Dodatkowe wymagania firmy Microsoft dotyczące usługi Azure Information Protection

Uwaga

Szukasz usługi Microsoft Purview Information Protection, dawniej Microsoft Information Protection (MIP)?

Dodatek usługi Azure Information Protection został wycofany i zastąpiony etykietami wbudowanymi w aplikacje i usługi platformy Microsoft 365. Dowiedz się więcej o stanie pomocy technicznej innych składników usługi Azure Information Protection.

Nowy klient usługi Microsoft Purview Information Protection (bez dodatku) jest obecnie w wersji zapoznawczej i jest zaplanowany na potrzeby ogólnej dostępności.

Katalog Microsoft Entra jest wymagany do korzystania z usługi Azure Information Protection. Użyj konta z katalogu Microsoft Entra, aby zalogować się do witryny Azure Portal, w której można skonfigurować ustawienia usługi Azure Information Protection.

Jeśli masz subskrypcję obejmującą usługę Azure Information Protection lub Azure Rights Management, katalog Microsoft Entra zostanie automatycznie utworzony w razie potrzeby.

W poniższych sekcjach wymieniono dodatkowe wymagania dotyczące usługi AIP i firmy Microsoft Entra dla określonych scenariuszy.

Obsługa uwierzytelniania opartego na certyfikatach (CBA)

Aplikacje usługi Azure Information Protection dla systemów iOS i Android obsługują uwierzytelnianie oparte na certyfikatach.

Aby uzyskać więcej informacji, zobacz Wprowadzenie do uwierzytelniania opartego na certyfikatach w usłudze Microsoft Entra ID.

Uwierzytelnianie wieloskładnikowe (MFA) i Usługa Azure Information Protection

Aby korzystać z uwierzytelniania wieloskładnikowego (MFA) w usłudze Azure Information Protection, musisz mieć zainstalowany co najmniej jeden z następujących elementów:

• Microsoft Office, wersja 2013 lub nowsza
• Klient usługi AIP. Nie jest wymagana minimalna wersja. Klienci usługi AIP dla systemu Windows, a także aplikacje przeglądarki dla systemów iOS i Android obsługują uwierzytelnianie wieloskładnikowe.
• Aplikacja Rights Management sharing dla komputerów Mac. Aplikacje rms sharing obsługują uwierzytelnianie wieloskładnikowe od września 2015 r.

Uwaga

Jeśli masz pakiet Office 2013, może być konieczne zainstalowanie dodatkowej aktualizacji w celu obsługi biblioteki uwierzytelniania usługi Active Directory (ADAL), takiej jak aktualizacja pakietu Office 2013 (KB3054853) z 9 czerwca 2015 r.

Po potwierdzeniu tych wymagań wstępnych wykonaj jedną z następujących czynności w zależności od konfiguracji dzierżawy:

• Dzierżawy zarządzane przez firmę Microsoft z identyfikatorem Entra firmy Microsoft lub platformą Microsoft 365. Skonfiguruj usługę Azure MFA, aby wymusić uwierzytelnianie wieloskładnikowe dla użytkowników.

  Aby uzyskać więcej informacji, zobacz:

  • Wprowadzenie do usługi Azure Multi-Factor Authentication w chmurze
  • Co to jest usługa Multi-Factor Authentication platformy Azure?

• Dzierżawy federacyjne, w których serwery federacyjne działają lokalnie. Skonfiguruj serwery federacyjne dla usługi Microsoft Entra ID lub Microsoft 365. Jeśli na przykład używasz usług AD FS, zobacz Konfigurowanie dodatkowych metod uwierzytelniania dla usług AD FS.

Wymagania dotyczące łącznika usługi Rights Management/skanera usługi AIP

Łącznik usługi Rights Management i skaner usługi Azure Information Protection nie obsługują uwierzytelniania wieloskładnikowego.

W przypadku wdrożenia łącznika lub skanera następujące konta nie mogą wymagać uwierzytelniania wieloskładnikowego:

• Konto, które instaluje i konfiguruje łącznik.
• Konto jednostki usługi w usłudze Microsoft Entra ID, Aadrm_S-1-7-0, które tworzy łącznik.
• Konto usługi uruchamiające skaner.

Wartości nazwy UPN użytkownika nie są zgodne z ich adresami e-mail

Konfiguracje, w których wartości nazwy UPN użytkowników nie są zgodne z ich adresami e-mail, nie są zalecaną konfiguracją i nie obsługują logowania jednokrotnego w usłudze Azure Information Protection.

Jeśli nie możesz zmienić wartości nazwy UPN, skonfiguruj alternatywne identyfikatory dla odpowiednich użytkowników i poinstruuj ich, jak zalogować się do pakietu Office przy użyciu tego alternatywnego identyfikatora.

Aby uzyskać więcej informacji, zobacz:

• Konfigurowanie alternatywnego identyfikatora logowania
• aplikacja pakietu Office lication okresowo monituje o poświadczenia do programów SharePoint, OneDrive i Lync Online.

Napiwek

Jeśli nazwa domeny w wartości nazwy UPN jest domeną zweryfikowaną dla dzierżawy, dodaj wartość nazwy UPN użytkownika jako inny adres e-mail do atrybutu proxyAddresses identyfikatora entra firmy Microsoft. Dzięki temu użytkownik może być autoryzowany dla usługi Azure Rights Management, jeśli zostanie określona ich wartość UPN w momencie udzielenia praw użytkowania.

Aby uzyskać więcej informacji, zobacz Przygotowywanie użytkowników i grup dla usługi Azure Information Protection.

Uwierzytelnianie lokalne przy użyciu usług AD FS lub innego dostawcy uwierzytelniania

Jeśli używasz urządzenia przenośnego lub komputera Mac, który uwierzytelnia się lokalnie przy użyciu usług AD FS lub równoważnego dostawcy uwierzytelniania, należy użyć usług AD FS w jednej z następujących konfiguracji:

• Minimalna wersja serwera systemu Windows Server 2012 R2
• Alternatywny dostawca uwierzytelniania obsługujący protokół OAuth 2.0

Następne kroki

Aby sprawdzić inne wymagania, zobacz Wymagania dotyczące usługi Azure Information Protection.