Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Прежде чем приступить к шифрованию элементов с помощью службы Azure Rights Management из Защита информации Microsoft Purview, убедитесь, что выполнены все требования.
Брандмауэры и сетевая инфраструктура
Если у вас есть брандмауэры или аналогичные промежуточные сетевые устройства, настроенные для разрешения определенных подключений, требования к сетевому подключению перечислены в следующей статье Microsoft 365: Microsoft 365 Common и Office Online.
К службе Azure Rights Management предъявляют следующие дополнительные требования:
Если вы используете клиент Защита информации Microsoft Purview. Чтобы скачать метки конфиденциальности и политики меток, разрешите следующий URL-адрес по протоколу HTTPS: *.protection.outlook.com
Если вы используете веб-прокси. Если веб-прокси требует проверки подлинности, необходимо настроить прокси-сервер для использования интегрированных проверка подлинности Windows с учетными данными для входа пользователя в Active Directory.
Чтобы поддерживать файлы Proxy.pac при использовании прокси-сервера для получения маркера, добавьте следующий новый раздел реестра:
-
Путь:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\ -
Раздел:
UseDefaultCredentialsInProxy -
Тип:
DWORD -
Значение:
1
-
Путь:
Подключения клиента к службе TLS. Не прерывайте подключения клиента к службе TLS, например для проверки на уровне пакета, к URL-адресу aadrm.com . Это нарушает закрепление сертификатов, которое клиенты для службы Azure Rights Management используют с центрами сертификации, управляемыми Корпорацией Майкрософт, для защиты их взаимодействия со службой Azure Rights Management.
Чтобы определить, завершено ли клиентское подключение до того, как оно достигнет службы Azure Rights Management, используйте следующие команды PowerShell:
$request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc") $request.GetResponse() $request.ServicePoint.Certificate.IssuerРезультат должен показать, что выдающий ЦС является центром сертификации Майкрософт, например:
CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US.Если вы видите имя выдающего ЦС, которое не от корпорации Майкрософт, скорее всего, безопасное подключение клиента к службе прервано и требуется перенастройка в брандмауэре.
Расширенная служба конфигурации Microsoft 365 (ECS). Служба Azure Rights Management должна иметь доступ к URL-адресу config.edge.skype.com, который является расширенной службой конфигурации Microsoft 365 (ECS).
ECS предоставляет корпорации Майкрософт возможность перенастроить службу Azure Rights Management при необходимости. Например, ECS используется для управления постепенным развертыванием функций или обновлений, а влияние развертывания отслеживается из собираемых диагностических данных.
ECS также используется для устранения проблем с безопасностью или производительностью при использовании функции или обновления. ECS также поддерживает изменения конфигурации, связанные с диагностическими данными, чтобы обеспечить сбор соответствующих событий.
Ограничение config.edge.skype.com URL-адреса может повлиять на способность корпорации Майкрософт устранять ошибки и влиять на возможность тестирования предварительных версий функций.
Дополнительные сведения см. в статье Основные службы для Office.
Аудит сетевого подключения к URL-адресу ведения журнала. Служба Azure Rights Management должна иметь доступ к следующим URL-адресам для поддержки журналов аудита:
https://*.events.data.microsoft.com-
https://*.aria.microsoft.com(только данные устройства Android)
Сосуществование со службами Active Directory Rights Management Services (AD RMS)
Использование локальной версии служб Active Directory Rights Management Services (AD RMS) и службы Azure Rights Management параллельно в одной организации для шифрования содержимого одним и тем же пользователем в той же организации не поддерживается в AD RMS, если вы не используете конфигурацию HYOK (хранение собственного ключа) для корневого ключа шифрования AD RMS.
Этот сценарий не поддерживается для миграции в службу Azure Rights Management. Поддерживаемые пути миграции:
В других сценариях, не относящихся к миграции, когда обе службы активны в одной организации, обе службы должны быть настроены таким образом, чтобы только одна из них позволяла любому пользователю шифровать содержимое. Настройте такие сценарии следующим образом:
Используйте перенаправления для AD RMS для Azure миграции Rights Management.
Если обе службы должны быть активны для разных пользователей одновременно, используйте конфигурации на стороне службы, чтобы обеспечить эксклюзивность. Используйте элементы управления подключения из службы Azure Rights Management и список ACL для URL-адреса публикации, чтобы настроить режим только для чтения для AD RMS.
Azure группы безопасности сети и теги служб
Если вы используете конечную точку Azure и группу безопасности сети (NSG) Azure, убедитесь, что разрешите доступ ко всем портам для следующих тегов служб:
- AzureInformationProtection
- AzureActiveDirectory
- AzureFrontDoor.Frontend
Кроме того, в этом случае служба Azure Rights Management также зависит от следующих IP-адресов и портов:
- 13.107.9.198
- 13.107.6.198
- 2620:1ec:4::198
- 2620:1ec:a92::198
- 13.107.6.181
- 13.107.9.181
- Порт 443 для трафика HTTPS
Обязательно создайте правила, разрешающие исходящий доступ к указанным IP-адресам и через этот порт.
Поддерживаемые локальные серверы для службы Azure Rights Management
При использовании соединителя Microsoft Rights Management служба Azure Rights Management поддерживает следующие локальные серверы:
- Exchange Server
- SharePoint Server
- Файловые серверы, которые выполняют Windows Server и используют инфраструктуру классификации файлов (FCI)
Сведения о поддерживаемых версиях, других требованиях и шагах настройки соединителя см. в статье Развертывание соединителя Microsoft Rights Management.
Поддерживаемые операционные системы
Следующие операционные системы изначально поддерживают службу Azure Rights Management. Однако при установке приложения, использующего службу Azure Rights Management, например Microsoft 365 корпоративный приложения или клиент Защита информации Microsoft Purview, проверка требования этого приложения для поддерживаемых операционных систем.
| ОС | Поддерживаемые версии |
|---|---|
| Компьютеры Windows | — Windows 10 (x86, x64) — Windows 11 (x86, x64) |
| macOS | Минимальная версия macOS 10.8 (Mountain Lion) |
| Телефоны и планшеты с Android | Минимальная версия Android 6.0 |
| iPhone и iPad | Минимальная версия iOS 11.0 |
| Телефоны и планшеты с Windows | Windows 10 Mobile |
требования к Microsoft Entra
Каталог Microsoft Entra является обязательным требованием для использования службы Azure Rights Management. Используйте учетную запись из каталога Microsoft Entra для входа на портал Microsoft Purview.
Если у вас есть подписка, включающая Защита информации Microsoft Purview, при необходимости каталог Microsoft Entra будет автоматически создан.
В следующих разделах перечислены дополнительные требования к Microsoft Entra для конкретных сценариев.
Поддержка проверки подлинности на основе сертификатов (CBA)
Когда приложения iOS и Android поддерживают службу Azure Rights Management, они поддерживают проверку подлинности на основе сертификатов.
Дополнительные сведения см. в статье Начало работы с проверкой подлинности на основе сертификатов в Microsoft Entra ID с федерацией.
Многофакторная проверка подлинности (MFA)
Чтобы использовать многофакторную проверку подлинности (MFA) со службой Azure Rights Management, необходимо установить по крайней мере одно из следующих компонентов:
Клиенты, управляемые корпорацией Майкрософт, с Microsoft Entra ID или Microsoft 365. Настройте Azure MFA, чтобы применить MFA для пользователей.
Дополнительные сведения см. в разделе:
Федеративные клиенты, где серверы федерации работают локально. Настройте серверы федерации для Microsoft Entra ID или Microsoft 365. Например, если вы используете службы федерации Active Directory (AD FS) (AD FS), см. раздел Настройка дополнительных методов проверки подлинности для AD FS.
Соединитель Управления правами и многофакторная проверка подлинности
Соединитель Rights Management и сканер Защита информации Microsoft Purview не поддерживают MFA.
При развертывании соединителя или сканера для следующих учетных записей не должна требоваться многофакторная проверка подлинности:
- Учетная запись, которая устанавливает и настраивает соединитель.
- Учетная запись субъекта-службы в Microsoft Entra ID, Aadrm_S-1-7-0, которую создает соединитель.
- Учетная запись службы, которая запускает средство проверки.
Значения имени участника-пользователя не соответствуют их адресам электронной почты
Конфигурации, в которых значения имени участника-пользователя не соответствуют их адресам электронной почты, не рекомендуется и не поддерживают единый вход в службу Azure Rights Management.
Если вы не можете изменить значение имени участника-пользователя, настройте альтернативные идентификаторы для соответствующих пользователей и укажите им, как войти в приложения Office с помощью этого альтернативного идентификатора.
Дополнительные сведения см. в разделе Настройка альтернативного идентификатора входа.
Совет
Если доменное имя в значении имени участника-пользователя является доменом, проверенным для вашего клиента, добавьте значение имени участника-пользователя в качестве другого адреса электронной почты в атрибут Microsoft Entra ID proxyAddresses. Это позволяет пользователю авторизоваться для службы Azure Rights Management, если его имя участника-пользователя указано во время предоставления прав на использование.
Дополнительные сведения см. в статье Сведения о том, как учетные записи пользователей и группы используют службу Azure Rights Management.
Проверка подлинности в локальной среде с помощью другого поставщика проверки подлинности
Если вы используете мобильное устройство или компьютер Mac, который выполняет проверку подлинности локально с помощью поставщика проверки подлинности, отличного от Майкрософт, он должен поддерживать протокол OAuth 2.0.
Дополнительные конфигурации для идентификатора Entra
Сведения о зависимых конфигурациях в Entra, которые могут препятствовать или разрешать доступ к службе Azure Rights Management, см. в разделе Microsoft Entra конфигурации для зашифрованного содержимого.