Требования к Azure Information Protection

Примечание.

Ищете информацию о Microsoft Purview Information Protection (прежнее название — Microsoft Information Protection, MIP)?

Надстройка Azure Information Protection отменяется и заменяется метками, встроенными в приложения и службы Microsoft 365. Дополнительные сведения о состоянии поддержки других компонентов Azure Information Protection.

Клиент Защита информации Microsoft Purview (без надстройки) общедоступен.

Перед развертыванием Azure Information Protection убедитесь, что система соответствует следующим предварительным требованиям:

Брандмауэры и сетевая инфраструктура

Если у вас есть брандмауэры или аналогичные сетевые устройства, которые настроены для разрешения определенных подключений, требования к сетевому подключению перечислены в этой статье Office: Microsoft 365 Common и Office Online.

Azure Information Protection имеет следующие дополнительные требования:

  • Клиент Microsoft Purview Informaiton Protection. Чтобы скачать метки и политики меток, разрешите следующий URL-адрес по протоколу HTTPS: *.protection.outlook.com

  • Веб-прокси. При использовании веб-прокси, требующего проверки подлинности, необходимо настроить прокси-сервер для использования интегрированных проверка подлинности Windows с учетными данными входа пользователя в Active Directory.

    Чтобы поддерживать файлы Proxy.pac при использовании прокси-сервера для получения маркера, добавьте следующий новый раздел реестра:

    • Путь: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\.
    • Ключ: UseDefaultCredentialsInProxy
    • Тип: DWORD
    • Значение: 1
  • Подключения между клиентами и службами TLS. Не прерывайте подключения tls типа "клиент — служба" (например, для проверки уровня пакета) к URL-адресу aadrm.com . Это нарушает привязку сертификата, которую клиенты RMS используют в ЦС, управляемых корпорацией Майкрософт, для защиты обмена данными со службой Azure Rights Management.

    Чтобы определить, завершается ли подключение клиента до достижения службы Azure Rights Management, используйте следующие команды PowerShell:

    $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
    $request.GetResponse()
    $request.ServicePoint.Certificate.Issuer
    

    Результат должен показать, что выдающий ЦС находится из ЦС Майкрософт, например: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US

    Если вы видите выдающееся имя ЦС, которое не входит в корпорацию Майкрософт, скорее всего, будет завершено безопасное подключение клиента к службе и требуется перенастройка в брандмауэре.

  • TLS версии 1.2 или выше (только клиент унифицированных меток). Для использования криптографически безопасных протоколов и соответствия рекомендациям по безопасности Майкрософт требуется tls версии 1.2 или более поздней.

  • Расширенная служба конфигурации Microsoft 365 (ECS). AIP должен иметь доступ к URL-адресу config.edge.skype.com , который является расширенной службой конфигурации Microsoft 365 (ECS).

    ECS предоставляет корпорации Майкрософт возможность перенастройки установок AIP без необходимости повторного развертывания AIP. Он используется для управления постепенным развертыванием функций или обновлений, а влияние развертывания отслеживается из собираемых диагностических данных.

    ECS также используется для устранения проблем с безопасностью или производительностью компонента или обновления. ECS также поддерживает изменения конфигурации, связанные с диагностическими данными, чтобы обеспечить сбор соответствующих событий.

    Ограничение URL-адреса config.edge.skype.com может повлиять на способность Корпорации Майкрософт устранять ошибки и может повлиять на возможность тестирования предварительных версий функций.

    Дополнительные сведения см. в разделе "Основные службы" для Office — развертывание Office.

  • Аудит подключения к сети URL-адреса ведения журнала. AIP должен иметь доступ к следующим URL-адресам, чтобы поддерживать журналы аудита AIP:

    • https://*.events.data.microsoft.com
    • https://*.aria.microsoft.com (Только данные устройства Android)

    Дополнительные сведения см. в разделе "Предварительные требования для отчетов AIP".

Сосуществование AD RMS с Azure RMS

Использование AD RMS и Azure RMS параллельно в той же организации для защиты содержимого одним и тем же пользователем в той же организации поддерживается только в AD RMS для HYOK (хранения собственного ключа) с помощью Azure Information Protection.

Этот сценарий не поддерживается во время миграции. Поддерживаемые пути миграции:

Совет

Если вы развернете Azure Information Protection, а затем решите, что вы больше не хотите использовать эту облачную службу, см . раздел "Отмена эксплуатации" и деактивация Azure Information Protection.

Для других сценариев, не относящихся к миграции, где обе службы активны в одной организации, обе службы должны быть настроены таким образом, чтобы только один из них позволял любому пользователю защищать содержимое. Настройте такие сценарии следующим образом:

  • Использование перенаправлений для миграции AD RMS в Azure RMS

  • Если обе службы должны быть активными для разных пользователей одновременно, используйте конфигурации на стороне службы для обеспечения эксклюзивности. Используйте элементы управления подключением Azure RMS в облачной службе и ACL на URL-адресе публикации, чтобы задать режим только для чтения для AD RMS.

Теги служб

Если вы используете конечную точку Azure и группу безопасности сети, обязательно разрешите доступ ко всем портам для следующих тегов службы:

  • AzureInformationProtection
  • AzureActiveDirectory
  • AzureFrontDoor.Frontend

Кроме того, в этом случае служба Azure Information Protection также зависит от следующих IP-адресов и портов:

  • 13.107.9.198
  • 13.107.6.198
  • 2620:1ec:4:198
  • 2620:1ec:a92::198
  • 13.107.6.181
  • 13.107.9.181
  • Порт 443 для трафика HTTPS

Обязательно создайте правила, разрешающие исходящий доступ к этим конкретным IP-адресам и через этот порт.

Поддерживаемые локальные серверы для защиты данных Azure Rights Management

Следующие локальные серверы поддерживаются в Azure Information Protection при использовании соединителя Microsoft Rights Management.

Этот соединитель выступает в качестве интерфейса связи и ретрансляции между локальными серверами и службой Azure Rights Management, которая используется Azure Information Protection для защиты документов и сообщений электронной почты Office.

Чтобы использовать этот соединитель, необходимо настроить синхронизацию каталогов между лесами Active Directory и идентификатором Microsoft Entra.

Поддерживаемые серверы включают:

Тип сервера Поддерживаемые версии
Exchange Server — Exchange Server 2019
— Exchange Server 2016
— Exchange Server 2013
Office SharePoint Server — Office SharePoint Server 2019
— Office SharePoint Server 2016
— Office SharePoint Server 2013
Файловые серверы под управлением Windows Server и использующие инфраструктуру классификации файлов (FCI) — Windows Server 2016
— Windows Server 2012 R2
— Windows Server 2012

Дополнительные сведения см. в разделе "Развертывание соединителя Microsoft Rights Management".

Поддерживаемые операционные системы для Azure Rights Management

Следующие операционные системы поддерживают службу Azure Rights Management, которая обеспечивает защиту данных для AIP:

ОС Поддерживаемые версии
Компьютеры Windows — Windows 10 (x86, x64)
— Windows 11 (x86, x64)
macOS Минимальная версия macOS 10.8 (Mountain Lion)
Телефоны и планшеты Android Минимальная версия Android 6.0
i Телефон и iPad Минимальная версия iOS 11.0
Телефоны и планшеты с Windows Windows 10 Mobile

Следующие шаги

После проверки всех требований AIP и подтверждения соответствия вашей системы перейдите к подготовке пользователей и групп для Azure Information Protection.