Requisiti di Azure Information Protection

Nota

Si sta cercando Microsoft Purview Information Protection, in precedenza Microsoft Information Protection (MIP)?

Il componente aggiuntivo Azure Information Protection per Office è ora in modalità di manutenzione e verrà ritirato aprile 2024. È invece consigliabile usare etichette integrate nelle app e nei servizi di Office 365. Altre informazioni sullo stato di supporto di altri componenti di Azure Information Protection.

Prima di distribuire Azure Information Protection, assicurarsi che il sistema soddisfi i prerequisiti seguenti:

Per distribuire Azure Information Protection, è necessario che il client AIP sia installato in qualsiasi computer in cui si desidera usare le funzionalità di AIP. Per altre informazioni, vedere Installare il client di etichettatura unificata di Azure Information Protection per gli utenti e il lato client di Azure Information Protection.

Sottoscrizione per Azure Information Protection

È necessario disporre di un piano di Azure Information Protection per la classificazione, l'etichettatura e la protezione usando lo scanner o il client di Azure Information Protection. Per altre informazioni, vedi:

Se la domanda non viene risposta, contattare microsoft Account Manager o supporto tecnico Microsoft.

Microsoft Entra ID

Per supportare l'autenticazione e l'autorizzazione per Azure Information Protection, è necessario disporre di un ID Microsoft Entra. Per usare gli account utente dalla directory locale (AD DS), è necessario configurare anche l'integrazione della directory.

  • L'accesso Single Sign-On (SSO) è supportato per Azure Information Protection in modo che agli utenti non vengano richieste ripetutamente le credenziali. Se si usa un'altra soluzione fornitore per la federazione, rivolgersi al fornitore per informazioni su come configurarla per Microsoft Entra ID. WS-Trust è un requisito comune per queste soluzioni per supportare l'accesso Single Sign-On.

  • L'autenticazione a più fattori (MFA) è supportata con Azure Information Protection quando si dispone del software client necessario e l'infrastruttura di supporto MFA è stata configurata correttamente.

L'accesso condizionale è supportato in anteprima per i documenti protetti da Azure Information Protection. Per altre informazioni, vedere: Azure Information Protection è elencato come app cloud disponibile per l'accesso condizionale: come funziona?

Sono necessari prerequisiti aggiuntivi per scenari specifici, ad esempio quando si usa l'autenticazione a più fattori o basata su certificati o quando i valori UPN non corrispondono agli indirizzi di posta elettronica degli utenti.

Per altre informazioni, vedi:

Dispositivi client

I computer utente o i dispositivi mobili devono essere eseguiti in un sistema operativo che supporta Azure Information Protection.

Sistemi operativi supportati per i dispositivi client

I client Azure Information Protection per Windows sono supportati nei sistemi operativi seguenti:

  • Windows 11

  • Windows 10 (x86, x64). La grafia non è supportata nella build di Windows 10 RS4 e versioni successive.

  • Windows Server 2019

  • Windows Server 2016

  • Windows Server 2012 R2 e Windows Server 2012

Per informazioni dettagliate sul supporto nelle versioni precedenti di Windows, contattare l'account Microsoft o il rappresentante del supporto tecnico.

Nota

Quando i client di Azure Information Protection proteggono i dati usando il servizio Azure Rights Management, i dati possono essere usati dagli stessi dispositivi che supportano il servizio Azure Rights Management.

ARM64

ARM64 non è attualmente supportato.

Macchine virtuali

Se si usano macchine virtuali, controllare se il fornitore del software per la soluzione desktop virtuale è necessario come configurazioni aggiuntive necessarie per l'esecuzione dell'etichettatura unificata di Azure Information Protection o del client Azure Information Protection.

Per le soluzioni Citrix, ad esempio, potrebbe essere necessario disabilitare gli hook dell'API (Citrix Application Programming Interface) per Office, il client di etichettatura unificata di Azure Information Protection o il client di Azure Information Protection.

Queste applicazioni usano rispettivamente i file seguenti: winword.exe, excel.exe, outlook.exe, powerpnt.exe, msip.app.exe, msip.viewer.exe

Supporto server

Per ognuna delle versioni del server elencate in precedenza, i client Azure Information Protection sono supportati per Servizi Desktop remoto.

Se si eliminano i profili utente quando si usano i client Azure Information Protection con Servizi Desktop remoto, non eliminare la cartella %Appdata%\Microsoft\Protect .

Inoltre, Server Core e Nano Server non sono supportati.

Requisiti aggiuntivi per client

Ogni client di Azure Information Protection ha requisiti aggiuntivi. Per informazioni dettagliate, vedere:

Applicazioni

I client di Azure Information Protection possono etichettare e proteggere documenti e messaggi di posta elettronica usando Microsoft Word, Excel, PowerPoint e Outlook da una delle seguenti edizioni di Office:

  • app Office, per le versioni elencate nella tabella delle versioni supportate per Microsoft 365 Apps per canale di aggiornamento, da Microsoft 365 Apps for Business o Microsoft 365 Business Premium, quando all'utente viene assegnata una licenza per Azure Rights Management (nota anche come Azure Information Protection per Office 365)

  • Microsoft 365 Apps for Enterprise

  • Office Professional Plus 2021

  • Office Professional Plus 2019

  • Office Professional Plus 2016 - Si noti che quando Office 2016 non è supportato, il supporto AIP verrà eseguito in base al massimo sforzo e non verranno eseguite correzioni per i problemi individuati nella versione 2016. vedere Microsoft Office 2016

  • Office Professional Plus 2013 con Service Pack 1

Altre edizioni di Office non possono proteggere documenti e messaggi di posta elettronica tramite un servizio Rights Management. Per queste edizioni, Azure Information Protection è supportato solo per la classificazione e le etichette che applicano la protezione non vengono visualizzate per gli utenti.

Le etichette vengono visualizzate in una barra visualizzata nella parte superiore del documento di Office, accessibile dal pulsante Riservatezza nel client di etichettatura unificata.

  • I file PDF versione 1.4 e versioni precedenti verranno aggiornati automaticamente alla versione 1.5 quando il client AIP etichetta il file.

Per altre informazioni, vedere Applicazioni che supportano la protezione dei dati di Azure Rights Management.

Funzionalità e funzionalità di Office non supportate

  • I client di Azure Information Protection per Windows non supportano più versioni di Office nello stesso computer o il cambio di account utente in Office.

  • La funzionalità di stampa unione di Office non è supportata con alcuna funzionalità di Azure Information Protection.

Firewall e infrastruttura di rete

Se sono presenti firewall o dispositivi di rete simili configurati per consentire connessioni specifiche, i requisiti di connettività di rete sono elencati in questo articolo di Office: Microsoft 365 Common e Office Online.

Azure Information Protection prevede i requisiti aggiuntivi seguenti:

  • Client di etichettatura unificata. Per scaricare etichette e criteri di etichetta, consentire l'URL seguente su HTTPS: *.protection.outlook.com

  • Proxy Web. Se si usa un proxy Web che richiede l'autenticazione, è necessario configurare il proxy per l'uso di autenticazione di Windows integrato con le credenziali di accesso di Active Directory dell'utente.

    Per supportare i file Proxy.pac quando si usa un proxy per acquisire un token, aggiungere la nuova chiave del Registro di sistema seguente:

    • Percorso: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\
    • Chiave: UseDefaultCredentialsInProxy
    • Tipo: DWORD
    • Valore: 1
  • Connessioni da client a servizio TLS. Non terminare alcuna connessione TLS da client a servizio, ad esempio per eseguire l'ispezione a livello di pacchetto, all'URL di aadrm.com . Se si terminano le connessione, viene interrotta l'associazione dei certificati usati dai client RMS con le autorità di certificazione gestite da Microsoft per contribuire a proteggere le comunicazioni con il servizio Azure Rights Management.

    Per determinare se la connessione client viene terminata prima che raggiunga il servizio Azure Rights Management, usare i comandi di PowerShell seguenti:

    $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
    $request.GetResponse()
    $request.ServicePoint.Certificate.Issuer
    

    Il risultato dovrebbe indicare che la CA emittente proviene da una CA Microsoft, ad esempio: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US.

    Se viene visualizzato un nome CA emittente che non proviene da Microsoft, è probabile che la connessione sicura da client a servizio venga terminata e che sia necessaria la riconfigurazione nel firewall.

  • TLS versione 1.2 o successiva (solo client di etichettatura unificata). Il client di etichettatura unificata richiede una versione TLS 1.2 o successiva per garantire l'uso di protocolli crittografici sicuri e allinearsi alle linee guida per la sicurezza Microsoft.

  • Microsoft 365 Enhanced Configuration Service (ECS). AIP deve avere accesso all'URL di config.edge.skype.com , ovvero un servizio di configurazione avanzata di Microsoft 365.

    ECS offre a Microsoft la possibilità di riconfigurare le installazioni di AIP senza dover ridistribuire AIP. Viene usato per controllare l'implementazione graduale di funzionalità o aggiornamenti, mentre l'impatto dell'implementazione viene monitorato dai dati di diagnostica raccolti.

    ECS viene usato anche per attenuare i problemi di sicurezza o prestazioni con una funzionalità o un aggiornamento. ECS supporta anche le modifiche di configurazione correlate ai dati di diagnostica, per garantire che vengano raccolti gli eventi appropriati.

    La limitazione dell'URL config.edge.skype.com può influire sulla capacità di Microsoft di attenuare gli errori e può influire sulla possibilità di testare le funzionalità di anteprima.

    Per altre informazioni, vedere Servizi essenziali per Office - Distribuire Office.

  • Connettività di rete dell'URL di registrazione di controllo. AIP deve essere in grado di accedere agli URL seguenti per supportare i log di controllo AIP:

    • https://*.events.data.microsoft.com
    • https://*.aria.microsoft.com (solo dati del dispositivo Android)

    Per altre informazioni, vedere Prerequisiti per la creazione di report AIP.

Coesistenza di AD RMS con Azure RMS

L'uso side-by-side di AD RMS e Azure RMS, nella stessa organizzazione, per proteggere il contenuto da parte dello stesso utente nella stessa organizzazione, è supportato solo in AD RMS per HYOK (con la propria chiave) con Azure Information Protection.

Questo scenario non è supportato durante la migrazione. I percorsi di migrazione supportati includono:

Suggerimento

Se si distribuisce Azure Information Protection e si decide di non usare più questo servizio cloud, vedere Rimozione delle autorizzazioni e disattivazione di Azure Information Protection.

Per altri scenari non di migrazione, in cui entrambi i servizi sono attivi nella stessa organizzazione, entrambi i servizi devono essere configurati in modo che solo uno di essi consenta a un determinato utente di proteggere il contenuto. Configurare questi scenari come segue:

  • Usare i reindirizzamenti per una migrazione di AD RMS ad Azure RMS

  • Se entrambi i servizi devono essere attivi per utenti diversi contemporaneamente, usare le configurazioni lato servizio per applicare l'esclusività. Usare i controlli di onboarding di Azure RMS nel servizio cloud e un elenco di controllo di accesso nell'URL di pubblicazione per impostare la modalità di sola lettura per AD RMS.

Tag di servizio

Se si usa un endpoint di Azure e un gruppo di sicurezza di rete, assicurarsi di consentire l'accesso a tutte le porte per i tag di servizio seguenti:

  • AzureInformationProtection
  • AzureActiveDirectory
  • AzureFrontDoor.Frontend

In questo caso, inoltre, il servizio Azure Information Protection dipende anche dagli indirizzi IP e dalla porta seguenti:

  • 13.107.9.198
  • 13.107.6.198
  • 2620:1ec:4::198
  • 2620:1ec:a92::198
  • 13.107.6.181
  • 13.107.9.181
  • Porta 443, per il traffico HTTPS

Assicurarsi di creare regole che consentano l'accesso in uscita a questi indirizzi IP specifici e tramite questa porta.

Server locali supportati per la protezione dei dati di Azure Rights Management

I server locali seguenti sono supportati con Azure Information Protection quando si usa il connettore Microsoft Rights Management.

Questo connettore funge da interfaccia di comunicazione e inoltra tra i server locali e il servizio Azure Rights Management, usato da Azure Information Protection per proteggere documenti e messaggi di posta elettronica di Office.

Per usare questo connettore, è necessario configurare la sincronizzazione della directory tra le foreste di Active Directory e l'ID Microsoft Entra.

I server supportati includono:

Tipo di server Versioni supportate
Exchange Server - Exchange Server 2019
- Exchange Server 2016
- Exchange Server 2013
Office SharePoint Server - Office SharePoint Server 2019
- Office SharePoint Server 2016
- Office SharePoint Server 2013
File server che eseguono Windows Server e usano l'infrastruttura di classificazione file - Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012

Per altre informazioni, vedere Distribuzione del connettore Microsoft Rights Management.

Sistemi operativi supportati per Azure Rights Management

I sistemi operativi seguenti supportano il servizio Azure Rights Management, che fornisce la protezione dei dati per AIP:

Sistema operativo Versioni supportate
Computer Windows - Windows 10 (x86, x64)
- Windows 11 (x86, x64)
macOS Versione minima di macOS 10.8 (Mountain Lion)
Telefoni e tablet Android Versione minima di Android 6.0
i Telefono e iPad Versione minima di iOS 11.0
Telefoni e tablet Windows Windows 10 Mobile

Per altre informazioni, vedere Applicazioni che supportano la protezione dei dati di Azure Rights Management.

Passaggi successivi

Dopo aver esaminato tutti i requisiti AIP e aver verificato che il sistema sia conforme, continuare con Preparazione di utenti e gruppi per Azure Information Protection.