次の方法で共有


Azure Information Protection のデータ保護に関してよく寄せられる質問

Azure Information Protection のデータ保護サービス、Azure Rights Management に関して質問がありますか。 ここで回答を探してみてください。

ファイルを Azure Rights Management で保護するには、クラウドに置いておく必要があるのでしょうか。

よくある誤解ですが、そのようなことはありません。 Azure Rights Management サービス (と Microsoft) では、情報保護の一環としてユーザーのデータを閲覧したり、保存したりすることはありません。 ユーザーが保護した情報は、ユーザーが Azure に明示的に保存したり、Azure に情報を保存する別のクラウド サービスを使用しない限り、Azure に送信されたり保存されたりすることはありません。

詳細については、「Azure RMS の機能の詳細」を参照してください。(コーラのレシピのように) オンプレミスで作成および保管している機密性の高いデータを Azure Rights Management サービスで保護しながら、引き続きオンプレミスに置いておくことができるしくみについて説明しています。

Azure Rights Management 暗号化と Microsoft のその他のクラウド サービスでの暗号化の違いは何ですか。

Microsoft はさまざまなシナリオでのデータ保護に合わせて多数の暗号化技術を提供していますが、多くの場合はデータ保護のシナリオが相互補完的です。 たとえば、Microsoft 365 の暗号化は Microsoft 365 に保存される静止状態のデータが対象ですが、Azure Information Protection の Azure Rights Management サービスは独立してユーザーのデータを暗号化するものであり、データは格納されている場所や伝送方法にかかわらず保護されます。

これらの暗号化技術は互いに補完するものであり、使用するには各技術を個別に有効にして構成する必要があります。 このときに、暗号化のキーを独自に用意するという選択が可能な場合があり、このようなシナリオは "BYOK" とも呼ばれます。これらの技術の 1 つについて BYOK を有効にしても、それ以外の技術に影響することはありません。 たとえば、BYOK を Azure Information Protection に使用し、それ以外の暗号化技術には使用しないことも、その逆も可能です。 使用されるキーが暗号化技術ごとに異なるか同一であるかは、管理者が各サービスの暗号化オプションをどのように構成するかによって決まります。

現在、Exchange Online で BYOK を使用できますか。

はい。Azure Information Protection 上に構築される新しい Microsoft 365 メッセージの暗号化機能の設定に関する記事の手順に従って、Exchange Online で BYOK を使用することができるようになりました。 これらの手順に従うことで、新しい Office 365 Message Encryption と、Azure Information Protection での BYOK の使用をサポートする Exchange Online の新しい機能を使用できるようになります。

この変更の詳細については、Office 365 Message Encryption と新しい機能に関するブログのお知らせを参照してください。

RMS コネクタには管理パックまたは同様の監視メカニズムがありますか。

Rights Management コネクタは情報、警告、エラー メッセージをイベント ログに記録しますが、これらのイベントの監視機能を備えた管理パックはありません。 ただし、イベントの一覧とその説明および是正措置に役立つ詳細な情報については、「Microsoft Rights Management コネクタの監視」を参照してください。

Azure Portal では、新しいカスタム テンプレートをどのように作成しますか。

カスタム テンプレートは、Azure Portal に移動しています。Azure Portal では、引き続きカスタム テンプレートをテンプレートとして管理したり、ラベルに変換したりすることができます。 新しいテンプレートを作成するには、新しいラベルを作成し、Azure RMS 用のデータ保護設定を構成します。 それによって、内部的には新しいテンプレートが作成され、Rights Management テンプレートと統合されるサービスとアプリケーションがアクセスできるようになります。

Azure Portal のテンプレートの詳細については、「Azure Information Protection のテンプレートを構成して管理する」を参照してください。

保護されているドキュメントに対して、使用権限の変更またはユーザーの追加を行いたいのですが、ドキュメントを再保護する必要がありますか。

ドキュメントがラベルまたはテンプレートを使用して保護されている場合、ドキュメントを再保護する必要はありません。 使用権限を変更するか、新しいグループ (またはユーザー) を追加してラベルまたはテンプレートを変更し、これらの変更を保存して発行します。

  • 変更する前にユーザーがドキュメントにアクセスしていない場合、ユーザーがドキュメントを開くとすぐに変更が有効になります。

  • ユーザーが既にドキュメントにアクセスしている場合は、ユーザーの使用ライセンスの有効期限が過ぎた時点で変更が有効になります。 使用ライセンスの有効期限が切れるまで待てない場合にのみ、ドキュメントを再保護します。 再保護を行うと、実際にはドキュメントの新しいバージョンが作成されるため、ユーザーの使用ライセンスも新しくなります。

あるいは、必要なアクセス許可に対して既にグループを構成している場合、グループのメンバーシップを変更してユーザーの追加または除外を行うことができます。ラベルまたはテンプレートの変更は必要ありません。 グループ メンバーシップが Azure Rights Management サービスによってキャッシュに入れられるため、変更が反映されるまでにわずかな遅延が生じる可能性があります。

カスタム アクセス許可を使用してドキュメントが保護されている場合は、既存のドキュメントのアクセス許可を変更できません。 ドキュメントを再度保護し、この新しいバージョンのドキュメントに必要なすべてのユーザーとすべての使用権限を指定する必要があります。 保護されたドキュメントを再保護するには、"フル コントロール" 使用権限が必要です。

ヒント: ドキュメントがテンプレートで保護されているのか、それともカスタム アクセス許可を使用して保護されているのかを確認するには、Get-AIPFile​Status PowerShell コマンドレットを使用してください。 カスタム アクセス許可の場合、[制限されたアクセス] のテンプレートの説明と、Get-RMSTemplate を実行した場合には表示されない一意のテンプレート ID が常に表示されます。

一部のユーザーは Exchange Online に登録され、他のユーザーは Exchange Server に登録されている、Exchange のハイブリッド デプロイ構成は、Azure RMS でサポートされていますか。

はい、サポートされています。そして素晴らしいことは2 つの Exchange デプロイ間で保護された電子メールと添付ファイルをシームレスに保護し、使用できることです。 この構成の場合、Azure RMS をアクティブにし、IRM for Exchange Online を有効にします。次に、RMS コネクタをデプロイして、Exchange Server 用に構成します。

運用環境にこの保護を利用すると、会社の環境が Azure RMS に固定されたり、Azure RMS で保護したコンテンツにアクセスできなくなる危険性が生じたりしますか。

いいえ。データを常に制御することができます。また、Azure Rights Management サービスの使用を停止したとしても、継続してデータにアクセスすることができます。 詳細については、Azure Rights Management の使用停止と非アクティブ化に関するページを参照してください。

Azure RMS を使用してコンテンツを保護するユーザーを制御できますか。

はい。Azure Rights Management サービスには、このシナリオのためのユーザー オンボーディング コントロールがあります。 詳細については、記事「Azure Information Protection による保護サービスのアクティブ化」の「段階的デプロイのオンボーディング コントロールの構成」のセクションを参照してください。

保護されたドキュメントをユーザーが特定の組織と共有しないようにすることはできますか。

データ保護に Azure Rights Management サービスを使用する最大の利点の 1 つは、Microsoft Entra IDが認証を処理するため、各パートナー組織に対して明示的な信頼を構成することなく、企業間のコラボレーションをサポートできることです。

ユーザーが特定の組織とドキュメントを安全に共有することを防止するような管理オプションはありません。 たとえば、信頼していない組織や、競合先の組織をブロックするとします。 Azure Rights Management サービスがこれらの組織のユーザーに保護されたドキュメントを送信しないようにしても意味がありません。その場合、ユーザーはドキュメントを保護されていないまま共有することになり、おそらくこれはこのシナリオにおいて最も望ましくない状況です。 たとえば、これらの組織のユーザーと社外秘ドキュメントを共有しているユーザーを識別することはできませんが、ドキュメント (またはメール) が Azure Rights Management サービスで保護されていれば、これが可能になります。

保護されたドキュメントを社外のユーザーと共有する場合、そのユーザーはどのようにして認証されますか。

既定では、Azure Rights Management サービスは、ユーザー認証に Microsoft Entra アカウントと関連付けられた電子メール アドレスを使用します。これにより、管理者にとって企業間のコラボレーションをシームレスに行うことができます。 他の組織が Azure サービスを使用している場合は、これらのアカウントがオンプレミスで作成、管理されてから Azure に同期される場合でも、ユーザーは既に Microsoft Entra ID にアカウントを持っています。 組織で Microsoft 365 を使用している場合、内部的に、このサービスによってユーザー アカウント用に Microsoft Entra ID も使用されます。 ユーザーの組織が Azure に管理アカウントを持っていない場合、ユーザーは個人向け RMS にサインアップできます。これは、アンマネージド Azure テナントと組織用のディレクトリをユーザー用のアカウントを使用して作成するため、このユーザー (および後続のユーザー) は Azure Rights Management サービスに対して認証されます。

これらのアカウントの認証方法は、他の組織の管理者が Microsoft Entra アカウントを構成している方法によって異なります。 たとえば、これらのアカウント、フェデレーション用に作成されたパスワード、または Active Directory ドメイン サービスで作成されて Microsoft Entra ID に同期されたパスワードを使用できます。

その他の認証方法:

  • Microsoft Entra ID のアカウントを持っていないユーザー宛ての Office ドキュメントが添付されている電子メールを保護する場合、認証方法が異なります。 Azure Rights Management サービスは、Gmail など、いくつかの一般的なソーシャル ID プロバイダーと統合されます。 ユーザーの電子メール プロバイダーがサポートされている場合、ユーザーはそのサービスにサインインでき、電子メール プロバイダーによって認証が行われます。 ユーザーの電子メール プロバイダーがサポートされていない場合、または任意の設定として、ユーザーはワンタイム パスコードを申請できます。このパスコードでユーザーは認証を行い、保護されたドキュメントを含む電子メールを Web ブラウザーで表示することができます。

  • Azure Information Protection では、サポートされているアプリケーションに Microsoft アカウントを使用できます。 現在、Microsoft アカウントが認証に使用されている場合、アプリケーションによっては、保護されたコンテンツを開けない場合があます。 詳細情報

社外のユーザーをカスタム テンプレートに追加できますか?

はい。 Azure Portal で構成できる保護設定では、組織の外部のユーザーとグループに (別組織の全ユーザーに対しても) アクセス許可を追加することができます。 Azure Information Protection を使用してドキュメントコラボレーションをセキュリティで保護する手順の例を参照すると便利な場合があります。

Azure Information Protection ラベルがある場合は、最初にカスタム テンプレートをラベルに変換してから、Azure Potal でこれらの保護設定を構成する必要があります。 詳細については、「Azure Information Protection のテンプレートを構成して管理する」を参照してください。

または、PowerShell を使用して、カスタム テンプレート (およびラベル) に外部ユーザーを追加できます。 この構成には、テンプレートを更新するために使用する権限定義オブジェクトを使用する必要があります。

  1. New-AipServiceRightsDefinition コマンドレットを使用して変数を作成することで、権限定義オブジェクトで外部メール アドレスとその権限を指定します。

  2. Set-AipServiceTemplateProperty コマンドレットを使用して RightsDefinition パラメーターにこの変数を指定します。

    ユーザーを既存のテンプレートに追加する場合、新しいユーザーだけでなく、テンプレート内の既存のユーザーにも、権限定義オブジェクトを定義する必要があります。 このシナリオでは、コマンドレットの「」セクションにある「Example 3: Add new users and rights to a custom template (例 3: カスタム テンプレートへの新しいユーザーと権利の追加)」が役に立ちます。

Azure RMS では、どの種類のグループを使用できますか。

ほとんどのシナリオでは、電子メール アドレスを持つ、Microsoft Entra ID の任意の種類のグループを使用できます。 この一般則は、使用権限を割り当てる際には常に適用できますが、Azure Rights Management サービスを管理する場合にはいくつかの例外があります。 詳細については、「グループ アカウントに関する Azure Information Protection の要件」を参照してください。

保護されたメールを Gmail または Hotmail のアカウントに送信するにはどうすればよいですか。

Exchange Online と Azure Rights Management サービスを使用する場合は、保護メッセージとしてユーザーに電子メールを送信するだけです。 たとえば、Outlook on the Web のコマンド バーにある新しい [保護] ボタンを選択するか、Outlook の [転送不可] ボタンまたはメニュー オプションを選択できます。 または、Azure Information Protection ラベルを選択して、自動的に転送不可を適用し、電子メールを分類することができます。

受信者には Gmail、Yahoo、または Microsoft アカウントにサインインするためのオプションが表示され、保護された電子メールを読み取れるようになります。 また、ブラウザーで電子メールを読むためのワンタイム パスコードのオプションを選択することもできます。

このシナリオをサポートするには、Exchange Online を Azure Rights Management サービスおよび Office 365 Message Encryption の新しい機能で使用できるようにする必要があります。 この構成の詳細については、「Exchange Online: IRM 構成」を参照してください。

すべてのデバイスですべての電子メール アカウントをサポートする新機能の詳細については、ブログの投稿「Announcing new capabilities available in Office 365 Message Encryption (Office 365 Message Encryption で使用できる新機能のお知らせ)」を参照してください。

Azure RMS では、どのデバイスとファイルの種類がサポートされていますか。

Azure Rights Management サービスはあらゆる種類のファイルに対応しています。 テキスト、イメージ、Microsoft Office (Word、Excel、PowerPoint) ファイル、.pdf ファイル、他のいくつかのアプリケーションのファイルの種類については、Azure Rights Management は暗号化と権限の適用 (アクセス許可) の両方を含むネイティブな保護を提供します。 他のすべてのアプリケーションとファイルの種類については、ファイルのカプセル化と、ユーザーにファイルを開く権限があるかどうかを確認する認証という一般的な保護機能が提供されます。

Azure Rights Management でネイティブでサポートされているファイル名拡張子の一覧については、「Azure Information Protection クライアントでサポートされるファイルの種類」を参照してください。 一覧に含まれていないファイル名拡張子は、汎用的な保護をこれらのファイルに自動的に適用する Azure Information Protection クライアントを使用することによってサポートされます。

RMS で保護されている Office ドキュメントを開いた場合、関連付けられている一時ファイルも RMS で保護されますか。

いいえ。 このシナリオでは、関連付けられている一時ファイルには元のドキュメントのデータは含まれず、ユーザーがファイルを開いているときに入力したもののみが含まれます。 元のファイルとは異なり、一時ファイルは明らかに共有用に設計されておらず、BitLocker や EFS などのローカル セキュリティ コントロールによって保護され、デバイス上に残ります。

必要な機能があるのですが、SharePoint で保護されたライブラリには使用できないようです。この機能のサポートは予定されていますか。

現在のところ、Microsoft SharePoint では、IRM で保護されたライブラリを使って RMS で保護されたドキュメントをサポートしています。IRM で保護されたライブラリは、Rights Management テンプレートやドキュメントの追跡などの機能をサポートしていません。 詳細については、Office アプリケーションおよびサービスに関する記事の「Microsoft 365 の SharePoint と SharePoint Server」セクションを参照してください。

まだサポートされていない機能に関する情報については、Enterprise Mobility and Security チーム ブログのお知らせに注意していてください。

ユーザーが社内や社外の人間とファイルを安全に共有できるように SharePoint で OneDrive を構成するには、どうすればよいですか。

既定では、Microsoft 365 管理者がこれを構成することはありません。ユーザーが構成します。

SharePoint サイト管理者が、所有する SharePoint ライブラリの IRM を有効にして構成するのと同じように、OneDrive は、ユーザーが自身の OneDrive ライブラリの IRM を有効にして構成するように設計されています。 ただし、PowerShell を使用して、ユーザーに代わってこの処理を行うことができます。 手順については、「Microsoft 365 の SharePoint と OneDrive: IRM 構成」を参照してください。

正常にデプロイするためのヒントやコツはありますか。

これまでに多数のデプロイをサポートし、顧客、パートナー、コンサルタント、サポート エンジニアから話を聞いてきた経験から言える一番のヒントは、シンプルなポリシーを設計してデプロイすることです。

Azure Information Protection では、他のユーザーと情報を安全に共有できるため、データ保護の範囲を詳細に指定することができます。 使用権限の制限の構成は慎重に行ってください。 多くの組織にとって、業務上最も重要な利点は、組織内のユーザーのアクセス許可を制限して、データ漏えいを防止できることです。 もちろん、印刷や編集の操作を制限するなど、より詳細なポリシーを作成することもできますが、そのような細かい制限は、高レベルのセキュリティが必要なドキュメントに限定してください。最初から制限の厳しい使用権限を作成するのではなく、段階的に計画して作成していくことをお勧めします。

退職した従業員が保護していたファイルにアクセスするには、どうすればよいですか。

スーパー ユーザー機能を使用してください。この機能により、テナントで保護されているすべてのドキュメントと電子メールに対して承認されたユーザーにフル コントロール使用権限が与えられます。 スーパー ユーザーは常にこの保護されたコンテンツを読み取ることができ、必要に応じて、保護を解除したり、別のユーザーのために再度保護したりすることができます。 また必要であれば、スーパー ユーザー機能を使用して、権限を持つサービスによるファイルのインデックス化と検査を許可することができます。

コンテンツが SharePoint または OneDrive に格納されている場合、管理者は Unlock-SensitivityLabelEncryptedFile コマンドレットを実行して、秘密度ラベルと暗号化の両方を削除できます。 詳細については、 Microsoft 365 のドキュメントを参照してください。

Rights Management は画面キャプチャを防止できますか。

Windows プラットフォーム (Windows 7、Windows 8.1、Windows 10、Windows 10 Mobile、Windows 11) で一般的に使われているさまざまな画面キャプチャ ツールについては、コピー 使用権限を付与しなければ、Rights Management で画面キャプチャを防止できます。 ただし、iOS、Mac、Android デバイスでは、いかなるアプリも画面キャプチャを防止することができません。 さらに、どのデバイス上のブラウザーでも、画面キャプチャを防ぐことはできません。 ブラウザーの使用には、Outlook on the web と Office for the web が含まれます。

Note

最新チャネル (プレビュー) へのロール アウト: Office for Mac、Word、Excel、PowerPoint (Outlook は除く) で、画面キャプチャを防止する Rights Management の使用権限がサポートされるようになりました。

画面のキャプチャを禁止しておくと、不注意や不測の出来事により機密性の高い情報が漏洩してしまう事態を避けることができます。 ただし、画面に表示されるデータをユーザーが共有するにはさまざまな方法があり、スクリーン ショットを保存する方法はその 1 つにすぎません。 たとえば、表示される情報を共有しようとするユーザーは、カメラ付き携帯電話を使用して写真を撮影したり、データを再入力したり、単に口頭で他者に伝達することができます。

このように、あらゆるプラットフォームとソフトウェアが Rights Management API をサポートし、かつ画面キャプチャをブロックできたとしても、テクノロジだけでデータの漏洩を防ぐことができるわけではありません。 Rights Management は、承認および使用ポリシーを使用して重要なデータを保護するために役立つものの、このエンタープライズ権限管理ソリューションは、他の管理手段と共に使用する必要があります。 たとえば、物理的なセキュリティを実装したり、組織のデータへのアクセスが承認されているユーザーを慎重に検査および監視したり、どのようなデータを共有してはならないかを理解できるようにユーザーの教育に投資したりすることです。

ユーザーが [転送不可] を使用して電子メールを保護するのと、転送権限のないテンプレートを使用するのとでは、どのような違いがありますか。

名前や外観に反して、[転送不可] は転送権限の反対ではなく、テンプレートでもありません。 実際には、コピー、印刷、メールボックス外部へのメールの保存の制限を含む権限の集まりであり、それらに加え、メールの転送が制限されます。 権限は、選択された受信者に基づき、ユーザーに動的に適用されます。管理者によって静的に割り当てられるものではありません。 詳細については、「Azure Information Protection での使用権限の構成」の「電子メールの [転送不可] オプション」セクションを参照してください。

Windows Server FCI と Azure Information Protection スキャナーの違いは何ですか。

従来、Windows Server ファイル分類インフラストラクチャは、ドキュメントを分類し、Rights Management コネクタ (Office ドキュメントのみ) または PowerShell スクリプト (すべてのファイルの種類) を使用することによりそれらのドキュメントを保護するためのオプションでした。

今後は、Azure Information Protection スキャナーを使用することをお勧めします。 スキャナーは、Azure Information Protection クライアントと Azure Information Protection ポリシーを使用して、ドキュメント (すべてのファイルの種類) にラベルを付けます。その結果、それらのドキュメントが分類され、必要に応じて保護されます。

これらの 2 つのソリューションの主な違いは次のとおりです。

Windows Server FCI Azure Information Protection スキャナー
サポートされているデータ ストア Windows Server のローカル フォルダー - Windows ファイル共有とネットワーク接続ストレージ

- SharePoint Server 2016 および SharePoint Server 2013。 SharePoint Server 2010 の延長サポートをご利用のお客様向けに、このバージョンの SharePoint もサポートされています。
操作モード リアル タイム データ ストアを 1 回または繰り返し体系的にクロールする
サポートされているファイルの種類 - すべてのファイルの種類が既定で保護されます

- レジストリを編集することにより、特定のファイルの種類を保護から除外できます
ファイルの種類のサポート:

- Office ファイルの種類と PDF ドキュメントは、既定で保護されます

- レジストリを編集することにより、追加のファイルの種類を保護対象として含めることができます