Azure Information Protection の Azure Active Directory の要件Azure Active Directory requirements for Azure Information Protection

適用対象: Azure Information ProtectionOffice 365Applies to: Azure Information Protection, Office 365

Azure Information Protection を使用するには、Azure AD ディレクトリが必要です。You must have an Azure AD directory to use Azure Information Protection. このディレクトリのアカウントを使用して Azure Portal にサインインします。ここでは、たとえば、Azure Information Protection ラベルや Rights Management テンプレートを構成し、管理できます。You use an account from this directory to sign in to the Azure portal, where, for example, you can configure and manage Azure Information Protection labels and Azure Rights Management templates.

Azure Information Protection または Azure Rights Management を含むサブスクリプションをお持ちの場合は、必要に応じて Azure AD ディレクトリが自動的に作成されます。If you have a subscription that includes Azure Information Protection or Azure Rights Management, your Azure AD directory is automatically created for you if needed.

Azure AD の詳細については、「Azure Active Directory とは」をご覧ください。For more information about Azure AD, see What is Azure AD Directory?

Azure AD ディレクトリをオンプレミス AD フォレストと統合するには、「オンプレミスの Active Directory ドメインと Azure Active Directory を統合する」をご覧ください。To integrate your Azure AD directory with your on-premises AD forests, see Integrate on-premises Active Directory domains with Azure Active Directory.

特定の要件があるシナリオScenarios that have specific requirements

Office 2010 を実行しているコンピューターの場合:Computers running Office 2010:

  • これらのコンピューターでは、Azure Information Protection 統合されたラベル付けクライアントまたはAzure Information Protection クライアントが Azure Information Protection とそのデータ保護サービスである Azure Rights Management に対して認証を行う必要があります。These computers require the Azure Information Protection unified labeling client or Azure Information Protection client to authenticate to Azure Information Protection and its data protection service, Azure Rights Management.

  • ユーザー アカウントがフェデレーションされる (たとえば、AD FS を使用する) 場合、Windows 統合認証を使用する必要があります。If your user accounts are federated (for example, you use AD FS), they must use Windows Integrated Authentication. このシナリオでのフォーム ベース認証は、Azure Information Protection のユーザー認証に失敗します。Forms-based authentication in this scenario fails to authenticate users for Azure Information Protection.

証明書ベースの認証 (CBA) のサポート:Support for certificate-based authentication (CBA):

ユーザーの UPN 値がユーザーの電子メール アドレスと一致しない:Users' UPN value doesn't match their email address:

AD FS または同等の認証プロバイダーを使用してオンプレミスで認証を行うモバイル デバイスまたは Mac コンピューターの場合:Mobile devices or Mac computers that authenticate on-premises by using AD FS or an equivalent authentication provider:

  • 最小サーバー バージョンの Windows Server 2012 R2 で AD FS を使用するか、OAuth 2.0 プロトコルをサポートするその他の認証プロバイダーを使用する必要があります。You must use AD FS on the minimum server version of Windows Server 2012 R2, or an alternative authentication provider that supports the OAuth 2.0 protocol.

多要素認証 (MFA) と Azure Information ProtectionMulti-factor authentication (MFA) and Azure Information Protection

Azure Information Protection で多要素認証 (MFA) を使用するには、次のうち 1 つ以上が必要です。To use multi-factor authentication (MFA) with Azure Information Protection requires at least one of the following:

  • Office 2013 (最小バージョン):Office 2013 (minimum version):

  • Azure Information Protection クライアント:Azure Information Protection client:

    • Windows 用の Azure Information Protection クライアントおよび iOS および Android 用のビューアーアプリでは、常に MFA がサポートされています。最小バージョンは必要ありません。The Azure Information Protection clients for Windows and the viewer app for iOS and Android has always supported MFA; no minimum version is required.
  • Mac コンピューター用の Rights Management 共有アプリ:Rights Management sharing app for Mac computers:

    • MFA では、2015 の年 9 月以降にリリースされた RMS 共有アプリがサポートされます。MFA support went into the September 2015 release of the RMS sharing app.

確認後、MFA ソリューションを構成します。Then, configure your MFA solution:

Rights Management コネクタおよび Azure Information Protection スキャナーでは、MFA はサポートされません。The Rights Management connector and the Azure Information Protection scanner do not support MFA. コネクタまたはスキャナーをデプロイする場合は、次のアカウントで MFA を要求することはできません。If you deploy the connector or scanner, the following accounts must not require MFA:

  • コネクタをインストールおよび構成するアカウント。The account that installs and configures the connector.

  • コネクタが作成する、Azure AD のサービス プリンシパル アカウント (Aadrm_S-1-7-0)。The service principal account in Azure AD, Aadrm_S-1-7-0, that the connector creates.

  • スキャナーを実行するサービス アカウント。The service account that runs the scanner.

次のステップNext steps

その他の要件を確認するには、「Azure Information Protection の要件」をご覧ください。To check for other requirements, see Requirements for Azure Information Protection.