Requisitos da Proteção de Informações do Azure

  • Artigo

Nota

Você está procurando por Microsoft Purview Information Protection, anteriormente Microsoft Information Protection (MIP)?

O suplemento Proteção de Informações do Azure foi retirado e substituído por rótulos incorporados aos seus aplicativos e serviços do Microsoft 365. Saiba mais sobre o status de suporte de outros componentes da Proteção de Informações do Azure.

O novo cliente Microsoft Information Protection (sem o suplemento) está atualmente em pré-visualização e agendado para disponibilidade geral.

Antes de implantar a Proteção de Informações do Azure, verifique se seu sistema atende aos seguintes pré-requisitos:

Para implantar a Proteção de Informações do Azure, você deve ter o cliente AIP instalado em qualquer máquina em que queira usar os recursos do AIP. Para obter mais informações, consulte Instalar o cliente de rotulagem unificada da Proteção de Informações do Azure para usuários e O lado do cliente da Proteção de Informações do Azure.

Subscrição da Proteção de Informações do Azure

Você deve ter um plano de Proteção de Informações do Azure para classificação, rotulagem e proteção usando o mecanismo de varredura ou cliente do Azure Information Protection. Para obter mais informações, consulte:

Se a sua pergunta não for respondida, contacte o seu Gestor de Conta Microsoft ou o Suporte da Microsoft.

Microsoft Entra ID

Para dar suporte à autenticação e autorização para a Proteção de Informações do Azure, você deve ter uma ID do Microsoft Entra. Para usar contas de usuário do diretório local (AD DS), você também deve configurar a integração de diretórios.

  • O logon único (SSO) tem suporte para a Proteção de Informações do Azure para que os usuários não sejam solicitados repetidamente a fornecer suas credenciais. Se você usar outra solução de fornecedor para federação, verifique com esse fornecedor como configurá-la para o Microsoft Entra ID. O WS-Trust é um requisito comum para que essas soluções ofereçam suporte ao logon único.

  • A autenticação multifator (MFA) tem suporte com a Proteção de Informações do Azure quando você tem o software cliente necessário e configurou corretamente a infraestrutura de suporte a MFA.

O acesso condicional é suportado na pré-visualização de documentos protegidos pela Proteção de Informações do Azure. Para obter mais informações, consulte: Vejo que a Proteção de Informações do Azure está listada como um aplicativo de nuvem disponível para acesso condicional — como isso funciona?

Pré-requisitos adicionais são necessários para cenários específicos, como ao usar autenticação baseada em certificado ou multifator, ou quando os valores UPN não correspondem aos endereços de e-mail do usuário.

Para obter mais informações, consulte:

Dispositivos de cliente

Os computadores de utilizador ou dispositivos móveis têm de ser executados num sistema operativo que suporte a Proteção de Informações do Azure.

Sistemas operativos suportados para dispositivos cliente

Os clientes do Azure Information Protection para Windows são suportados pelos seguintes sistemas operativos:

  • Windows 11

  • Windows 10 (x86, x64). A caligrafia não é suportada na compilação do Windows 10 RS4 e posterior.

  • Windows Server 2019

  • Windows Server 2016

  • Windows Server 2012 R2 e Windows Server 2012

Para obter detalhes sobre o suporte em versões anteriores do Windows, contacte a sua conta Microsoft ou representante de suporte.

Nota

Quando os clientes do Azure Information Protection protegem os dados usando o serviço Azure Rights Management, os dados podem ser consumidos pelos mesmos dispositivos que dão suporte ao serviço Azure Rights Management.

ARM64

ARM64 não é suportado atualmente.

Máquinas virtuais

Se você estiver trabalhando com máquinas virtuais, verifique se o fornecedor de software para sua solução de área de trabalho virtual como configurações adicionais necessárias para executar a rotulagem unificada da Proteção de Informações do Azure ou o cliente da Proteção de Informações do Azure.

Por exemplo, para soluções Citrix, talvez seja necessário desabilitar os ganchos da Interface de Programação de Aplicativo (API) da Citrix para o Office, o cliente de rotulagem unificada da Proteção de Informações do Azure ou o cliente da Proteção de Informações do Azure.

Esses aplicativos usam os seguintes arquivos, respectivamente: winword.exe, excel.exe, outlook.exe, powerpnt.exe, msip.app.exe msip.viewer.exe

Suporte ao servidor

Para cada uma das versões de servidor listadas acima, os clientes do Azure Information Protection têm suporte para os Serviços de Área de Trabalho Remota.

Se você excluir perfis de usuário ao usar os clientes da Proteção de Informações do Azure com os Serviços de Área de Trabalho Remota, não exclua a pasta %Appdata%\Microsoft\Protect .

Além disso, Server Core e Nano Server não são suportados.

Requisitos adicionais por cliente

Cada cliente do Azure Information Protection tem requisitos adicionais. Para obter mais detalhes, veja:

Aplicações

Os clientes da Proteção de Informações do Azure podem rotular e proteger documentos e emails usando o Microsoft Word, Excel, PowerPoint e Outlook de qualquer uma das seguintes edições do Office:

Outras edições do Office não podem proteger documentos e emails usando um serviço Rights Management. Para essas edições, a Proteção de Informações do Azure tem suporte apenas para classificação e os rótulos que aplicam proteção não são exibidos para os usuários.

As etiquetas são apresentadas numa barra apresentada na parte superior do documento do Office, acessível a partir do botão Sensibilidade no cliente de etiquetagem unificada.

  • Os arquivos PDF da versão 1.4 e inferior serão atualizados automaticamente para a versão 1.5 quando o Cliente AIP rotular o arquivo.

Para obter mais informações, consulte Aplicativos que dão suporte à proteção de dados do Azure Rights Management.

Recursos e capacidades do Office não suportados

  • Os clientes da Proteção de Informações do Azure para Windows não suportam várias versões do Office no mesmo computador nem a mudança de contas de utilizador no Office.

  • O recurso de mala direta do Office não é suportado com nenhum recurso da Proteção de Informações do Azure.

Firewalls e infraestrutura de rede

Se você tiver firewalls ou dispositivos de rede intervenientes semelhantes configurados para permitir conexões específicas, os requisitos de conectividade de rede estão listados neste artigo do Office: Microsoft 365 Common e Office Online.

A Proteção de Informações do Azure tem os seguintes requisitos adicionais:

  • Cliente de etiquetagem unificado. Para transferir etiquetas e políticas de etiquetas, permita o seguinte URL através de HTTPS: *.protection.outlook.com

  • Proxies da Web. Se você usar um proxy da Web que exija autenticação, deverá configurá-lo para usar a autenticação integrada do Windows com as credenciais de entrada do Ative Directory do usuário.

    Para oferecer suporte a arquivos Proxy.pac ao usar um proxy para adquirir um token, adicione a seguinte nova chave do Registro:

    • Caminho: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\
    • Chave: UseDefaultCredentialsInProxy
    • Tipo: DWORD
    • Valor: 1

  • Conexões TLS cliente-serviço. Não encerre nenhuma conexão cliente-a-serviço TLS, por exemplo, para executar inspeção no nível de pacote, para a URL aadrm.com . Fazê-lo irá interromper a afixação do certificado que os clientes RMS utilizam com as ACs geridas pela Microsoft para ajudar a proteger as respetivas comunicações com o serviço Azure Rights Management.

    Para determinar se a conexão do cliente será encerrada antes de chegar ao serviço Azure Rights Management, use os seguintes comandos do PowerShell:

    $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
$request.GetResponse()
$request.ServicePoint.Certificate.Issuer

    O resultado deve mostrar que a autoridade de certificação emissora é de uma autoridade de certificação da Microsoft, por exemplo: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US.

    Se vir um nome de AC emissora que não seja da Microsoft, é provável que a sua ligação segura cliente-a-serviço esteja a ser terminada e necessite de reconfiguração na firewall.

  • TLS versão 1.2 ou superior (somente cliente de rotulagem unificado). O cliente de etiquetagem unificada requer uma versão TLS de 1.2 ou superior para garantir o uso de protocolos criptograficamente seguros e alinhar com as diretrizes de segurança da Microsoft.

  • Serviço de Configuração Avançada (ECS) do Microsoft 365. O AIP deve ter acesso à URL config.edge.skype.com, que é um Microsoft 365 Enhanced Configuration Service (ECS).

    O ECS fornece à Microsoft a capacidade de reconfigurar instalações do AIP sem a necessidade de reimplantar o AIP. Ele é usado para controlar a implantação gradual de recursos ou atualizações, enquanto o impacto da distribuição é monitorado a partir dos dados de diagnóstico que estão sendo coletados.

    O ECS também é usado para mitigar problemas de segurança ou desempenho com um recurso ou atualização. O ECS também oferece suporte a alterações de configuração relacionadas a dados de diagnóstico, para ajudar a garantir que os eventos apropriados estejam sendo coletados.

    Limitar a URL config.edge.skype.com pode afetar a capacidade da Microsoft de mitigar erros e pode afetar sua capacidade de testar recursos de visualização.

    Para obter mais informações, consulte Serviços essenciais para o Office - Implantar o Office.

  • Auditar a conectividade de rede da URL de log. O AIP deve ser capaz de acessar as seguintes URLs para oferecer suporte aos logs de auditoria do AIP:

    • https://*.events.data.microsoft.com
    • https://*.aria.microsoft.com (Apenas dados do dispositivo Android)

    Para obter mais informações, consulte Pré-requisitos para relatórios AIP.

Coexistência do AD RMS com o Azure RMS

Usar o AD RMS e o Azure RMS lado a lado, na mesma organização, para proteger conteúdo do mesmo usuário na mesma organização, só é suportado no AD RMS para proteção HYOK (mantenha sua própria chave) com a Proteção de Informações do Azure.

Este cenário não é suportado durante a migração. Os caminhos de migração suportados incluem:

Gorjeta

Se você implantar a Proteção de Informações do Azure e, em seguida, decidir que não deseja mais usar esse serviço de nuvem, consulte Descomissionando e desativando a Proteção de Informações do Azure.

Para outros cenários de não migração, em que ambos os serviços estão ativos na mesma organização, ambos os serviços devem ser configurados para que apenas um deles permita que qualquer usuário proteja o conteúdo. Configure esses cenários da seguinte maneira:

  • Usar redirecionamentos para uma migração do AD RMS para o Azure RMS

  • Se ambos os serviços precisarem estar ativos para usuários diferentes ao mesmo tempo, use as configurações do lado do serviço para impor exclusividade. Use os controles de integração do Azure RMS no serviço de nuvem e uma ACL na URL de publicação para definir o modo Somente Leitura para AD RMS.

Etiquetas de Serviço

Se estiver a utilizar um ponto de extremidade do Azure e um NSG, certifique-se de que permite o acesso a todas as portas para as seguintes Etiquetas de Serviço:

  • AzureInformationProtection
  • AzureActiveDirectory
  • AzureFrontDoor.Frontend

Além disso, nesse caso, o serviço Azure Information Protection também depende dos seguintes endereços IP e porta:

  • 13.107.9.198
  • 13.107.6.198
  • 2620:1EC:4::198
  • 2620:1EC:A92::198
  • 13.107.6.181
  • 13.107.9.181
  • Porta 443, para tráfego HTTPS

Certifique-se de criar regras que permitam o acesso de saída a esses endereços IP específicos, e através desta porta.

Servidores locais suportados para proteção de dados do Azure Rights Management

Os seguintes servidores locais têm suporte com a Proteção de Informações do Azure quando você usa o conector do Microsoft Rights Management.

Esse conector atua como uma interface de comunicação e retransmite entre servidores locais e o serviço Azure Rights Management, que é usado pela Proteção de Informações do Azure para proteger documentos e emails do Office.

Para usar esse conector, você deve configurar a sincronização de diretórios entre as florestas do Ative Directory e a ID do Microsoft Entra.

Os servidores suportados incluem:

Tipo de servidor Versões suportadas
Exchange Server - Exchange Server 2019
- Exchange Server 2016
- Exchange Server 2013
Servidor do Office SharePoint - Office SharePoint Server 2019
- Office SharePoint Server 2016
- Office SharePoint Server 2013
Servidores de ficheiros que executam o Windows Server e utilizam a FCI (Infraestrutura de Classificação de Ficheiros) - Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012

Para obter mais informações, consulte Implantando o conector do Microsoft Rights Management.

Sistemas operativos suportados para o Azure Rights Management

Os seguintes sistemas operativos suportam o serviço Azure Rights Management, que fornece proteção de dados para AIP:

SO Versões suportadas
Computadores Windows - Windows 10 (x86, x64)
- Windows 11 (x86, x64)
macOS Versão mínima do macOS 10.8 (Mountain Lion)
Telefones e tablets Android Versão mínima do Android 6.0
iPhone e iPad Versão mínima do iOS 11.0
Telefones e tablets Windows Windows 10 Mobile

Para obter mais informações, consulte Aplicativos que dão suporte à proteção de dados do Azure Rights Management.

Próximos passos

Depois de analisar todos os requisitos do AIP e confirmar que seu sistema está em conformidade, continue com Preparando usuários e grupos para a Proteção de Informações do Azure.