Requisiti aggiuntivi di Azure AD per Azure Information Protection - AIP

Nota

Stai cercando Microsoft Purview Information Protection, in precedenza Microsoft Information Protection (MIP)?

Il client di etichettatura unificata di Azure Information Protection è ora in modalità di manutenzione. È consigliabile usare etichette predefinite per le app e i servizi Office 365. Ulteriori informazioni

Una directory Azure AD è un requisito per l'uso di Azure Information Protection. Usare un account da una directory Azure AD per accedere al portale di Azure, in cui è possibile configurare le impostazioni di Azure Information Protection.

Se si ha una sottoscrizione che include Azure Information Protection o Azure Rights Management, la directory di Azure AD viene creata automaticamente se necessario.

Nelle sezioni seguenti sono elencati i requisiti aggiuntivi per AIP e Azure AD per scenari specifici.

Supporto dell'autenticazione basata sui certificati

Le app Azure Information Protection per iOS e Android supportano l'autenticazione basata su certificati.

Per altre informazioni, vedere Introduzione all'autenticazione basata su certificati in Azure Active Directory.

Multi-Factor Authentication (MFA) e Azure Information Protection

Per usare l'autenticazione a più fattori (MFA) con Azure Information Protection, è necessario almeno uno degli elementi seguenti installati:

  • Microsoft Office versione 2013 o successive
  • Client AIP. Non è richiesta alcuna versione minima. I client AIP per Windows, nonché le app visualizzatore per iOS e Android supportano tutti MFA.
  • App di condivisione Microsoft Rights Management per computer Mac. Le app di condivisione Microsoft Rights Management hanno supportato l'autenticazione MFA sin dalla versione di settembre 2015.

Nota

Se si ha Office 2013, può essere necessario installare un aggiornamento aggiuntivo per supportare Active Directory Authentication Library (ADAL), come l'aggiornamento del 9 giugno 2015 per Office 2013 (KB3054853).

Dopo aver confermato questi prerequisiti, eseguire una delle operazioni seguenti, a seconda della configurazione del tenant:

Requisiti del connettore Rights Management e dello scanner AIP

Il connettore Rights Management e lo scanner di Azure Information Protection non supportano l'autenticazione a più fattori.

Se si distribuisce il connettore o lo scanner, gli account seguenti non richiedono l'autenticazione a più fattori:

  • L'account che installa e configura il connettore.
  • L'account dell'entità servizio in Azure AD Aadrm_S-1-7-0, creato dal connettore.
  • L'account del servizio che esegue lo scanner.

I valori UPN degli utenti non corrispondono ai rispettivi indirizzi di posta elettronica

Le configurazioni in cui i valori UPN degli utenti non corrispondono ai rispettivi indirizzi di posta elettronica non sono una configurazione consigliata e non supportano l'accesso Single Sign-on per Azure Information Protection.

Se non è possibile cambiare il valore UPN, configurare ID di accesso alternativi per gli utenti interessati fornendo loro le istruzioni necessarie per l'accesso a Office con questo ID alternativo.

Per altre informazioni, vedere:

Suggerimento

Se il nome di dominio presente nel valore UPN corrisponde a un dominio verificato per il tenant, aggiungere il valore UPN dell'utente all'attributo proxyAddresses di Azure AD come indirizzo di posta elettronica aggiuntivo. In questo modo, se il valore UPN è stato specificato nel periodo in cui usufruiva dei diritti di utilizzo, l'autorizzazione dell'utente per Azure Rights Management può avere esito positivo.

Per altre informazioni, vedere Preparazione di utenti e gruppi per Azure Information Protection.

Autenticazione locale con AD FS o un altro provider di autenticazione

Se si usa un dispositivo mobile o un computer Mac che esegue l'autenticazione in locale con AD FS o un provider di autenticazione equivalente, è necessario usare AD FS in una delle configurazioni seguenti:

  • Versione minima del server Windows Server 2012 R2
  • Un provider di autenticazione alternativo che supporta il protocollo OAuth 2.0

Passaggi successivi

Per verificare gli altri requisiti, vedere Requisiti per Azure Information Protection.