Weitere Microsoft Entra-Anforderungen für Azure Information Protection

Hinweis

Suchen Sie nach Microsoft Purview Information Protection, ehemals Microsoft Information Protection (MIP)?

Das Azure Information Protection-Add-In für Office befindet sich jetzt im Wartungsmodus und wird im April 2024 eingestellt. Es wird empfohlen, Bezeichnungen zu verwenden, die in Ihre Office 365-Apps und -Dienste integriert sind. Erfahren Sie mehr über den Supportstatus anderer Azure Information Protection-Komponenten.

Ein Microsoft Entra-Verzeichnis ist eine Voraussetzung für die Verwendung von Azure Information Protection. Verwenden Sie ein Konto aus einem Microsoft Entra-Verzeichnis zum Anmelden beim Azure-Portal, in dem Sie Azure Information Protection-Einstellungen konfigurieren können.

Wenn Sie über ein Abonnement verfügen, in dem Azure Information Protection oder Azure Rights Management enthalten sind, wird Ihr Microsoft Entra-Verzeichnis bei Bedarf automatisch für Sie erstellt.

In den folgenden Abschnitten werden weitere AIP- und Microsoft Entra-Anforderungen für bestimmte Szenarien aufgeführt.

Unterstützung für zertifikatbasierte Authentifizierung (CBA)

Die Azure Information Protection-Apps für iOS und Android unterstützen die zertifikatbasierte Authentifizierung.

Weitere Informationen finden Sie unter Erste Schritte mit zertifikatbasierter Authentifizierung in Microsoft Entra ID.

Multi-Factor Authentication (MFA) und Azure Information Protection

Zur Verwendung der Multi-Factor Authentication (MFA) mit Azure Information Protection muss mindestens eine der folgenden Komponenten installiert sein:

  • Microsoft Office, Version 2013 oder höher
  • Ein AIP-Client. Keine Mindestversion erforderlich. Die AIP-Clients für Windows sowie die Viewer-Apps für iOS und Android unterstützen MFA.
  • Die Rights Management-Freigabe-App für Mac-Computer. Die RMS-Freigabe-Apps unterstützen MFA seit der Version vom September 2015.

Hinweis

Wenn Sie über Office 2013 verfügen, müssen Sie möglicherweise ein zusätzliches Update installieren, damit die Active Directory-Authentifizierungsbibliothek (ADAL) unterstützt wird, z. B. das Update für Office 2013 (KB3054853) vom 9. Juni 2015.

Wenn diese Voraussetzungen erfüllt sind, können Sie je nach Mandantenkonfiguration eine der folgenden Aktionen ausführen:

Anforderungen an Rights Management-Connector/AIP-Scanner

Der Rights Management-Connector und der Azure Information Protection-Scanner unterstützen keine MFA.

Wenn Sie den Connector oder Scanner bereitstellen, dürfen die folgenden Konten keine MFA erfordern:

  • Das Konto, das den Connector installiert und konfiguriert.
  • Das Dienstprinzipalkonto in Microsoft Entra ID, Aadrm_S-1-7-0, das der Connector erstellt.
  • Das Dienstkonto, das den Scanner ausführt.

Benutzer-UPN-Werte stimmen nicht mit den entsprechenden E-Mail-Adressen überein

Konfigurationen, bei denen die UPN-Werte der Benutzer nicht mit den entsprechenden E-Mail-Adressen übereinstimmen, sind nicht zu empfehlen und unterstützen das Single Sign-On für Azure Information Protection nicht.

Wenn Sie den UPN-Wert nicht ändern können, müssen Sie alternative IDs für die betreffenden Benutzer konfigurieren und sie anweisen, wie Sie sich mit dieser alternativen ID bei Office anmelden können.

Weitere Informationen finden Sie unter:

Tipp

Wenn der Domänenname im UPN-Wert eine für Ihren Mandanten überprüfte Domäne ist, müssen Sie den UPN-Wert des Benutzers als weitere E-Mail-Adresse zum Attribut ProxyAddresses der Microsoft Entra ID hinzufügen. Dadurch kann der Benutzer für Azure Rights Management autorisiert werden, wenn sein UPN-Wert zum Zeitpunkt der Erteilung der Nutzungsrechte angegeben wird.

Weitere Informationen finden Sie unter Vorbereiten von Benutzern und Gruppen für Azure Information Protection.

Lokale Authentifizierung mit AD FS oder einem anderen Authentifizierungsanbieter

Wenn Sie ein mobiles Gerät oder einen Mac-Computer verwenden, der lokal mit AD FS oder einem entsprechenden Authentifizierungsanbieter authentifiziert wird, müssen Sie AD FS in einer der folgenden Konfigurationen verwenden:

  • Eine Mindestserverversion von Windows Server 2012 R2
  • Ein alternativer Authentifizierungsanbieter, der das OAuth 2.0-Protokoll unterstützt

Nächste Schritte

Informationen zu anderen Anforderungen finden Sie unter Anforderungen für Azure Information Protection.