Azure Information Protection ポリシーの構成

クラシック クライアントの分類、ラベル付け、および保護を構成するには、Azure Information Protection ポリシーを構成する必要があります。 このポリシーは、Azure Information Protection クライアントがインストールされたコンピューターにダウンロードされます。

ポリシーにはラベルと設定が含まれています。

  • ラベルによってドキュメントや電子メールに分類値を適用し、必要に応じてそのコンテンツを保護することができます。 Azure Information Protection クライアントでは、Office アプリのユーザー向けにこれらのラベルが表示されます。また、エクスプローラーで右クリックしたときにも表示されます。 これらのラベルは、PowerShell と Azure Information Protection スキャナーを使用して適用することもできます。

  • この設定で、Azure Information Protection クライアントの既定の動作は変更されます。 たとえば、既定のラベル、すべてのドキュメントと電子メールにラベルが必要かどうか、Office アプリに Azure Information Protection バーを表示するかどうかを選択できます。

サブスクリプション サポート

Azure Information Protection では、さまざまなレベルのサブスクリプションをサポートしています。

  • Azure Information Protection P2: すべての分類、ラベル付け、保護機能をサポートします。

  • Azure Information Protection P1: ほとんどの分類、ラベル付け、保護機能をサポートしますが、自動分類や HYOK はサポートしません。

  • Azure Rights Management サービスを含む Microsoft 365: 保護をサポートしますが、分類とラベル付けはサポートしません。

Azure Information Protection P2 サブスクリプションが必要なオプションはポータルで確認します。

組織が種類の異なるサブスクリプションを保有している場合、アカウントに使用を許諾されていない機能をユーザーが使用しないようにする必要があります。 Azure Information Protection クライアントはライセンスのチェックと適用を行いません。 一部のユーザーのライセンスには付属しないオプションを構成する場合は、範囲設定されたポリシーやレジストリ設定を使用して、組織がライセンス条件を遵守するようにします。

  • 組織が Azure Information Protection P1 と Azure Information Protection P2 の種類が異なるライセンスを保有している場合: P2 ライセンスを保有しているユーザーは、Azure Information Protection P2 ライセンスが必要なオプションを構成する場合、範囲設定されたポリシーを 1 つ以上作成して使用します。 Azure Information Protection P2 ライセンスを必要とするオプションがグローバル ポリシーに含まれないようにします。

  • 組織が Azure Information Protection のサブスクリプションを保有し、一部のユーザーが Azure Rights Management サービスを含む Microsoft 365 のライセンスのみを保有している場合: Azure Information Protection のライセンスを保有しないユーザーに対して、各自のコンピューター上のレジストリを編集して、Azure Information Protection ポリシーがダウンロードされないようにします。 手順については、以下のカスタマイズについての管理ガイド、「Enforce protection-only mode when your organization has a mix of licenses (組織が種類の異なるライセンスを保有している場合の保護のみモードの適用)」をご覧ください。

サブスクリプションの詳細については、「Azure Information Protection にはどのようなサブスクリプションが必要ですか。どのような機能が含まれていますか。」を参照してください。

Azure Portal にサインインする

Azure Portal にサインインするには、Azure Information Protection を構成して管理します。

初めて [Azure Information Protection] ペインにアクセスするには

  1. Azure portal にサインインします。

  2. [+ リソースの作成] を選択し、Marketplace の検索ボックスに「Azure Information Protection」と入力します。

  3. 結果一覧から [Azure Information Protection] を選択します。 [Azure Information Protection] ペインで、[作成] をクリックします。

    ヒント

    必要に応じて、[ダッシュボードにピン留めする] を選択してダッシュボードの [Azure Information Protection] タイルを作成し、次にポータルにサインインするときにサービスの参照をスキップできるようにします。

    再び [作成] をクリックします。

  4. サービスに最初に接続するときに自動的に開く [クイック スタート] ページが表示されます。 推奨リソースを参照するか、他のメニュー オプションを使用します。 ユーザーが選択できるラベルを構成するには、次の手順に従います。

次に [Azure Information Protection] ペインにアクセスすると、すべてのユーザーのラベルを表示および構成できるように、[ラベル] オプションが自動的に選択されます。 [クイック スタート] ページに戻るには、[全般] メニューから選択します。

Azure Information Protection ポリシーを構成する方法

  1. 次のいずれかの管理者ロールを使って Azure Portal にサインインしていることを確認してください: Azure Information Protection 管理者、セキュリティ管理者、またはグローバル管理者。 これらの管理者ロールの詳細については、上記のセクションを参照してください。

  2. 必要に応じて、[Azure Information Protection] ペインに移動します。たとえば、ハブ メニューで [すべてのサービス] をクリックし、[フィルター] ボックスに「Information Protection」と入力します。 結果から [Azure Information Protection] を選択します。

    [Azure Information Protection - ラベル] ペインが自動的に開き、使用可能なラベルを表示、編集できます。 ラベルをポリシーに追加または削除して、すべてのユーザーまたは選択したユーザーに対して利用可能にしたり、どのユーザーに対しても利用不可にしたりできます。

  3. ポリシーを表示および編集するには、メニュー オプションから [ポリシー] を選択します。 すべてのユーザーが取得するポリシーを表示および編集するには、[グローバル] ポリシーを選択します。 選択したユーザー用のカスタム ポリシーを作成するには、[Add a new policy](新しいポリシーの追加) を選択します。

ポリシーに対する変更

任意の数のラベルを作成できます。 ただし、多すぎて正しいラベルを発見して選択する作業が困難になるとき、スコープ ポリシーを作成し、あるユーザーに関連するラベルのみがそのユーザーに表示されるようにします。 保護を適用するラベルには 500 という上限があります。

[Azure Information Protection] ペインで変更を行ったら、[保存] をクリックして変更を保存します。または、[破棄] をクリックして、最後に保存した設定に戻します。 ポリシーに変更を保存した場合、またはポリシーに追加されるラベルに変更を加えた場合、それらの変更は自動的に公開されます。 独立した公開オプションはありません。

Azure Information Protection クライアントは、サポート対象の Office アプリケーションの起動時に常に変更の有無を確認し、変更があった場合は該当する最新の Azure Information Protection ポリシーに変更をダウンロードします。 ポリシーをクライアントに更新するトリガーには、他に次のものがあります。

  • ファイルまたはフォルダーを分類して保護するための右クリック。

  • ラベル付けおよび保護のための PowerShell コマンドレット (Get-AIPFileStatus、Set-AIPFileClassification、および Set-AIPFileLabel) の実行。

  • 24 時間ごと

  • Azure Information Protection スキャナーの場合: サービスが開始されたとき (ポリシーが 1 時間前よりも古い場合) と、操作中の 1 時間ごと。

注意

クライアントがポリシーをダウンロードしてから完全に機能するまで、数分間待機します。 待機時間はポリシーの構成のサイズや複雑さ、ネットワークの接続などの要素によって異なります。 ラベルの動作の結果が最新の変更と一致しない場合は、15 分待ってから再度お試しください。

組織のポリシーの構成

次の情報を使用して、Azure Information Protection ポリシーを構成します。

メールやドキュメントに格納されるラベル情報

ドキュメントまたはメールにラベルが適用されるとき、実際には、アプリケーションとサービスがそのラベルを読み取れるように、メタデータにラベルが格納されています。

  • メールでは、この情報は X ヘッダーに格納されます: msip_labels: MSIP_Label_<GUID>_Enabled=True

  • Word 文書 (.doc、.docx)、Excel スプレッドシート (.xls、.xlsx)、PowerPoint プレゼンテーション (.ppt、.pptx)、PDF 文書の場合、このメタデータは次のカスタム プロパティに格納されます: MSIP_Label_<GUID>_Enabled=True

メールの場合、ラベル情報はメールの送信時に格納されます。 ドキュメントの場合、ラベル情報はファイルの保存時に格納されます。

ラベルの GUID を特定するには、Azure Information Protection ポリシーを表示または構成するときに、Azure portal の [ラベル] ペイン上の [ラベル ID] の値を見つけます。 ファイルにラベルが適用されている場合、Get-AIPFileStatus PowerShell コマンドレットを実行して GUID (MainLabelId または SubLabelId) を特定することもできます。 ラベルにサブラベルがある場合、親ラベルではなく、サブラベルの GUID だけを常に指定してください。

次の手順

Azure Information Protection ポリシーをカスタマイズする方法や、ユーザーに対して結果の動作を表示する方法の例については、次のチュートリアルをご覧ください。