Aanvullende Microsoft Entra-vereisten voor Azure Information Protection
Notitie
Zoekt u Microsoft Purview Informatiebeveiliging, voorheen Microsoft Information Protection (MIP)?
De Azure Information Protection-invoegtoepassing wordt buiten gebruik gesteld en vervangen door labels die zijn ingebouwd in uw Microsoft 365-apps en -services. Meer informatie over de ondersteuningsstatus van andere Azure Information Protection-onderdelen.
De Microsoft Purview Informatiebeveiliging-client (zonder de invoegtoepassing) is algemeen beschikbaar.
Een Microsoft Entra-directory is een vereiste voor het gebruik van Azure Information Protection. Gebruik een account uit een Microsoft Entra-directory om u aan te melden bij de Microsoft Purview-nalevingsportal- of Microsoft Purview-portal.
Als u een abonnement hebt dat Microsoft Purview Informatiebeveiliging of Azure Rights Management bevat, wordt uw Microsoft Entra-directory indien nodig automatisch voor u gemaakt.
De volgende secties bevatten aanvullende AIP- en Microsoft Entra-vereisten voor specifieke scenario's.
Ondersteuning voor verificatie op basis van certificaten (CBA)
De informatiebeveiligings-apps voor iOS en Android ondersteunen verificatie op basis van certificaten.
Zie Aan de slag met verificatie op basis van certificaten in Microsoft Entra ID voor meer informatie.
Meervoudige verificatie (MFA) en Azure Information Protection
Als u meervoudige verificatie (MFA) wilt gebruiken met Azure Information Protection, moet ten minste één van de volgende zijn geïnstalleerd:
Door Microsoft beheerde tenants, met Microsoft Entra ID of Microsoft 365. Configureer Azure MFA om MFA af te dwingen voor gebruikers.
Zie voor meer informatie:
Federatieve tenants, waar federatieservers on-premises werken. Configureer uw federatieservers voor Microsoft Entra ID of Microsoft 365. Als u bijvoorbeeld AD FS gebruikt, raadpleegt u Aanvullende verificatiemethoden configureren voor AD FS.
Vereisten voor Rights Management-connectors
De Rights Management-connector en de Microsoft Purview Informatiebeveiliging scanner bieden geen ondersteuning voor MFA.
Als u de connector of scanner implementeert, mogen de volgende accounts geen MFA vereisen:
- Het account dat de connector installeert en configureert.
- Het service-principal-account in Microsoft Entra-id, Aadrm_S-1-7-0, dat door de connector wordt gemaakt.
- Het serviceaccount waarop de scanner wordt uitgevoerd.
UPN-waarden van gebruikers komen niet overeen met hun e-mailadressen
Configuraties waarbij de UPN-waarden van gebruikers niet overeenkomen met hun e-mailadressen, is geen aanbevolen configuratie en biedt geen ondersteuning voor eenmalige aanmelding voor Azure Information Protection.
Als u de UPN-waarde niet kunt wijzigen, configureert u alternatieve id's voor de relevante gebruikers en geeft u aan hoe u zich met deze alternatieve id kunt aanmelden bij Office.
Zie voor meer informatie:
- Alternatieve aanmeldings-id configureren
- Office-app licenties vragen regelmatig om referenties voor SharePoint, OneDrive en Lync Online.
Tip
Als de domeinnaam in de UPN-waarde een domein is dat is geverifieerd voor uw tenant, voegt u de UPN-waarde van de gebruiker toe als een ander e-mailadres aan het kenmerk ProxyAddresses van Microsoft Entra ID. Hierdoor kan de gebruiker worden geautoriseerd voor Azure Rights Management als de UPN-waarde wordt opgegeven op het moment dat de gebruiksrechten worden verleend.
Zie Gebruikers en groepen voorbereiden voor Azure Information Protection voor meer informatie.
On-premises verifiëren met AD FS of een andere verificatieprovider
Als u een mobiel apparaat of Mac-computer gebruikt waarmee on-premises wordt geverifieerd met AD FS of een equivalente verificatieprovider, moet u AD FS gebruiken op een van de volgende configuraties:
- Een minimale serverversie van Windows Server 2016
- Een alternatieve verificatieprovider die ondersteuning biedt voor het OAuth 2.0-protocol
Volgende stappen
Zie Vereisten voor Azure Information Protection om te controleren op andere vereisten.