适用于 Azure 信息保护的其他 Microsoft Entra 要求

注意

你是否想要了解 Microsoft Purview 信息保护(以前称为 Microsoft 信息保护 (MIP))方面的信息?

适用于 Office 的 Azure 信息保护加载项现在处于维护模式,建议使用内置于 Office 365 应用和服务中的标签。 详细了解其他 Azure 信息保护组件的支持状态

若要使用 Azure 信息保护,需要具有 Microsoft Entra 目录。 使用 Microsoft Entra 目录中的帐户登录到 Azure 门户,在这里可以配置 Azure 信息保护设置。

如果你有一个包含 Azure 信息保护或 Azure Rights Management 的订阅,系统会根据需要自动为你创建 Microsoft Entra 目录。

以下部分列出了适用于特定方案的其他 AIP 和 Microsoft Entra 要求。

支持基于证书的身份验证 (CBA)

适用于 iOS 和 Android 的 Azure 信息保护应用支持基于证书的身份验证。

多重身份验证 (MFA) 和 Azure 信息保护

若要将多因素身份验证 (MFA) 和 Azure 信息保护结合起来使用,至少需要安装以下内容之一:

  • Microsoft Office,版本 2013 或更高版本
  • AIP 客户端。 没有最低版本要求。 适用于 Windows 的 AIP 客户端以及适用于 iOS 和 Android 的查看器应用均支持 MFA。
  • 适用于 Mac 计算机的 Rights Management 共享应用。 自 2015 年 9 月版起,RMS 共享应用已支持 MFA。

注意

如果使用 Office 2013,可能还需要安装一个更新来支持 Active Directory 身份验证库 (ADAL),如 2015 年 6 月 9 日发布的 Office 2013 更新 (KB3054853)

确认这些先决条件后,请根据你的租户配置执行以下操作之一:

Rights Management 连接器 / AIP 扫描器要求

Rights Management 连接器和 Azure 信息保护扫描程序不支持 MFA。

如果部署连接器或扫描程序,以下帐户不得要求执行 MFA:

  • 安装和配置连接器的帐户。
  • 连接器在 Microsoft Entra ID 中创建的服务主体帐户 Aadrm_S-1-7-0
  • 运行扫描程序的服务帐户。

用户 UPN 值与其电子邮件地址不匹配

不建议使用用户 UPN 值与其电子邮件地址不匹配的配置,且这种配置不支持 Azure 信息保护的单一登录。

如果无法更改 UPN 值,请为相关用户配置备用登录 ID,并指导他们使用此备用 ID 登录 Office。

有关详细信息,请参阅:

提示

如果 UPN 值中的域名是已针对你的租户验证的域,请将用户的 UPN 值作为另一个电子邮件地址添加到 Microsoft Entra ID proxyAddresses 属性。 如果在授予使用权限时指定了用户的 UPN 值,则可以对用户进行 Azure Rights Management 授权。

有关详细信息,请参阅准备用户和组以便使用 Azure 信息保护

使用 AD FS 或其他身份验证提供程序在本地进行身份验证

如果使用的移动设备或 Mac 计算机使用 AD FS 或等效的身份验证提供程序在本地进行身份验证,则需要在以下配置之一中使用 AD FS:

  • 服务器版本不得低于 Windows Server 2012 R2
  • 支持 OAuth 2.0 协议的备用身份验证提供程序

后续步骤

若要查看其他要求,请参阅 Azure 信息保护的要求