Dodatkowe wymagania usługi Azure AD dotyczące Azure Information Protection

Dotyczy: Azure Information Protection, Office 365

Dotyczy: Ujednolicony klient etykietowania usługi AIP i klasyczny klient usługi AIP.

Uwaga

Aby zapewnić ujednolicone i usprawnione środowisko klienta, Azure Information Protection klasyczny klient i zarządzanie etykietami w witrynie Azure Portal są przestarzałe od 31 marca 2021. Mimo że klasyczny klient nadal działa zgodnie z konfiguracją, nie podano dalszej pomocy technicznej i wersje konserwacji nie będą już udostępniane dla klasycznego klienta.

Zalecamy przeprowadzenie migracji do ujednoliconej etykietowania i uaktualnienia do ujednoliconego klienta etykietowania. Więcej informacji znajdziesz w naszym blogu dotyczącym wycofania.

Katalog usługi Azure AD jest wymagany do korzystania z usługi Azure Information Protection. Użyj konta z katalogu usługi Azure AD, aby zalogować się do Azure Portal, w którym można Azure Information Protection ustawienia.

Jeśli masz subskrypcję, która obejmuje usługę Azure Information Protection azure Rights Management, w razie potrzeby katalog usługi Azure AD zostanie automatycznie utworzony.

W poniższych sekcjach przedstawiono dodatkowe wymagania dotyczące usług AIP i Azure AD dla określonych scenariuszy.

Obsługa uwierzytelniania opartego na certyfikatach (CBA)

Aplikacje Azure Information Protection dla systemów iOS i Android obsługują uwierzytelnianie oparte na certyfikatach.

Aby uzyskać więcej informacji, zobacz Wprowadzenie do uwierzytelniania opartego na certyfikatach w Azure Active Directory.

Uwierzytelnianie wieloskładnikowe i usługa Azure Information Protection

Aby używać uwierzytelniania wieloskładnikowego (MFA) z Azure Information Protection, musisz mieć zainstalowaną co najmniej jedną z następujących czynności:

  • Microsoft Office, wersja 2013 lub nowsza
  • Klient usługi AIP. Nie jest wymagana minimalna wersja. Klienci usługi AIP dla Windows, a także aplikacje przeglądarki dla systemów iOS i Android obsługują uwierzytelniania wieloskładnikowego.
  • Aplikacja Rights Management udostępniania dla komputerów Mac. Aplikacje RMS sharing obsługuje uwierzytelniania wieloskładnikowego od wersji z września 2015 r.

Uwaga

Jeśli masz program Office 2013, może być konieczne zainstalowanie dodatkowej aktualizacji do obsługi usługi Active Directory Authentication Library (ADAL), takiej jak aktualizacja z 9 czerwca 2015 r. dla wersji Office 2013 (KB3054853).

Po potwierdzeniu tych wymagań wstępnych wykonaj jedną z następujących czynności, w zależności od konfiguracji dzierżawy:

Rights Management łącznika/skanera AIP

Łącznik Rights Management i skaner Azure Information Protection nie obsługują uwierzytelniania wieloskładnikowego.

W przypadku wdrażania łącznika lub skanera następujące konta nie mogą wymagać uwierzytelniania wieloskładnikowego:

  • Konto, które instaluje i konfiguruje łącznik.
  • Konto jednostki usługi w usłudze Azure AD Aadrm_S-1-7-0, które tworzy łącznik.
  • Konto usługi, na których jest uruchamiany skaner.

Wartości nazwy UPN użytkownika nie są zgodne z ich adresami e-mail

Konfiguracje, w których wartości upn użytkowników nie są zgodne z ich adresami e-mail, nie są zalecaną konfiguracją i nie obsługują logowania Azure Information Protection.

Jeśli nie możesz zmienić wartości upn, skonfiguruj alternatywne identyfikatory dla odpowiednich użytkowników i poinstruuj ich, jak zalogować się do usługi Office przy użyciu tego alternatywnego identyfikatora.

Aby uzyskać więcej informacji, zobacz:

Porada

Jeśli nazwa domeny w wartości nazwy UPN jest domeną zweryfikowaną dla dzierżawy, dodaj wartość nazwy UPN użytkownika jako inny adres e-mail do atrybutu proxyAddresses usługi Azure AD. Dzięki temu użytkownik może być autoryzowany do korzystania z usługi Azure Rights Management, jeśli jego wartość nazwy UPN jest określona w czasie, gdy zostaną przyznane prawa użytkowania.

Aby uzyskać więcej informacji, zobacz artykuł Przygotowywanie użytkowników i grup do korzystania z usługi Azure Information Protection.

Uwierzytelnianie lokalne przy użyciu AD FS lub innego dostawcy uwierzytelniania

Jeśli używasz urządzenia przenośnego lub komputera Mac, który uwierzytelnia się lokalnie przy użyciu usługi AD FS lub równoważnego dostawcy uwierzytelniania, musisz użyć usługi AD FS w jednej z następujących konfiguracji:

  • Minimalna wersja serwera programu Windows Server 2012 R2
  • Alternatywny dostawca uwierzytelniania, który obsługuje protokół OAuth 2.0

Komputery z systemem Office 2010

Ważne

Office 2010 r. wsparcie rozszerzone zakończyło się 13 października 2020 r. Aby uzyskać więcej informacji, zobacz AIP and legacy Windows and Office versions (AIPi starsze wersje Office wersji).

Oprócz konta usługi Azure AD komputery z systemem Microsoft 2010 wymagają od klienta usługi Azure Information Protection uwierzytelniania usługi Windows w usłudze Azure Information Protection oraz jej usługi ochrony danych Azure Rights Management.

Jeśli konta użytkowników są federowane (na przykład używasz konta AD FS), te komputery muszą używać Windows-Integrated uwierzytelniania. W tym scenariuszu uwierzytelnianie oparte na formularzach nie umożliwi uwierzytelnienia użytkowników w ramach usługi Azure Information Protection.

Zalecamy wdrożenie aplikacji Azure Information Protection ujednoliconego etykietowania. Jeśli jeszcze nie uaktualniono systemu, może być nadal wdrożony Azure Information Protection klasycznego klienta.

Aby uzyskać więcej informacji, zobacz The client side of Azure Information Protection.

Następne kroki

Aby sprawdzić pozostałe wymagania, zobacz Requirements for Azure Information Protection (Wymagania dotyczące usługi Azure Information Protection).