Prérequis Azure AD supplémentaires pour Azure Information ProtectionAdditional Azure AD requirements for Azure Information Protection

S’applique à : Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Un annuaire Azure AD est requis pour utiliser Azure Information Protection.An Azure AD directory is a requirement for using Azure Information protection. Utilisez un compte d’un annuaire Azure AD pour vous connecter au portail Azure, dans lequel vous pouvez configurer les paramètres Azure Information Protection.Use an account from an Azure AD directory to sign in to the Azure portal, where you can configure Azure Information Protection settings.

Si vous avez un abonnement incluant Azure Information Protection ou Azure Rights Management, votre annuaire Azure AD est créé automatiquement pour vous si nécessaire.If you have a subscription that includes Azure Information Protection or Azure Rights Management, your Azure AD directory is automatically created for you if needed.

Les sections suivantes liste les prérequis AIP et Azure AD supplémentaires pour des scénarios spécifiques.The following sections list additional AIP and Azure AD requirements for specific scenarios.

Ordinateurs qui exécutent Office 2010Computers running Office 2010

En plus du compte Azure AD, les ordinateurs qui exécutent Microsoft Office 2010 nécessitent le client d’étiquetage unifié Azure Information Protection ou le client classique Azure Information Protection pour s’authentifier auprès d’Azure Information Protection et son service de protection des données, Azure Rights Management.In addition to Azure AD account, computers running Microsoft Office 2010 require the Azure Information Protection unified labeling client or Azure Information Protection classic client to authenticate to Azure Information Protection and its data protection service, Azure Rights Management.

Si vos comptes d’utilisateur sont fédérés (par exemple, si vous utilisez AD FS), ces ordinateurs doivent utiliser l’authentification intégrée de Windows.If your user accounts are federated (for example, you use AD FS), these computers must use Windows-Integrated Authentication. L’authentification basée sur les formulaires dans ce scénario ne peut pas authentifier les utilisateurs pour Azure Information Protection.Forms-based authentication in this scenario fails to authenticate users for Azure Information Protection.

Prise en charge de l’authentification basée sur les certificatsSupport for certificate-based authentication (CBA)

Les applications Azure Information Protection pour iOS et Android prennent en charge l’authentification par certificat.The Azure Information Protection apps for iOS and Android support certificate-based authentication.

Pour plus d’informations, consultez Bien démarrer avec l’authentification basée sur les certificats dans Azure Active Directory.For more information, see Get started with certificate-based authentication in Azure Active Directory.

Authentification multifacteur (MFA) et Azure Information ProtectionMulti-factor authentication (MFA) and Azure Information Protection

Pour utiliser l’authentification multifacteur (MFA) avec Azure Information Protection, vous devez avoir installé au moins l’un des éléments suivants :To use multi-factor authentication (MFA) with Azure Information Protection, you must have at least one of the following installed:

  • Microsoft Office, version 2013 ou ultérieureMicrosoft Office, version 2013 or higher
  • Un client AIP.An AIP client. Aucune version minimale requise.No minimum version required. Les clients AIP pour Windows, ainsi que les applications de visionneuse pour iOS et Android prennent tous en charge MFA.The AIP clients for Windows, as well as the viewer apps for iOS and Android all support MFA.
  • Application de partage Rights Management pour les ordinateurs Mac.The Rights Management sharing app for Mac computers. Les applications de partage RMS prennent en charge MFA depuis la version de septembre 2015.The RMS sharing apps have supported MFA since the September 2015 release.

Notes

Si vous avez Office 2013, vous risquez de devoir installer une mise à jour supplémentaire pour prendre en charge Active Directory Authentication Library (ADAL), comme la mise à jour pour Office 2013 du 9 juin 2015 (KB3054853).If you have Office 2013, you might need to install an additional update to support Active Directory Authentication Library (ADAL), such as the June 9, 2015, update for Office 2013 (KB3054853).

Pour plus d’informations, consultez la préversion publique de l’authentification moderne Office 2013 annoncée sur le blog Office.For more information, see Office 2013 modern authentication public preview announced on the Office blog.

Une fois que vous avez confirmé ces prérequis, effectuez l’une des opérations suivantes, en fonction de la configuration de votre locataire :Once you've confirmed these prerequisites, do one of the following, depending on your tenant configuration:

Configuration requise pour le connecteur Rights Management/ le moteur d’analyse AIPRights Management connector / AIP scanner requirements

Le connecteur Azure Rights Management et le moteur d’analyse Azure Information Protection ne prennent pas en charge la MFA.The Rights Management connector and the Azure Information Protection scanner do not support MFA.

Si vous déployez le connecteur ou le moteur d’analyse, les comptes suivants ne doivent pas exiger l’authentification multifacteur :If you deploy the connector or scanner, the following accounts must not require MFA:

  • Le compte qui installe et configure le connecteur.The account that installs and configures the connector.
  • Le compte principal du service dans Azure AD, Aadrm_S-1-7-0 créé par le connecteur.The service principal account in Azure AD, Aadrm_S-1-7-0, that the connector creates.
  • Le compte de service qui exécute le moteur d’analyse.The service account that runs the scanner.

Les valeurs UPN des utilisateurs ne correspondent pas à leurs adresses e-mailUser UPN values don't match their email addresses

La configuration où les valeurs UPN des utilisateurs ne correspondent pas à leurs adresses e-mail n’est pas recommandée et ne prend pas en charge l’authentification unique pour Azure Information Protection.Configurations where users' UPN values don't match their email addresses is not a recommended configuration, and does not support single-sign on for Azure Information Protection.

Si vous ne pouvez pas changer la valeur UPN, configurez d’autres ID pour les utilisateurs concernés et indiquez-leur comment se connecter à Office avec cet autre ID.If you cannot change the UPN value, configure alternate IDs for the relevant users, and instruct them how to sign in to Office by using this alternate ID.

Pour plus d'informations, consultez les pages suivantes :For more information, see:

Conseil

Si le nom de domaine dans la valeur UPN est un domaine qui est vérifié pour votre locataire, ajoutez la valeur UPN de l’utilisateur comme autre adresse e-mail à l’attribut proxyAddresses d’Azure AD.If the domain name in the UPN value is a domain that is verified for your tenant, add the user's UPN value as another email address to the Azure AD proxyAddresses attribute. L’utilisateur est ainsi autorisé à utiliser Azure Rights Management si sa valeur UPN est spécifiée au moment où les droits d’utilisation sont accordés.This allows the user to be authorized for Azure Rights Management if their UPN value is specified at the time the usage rights are granted.

Pour plus d’informations, consultez Préparation des utilisateurs et groupes pour Azure Information Protection.For more information, see Preparing users and groups for Azure Information Protection.

Authentification locale avec AD FS ou un autre fournisseur d’authentificationAuthenticating on-premises using AD FS or another authentication provider

Si vous utilisez un appareil mobile ou un ordinateur Mac qui s’authentifie localement avec AD FS, ou un fournisseur d’authentification équivalent, vous devez utiliser AD FS sur l’une des configurations suivantes :If you're using a mobile device or Mac computer that authenticates on-premises using AD FS, or an equivalent authentication provider, you must use AD FS on one of the following configurations:

  • Version serveur minimale de Windows Server 2012 R2A minimum server version of Windows Server 2012 R2
  • Un autre fournisseur d’authentification qui prend en charge le protocole OAuth 2.0An alternative authentication provider that supports the OAuth 2.0 protocol

Étapes suivantesNext steps

Pour vérifier les autres conditions requises, consultez Configuration requise pour Azure Information Protection.To check for other requirements, see Requirements for Azure Information Protection.