Дополнительные требования Azure AD для Azure Information Protection

Область применения: Azure Information Protection, Office 365

К чему относится: клиент унифицированных меток и классический клиент AIP.

Примечание

Для унификации и улучшения работы пользователей поддержка классического клиента Azure Information Protection и клиента управления метками на портале Azure прекращается с 31 марта 2021 г. Хотя классический клиент продолжит работать, дальнейшая поддержка предоставляться не будет и версии для обслуживания классического клиента больше не будут выпускаться.

Рекомендуется перейти на унифицированные метки и выполнить обновление до клиента унифицированных меток. Дополнительные сведения см. в недавней записи блога о прекращении использования.

Каталог Azure AD является обязательным для использования Azure Information Protection. Используйте учетную запись из каталога Azure AD для входа на портал Azure, где можно настроить параметры Azure Information Protection.

При наличии подписки, которая включает Azure Information Protection или Azure Rights Management, каталог Azure AD создается автоматически при необходимости.

В следующих разделах перечислены дополнительные требования к AIP и Azure AD для конкретных сценариев.

Поддержка проверки подлинности на основе сертификатов (CBA)

Приложения Azure Information Protection для iOS и Android поддерживают проверку подлинности на основе сертификатов.

Дополнительные сведения см. в разделе Начало работы с проверкой подлинности на основе сертификатов в Azure Active Directory.

Многофакторная проверка подлинности (MFA) и Azure Information Protection

Для использования многофакторной проверки подлинности (MFA) с Azure Information Protection у вас должен быть установлен по меньшей мере один из следующих компонентов:

  • Microsoft Office версии 2013 или более поздней
  • Клиент AIP. Минимальная требуемая версия отсутствует. Клиенты AIP для Windows, а также средства просмотра для iOS и Android поддерживают MFA.
  • Приложение для управления доступом Rights Management для компьютеров Mac. В приложениях для управления доступом RMS MFA поддерживается с выпуска от сентября 2015 года.

Примечание

Если у вас Office 2013, возможно, потребуется установить дополнительное обновление для поддержки библиотеки проверки подлинности Active Directory (ADAL), например обновление для Office 2013 от 9 июня 2015 года (KB3054853).

После подтверждения этих предварительных требований выполните одно из следующих действий в зависимости от конфигурации клиента:

Требования соединителя Rights Management / сканера AIP

Соединитель Rights Management и Azure Information Protection сканера не поддерживают многофакторную проверку подлинности.

При развертывании соединителя или сканера следующие учетные записи не должны требовать многофакторную проверку подлинности:

  • учетная запись, которая устанавливает и настраивает соединитель;
  • учетная запись субъекта-службы в Azure AD Aadrm_S-1-7-0, которую создает соединитель;
  • учетная запись службы, которая запускает сканер.

Значения имен участника-пользователя не соответствует адресам электронной почты

Конфигурации, в которых значения имен участника-пользователя не совпадают с адресами электронной почты, не рекомендуются и не поддерживают единый вход для Azure Information Protection.

Если невозможно изменить имя участника-пользователя, настройте альтернативный идентификатор для соответствующих пользователей и объясните им, как входить в Office с его помощью.

Дополнительные сведения можно найти в разделе

Совет

Если доменное имя в значении имени участника-пользователя указывает на домен, проверенный для вашего клиента, добавьте значение этого имени как другой адрес электронной почты в атрибут proxyAddresses для Azure AD. Это авторизует пользователя для использования Azure Rights Management, если значение его имени участника-пользователя указывается при предоставлении прав на использование.

Дополнительные сведения см. в статье Подготовка пользователей и групп к использованию в Azure Information Protection.

Проверка подлинности в локальной среде с помощью AD FS или другого поставщика проверки подлинности

Если вы используете мобильное устройство или компьютер Mac, которые проходят проверку подлинности в локальной среде с помощью AD FS или эквивалентного поставщика проверки подлинности, необходимо использовать AD FS в одной из следующих конфигураций:

  • Минимальная версия сервера Windows Server 2012 R2
  • Альтернативный поставщик проверки подлинности, который поддерживает протокол OAuth 2.0.

Компьютеры с Office 2010

Важно!

Расширенная поддержка Office 2010 завершилась13 октября 2020 г. Дополнительные сведения см. в разделе AIP и устаревшие версии Windows и Office.

Помимо учетной записи Azure AD на компьютерах под управлением Microsoft 2010 должен быть установлен клиент Azure Information Protection для Windows, чтобы выполнять проверку подлинности в Azure Information Protection, а также в службе защиты данных, Azure Rights Management.

Если учетные записи пользователей являются федеративными (например, вы пользуетесь AD FS), эти компьютеры должны использовать встроенную проверку подлинности Windows. Проверка подлинности пользователей в Azure Information Protection на основе форм в этом сценарии не работает.

Мы рекомендуем развернуть клиент унифицированных меток Azure Information Protection. Если вы пока не выполняли обновление, у вас в системе может быть развернут классический клиент Azure Information Protection.

Дополнительные сведения см. в статье Azure Information Protection со стороны клиента.

Дальнейшие действия

Другие требования см. в статье Требования для Azure Information Protection.