuration Service (ECS). Az AIP-nek hozzá kell férnie a config.edge.skype.com URL-címhez, amely egy Microsoft 365 Enhanced Configuration Service (ECS).

    Az ECS lehetővé teszi a Microsoft számára az AIP-telepítések újrakonfigurálását anélkül, hogy újra üzembe kellene helyeznie az AIP-t. A funkciók vagy frissítések fokozatos bevezetésének szabályozására szolgál, míg a bevezetés hatását az összegyűjtött diagnosztikai adatok figyelik.

    Az ECS szolgáltatással vagy frissítéssel kapcsolatos biztonsági vagy teljesítményproblémák enyhítésére is használható. Az ECS támogatja a diagnosztikai adatokhoz kapcsolódó konfigurációs módosításokat is, hogy biztosítsa a megfelelő események gyűjtését.

    A config.edge.skype.com URL-cím korlátozása befolyásolhatja a Microsoft azon képességét, hogy elhárítsa a hibákat, és hatással lehet az előzetes verziójú funkciók tesztelésére.

    További információt az Office alapvető szolgáltatásai – Az Office üzembe helyezése című témakörben talál.

  • Naplózási URL-hálózati kapcsolat naplózása. Az AIP-naplók támogatásához az AIP-nek hozzá kell férnie a következő URL-címekhez:

    • https://*.events.data.microsoft.com
    • https://*.aria.microsoft.com (Csak Android-eszközadatok)

    További információ: Az AIP-jelentés előfeltételei.

Az AD RMS és az Azure RMS együttes használata

Az AD RMS és az Azure RMS egymás mellett, ugyanabban a szervezetben történő védelme érdekében az ugyanabban a szervezetben lévő ugyanazon felhasználó csak az AD RMS-ben támogatja a HYOK (saját kulcs) védelmét az Azure Information Protection használatával.

Ez a forgatókönyv a migrálás során nem támogatott. A támogatott áttelepítési útvonalak a következők:

Tipp.

Ha üzembe helyezi az Azure Information Protectiont, majd úgy dönt, hogy már nem szeretné használni ezt a felhőszolgáltatást, olvassa el az Azure Information Protection leszerelését és inaktiválását ismertető szakaszt.

Más, nem migrálási forgatókönyvek esetében, ahol mindkét szolgáltatás ugyanabban a szervezetben aktív, mindkét szolgáltatást úgy kell konfigurálni, hogy csak az egyik lehetővé teszi bármely felhasználó számára a tartalom védelmét. Konfigurálja az alábbi forgatókönyveket:

  • Átirányítások használata AD RMS-hez az Azure RMS-migráláshoz

  • Ha mindkét szolgáltatásnak egyszerre kell aktívnak lennie a különböző felhasználók számára, a kizárólagosság kikényszerítéséhez használjon szolgáltatásoldali konfigurációkat. Az AD RMS írásvédett módjának beállításához használja az Azure RMS előkészítési vezérlőit a felhőszolgáltatásban, a közzétételi URL-címen pedig egy ACL-t .

Szolgáltatáscímkék

Ha Azure-végpontot és NSG-t használ, mindenképpen engedélyezze az összes port elérését a következő szolgáltatáscímkékhez:

  • AzureInformationProtection
  • AzureActiveDirectory
  • AzureFrontDoor.Frontend

Ebben az esetben az Azure Information Protection szolgáltatás a következő IP-címektől és portoktól is függ:

  • 13.107.9.198
  • 13.107.6.198
  • 2620:1ec:4::198
  • 2620:1ec:a92::198
  • 13.107.6.181
  • 13.107.9.181
  • 443-os port HTTPS-forgalomhoz

Mindenképpen hozzon létre olyan szabályokat, amelyek engedélyezik a kimenő hozzáférést ezekhez az IP-címekhez, és ezen a porton keresztül.

Támogatott helyszíni kiszolgálók Azure Tartalomvédelmi szolgáltatások adatvédelemhez

A Microsoft Rights Management-összekötő használatakor az Azure Information Protection az alábbi helyszíni kiszolgálókat támogatja.

Ez az összekötő kommunikációs felületként működik, és továbbít a helyszíni kiszolgálók és a Azure Tartalomvédelmi szolgáltatások szolgáltatás között, amelyet az Azure Information Protection az Office-dokumentumok és e-mailek védelmére használ.

Az összekötő használatához konfigurálnia kell a címtár-szinkronizálást az Active Directory-erdők és a Microsoft Entra-azonosító között.

A támogatott kiszolgálók a következők:

Server type (Kiszolgáló típusa) Támogatott verziók
Exchange Server - Exchange Server 2019
– Exchange Server 2016
– Exchange Server 2013
Office SharePoint Server – Office SharePoint Server 2019
- Office SharePoint Server 2016
– Office SharePoint Server 2013
A Windows Servert futtató és a fájlbesorolási infrastruktúrát (FCI) használó fájlkiszolgálók - Windows Server 2016
– Windows Server 2012 R2
– Windows Server 2012

További információ: A Microsoft Rights Management-összekötő üzembe helyezése.

Támogatott operációs rendszerek Azure Tartalomvédelmi szolgáltatások

Az alábbi operációs rendszerek támogatják a Azure Tartalomvédelmi szolgáltatások szolgáltatást, amely az AIP-hez nyújt adatvédelemmel:

OS Támogatott verziók
Windows rendszerű számítógépek - Windows 10 (x86, x64)
– Windows 11 (x86, x64)
macOS A macOS 10.8 (Mountain Lion) minimális verziója
Android rendszerű telefonok és táblagépek Az Android 6.0 minimális verziója
i Telefon és iPad Az iOS 11.0 minimális verziója
Windows rendszerű telefonok és táblagépek Windows 10 Mobile

További információkért lásd az Azure Tartalomvédelmi szolgáltatások adatvédelemmel kapcsolatos alkalmazásokat.

Következő lépések

Miután áttekintette az összes AIP-követelményt, és meggyőződött arról, hogy a rendszer megfelel, folytassa a felhasználók és csoportok felkészítésével az Azure Information Protectionre.