适用于 Azure 信息保护的其他 Microsoft Entra 要求

注意

你是否想要了解 Microsoft Purview 信息保护(以前称为 Microsoft 信息保护 (MIP))方面的信息?

Azure 信息保护加载项已停用,并已替换为 Microsoft 365 应用和服务中内置的标签。 详细了解其他 Azure 信息保护组件的支持状态

若要使用 Azure 信息保护,需要具有 Microsoft Entra 目录。 使用 Microsoft Entra 目录中的帐户登录到 Microsoft Purview 合规性门户或 Microsoft Purview 门户。

如果你有一个包含 Microsoft Purview 信息保护或 Azure Rights Management 的订阅,系统会根据需要自动为你创建 Microsoft Entra 目录。

以下部分列出了适用于特定方案的其他 AIP 和 Microsoft Entra 要求。

支持基于证书的身份验证 (CBA)

适用于 iOS 和 Android 的信息保护应用支持基于证书的身份验证。

多重身份验证 (MFA) 和 Azure 信息保护

若要将多因素身份验证 (MFA) 和 Azure 信息保护结合起来使用,至少需要安装以下内容之一:

Rights Management 连接器要求

Rights Management 连接器和 Microsoft Purview 信息保护扫描程序不支持 MFA。

如果部署连接器或扫描程序,以下帐户不得要求执行 MFA:

  • 安装和配置连接器的帐户。
  • 连接器在 Microsoft Entra ID 中创建的服务主体帐户 Aadrm_S-1-7-0
  • 运行扫描程序的服务帐户。

用户 UPN 值与其电子邮件地址不匹配

不建议使用用户 UPN 值与其电子邮件地址不匹配的配置,且这种配置不支持 Azure 信息保护的单一登录。

如果无法更改 UPN 值,请为相关用户配置备用登录 ID,并指导他们使用此备用 ID 登录 Office。

有关详细信息,请参阅:

提示

如果 UPN 值中的域名是已针对你的租户验证的域,请将用户的 UPN 值作为另一个电子邮件地址添加到 Microsoft Entra ID proxyAddresses 属性。 如果在授予使用权限时指定了用户的 UPN 值,则可以对用户进行 Azure Rights Management 授权。

有关详细信息,请参阅准备用户和组以便使用 Azure 信息保护

使用 AD FS 或其他身份验证提供程序在本地进行身份验证

如果使用的移动设备或 Mac 计算机使用 AD FS 或等效的身份验证提供程序在本地进行身份验证,则需要在以下配置之一中使用 AD FS:

  • Windows Server 2016 的最低服务器版本
  • 支持 OAuth 2.0 协议的备用身份验证提供程序

后续步骤

若要查看其他要求,请参阅 Azure 信息保护的要求