Azure Information Protection の要件

Note

Microsoft Purview Information Protection をお探しですか? (以前の Microsoft Information Protection (MIP))

Office 用 Azure Information Protection アドインは現在メンテナンス モードにあり、2024 年 4 月に廃止される予定です。 代わりに、Office 365 のアプリとサービスに組み込まれるラベルを使うことをお勧めします。 詳細については、「他の Azure Information Protection コンポーネントのサポート状況」を参照してください。

Azure Information Protection をデプロイする前に、システムが次の前提条件を満たしていることを確かめます。

Azure Information Protection をデプロイするには、AIP 機能を使用するすべてのマシンに AIP クライアントがインストールされている必要があります。 詳細については、「ユーザー用 Azure Information Protection 統合ラベル付けクライアントのインストール」と「Azure Information Protection のクライアント側」を参照してください。

Azure Information Protection 用サブスクリプション

Azure Information Protection のスキャナーまたはクライアントを使用した分類、ラベル付け、保護には、Azure Information Protection プランが必要です。 詳細については、以下を参照してください:

質問への回答が見当たらない場合は、Microsoft アカウント マネージャーまたは Microsoft サポートにお問い合わせください。

Microsoft Entra ID

Azure Information Protection での認証や認可のサポートには、Microsoft Entra ID が必要です。 オンプレミス ディレクトリ (AD DS) のユーザー アカウントを使用するには、ディレクトリ統合の構成も必要となります。

  • ユーザーに資格情報の入力を繰り返し求めないように、Azure Information Protection ではシングル サインオン (SSO) がサポートされています。 フェデレーションに別のベンダー ソリューションを使用する場合は、Microsoft Entra ID においてそれを構成する方法をそのベンダーとチェックしてください。 WS-Trust は、これらのソリューションがシングル サインオンをサポートするための一般的な要件です。

  • 必要なクライアント ソフトウェアを備え、MFA サポート インフラストラクチャを正しく構成している場合、Azure Information Protection で多要素認証 (MFA) がサポートされます。

条件付きアクセスは、Azure Information Protection によって保護されたドキュメントのプレビューでサポートされています。 詳細については、以下を参照してください: 条件付きアクセスで使用できるクラウド アプリとして Azure Information Protection が表示されています。これはどのように機能しますか?

証明書ベースの認証または多要素認証を使用する、または UPN 値がユーザーのメール アドレスと一致しないといった特定のシナリオにおいては、追加の前提条件が求められます。

詳細については、以下を参照してください:

クライアント デバイス

ユーザー コンピューターまたはモバイル デバイスは、Azure Information Protection をサポートするオペレーティング システムで実行する必要があります。

クライアント デバイス用としてサポートされているオペレーティング システム

Windows 用の Azure Information Protection クライアントは、次のオペレーティング システムでサポートされています。

  • Windows 11

  • Windows 10 (x86, x64)。 Windows 10 RS4 ビルド以降では、手書きはサポートされていません。

  • Windows Server 2019

  • Windows Server 2016

  • Windows Server 2012 R2 および Windows Server 2012

以前のバージョンの Windows でのサポートの詳細については、Microsoft アカウントまたはサポート担当者にお問い合わせください。

Note

Azure Information Protection クライアントが Azure Rights Management サービスを使用してデータを保護する場合、Azure Rights Management サービスをサポートする同じデバイス でデータを使用できます。

ARM64

ARM64 は現在サポートされていません

仮想マシン

仮想マシンを使用している場合は、Azure Information Protection 統合ラベル付けクライアントまたは Azure Information Protection クライアントの実行に必要な追加構成として、仮想デスクトップ ソリューションにおけるソフトウェア ベンダーをチェックします。

たとえば、Citrix ソリューションの場合、Office、Azure Information Protection 統合ラベル付けクライアント、または Azure Information Protection クライアントにおける Citrix アプリケーション プログラミング インターフェイス (API) フックを無効にすることが必要な場合があります。

これらのアプリケーションは、それぞれ次のファイルを使用します: winword.exeexcel.exeoutlook.exepowerpnt.exemsip.app.exemsip.viewer.exe

サーバー サポート

上記の各サーバー バージョンにおいて、Azure Information Protection クライアントはリモート デスクトップ サービス用としてサポートされています。

リモート デスクトップ サービスで Azure Information Protection クライアントを使用するときにユーザー プロファイルを削除する場合は、%Appdata%\Microsoft\Protect フォルダーを削除しないでください。

加えて、Server Core と Nano Server はサポートされていません。

クライアントごとの追加要件

各 Azure Information Protection クライアントには、追加の要件があります。 詳細については、次の情報を参照してください。

アプリケーション

Azure Information Protection クライアントは、次のいずれかの Office エディションの Microsoft WordExcelPowerPoint、および Outlook において、ドキュメントとメールをラベルを付けて保護できます。

  • Office アプリで、バージョンが更新チャンネル別 Microsoft 365 アプリ サポート対象バージョン表に記載されていて、 Microsoft 365 Apps for Business または Microsoft 365 Business Premium に含まれ、ユーザーに Azure Rights Management (Azure Information Protection for Office 365 としても知られる) のライセンスが割り当てられているもの。

  • Microsoft 365 Apps for Enterprise

  • Office Professional Plus 2021

  • Office Professional Plus 2019

  • Office Professional Plus 2016 - Office 2016 は基本的にサポート対象外であり、AIP サポートはベスト エフォートに基づいて行われ、バージョン 2016 で検出された問題に対する修正は行われません。 Microsoft Office 2016 を参照してください

Office の他のエディションでは、Rights Management サービスを使用してドキュメントやメールを保護できません。 これらのエディションでは、Azure Information Protection は分類のみでサポートされており、保護を適用するラベルはユーザーに表示されません。

ラベルは、Office ドキュメントの上部のバーに表示され、統合ラベル付けクライアントの [秘密度] ボタンからアクセスできます。

  • AIP クライアントがファイルにラベルを付けると、バージョン 1.4 以前の PDF ファイルは自動的にバージョン 1.5 にアップグレードされます。

詳細については、「Azure Rights Management データ保護をサポートするアプリケーション」を参照してください。

Office の機能と性能はサポートされていません

  • Windows 用 Azure Information Protection クライアントでは、同じコンピューターでの Office の複数バージョンや、Office でのユーザー アカウントの切り替えはサポートされていません。

  • Office の差し込み印刷機能は、Azure Information Protection ではサポートされていません。

ファイアウォールとネットワーク インフラストラクチャ

特定の接続を許可するように構成されたファイアウォールまたは同様の中間ネットワーク デバイスがある場合、ネットワーク接続の要件は、Microsoft 365 Common と Office Online に関する Office 記事に一覧表示されています。

Azure Information Protection には、次の追加要件があります。

  • 統合ラベル付けクライアント。 ラベルとラベル ポリシーをダウンロードするには、HTTPS において次の URL を許可します: *.protection.outlook.com

  • Web プロキシ。 認証が必要な Web プロキシを使用する場合は、ユーザーの Active Directory サインイン資格情報を使う統合された Windows 認証を使用するため、そのプロキシを構成する必要があります。

    プロキシを使用してトークンを取得するときに Proxy.pac ファイルをサポートするには、次の新しいレジストリ キーを追加します。

    • パス: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\
    • キー: UseDefaultCredentialsInProxy
    • : DWORD
    • : 1
  • TLS クライアント~サービス間接続。 TLS クライアント~サービス間接続は、パケット レベルの検査を aadrm.com URL に実行する目的などで終了しないでください。 この操作によって、RMS クライアントが使用している証明書のピン留めが解除されます。この証明書とは、Azure Rights Management サービスとの通信を保護するために、Microsoft が管理する CA と共に使用されているものです。

    クライアント接続が Azure Rights Management サービスに到達する前に終了するかどうかを判断するには、次の PowerShell コマンドを使用します。

    $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
    $request.GetResponse()
    $request.ServicePoint.Certificate.Issuer
    

    結果では、例えば次のように、発行元 CA が Microsoft CA からのものであることが示されます: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US

    Microsoft からではない発行元 CA 名が表示される場合は、セキュアなクライアント~サービス間接続が終了しており、ファイアウォールで再構成が必要な可能性があります。

  • TLS バージョン 1.2 以降 (統合ラベル付けクライアントのみ)。 統合ラベル付けクライアントでは、暗号化によってセキュアなプロトコルを確実に使用し、Microsoft セキュリティ ガイドラインに準拠するため、TLS バージョン 1.2 以上が必要です。

  • Microsoft 365 Enhanced Configuration Service (ECS)。 AIP は、microsoft 365 Enhanced Configuration Service (ECS) である config.edge.skype.com URL にアクセスできる必要があります。

    ECS により、ご自身で AIP を再デプロイする必要なく、AIP のインストールを Microsoft が再構成できるようになります。 ECS は、機能や更新プログラムを段階的にロールアウトしながら、収集される診断データからロールアウトの影響を監視するために使用されます。

    また、機能や更新プログラムによるセキュリティやパフォーマンスの問題を軽減するためにも使用されます。 さらに ECS では、適切なイベントの確実な収集を目的として、診断データに関連する構成の変更をサポートします。

    config.edge.skype.com URL を制限すると、エラーを軽減する Microsoft の性能に影響を与え、プレビュー機能のテストに影響する可能性があります。

    詳細については、「Office 用の必須サービス - Office のデプロイ」を参照してください。

  • 監査ログの URL ネットワーク接続。 AIP 監査ログをサポートするには、AIP が次の URL にアクセスできる必要があります。

    • https://*.events.data.microsoft.com
    • https://*.aria.microsoft.com (Android デバイス データのみ)

    詳細については、「AIP レポートの前提条件」を参照してください。

AD RMS と Azure RMS の共存

AD RMS と Azure RMS を同じ組織内で一緒に使用した、同じ組織内での同じユーザーによるコンテンツの保護は、唯一HYOK (ご自身のキーを保有) 保護を Azure Information Protection を使って行う場合にのみ AD RMS でサポートされます。

このシナリオは、移行の間はサポートされません。 サポートされる移行パスは以下を含みます。

ヒント

Azure Information Protection をデプロイし、このクラウド サービスを使用しなくなった場合は、「Azure Information Protection の使用停止と非アクティブ化」を参照してください。

両方のサービスが同じ組織内でアクティブになっている、移行以外の他のシナリオの場合、両方のサービスを構成して、そのうちのいずれかにより特定のユーザーがコンテンツを保護できるようにする必要があります。 そのようなシナリオは次のように構成します。

  • AD RMS から Azure RMS への移行にリダイレクトを使用する

  • 異なるユーザーに対して両方のサービスを同時にアクティブとすることが必要な場合は、サービス側の構成を使用して排他性を施行します。 クラウド サービスの Azure RMS オンボーディング コントロールと、発行 URL の ACL を使用し、AD RMS において読み取り専用モードを設定します。

サービス タグ

Azure エンドポイントと NSG を使用している場合は、必ず次のサービス タグにおいてすべてのポートへのアクセスを許可してください。

  • AzureInformationProtection
  • AzureActiveDirectory
  • AzureFrontDoor.Frontend

さらに、この場合、Azure Information Protection サービスは、次の IP アドレスとポートにも依存します。

  • 13.107.9.198
  • 13.107.6.198
  • 2620:1ec:4::198
  • 2620:1ec:a92::198
  • 13.107.6.181
  • 13.107.9.181
  • ポート 443 (HTTPS トラフィック用)

これらの特定の IP アドレスへの送信アクセスと、このポート経由を許可する規則を必ず作成してください。

Azure Rights Management データ保護用としてサポートされているオンプレミス サーバー

Microsoft Rights Management コネクタを使用する場合、Azure Information Protection で次のオンプレミス サーバーがサポートされます。

このコネクタは通信インターフェイスとして機能し、オンプレミス サーバーと Azure Rights Management サービスの間を中継します。このサービスは、Office ドキュメントと Office メールを保護するために Azure Information Protection によって使用されます。

このコネクタを使用するには、Active Directory フォレストと Microsoft Entra ID の間でディレクトリ同期を構成する必要があります。

サポートされるサーバーには以下が含まれます:

サーバーの種類 サポートされているバージョン
Exchange Server - Exchange Server 2019
- Exchange Server 2016
- Exchange Server 2013
Office SharePoint Server - Office SharePoint Server 2019
- Office SharePoint Server 2016
- Office SharePoint Server 2013
Windows Server を実行し、ファイル分類インフラストラクチャ (FCI) を使用するファイル サーバー - Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012

詳細については、「Microsoft Rights Management コネクタのデプロイ」を参照してください。

Azure Rights Management 用としてサポートされるオペレーティング システム

次のオペレーティング システムは、AIP のデータ保護を提供する Azure Rights Management サービスをサポートしています。

OS サポートされているバージョン
Windows コンピューター - Windows 10 (x86, x64)
- Windows 11 (x86, x64)
macOS macOS 10.8 の最小バージョン (Mountain Lion)
Android のスマートフォンとタブレット Android 6.0 の最小バージョン
iPhone および iPad iOS 11.0 の最小バージョン
Windows のスマートフォンとタブレット Windows 10 Mobile

詳細については、「Azure Rights Management データ保護をサポートするアプリケーション」を参照してください。

次のステップ

すべての AIP 要件を確認し、お使いのシステムが準拠していることを確認したら、Azure Information Protection のユーザーとグループの準備を続けます。