Office のアプリケーションとサービスがAzure Rights Management をサポートするしくみ。

  • [アーティクル]

エンド ユーザーのOffice アプリと Office サービスでは、Azure Information Protectionから の Azure Rights Management サービスを使用して、組織のデータを保護できます。 これらのOffice アプリケーションは、Word、Excel、 PowerPoint およびOutlookです。 Office サービスは Exchange と Microsoft SharePoint です。 Azure Rights Management サービスをサポートする Office 構成では、情報権限管理 (IRM) という用語がよく使用されます。

Office アプリケーション:Word、Excel、 PowerPoint およびOutlook

これらのアプリケーションでは Azure Rights Management の組み込みがサポートされており、ユーザーは保存済みのドキュメントまたは送信するメール メッセージに保護を適用できます。 ユーザーはテンプレートを適用して保護を適用します。 または、Word、Excel、PowerPoint の場合、ユーザーはアクセス、権限、および使用制限のカスタマイズされた設定を選択します。

たとえば、ユーザーは、組織内のユーザーのみでアクセスできるように Word 文書を設定できます。 または、Excel スプレッドシートを編集できるか、読み取り専用に制限するか、印刷できないようにするかを制御します。 時間に依存するファイルの場合は、ファイルがアクセスできなくなったときに有効期限を設定できます。 この構成は、ユーザーによって、または保護テンプレートを適用して直接に行うことができます。 Outlook の場合、ユーザーは [転送不可] オプションを選択して、データ漏洩を防ぐことができます。

Office アプリを構成する準備ができたら、「Office アプリ: クライアントの構成」を参照してください。

関連する既知の問題については、「Office アプリケーションでの AIP の既知の問題」をご覧ください。

Exchange Online およびExchange Server

Exchange Online または Exchange Server を利用する場合は、Azure Information Protection のオプションを設定できます。 この構成により、Exchange は次の保護ソリューションを提供します。

  • モバイル デバイスが保護された電子メール メッセージを保護して消費できるように、Exchange ActiveSync IRM

  • Outlook on the web電子メール保護のサポートは、Outlook クライアントと同様に実装されます。 この構成により、ユーザーは保護テンプレートまたはオプションを利用して電子メール メッセージを保護します。 ユーザーは、ユーザーに送信される保護された電子メール メッセージを使用して読むことができます。

  • 指定した受信者の電子メール メッセージのオプションと保護テンプレートを自動的に適用するように管理者が構成する Outlook クライアントの保護規則 。 たとえば、内部メールが法務部門に送信された場合、その電子メールは法務部門のメンバーのみが読み取ることができ、転送することはできません。  ユーザーは、電子メール メッセージに適用されている保護を送信する前に確認し、既定では、不要と判断した場合にこの保護を削除できます。 電子メールは送信する前に暗号化されます。 詳細については、「 Outlook 保護ルール 」および 「Exchange ライブラリの Outlook 保護ルール を作成する」を参照してください。 

  • 保護テンプレートまたは電子メール メッセージのオプションに自動的に適用するように管理者が構成するメール フロー ルール 。 これらのルールは、送信者、受信者、メッセージの件名およびコンテンツなどのプロパティに基づいています。 これらの規則は保護規則の概念に似ていますが、保護はクライアントではなく Exchange サービスによって設定されるため、ユーザーが保護を削除することはできません。  保護はサービスによって設定されるため、ユーザーが持っているデバイスやオペレーティング システムには関係ありません。 詳細については、「 Exchange Online のメール フロー ルール (トランスポート ルール)」および 「Exchange オンプレミスのトランスポート保護ルール を作成する」を参照してください。 

  • 機密または機密コンテンツのデータ損失を防ぐために、電子メール メッセージのフィルターを処理してアクションを実行する一連の条件を含むデータ損失防止 (DLP) ポリシー 。 指定されるアクションの 1 つは、保護テンプレートまたはオプションのいずれかを指定して、暗号化を保護として適用することです。 ポリシー ヒントは、機密データが検出されたときに、保護を適用する必要があるかもしれないことをユーザーに警告するために使用できます。 詳細については、Exchange Online ドキュメントのデータ損失防止を参照してください。

  • メッセージの暗号化。保護されたメール メッセージと、添付ファイルとしての保護された Office ドキュメントを、任意のデバイスの任意のメール アドレスに送信できます。 Microsoft Entra ID を使用しないユーザー アカウントの場合、Web エクスペリエンスはソーシャル アイデンティティプロバイダーまたはワンタイム パスコードをサポートします。 詳細については、Microsoft 365 のドキュメントのAzure Information Protection 上に構築される新しい Microsoft 365の メッセージ暗号化機能の設定に関するページをご覧ください。 この構成に関連する追加情報については、Microsoft 365 のメッセージ暗号化に関するページをご覧ください。

オンプレミスで Exchange を使用している場合、Microsoft Rights Management コネクタを展開し、IRM 機能と Azure Rights Management サービスを利用できます。 このコネクタは、オンプレミス サーバーと Azure Rights Management サービス間のリレーとして機能します。

メールを保護するためのメール オプションの詳細については、「電子メールの [転送不可] オプション」および「電子メールの暗号化のみオプション」を参照してください。

メールを保護するように Exchange を設定する準備ができた場合:

Microsoft 365 の SharePoint と SharePoint Server

Microsoft 365 の SharePoint または SharePoint Server を使用するときは、SharePoint IRM (Information Rights Management) でドキュメントを保護できます。 この機能により、管理者はリストとライブラリを保護します。ユーザーがドキュメントをチェックアウトしたときに、指定した情報保護ポリシーに従って承認されたユーザーのみがファイルを表示および使用できるようにダウンロードされたファイルが保護されます。 たとえば、ファイルが読み取り専用である、テキストのコピーを無効にする、ローカル コピーの保存を禁止する、ファイルの印刷を禁止するなどの場合があります。

Word、PowerPoint、ExcelおよびPDF ドキュメントでは、この SharePoint IRM 保護がサポートされています。 既定では、保護はドキュメントをダウンロードするユーザーに制限されています。 [グループ保護を許可する] と呼ばれる構成オプションを使用してこの既定値を変更できます。これにより、指定したグループに保護が拡張されます。 たとえば、ドキュメントをダウンロードしたユーザーに関係なく、同じユーザー グループが SharePoint の外部でドキュメントを編集できるように、ライブラリでドキュメントを編集する権限を持つグループを指定できます。 または、SharePoint でアクセス許可が付与されていないグループを指定することができますが、このグループのユーザーは SharePoint の外部でドキュメントにアクセスする必要があります。 SharePoint リストとライブラリの場合、この保護は常に管理者によって設定され、エンド ユーザーは設定されません。 サイト レベルでアクセス許可を設定します。既定では、これらのアクセス許可は、そのサイト内の任意のリストまたはライブラリによって継承されます。 Microsoft 365 の SharePoint を使用する場合、ユーザーは IRM 保護用に Microsoft OneDrive ライブラリを構成することもできます。

より詳細な制御を行うには、サイト内のリストまたはライブラリを設定して、親からのアクセス許可の継承を停止します。 その後、そのレベル (リストまたはライブラリ) で IRM アクセス許可を構成できます。構成後、アクセス許可は "固有のアクセス許可" と呼ばれます。ただし、アクセス許可は常にコンテナー レベルで設定されます。個々のファイルにアクセス許可を設定することはできません。

IRM サービスは、最初に SharePoint に有効にする必要があります。 次は、ライブラリの IRM アクセス許可を指定します。 SharePoint と OneDrive の場合、ユーザーは OneDrive ライブラリに対しても IRM アクセス許可を指定できます。 SharePoint では権限ポリシー テンプレートが使用されませんが、テンプレートで指定できるいくつかの設定に一致する SharePoint 構成設定を選択できます。

SharePoint Server を使用する場合、Microsoft Rights Management コネクタをデプロイすることでこの IRM 保護を使用できます。 このコネクタは、オンプレミス サーバーと Rights Management クラウド サービス間のリレーとして機能します。 詳細については、「Microsoft Rights Management コネクタのデプロイ」を参照してください。

Note

SharePoint IRM を使用するとき、いくつかの制限があります。

  • Azure portal で管理する既定値またはカスタム保護テンプレートは使用できません。

  • 保護された PDF ファイルの .ppdf ファイル名拡張子を持つファイルはサポートされません。 保護された PDF ドキュメントの表示に関する詳細については、Microsoft Purview 情報保護の保護された PDF リーダーを参照してください

  • コオーサリングは、複数のユーザーが同時にドキュメントを編集する場合にサポートされません。 IRM で保護されたライブラリ内のドキュメントを編集するには、まずドキュメントをチェックアウトしてダウンロードしてから、Office アプリで編集する必要があります。 そのため、一度に編集できるのは 1 人だけです。

IRM で保護されていないライブラリについては、SharePoint または OneDrive にアップロードするファイルに保護のみを適用する場合、そのファイルは共同編集、Office for the web、検索、ドキュメント プレビュー、サムネイル、電子情報開示、データ損失防止 (DLP) で使用できません。

重要

SharePoint IRM は、保護を適用する秘密度ラベルと組み合わせて使用できます。 両方の機能を一緒に使用すると、保護されるファイルに対する動作が変わります。 詳しくは、「SharePoint および OneDrive で Office ファイルの秘密度ラベルを有効にする」をご覧ください。

SharePoint IRM 保護を使用する場合、Azure Rights Management サービスは、ドキュメントが SharePoint で初めて作成されたときやライブラリでアップロードされたときではなく、ドキュメントが SharePoint からダウンロードされるときに使用制限とデータ暗号化を適用します。 ドキュメントをダウンロードする前に保護する方法については、SharePoint ドキュメントの OneDrive と SharePoint でのデータ暗号化に関するページをご覧ください。

今後の変更については、「SharePoint のセキュリティ、管理、移行に対する更新」を参照してください。

IRM 用のSharePoint を設定する準備ができた場合:

次のステップ

Office 365 を持っている場合は、Microsoft 365 でのファイル保護ソリューションに関するページをご覧ください。Office 365 のファイルを保護するための推奨機能が説明されています。

他のアプリケーションとサービスが Azure Information Protectionから の Azure Rights Management サービスをサポートする方法については、「アプリケーションが Azure Rights Management サービスをサポートする方法」を参照してください

アプリケーションとサービスの構成など、デプロイを始める準備ができたら、「分類、ラベル付け、保護に関する AIP のデプロイ ロードマップ」を参照してください。