Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Bevor Sie mit dem Verschlüsseln von Elementen mithilfe des Azure Rights Management-Diensts aus Microsoft Purview Information Protection beginnen, stellen Sie sicher, dass Sie alle Anforderungen erfüllen.
Firewalls und Netzwerkinfrastruktur
Wenn Sie über Firewalls oder ähnliche Netzwerkgeräte verfügen, die so konfiguriert sind, dass sie bestimmte Verbindungen zulassen, sind die Netzwerkkonnektivitätsanforderungen im folgenden Microsoft 365-Artikel aufgeführt: Microsoft 365 Common und Office Online.
Für den Azure Rights Management-Dienst gelten die folgenden zusätzlichen Anforderungen:
Wenn Sie den Microsoft Purview Information Protection-Client verwenden: Um Vertraulichkeitsbezeichnungen und Bezeichnungsrichtlinien herunterzuladen, lassen Sie die folgende URL über HTTPS zu: *.protection.outlook.com
Wenn Sie Webproxys verwenden: Wenn Ihr Webproxy eine Authentifizierung erfordert, müssen Sie den Proxy so konfigurieren, dass er integrierte Windows-Authentifizierung mit den Active Directory-Anmeldeinformationen des Benutzers verwendet.
Um Proxy.pac-Dateien bei Verwendung eines Proxys zum Abrufen eines Tokens zu unterstützen, fügen Sie den folgenden neuen Registrierungsschlüssel hinzu:
-
Pfad:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\ -
Schlüssel:
UseDefaultCredentialsInProxy -
Typ:
DWORD -
Wert:
1
-
Pfad:
TLS-Client-zu-Dienst-Verbindungen. Beenden Sie keine TLS-Client-zu-Dienst-Verbindungen, z. B. zur Durchführung einer Überprüfung auf Paketebene, mit der aadrm.com URL. Dadurch wird das Anheften von Zertifikaten unterbrochen, das Clients für den Azure Rights Management-Dienst mit von Microsoft verwalteten Zertifizierungsstellen verwenden, um ihre Kommunikation mit dem Azure Rights Management-Dienst zu schützen.
Verwenden Sie die folgenden PowerShell-Befehle, um zu ermitteln, ob die Clientverbindung beendet wird, bevor sie den Azure Rights Management-Dienst erreicht:
$request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc") $request.GetResponse() $request.ServicePoint.Certificate.IssuerDas Ergebnis sollte zeigen, dass die ausstellende Zertifizierungsstelle von einer Microsoft-Zertifizierungsstelle stammt, z. B.:
CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US.Wenn Sie einen Ausstellenden Zertifizierungsstellennamen sehen, der nicht von Microsoft stammt, ist es wahrscheinlich, dass Ihre sichere Client-zu-Dienst-Verbindung beendet wird und in Ihrer Firewall neu konfiguriert werden muss.
Microsoft 365 Enhanced Configuration Service (ECS). Der Azure Rights Management-Dienst muss Zugriff auf die config.edge.skype.com-URL haben, bei der es sich um einen Microsoft 365 Enhanced Configuration Service (ECS) handelt.
ECS bietet Microsoft die Möglichkeit, den Azure Rights Management-Dienst bei Bedarf neu zu konfigurieren. Beispielsweise wird ECS verwendet, um den graduellen Rollout von Features oder Updates zu steuern, während die Auswirkungen des Rollouts anhand der gesammelten Diagnosedaten überwacht werden.
ECS wird auch verwendet, um Sicherheits- oder Leistungsprobleme bei einem Feature oder Update zu beheben. ECS unterstützt auch Konfigurationsänderungen im Zusammenhang mit Diagnosedaten, um sicherzustellen, dass die entsprechenden Ereignisse gesammelt werden.
Das Einschränken der config.edge.skype.com URL kann sich auf die Fähigkeit von Microsoft auswirken, Fehler zu beheben, und sich auf Ihre Fähigkeit zum Testen von Vorschaufeatures auswirken.
Weitere Informationen finden Sie unter Wesentliche Dienste für Office.
Überwachungsprotokoll-URL-Netzwerkkonnektivität. Der Azure Rights Management-Dienst muss auf die folgenden URLs zugreifen können, um Überwachungsprotokolle zu unterstützen:
https://*.events.data.microsoft.com-
https://*.aria.microsoft.com(Nur Android-Gerätedaten)
Koexistenz mit Active Directory Rights Management Services (AD RMS)
Die verwendung der lokalen Version von Active Directory Rights Management Services (AD RMS) und des Azure Rights Management-Diensts in derselben organization zum Verschlüsseln von Inhalten durch denselben Benutzer in derselben organization wird in AD RMS nicht unterstützt, es sei denn, Sie verwenden die HYOK-Konfiguration (halten Sie Ihren eigenen Schlüssel) für den AD RMS-Stammverschlüsselungsschlüssel.
Dieses Szenario wird für eine Migration zum Azure Rights Management-Dienst nicht unterstützt. Die unterstützten Migrationspfade sind:
Für andere Szenarien ohne Migration, in denen beide Dienste in demselben organization aktiv sind, müssen beide Dienste so konfiguriert werden, dass nur einer von ihnen einem bestimmten Benutzer das Verschlüsseln von Inhalten zulässt. Konfigurieren Sie solche Szenarien wie folgt:
Verwenden Sie Umleitungen für eine Migration von AD RMS zu Azure Rights Management.
Wenn beide Dienste gleichzeitig für unterschiedliche Benutzer aktiv sein müssen, verwenden Sie dienstseitige Konfigurationen, um Exklusivität zu erzwingen. Verwenden Sie Onboardingsteuerelemente aus dem Azure Rights Management-Dienst und eine ACL für die Veröffentlichungs-URL, um den schreibgeschützten Modus für AD RMS festzulegen.
Azure-Netzwerksicherheitsgruppen und Diensttags
Wenn Sie einen Azure-Endpunkt und eine Azure-Netzwerksicherheitsgruppe (NSG) verwenden, stellen Sie sicher, dass Sie den Zugriff auf alle Ports für die folgenden Diensttags zulassen:
- AzureInformationProtection
- AzureActiveDirectory
- AzureFrontDoor.Frontend
Darüber hinaus ist der Azure Rights Management-Dienst in diesem Fall auch von den folgenden IP-Adressen und Ports abhängig:
- 13.107.9.198
- 13.107.6.198
- 2620:1ec:4::198
- 2620:1ec:a92::198
- 13.107.6.181
- 13.107.9.181
- Port 443 für HTTPS-Datenverkehr
Stellen Sie sicher, dass Sie Regeln erstellen, die den ausgehenden Zugriff auf diese spezifischen IP-Adressen und über diesen Port zulassen.
Unterstützte lokale Server für den Azure Rights Management-Dienst
Die folgenden lokalen Server werden mit dem Azure Rights Management-Dienst unterstützt, wenn Sie den Microsoft Rights Management-Connector verwenden:
- Exchange Server
- SharePoint Server
- Dateiserver, die Windows Server ausführen und die Dateiklassifizierungsinfrastruktur (File Classification Infrastructure, FCI) verwenden
Informationen zu unterstützten Versionen, anderen Anforderungen und Konfigurationsschritten für den Connector finden Sie unter Bereitstellen des Microsoft Rights Management-Connectors.
Unterstützte Betriebssysteme
Die folgenden Betriebssysteme unterstützen den Azure Rights Management-Dienst nativ. Wenn Sie jedoch eine App installieren, die den Azure Rights Management-Dienst verwendet, z. B. Microsoft 365 Enterprise-Apps oder den Microsoft Purview Information Protection-Client, überprüfen Sie die Anforderungen dieser App für unterstützte Betriebssysteme.
| Betriebssystem | Unterstützte Versionen |
|---|---|
| Windows-Computer | - Windows 10 (x86, x64) – Windows 11 (x86, x64) |
| macOS | Mindestversion von macOS 10.8 (Mountain Lion) |
| Android-Smartphones und -Tablets | Mindestversion von Android 6.0 |
| iPhone und iPad | Mindestversion von iOS 11.0 |
| Windows Phones und Tablets | Windows 10 Mobile |
Microsoft Entra Anforderungen
Ein Microsoft Entra Verzeichnis ist eine Voraussetzung für die Verwendung des Azure Rights Management-Diensts. Verwenden Sie ein Konto aus einem Microsoft Entra Verzeichnis, um sich beim Microsoft Purview-Portal anzumelden.
Wenn Sie über ein Abonnement verfügen, das Microsoft Purview Information Protection enthält, wird Ihr Microsoft Entra Verzeichnis bei Bedarf automatisch für Sie erstellt.
In den folgenden Abschnitten werden zusätzliche Microsoft Entra Anforderungen für bestimmte Szenarien aufgeführt.
Unterstützung der zertifikatbasierten Authentifizierung (Certificate-Based Authentication, CBA)
Wenn iOS- und Android-Apps den Azure Rights Management-Dienst unterstützen, unterstützen sie die zertifikatbasierte Authentifizierung.
Weitere Informationen finden Sie unter Erste Schritte mit der zertifikatbasierten Authentifizierung in Microsoft Entra-ID mit Verbund.
Mehrstufige Authentifizierung (Multi-Factor Authentication, MFA)
Um die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) mit dem Azure Rights Management-Dienst verwenden zu können, muss mindestens eine der folgenden Komponenten installiert sein:
Von Microsoft verwaltete Mandanten mit Microsoft Entra-ID oder Microsoft 365. Konfigurieren Sie Azure MFA, um MFA für Benutzer zu erzwingen.
Weitere Informationen finden Sie unter:
Verbundmandanten, bei denen Verbundserver lokal betrieben werden. Konfigurieren Sie Ihre Verbundserver für Microsoft Entra-ID oder Microsoft 365. Wenn Sie z. B. Active Directory-Verbunddienste (AD FS) (AD FS) verwenden, finden Sie weitere Informationen unter Konfigurieren zusätzlicher Authentifizierungsmethoden für AD FS.
Rights Management-Connector und MFA
Der Rights Management-Connector und der Microsoft Purview Information Protection Scanner unterstützen MFA nicht.
Wenn Sie den Connector oder scanner bereitstellen, darf für die folgenden Konten keine MFA erforderlich sein:
- Das Konto, das den Connector installiert und konfiguriert.
- Das Dienstprinzipalkonto in Microsoft Entra ID Aadrm_S-1-7-0, die der Connector erstellt.
- Das Dienstkonto, das die Überprüfung ausführt.
Benutzer-UPN-Werte stimmen nicht mit ihren E-Mail-Adressen überein
Konfigurationen, bei denen die UPN-Werte von Benutzern nicht mit ihren E-Mail-Adressen übereinstimmen, sind keine empfohlene Konfiguration und unterstützen das einmalige Anmelden für den Azure Rights Management-Dienst nicht.
Wenn Sie den UPN-Wert nicht ändern können, konfigurieren Sie alternative IDs für die relevanten Benutzer, und weisen Sie sie an, wie sie sich mit dieser alternativen ID bei ihren Office-Apps anmelden.
Weitere Informationen finden Sie unter Konfigurieren einer alternativen Anmelde-ID.
Tipp
Wenn der Domänenname im UPN-Wert eine Domäne ist, die für Ihren Mandanten überprüft wird, fügen Sie den UPN-Wert des Benutzers als weitere E-Mail-Adresse zum attribut Microsoft Entra ID proxyAddresses hinzu. Dadurch kann der Benutzer für den Azure Rights Management-Dienst autorisiert werden, wenn sein UPN-Wert zum Zeitpunkt der Erteilung der Nutzungsrechte angegeben wird.
Weitere Informationen finden Sie unter Erfahren Sie, wie Benutzerkonten und Gruppen den Azure Rights Management-Dienst verwenden.
Lokale Authentifizierung mit einem anderen Authentifizierungsanbieter
Wenn Sie ein mobiles Gerät oder einen Mac-Computer verwenden, der sich lokal mit einem nicht von Microsoft stammenden Authentifizierungsanbieter authentifiziert, muss dieser das OAuth 2.0-Protokoll unterstützen.
Erweiterte Konfigurationen für Entra ID
Informationen zu abhängigen Konfigurationen in Entra, die den Zugriff auf den Azure Rights Management-Dienst verhindern oder zulassen können, finden Sie unter Microsoft Entra Konfiguration für verschlüsselte Inhalte.