Azure 信息保护要求
备注
你是否想要了解 Microsoft Purview 信息保护(以前称为 Microsoft 信息保护 (MIP))方面的信息?
适用于 Office 的 Azure 信息保护加载项现在处于维护模式,建议使用内置于 Office 365 应用和服务中的标签。 详细了解其他 Azure 信息保护组件的支持状态。
在部署 Azure 信息保护之前,请确保系统满足以下先决条件:
若要部署 Azure 信息保护,必须在要使用 AIP 功能的计算机上安装 AIP 客户端。 有关详细信息,请参阅为用户安装 Azure 信息保护统一标签客户端和 Azure 信息保护的客户端。
Azure 信息保护订阅
你必须有 Azure 信息保护计划,用于使用 Azure 信息保护扫描程序或客户端进行分类、标记和保护。 有关详细信息,请参阅:
- Microsoft 365 安全性与合规性许可指南
- 新式工作计划比较(PDF 下载)
如果问题未得到解答,请联系你的 Microsoft 帐户管理员或 Microsoft 支持部门。
Microsoft Entra ID
为了支持 Azure 信息保护的身份验证和授权,必须有 Microsoft Entra ID。 若要使用本地目录 (AD DS) 中的用户帐户,还必须配置目录集成。
Azure 信息保护支持单一登录 (SSO),以避免反复提示用户输入凭据。 如果使用另一个供应商解决方案进行联合,请与该供应商联系,了解如何为 Microsoft Entra ID 配置该方案。 WS-Trust 是这些解决方案支持单一登录所需满足的常见要求。
多重身份验证 (MFA) 可以与 Azure 信息保护配合使用,前提是你拥有所需的客户端软件,并正确配置了支持 MFA 的基础结构。
预览版支持按条件访问受 Azure 信息保护进行保护的文档。 有关详情,请参阅:我看到 Azure 信息保护被列为可用于条件访问的云应用 - 工作原理是什么?
对于特定方案(如当使用基于证书的身份验证或多重身份验证时,或当 UPN 值与用户电子邮件地址不一致时),还需要满足额外的先决条件。
有关详细信息,请参阅:
- Azure 信息保护的其他 Microsoft Entra 要求。
- 什么是 Microsoft Entra Directory?
- 将本地 Active Directory 域与 Microsoft Entra ID 集成。
客户端设备
用户计算机或移动设备必须在支持 Azure 信息保护的操作系统上运行。
客户端设备支持的操作系统
以下操作系统支持适用于 Windows 的 Azure 信息保护客户端:
Windows 11
Windows 10(x86 和 x64)。 Windows 10 RS4 版本及更高版本中不支持手写。
Windows Server 2019
Windows Server 2016
Windows Server 2012 R2 和 Windows Server 2012
若要详细了解旧版 Windows 中的支持,请联系 Microsoft 帐户或支持代表。
注意
如果 Azure 信息保护客户端使用 Azure Rights Management 服务来保护数据,那么数据可以被支持 Azure Rights Management 服务的相同设备使用。
ARM64
暂不支持 ARM64。
虚拟机
如果使用的是虚拟机,请检查虚拟桌面解决方案的软件供应商是否作为运行 Azure 信息保护统一标记客户端或 Azure 信息保护客户端所需的额外配置。
例如,对于 Citrix 解决方案,你可能需要对 Office、Azure 信息保护统一标记客户端或 Azure 信息保护客户端禁用 Citrix 应用程序编程接口 (API) 挂钩。
这些应用程序分别使用以下文件:winword.exe、excel.exe、outlook.exe、powerpnt.exe、msip.app.exe、msip.viewer.exe
服务器支持
对于上面列出的每个服务器版本,Azure 信息保护客户端都可以与远程桌面服务配合使用。
如果在远程桌面服务中使用 Azure 信息保护客户端时删除了用户配置文件,请不要删除 %Appdata%\Microsoft\Protect 文件夹。
此外,不支持 Server Core 和 Nano Server。
每个客户端的额外要求
每个 Azure 信息保护客户端都有额外要求。 有关详细信息,请参阅:
应用程序
Azure 信息保护客户端可使用以下任意 Office 版本中的 Microsoft Word、Excel、PowerPoint 和 Outlook 对文档和电子邮件进行标记和保护:
Office 应用,对于各更新通道中受支持的 Microsoft 365 应用版本表中列出的版本,从 Microsoft 365 商业应用版或 Microsoft 365 商业高级版,前提是已为用户分配了 Azure Rights Management(亦称为“适用于 Microsoft 365 的 Azure 信息保护”)许可证
Microsoft 365 企业应用版
Office 专业增强版 2021
Office 专业增强版 2019
Office 专业增强版 2016 - 请注意,由于 Office 2016 不再接受主要支持,我们将尽力而为地提供 AIP 支持,且不会针对版本 2016 中发现的问题提供任何修复。 请参阅 Microsoft Office 2016
其他版本的 Office 无法使用 Rights Management 服务来保护文档和电子邮件。 对于这些版本,只支持使用 Azure 信息保护进行分类,不会向用户显示应用保护的标签。
标签显示在 Office 文档顶部显示的某个栏中,可通过统一标记客户端中的“敏感度”按钮进行访问。
- AIP 客户端标记文件时,版本 1.4 及更低版本的 PDF 文件将自动升级到版本 1.5。
有关详细信息,请参阅支持 Azure Rights Management 数据保护的应用程序。
不支持的 Office 特性和功能
适用于 Windows 的 Azure 信息保护客户端不支持同一计算机上多个版本的 Office,也不支持在 Office 中切换用户帐户。
Office 邮件合并功能无法与 Azure 信息保护功能配合使用。
防火墙和网络基础结构
如果你有防火墙或类似的中间网络设备并且它们配置为允许特定的连接,则以下 Office文章中列出了网络连接要求:Microsoft 365 Common 和 Office Online。
Azure 信息保护有以下额外要求:
统一标记客户端。 若要下载标签和标签策略,请允许通过 HTTPS 使用以下 URL:*.partner.outlook.cn
Web 代理。 如果使用要求进行身份验证的 Web 代理,必须将代理配置为将集成 Windows 身份验证与用户的 Active Directory 登录凭据配合使用。
要在使用代理获取令牌时支持 Proxy.pac 文件,请添加以下新的注册表项:
- 路径:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\ - 键:
UseDefaultCredentialsInProxy - 类型:
- 值:
1
- 路径:
TLS 客户端到服务连接。 不要终止与 aadrm.cn URL 的任何 TLS 客户端到服务连接(例如,为了执行数据包级别检查)。 那样做会打破 RMS 客户端用于 Microsoft 托管 CA 的证书固定,导致无法确保其与 Azure Rights Management 服务的通信安全。
若要确定客户端连接是否在到达 Azure Rights Management 服务之前就终止,请使用以下 PowerShell 命令:
$request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.cn/admin/admin.svc") $request.GetResponse() $request.ServicePoint.Certificate.Issuer结果应显示发证 CA 来自 Microsoft CA(例如:
CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US)。如果看到了不是来自 Microsoft 的发证 CA 名称,则可能是你的安全客户端到服务连接被终止,并且需要在防火墙上重新配置。
TLS 版本 1.2 或更高版本(仅限统一标记客户端)。 统一标记客户端需要 1.2 或更高版本的 TLS,以确保使用加密安全协议并遵循 Microsoft 安全准则。
Microsoft 365 增强型配置服务 (ECS)。 AIP 必须有权访问 config.edge.skype.com URL,它是一项 Microsoft 365 增强型配置服务 (ECS)。
有了 ECS,你无需重新部署 AIP,Microsoft 就能重新配置 AIP 安装项。 它用于控制功能或更新的逐步推出,同时通过收集的诊断数据监视这些推出所带来的影响。
ECS 还用于缓解功能或更新方面的安全或性能问题。 ECS 还支持与诊断数据相关的配置更改,帮助确保收集适当的事件。
如果限制 config.edge.skype.com URL,可能会影响 Microsoft 缓解错误的能力以及你测试预览功能的能力。
有关详细信息,请查看 Office 的基本服务 - 部署 Office。
审核日志记录 URL 网络连接。 AIP 必须能够访问以下 URL,以便支持 AIP 审核日志:
https://*.events.data.microsoft.comhttps://*.aria.microsoft.com(仅限 Android 设备数据)
有关详细信息,请参阅 AIP 报告的先决条件。
AD RMS 和 Azure RMS 共存
仅在用于 HYOK(自留密钥)保护(含 Azure 信息保护)的 AD RMS 中支持在同一组织中并行使用 AD RMS 和 Azure RMS,以保护同一组织中的同一用户的内容。
提示
如果你部署 Azure 信息保护,然后决定不再想要使用此云服务,请参阅解除 Azure 信息保护授权和停用 Azure 信息保护。
对于其他非迁移方案,即两个服务在同一组织中都是活动的,必须对两个服务进行配置,以便只有一个服务允许任何给定的用户保护内容。 按照以下方式配置此类方案:
- 如果两个服务必须同时针对不同的用户处于活动状态,请使用服务端配置来强制实现排他性。 使用云服务中的 Azure RMS 加入控件和发布 URL 上的 ACL 为 AD RMS 设置只读模式。
服务标记
如果你在使用 Azure 终结点和 NSG,请确保允许访问以下服务标记的所有端口:
- AzureInformationProtection
- AzureActiveDirectory
- AzureFrontDoor.Frontend
此外,在这种情况下,Azure 信息保护服务还依赖于以下 IP 地址和端口:
- 13.107.9.198
- 13.107.6.198
- 2620:1ec:4::198
- 2620:1ec:a92::198
- 13.107.6.181
- 13.107.9.181
- 端口 443(对于 HTTPS 流量)
请务必创建规则来允许对这些特定 IP 地址进行出站访问,以及通过此端口进行访问。
支持 Azure Rights Management 数据保护的本地服务器
当你使用 Microsoft Rights Management 连接器时,以下本地服务器可以与 Azure 信息保护配合使用。
此连接器充当通信接口,并在本地服务器和 Azure Rights Management 服务之间中继,Azure 信息保护使用此服务来保护 Office 文档和电子邮件。
若要使用此连接器,必须在 Active Directory 林和 Microsoft Entra ID 之间配置目录同步。
支持的服务器包括:
| 服务器类型 | 支持的版本 |
|---|---|
| Exchange Server | - Exchange Server 2019 - Exchange Server 2016 - Exchange Server 2013 |
| Office SharePoint Server | - Office SharePoint Server 2019 - Office SharePoint Server 2016 - Office SharePoint Server 2013 |
| 运行 Windows Server 和使用文件分类基础结构 (FCI) 的文件服务器 | - Windows Server 2016 - Windows Server 2012 R2 - Windows Server 2012 |
有关详细信息,请参阅部署 Microsoft Rights Management 连接器。
支持 Azure Rights Management 的操作系统
以下操作系统支持为 AIP 提供数据保护的 Azure Rights Management 服务:
| OS | 支持的版本 |
|---|---|
| Windows 计算机 | - Windows 10(x86、x64) - Windows 11(x86、x64) |
| macOS | 最低版本为 macOS 10.8 (Mountain Lion) |
| Android 手机和平板电脑 | 最低版本为 Android 6.0 |
| iPhone 和 iPad | 最低版本为 iOS 11.0 |
| Windows 手机和平板电脑 | Windows 10 移动版 |
有关详细信息,请参阅支持 Azure Rights Management 数据保护的应用程序。
后续步骤
在审阅了所有的 AIP 要求并确认系统符合要求后,继续阅读准备用户和组以供 Azure 信息保护使用。