Krav för Azure Information Protection
Kommentar
Letar du efter Microsoft Purview Information Protection, tidigare Microsoft Information Protection (MIP)?
Azure Information Protection-tillägget dras tillbaka och ersätts med etiketter som är inbyggda i dina Microsoft 365-appar och -tjänster. Läs mer om supportstatus för andra Azure Information Protection-komponenter.
Den nya Microsoft Information Protection-klienten (utan tillägget) är för närvarande i förhandsversion och schemalagd för allmän tillgänglighet.
Kontrollera att systemet uppfyller följande krav innan du distribuerar Azure Information Protection:
- Prenumeration för Azure Information Protection
- Microsoft Entra ID
- Klientenheter
- Appar
- Brandväggar och nätverksinfrastruktur
Om du vill distribuera Azure Information Protection måste du ha AIP-klienten installerad på alla datorer där du vill använda AIP-funktioner. Mer information finns i Installera Azure Information Protection-klienten för enhetlig etikettering för användare och Klientsidan för Azure Information Protection.
Prenumeration för Azure Information Protection
Du måste ha en Azure Information Protection-plan för klassificering, etikettering och skydd med hjälp av Azure Information Protection-skannern eller klienten. Mer information finns i:
- Microsoft 365-licensieringsvägledning för säkerhet och efterlevnad
- Jämförelse av modern arbetsplan (PDF-nedladdning)
Om din fråga inte besvaras där kontaktar du Microsoft Account Manager eller Microsoft Support.
Microsoft Entra ID
För att stödja autentisering och auktorisering för Azure Information Protection måste du ha ett Microsoft Entra-ID. Om du vill använda användarkonton från din lokala katalog (AD DS) måste du även konfigurera katalogintegrering.
Enkel inloggning (SSO) stöds för Azure Information Protection så att användarna inte uppmanas att ange sina autentiseringsuppgifter upprepade gånger. Om du använder en annan leverantörslösning för federation kontrollerar du med leverantören hur du konfigurerar den för Microsoft Entra-ID. WS-Trust är ett vanligt krav för att dessa lösningar ska stödja enkel inloggning.
Multifaktorautentisering (MFA) stöds med Azure Information Protection när du har den klientprogramvara som krävs och har konfigurerat den MFA-stödda infrastrukturen korrekt.
Villkorlig åtkomst stöds i förhandsversionen för dokument som skyddas av Azure Information Protection. Mer information finns i: Jag ser att Azure Information Protection visas som en tillgänglig molnapp för villkorlig åtkomst – hur fungerar detta?
Ytterligare krav krävs för specifika scenarier, till exempel när du använder certifikatbaserad eller multifaktorautentisering eller när UPN-värden inte matchar användarens e-postadresser.
Mer information finns i:
- Ytterligare Microsoft Entra-krav för Azure Information Protection.
- Vad är Microsoft Entra Directory?
- Integrera lokal Active Directory domäner med Microsoft Entra-ID.
Klientenheter
Användardatorer eller mobila enheter måste köras på ett operativsystem som stöder Azure Information Protection.
- Operativsystem som stöds för klientenheter
- ARM64
- Virtuella datorer
- Serverstöd
- Ytterligare krav per klient
Operativsystem som stöds för klientenheter
Azure Information Protection-klienterna för Windows stöds är följande operativsystem:
Windows 11
Windows 10 (x86, x64). Handskrift stöds inte i Windows 10 RS4-versionen och senare.
Windows Server 2019
Windows Server 2016
Windows Server 2012 R2 och Windows Server 2012
Mer information om support i tidigare versioner av Windows finns i ditt Microsoft-konto eller supportrepresentant.
Kommentar
När Azure Information Protection-klienterna skyddar data med hjälp av Azure Rights Management-tjänsten kan data användas av samma enheter som stöder Azure Rights Management-tjänsten.
ARM64
ARM64 stöds inte för närvarande.
Virtuella datorer
Om du arbetar med virtuella datorer kontrollerar du om programvaruleverantören för den virtuella skrivbordslösningen är ytterligare konfigurationer som krävs för att köra den enhetliga etiketteringen för Azure Information Protection eller Azure Information Protection-klienten.
För Citrix-lösningar kan du till exempel behöva inaktivera Citrix API-krokar (Application Programming Interface) för Office, Azure Information Protection-klienten för enhetlig etikettering eller Azure Information Protection-klienten.
Dessa program använder följande filer: winword.exe, excel.exe, outlook.exe, powerpnt.exe, msip.app.exe, msip.viewer.exe
Serverstöd
För var och en av de serverversioner som anges ovan stöds Azure Information Protection-klienter för Fjärrskrivbordstjänster.
Om du tar bort användarprofiler när du använder Azure Information Protection-klienterna med Fjärrskrivbordstjänster ska du inte ta bort mappen %Appdata%\Microsoft\Protect .
Dessutom stöds inte Server Core och Nano Server.
Ytterligare krav per klient
Varje Azure Information Protection-klient har ytterligare krav. Mer information finns i:
Appar
Azure Information Protection-klienterna kan märka och skydda dokument och e-postmeddelanden med hjälp av Microsoft Word, Excel, PowerPoint och Outlook från någon av följande Office-utgåvor:
Office-appen för de versioner som anges i tabellen med versioner som stöds för Microsoft 365-applikationer efter uppdateringskanal, från Microsoft 365-applikationer för företag eller Microsoft 365 Business Premium, när användaren har tilldelats en licens för Azure Rights Management (även kallat Azure Information Protection för Office 365)
Microsoft 365-applikationer för företag
Office Professional Plus 2021
Office Professional Plus 2019
Office Professional Plus 2016 – Observera att eftersom Office 2016 inte har mainstream-support kommer AIP-supporten att utföras på grundval av bästa möjliga arbete och inga korrigeringar kommer att göras för problem som upptäckts i version 2016. se Microsoft Office 2016
Andra utgåvor av Office kan inte skydda dokument och e-postmeddelanden med hjälp av en Rights Management-tjänst. För dessa utgåvor stöds Azure Information Protection endast för klassificering och etiketter som tillämpar skydd visas inte för användare.
Etiketter visas i ett fält som visas överst i Office-dokumentet, som är tillgängligt från knappen Känslighet i klienten för enhetlig etikettering.
- PDF-filer som är version 1.4 och lägre uppgraderas automatiskt till version 1.5 när AIP-klienten etiketterar filen.
Mer information finns i Program som stöder Azure Rights Management-dataskydd.
Office-funktioner stöds inte
Azure Information Protection-klienterna för Windows stöder inte flera versioner av Office på samma dator eller växlar användarkonton i Office.
Funktionen koppla Office-dokument stöds inte med någon Azure Information Protection-funktion.
Brandväggar och nätverksinfrastruktur
Om du har brandväggar eller liknande mellanliggande nätverksenheter som är konfigurerade för att tillåta specifika anslutningar visas kraven på nätverksanslutning i den här Office-artikeln: Microsoft 365 Common och Office Online.
Azure Information Protection har följande ytterligare krav:
Enhetlig etiketteringsklient. Om du vill ladda ned etiketter och etikettprinciper tillåter du följande URL via HTTPS: *.protection.outlook.com
Webbproxy. Om du använder en webbproxy som kräver autentisering måste du konfigurera proxyn så att den använder integrerad Windows-autentisering med användarens autentiseringsuppgifter för Active Directory-inloggning.
Lägg till följande nya registernyckel för att stödja Proxy.pac-filer när du använder en proxy för att hämta en token:
- Sökväg:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\ - Nyckel:
UseDefaultCredentialsInProxy - Typ:
DWORD - Värde:
1
- Sökväg:
TLS-klient-till-tjänst-anslutningar. Avsluta inte några TLS-klient-till-tjänst-anslutningar, till exempel för att utföra inspektion på paketnivå, till aadrm.com URL. Då bryts certifikatkopplingen som RMS-klienterna använder med Microsoft-hanterade certifikatutfärdare för att hjälpa till att säkra kommunikationen med Azure Rights Management-tjänsten.
Om du vill ta reda på om klientanslutningen avslutas innan den når Azure Rights Management-tjänsten använder du följande PowerShell-kommandon:
$request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc") $request.GetResponse() $request.ServicePoint.Certificate.IssuerResultatet bör visa att den utfärdande certifikatutfärdare kommer från en Microsoft CA, till exempel:
CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US.Om du ser ett utfärdande CA-namn som inte kommer från Microsoft är det troligt att din säkra klient-till-tjänst-anslutning avslutas och behöver konfigureras om i brandväggen.
TLS version 1.2 eller senare (endast enhetlig etiketteringsklient). Den enhetliga etiketteringsklienten kräver en TLS-version av 1.2 eller senare för att säkerställa användningen av kryptografiskt säkra protokoll och följa Microsofts säkerhetsriktlinjer.
Microsoft 365 Enhanced Configuration Service (ECS). AIP måste ha åtkomst till config.edge.skype.com-URL:en, som är en Microsoft 365 Enhanced Configuration Service (ECS).
ECS ger Microsoft möjlighet att konfigurera om AIP-installationer utan att du behöver distribuera om AIP. Den används för att styra den gradvisa distributionen av funktioner eller uppdateringar, medan effekten av distributionen övervakas från diagnostikdata som samlas in.
ECS används också för att minska säkerhets- eller prestandaproblem med en funktion eller uppdatering. ECS stöder även konfigurationsändringar relaterade till diagnostikdata för att säkerställa att lämpliga händelser samlas in.
Att begränsa config.edge.skype.com URL kan påverka Microsofts möjlighet att åtgärda fel och kan påverka din möjlighet att testa förhandsversionsfunktioner.
Mer information finns i Viktiga tjänster för Office – Distribuera Office.
Granska url-nätverksanslutning för granskningsloggning. AIP måste kunna komma åt följande URL:er för att kunna stödja AIP-granskningsloggar:
https://*.events.data.microsoft.comhttps://*.aria.microsoft.com(Endast Android-enhetsdata)
Mer information finns i Krav för AIP-rapportering.
Samexistens för AD RMS med Azure RMS
Användning av AD RMS och Azure RMS sida vid sida, i samma organisation, för att skydda innehåll av samma användare i samma organisation, stöds endast i AD RMS för HYOK-skydd (håll din egen nyckel) med Azure Information Protection.
Det här scenariot stöds inte under migreringen. Migreringsvägar som stöds är:
Dricks
Om du distribuerar Azure Information Protection och sedan bestämmer dig för att du inte längre vill använda den här molntjänsten läser du Inaktivera och inaktivera Azure Information Protection.
För andra scenarier som inte är migrering, där båda tjänsterna är aktiva i samma organisation, måste båda tjänsterna konfigureras så att endast en av dem tillåter att en viss användare skyddar innehåll. Konfigurera sådana scenarier på följande sätt:
Använda omdirigeringar för en AD RMS till Azure RMS-migrering
Om båda tjänsterna måste vara aktiva för olika användare samtidigt använder du konfigurationer på tjänstsidan för att framtvinga exklusivitet. Använd Azure RMS-registreringskontrollerna i molntjänsten och en ACL på publicerings-URL:en för att ange skrivskyddat läge för AD RMS.
Tjänsttaggar
Om du använder en Azure-slutpunkt och en NSG måste du tillåta åtkomst till alla portar för följande tjänsttaggar:
- AzureInformationProtection
- AzureActiveDirectory
- AzureFrontDoor.Frontend
I det här fallet är Azure Information Protection-tjänsten dessutom beroende av följande IP-adresser och port:
- 13.107.9.198
- 13.107.6.198
- 2620:1ec:4::198
- 2620:1ec:a92::198
- 13.107.6.181
- 13.107.9.181
- Port 443 för HTTPS-trafik
Se till att skapa regler som tillåter utgående åtkomst till dessa specifika IP-adresser och via den här porten.
Lokala servrar som stöds för Azure Rights Management-dataskydd
Följande lokala servrar stöds med Azure Information Protection när du använder Microsoft Rights Management-anslutningsappen.
Den här anslutningsappen fungerar som ett kommunikationsgränssnitt och vidarebefordrar mellan lokala servrar och Azure Rights Management-tjänsten, som används av Azure Information Protection för att skydda Office-dokument och e-postmeddelanden.
Om du vill använda den här anslutningsappen måste du konfigurera katalogsynkronisering mellan dina Active Directory-skogar och Microsoft Entra-ID.
Servrar som stöds är:
| Servertyp | Versioner som stöds |
|---|---|
| Exchange Server | – Exchange Server 2019 – Exchange Server 2016 – Exchange Server 2013 |
| Office SharePoint Server | – Office SharePoint Server 2019 – Office SharePoint Server 2016 – Office SharePoint Server 2013 |
| Filservrar som kör Windows Server och använder FCI (File Classification Infrastructure) | – Windows Server 2016 – Windows Server 2012 R2 – Windows Server 2012 |
Mer information finns i Distribuera Microsoft Rights Management-anslutningsappen.
Operativsystem som stöds för Azure Rights Management
Följande operativsystem stöder Azure Rights Management-tjänsten, som tillhandahåller dataskydd för AIP:
| OS | Versioner som stöds |
|---|---|
| Windows-datorer | – Windows 10 (x86, x64) – Windows 11 (x86, x64) |
| macOS | Lägsta version av macOS 10.8 (Mountain Lion) |
| Android-telefoner och surfplattor | Lägsta version av Android 6.0 |
| i Telefon och iPad | Lägsta version av iOS 11.0 |
| Windows-telefoner och surfplattor | Windows 10 Mobil |
Mer information finns i Program som stöder Azure Rights Management-dataskydd.
Nästa steg
När du har granskat alla AIP-krav och bekräftat att systemet uppfyller kraven fortsätter du med Förbereda användare och grupper för Azure Information Protection.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för