Requisitos adicionales de Microsoft Entra para Azure Information Protection

Nota:

¿Está buscando Microsoft Purview Information Protection, anteriormente Microsoft Information Protection (MIP)?

El complemento de Azure Information Protection se retira y reemplaza por etiquetas integradas en las aplicaciones y servicios de Microsoft 365. Obtenga más información sobre el estado de soporte técnico de otros componentes de Azure Information Protection.

El nuevo cliente de Microsoft Information Protection (sin el complemento) está actualmente en versión preliminar y está programado para disponibilidad general.

Un directorio de Microsoft Entra es un requisito para usar Azure Information Protection. Use una cuenta de un directorio de Microsoft Entra para iniciar sesión en Azure Portal, donde puede configurar las opciones de Azure Information Protection.

Si tiene una suscripción que incluye Azure Information Protection o Azure Rights Management, el directorio de Microsoft Entra se crea automáticamente si es necesario.

En las secciones siguientes se enumeran los requisitos adicionales de AIP y Microsoft Entra para escenarios específicos.

Compatibilidad con la autenticación basada en certificados (CBA)

Las aplicaciones de Azure Information Protection para iOS y Android admiten la autenticación basada en certificados.

Para más información, consulte Introducción a la autenticación basada en certificados en Microsoft Entra ID.

Autenticación multifactor (MFA) y Azure Information Protection

Para usar la autenticación multifactor (MFA) con Azure Information Protection, debe tener al menos una de las siguientes instaladas:

• Microsoft Office, versión 2013 o superior
• Un cliente de AIP. No se requiere una versión mínima. Los clientes de AIP para Windows, así como las aplicaciones de visor para iOS y Android admiten MFA.
• La aplicación Rights Management sharing para equipos Mac. Las aplicaciones de uso compartido de RMS han admitido MFA desde la versión de septiembre de 2015.

Nota:

Si tiene Office 2013, es posible que tenga que instalar una actualización adicional para admitir la Biblioteca de autenticación de Active Directory (ADAL), como el 9 de junio de 2015, actualización para Office 2013 (KB3054853).

Una vez que haya confirmado estos requisitos previos, realice una de las siguientes acciones, en función de la configuración del inquilino:

• Inquilinos administrados por Microsoft, con el Microsoft Entra ID o Microsoft 365. Configure Azure MFA para aplicar MFA a los usuarios.

  Para más información, vea:

  • Introducción a Azure Multi-Factor Authentication en la nube
  • ¿Qué es Azure Multi-Factor Authentication?

• Inquilinos federados, donde los servidores de federación operan en el entorno local. Configure los servidores de federación para el identificador de Microsoft Entra o Microsoft 365. Por ejemplo, si usa AD FS, consulte Configurar métodos de autenticación adicionales para AD FS.

Requisitos del analizador de Rights Management/AIP

El conector de Rights Management y el analizador de Azure Information Protection no admiten MFA.

Si implementa el conector o el analizador, las siguientes cuentas no deben requerir MFA:

• La cuenta que instala y configura el conector.
• La cuenta de entidad de servicio de Microsoft Entra ID, Aadrm_S-1-7-0, que crea el conector.
• La cuenta de servicio que ejecuta el analizador.

Los valores de UPN de usuario no coinciden con sus direcciones de correo electrónico

Configuraciones en las que los valores de UPN de los usuarios no coinciden con sus direcciones de correo electrónico no es una configuración recomendada y no admite el inicio de sesión único para Azure Information Protection.

Si no puede cambiar el valor de UPN, configure identificadores alternativos para los usuarios pertinentes e indique cómo iniciar sesión en Office con este identificador alternativo.

Para más información, vea:

• Configuración de identificador de inicio de sesión alternativo
• Las aplicaciones de Office solicitan periódicamente credenciales para SharePoint, OneDrive y Lync Online.

Sugerencia

Si el nombre de dominio del valor UPN es un dominio comprobado para el inquilino, agregue el valor UPN del usuario como otra dirección de correo electrónico al atributo proxyAddresses del Microsoft Entra ID. Esto permite que el usuario esté autorizado para Azure Rights Management si se especifica su valor UPN en el momento en que se conceden los derechos de uso.

Para más información, consulte Preparación de usuarios y grupos para Azure Information Protection.

Autenticación local mediante AD FS u otro proveedor de autenticación

Si usa un dispositivo móvil o un equipo Mac que se autentica localmente mediante AD FS o un proveedor de autenticación equivalente, debe usar AD FS en una de las siguientes configuraciones:

• Una versión mínima del servidor de Windows Server 2012 R2
• Un proveedor de autenticación alternativo que admita el protocolo OAuth 2.0

Pasos siguientes

Para comprobar otros requisitos, consulte Requisitos de Azure Information Protection.