Zusätzliche Azure AD-Anforderungen für Azure Information ProtectionAdditional Azure AD requirements for Azure Information Protection

Gilt für: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Ein Azure AD-Verzeichnis ist eine Anforderung für die Verwendung von Azure Information Protection.An Azure AD directory is a requirement for using Azure Information protection. Verwenden Sie ein Konto aus einem Azure AD-Verzeichnis, um sich beim Azure-Portal anzumelden, wo Sie Azure Information Protection-Einstellungen konfigurieren können.Use an account from an Azure AD directory to sign in to the Azure portal, where you can configure Azure Information Protection settings.

Wenn Sie ein Abonnement mit Azure Information Protection oder Azure Rights Management besitzen, wird Ihr Azure AD-Verzeichnis bei Bedarf automatisch für Sie erstellt.If you have a subscription that includes Azure Information Protection or Azure Rights Management, your Azure AD directory is automatically created for you if needed.

In den folgenden Abschnitten werden zusätzliche Azure Information Protection- und Azure AD-Anforderungen für bestimmte Szenarios aufgelistet.The following sections list additional AIP and Azure AD requirements for specific scenarios.

Computer mit Office 2010Computers running Office 2010

Zusätzlich zu einem Azure AD-Konto sind für Computer, auf denen Microsoft Office 2010 ausgeführt wird, der Azure Information Protection-Client für einheitliche Bezeichnungen oder der klassische Azure Information Protection-Client für die Authentifizierung bei Azure Information Protection und beim zugehörigen Datenschutzdienst (Azure Rights Management) erforderlich.In addition to Azure AD account, computers running Microsoft Office 2010 require the Azure Information Protection unified labeling client or Azure Information Protection classic client to authenticate to Azure Information Protection and its data protection service, Azure Rights Management.

Wenn Ihre Benutzerkonten verbunden sind (wenn Sie z. B. AD FS verwenden), müssen diese Computer die integrierte Windows-Authentifizierung verwenden.If your user accounts are federated (for example, you use AD FS), these computers must use Windows-Integrated Authentication. Bei der formularbasierten Authentifizierung tritt in diesem Szenario beim Authentifizieren von Benutzern für Azure Information Protection ein Fehler auf.Forms-based authentication in this scenario fails to authenticate users for Azure Information Protection.

Unterstützung für die zertifikatbasierte AuthentifizierungSupport for certificate-based authentication (CBA)

Die Azure Information Protection-Apps für iOS und Android unterstützen die zertifikatbasierte Authentifizierung.The Azure Information Protection apps for iOS and Android support certificate-based authentication.

Weitere Informationen finden Sie unter Erste Schritte mit der zertifikatbasierten Authentifizierung in Azure Active Directory.For more information, see Get started with certificate-based authentication in Azure Active Directory.

Multi-Factor Authentication (MFA) und Azure Information ProtectionMulti-factor authentication (MFA) and Azure Information Protection

Damit Sie die mehrstufige Authentifizierung mit Azure Information Protection verwenden können, ist mindestens eine der folgenden Komponenten erforderlich:To use multi-factor authentication (MFA) with Azure Information Protection, you must have at least one of the following installed:

  • Microsoft Office, Version 2013 oder höherMicrosoft Office, version 2013 or higher
  • Ein Azure Information Protection-Client.An AIP client. Es gibt keine Mindestversion.No minimum version required. Die Azure Information Protection-Clients für Windows sowie die Viewer-Apps für IOS und Android unterstützen die mehrstufige Authentifizierung.The AIP clients for Windows, as well as the viewer apps for iOS and Android all support MFA.
  • Die Microsoft Rights Management-Freigabeanwendung für Mac-Computer.The Rights Management sharing app for Mac computers. Die Microsoft Rights Management-Freigabeanwendung unterstützt seit September 2015 die mehrstufige Authentifizierung.The RMS sharing apps have supported MFA since the September 2015 release.

Hinweis

Wenn Sie Office 2013 nutzen, müssen Sie möglicherweise ein weiteres Update zur Unterstützung der Active Directory-Authentifizierungsbibliothek (ADAL) installieren, z. B. das Update für Office 2013 vom 9. Juni 2015 (KB3054853).If you have Office 2013, you might need to install an additional update to support Active Directory Authentication Library (ADAL), such as the June 9, 2015, update for Office 2013 (KB3054853).

Weitere Informationen finden Sie im Office-Blogbeitrag zur Ankündigung der öffentlichen Vorschau der Authentifizierung für Microsoft 2013.For more information, see Office 2013 modern authentication public preview announced on the Office blog.

Führen Sie je nach Mandantenkonfiguration einen der folgenden Schritte aus, nachdem Sie diese Voraussetzungen überprüft haben:Once you've confirmed these prerequisites, do one of the following, depending on your tenant configuration:

Anforderungen für den Rights Management-Connector und den Azure Information Protection-ScannerRights Management connector / AIP scanner requirements

Der Rights Management-Connector und der Azure Information Protection-Scanner unterstützen die MFA nicht.The Rights Management connector and the Azure Information Protection scanner do not support MFA.

Wenn Sie den Connector oder den Scanner bereitstellen, dürfen die folgenden Konten keine MFA erfordern:If you deploy the connector or scanner, the following accounts must not require MFA:

  • Das Konto, das den Connector installiert und konfiguriert.The account that installs and configures the connector.
  • Das Dienstprinzipalkonto in Azure AD, das der Connector erstellt: Aadrm_S-1-7-0.The service principal account in Azure AD, Aadrm_S-1-7-0, that the connector creates.
  • Das Dienstkonto, das den Scanner ausführt.The service account that runs the scanner.

UPN-Werte von Benutzern stimmen nicht mit deren E-Mail-Adressen übereinUser UPN values don't match their email addresses

Konfigurationen, bei denen die UPN-Werte von Benutzern nicht mit deren E-Mail-Adressen übereinstimmen, sind keine empfohlene Konfiguration und unterstützen das einmalige Anmelden für Azure Information Protection nicht.Configurations where users' UPN values don't match their email addresses is not a recommended configuration, and does not support single-sign on for Azure Information Protection.

Wenn Sie den UPN-Wert nicht ändern können, konfigurieren Sie alternative Anmelde-IDs für Benutzer, und erklären Sie den Benutzern, wie sie sich mit dieser alternativen Anmelde-ID bei Office anmelden können.If you cannot change the UPN value, configure alternate IDs for the relevant users, and instruct them how to sign in to Office by using this alternate ID.

Weitere Informationen finden Sie unterFor more information, see:

Tipp

Fügen Sie den UPN-Wert des Benutzers als weitere E-Mail-Adresse zum Attribut proxyAddresses in Azure AD hinzu, wenn der Domänenname im UPN-Wert eine Domäne ist, die für Ihren Mandanten überprüft wurde.If the domain name in the UPN value is a domain that is verified for your tenant, add the user's UPN value as another email address to the Azure AD proxyAddresses attribute. Dadurch kann der Benutzer für Azure Rights Management autorisiert werden, wenn sein UPN-Wert zum Zeitpunkt der Gewährung der Nutzungsrechte festgelegt wird.This allows the user to be authorized for Azure Rights Management if their UPN value is specified at the time the usage rights are granted.

Weitere Informationen finden Sie unter Vorbereiten von Benutzern und Gruppen für Azure Information Protection.For more information, see Preparing users and groups for Azure Information Protection.

Lokales Authentifizieren mithilfe von AD FS oder eines anderen AuthentifizierungsanbietersAuthenticating on-premises using AD FS or another authentication provider

Wenn Sie ein mobiles Gerät oder einen Mac-Computer verwenden, der lokal mithilfe von AD FS oder einem vergleichbaren Authentifizierungsanbieter authentifiziert wird, müssen Sie AD FS mit einer der folgenden Konfigurationen verwenden:If you're using a mobile device or Mac computer that authenticates on-premises using AD FS, or an equivalent authentication provider, you must use AD FS on one of the following configurations:

  • Mindestens Windows Server 2012 R2A minimum server version of Windows Server 2012 R2
  • Mit einem alternativen Authentifizierungsanbieter, der das OAuth 2.0-Protokoll unterstütztAn alternative authentication provider that supports the OAuth 2.0 protocol

Nächste SchritteNext steps

Weitere Anforderungen finden Sie unter Anforderungen für Azure Information Protection.To check for other requirements, see Requirements for Azure Information Protection.