Zusätzliche Azure AD-Anforderungen für Azure Information Protection

Gilt für: Azure Information Protection, Office 365

Relevant für: AIP-Client für einheitliche Bezeichnungen und den klassischen AIP-Client

Hinweis

Der klassische Azure Information Protection-Client und die Bezeichnungsverwaltung im Azure-Portal werden am 31. März 2021 als veraltet markiert, um eine einheitliche und optimierte Kundenumgebung zu gewährleisten. Der klassische Client funktioniert zwar weiterhin wie konfiguriert, es wird aber kein weiterer Support bereitgestellt, und es werden keine Wartungsversionen für den klassischen Client mehr veröffentlicht.

Wir empfehlen, zu einheitlichen Bezeichnungen zu migrieren und ein Upgrade auf den Client für einheitliche Bezeichnungen durchzuführen. Weitere Informationen finden Sie in unserem jüngsten Blog zu veralteten Versionen.

Ein Azure AD-Verzeichnis ist eine Anforderung für die Verwendung von Azure Information Protection. Verwenden Sie ein Konto aus einem Azure AD-Verzeichnis, um sich beim Azure-Portal anzumelden, wo Sie Azure Information Protection-Einstellungen konfigurieren können.

Wenn Sie ein Abonnement mit Azure Information Protection oder Azure Rights Management besitzen, wird Ihr Azure AD-Verzeichnis bei Bedarf automatisch für Sie erstellt.

In den folgenden Abschnitten werden zusätzliche Azure Information Protection- und Azure AD-Anforderungen für bestimmte Szenarios aufgelistet.

Unterstützung für die zertifikatbasierte Authentifizierung

Die Azure Information Protection-Apps für iOS und Android unterstützen die zertifikatbasierte Authentifizierung.

Weitere Informationen finden Sie unter Erste Schritte mit der zertifikatbasierten Authentifizierung in Azure Active Directory.

Multi-Factor Authentication (MFA) und Azure Information Protection

Damit Sie die mehrstufige Authentifizierung mit Azure Information Protection verwenden können, ist mindestens eine der folgenden Komponenten erforderlich:

  • Microsoft Office, Version 2013 oder höher
  • Ein Azure Information Protection-Client. Es gibt keine Mindestversion. Die Azure Information Protection-Clients für Windows sowie die Viewer-Apps für IOS und Android unterstützen die mehrstufige Authentifizierung.
  • Die Microsoft Rights Management-Freigabeanwendung für Mac-Computer. Die Microsoft Rights Management-Freigabeanwendung unterstützt seit September 2015 die mehrstufige Authentifizierung.

Hinweis

Wenn Sie Office 2013 nutzen, müssen Sie möglicherweise ein weiteres Update zur Unterstützung der Active Directory-Authentifizierungsbibliothek (ADAL) installieren, z. B. das Update für Office 2013 vom 9. Juni 2015 (KB3054853).

Führen Sie je nach Mandantenkonfiguration einen der folgenden Schritte aus, nachdem Sie diese Voraussetzungen überprüft haben:

Anforderungen für den Rights Management-Connector und den Azure Information Protection-Scanner

Der Rights Management-Connector und der Azure Information Protection-Scanner unterstützen die MFA nicht.

Wenn Sie den Connector oder den Scanner bereitstellen, dürfen die folgenden Konten keine MFA erfordern:

  • Das Konto, das den Connector installiert und konfiguriert.
  • Das Dienstprinzipalkonto in Azure AD, das der Connector erstellt: Aadrm_S-1-7-0.
  • Das Dienstkonto, das den Scanner ausführt.

UPN-Werte von Benutzern stimmen nicht mit deren E-Mail-Adressen überein

Konfigurationen, bei denen die UPN-Werte von Benutzern nicht mit deren E-Mail-Adressen übereinstimmen, sind keine empfohlene Konfiguration und unterstützen das einmalige Anmelden für Azure Information Protection nicht.

Wenn Sie den UPN-Wert nicht ändern können, konfigurieren Sie alternative Anmelde-IDs für Benutzer, und erklären Sie den Benutzern, wie sie sich mit dieser alternativen Anmelde-ID bei Office anmelden können.

Weitere Informationen finden Sie unter

Tipp

Fügen Sie den UPN-Wert des Benutzers als weitere E-Mail-Adresse zum Attribut proxyAddresses in Azure AD hinzu, wenn der Domänenname im UPN-Wert eine Domäne ist, die für Ihren Mandanten überprüft wurde. Dadurch kann der Benutzer für Azure Rights Management autorisiert werden, wenn sein UPN-Wert zum Zeitpunkt der Gewährung der Nutzungsrechte festgelegt wird.

Weitere Informationen finden Sie unter Vorbereiten von Benutzern und Gruppen für Azure Information Protection.

Lokales Authentifizieren mithilfe von AD FS oder eines anderen Authentifizierungsanbieters

Wenn Sie ein mobiles Gerät oder einen Mac-Computer verwenden, der lokal mithilfe von AD FS oder einem vergleichbaren Authentifizierungsanbieter authentifiziert wird, müssen Sie AD FS mit einer der folgenden Konfigurationen verwenden:

  • Mindestens Windows Server 2012 R2
  • Mit einem alternativen Authentifizierungsanbieter, der das OAuth 2.0-Protokoll unterstützt

Computer mit Office 2010

Wichtig

Der erweiterte Support für Office 2010 endete am 13. Oktober 2020. Weitere Informationen finden Sie unter AIP und ältere Windows- und Office-Versionen.

Neben einem Azure AD-Konto benötigen Computer mit Office 2010 den Azure Information Protection-Client für Windows, um sich bei Azure Information Protection sowie dessen Datenschutzdienst Azure Rights Management zu authentifizieren.

Wenn Ihre Benutzerkonten verbunden sind (wenn Sie z. B. AD FS verwenden), müssen diese Computer die integrierte Windows-Authentifizierung verwenden. Bei der formularbasierten Authentifizierung tritt in diesem Szenario beim Authentifizieren von Benutzern für Azure Information Protection ein Fehler auf.

Es wird empfohlen, den Azure Information Protection-Client für einheitliche Bezeichnungen bereitzustellen. Wenn Sie noch kein Upgrade durchgeführt haben, ist möglicherweise weiterhin der klassische Azure Information Protection-Client in Ihrem System bereitgestellt.

Weitere Informationen finden Sie unter Die Clientseite von Azure Information Protection.

Nächste Schritte

Weitere Anforderungen finden Sie unter Anforderungen für Azure Information Protection.