Azure 信息保护要求

备注

你是否想要了解 Microsoft Purview 信息保护(以前称为 Microsoft 信息保护 (MIP))方面的信息?

Azure 信息保护加载项已停用,并已替换为 Microsoft 365 应用和服务中内置的标签。 详细了解其他 Azure 信息保护组件的支持状态

在部署 Azure 信息保护之前,请确保系统满足以下先决条件:

防火墙和网络基础结构

如果你有防火墙或类似的中间网络设备并且它们配置为允许特定的连接,则以下 Office文章中列出了网络连接要求:Microsoft 365 Common 和 Office Online

Azure 信息保护有以下额外要求:

  • Microsoft Purview 信息保护客户端。 若要下载标签和标签策略,请允许通过 HTTPS 使用以下 URL:*.partner.outlook.cn

  • Web 代理。 如果使用要求进行身份验证的 Web 代理,必须将代理配置为将集成 Windows 身份验证与用户的 Active Directory 登录凭据配合使用。

    要在使用代理获取令牌时支持 Proxy.pac 文件,请添加以下新的注册表项:

    • 路径:Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\
    • 键:UseDefaultCredentialsInProxy
    • 类型:
    • 1
  • TLS 客户端到服务连接。 不要终止与 aadrm.cn URL 的任何 TLS 客户端到服务连接(例如,为了执行数据包级别检查)。 那样做会打破 RMS 客户端用于 Microsoft 托管 CA 的证书固定,导致无法确保其与 Azure Rights Management 服务的通信安全。

    若要确定客户端连接是否在到达 Azure Rights Management 服务之前就终止,请使用以下 PowerShell 命令:

    $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.cn/admin/admin.svc")
    $request.GetResponse()
    $request.ServicePoint.Certificate.Issuer
    

    结果应显示发证 CA 来自 Microsoft CA(例如:CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US)。

    如果看到了不是来自 Microsoft 的发证 CA 名称,则可能是你的安全客户端到服务连接被终止,并且需要在防火墙上重新配置。

  • TLS 版本 1.2 或更高版本(仅限统一标记客户端)。 统一标记客户端需要 1.2 或更高版本的 TLS,以确保使用加密安全协议并遵循 Microsoft 安全准则。

  • Microsoft 365 增强型配置服务 (ECS)。 AIP 必须有权访问 config.edge.skype.com URL,它是一项 Microsoft 365 增强型配置服务 (ECS)。

    有了 ECS,你无需重新部署 AIP,Microsoft 就能重新配置 AIP 安装项。 它用于控制功能或更新的逐步推出,同时通过收集的诊断数据监视这些推出所带来的影响。

    ECS 还用于缓解功能或更新方面的安全或性能问题。 ECS 还支持与诊断数据相关的配置更改,帮助确保收集适当的事件。

    如果限制 config.edge.skype.com URL,可能会影响 Microsoft 缓解错误的能力以及你测试预览功能的能力。

    有关详细信息,请查看 Office 的基本服务 - 部署 Office

  • 审核日志记录 URL 网络连接。 AIP 必须能够访问以下 URL,以便支持 AIP 审核日志:

    • https://*.events.data.microsoft.com
    • https://*.aria.microsoft.com(仅限 Android 设备数据)

    有关详细信息,请参阅 AIP 报告的先决条件

AD RMS 和 Azure RMS 共存

仅在用于 HYOK(自留密钥)保护(含 Azure 信息保护)的 AD RMS 中支持在同一组织中并行使用 AD RMS 和 Azure RMS,以保护同一组织中的同一用户的内容。

提示

如果你部署 Azure 信息保护,然后决定不再想要使用此云服务,请参阅解除 Azure 信息保护授权和停用 Azure 信息保护

对于其他非迁移方案,即两个服务在同一组织中都是活动的,必须对两个服务进行配置,以便只有一个服务允许任何给定的用户保护内容。 按照以下方式配置此类方案:

  • 如果两个服务必须同时针对不同的用户处于活动状态,请使用服务端配置来强制实现排他性。 使用云服务中的 Azure RMS 加入控件和发布 URL 上的 ACL 为 AD RMS 设置只读模式。

服务标记

如果你在使用 Azure 终结点和 NSG,请确保允许访问以下服务标记的所有端口:

  • AzureInformationProtection
  • AzureActiveDirectory
  • AzureFrontDoor.Frontend

此外,在这种情况下,Azure 信息保护服务还依赖于以下 IP 地址和端口:

  • 13.107.9.198
  • 13.107.6.198
  • 2620:1ec:4::198
  • 2620:1ec:a92::198
  • 13.107.6.181
  • 13.107.9.181
  • 端口 443(对于 HTTPS 流量)

请务必创建规则来允许对这些特定 IP 地址进行出站访问,以及通过此端口进行访问。

支持 Azure Rights Management 数据保护的本地服务器

当你使用 Microsoft Rights Management 连接器时,以下本地服务器可以与 Azure 信息保护配合使用。

此连接器充当通信接口,并在本地服务器和 Azure Rights Management 服务之间中继,Azure 信息保护使用此服务来保护 Office 文档和电子邮件。

若要使用此连接器,必须在 Active Directory 林和 Microsoft Entra ID 之间配置目录同步。

支持的服务器包括:

服务器类型 支持的版本
Exchange Server - Exchange Server 2019
- Exchange Server 2016
- Exchange Server 2013
Office SharePoint Server - Office SharePoint Server 2019
- Office SharePoint Server 2016
- Office SharePoint Server 2013
运行 Windows Server 和使用文件分类基础结构 (FCI) 的文件服务器 - Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012

有关详细信息,请参阅部署 Microsoft Rights Management 连接器

支持 Azure Rights Management 的操作系统

以下操作系统支持为 AIP 提供数据保护的 Azure Rights Management 服务:

OS 支持的版本
Windows 计算机 - Windows 10(x86、x64)
- Windows 11(x86、x64)
macOS 最低版本为 macOS 10.8 (Mountain Lion)
Android 手机和平板电脑 最低版本为 Android 6.0
iPhone 和 iPad 最低版本为 iOS 11.0
Windows 手机和平板电脑 Windows 10 移动版

后续步骤

在审阅了所有的 AIP 要求并确认系统符合要求后,继续阅读准备用户和组以供 Azure 信息保护使用