Ytterligare Azure AD-krav för Azure Information Protection

Gäller för:Azure Information Protection, Office 365

Relevant för:AIP unified labeling client and AIP classic client.

Obs!

För att ge en enhetlig och smidig kundupplevelse är den klassiska Azure Information Protection-klienten och Etiketthantering i Azure-portalen inaktuella sedan den 31 mars 2021. Inget ytterligare stöd tillhandahålls för den klassiska klienten och underhållsversioner kommer inte längre att släppas.

Den klassiska klienten upphör officiellt och slutar fungera den 31 mars 2022.

Alla aktuella kunder med Azure Information Protection för klassiska klienter måste migrera till Microsoft Information Protection unified labeling-plattformen och uppgradera till den enhetliga etikettklienten. Läs mer i vår migreringsblogg.

En Azure AD-katalog är ett krav för att använda Azure Information Protection. Använd ett konto från en Azure AD-katalog för att logga in på Azure-portalen, där du kan konfigurera inställningar för Azure Information Protection.

Om du har en prenumeration som omfattar Azure Information Protection eller Azure Rights Management skapas Azure AD-katalogen automatiskt åt dig om det behövs.

I följande avsnitt visas ytterligare AIP- och Azure AD-krav för specifika scenarier.

Stöd för certifikatbaserad autentisering (CBA)

Azure Information Protection-apparna för iOS och Android har stöd för certifikatbaserad autentisering.

Mer information finns i Komma igång med certifikatbaserad autentisering i Azure Active Directory.

Multifaktorautentisering (MFA) och Azure Information Protection

Om du vill använda multifaktorautentisering (MFA) med Azure Information Protection måste du ha minst ett av följande installerat:

  • Microsoft Office, version 2013 eller senare
  • En AIP-klient. Ingen lägsta version krävs. AIP-klienterna för Windows, liksom visningsapparna för iOS och Android, har stöd för MFA.
  • Rights Management-delningsappen för Mac-datorer. RMS-delningsapparna har stöd för MFA sedan versionen från september 2015.

Obs!

Om du har Office 2013 kan du behöva installera en extra uppdatering för att stödja Active Directory Authentication Library (ADAL), till exempel uppdateringen från den 9 juni 2015 för Office 2013 (KB3054853).

När du har bekräftat dessa krav gör du något av följande, beroende på klientorganisationens konfiguration:

Krav för Rights Management-anslutning/AIP-skanner

Rights Management-anslutningen och Azure Information Protection-skannern stöder inte MFA.

Om du distribuerar anslutningen eller skannern får följande konton inte innehålla MFA:

  • Kontot som installerar och konfigurerar kopplingen.
  • Tjänstens huvudkonto i Azure AD, Aadrm_S-1-7-0, som kopplingen skapar.
  • Tjänstkontot som kör skannern.

UPN-värden för användare stämmer inte överens med deras e-postadresser

Konfigurationer där användarnas UPN-värden inte stämmer överens med deras e-postadresser är inte en rekommenderad konfiguration och stöder inte enkel inloggning för Azure Information Protection.

Om du inte kan ändra UPN-värdet konfigurerar du alternativa ID:n för relevanta användare och instruerar dem att logga in på Office med hjälp av detta alternativa ID.

Mer information finns i:

Tips!

Om domännamnet i UPN-värdet är en domän som har verifierats för klientorganisationen lägger du till användarens UPN-värde som en annan e-postadress i attributet Azure AD proxyAddresses. Det gör att användaren kan auktoriseras för Azure Rights Management om deras UPN-värde anges när användarrättigheter beviljas.

Mer information finns i Förbereda användare och grupper för Azure Information Protection.

Autentisera lokalt med AD FS eller någon annan autentiseringsleverantör

Om du använder en mobil enhet eller en Mac-dator som autentiserar lokalt med AD FS eller en motsvarande autentiseringsleverantör måste du använda AD FS i någon av följande konfigurationer:

  • Lägsta serverversion av Windows Server 2012 R2
  • En alternativ autentiseringsprovider som har stöd för OAuth 2.0-protokollet

Datorer med Office 2010

Viktigt

Office support för 2010 upphörde den 13 oktober 2020. Mer information finns i AIP och äldre versioner Windows och Office versioner.

Utöver ett Azure AD-konto kräver datorer med Microsoft 2010 Azure Information Protection-klienten för Windows att autentisera sig för Azure Information Protection och dess dataskyddstjänst Azure Rights Management.

Om dina användarkonton är externa (om du till exempel använder AD FS) måste dessa datorer använda Windows-Integrated autentisering. Formulärbaserad autentisering i det här scenariot kan inte autentisera användare för Azure Information Protection.

Vi rekommenderar att du distribuerar Den enhetliga etikettklienten för Azure Information Protection. Om du ännu inte har uppgraderat kan det hända att den klassiska Azure Information Protection-klienten fortfarande är distribuerad i systemet.

Mer information finns på Klientsidan av Azure Information Protection.

Nästa steg

Information om hur du söker efter andra krav finns i Krav för Azure Information Protection.