Azure Information Protection に対する Azure AD の追加要件Additional Azure AD requirements for Azure Information Protection

*適用対象: Azure Information ProtectionOffice 365**Applies to: Azure Information Protection, Office 365*

*関連する内容: AIP の統合ラベル付けクライアントと AIP のクラシック クライアント。**Relevant for: AIP unified labeling client and AIP classic client.*

注意

統一された効率的なカスタマー エクスペリエンスを提供するため、Azure portal の Azure Information Protection のクラシック クライアントラベル管理 は、2021 年 3 月 31 日 をもって 非推奨 になります。To provide a unified and streamlined customer experience, the Azure Information Protection classic client and Label Management in the Azure Portal are being deprecated as of March 31, 2021.

このタイムフレームにより、現在のすべての Azure Information Protection のお客様は、Microsoft Information Protection 統合ラベル付けソリューションに移行することができます。This time-frame allows all current Azure Information Protection customers to transition to the Microsoft Information Protection unified labeling solution. 詳細については、公式な非推奨の通知をご覧ください。Learn more in the official deprecation notice.

Azure Information protection を使用するには、Azure AD が必要です。An Azure AD directory is a requirement for using Azure Information protection. Azure AD ディレクトリのアカウントを使用して Azure portal にサインインし、Azure Information Protection の設定を構成できます。Use an account from an Azure AD directory to sign in to the Azure portal, where you can configure Azure Information Protection settings.

Azure Information Protection または Azure Rights Management を含むサブスクリプションをお持ちの場合は、必要に応じて Azure AD ディレクトリが自動的に作成されます。If you have a subscription that includes Azure Information Protection or Azure Rights Management, your Azure AD directory is automatically created for you if needed.

次のセクションでは、特定のシナリオに関する追加の AIP と Azure AD の要件について説明します。The following sections list additional AIP and Azure AD requirements for specific scenarios.

証明書ベースの認証 (CBA) のサポートSupport for certificate-based authentication (CBA)

iOS および Android 用の Azure Information Protection アプリでは、証明書ベースの認証をサポートしています。The Azure Information Protection apps for iOS and Android support certificate-based authentication.

詳細については、「Azure Active Directory の証明書ベースの認証の概要」を参照してください。For more information, see Get started with certificate-based authentication in Azure Active Directory.

多要素認証 (MFA) と Azure Information ProtectionMulti-factor authentication (MFA) and Azure Information Protection

Azure Information Protection で多要素認証 (MFA) を使用するには、次のうち 1 つ以上をインストールする必要があります。To use multi-factor authentication (MFA) with Azure Information Protection, you must have at least one of the following installed:

  • Microsoft Office バージョン 2013 以降Microsoft Office, version 2013 or higher
  • AIP クライアントAn AIP client. 必要最小バージョンはありません。No minimum version required. AIP clients for Windows、および iOS と Android 用のビューアー アプリはすべて MFA をサポートしています。The AIP clients for Windows, as well as the viewer apps for iOS and Android all support MFA.
  • Mac コンピューター用の Rights Management 共有アプリケーションThe Rights Management sharing app for Mac computers. Microsoft Rights Management 共有アプリケーションでは、2015 年 9 月のリリース以降、MFA がサポートされています。The RMS sharing apps have supported MFA since the September 2015 release.

注意

Office 2013 をご使用の場合に Active Directory Authentication Library (ADAL) をサポートするには、Office 2013 (KB3054853) の 2015 年 6 月 9 日更新のような追加の更新プログラムのインストールが必要な場合があります。If you have Office 2013, you might need to install an additional update to support Active Directory Authentication Library (ADAL), such as the June 9, 2015, update for Office 2013 (KB3054853).

詳細については、Office ブログの「Office 2013 modern authentication public preview announced」(Office 2013 先進認証のパブリック プレビューが発表されました) を参照してください。For more information, see Office 2013 modern authentication public preview announced on the Office blog.

これらの前提条件を確認したら、テナントの構成に応じて、次のいずれかを行います。Once you've confirmed these prerequisites, do one of the following, depending on your tenant configuration:

Rights Management コネクタ/AIP スキャナの要件Rights Management connector / AIP scanner requirements

Rights Management コネクタおよび Azure Information Protection スキャナーでは、MFA はサポートされません。The Rights Management connector and the Azure Information Protection scanner do not support MFA.

コネクタまたはスキャナーをデプロイする場合は、次のアカウントで MFA を要求することはできません。If you deploy the connector or scanner, the following accounts must not require MFA:

  • コネクタをインストールおよび構成するアカウント。The account that installs and configures the connector.
  • コネクタが作成する、Azure AD のサービス プリンシパル アカウント (Aadrm_S-1-7-0)。The service principal account in Azure AD, Aadrm_S-1-7-0, that the connector creates.
  • スキャナーを実行するサービス アカウント。The service account that runs the scanner.

ユーザーの UPN 値がユーザーのメール アドレスと一致しないUser UPN values don't match their email addresses

ユーザーの UPN 値がユーザーのメール アドレスと一致しない構成は、推奨される構成ではなく、Azure Information Protection のシングル サインオンをサポートしていません。Configurations where users' UPN values don't match their email addresses is not a recommended configuration, and does not support single-sign on for Azure Information Protection.

UPN 値を変更できない場合は、関連するユーザーの代替 ID を構成し、この代替 ID を使用して Office にサインインする方法をユーザーに指示してください。If you cannot change the UPN value, configure alternate IDs for the relevant users, and instruct them how to sign in to Office by using this alternate ID.

詳細については、次を参照してください。For more information, see:

ヒント

UPN 値内のドメイン名が、テナントを確認するためのドメインである場合は、ユーザーの UPN 値を別の電子メール アドレスとして Azure AD proxyAddresses 属性に追加します。If the domain name in the UPN value is a domain that is verified for your tenant, add the user's UPN value as another email address to the Azure AD proxyAddresses attribute. これにより、使用権限が与えられる時点でユーザーの UPN 値が指定されている場合は、このユーザーの Azure Rights Management が承認されます。This allows the user to be authorized for Azure Rights Management if their UPN value is specified at the time the usage rights are granted.

詳細については、「Azure Information Protection 向けのユーザーとグループの準備」をご覧ください。For more information, see Preparing users and groups for Azure Information Protection.

AD FS または別の認証プロバイダーを使用したオンプレミスの認証Authenticating on-premises using AD FS or another authentication provider

AD FS または同等の認証プロバイダーを使用してオンプレミスで認証を行うモバイル デバイスまたは Mac コンピューターを使用している場合は、次のいずれかの構成で AD FS を使用する必要があります。If you're using a mobile device or Mac computer that authenticates on-premises using AD FS, or an equivalent authentication provider, you must use AD FS on one of the following configurations:

  • Windows Server 2012 R2 の最小サーバー バージョンA minimum server version of Windows Server 2012 R2
  • OAuth 2.0 プロトコルをサポートする代替の認証プロバイダーAn alternative authentication provider that supports the OAuth 2.0 protocol

Office 2010 を実行しているコンピューターComputers running Office 2010

重要

Office 2010 の延長サポートは、2020 年 10 月 13 日に終了しました。Office 2010 extended support ended on October 13, 2020. 詳細については、「AIP と従来の Windows および Office バージョン」を参照してください。For more information, see AIP and legacy Windows and Office versions.

Azure Information Protection とそのデータ保護サービスである Azure Rights Management に対して認証を行うには、Azure AD アカウントに加えて、Microsoft 2010 を実行するコンピューターに Windows 用の Azure Information Protection クライアントが必要です。In addition to an Azure AD account, computers running Microsoft 2010 require the Azure Information Protection client for Windows to authenticate to Azure Information Protection, and its data protection service, Azure Rights Management.

ユーザー アカウントがフェデレーションされる (たとえば、AD FS を使用する) 場合、これらのコンピューターで Windows 統合認証を使用する必要があります。If your user accounts are federated (for example, you use AD FS), these computers must use Windows-Integrated Authentication. このシナリオでのフォーム ベース認証は、Azure Information Protection のユーザー認証に失敗します。Forms-based authentication in this scenario fails to authenticate users for Azure Information Protection.

Azure Information Protection 統合ラベル付けクライアントをデプロイすることをお勧めします。We recommend that you deploy the Azure Information Protection unified labeling client. まだアップグレードしていない場合は、Azure Information Protection のクラシック クライアントがデプロイされたままになっている可能性があります。If you haven't yet upgraded, your system may still have the Azure Information Protection classic client deployed.

詳しくは、「クライアント側での Azure Information Protection」をご覧ください。For more information, see The client side of Azure Information Protection.

次の手順Next steps

その他の要件を確認するには、「Azure Information Protection の要件」をご覧ください。To check for other requirements, see Requirements for Azure Information Protection.