Share via


Azure Information Protection の要件

Note

Microsoft Purview Information Protectionをお探しですか?(以前の Microsoft Information Protection (MIP))

Azure Information Protection アドインは 廃止 され、 Microsoft 365 アプリとサービスに組み込まれているラベルに置き換えられています。 詳細については、「他の Azure Information Protection コンポーネントのサポート状況」を参照してください。

Microsoft Purview Information Protection クライアント (アドインなし) は 一般提供されています

Azure Information Protection をデプロイする前に、システムが次の前提条件を満たしていることを確かめます。

ファイアウォールとネットワーク インフラストラクチャ

特定の接続を許可するように構成されたファイアウォールまたは同様の中間ネットワーク デバイスがある場合、ネットワーク接続の要件は、 Microsoft 365 Common と Office Onlineに関する Office 記事に一覧表示されています。

Azure Information Protection には、次の追加要件があります。

  • Microsoft Purview Information Protection クライアント。 ラベルとラベル ポリシーをダウンロードするには、HTTPS において次の URL を許可します: *.protection.outlook.com

  • Web プロキシ。 認証が必要な Web プロキシを使用する場合は、ユーザーの Active Directory サインイン資格情報を使う統合された Windows 認証を使用するため、そのプロキシを構成する必要があります。

    プロキシを使用してトークンを取得するときに Proxy.pac ファイルをサポートするには、次の新しいレジストリ キーを追加します。

    • パス: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\
    • キー: UseDefaultCredentialsInProxy
    • : DWORD
    • : 1
  • TLS クライアント~サービス間接続。 TLS クライアント~サービス間接続は、パケット レベルの検査を aadrm.com URL に実行する目的などで終了しないでください。 この操作によって、RMS クライアントが使用している証明書のピン留めが解除されます。この証明書とは、Azure Rights Management サービスとの通信を保護するために、Microsoft が管理する CA と共に使用されているものです。

    クライアント接続が Azure Rights Management サービスに到達する前に終了するかどうかを判断するには、次の PowerShell コマンドを使用します。

    $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
    $request.GetResponse()
    $request.ServicePoint.Certificate.Issuer
    

    結果では、例えば次のように、発行元 CA が Microsoft CA からのものであることが示されます: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US

    Microsoft からではない発行元 CA 名が表示される場合は、セキュアなクライアント~サービス間接続が終了しており、ファイアウォールで再構成が必要な可能性があります。

  • TLS バージョン 1.2 以降 (統合ラベル付けクライアントのみ)。 統合ラベル付けクライアントでは、暗号化によってセキュアなプロトコルを確実に使用し、Microsoft セキュリティ ガイドラインに準拠するため、TLS バージョン 1.2 以上が必要です。

  • Microsoft 365 Enhanced Configuration Service (ECS)。 AIP は、microsoft 365 Enhanced Configuration Service (ECS) である config.edge.skype.com URL にアクセスできる必要があります。

    ECS により、ご自身で AIP を再デプロイする必要なく、AIP のインストールを Microsoft が再構成できるようになります。 ECS は、機能や更新プログラムを段階的にロールアウトしながら、収集される診断データからロールアウトの影響を監視するために使用されます。

    また、機能や更新プログラムによるセキュリティやパフォーマンスの問題を軽減するためにも使用されます。 さらに ECS では、適切なイベントの確実な収集を目的として、診断データに関連する構成の変更をサポートします。

    config.edge.skype.com URL を制限すると、エラーを軽減する Microsoft の性能に影響を与え、プレビュー機能のテストに影響する可能性があります。

    詳細については、「Office 用の必須サービス - Office のデプロイ」を参照してください。

  • 監査ログの URL ネットワーク接続。 AIP 監査ログをサポートするには、AIP が次の URL にアクセスできる必要があります。

    • https://*.events.data.microsoft.com
    • https://*.aria.microsoft.com (Android デバイス データのみ)

    詳細については、「AIP レポートの前提条件」を参照してください。

AD RMS と Azure RMS の共存

AD RMS と Azure RMS を同じ組織内で一緒に使用した、同じ組織内での同じユーザーによるコンテンツの保護は、 唯一HYOK (ご自身のキーを保有) 保護 を Azure Information Protection を使って行う場合にのみ AD RMS でサポートされます。

このシナリオは、 移行の間は サポートされません。 サポートされる移行パスは以下を含みます。

ヒント

Azure Information Protection をデプロイし、このクラウド サービスを使用しなくなった場合は、「Azure Information Protection の使用停止と非アクティブ化」を参照してください。

両方のサービスが同じ組織内でアクティブになっている、移行以外の他のシナリオの場合、両方のサービスを構成して、そのうちのいずれかにより特定のユーザーがコンテンツを保護できるようにする必要があります。 そのようなシナリオは次のように構成します。

  • AD RMS から Azure RMS への移行にリダイレクトを使用する

  • 異なるユーザーに対して両方のサービスを同時にアクティブとすることが必要な場合は、サービス側の構成を使用して排他性を施行します。 クラウド サービスの Azure RMS オンボーディング コントロールと、発行 URL の ACL を使用し、AD RMS において 読み取り専用 モードを設定します。

サービス タグ

Azure エンドポイントと NSG を使用している場合は、必ず次のサービス タグにおいてすべてのポートへのアクセスを許可してください。

  • AzureInformationProtection
  • AzureActiveDirectory
  • AzureFrontDoor.Frontend

さらに、この場合、Azure Information Protection サービスは、次の IP アドレスとポートにも依存します。

  • 13.107.9.198
  • 13.107.6.198
  • 2620:1ec:4::198
  • 2620:1ec:a92::198
  • 13.107.6.181
  • 13.107.9.181
  • ポート 443 (HTTPS トラフィック用)

これらの特定の IP アドレスへの送信アクセスと、このポート経由を許可する規則を必ず作成してください。

Azure Rights Management データ保護用としてサポートされているオンプレミス サーバー

Microsoft Rights Management コネクタを使用する場合、Azure Information Protection で次のオンプレミス サーバーがサポートされます。

このコネクタは通信インターフェイスとして機能し、オンプレミス サーバーと Azure Rights Management サービスの間を中継します。このサービスは、Office ドキュメントと Office メールを保護するために Azure Information Protection によって使用されます。

このコネクタを使用するには、Active Directory フォレストと Microsoft Entra ID の間でディレクトリ同期を構成する必要があります。

サポートされるサーバーには以下が含まれます:

サーバーの種類 サポートされているバージョン
Exchange Server - Exchange Server 2019
- Exchange Server 2016
- Exchange Server 2013
Office SharePoint Server - Office SharePoint Server 2019
- Office SharePoint Server 2016
- Office SharePoint Server 2013
Windows Server を実行し、ファイル分類インフラストラクチャ (FCI) を使用するファイル サーバー - Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012

詳細については、「Microsoft Rights Management コネクタのデプロイ」を参照してください。

Azure Rights Management 用としてサポートされるオペレーティング システム

次のオペレーティング システムは、AIP のデータ保護を提供する Azure Rights Management サービスをサポートしています。

OS サポートされているバージョン
Windows コンピューター - Windows 10 (x86, x64)
- Windows 11 (x86, x64)
macOS macOS 10.8 の最小バージョン (Mountain Lion)
Android のスマートフォンとタブレット Android 6.0 の最小バージョン
iPhone および iPad iOS 11.0 の最小バージョン
Windows のスマートフォンとタブレット Windows 10 Mobile

次のステップ

すべての AIP 要件を確認し、お使いのシステムが準拠していることを確認したら、 Azure Information Protection のユーザーとグループの準備を続けます。