Azure 信息保护要求,azure信息保护查看器如何注销账号Azure 信息保护要求适用范围:Azure信息保护、Office 365相关内容:*AIP统一标记客户端和AIP经典客户端。在部署Azure信息保护之前,请确保系统满足以下先决条件:Azure信息保护订阅Azure Active Directory客户端设......
适用范围:Azure信息保护、Office 365
相关内容:*AIP统一标记客户端和AIP经典客户端。
在部署Azure信息保护之前,请确保系统满足以下先决条件:
Azure信息保护订阅
Azure Active Directory
客户端设备
应用程序
防火墙和网络基础结构
Azure信息保护订阅
必须有以下计划之一,具体视你要使用的Azure信息保护功能而定:
Azure信息保护计划。需要它才可使用Azure信息保护扫描程序或客户端进行分类、标记和保护。
包括Azure信息保护的Office 365计划。仅进行保护所必需。
若要验证订阅是否包括要使用的Azure信息保护功能,请查看Azure信息保护定价中的功能列表。
如果你对许可有疑问,请仔细阅读许可的常见问答解答。
提示
要确定你的计划是否支持Office 365邮件加密中的新功能,以向个人电子邮件地址发快递受保护的电子邮件?例如Gmail、Yahoo和Microsoft。请参阅以下资源:
Exchange Online服务说明
Microsoft 365合规性许可比较
Office 365教育版
Office 365美国政府版
如果你对订阅或许可有任何疑问,请勿在此页发布它们。相反,请查看许可的常见问答解答中是否有答案。如果问题没有得到解答,请与Microsoft客户经理或Microsoft支持部门联系。
Azure Active Directory
为了支持Azure信息保护的身份验证和授权,必须有Azure Active Directory(AD)。若要使用本地目录(AD DS)中的用户帐户,还必须配置目录集成。
Azure信息保护支持单一登录(SSO),这样就不会反复提示用户输入凭据。如果使用其他供应商解决方案进行联合身份验证,请与相应供应商确认如何为它配置Azure AD。WSTrust是这些解决方案支持单一登录所需满足的常见要求。
多重身份验证(MFA)可以与Azure信息保护配合使用,前提是你拥有所需的客户端软件,并正确配置了支持MFA的基础结构。
预览版支持按条件访问受Azure信息保护进行保护的文档。有关详情,请参阅:我看到Azure信息保护被列为可用于条件访问的云应用工作原理是什么?
对于特定方案,例如在使用基于证书的身份验证或多重身份验证时、当UPN值与用户电子邮件地址不一致时,或者在使用Office 2010时,还需要满足额外的先决条件。
有关详细信息,请参阅:
Azure信息保护的其他Azure AD要求。
什么是Azure AD Directory?
将本地Active Directory域与Azure Active Directory集成。
客户端设备
用户计算机或移动设备必须在支持Azure信息保护的操作系统上运行。
客户端设备支持的操作系统
虚拟机
服务器支持
每个客户端的额外要求
客户端设备支持的操作系统
以下操作系统支持适用于Windows的Azure信息保护客户端:
Windows 10(x86和x64)。Windows 10 RS4内部版本及更高版本中不支持手写。
Windows 8.1(x86,x64)
Windows 8(x86,x64)
Windows Server 2019
Windows Server 2016
Windows Server 2012 R2和Windows Server 2012
若要详细了解旧版Windows中的支持,请联系Microsoft帐户或支持代表。
备注
如果Azure信息保护客户端使用Azure Rights Management服务来保护数据,那么数据可以被支持Azure Rights Management服务的相同设备使用。
ARM64
暂不支持ARM64。
虚拟机
如果使用的是虚拟机,请检查虚拟桌面解决方案的软件供应商是否作为运行Azure信息保护统一标记客户端或Azure信息保护客户端所需的额外配置。
例如,对于Citrix解决方案,你可能需要对Office、Azure信息保护统一标记客户端或Azure信息保护客户端禁用Citrix应用程序编程接口(API)挂钩。
这些应用程序分别使用以下文件:winword.exe、excel.exe、outlook.exe、powerpnt.exe、msip.app.exe、msip.viewer.exe
服务器支持
对于上面列出的每个服务器版本,Azure信息保护客户端都可以与远程桌面服务配合使用。
如果在将Azure信息保护客户端与远程桌面服务配合使用时删除了用户配置文件,请勿删除%Appdata%MicrosoftProtect文件夹。
此外,不支持服务器核心和Nano Server。
每个客户端的额外要求
每个Azure信息保护客户端都有额外要求。有关详细信息,请参阅:
Azure信息保护统一标记客户端要求
Azure信息保护客户端要求
应用程序
Azure信息保护客户端可使用以下任意Office版本中的Microsoft Word、Excel、PowerPoint和Outlook对文档和电子邮件进行标记和保护:
Office应用,对于各更新通道中受支持的Microsoft 365应用版本表中列出的版本,从Microsoft 365商业应用版或Microsoft 365商业高级版,前提是已为用户分配了Azure Rights Management(亦称为“适用于Microsoft 365的Azure信息保护”)许可证
Microsoft 365企业应用版
Office专业增强版2019
Office专业增强版2016
Office专业增强版2013 Service Pack 1
Office专业增强版2010 Service Pack 2
Office的其他版本无法通过使用Rights Management服务保护文档和电子邮件。对于这些版本,只支持使用Azure信息保护进行分类,不会向用户显示应用保护的标签。
标签出现在Office文档顶部显示的某一栏中,可通过统一标记客户端中的“敏感度”按钮或传统客户端中的“保护”按钮进行访问。
有关详细信息,请参阅支持Azure Rights Management数据保护的应用程序和适用于Windows和Office版本的AIP(扩展支持)。
不支持的Office特性和功能
适用于Windows的Azure信息保护客户端都不支持在同一台计算机上使用Office的多个版本,也不支持在Office中切换用户帐户。
Office邮件合并功能无法与Azure信息保护功能配合使用。
防火墙和网络基础结构
如果你有防火墙或配置为允许特定连接的类似中间网络设备,请参阅下面这篇Office文章中列出的网络连接要求:Microsoft 365 Common和Office Online。
Azure信息保护有以下额外要求:
统一标记客户端。若要下载标签和标签策略,请允许通过HTTPS使用以下URL:*.protection.outlook.com
Web代理。如果使用要求进行身份验证的Web代理,必须将代理配置为将集成Windows身份验证与用户的Active Directory登录凭据配合使用。
要在使用代理获取令牌时支持Proxy.pac文件,请添加以下新的注册表项:
路径:ComputerHKEYLOCALMACHINESOFTWAREWOW6432NodeMicrosoftMSIP
键:UseDefaultCredentialsInProxy
类型:DWORD
值:1
TLS客户端到服务连接。不要终止与aadrm.com URL的任何TLS客户端到服务连接(例如,为了执行数据包级别检查)。那样做会打破RMS客户端用于Microsoft托管CA的证书固定,导致无法确保其与Azure Rights Management服务的通信安全。
若要确定客户端连接是否在到达Azure Rights Management服务之前就终止,请使用以下PowerShell命令:
PowerShell
复制
$request=[System.Net.HttpWebRequest]::Create(https://admin.na.aadrm.com/admin/admin.svc)
$request.GetResponse()
$request.ServicePoint.Certificate.Issuer
结果应显示发证CA来自Microsoft CA(例如:CN=Microsoft Secure Server CA 2011,O=Microsoft Corporation,L=Redmond,S=Washington,C=US)。
如果发现发证CA名称不是来自Microsoft,那么很可能安全的客户端到服务连接要被终止,需要在防火墙上重新配置。
TLS版本1.2或更高版本(仅限统一标记客户端)。统一标记客户端需要1.2或更高版本的TLS,以确保使用加密安全协议并遵循Microsoft安全准则。
AD RMS和Azure RMS共存
仅在用于HYOK(自留密钥)保护(含Azure信息保护)的AD RMS中支持在同一组织中并行使用AD RMS和Azure RMS,以保护同一组织中的同一用户的内容。
迁移期间不支持此方案。支持的迁移路径包括:
从AD RMS迁移到Azure信息保护
从Azure信息保护迁移到AD RMS
提示
如果你部署Azure信息保护,然后决定不再想要使用此云服务,请参阅解除Azure信息保护授权和停用Azure信息保护。
对于其他非迁移方案,即两个服务在同一组织中都是活动的,必须对两个服务进行配置,以便只有一个服务允许任何给定的用户保护内容。按照以下方式配置此类方案:
对从AD RMS迁移到Azure RMS使用重定向
如果两个服务必须同时针对不同的用户处于活动状态,请使用服务端配置来强制实现排他性。使用云服务中的Azure RMS加入控件和发布URL上的ACL为AD RMS设置只读模式。
服务标记
如果使用的是Azure终结点和NSG,请务必允许访问以下服务标记的所有端口:
AzureInformationProtection
AzureActiveDirectory
AzureFrontDoor.Frontend
此外,在这种情况下,Azure信息保护服务还依赖于两个特定的IP地址:
13.107.6.181
13.107.9.181
端口443(对于HTTPS流量)
请务必创建规则来允许对这些特定IP地址进行出站访问,以及通过此端口进行访问。
支持Azure Rights Management数据保护的本地服务器
当你使用Azure Rights Management连接器时,以下本地服务器可以与Azure信息保护配合使用。
此连接器充当通信接口,并在本地服务器和Azure Rights Management服务之间中继,Azure信息保护使用此服务来保护Office文档和电子邮件。
若要使用该连接器,必须配置Active Directory林和Azure Active Directory之间的目录同步。
支持的服务器包括:
有关详细信息,请参阅部署Azure Rights Management连接器。
支持Azure Rights Management的操作系统
以下操作系统支持为AIP提供数据保护的Azure Rights Management服务:
特别声明:以上文章内容仅代表作者本人观点,不代表ESG跨境电商观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与ESG跨境电商联系。
二维码加载中...
使用微信扫一扫登录
使用账号密码登录
平台顾问
微信扫一扫
马上联系在线顾问
小程序
ESG跨境小程序
手机入驻更便捷
返回顶部