适用于 Azure 信息保护的其他 Microsoft Entra 要求
注意
你是否想要了解 Microsoft Purview 信息保护(以前称为 Microsoft 信息保护 (MIP))方面的信息?
Azure 信息保护加载项已停用,并替换为 Microsoft 365 应用和服务中内置的标签。 详细了解其他 Azure 信息保护组件的支持状态。
Microsoft Purview 信息保护客户端(不含加载项)已正式发布。
Microsoft Entra 目录是使用 Azure 信息保护的要求。 使用 Microsoft Entra 目录中的帐户登录到 Microsoft Purview 合规门户 或 Microsoft Purview 门户。
如果有包含 Microsoft Purview 信息保护 或 Azure Rights Management 的订阅,则会根据需要自动创建 Microsoft Entra 目录。
以下部分列出了适用于特定方案的其他 AIP 和 Microsoft Entra 要求。
支持基于证书的身份验证 (CBA)
适用于 iOS 和 Android 的信息保护应用支持基于证书的身份验证。
有关详细信息,请参阅 Microsoft Entra ID 中基于证书的身份验证入门。
多重身份验证 (MFA) 和 Azure 信息保护
若要将多因素身份验证 (MFA) 和 Azure 信息保护结合起来使用,至少需要安装以下内容之一:
Microsoft 管理的租户(具有 Microsoft Entra ID 或 Microsoft 365)。 配置 Azure MFA 来为用户强制实施 MFA。
有关详细信息,请参阅:
联合租户,其中联合身份验证服务器在本地运行。 为 Microsoft Entra ID 或 Microsoft 365 配置联合服务器。 例如,如果你使用 AD FS,请参阅为 AD FS 配置其他身份验证方法。
Rights Management 连接器要求
Rights Management 连接器和Microsoft Purview 信息保护扫描程序不支持 MFA。
如果部署连接器或扫描程序,以下帐户不得要求执行 MFA:
- 安装和配置连接器的帐户。
- 连接器在 Microsoft Entra ID 中创建的服务主体帐户 Aadrm_S-1-7-0。
- 运行扫描程序的服务帐户。
用户 UPN 值与其电子邮件地址不匹配
不建议使用用户 UPN 值与其电子邮件地址不匹配的配置,且这种配置不支持 Azure 信息保护的单一登录。
如果无法更改 UPN 值,请为相关用户配置备用登录 ID,并指导他们使用此备用 ID 登录 Office。
有关详细信息,请参阅:
提示
如果 UPN 值中的域名是已针对你的租户验证的域,请将用户的 UPN 值作为另一个电子邮件地址添加到 Microsoft Entra ID proxyAddresses 属性。 如果在授予使用权限时指定了用户的 UPN 值,则可以对用户进行 Azure Rights Management 授权。
有关详细信息,请参阅准备用户和组以便使用 Azure 信息保护。
使用 AD FS 或其他身份验证提供程序在本地进行身份验证
如果使用的移动设备或 Mac 计算机使用 AD FS 或等效的身份验证提供程序在本地进行身份验证,则需要在以下配置之一中使用 AD FS:
- Windows Server 2016 的最低服务器版本
- 支持 OAuth 2.0 协议的备用身份验证提供程序
后续步骤
若要查看其他要求,请参阅 Azure 信息保护的要求。