Azure Information Protection (AIP) に関してよく寄せられる質問
Note
Microsoft Purview Information Protection をお探しですか? (以前の Microsoft Information Protection (MIP))
Azure Information Protection アドインは廃止され、Microsoft 365 アプリとサービスに組み込まれているラベルに置き換えられています。 詳細については、「他の Azure Information Protection コンポーネントのサポート状況」を参照してください。
新しい Microsoft Information Protection クライアント (アドインなし) は現在プレビュー段階であり、一般提供が予定されています。
Azure Information Protection (AIP)、または Azure Rights Management サービス (Azure RMS) に関して質問がございますか。
以下に回答があるか、または後続のさらに具体的な FAQ ページに回答があるかどうかをご確認ください。
Azure Information Protection と Microsoft Purview Information Protection の違いは何ですか?
Azure Information Protection と異なり、Microsoft Purview Information Protection は、購入できるサブスクリプションまたは製品ではありません。 そうではなく、これは組織の機密情報を保護するのに役立つ製品および統合された機能のフレームワークです。
Microsoft Purview Information Protection 製品には次のものが含まれます。
- Azure Information Protection
- Microsoft 365 Information Protection (Microsoft 365 DLP など)
- Windows 情報保護
- Microsoft Defender for Cloud Apps
Microsoft Purview Information Protection の機能は次のとおりです。。
- 統合ラベルの管理
- Office アプリに組み込まれたエンドユーザーのラベル付けエクスペリエンス
- Windows で統合ラベルを理解し、データに保護を適用する機能
- Microsoft Information Protection SDK
- Adobe Acrobat Reader でラベルの付いた PDF や保護された PDF を表示する機能
詳細については、機密データの保護に役立つ情報保護機能に関するページを参照してください。
テナントが統合ラベル付けプラットフォーム上にあるかどうかを確認するにはどうすればいいですか。
テナントが統合ラベル付けプラットフォーム上にある場合は、秘密度ラベルがサポートされ、統合ラベル付けをサポートするクライアントとサービスでそれを使用できます。 2019 年 6 月以降に Azure Information Protection のサブスクリプションを取得した場合、お客様のテナントは自動的に統合ラベル付けプラットフォーム上にあるため、追加の操作は必要ありません。 また、誰かがお客様の Azure Information Protection ラベルを移行したため、テナントがこのプラットフォーム上に存在する可能性もあります。
テナントが統合ラベル付けプラットフォーム上にない場合は、Azure portal の [Azure Information Protection] ペインに次の情報バナーが表示されます。
また、[Azure Information Protection]>[管理]>[統合ラベル付け] に移動して、[統合ラベル付け] の状態を確認することもできます。
| 状態 | 説明 |
|---|---|
| アクティブ化済み | テナントは統合ラベル付けプラットフォーム上にあります。 Microsoft Purview コンプライアンス ポータルからラベルを作成、構成、発行できます。 |
| アクティブ化されていません | テナントは統合ラベル付けプラットフォーム上にありません。 移行の手順とガイダンスについては、「Azure Information Protection ラベルを統合秘密度ラベルに移行する方法」を参照してください。 |
Azure Information Protection と Azure Rights Management の違いは何ですか?
Azure Information Protection (AIP) では、組織のドキュメントやメールを分類、ラベル付け、保護できます。
コンテンツは、現在 AIP のコンポーネントである Azure Rights Management サービスを使用して保護されます。
詳細については、「AIP によってデータを保護する方法」と「Azure Rights Management とは」を参照してください。
Azure Information Protection の ID 管理の役割とは何ですか。
ユーザーは保護されたコンテンツにアクセスするために有効なユーザー名とパスワードを持っている必要があるため、ID 管理は AIP の重要なコンポーネントです。
Azure Information Protection でデータを保護するしくみの詳細については、「データ保護における Azure Information Protection の役割」を参照してください。
Azure Information Protection を使用するには、どのサブスクリプションが必要ですか? どのような機能が含まれていますか?
AIP サブスクリプションの詳細については、以下を参照してください。
- セキュリティとコンプライアンスのための Microsoft 365 ライセンス ガイダンス
- モダン ワーク計画の比較 (PDF でダウンロードできます)
Azure Information Protection を構成するにはグローバル管理者である必要がありますか? または他の管理者に委任できますか?
Microsoft 365 テナントまたは Microsoft Entra テナントのグローバル管理者は、Azure Information Protection のすべての管理タスクを実行できます。
ただし、管理アクセス許可を他のユーザーに割り当てる場合は、次のロールを使って実行します。
- Azure Information Protection 管理者
- コンプライアンス管理者またはコンプライアンス データ管理者
- セキュリティ管理者
- Azure Rights Management のグローバル管理者およびコネクタ管理者
また、管理タスクとロールを管理する際には、次の点に注意してください。
| 問題点 | 詳細 |
|---|---|
| サポートされているアカウントの種類 | Microsoft アカウントは、それらのアカウントが記載されている管理者ロールのいずれかに割り当てられていても、Azure Information Protection の代理管理ではサポートされません。 |
| オンボーディング コントロール | オンボーディング コントロールが構成されている場合、RMS コネクタを除き、Azure Information Protection を管理する機能に影響はありません。 たとえば、コンテンツを保護する機能を IT department グループに制限するようにオンボーディング コントロールが構成されている場合、RMS コネクタのインストールと構成に使用するアカウントは、そのグループのメンバーである必要があります。 |
| 保護の削除 | 管理者が、Azure Information Protection によって保護されたドキュメントやメールから保護を自動的に削除することはできません。 スーパー ユーザーとして割り当てられているユーザーのみが、スーパー ユーザー機能が有効になっている場合にのみ保護を解除できます。 Azure Information Protection への管理アクセス許可を持つユーザーは、スーパー ユーザー機能を有効にしたり、(自分のアカウントも含めて) ユーザーをスーパー ユーザーとして割り当てたりすることができます。 これらのアクションは、管理者ログに記録されます。 詳細については、「Azure Information Protection および探索サービスまたはデータの回復用のスーパー ユーザーの構成」のセキュリティのベスト プラクティスに関するセクションを参照してください。 ヒント: コンテンツが SharePoint または OneDrive に格納されている場合、管理者は Unlock-SensitivityLabelEncryptedFile コマンドレットを実行して、秘密度ラベルと暗号化の両方を削除できます。 詳細については、Microsoft 365 のドキュメントを参照してください。 |
| 統合ラベル付けストアへの移行 | Azure Information Protection ラベルを統合ラベル付けストアに移行する場合は、ラベルの移行に関するドキュメントの次のセクションをお読みください。 「統合ラベル付けプラットフォームをサポートする管理者ロール」。 |
Azure Information Protection 管理者
この Microsoft Entra 管理者ロールでは、管理者が Azure Information Protection のみを構成でき、他のサービスは構成できません。
このロールを持つ管理者は、次のことができます。
- Azure Rights Management 保護サービスのアクティブ化と非アクティブ化
- 保護設定とラベルを構成する
- Azure Information Protection ポリシーを構成する
- Azure Information Protection クライアントに対して、また AIPService モジュールから、すべての PowerShell コマンドレットを実行する
ユーザーに管理者ロールを割り当てるには、「Microsoft Entra ID でユーザーを管理者ロールに割り当てる」を参照してください。
Note
テナントが統合ラベル付けプラットフォーム上にある場合、このロールは Azure portal ではサポートされません。
コンプライアンス管理者またはコンプライアンス データ管理者
これらの Microsoft Entra 管理者ロールにより、管理者は次のことができます。
- Azure Information Protection を構成する (Azure Rights Management 保護サービスのアクティブ化と非アクティブ化を含む)
- 保護設定とラベルを構成する
- Azure Information Protection ポリシーを構成する
- Azure Information Protection クライアントに対して、また AIPService モジュールから、すべての PowerShell コマンドレットを実行する。
ユーザーに管理者ロールを割り当てるには、「Microsoft Entra ID でユーザーを管理者ロールに割り当てる」を参照してください。
これらのロールを持つユーザーに付与されるその他のアクセス許可を確認するには、Microsoft Entra ドキュメントの「使用可能なロール」セクションを参照してください。
Note
これらのロールでは、ユーザーのドキュメントの追跡と取り消しはサポートされません。
セキュリティ管理者
この Microsoft Entra 管理者ロールを使用すると、管理者は Azure portal で Azure Information Protection を構成したり、他の Azure サービスのいくつかの側面を構成したりできます。
このロールを持つ管理者は、AIPService モジュールから PowerShell コマンドレットを実行したり、ユーザーのドキュメントの追跡と取り消しを行ったりすることはできません。
ユーザーに管理者ロールを割り当てるには、「Microsoft Entra ID でユーザーを管理者ロールに割り当てる」を参照してください。
これらのロールを持つユーザーに付与されるその他のアクセス許可を確認するには、Microsoft Entra ドキュメントの「使用可能なロール」セクションを参照してください。
Azure Rights Management のグローバル管理者およびコネクタ管理者
グローバル管理者ロールにより、ユーザーは、他のクラウド サービスのグローバル管理者になることなく、すべての PowerShell コマンドレットを AIPService モジュールから実行できます。
コネクタ管理者ロールにより、ユーザーは Rights Management (RMS) コネクタのみを実行できます。
これらの管理者ロールにより、管理コンソールへのアクセス許可が付与されることはありません。 コネクタ管理者ロールでも、ユーザーのドキュメントの追跡と取り消しはサポートされません。
これらのいずれかの管理者ロールを割り当てるには、AIPService PowerShell コマンドレット (Add-AipServiceRoleBasedAdministrator) を使用します。
Azure Information Protection は、オンプレミスおよびハイブリッドのシナリオをサポートしますか?
はい。 Azure Information Protection はクラウドベースのソリューションですが、クラウドだけでなく、オンプレミスに保存されているドキュメントやメールの分類、ラベル付け、および保護を行うことができます。
Exchange Server、SharePoint Server、Windows ファイル サーバーがある場合は、次のいずれかまたは両方の方法を使用します。
- これらのオンプレミス サーバーで Azure Rights Management サービスを使用してメールやドキュメントを保護できるように、Rights Management コネクタをデプロイします
- よりシームレスな認証エクスペリエンスをユーザーに提供するため、Active Directory ドメイン コントローラーを Azure AD と同期し、フェデレーションします。 たとえば、Microsoft Entra Connect を使用します。
Azure Rights Management サービスによって、XrML 証明書の生成と管理が必要に応じて自動的に行われるため、オンプレミスの PKI は使用されません。
Azure Rights Management での証明書の使用方法については、「Azure RMS の動作のチュートリアル: 初めての使用、コンテンツ保護、コンテンツ消費」を参照してください。
Azure Information Protection では、どのような種類のデータを分類し、保護できますか?
Azure Information Protection では、メール メッセージやドキュメントがオンプレミスまたはクラウドのどちらに配置されていても、それらを分類し、管理できます。 これらのドキュメントには、Word ドキュメント、Excel スプレッドシート、PowerPoint プレゼンテーション、PDF ドキュメント、テキスト ベースのファイル、画像ファイルが含まれます。
詳細については、サポートされるファイルの種類の完全なリストを参照してください。
Note
Azure Information Protection では、データベース ファイル、予定表アイテム、Yammer の投稿、Sway コンテンツ、OneNote ノートブックなど、構造化されたデータを分類または保護することはできません。
ヒント
Power BI では秘密度ラベルを使った分類がサポートされており、次のファイル形式にエクスポートされたデータに、これらのラベルからの保護を適用できます: .pdf、.xls、.ppt。 詳細については、「Power BI におけるデータ保護」を参照してください。
条件付きアクセスで使用できるクラウド アプリとして Azure Information Protection が表示されています。これはどのように機能するのでしょうか?
はい、プレビュー オファリングとして、Azure Information Protection に Microsoft Entra 条件付きアクセスを構成できます。
Azure Information Protection によって保護されているドキュメントをユーザーが開くとき、管理者は標準の条件付きアクセス コントロールに基づき、自分のテナントでユーザーをブロックするか、アクセス許可を付与できるようになりました。 最も一般的に要求される条件の 1 つが多要素認証 (MFA) を要求することです。 もう 1 つは、デバイスが Intune ポリシーに準拠する必要があるということです (たとえば、モバイル デバイスがパスワード要件やオペレーティング システムの最小バージョンを満たすようにする)。また、コンピューターはドメインに参加する必要があります。
詳細な説明とチュートリアル形式の例が必要であれば、ブログ投稿の「条件付きアクセス ポリシーと暗号化されたドキュメント」を参照してください。
追加情報:
| トピック | 詳細 |
|---|---|
| 評価の頻度 | Windows コンピューター、および現行プレビュー リリースの場合、ユーザー環境が初期化 (このプロセスはブートストラップとも呼ばれています) されたときに Azure Information Protection の条件付きアクセス ポリシーが評価され、その後、30 日おきに評価されます。 条件付きアクセス ポリシーの評価頻度を微調整するには、トークンの有効期間を構成します。 |
| 管理者アカウント | 条件付きアクセス ポリシーには管理者アカウントを追加しないことをお勧めします。これらのアカウントでは、Azure portal の [Azure Information Protection] ペインにアクセスできないためです。 |
| MFA および B2B コラボレーション | 他の組織との共同作業 (B2B) のための条件付きアクセス ポリシーで MFA を使用する場合は、Microsoft Entra B2B コラボレーションを使用して、他の組織と共有するユーザーのためのゲスト アカウントを作成する必要があります。 |
| 使用条件のプロンプト | 2018 年 12 月の Microsoft Entra プレビュー リリースでは、ユーザーが保護されたドキュメントを初めて開く前に、ユーザーに利用規約への同意を求めることができるようになりました。 |
| クラウド アプリ | 条件付きアクセスのために多くのクラウド アプリを使用している場合、選択する一覧に Microsoft Information Protection Sync Service と Microsoft Rights Management Service が表示されないことがあります。 その場合、一覧の上部にある検索ボックスを使用します。 「Microsoft Information Protection Sync Service」および「Microsoft Rights Management Service」と入力し、使用可能なアプリをフィルター処理します。 サポートされているサブスクリプションが提供されます。その後、これらのオプションが表示され、選択可能になります。 |
Note
条件付きアクセスに対する Azure Information Protection のサポートは、現在プレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
自分の国に Azure Information Protection は適していますか?
国によって要件や規制は異なります。 特定の組織についてこの質問の回答を見つけるには、「国ごとの適合性」の説明が役立ちます。
Azure Information Protection は GDPR にどのように役立ちますか?
Note
個人データの表示または削除に関心がある場合は、Microsoft Purview コンプライアンス マネージャーと Microsoft 365 Enterprise コンプライアンス サイトの GDPR セクションで Microsoft のガイダンスを確認してください。 GDPR に関する一般的な情報については、Service Trust Portal の GDPR セクションを参照してください。
Azure Information Protection に関する法務、法令遵守、SLA などのサポート情報はどこで入手できますか?
「Azure Information Protection のコンプライアンスとサポート情報」を参照してください。
Azure Information Protection の問題の報告や、フィードバックの送信はどうすればよいですか?
テクニカル サポートを利用するには、標準のサポート チャネルを使用するか、Microsoft サポートにお問い合わせください。
Azure Information Protection の Yammer サイト で Azure Information Protection チームと情報交換することもできます。
私の質問がここに見つからない場合はどうすればよいですか。
最初に、以下に示す分類、ラベル付け、またはデータ保護に関してよく寄せられる質問を確認してください。 Azure Rights Management サービス (Azure RMS) では、Azure Information Protection のデータ保護テクノロジを提供しています。 Azure RMS は分類およびラベル付けと併用するか、単体で使用できます。
回答が得られない場合は、「Azure Information Protection の情報とサポート」に示すリンクとリソースを確認してください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示