Weitere Microsoft Entra-Anforderungen für Azure Information Protection
Hinweis
Suchen Sie nach Microsoft Purview Information Protection, ehemals Microsoft Information Protection (MIP)?
Das Azure Information Protection-Add-In für Office befindet sich jetzt im Wartungsmodus und wird im April 2024 eingestellt. Es wird empfohlen, Bezeichnungen zu verwenden, die in Ihre Office 365-Apps und -Dienste integriert sind. Erfahren Sie mehr über den Supportstatus anderer Azure Information Protection-Komponenten.
Ein Microsoft Entra-Verzeichnis ist eine Voraussetzung für die Verwendung von Azure Information Protection. Verwenden Sie ein Konto aus einem Microsoft Entra-Verzeichnis zum Anmelden beim Azure-Portal, in dem Sie Azure Information Protection-Einstellungen konfigurieren können.
Wenn Sie über ein Abonnement verfügen, in dem Azure Information Protection oder Azure Rights Management enthalten sind, wird Ihr Microsoft Entra-Verzeichnis bei Bedarf automatisch für Sie erstellt.
In den folgenden Abschnitten werden weitere AIP- und Microsoft Entra-Anforderungen für bestimmte Szenarien aufgeführt.
Unterstützung für zertifikatbasierte Authentifizierung (CBA)
Die Azure Information Protection-Apps für iOS und Android unterstützen die zertifikatbasierte Authentifizierung.
Weitere Informationen finden Sie unter Erste Schritte mit zertifikatbasierter Authentifizierung in Microsoft Entra ID.
Multi-Factor Authentication (MFA) und Azure Information Protection
Zur Verwendung der Multi-Factor Authentication (MFA) mit Azure Information Protection muss mindestens eine der folgenden Komponenten installiert sein:
- Microsoft Office, Version 2013 oder höher
- Ein AIP-Client. Keine Mindestversion erforderlich. Die AIP-Clients für Windows sowie die Viewer-Apps für iOS und Android unterstützen MFA.
- Die Rights Management-Freigabe-App für Mac-Computer. Die RMS-Freigabe-Apps unterstützen MFA seit der Version vom September 2015.
Hinweis
Wenn Sie über Office 2013 verfügen, müssen Sie möglicherweise ein zusätzliches Update installieren, damit die Active Directory-Authentifizierungsbibliothek (ADAL) unterstützt wird, z. B. das Update für Office 2013 (KB3054853) vom 9. Juni 2015.
Wenn diese Voraussetzungen erfüllt sind, können Sie je nach Mandantenkonfiguration eine der folgenden Aktionen ausführen:
Von Microsoft verwaltete Mandanten mit Microsoft Entra ID oder Microsoft 365. Konfigurieren Sie Azure MFA, um MFA für Benutzer zu erzwingen.
Weitere Informationen finden Sie unter:
Verbundmandanten mit lokal arbeitenden Verbundservern. Konfigurieren Sie Ihre Verbundserver für Microsoft Entra ID oder Microsoft 365. Wenn Sie z. B. AD FS verwenden, lesen Sie Konfigurieren zusätzlicher Authentifizierungsmethoden für AD FS.
Anforderungen an Rights Management-Connector/AIP-Scanner
Der Rights Management-Connector und der Azure Information Protection-Scanner unterstützen keine MFA.
Wenn Sie den Connector oder Scanner bereitstellen, dürfen die folgenden Konten keine MFA erfordern:
- Das Konto, das den Connector installiert und konfiguriert.
- Das Dienstprinzipalkonto in Microsoft Entra ID, Aadrm_S-1-7-0, das der Connector erstellt.
- Das Dienstkonto, das den Scanner ausführt.
Benutzer-UPN-Werte stimmen nicht mit den entsprechenden E-Mail-Adressen überein
Konfigurationen, bei denen die UPN-Werte der Benutzer nicht mit den entsprechenden E-Mail-Adressen übereinstimmen, sind nicht zu empfehlen und unterstützen das Single Sign-On für Azure Information Protection nicht.
Wenn Sie den UPN-Wert nicht ändern können, müssen Sie alternative IDs für die betreffenden Benutzer konfigurieren und sie anweisen, wie Sie sich mit dieser alternativen ID bei Office anmelden können.
Weitere Informationen finden Sie unter:
- Konfigurieren einer alternativen Anmelde-ID
- Office-Anwendungen fordern regelmäßig zur Eingabe von Anmeldedaten für SharePoint, OneDrive und Lync Online auf.
Tipp
Wenn der Domänenname im UPN-Wert eine für Ihren Mandanten überprüfte Domäne ist, müssen Sie den UPN-Wert des Benutzers als weitere E-Mail-Adresse zum Attribut ProxyAddresses der Microsoft Entra ID hinzufügen. Dadurch kann der Benutzer für Azure Rights Management autorisiert werden, wenn sein UPN-Wert zum Zeitpunkt der Erteilung der Nutzungsrechte angegeben wird.
Weitere Informationen finden Sie unter Vorbereiten von Benutzern und Gruppen für Azure Information Protection.
Lokale Authentifizierung mit AD FS oder einem anderen Authentifizierungsanbieter
Wenn Sie ein mobiles Gerät oder einen Mac-Computer verwenden, der lokal mit AD FS oder einem entsprechenden Authentifizierungsanbieter authentifiziert wird, müssen Sie AD FS in einer der folgenden Konfigurationen verwenden:
- Eine Mindestserverversion von Windows Server 2012 R2
- Ein alternativer Authentifizierungsanbieter, der das OAuth 2.0-Protokoll unterstützt
Nächste Schritte
Informationen zu anderen Anforderungen finden Sie unter Anforderungen für Azure Information Protection.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter:Feedback senden und anzeigen für