既知の問題 - Azure Information Protection
Note
Microsoft Purview Information Protection をお探しですか? (以前の Microsoft Information Protection (MIP))
Azure Information Protection アドインは廃止され、Microsoft 365 アプリとサービスに組み込まれているラベルに置き換えられています。 詳細については、「他の Azure Information Protection コンポーネントのサポート状況」を参照してください。
新しい Microsoft Information Protection クライアント (アドインなし) は現在プレビュー段階であり、一般提供が予定されています。
以下の一覧と表を使用して、Azure Information Protection 機能に関連する既知の問題と制限事項についての詳細を確認します。
その他のデジタル署名と暗号化ソリューション
Azure Information Protection では、S/MIME で署名または暗号化されたメールからの保護の削除など、他のソリューションでデジタル署名または暗号化されたファイル\電子メールを保護または暗号化解除することはできません。
.zip ファイルなどのコンテナー ファイルに対するクライアントのサポート
コンテナー ファイルは、他のファイルを含むファイルであり、一般的な例として、圧縮ファイルを含む .zip ファイルが挙げられます。 その他の例としては、.rar、.7z、.msgファイル、添付ファイルを含む PDF ドキュメントなどがあります。
これらのコンテナー ファイルは分類して保護できますが、分類と保護はコンテナー内の各ファイルには適用されません。
分類および保護されたファイルを含むコンテナー ファイルがある場合は、まずファイルを抽出して分類または保護の設定を変更する必要があります。 ただし、Set-AIPFileLabel コマンドレットを使うと、サポートされているコンテナー ファイル内の全ファイルの保護を削除できます。
.msg ファイルの暗号化は、MIP SDK でのみサポートされています。
Azure Information Protection ビューアーは、保護された PDF ドキュメントで添付ファイルを開くことはできません。 このシナリオでは、ドキュメントがビューアーで開かれると、添付ファイルは表示されません。
詳細については、「管理者ガイド: Azure Information Protection クライアントでサポートされるファイルの種類」を参照してください。
AIP と Exploit Protection の既知の問題
Azure Information Protection クライアントは、Exploit Protection が有効になっている .NET 2 または 3 を持つマシンではサポートされていないため、Office アプリが予期せず動作します。
そのような場合は、.NET バージョンをアップグレードすることをお勧めします。 詳細については、「Microsoft .NET Framework の要件」を参照してください。
.NET バージョン 2 または 3 を維持する必要がある場合は、AIP をインストールする前に必ず Exploit Protection を無効にしてください。
PowerShell を使って Exploit Protection を無効にするには、次を実行します。
Set-ProcessMitigation -Name "OUTLOOK.EXE" -Disable EnableExportAddressFilterPlus, EnableExportAddressFilter, EnableImportAddressFilter
透かしに関する既知の問題
ラベルに透かしを追加するときは、フォント サイズ 1 を使用すると、ページに合わせて自動的に調整されます。 ただし、他のフォント サイズを使用する場合は、フォント設定で指定したサイズが使用されます。
Azure Information Protection クライアントの PowerShell サポート
Azure Information Protection クライアントと共にインストールされる AzureInformationProtection PowerShell モジュールの現在のリリースには、次の既知の問題があります。
Outlook の個人フォルダー (.pst ファイル)。 .pst ファイルのネイティブ保護は、AzureInformationProtection モジュールを使用してサポートされていません。
Outlook の保護された電子メール メッセージ (.rpmsg 添付ファイル付き .msg ファイル)。 Outlook 保護電子メール メッセージの保護解除は、Outlook 個人用フォルダー (.pst ファイル) 内のメッセージに関する azureInformationProtection モジュールで、または Outlook メッセージ ファイル (.msg ファイル) 内のディスク上でサポートされています。
PowerShell 7。 現在、PowerShell 7 は AIP クライアントではサポートされていません。 PS7 を使用すると、"オブジェクト参照がオブジェクトのインスタンスに設定されていません" というエラーが発生します。
詳細については、管理者ガイド: Azure Information Protection クライアントでの PowerShell の使用に関する記事を参照してください。
バージョン 2.16.73 での AIP スキャナー認証に関する既知の問題
AIP スキャナーのバージョン 2.16.73 を使用している場合、または初めてインストールする場合は、認証しようとするとエラーが発生する可能性があります。 エラー メッセージに「認証して Microsoft Azure Information Protection を設定できません」と表示されます。
この問題は、MSAL 認証に関する問題が原因で発生します。 これを解決するには、レジストリ キーをサーバーに追加します。
パス: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
DWORD: AuthenticateUsingAdal
値: 1
このレジストリ キーを追加することで、スキャナーは代わりに ADAL を使用して認証を行います。
既知の問題 AIP スキャナー
署名された PDF ファイルを使用した.msg ファイルのスキャンは現在サポートされていません。
トレーニング可能な分類子と EDM (正確なデータ一致) 分類子である機密情報の種類 (SIT)。
パスワードで保護されたファイル。
Office アプリケーションでの AIP の既知の問題
| 機能 | 既知の問題 |
|---|---|
| 複数バージョンの Office 複数の Office アカウント |
Azure Information Protection 統合ラベル付けクライアントでは、次の機能はサポートされていません。 - 同じコンピューター上の複数のバージョンの Office - 複数の Office アカウント、または Office でユーザー アカウントを切り替える - 共有メールボックス |
| マルチ ディスプレイ | 複数のディスプレイを使用していて、Office アプリを開いている場合: - Office アプリでパフォーマンスの問題が発生する可能性があります。 - Azure Information Protection バーが Office 画面の中央に表示され、一方または両方のディスプレイに表示される場合があります パフォーマンスの一貫性を確保し、バーを正しい位置に維持するには、Office アプリケーションの [オプション] ダイアログを開き、[全般] で、[表示を優先した最適化] ではなく [互換性に対応した最適化] を選択します。 |
| Office 2016 での IRM のサポート | Office 2016 のメタデータ暗号化を制御する DRMEncryptProperty レジストリ設定は、Azure Information Protection ラベルではサポートされていません。 |
| Outlook オブジェクト モデルのアクセス | - Outlook オブジェクト モデルを介してアドレス帳にアクセスするときに表示されるプロンプトを制御する PromptOOMAddressBookAccess レジストリ設定は、Azure Information Protection ラベルではサポートされていません。 - プログラムが アドレス情報を読み取るときに表示されるプロンプトを制御する PromptOOMAddressInformationAccess レジストリ設定は、Azure Information Protection ラベルではサポートされていません。 |
| メールに添付されたファイル | 最近の Windows 更新プログラムの制限により、Outlook メッセージ (.msg ファイル) をスキャンすると、それらのファイルがロックされる可能性があります。 ファイルのロックを解除するには、スキャナー サービスを停止します。 スキャナー サービスを再度開始しても、次回メッセージがスキャンされるまで、ファイルは再度ロックされません。 システムが影響を受けるかどうかを明確にするには、1 つのサンプル メッセージを含む特定のフォルダーでスキャンを開始し、スキャンの完了後にファイルがロックされているかどうかを確認してみることをお勧めします。 注: この問題は、PowerShell で保護を適用および削除する場合には関係ありません。 |
| 差し込み印刷 | Office の差し込み印刷機能は、Azure Information Protection ではサポートされていません。 |
| S/MIME メール | Outlook の閲覧ウィンドウで S/MIME メールを開くと、パフォーマンスの問題が発生する可能性があります。 S/MIME メールに関するパフォーマンス上の問題を回避するには、OutlookSkipSmimeOnReadingPaneEnabled 詳細プロパティを有効にしてください。 注: このプロパティを有効にすると、AIP バーまたはメール分類が Outlook の [閲覧ウィンドウ] に表示されなくなります。 |
| Word でのコンテンツのマーキング | 同じヘッダーまたはフッターにテーブルが含まれている場合、Microsoft Word のヘッダーまたはフッターの AIP コンテンツ マーキング が正しくオフセットまたは配置されないか、完全に非表示になる可能性があります。 詳細については、「視覚的なマーキングが適用されるタイミング」を参照してください。 |
| エクスプローラーの [送る] オプション | エクスプローラー内の任意のファイルを右クリックして [メール受信者に>送信] を選択した場合、ファイルが添付された状態で開く Outlook メッセージに AIP ツール バーが表示されない可能性があります。 このような問題が発生し、AIP ツール バー オプションを使う必要がある場合は、Outlook 内からメールを開始した後、送信するファイルを参照して添付します。 |
共同編集に関する既知の問題
共同編集に関する既知の問題は、テナントで共同編集が有効になっている場合にのみ関係があります。
AIP の共同編集に関する既知の問題は、次のとおりです。
重要
共同編集ラベルと秘密度ラベルは、一部のユーザーにのみ展開できません。新しいラベルは、古いバージョンの Office クライアントを持つユーザーには表示されないためです。
共同編集のサポートの詳細については、Microsoft 365 のドキュメント、特に文書化されている制限事項を参照してください。
共同編集と秘密度ラベルでサポートされているバージョン
テナント内のすべてのアプリ、サービス、操作ツールで、共同編集がサポートされている必要があります。
開始する前に、お使いのシステムが、共同編集に関する Microsoft 365 要件に記載されたバージョン要件に準拠していることを確認してください。
利用可能な最新バージョンの Office を常に使うことをお勧めします。 以前のバージョンでは、Azure Information Protection でラベルを表示できない、ポリシーの適用がないなど、予期しない結果が発生する可能性があります。
Note
秘密度ラベルは、.doc、.ppt、.xlsなどの Office 97-2003 形式のファイルに適用できますが、これらのファイルの種類の共同編集はサポートされていません。 新しく作成されたファイル、または .docx、.pptx、.xlsx などの高度なファイル形式のファイルにラベルが適用された後、Office 97-2003 形式でそのファイルを保存すると、ラベルは削除されます。
ポリシーの更新
Azure Information Protection でOffice アプリを開いている間にラベル付けポリシーが更新された場合、新しいラベルが表示されますが、ラベルを適用するとエラーが発生します。
このような場合は、ラベルを適用できるように、Office アプリケーションを閉じてから再度開きます。
ラベル適用時のユーザー インターフェイスの変更
テナントで共同編集を有効にすると、ユーザー定義のアクセス許可に対して構成されたラベルのユーザー エクスペリエンスは、組み込みラベルのエクスペリエンスに変更されます。
表示者、レビュー担当者、自分のみなどのアクセス許可レベルをユーザーが選択できる Microsoft Azure Information Protection ダイアログ ボックスが表示される代わりに、[ファイル] タブ>[情報]>[文書の保護]>[アクセスの制限]>[制限されたアクセス] を選択したときと同じようなダイアログ ボックスが表示されます。 このダイアログ ボックスから、アクセス許可とユーザーの選択内容を指定できます。
詳細については、「Word、PowerPoint、およびCould」を参照 してください。Microsoft Purview ドキュメントの Excel のアクセス許可 セクション。
Note
Microsoft Azure Information Protection ダイアログ ボックスとは異なり、[制限されたアクセス] ダイアログ ボックスでは、組織内のすべてのユーザーを自動的に含めるためのドメイン名の指定はサポートされていません。
共同編集でサポートされていない機能
次の機能は、秘密度ラベルで暗号化されたファイルに対して共同編集が有効になっている場合はサポートされていないか、部分的にサポートされます。
DKE テンプレートと DKE ユーザー定義プロパティ。 詳細については、「二重キー暗号化 (DKE)」を参照してください。
ユーザー定義のアクセス許可を持つラベル。 Microsoft Word、Excel、PowerPoint では、ユーザー定義のアクセス許可を持つラベルは引き続き使用でき、ドキュメントに適用できますが、共同編集機能ではサポートされていません。
つまり、ユーザー定義のアクセス許可を持つラベルを適用すると、他のユーザーと同時にドキュメントを操作できなくなります。
アプリの外部コンテンツ マークを削除する。 外部コンテンツ マークが削除されるのは、ラベルが適用されるときのみであり、ドキュメントが保存されるときではありません。 詳細については、「Azure Information Protection のクライアント側」を参照してください。
Microsoft 365 ドキュメントに共同編集の制限事項として記載されている機能。
他のラベル付けソリューションをマッピングするための Labelbycustomproperties は、共同認証を有効にしても機能しません。
テナント間での外部ドキュメントの種類の共有
ユーザーが PDF などの外部ドキュメントの種類をテナント間で共有すると、受信者は同意プロンプトを受け取り、一覧表示されているアクセス許可の共有を受け入れる必要があります。 次に例を示します。
アプリケーションによっては、同じドキュメントに対してこのプロンプトが繰り返し表示される場合があります。 プロンプトが表示されたら、[同意する] を選択して共有ドキュメントに進みます。
ポリシーの既知の問題
発行ポリシーには最大 24 時間かかる場合があります。
AIP ビューアーの既知の問題
詳細については、統合ラベル付けクライアント: Azure Information Protection ビューアーでの保護されたファイルの表示に関する記事を参照してください。
保護された PDF と Intune に対するモバイル クライアントのサポート
Android 上の Azure Information Protection ビューアーは、Intune で管理されているデバイスで保護された PDF ドキュメントを開くことはありません。
保護された PDF をモバイルで表示するには、管理者に連絡して Intune モバイル アプリケーション管理を無効にしてください。
Intune MAM のサポートは、.NET プラットフォームと依存関係の更新に続いて、Android 上の Azure Information Protection ビューアーに再度追加されます。
AIP ビューアーの横長ビュー
AIP ビューアーでは画像が縦モードで表示され、横向きの広い画像が引き伸ばされているように見える場合があります。
たとえば、以下では、左側に元の画像が、右側に AIP ビューアーでの引き伸ばされた縦長バージョンが表示されています。
この問題を解決するには、Azure Information Protection 統合ラベル付けクライアント バージョン 2.18.26.0 にアップグレードします。
外部ユーザーと AIP ビューアー
外部ユーザーが既に Microsoft Entra ID のゲスト アカウントを持っている場合、ユーザーが保護されたドキュメントを開いたときに、個人用アカウントでサインインできないことを示すエラーが AIP ビューアーに表示されることがあります。
このようなエラーが表示される場合、ユーザーは、保護されたドキュメントを開くために、MIP 拡張機能を含む Adobe Acrobat DC をインストールする必要があります。
MIP 拡張機能を使用して Adobe Acrobat DC をインストールした後も、ユーザーが保護されたドキュメントを開くと、選択したユーザー アカウントがテナントに存在しないことを示すエラーが表示され、アカウントの選択を求めるメッセージが表示されることがあります。
これは予期されるエラーです。 プロンプト ウィンドウで [戻る] を選択し、引き続き保護されたドキュメントを開いてください。
Note
AIP ビューアーは、Microsoft Entra ID のゲスト 組織 アカウントをサポートしますが、個人用アカウントや Windows Live アカウントはサポートしていません。
Android デバイス上の ADRMS で保護されたファイル
Android デバイスでは、ADRMS で保護されたファイルを AIP ビューアー アプリで開くことができません。
追跡と取り消しの機能に関する既知の問題
統合ラベル付けクライアントを使ったドキュメント アクセスの追跡と取り消しには、次の既知の問題があります。
詳細については、管理者ガイドとユーザー ガイドの手順を参照してください。
パスワードで保護されたドキュメント
パスワードで保護されたドキュメントは、追跡機能と取り消し機能ではサポートされていません。
保護されたメールでの複数の添付ファイル
複数のドキュメントをメールに添付し、そのメールを保護して送信すると、各添付ファイルは同じ ContentID 値を取得します。
この ContentID 値は、開かれていた最初のファイルでのみ返されます。 他の添付ファイルを検索しても、追跡データを取得するために必要な ContentID 値は返されません。
さらに、1 つの添付ファイルに対するアクセスを取り消すと、同じ保護されたメール内の他の添付ファイルに対するアクセスも取り消されます。
SharePoint または OneDrive を介してアクセスされるドキュメント
SharePoint または OneDrive にアップロードされた保護されたドキュメントは ContentID 値を失い、アクセスを追跡または取り消すことはできません。
ユーザーが SharePoint または OneDrive からそのファイルをダウンロードし、ローカル コンピューターからアクセスした場合は、ローカルで開いたときにドキュメントに新しい ContentID が適用されます。
元 の ContentID 値を使用してデータを追跡しても、ユーザーのダウンロードしたファイルに対して実行されるアクセスは含まれません。 また、元 の ContentID 値に基づいてアクセスを取り消しても、ダウンロードしたファイルのアクセスは取り消されません。
管理者がダウンロードしたファイルにアクセスできる場合は、PowerShell を使って、追跡と取り消し操作のためにドキュメントの ContentID を特定できます。
AIP クライアントと OneDrive に関する既知の問題
秘密度ラベルが適用されたドキュメントが OneDrive に保存されていて、管理者がラベル付けポリシーのラベルを変更して保護を追加した場合、新しく適用された保護はラベル付けされたドキュメントに自動的に適用されません。
このような場合は、ドキュメントに手動でラベルを付け直して、必要に応じて保護を適用します。
AIP ベースの条件付きアクセス ポリシー
条件付きアクセス ポリシーによって保護されたコンテンツを受け取る外部ユーザーは、コンテンツを表示するために Microsoft Entra 企業間 (B2B) コラボレーション ゲスト ユーザー アカウントを持っている必要があります。
外部ユーザーを招待してゲスト ユーザー アカウントをアクティブ化し、条件付きアクセス要件を認証して渡せるようにすることはできますが、必要なすべての外部ユーザーに対してこれを確実に行うのが難しい場合があります。
内部ユーザーに対してのみ AIP ベースの条件付きアクセス ポリシーを有効にすることをお勧めします。
内部ユーザーに対してのみ AIP の条件付きアクセス ポリシーを有効にする:
- Azure portal で、[条件付きアクセス] ブレードに移動し、変更したい条件付きアクセス ポリシーを選択します。
- [割り当て] で [ユーザーとグループ] を選択した後、[すべてのユーザー] を選択します。 [すべてのゲストと外部ユーザー] オプションを選択 "しない" ようにする必要があります。
- 変更を保存。
この潜在的な問題を回避するために、機能が組織に必要ない場合は、Azure Information Protection 内の CA を完全に無効または除外することもできます。
詳細については、条件付きアクセスに関するドキュメントを参照してください。
サブラベルを含むラベルをスタンドアロン ラベルとして発行または使用できない
Microsoft Purview コンプライアンス ポータルにサブラベルがラベルに含まれている場合、このラベルをスタンドアロン ラベルとして AIP ユーザーに発行することはできません。
同様に、AIP は既定のラベルとしてサブラベルを含むラベルをサポートしていないため、これらのラベルの自動ラベル付けを構成することはできません。
さらに、既定のラベルとして UDP (ユーザー定義のアクセス許可) を持つラベルを使用することは、統合ラベル付けクライアントではサポートされていません。
詳細
Azure Information Protection に関する質問への回答には、次の追加の記事が役立つ場合があります。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示