Azure 信息保护要求

小提示：您能找到这篇{Azure 信息保护要求}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的Azure 信息保护要求内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

< font-size: 16px;">适用范围：Azure信息保护、Office 365

< font-size: 16px;">相关内容：*AIP统一标记客户端和AIP经典客户端。

< font-size: 16px;">在部署Azure信息保护之前，请确保系统满足以下先决条件：

< font-size: 16px;">Azure信息保护订阅

< font-size: 16px;">Azure Active Directory

< font-size: 16px;">客户端设备

< font-size: 16px;">应用程序

< font-size: 16px;">防火墙和网络基础结构

< font-size: 16px;">Azure信息保护订阅

< font-size: 16px;">必须有以下计划之一，具体视你要使用的Azure信息保护功能而定：

< font-size: 16px;">Azure信息保护计划。需要它才可使用Azure信息保护扫描程序或客户端进行分类、标记和保护。

< font-size: 16px;">包括Azure信息保护的Office 365计划。仅进行保护所必需。

< font-size: 16px;">若要验证订阅是否包括要使用的Azure信息保护功能，请查看Azure信息保护定价中的功能列表。

< font-size: 16px;">如果你对许可有疑问，请仔细阅读许可的常见问答解答。

< font-size: 16px;">提示

< font-size: 16px;">要确定你的计划是否支持Office 365邮件加密中的新功能，以向个人电子邮件地址发送受保护的电子邮件？例如Gmail、Yahoo和Microsoft。请参阅以下资源：

< font-size: 16px;">Exchange Online服务说明

< font-size: 16px;">Microsoft 365合规性许可比较

< font-size: 16px;">Office 365教育版

< font-size: 16px;">Office 365美国政府版

< font-size: 16px;">如果你对订阅或许可有任何疑问，免费网络推广请勿在此页发布它们。相反，请查看许可的常见问答解答中是否有答案。如果问题没有得到解答，请与Microsoft客户经理或Microsoft支持部门联系。

< font-size: 16px;">Azure Active Directory

< font-size: 16px;">为了支持Azure信息保护的身份验证和授权，必须有Azure Active Directory(AD)。若要使用本地目录(AD DS)中的用户帐户，还必须配置目录集成。

< font-size: 16px;">Azure信息保护支持单一登录(SSO)，这样就不会反复提示用户输入凭据。如果使用其他供应商解决方案进行联合身份验证，请与相应供应商确认如何为它配置Azure AD。WS-Trust是这些解决方案支持单一登录所需满足的常见要求。

< font-size: 16px;">多重身份验证(MFA)可以与Azure信息保护配合使用，前提是你拥有所需的客户端软件，并正确配置了支持MFA的基础结构。

< font-size: 16px;">预览版支持按条件访问受Azure信息保护进行保护的文档。有关详情，请参阅：我看到Azure信息保护被列为可用于条件访问的云应用-工作原理是什么？

< font-size: 16px;">对于特定方案，例如在使用基于证书的身份验证或多重身份验证时、当UPN值与用户电子邮件地址不一致时，或者在使用Office 2010时，还需要满足额外的先决条件。

< font-size: 16px;">有关详细信息，请参阅：

< font-size: 16px;">Azure信息保护的其他Azure AD要求。

< font-size: 16px;">什么是Azure AD Directory？

< font-size: 16px;">将本地Active Directory域与Azure Active Directory集成。

< font-size: 16px;">客户端设备

< font-size: 16px;">用户计算机或移动设备必须在支持Azure信息保护的操作系统上运行。

< font-size: 16px;">客户端设备支持的操作系统

< font-size: 16px;">虚拟机

< font-size: 16px;">服务器支持

< font-size: 16px;">每个客户端的额外要求

< font-size: 16px;">客户端设备支持的操作系统

< font-size: 16px;">以下操作系统支持适用于Windows的Azure信息保护客户端：

< font-size: 16px;">Windows 10（x86和x64）。Windows 10 RS4内部版本及更高版本中不支持手写。

< font-size: 16px;">Windows 8.1(x86,x64)

< font-size: 16px;">Windows 8(x86,x64)

< font-size: 16px;">Windows Server 2019

< font-size: 16px;">Windows Server 2016

< font-size: 16px;">Windows Server 2012 R2和Windows Server 2012

< font-size: 16px;">若要详细了解旧版Windows中的支持，请联系Microsoft帐户或支持代表。

< font-size: 16px;">备注

< font-size: 16px;">如果Azure信息保护客户端使用Azure Rights Management服务来保护数据，那么数据可以被支持Azure Rights Management服务的相同设备使用。

< font-size: 16px;">ARM64

< font-size: 16px;">暂不支持ARM64。

< font-size: 16px;">虚拟机

< font-size: 16px;">如果使用的是虚拟机，请检查虚拟桌面解决方案的软件供应商是否作为运行Azure信息保护统一标记客户端或Azure信息保护客户端所需的额外配置。

< font-size: 16px;">例如，对于Citrix解决方案，你可能需要对Office、Azure信息保护统一标记客户端或Azure信息保护客户端禁用Citrix应用程序编程接口(API)挂钩。

< font-size: 16px;">这些应用程序分别使用以下文件：winword.exe、excel.exe、outlook.exe、powerpnt.exe、msip.app.exe、msip.viewer.exe

< font-size: 16px;">服务器支持

< font-size: 16px;">对于上面列出的每个服务器版本，Azure信息保护客户端都可以与远程桌面服务配合使用。

< font-size: 16px;">如果在将Azure信息保护客户端与远程桌面服务配合使用时删除了用户配置文件，请勿删除%Appdata%M做引流怎么样icrosoftProtect文件夹。

< font-size: 16px;">此外，不支持服务器核心和Nano Server。

< font-size: 16px;">每个客户端的额外要求

< font-size: 16px;">每个Azure信息保护客户端都有额外要求。有关详细信息，请参阅：

< font-size: 16px;">Azure信息保护统一标记客户端要求

< font-size: 16px;">Azure信息保护客户端要求

< font-size: 16px;">应用程序

< font-size: 16px;">Azure信息保护客户端可使用以下任意Office版本中的Microsoft Word、Excel、PowerPoint和Outlook对文档和电子邮件进行标记和保护：

< font-size: 16px;">Office应用，对于各更新通道中受支持的Microsoft 365应用版本表中列出的版本，从Microsoft 365商业应用版或Microsoft 365商业高级版，前提是已为用户分配了Azure Rights Management（亦称为“适用于Microsoft 365的Azure信息保护”）许可证

< font-size: 16px;">Microsoft 365企业应用版

< font-size: 16px;">Office专业增强版2019

< font-size: 16px;">Office专业增强版2016

< font-size: 16px;">Office专业增强版2013 Service Pack 1

< font-size: 16px;">Office专业增强版2010 Service Pack 2

< font-size: 16px;">Office的其他版本无法通过使用Rights Management服务保护文档和电子邮件。对于这些版本，只支持使用Azure信息保护进行分类，不会向用户显示应用保护的标签。

< font-size: 16px;">标签出现在Office文档顶部显示的某一栏中，可通过统一标记客户端中的“敏感度”按钮或传统客户端中的“保护”按钮进行访问。

< font-size: 16px;">有关详细信息，请参阅支持Azure Rights Management数据保护的应用程序和适用于Windows和Office版本的AIP（扩展支持）。

< font-size: 16px;">不支持的Office特性和功能

< font-size: 16px;">适用于Windows的Azure信息保护客户端都不支持在同一台计算机上使用Office的多个版本，也不支持在Office中切换用户帐户。

< font-size: 16px;">Office邮件合并功能无法与Azure信息保护功能配合使用。

< font-size: 16px;">防火墙和网络基础结构

< font-size: 16px;">如果你有防火墙或配置为允许特定连接的类似中间网络设备，请参阅下面这篇Office文章中列出的网络连接要求：Microsoft 365 Common和Office Online。

< font-size: 16px;">Azure信息保护有以下额外要求：

< font-size: 16px;">统一标记客户端。若要下载标签和标签策略，请允许通过HTTPS使用以下URL：*.protection.outlook.com

< font-size: 16px;">Web代理。如果使用要求进行身份验证的Web代理，必须将代理配置为将集成Windows身份验证与用户的Active Directory登录凭据配合使用。

< font-size: 16px;">要在使用代理获取令牌时支持Proxy.pac文件，请添加以下新的注册表项：

< font-size: 16px;">路径：ComputerHKEY_LOCAL_MACHINESOFTWAREWOW6432NodeMicrosoftMSIP

< font-size: 16px;">键：UseDefaultCredentialsInProxy

< font-size: 16px;">类型：DWORD

< font-size: 16px;">值：1

< font-size: 16px;">TLS客户端到服务连接。不要终止与aadrm.com URL的任何TLS客户端到服务连接（例如，为了执行数据包级别检查）。那样做会打破RMS客户端用于Microsoft托管CA的证书固定，导致无法确保其与Azure Rights Management服务的通信安全。

< font-size: 16px;">若要确定客户端连接是否在到达Azure Rights Management服务之前就终止，请使用以下PowerShell命令：

< font-size: 16px;">PowerShell

< font-size: 16px;">复制

< font-size: 16px;">$request=[System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")

< font-size: 16px;">$request.GetResponse()

< font-size: 16px;">$request.ServicePoint.Certificate.Issuer

< font-size: 16px;">结果应显示发证CA来自Microsoft CA（例如：CN=Microsoft Secure Server CA 2011,O=Microsoft Corporation,L=Redmond,S=Washington,C=US）。

< font-size: 16px;">如果发现发证CA名称不是来自Microsoft，那么很可能安全的客户端到服务连接要被终止，需要在防火墙上重新配置。

< font-size: 16px;">TLS版本1.2或更高版本（仅限统一标记客户端）。统一标记客户端需要1.2或更高版本的TLS，以确保使用加密安全协议并遵循Microsoft安全准则。

< font-size: 16px;">AD RMS和Azure RMS共存

< font-size: 16px;">仅在用于HYOK（自留密钥）保护（含Azure信息保护）的AD RMS中支持在同一组织中并行使用AD RMS和Azure RMS，以保护同一组织中的同一用户的内容。

< font-size: 16px;">迁移期间不支持此方案。支持的迁移路径包括：

< font-size: 16px;">从AD RMS迁移到Azure信息保护

< font-size: 16px;">从Azure信息保护迁移到AD RMS

< font-size: 16px;">提示

< font-size: 16px;">如果你部署Azure信息保护，然后决定不再想要使用此云服务，请参阅解除Azure信息保护授权和停用Azure信息保护。

< font-size: 16px;">对于其他非迁移方案，即两个服务在同一组织中都是活动的，必须对两个服务进行配置，以便只有一个服务允许任何给定的用户保护内容。按照以下方式配置此类方案：

< font-size: 16px;">对从AD RMS迁移到Azure RMS使用重定向

< font-size: 16px;">如果两个服务必须同时针对不同的用户处于活动状态，请使用服务端配置来强制实现排他性。使用云服务中的Azure RMS加入控件和发布URL上的ACL为AD RMS设置只读模式。

< font-size: 16px;">服务标记

< font-size: 16px;">如果使用的是Azure终结点和NSG，请务必允许访问以下服务标记的所有端口：

< font-size: 16px;">AzureInformationProtection

< font-size: 16px;">AzureActiveDirectory

< font-size: 16px;">AzureFrontDoor.Frontend

< font-size: 16px;">此外，在这种情况下，Azure信息保护服务还依赖于两个特定的IP地址：

< font-size: 16px;">13.107.6.181

< font-size: 16px;">13.107.9.181

< font-size: 16px;">端口443（对于HTTPS流量）

< font-size: 16px;">请务必创建规则来允许对这些特定IP地址进行出站访问，以及通过此端口进行访问。

< font-size: 16px;">支持Azure Rights Management数据保护的本地服务器

< font-size: 16px;">当你使用Azure Rights Management连接器时，以下本地服务器可以与Azure信息保护配合使用。

< font-size: 16px;">此连接器充当通信接口，并在本地服务器和Azure Rights Management服务之间中继，Azure信息保护使用此服务来保护Office文档和电子邮件。

< font-size: 16px;">若要使用该连接器，必须配置Active Directory林和Azure Active Directory之间的目录同步。

< font-size: 16px;">支持的服务器包括：

< font-size: 16px;">有关详细信息，请参阅部署Azure Rights Management连接器。

< font-size: 16px;">支持Azure Rights Management的操作系统

< font-size: 16px;">以下操作系统支持为AIP提供数据保护的Azure Rights Management服务：