Prérequis Azure AD supplémentaires pour Azure Information Protection

S’applique à : Azure Information Protection, Office 365

Concerne : Client d’étiquetage unifié AIP et client classique.

Notes

Pour fournir une expérience client unifiée et homogène, le client classique Azure Information Protection et la gestion des étiquettes dans le portail Azure sont dépréciés depuis le 31 mars 2021. Le client classique continue de fonctionner selon la configuration, mais aucun support n’est fourni, et les versions de maintenance ne sont plus publiées pour le client classique.

Nous vous recommandons de passer à l’étiquetage unifié et d’effectuer la mise à niveau vers le client d’étiquetage unifié. En savoir plus sur notre récent blog de dépréciation.

Un annuaire Azure AD est requis pour utiliser Azure Information Protection. Utilisez un compte d’un annuaire Azure AD pour vous connecter au portail Azure, dans lequel vous pouvez configurer les paramètres Azure Information Protection.

Si vous avez un abonnement incluant Azure Information Protection ou Azure Rights Management, votre annuaire Azure AD est créé automatiquement pour vous si nécessaire.

Les sections suivantes liste les prérequis AIP et Azure AD supplémentaires pour des scénarios spécifiques.

Prise en charge de l’authentification basée sur les certificats

Les applications Azure Information Protection pour iOS et Android prennent en charge l’authentification par certificat.

Pour plus d’informations, consultez Bien démarrer avec l’authentification basée sur les certificats dans Azure Active Directory.

Authentification multifacteur (MFA) et Azure Information Protection

Pour utiliser l’authentification multifacteur (MFA) avec Azure Information Protection, vous devez avoir installé au moins l’un des éléments suivants :

  • Microsoft Office, version 2013 ou ultérieure
  • Un client AIP. Aucune version minimale requise. Les clients AIP pour Windows, ainsi que les applications de visionneuse pour iOS et Android prennent tous en charge MFA.
  • Application de partage Rights Management pour les ordinateurs Mac. Les applications de partage RMS prennent en charge MFA depuis la version de septembre 2015.

Notes

Si vous avez Office 2013, vous risquez de devoir installer une mise à jour supplémentaire pour prendre en charge Active Directory Authentication Library (ADAL), comme la mise à jour pour Office 2013 du 9 juin 2015 (KB3054853).

Une fois que vous avez confirmé ces prérequis, effectuez l’une des opérations suivantes, en fonction de la configuration de votre locataire :

Configuration requise pour le connecteur Rights Management/ le moteur d’analyse AIP

Le connecteur Azure Rights Management et le moteur d’analyse Azure Information Protection ne prennent pas en charge la MFA.

Si vous déployez le connecteur ou le moteur d’analyse, les comptes suivants ne doivent pas exiger l’authentification multifacteur :

  • Le compte qui installe et configure le connecteur.
  • Le compte principal du service dans Azure AD, Aadrm_S-1-7-0 créé par le connecteur.
  • Le compte de service qui exécute le moteur d’analyse.

Les valeurs UPN des utilisateurs ne correspondent pas à leurs adresses e-mail

La configuration où les valeurs UPN des utilisateurs ne correspondent pas à leurs adresses e-mail n’est pas recommandée et ne prend pas en charge l’authentification unique pour Azure Information Protection.

Si vous ne pouvez pas changer la valeur UPN, configurez d’autres ID pour les utilisateurs concernés et indiquez-leur comment se connecter à Office avec cet autre ID.

Pour plus d'informations, consultez les pages suivantes :

Conseil

Si le nom de domaine dans la valeur UPN est un domaine qui est vérifié pour votre locataire, ajoutez la valeur UPN de l’utilisateur comme autre adresse e-mail à l’attribut proxyAddresses d’Azure AD. L’utilisateur est ainsi autorisé à utiliser Azure Rights Management si sa valeur UPN est spécifiée au moment où les droits d’utilisation sont accordés.

Pour plus d’informations, consultez Préparation des utilisateurs et groupes pour Azure Information Protection.

Authentification locale avec AD FS ou un autre fournisseur d’authentification

Si vous utilisez un appareil mobile ou un ordinateur Mac qui s’authentifie localement avec AD FS, ou un fournisseur d’authentification équivalent, vous devez utiliser AD FS sur l’une des configurations suivantes :

  • Version serveur minimale de Windows Server 2012 R2
  • Un autre fournisseur d’authentification qui prend en charge le protocole OAuth 2.0

Ordinateurs qui exécutent Office 2010

Important

Le support étendu d’Office 2010 a pris fin le 13 octobre 2020. Pour plus d’informations, consultez AIP et versions héritées de Windows et d’Office.

En plus d’un compte Azure AD, les ordinateurs qui exécutent Microsoft 2010 nécessitent le client Azure Information Protection pour Windows pour s’authentifier auprès d’Azure Information Protection, et son service de protection des données, Azure Rights Management.

Si vos comptes d’utilisateur sont fédérés (par exemple, si vous utilisez AD FS), ces ordinateurs doivent utiliser l’authentification intégrée de Windows. L’authentification basée sur les formulaires dans ce scénario ne peut pas authentifier les utilisateurs pour Azure Information Protection.

Nous vous recommandons de déployer le client d’étiquetage unifié Azure Information Protection. Si vous n’avez pas encore effectué la mise à niveau, vous avez peut-être encore le client classique Azure Information Protection qui est déployé sur votre système.

Pour plus d’informations, consultez Côté client d’Azure Information Protection.

Étapes suivantes

Pour vérifier les autres conditions requises, consultez Configuration requise pour Azure Information Protection.