Aanvullende Azure AD-vereisten voor Azure Information Protection

Van toepassing op : Azure Information Protection, Office 365

Relevant voor: Client voor eenduidige AIP-labels en klassieke AIP-client.

Notitie

Om een geïntegreerde en gestroomlijnde klant ervaring te bieden, zijn de Azure Information Protection klassieke client en Label beheer in azure Portal verouderd vanaf 31 maart 2021. Terwijl de klassieke client blijft werken zoals geconfigureerd, wordt er geen verdere ondersteuning geboden en worden er geen onderhouds versies meer vrijgegeven voor de klassieke client.

We raden u aan om te migreren naar Unified labels en een upgrade uit te voeren naar de Unified labeling-client. Meer informatie vindt u in onze recente blog voor afschaffing.

Een Azure AD-directory is een vereiste voor het gebruik van Azure Information Protection. Gebruik een account uit een Azure AD-directory om u aan te melden bij de Azure Portal, waar u de instellingen Azure Information Protection configureren.

Als u een abonnement hebt met Azure Information Protection of Azure Rights Management, wordt uw Azure AD-directory automatisch voor u gemaakt, indien nodig.

In de volgende secties worden aanvullende AIP- en Azure AD-vereisten voor specifieke scenario's vermeld.

Ondersteuning voor verificatie op basis van certificaten (CBA)

De Azure Information Protection-apps voor iOS en Android bieden ondersteuning voor verificatie op basis van certificaten.

Zie Aan de slag met verificatie op basis van certificaten in Azure Active Directory.

Azure RMS-vereisten: Azure AD-map

Als u Multi-Factor Authentication (MFA) wilt gebruiken met Azure Information Protection, moet ten minste een van de volgende opties zijn geïnstalleerd:

  • Microsoft Office, versie 2013 of hoger
  • Een AIP-client. Er is geen minimale versie vereist. De AIP-clients voor Windows, evenals de viewer-apps voor iOS en Android ondersteunen allemaal MFA.
  • De Rights Management-app voor delen voor Mac-computers. De RMS sharing-apps ondersteunen MFA sinds de release van september 2015.

Notitie

Als u Office 2013 hebt, moet u mogelijk een extra update installeren ter ondersteuning van Active Directory Authentication Library (ADAL), zoals de update van 9 juni 2015 voor Office 2013 (KB3054853).

Nadat u deze vereisten hebt bevestigd, doet u een van de volgende stappen, afhankelijk van uw tenantconfiguratie:

Rights Management connector/AIP-scannervereisten

De Rights Management-connector en de Azure Information Protection scanner bieden geen ondersteuning voor MFA.

Als u de connector of scanner implementeert, mogen de volgende accounts geen MFA vereisen:

  • Het account dat de connector installeert en configureert.
  • Het service-principal-account in Azure AD, Aadrm_S-1-7-0, dat door de connector wordt gemaakt.
  • Het serviceaccount dat de scanner wordt uitgevoerd.

UPN-waarden van gebruikers komen niet overeen met hun e-mailadressen

Configuraties waarbij de UPN-waarden van gebruikers niet overeenkomen met hun e-mailadressen, is geen aanbevolen configuratie en bieden geen ondersteuning voor een Azure Information Protection.

Als u de UPN-waarde niet kunt wijzigen, configureert u alternatieve id's voor de relevante gebruikers en instrueert u hen hoe ze zich kunnen aanmelden bij Office met behulp van deze alternatieve id.

Zie voor meer informatie:

Tip

Als de domeinnaam in de UPN-waarde een domein is dat is geverifieerd voor uw tenant, voegt u de UPN-waarde van de gebruiker als een ander e-mailadres toe aan het azure AD-proxyAddresses-kenmerk. Hierdoor kan de gebruiker worden geautoriseerd voor Azure Rights Management als de UPN-waarde is opgegeven op het moment dat de gebruiksrechten worden verleend.

Zie Gebruikers en groepen voorbereiden voor Azure Information Protection voor meer informatie.

On-premises verificatie met AD FS of een andere verificatieprovider

Als u een mobiel apparaat of Mac-computer gebruikt die on-premises verifieert met behulp van AD FS of een equivalente verificatieprovider, moet u AD FS gebruiken op een van de volgende configuraties:

  • Een minimale serverversie van Windows Server 2012 R2
  • Een alternatieve verificatieprovider die het OAuth 2.0-protocol ondersteunt

Computers met Office 2010

Belangrijk

Office uitgebreide ondersteuning van 2010 beëindigd op 13 oktober 2020. Zie AIP and legacy Windows and Office versions (AIP-en verouderde Office versies) voor meer informatie.

Naast een Azure AD-account moeten computers met Microsoft 2010 de Azure Information Protection-client voor Windows verifiëren bij Azure Information Protection en de gegevensbeveiligingsservice Azure Rights Management.

Als uw gebruikersaccounts federatief zijn (u gebruikt bijvoorbeeld AD FS), moeten deze computers gebruikmaken van Windows-Integrated verificatie. Verificatie op basis van formulieren werkt in dit scenario niet om gebruikers te verifiëren voor Azure Information Protection.

U wordt aangeraden de client voor Azure Information Protection eenduidige labels te implementeren. Als u nog geen upgrade hebt uitgevoerd, is de klassieke client mogelijk nog Azure Information Protection op uw systeem.

Zie De clientzijde van de Azure Information Protection voor meer informatie.

Volgende stappen

Zie Vereisten voor Azure Information Protection voor informatie over andere vereisten.