Azure Information Protection のテンプレートを構成して管理する
保護テンプレート (Rights Management テンプレート) は、Azure Information Protection 用の管理者が定義した保護設定のグループです。 これらの設定には、承認されたユーザー向けの選択した使用権限や、有効期限やオフライン アクセス向けのアクセス制御が含まれます。 これらのテンプレートは Azure Information Protection ポリシーに統合されています。
分類、ラベル付け、保護を含むサブスクリプションの場合 (Azure Information Protection P1 または P2):
- テナントのラベルと統合されないテンプレートは、[Azure Information Protection - ラベル] ペインで、ラベルの後の [保護テンプレート] セクションに表示されます。 このペインに移動するには、[分類]>[ラベル] メニュー オプションを選択します。 これらのテンプレートをラベルに変換できるほか、ラベルの保護を構成するときにテンプレートに関連付けることもできます。
保護のみを含むサブスクリプションの場合 (Azure Rights Management サービスを含む Microsoft 365 サブスクリプション):
- テナントのテンプレートは、[Azure Information Protection - ラベル] ペインの [保護テンプレート] セクションに表示されます。 このペインに移動するには、[分類]>[ラベル] メニュー オプションを選択します。 ラベルは表示されません。 分類とラベル付けに固有の構成設定も表示されますが、これらの設定はテンプレートには反映されず、構成することはできません。
たとえば、ユーザーが保護されたコンテンツを開くことができると報告しても、必要な権限がない場合、ユーザーが Rights Management テンプレート用に構成されている適切なグループにいない可能性があります。 または、この記事で説明するように、ユーザーまたはグループのテンプレートの再構成が必要な場合があります。
注意
一部のアプリケーションやサービスでは、[転送不可] や [暗号化のみ] ([暗号化]) がテンプレートとして表示される場合があります。 これらは編集したり削除したりできるテンプレートではなく、Exchange サービスでの既定のオプションです。
既定のテンプレート
Azure Rights Management サービスが含まれる Azure Information Protection サブスクリプションまたは Microsoft 365 サブスクリプションを入手すると、既定のテンプレートが 2 つテナントに自動的に作成されます。 これらのテンプレートは、組織内の許可されたユーザーだけにアクセスを制限します。 これらのテンプレートは、作成されると、ドキュメント「Azure Information Protection の使用権限を構成する」に一覧表示されているアクセス許可を使用します。
さらに、テンプレートは、7 日間のオフライン アクセスを許可し、有効期限を設定しないように構成されます。
注意
これらの設定および既定のテンプレートの名前と説明は変更できます。 この機能は、Azure クラシック ポータルでは不可能であり、PowerShell ではサポートされないままです。
これらの既定のテンプレートを利用することで、組織の機密データの保護をすぐに開始できます。 これらのテンプレートは Azure Information Protection ラベルと組み合わせて利用するか、Rights Management テンプレートを利用できるアプリケーションやサービスで単体で利用できます。
また、独自のカスタム テンプレートを作成することもできます。 必要なテンプレートはおそらく数個のみですが、最大 500 個のカスタム テンプレートを Azure に保存することができます。
既定のテンプレートに含まれる権限
次の表は、既定のテンプレートを作成したときに含まれる使用権限の一覧です。 使用権限は、共通名で表示されています。
これらの既定のテンプレートは、サブスクリプションを購入すると作成されます。Azure portal および PowerShell を使用して、名前と使用権限を変更することができます。
| テンプレートの表示名 | 使用権限 (2017 年 10 月 6 日から現在) | 使用権限 (2017 年 10 月 6 日より前) |
|---|---|---|
| <組織名> - 社外秘、表示のみ または 非常に機密性の高い社外秘 \ すべての従業員 |
表示、開く、読み取り、コピー、権利の表示、マクロの許可、印刷、転送、返信、全員に返信、保存、コンテンツの編集、編集 | 表示、開く、読み取り |
| <組織名>- 社外秘 または 社外秘 \ すべての従業員 |
表示、開く、読み取り、名前を付けて保存、エクスポート、コピー、権利の表示、権利の変更、マクロの許可、印刷、転送、返信、全員に返信、保存、コンテンツの編集、編集、フル コントロール | 表示、開く、読み取り、名前を付けて保存、エクスポート、コンテンツの編集、編集、権利の表示、マクロの許可、転送、返信、全員に返信 |
既定のテンプレート名
サブスクリプションを最近入手した場合、既定のテンプレートは次の名前で作成されます。
社外秘 \ すべての従業員
非常に機密性の高い社外秘 \ すべての従業員
以前にサブスクリプションを入手している場合、既定のテンプレートは次の名前で作成される可能性があります。
<組織名> - 社外秘
<組織名> - 社外秘、表示のみ
Azure Portal を使っている場合、これらの既定テンプレートの名前を変更 (および再構成) できます。
注意
[Azure Information Protection - ラベル] ペインに既定のテンプレートが表示されない場合、ラベルに変換されるか、ラベルにリンクされています。 テンプレートとして存在していますが、Azure Portal では、クラウド キーの保護設定を含むラベル構成の一部として表示されます。 テナントに設定されているテンプレートはいつでも確認できます。AIPService PowerShell モジュールから Get-AipServiceTemplate を実行してください。
後の「テンプレートをラベルに変更するには」セクションで説明するように、テンプレートは手動で変換できます。変換後、必要に応じて名前を変更します。 あるいは、既定の Azure Information Protection ポリシーが最近作成され、そのときにテナントの Azure Rights Management サービスが有効にされた場合は、自動的に変換されます。
アーカイブ済みのテンプレートは [Azure Information Protection - ラベル] ペインに利用不可として表示されます。 そのようなテンプレートはラベルとして選択できませんが、ラベルに変換することはできます。
Azure Portal のテンプレートに関する考慮事項
テンプレートを編集したり、ラベルに変換したりする前に、次の変更内容と考慮事項に注意してください。 実装が変更されたため、Azure クラシック ポータルで以前にテンプレートを管理していた場合は、次のリストが特に重要になります。
テンプレートを編集または変換して Azure Information Protection ポリシーを保存すると、元の使用権限に次の変更が行われます。 必要に応じて、Azure Portal を使用して個々の使用権限を追加するか削除します。 または、New-AipServiceRightsDefinition および Set-AipServiceTemplateProperty コマンドレットを使って、PowerShell を使用します。
- マクロの許可 (共通名) が自動的に追加されます。 この使用権限は、Office アプリの Azure Information Protection バーに必要です。
[ラベル] ペインで、[公開済み] の設定は [有効] が [オン]、[アーカイブ済み] の設定は [有効] が [オフ] と表示されます。 維持するものの、ユーザーまたはサービスには表示しないテンプレートの場合は、[有効]: [オフ] に設定します。
Azure Portal では、テンプレートをコピーまたは削除することはできません。 テンプレートがラベルに変換されると、テンプレートの使用を停止するようにラベルを構成できます。そのためには、[このラベルを含むドキュメントやメールに対するアクセス許可の設定] オプションに [構成されていません] を選択します。 または、ラベルを削除できます。 ただし、いずれのシナリオでもテンプレートは削除されず、アーカイブされた状態で残ります。
PowerShell の Remove-AipServiceTemplate コマンドレットを使用すると、テンプレートは完全に削除されます。 ラベルに変換されていないテンプレートにも、この PowerShell コマンドレットを使用できます。 ただし、それ以前に保護されていたコンテンツを意図したとおり確実に開いたり使用したりできるようにするため、通常は、テンプレートを削除しないことをお勧めします。 ベスト プラクティスとしては、運用環境で文書やメールの保護に使用されなかったことが確かな場合にのみ、テンプレートを削除してください。 PowerShell を使用してテンプレートを完全に削除する前に、念のため、Export-AipServiceTemplate コマンドレットを使用してテンプレートをバックアップとしてエクスポートすることをお勧めします。
現時点では、部門別テンプレートを編集して保存すると、スコープの構成が削除されます。 Azure Information Protection ポリシーでスコープ テンプレートに相当するのが、スコープ ポリシーです。 テンプレートをラベルに変換する場合は、既存のスコープを選択できます。
また、Azure Portal では部門別テンプレートのアプリケーションの互換性を設定できません。 必要な場合は、Set-AipServiceTemplateProperty コマンドレットと EnableInLegacyApps パラメーターを使用して、このアプリケーションの互換性設定を設定することができます。
テンプレートをラベルに変換またはリンクすると、他のラベルで利用できなくなります。 また、このテンプレートは [保護テンプレート] セクションに表示されなくなります。
[保護テンプレート] セクションでは、新しいテンプレートを作成しません。 代わりに、[保護] を設定したラベルを作成し、[保護] ペインで使用権限と設定を構成します。 詳しい手順については、「新しいテンプレートを作成するには」を参照してください。
Azure Information Protection ポリシーでテンプレートを構成するには
まだ実行していない場合は、新しいブラウザー ウィンドウを開いて、Azure Portal にサインインします。 次に、[Azure Information Protection - ラベル] ペインに移動します。
たとえば、リソース、サービス、ドキュメントの検索ボックスで次のようにします: 「Information」と入力し、 [Azure Information Protection] を選択します。
[分類]>[ラベル]メニュー オプションから: [Azure Information Protection - ラベル] ペインで、[保護テンプレート] を展開し、構成するテンプレートを検索します。
テンプレートを選択し、[ラベル] ペインで [ラベルの表示名] と [説明] を編集することにより、必要に応じてテンプレート名と説明を変更できます。 次に、値が Azure (クラウド キー) になっている [保護] を選択して [保護] ペインを開きます。
[保護] ペインでは、アクセス許可、コンテンツの期限、オフライン アクセスの設定を変更できます。 保護設定の構成の詳細については、「Rights Management による保護でラベルを構成する方法」を参照してください。
変更を保存するには [OK] をクリックし、[ラベル] ペインで [保存] をクリックします。
注意
定義済みのテンプレートを使うためのラベルを構成した場合は、[保護] ペインの [テンプレートの編集] ボタンを使ってテンプレートを編集することもできます。 選択したテンプレートを使っているラベルが他にない場合、このボタンはテンプレートをラベルに変換し、手順 5. に移動します。 テンプレートがラベルに変換される場合の処理の詳細については、次のセクションを参照してください。
テンプレートをラベルに変換するには
分類、ラベル付け、保護を含むサブスクリプションの場合は、テンプレートをラベルに変換できます。 テンプレートの変換を行った場合、元のテンプレートは保持されますが、Azure Portal では新しいラベルに含まれた形で元のテンプレートが表示されます。
たとえば、マーケティング グループに使用権限を付与するマーケティングという名前のラベルを変換すると、Azure Portal ではマーケティングという名前の、同一の保護設定を持つラベルとして表示されます。 新しく作成したこのラベルの保護設定を変更する場合は、テンプレートで変更します。このテンプレートを使用するすべてのユーザーまたはサービスには、次にテンプレートが更新されるときに、新しい保護設定が適用されます。
すべてのテンプレートをラベルに変換する必要はありませんが、すべて変換すると、保護設定がラベルのすべての機能と完全に統合されるため、個別に設定を維持する必要がなくなります。
テンプレートをラベルに変換するには、テンプレートを右クリックして、[ラベルに変換] を選択します。 または、コンテキスト メニューを使用してこのオプションを選択します。
ラベルの保護と定義済みテンプレートを構成するときに、[テンプレートの編集] ボタンを使用して、テンプレートをラベルに変換することもできます。
テンプレートをラベルに変換すると、次のようになります。
テンプレートの名前は新しいラベル名に変換され、テンプレートの説明はラベルのヒントに変換されます。
テンプレートの状態が [公開済み] の場合、ラベルではこの設定が [有効]: [オン] にマップされ、Azure Information Protection ポリシーが次に公開されるときにこのラベルがユーザーに表示されます。 テンプレートの状態が [アーカイブ済み] の場合、ラベルではこの設定が [有効]: [オフ] にマップされ、ユーザーが使用できるラベルとして表示されません。
保護設定は保持され、必要に応じて編集できます。また、視覚的なマーカーや条件などのラベルの他の設定を追加することもできます。
元のテンプレートは [保護テンプレート] に表示されなくなり、ラベルの保護の構成時に、事前定義済みテンプレートとして選択できません。 Azure Portal でこのテンプレートを編集するには、テンプレートの変換時に作成したラベルを編集します。 Azure Rights Management サービスではこれまでどおりにテンプレートを使用できるほか、PowerShell コマンドを使用してテンプレートを管理できます。
新しいテンプレートを作成するには
テンプレートは、ポータルまたは PowerShell を使用して作成できます。
PowerShell を使用したテンプレートの作成
PowerShell を使用して、指定された名前、説明、ポリシー、必要な状態設定で新しい保護テンプレートを作成するには、Add-AipServiceTemplate コマンドレットを使用します。
ポータルを使用したテンプレートの作成
ポータルを使用して Azure (クラウド キー) の保護設定で新しいラベルを作成すると、この処理によって、Rights Management テンプレートと統合されるサービスとアプリケーションが次からアクセスできるようになる新しいカスタム テンプレートが作成されます。
[分類]>[ラベル] メニュー オプションから: [Azure Information Protection - ラベル] ペインで、[新しいラベルの追加] を選択します。
[ラベル] ペインで、[有効] : [オン] を既定のままにします。次に [テンプレート名] と [説明] に、ラベルの名前と説明を入力します。
[このラベルを含むドキュメントやメールに対するアクセス許可の設定] では、[保護] を選択してから、再び [保護] を選択します。
[保護] ペインでは、アクセス許可、コンテンツの期限、オフライン アクセスの設定を変更できます。 これらの保護設定の構成の詳細については、「Rights Management による保護でラベルを構成する方法」を参照してください。
変更を保存するには [OK] をクリックし、[ラベル] ペインで [保存] をクリックします。
[Azure Information Protection - ラベル] ペインに新しいラベルが表示され、[保護] 列には保護設定が含まれていることが示されます。 これらの保護設定は、Azure Rights Management サービスをサポートするアプリケーションとサービスに対してテンプレートとして表示されます。
ラベルは有効ですが (既定)、テンプレートはアーカイブされます。 アプリケーションとサービスでテンプレートを使用してドキュメントや電子メールを保護できるようにするには、テンプレートを発行する最後の手順を完了します。
[分類]>[ポリシー] メニュー オプションから、新しい保護設定を含むポリシーを選択します。 次に [ラベルの追加または削除] を選択します。 [ポリシー: ラベルの追加または削除] ペインから、保護設定が含まれる新しく作成されたラベルを選択し、[OK]、[保存] の順に選択します。
次の手順
Azure Information Protection クライアントを実行しているコンピューターが変更された設定を取得するまで、最大で 15 分間かかる場合があります。 コンピューターおよびサービスでテンプレートをダウンロードして更新する方法については、「ユーザーとサービスのためのテンプレートの更新」を参照してください。
テンプレート名と説明が適切なものを選択するのに十分でない場合は、どのテンプレートを選択するかをユーザーに指示してください。
テンプレートの作成と管理のために Azure Portal で構成できたことはすべて、PowerShell を利用して行うことができます。 また、PowerShell は、ポータルでは利用できないオプションも提供します。 詳細については、保護テンプレートの PowerShell リファレンスを参照してください。
Azure Information Protection ポリシーの構成の詳細については、「組織のポリシーの構成」セクションのリンクを使用してください。