Configuration requise supplémentaire de Microsoft Entra pour Azure Information Protection

Remarque

Recherchez-vous Microsoft Purview Information Protection, anciennement Microsoft Information Protection (MIP) ?

Le complément Azure Protection des données est supprimé et remplacé par des étiquettes intégrées à vos applications et services Microsoft 365. En savoir plus sur l’état de la prise en charge d’autres composants Azure Information Protection des données.

Le nouveau client Microsoft Protection des données (sans le complément) est actuellement en préversion et planifié pour la disponibilité générale.

Un annuaire Microsoft Entra est requis pour utiliser Azure Information Protection. Utilisez un compte à partir d’un répertoire Microsoft Entra pour vous connecter au portail Azure, où vous pouvez configurer les paramètres d’Azure Information Protection.

Si vous disposez d’un abonnement incluant Azure Information Protection ou Azure Rights Management, votre annuaire Microsoft Entra est automatiquement créé pour vous si nécessaire.

Les sections suivantes répertorient les exigences supplémentaires DIP et Microsoft Entra pour des scénarios spécifiques.

Prise en charge de l'authentification basée sur les certificats (CBA)

Les applications Azure Information Protection pour iOS et Android prennent en charge l’authentification basée sur les certificats.

Pour plus d’informations, consultez Bien démarrer avec l’authentification par certificat dans Microsoft Entra ID.

Authentification multifacteur (MFA) et Azure Information Protection

Pour utiliser l’authentification multifacteur (MFA) avec Azure Information Protection, vous devez avoir au moins l’une des options suivantes :

• Microsoft Office, version 2013 ou supérieure
• Un client AIP. Aucune version minimale requise. Les clients AIP pour Windows, ainsi que les applications de visionnage pour iOS et Android prennent tous en charge l’authentification multifacteur.
• Application de partage Rights Management pour les ordinateurs Mac. Les applications de partage RMS ont prennent en charge l’authentification multifacteur depuis la version de septembre 2015.

Remarque

Si vous disposez d'Office 2013, vous devrez peut-être installer une mise à jour supplémentaire pour prendre en charge la bibliothèque d'authentification Active Directory (ADAL), telle que la mise à jour du 9 juin 2015 pour Office 2013 (KB3054853).

Une fois que vous avez confirmé ces prérequis, effectuez l’une des opérations suivantes, en fonction de la configuration de votre locataire :

• Locataires gérés par Microsoft, avec Microsoft Entra ID ou Microsoft 365. Configurez Azure MFA pour appliquer l’authentification multifacteur pour les utilisateurs.

  Pour plus d’informations, consultez l’article suivant :

  • Prise en main avec Azure Multi-Factor Authentication dans le cloud
  • Présentation d'Azure Multi-Factor Authentication

• Locataires fédérés, où les serveurs de fédération opèrent localement. Configurez vos serveurs de fédération pour Microsoft Entra ID ou Microsoft 365. Par exemple, si vous utilisez AD FS, consultez Configurer des méthodes d’authentification supplémentaires pour AD FS.

Exigences relatives au connecteur de gestion des droits / à l’analyseur AIP

Le connecteur Rights Management et l'analyseur Azure Information Protection ne prennent pas en charge l’authentification multifacteur.

Si vous déployez le connecteur ou l'analyseur, les comptes suivants ne doivent pas nécessiter l’authentification multifacteur :

• Le compte qui installe et configure le connecteur.
• Le compte principal de service dans Microsoft Entra ID, Aadrm_S-1-7-0, créé par le connecteur.
• Le compte de service qui exécute l'analyseur.

Les valeurs UPN de l’utilisateur ne correspondent pas à leurs adresses e-mail

Les configurations dans lesquelles les valeurs UPN des utilisateurs ne correspondent pas à leurs adresses e-mail ne constituent pas une configuration recommandée et ne prennent pas en charge l’authentification unique pour Azure Information Protection.

Si vous ne pouvez pas modifier la valeur UPN, configurez d’autres ID pour les utilisateurs concernés et indiquez-leur comment se connecter à Office à l’aide de cet ID de remplacement.

Pour plus d’informations, consultez l’article suivant :

• Configuration des ID de connexion alternatif
• Les applications Office demandent périodiquement des informations d'identification pour SharePoint, OneDrive et Lync Online.

Conseil

Si le nom de domaine dans la valeur UPN est un domaine vérifié pour votre locataire, ajoutez la valeur UPN de l'utilisateur en tant qu'autre adresse e-mail à l'attribut proxyAddresses de Microsoft Entra ID. Cela permet à l’utilisateur d’être autorisé pour Azure Rights Management si sa valeur UPN est spécifiée au moment où les droits d’utilisation sont accordés.

Pour plus d’informations, consultez Préparation d’utilisateurs et de groupes pour Azure Information Protection.

Authentification locale à l’aide d’AD FS ou d’un autre fournisseur d’authentification

Si vous utilisez un appareil mobile ou un ordinateur Mac qui s’authentifie localement à l’aide d’AD FS ou d’un fournisseur d’authentification équivalent, vous devez utiliser AD FS sur l’une des configurations suivantes :

• Une version serveur minimale de Windows Server 2012 R2
• Un fournisseur d'authentification alternatif qui prend en charge le protocole OAuth 2.0

Étapes suivantes

Pour vérifier d’autres exigences, consultez Configuration requise pour Azure Information Protection.