Azure 信息保護(hù)要求,azure信息保護(hù)查看器如何注銷賬號-ESG跨境

Azure 信息保護(hù)要求,azure信息保護(hù)查看器如何注銷賬號

Azure 信息保護(hù)要求

適用范圍：Azure信息保護(hù)、Office 365

相關(guān)內(nèi)容：*AIP統(tǒng)一標(biāo)記客戶端和AIP經(jīng)典客戶端。

在部署Azure信息保護(hù)之前，請確保系統(tǒng)滿足以下先決條件：

Azure信息保護(hù)訂閱

Azure Active Directory

客戶端設(shè)備

應(yīng)用程序

防火墻和網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)

Azure信息保護(hù)訂閱

必須有以下計劃之一，具體視你要使用的Azure信息保護(hù)功能而定：

Azure信息保護(hù)計劃。需要它才可使用Azure信息保護(hù)掃描程序或客戶端進(jìn)行分類、標(biāo)記和保護(hù)。

包括Azure信息保護(hù)的Office 365計劃。僅進(jìn)行保護(hù)所必需。

若要驗證訂閱是否包括要使用的Azure信息保護(hù)功能，請查看Azure信息保護(hù)定價中的功能列表。

如果你對許可有疑問，請仔細(xì)閱讀許可的常見問答解答。

提示

要確定你的計劃是否支持Office 365郵件加密中的新功能，以向個人電子郵件地址發(fā)快遞受保護(hù)的電子郵件？例如Gmail、Yahoo和Microsoft。請參閱以下資源：

Exchange Online服務(wù)說明

Microsoft 365合規(guī)性許可比較

Office 365教育版

Office 365美國政府版

如果你對訂閱或許可有任何疑問，請勿在此頁發(fā)布它們。相反，請查看許可的常見問答解答中是否有答案。如果問題沒有得到解答，請與Microsoft客戶經(jīng)理或Microsoft支持部門聯(lián)系。

Azure Active Directory

為了支持Azure信息保護(hù)的身份驗證和授權(quán)，必須有Azure Active Directory(AD)。若要使用本地目錄(AD DS)中的用戶帳戶，還必須配置目錄集成。

Azure信息保護(hù)支持單一登錄(SSO)，這樣就不會反復(fù)提示用戶輸入憑據(jù)。如果使用其他供應(yīng)商解決方案進(jìn)行聯(lián)合身份驗證，請與相應(yīng)供應(yīng)商確認(rèn)如何為它配置Azure AD。WSTrust是這些解決方案支持單一登錄所需滿足的常見要求。

多重身份驗證(MFA)可以與Azure信息保護(hù)配合使用，前提是你擁有所需的客戶端軟件，并正確配置了支持MFA的基礎(chǔ)結(jié)構(gòu)。

預(yù)覽版支持按條件訪問受Azure信息保護(hù)進(jìn)行保護(hù)的文檔。有關(guān)詳情，請參閱：我看到Azure信息保護(hù)被列為可用于條件訪問的云應(yīng)用工作原理是什么？

對于特定方案，例如在使用基于證書的身份驗證或多重身份驗證時、當(dāng)UPN值與用戶電子郵件地址不一致時，或者在使用Office 2010時，還需要滿足額外的先決條件。

有關(guān)詳細(xì)信息，請參閱：

Azure信息保護(hù)的其他Azure AD要求。

什么是Azure AD Directory？

將本地Active Directory域與Azure Active Directory集成。

客戶端設(shè)備

用戶計算機或移動設(shè)備必須在支持Azure信息保護(hù)的操作系統(tǒng)上運行。

客戶端設(shè)備支持的操作系統(tǒng)

虛擬機

服務(wù)器支持

每個客戶端的額外要求

客戶端設(shè)備支持的操作系統(tǒng)

以下操作系統(tǒng)支持適用于Windows的Azure信息保護(hù)客戶端：

Windows 10（x86和x64）。Windows 10 RS4內(nèi)部版本及更高版本中不支持手寫。

Windows 8.1(x86,x64)

Windows 8(x86,x64)

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2和Windows Server 2012

若要詳細(xì)了解舊版Windows中的支持，請聯(lián)系Microsoft帳戶或支持代表。

備注

如果Azure信息保護(hù)客戶端使用Azure Rights Management服務(wù)來保護(hù)數(shù)據(jù)，那么數(shù)據(jù)可以被支持Azure Rights Management服務(wù)的相同設(shè)備使用。

ARM64

暫不支持ARM64。

虛擬機

如果使用的是虛擬機，請檢查虛擬桌面解決方案的軟件供應(yīng)商是否作為運行Azure信息保護(hù)統(tǒng)一標(biāo)記客戶端或Azure信息保護(hù)客戶端所需的額外配置。

例如，對于Citrix解決方案，你可能需要對Office、Azure信息保護(hù)統(tǒng)一標(biāo)記客戶端或Azure信息保護(hù)客戶端禁用Citrix應(yīng)用程序編程接口(API)掛鉤。

這些應(yīng)用程序分別使用以下文件：winword.exe、excel.exe、outlook.exe、powerpnt.exe、msip.app.exe、msip.viewer.exe

服務(wù)器支持

對于上面列出的每個服務(wù)器版本，Azure信息保護(hù)客戶端都可以與遠(yuǎn)程桌面服務(wù)配合使用。

如果在將Azure信息保護(hù)客戶端與遠(yuǎn)程桌面服務(wù)配合使用時刪除了用戶配置文件，請勿刪除%Appdata%MicrosoftProtect文件夾。

此外，不支持服務(wù)器核心和Nano Server。

每個客戶端的額外要求

每個Azure信息保護(hù)客戶端都有額外要求。有關(guān)詳細(xì)信息，請參閱：

Azure信息保護(hù)統(tǒng)一標(biāo)記客戶端要求

Azure信息保護(hù)客戶端要求

應(yīng)用程序

Azure信息保護(hù)客戶端可使用以下任意Office版本中的Microsoft Word、Excel、PowerPoint和Outlook對文檔和電子郵件進(jìn)行標(biāo)記和保護(hù)：

Office應(yīng)用，對于各更新通道中受支持的Microsoft 365應(yīng)用版本表中列出的版本，從Microsoft 365商業(yè)應(yīng)用版或Microsoft 365商業(yè)高級版，前提是已為用戶分配了Azure Rights Management（亦稱為“適用于Microsoft 365的Azure信息保護(hù)”）許可證

Microsoft 365企業(yè)應(yīng)用版

Office專業(yè)增強版2019

Office專業(yè)增強版2016

Office專業(yè)增強版2013 Service Pack 1

Office專業(yè)增強版2010 Service Pack 2

Office的其他版本無法通過使用Rights Management服務(wù)保護(hù)文檔和電子郵件。對于這些版本，只支持使用Azure信息保護(hù)進(jìn)行分類，不會向用戶顯示應(yīng)用保護(hù)的標(biāo)簽。

標(biāo)簽出現(xiàn)在Office文檔頂部顯示的某一欄中，可通過統(tǒng)一標(biāo)記客戶端中的“敏感度”按鈕或傳統(tǒng)客戶端中的“保護(hù)”按鈕進(jìn)行訪問。

有關(guān)詳細(xì)信息，請參閱支持Azure Rights Management數(shù)據(jù)保護(hù)的應(yīng)用程序和適用于Windows和Office版本的AIP（擴展支持）。

不支持的Office特性和功能

適用于Windows的Azure信息保護(hù)客戶端都不支持在同一臺計算機上使用Office的多個版本，也不支持在Office中切換用戶帳戶。

Office郵件合并功能無法與Azure信息保護(hù)功能配合使用。

防火墻和網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)

如果你有防火墻或配置為允許特定連接的類似中間網(wǎng)絡(luò)設(shè)備，請參閱下面這篇Office文章中列出的網(wǎng)絡(luò)連接要求：Microsoft 365 Common和Office Online。

Azure信息保護(hù)有以下額外要求：

統(tǒng)一標(biāo)記客戶端。若要下載標(biāo)簽和標(biāo)簽策略，請允許通過HTTPS使用以下URL：*.protection.outlook.com

Web代理。如果使用要求進(jìn)行身份驗證的Web代理，必須將代理配置為將集成Windows身份驗證與用戶的Active Directory登錄憑據(jù)配合使用。

要在使用代理獲取令牌時支持Proxy.pac文件，請?zhí)砑右韵滦碌淖员眄棧?/p>

路徑：ComputerHKEYLOCALMACHINESOFTWAREWOW6432NodeMicrosoftMSIP

鍵：UseDefaultCredentialsInProxy

類型：DWORD

值：1

TLS客戶端到服務(wù)連接。不要終止與aadrm.com URL的任何TLS客戶端到服務(wù)連接（例如，為了執(zhí)行數(shù)據(jù)包級別檢查）。那樣做會打破RMS客戶端用于Microsoft托管CA的證書固定，導(dǎo)致無法確保其與Azure Rights Management服務(wù)的通信安全。

若要確定客戶端連接是否在到達(dá)Azure Rights Management服務(wù)之前就終止，請使用以下PowerShell命令：

PowerShell

復(fù)制

$request=[System.Net.HttpWebRequest]::Create(https://admin.na.aadrm.com/admin/admin.svc)

$request.GetResponse()

$request.ServicePoint.Certificate.Issuer

結(jié)果應(yīng)顯示發(fā)證CA來自Microsoft CA（例如：CN=Microsoft Secure Server CA 2011,O=Microsoft Corporation,L=Redmond,S=Washington,C=US）。

如果發(fā)現(xiàn)發(fā)證CA名稱不是來自Microsoft，那么很可能安全的客戶端到服務(wù)連接要被終止，需要在防火墻上重新配置。

TLS版本1.2或更高版本（僅限統(tǒng)一標(biāo)記客戶端）。統(tǒng)一標(biāo)記客戶端需要1.2或更高版本的TLS，以確保使用加密安全協(xié)議并遵循Microsoft安全準(zhǔn)則。

AD RMS和Azure RMS共存

僅在用于HYOK（自留密鑰）保護(hù)（含Azure信息保護(hù)）的AD RMS中支持在同一組織中并行使用AD RMS和Azure RMS，以保護(hù)同一組織中的同一用戶的內(nèi)容。

遷移期間不支持此方案。支持的遷移路徑包括：

從AD RMS遷移到Azure信息保護(hù)

從Azure信息保護(hù)遷移到AD RMS

提示

如果你部署Azure信息保護(hù)，然后決定不再想要使用此云服務(wù)，請參閱解除Azure信息保護(hù)授權(quán)和停用Azure信息保護(hù)。

對于其他非遷移方案，即兩個服務(wù)在同一組織中都是活動的，必須對兩個服務(wù)進(jìn)行配置，以便只有一個服務(wù)允許任何給定的用戶保護(hù)內(nèi)容。按照以下方式配置此類方案：

對從AD RMS遷移到Azure RMS使用重定向

如果兩個服務(wù)必須同時針對不同的用戶處于活動狀態(tài)，請使用服務(wù)端配置來強制實現(xiàn)排他性。使用云服務(wù)中的Azure RMS加入控件和發(fā)布URL上的ACL為AD RMS設(shè)置只讀模式。

服務(wù)標(biāo)記

如果使用的是Azure終結(jié)點和NSG，請務(wù)必允許訪問以下服務(wù)標(biāo)記的所有端口：

AzureInformationProtection

AzureActiveDirectory

AzureFrontDoor.Frontend

此外，在這種情況下，Azure信息保護(hù)服務(wù)還依賴于兩個特定的IP地址：

13.107.6.181

13.107.9.181

端口443（對于HTTPS流量）

請務(wù)必創(chuàng)建規(guī)則來允許對這些特定IP地址進(jìn)行出站訪問，以及通過此端口進(jìn)行訪問。

支持Azure Rights Management數(shù)據(jù)保護(hù)的本地服務(wù)器

當(dāng)你使用Azure Rights Management連接器時，以下本地服務(wù)器可以與Azure信息保護(hù)配合使用。

此連接器充當(dāng)通信接口，并在本地服務(wù)器和Azure Rights Management服務(wù)之間中繼，Azure信息保護(hù)使用此服務(wù)來保護(hù)Office文檔和電子郵件。

若要使用該連接器，必須配置Active Directory林和Azure Active Directory之間的目錄同步。

支持的服務(wù)器包括：

有關(guān)詳細(xì)信息，請參閱部署Azure Rights Management連接器。

支持Azure Rights Management的操作系統(tǒng)

以下操作系統(tǒng)支持為AIP提供數(shù)據(jù)保護(hù)的Azure Rights Management服務(wù)：

特別聲明：以上文章內(nèi)容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。