Azure Information Protection 用の Microsoft Entra 追加要件

Note

Microsoft Purview Information Protection をお探しですか? (以前の Microsoft Information Protection (MIP))

Office 用 Azure Information Protection アドインは現在メンテナンス モードにあり、2024 年 4 月に廃止される予定です。 代わりに、Office 365 のアプリとサービスに組み込まれるラベルを使うことをお勧めします。 詳細については、「他の Azure Information Protection コンポーネントのサポート状況」を参照してください。

Microsoft Entra ディレクトリはAzure Information Protection を使用するための要件です。 Microsoft Entra ディレクトリのアカウントを使用して Azure portal にサインインし、Azure Information Protection の設定を構成できます。

Azure Information Protection または Azure Rights Management を含むサブスクリプションを持つ場合は、必要に応じて Microsoft Entra ディレクトリが自動的に作成されます。

次のセクションでは、特定のシナリオに追加の AIP と Microsoft Entra の要件を示します。

証明書ベースの認証(CBA)のサポート

iOS および Android 用のAzure Information Protection アプリは、証明書ベースの認証をサポートしています。

詳細については、「Microsoft Entra ID の証明書ベースの認証を開始する」を参照してください。

多要素認証 (MFA) と Azure Information Protection  

Azure Information Protection で多要素認証 (MFA) を使用するには、次の少なくとも 1 つがインストールされている必要があります。

  • Microsoft Officeで、2013またはそれ以上の バージョン
  • AIP クライアント。  最小バージョンは必要がありません。 Windows 用の AIP クライアントと、iOS および Android 用のビューア アプリはすべて MFA をサポートしています。 
  • Mac コンピュータ用の Rights Management 共有アプリ。 RMS 共有アプリは、2015 年 9 月のリリース以降、MFA をサポートしています。

Note

Office 2013 を持つ場合は、Active Directory 認証ライブラリ (ADAL) をサポートするための追加の更新プログラム (2015 年 6 月 9 日、Office 2013 用の更新プログラム (KB 3054853) など) をインストールする必要がある場合があります。

これらの前提条件を確認したら、テナントの構成によって、次のいずれかの操作を行います。

Rights Management コネクタ/AIP スキャナーの要件 

Rights Management コネクタと Azure Information Protection スキャナーは MFA をサポートしていません。 

コネクタまたはスキャナーを配備する場合、次のアカウントは MFA を必要としてはなりません。

  • コネクタをインストールして構成するアカウント。 
  • コネクタが作成する Microsoft Entra ID Aadrm_S-1-7-0 のサービス プリンシパル アカウント。 
  • スキャナーを実行するサービス アカウント。 

ユーザー UPN 値は電子メール アドレスと一致しません

ユーザー のUPN 値が電子メール アドレスと一致しない構成は推奨される構成ではなく、Azure Information Protection のシングル サインオンがサポートされていません。

UPN 値を変更できない場合は、関連するユーザーの代替 ID を構成し、この代替 ID を使用して Office にサインインする方法を指示します。 

詳細については、以下を参照してください:

ヒント

UPN 値の ドメイン 名がテナントで検証される ドメイン の場合は、ユーザーの UPN 値を別の電子メール アドレスとして Microsoft Entra ID proxyAddresses 属性に追加します。 これにより、使用権限が付与された時点で UPN 値が指定されている場合、ユーザーにAzure Rights Management の承認を受けられます。

詳細については、「Azure Information Protection 向けのユーザーとグループの準備」を参照してください。

AD FS または別の認証プロバイダーを使用したオンプレミスの認証 

AD FS または同等の認証プロバイダーを使用してオンプレミスを認証するモバイル デバイスまたは Mac コンピュータを使用している場合は、次のいずれかの構成で AD FS を使用する必要があります。

  • Windows Server 2012 R2 の 最小サーバー バージョン 
  • OAuth 2.0 プロトコルをサポートする代替の認証プロバイダー

次のステップ

他の要件をチェックするには、「Azure Information Protection の要件」を参照してください