Azure Information Protection 用の Microsoft Entra 追加要件

Note

Microsoft Purview Information Protection をお探しですか? (以前の Microsoft Information Protection (MIP))

Azure Information Protection アドインは廃止され、Microsoft 365 アプリとサービスに組み込まれているラベルに置き換えられています。 詳細については、「他の Azure Information Protection コンポーネントのサポート状況」を参照してください。

新しい Microsoft Purview Information Protection クライアント (アドインなし) は現在プレビュー段階であり、一般提供が予定されています。

Microsoft Entra ディレクトリは Azure Information Protection を使用するための要件です。 Microsoft Entra ディレクトリのアカウントを使用して、Microsoft Purview コンプライアンス ポータルまたは Microsoft Purview ポータルにサインインします。

Microsoft Purview Information Protection または Azure Rights Management を含むサブスクリプションを持つ場合は、必要に応じて Microsoft Entra ディレクトリが自動的に作成されます。

次のセクションでは、特定のシナリオに追加の AIP と Microsoft Entra の要件を示します。

証明書ベースの認証(CBA)のサポート

iOS および Android 用の Information Protection アプリは、証明書ベースの認証をサポートしています。

詳細については、「Microsoft Entra ID の証明書ベースの認証を開始する」を参照してください。

多要素認証 (MFA) と Azure Information Protection　　

Azure Information Protection で多要素認証 (MFA) を使用するには、次の少なくとも 1 つがインストールされている必要があります。

• Microsoft Entra ID または Microsoft 365 を使用する Microsoft が管理するテナント。　 ユーザーに MFA を強制するように Azure MFA を構成します。

  詳細については、以下を参照してください:

  • クラウドでの Azure Multi-Factor Authentication Server の概要
  • Azure Multi-Factor Authentication とは

• フェデレーション サーバーがオンプレミスで動作するフェデレーション テナント。　 Microsoft Entra ID または Microsoft 365 用にフェデレーション サーバーを構成します。　 たとえば、AD FS を使用している場合は、「AD FS の追加の認証方法を構成する」を参照してください。　

Rights Management コネクタの要件

Rights Management コネクタと Microsoft Purview Information Protection スキャナーは MFA をサポートしていません。

コネクタまたはスキャナーを配備する場合、次のアカウントは MFA を必要としてはなりません。

• コネクタをインストールして構成するアカウント。　
• コネクタが作成する Microsoft Entra ID Aadrm_S-1-7-0 のサービス プリンシパル アカウント。　
• スキャナーを実行するサービス アカウント。　

ユーザー UPN 値は電子メール アドレスと一致しません

ユーザー のUPN 値が電子メール アドレスと一致しない構成は推奨される構成ではなく、Azure Information Protection のシングル サインオンがサポートされていません。

UPN 値を変更できない場合は、関連するユーザーの代替 ID を構成し、この代替 ID を使用して Office にサインインする方法を指示します。　

詳細については、以下を参照してください:

• 代替ログイン ID を構成する
• Office アプリケーション は、SharePoint、OneDrive、および Lync Online への資格情報を定期的に提示します。

ヒント

UPN 値の ドメイン 名がテナントで検証される ドメイン の場合は、ユーザーの UPN 値を別の電子メール アドレスとして Microsoft Entra ID proxyAddresses 属性に追加します。 これにより、使用権限が付与された時点で UPN 値が指定されている場合、ユーザーにAzure Rights Management の承認を受けられます。

詳細については、「Azure Information Protection 向けのユーザーとグループの準備」を参照してください。

AD FS または別の認証プロバイダーを使用したオンプレミスの認証　

AD FS または同等の認証プロバイダーを使用してオンプレミスを認証するモバイル デバイスまたは Mac コンピュータを使用している場合は、次のいずれかの構成で AD FS を使用する必要があります。

• Windows Server 2016 の最小サーバー バージョン
• OAuth 2.0 プロトコルをサポートする代替の認証プロバイダー

次のステップ

他の要件をチェックするには、「Azure Information Protection の要件」を参照してください。