Další požadavky služby Azure AD pro Azure Information ProtectionAdditional Azure AD requirements for Azure Information Protection

*Platí pro: Azure Information Protection, Office 365**Applies to: Azure Information Protection, Office 365*

*Relevantní pro: AIP Unified labeling Client a AIP Classic Client**Relevant for: AIP unified labeling client and AIP classic client.*

Poznámka

Pro zajištění jednotného a zjednodušeného prostředí pro zákazníky se Azure Information Protection klasický klient a Správa štítků na portálu Azure Portal od 31. března 2021.To provide a unified and streamlined customer experience, the Azure Information Protection classic client and Label Management in the Azure Portal are deprecated as of March 31, 2021. I když klasický klient nadále funguje tak, jak je nakonfigurován, není k dispozici žádná další podpora a verze údržby již nebudou pro klasického klienta uvolněny.While the classic client continues to work as configured, no further support is provided, and maintenance versions will no longer be released for the classic client.

Doporučujeme migrovat na jednotné označování a upgradovat na klienta jednotného označování.We recommend that you migrate to unified labeling and upgrade to the unified labeling client. Další informace najdete na našem nedávný blogo vyřazení.Learn more in our recent deprecation blog.

Adresář služby Azure AD je požadavek na používání služby Azure Information Protection.An Azure AD directory is a requirement for using Azure Information protection. Pomocí účtu z adresáře Azure AD se přihlaste k Azure Portal, kde můžete nakonfigurovat Azure Information Protection nastavení.Use an account from an Azure AD directory to sign in to the Azure portal, where you can configure Azure Information Protection settings.

Pokud máte předplatné, které zahrnuje Azure Information Protection nebo Azure Rights Management, váš adresář služby Azure AD se v případě potřeby automaticky vytvoří.If you have a subscription that includes Azure Information Protection or Azure Rights Management, your Azure AD directory is automatically created for you if needed.

V následujících částech je uveden seznam dalších požadavků na AIP a Azure AD pro konkrétní scénáře.The following sections list additional AIP and Azure AD requirements for specific scenarios.

Podpora ověřování založeného na certifikátech (certifikátů)Support for certificate-based authentication (CBA)

Aplikace služby Azure Information Protection pro iOS a Android podporují ověřování na základě certifikátů.The Azure Information Protection apps for iOS and Android support certificate-based authentication.

Další informace najdete v tématu Začínáme s ověřováním na základě certifikátů v Azure Active Directory.For more information, see Get started with certificate-based authentication in Azure Active Directory.

Vícefaktorové ověřování (MFA) a Azure Information ProtectionMulti-factor authentication (MFA) and Azure Information Protection

Chcete-li použít vícefaktorové ověřování (MFA) s Azure Information Protection, je nutné mít nainstalovanou alespoň jednu z následujících možností:To use multi-factor authentication (MFA) with Azure Information Protection, you must have at least one of the following installed:

  • Systém Microsoft Office verze 2013 nebo vyššíMicrosoft Office, version 2013 or higher
  • Klient AIP.An AIP client. Není vyžadována žádná minimální verze.No minimum version required. AIP klienti pro Windows i aplikace pro prohlížeč pro iOS a Android podporují MFA.The AIP clients for Windows, as well as the viewer apps for iOS and Android all support MFA.
  • Aplikace pro sdílení Rights Management pro počítače Mac.The Rights Management sharing app for Mac computers. Sdílení RMS aplikace podporovaly MFA od verze září 2015.The RMS sharing apps have supported MFA since the September 2015 release.

Poznámka

Pokud máte Office 2013, možná budete muset nainstalovat další aktualizaci pro podporu Active Directory Authentication Library (ADAL), jako je 9. června 2015, aktualizace pro Office 2013 (KB3054853).If you have Office 2013, you might need to install an additional update to support Active Directory Authentication Library (ADAL), such as the June 9, 2015, update for Office 2013 (KB3054853).

Jakmile tyto požadavky ověříte, proveďte v závislosti na konfiguraci tenanta jednu z následujících akcí:Once you've confirmed these prerequisites, do one of the following, depending on your tenant configuration:

Požadavky na Rights Management konektoru/AIPRights Management connector / AIP scanner requirements

Konektor Rights Management a Azure Information Protection skener nepodporují MFA.The Rights Management connector and the Azure Information Protection scanner do not support MFA.

Pokud nasadíte konektor nebo skener, nesmí následující účty vyžadovat MFA:If you deploy the connector or scanner, the following accounts must not require MFA:

  • Účet, který nainstaluje a nakonfiguruje konektor.The account that installs and configures the connector.
  • Účet instančního objektu ve službě Azure AD Aadrm_S-1-7-0, který konektor vytvoří.The service principal account in Azure AD, Aadrm_S-1-7-0, that the connector creates.
  • Účet služby, který spouští skener.The service account that runs the scanner.

Hodnoty hlavního názvu uživatele (UPN) neodpovídají jejich e-mailové adreseUser UPN values don't match their email addresses

Konfigurace, kde hodnoty UPN uživatele neodpovídají jejich e-mailovým adresám, nejsou doporučenými konfiguracemi a nepodporují jednotné přihlašování pro Azure Information Protection.Configurations where users' UPN values don't match their email addresses is not a recommended configuration, and does not support single-sign on for Azure Information Protection.

Pokud nemůžete změnit hodnotu hlavního názvu uživatele (UPN), nakonfigurujte pro příslušné uživatele alternativní ID a sdělte jim, jak se přihlašovat k Office pomocí tohoto alternativního ID.If you cannot change the UPN value, configure alternate IDs for the relevant users, and instruct them how to sign in to Office by using this alternate ID.

Další informace naleznete v tématu:For more information, see:

Tip

Pokud je název domény v hodnotě hlavního názvu uživatele doménou, která je pro vašeho tenanta ověřená, přidejte hodnotu hlavního názvu uživatele (UPN) jako jinou e-mailovou adresu do atributu Azure AD proxyAddresses .If the domain name in the UPN value is a domain that is verified for your tenant, add the user's UPN value as another email address to the Azure AD proxyAddresses attribute. Tím umožníte, aby uživatel byl autorizován pro Azure Rights Management, pokud je zadána jejich hodnota hlavního názvu uživatele (UPN) v době, kdy byla udělena práva k používání.This allows the user to be authorized for Azure Rights Management if their UPN value is specified at the time the usage rights are granted.

Další informace najdete v článku Příprava uživatelů a skupin pro službu Azure Information Protection.For more information, see Preparing users and groups for Azure Information Protection.

Ověřování v místním prostředí pomocí AD FS nebo jiného zprostředkovatele ověřováníAuthenticating on-premises using AD FS or another authentication provider

Pokud používáte mobilní zařízení nebo počítač Mac, které ověřuje místní použití pomocí AD FS nebo ekvivalentního poskytovatele ověřování, musíte použít AD FS v jedné z následujících konfigurací:If you're using a mobile device or Mac computer that authenticates on-premises using AD FS, or an equivalent authentication provider, you must use AD FS on one of the following configurations:

  • Minimální verze serveru systému Windows server 2012 R2A minimum server version of Windows Server 2012 R2
  • Alternativní zprostředkovatel ověřování, který podporuje protokol OAuth 2,0An alternative authentication provider that supports the OAuth 2.0 protocol

Počítače se systémem Office 2010Computers running Office 2010

Důležité

Rozšířená podpora Office 2010 skončila 13. října 2020.Office 2010 extended support ended on October 13, 2020. Další informace najdete v tématu AIP a starší verze systému Windows a sady Office.For more information, see AIP and legacy Windows and Office versions.

Kromě účtu Azure AD počítače se systémem Microsoft 2010 vyžadují, aby se klient Azure Information Protection pro Windows ověřoval Azure Information Protection a jeho služba ochrany dat, Rights Management Azure.In addition to an Azure AD account, computers running Microsoft 2010 require the Azure Information Protection client for Windows to authenticate to Azure Information Protection, and its data protection service, Azure Rights Management.

Pokud jsou vaše uživatelské účty federované (například používáte AD FS), musí tyto počítače používat ověřování Windows-Integrated.If your user accounts are federated (for example, you use AD FS), these computers must use Windows-Integrated Authentication. Ověřování pomocí formulářů v tomto scénáři neumožňuje ověřovat uživatele pro Azure Information Protection.Forms-based authentication in this scenario fails to authenticate users for Azure Information Protection.

Doporučujeme nasadit klienta Azure Information Protection Unified labeling.We recommend that you deploy the Azure Information Protection unified labeling client. Pokud jste ještě neupgradovali, je možné, že váš systém má stále nasazeného klasického klienta Azure Information Protection .If you haven't yet upgraded, your system may still have the Azure Information Protection classic client deployed.

Další informace najdete na straně klienta Azure Information Protection.For more information, see The client side of Azure Information Protection.

Další krokyNext steps

Pokud chcete vyhledat další požadavky, projděte si článek Požadavky služby Azure Information Protection.To check for other requirements, see Requirements for Azure Information Protection.