管理者ガイド: Azure Information Protection 統合ラベル付けクライアントのカスタム構成

Note

Microsoft Purview Information Protection をお探しですか? (以前の Microsoft Information Protection (MIP))

Azure Information Protection の統合ラベル付けクライアントは、現在メンテナンス モードです。 Office 365 アプリとサービスに組み込まれているラベルを使用することをお勧めします。 詳細情報

AIP 統合ラベル付けクライアントを管理する際に特定のシナリオまたはユーザーで必要な詳細構成については、次の情報を使用してください。

注意

これらの設定には、レジストリの編集または詳細設定の指定が必要です。 詳細設定では 、セキュリティ & コンプライアンス センター PowerShell を使用します

PowerShell を使用したクライアントの詳細設定の構成

Microsoft Purview コンプライアンス ポータル PowerShell を使用して、ラベル ポリシーとラベルをカスタマイズするための詳細設定を構成します。

どちらの場合も、 Security & Compliance Center PowerShell に接続した後、ポリシーまたはラベルの ID (名前または GUID) を持つ AdvancedSettings パラメーターを指定し、キーと値のペアを ハッシュ テーブルに指定します。

詳細設定を削除するには、同じ AdvancedSettings パラメーター構文を使用しますが、null 文字列値を指定します。

重要

文字列値で空白を使用しないでください。 これらの文字列値に空白の文字列があると、ラベルが適用されなくなります。

詳細については、次を参照してください。

ラベル ポリシーの詳細設定の構文

ラベル ポリシーの詳細設定の例として、Office アプリの Information Protection バーを表示する設定があります。

文字列値が 1 つの場合は、次の構文を使用します。

Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key="value1,value2"}

同じキーに文字列値が複数ある場合は、次の構文を使用します。

Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}

ラベルの詳細設定の構文

ラベルの詳細設定の例として、ラベルの色を指定する設定があります。

文字列値が 1 つの場合は、次の構文を使用します。

Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key="value1,value2"}

同じキーに文字列値が複数ある場合は、次の構文を使用します。

Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}

現在の詳細設定の確認

現在有効になっている詳細設定を確認するには、次のコマンドを実行します。

ラベル ポリシーの詳細設定を確認するには、次の構文を使用します。

Global という名前のラベル ポリシーの場合:

(Get-LabelPolicy -Identity Global).settings

ラベルの詳細設定を確認するには、次の構文を使用します。

Public という名前のラベルの場合:

(Get-Label -Identity Public).settings

詳細設定の設定例

例 1: ラベル ポリシーの詳細設定で 1 つの文字列値を設定する:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}

例 2: ラベルの詳細設定で 1 つの文字列値を設定する:

Set-Label -Identity Internal -AdvancedSettings @{smimesign="true"}

例 3: ラベルの詳細設定で複数の文字列値を設定する:

Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}

例 4: 文字列として null 値を指定してラベル ポリシーの詳細設定を削除する:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions=""}

ラベル ポリシーまたはラベル ID の指定

PowerShell Identity パラメーターのラベル ポリシー名の検索は、Microsoft Purview コンプライアンス ポータルにポリシー名が 1 つしかないため、簡単です。

ただし、ラベルの場合、Microsoft Purview コンプライアンス ポータルには [名前] と [表示名] の両方の値が表示されます。 状況によっては、これらの値は同じになりますが、異なる場合があります。 ラベルの詳細設定を構成するには、[名前] の値を使用します。

たとえば、次の図でラベルを識別するには、PowerShell コマンドで次の構文を使用します: -Identity "All Company":

秘密度ラベルを識別するには、[表示名] ではなく [名前] を使用します

ラベル GUID を指定する場合、この値はMicrosoft Purview コンプライアンス ポータルには表示されません。 次のように、Get-Label コマンドを使用してこの値を見つけます。

Get-Label | Format-Table -Property DisplayName, Name, Guid

ラベル付けの名前と表示名の詳細については、次を参照してください。

  • [名前] は、ラベルの元の名前で、すべてのラベルで一意です。

    後でラベル名を変更した場合でも、この値は変わりません。 Azure Information Protection から移行された機密度ラベルの場合、Azure portal からの元のラベル ID が表示されることがあります。

  • [表示名] は、現在ユーザーに表示されているラベル名で、すべてのラベルで一意である必要はありません。

    たとえば、[社外秘] ラベルのサブラベルの表示名が [すべての従業員] で、[非常に機密性の高い社外秘] ラベルのサブラベルの表示名も [すべての従業員] の場合があります。 これらのサブラベルの両方に同じ名前が表示されますが、同じラベルではなく、設定が異なります。

優先順位 - 競合する設定の解決方法

Microsoft Purview コンプライアンス ポータルを使用して、次のラベル ポリシー設定を構成できます。

  • このラベルを既定でドキュメントと電子メールに適用する

  • ラベルまたは下位分類ラベルを削除する場合、ユーザーは理由を提供する必要がある

  • 電子メールまたはドキュメントへのラベルの適用をユーザーに要求する

  • カスタムヘルプページへのリンクをユーザーに提供する

1 人のユーザーに対して複数のラベル ポリシーが構成されている場合、それぞれがポリシー設定が異なる可能性があります。最後のポリシー設定は、Microsoft Purview コンプライアンス ポータル内のポリシーの順序に従って適用されます。 詳細については、ラベル ポリシーの優先度 (順序が重要) に関するページを参照してください

ラベル ポリシーの詳細設定は、同じロジックを使用し、最後のポリシー設定を使用して適用されます。

詳細設定の参考資料

次のセクションでは、ラベル ポリシーとラベルに使用できる詳細設定を示します。

機能別の詳細設定の参考資料

次のセクションでは、このページに記載されている詳細設定を製品や機能の統合別に示します。

機能 詳細設定
Outlook と電子メールの設定 - ラベルを構成して Outlook で S/MIME 保護を適用する
- Outlook ポップアップメッセージをカスタマイズする
- Outlook で推奨される分類を有効にする
- 必須のラベル付けから Outlook メッセージを除外する
- 添付ファイルのある電子メール メッセージの場合、その添付ファイルの最上位の分類と一致するラベルを適用する
- 電子メール受信者を検索するときに Outlook の配布リストを展開する
- メールの送信を警告、正当化、またはブロックするポップアップ メッセージを Outlook に実装する
- S/MIME メールでの Outlook のパフォーマンスの問題を回避する
- Outlook に別の既定ラベルを設定する
PowerPoint の設定 - 指定したテキストを含む、ヘッダー/フッターでない図形を PowerPoint から削除されないようにする
- PowerPoint カスタム レイアウト内から外部コンテンツのマーキングを明示的に削除する
- 図形内部のテキストによって図形を削除するのではなく、特定の図形名のすべての図形をヘッダーとフッターから削除する
エクスプローラーの設定 - ファイル エクスプローラーでカスタム アクセス許可を常にユーザーに表示する
- エクスプローラーでカスタム アクセス許可を無効にする
- エクスプローラーで [分類して保護する] メニュー オプションを非表示にする
パフォーマンスの向上の設定 - CPU 使用量を制限する
- スキャナーで使用されるスレッドの数を制限する
- S/MIME 電子メールでの Outlook のパフォーマンスの問題を防止する
他のラベル付けソリューションと統合するための設定 - Secure Islands からのラベルの移行と、その他のラベル付けのソリューション
- 他のラベル付けソリューションからヘッダーとフッターを削除する
AIP 分析の設定 - 監査データが AIP と Microsoft 365 に送信されるのを防ぐ
- 情報の種類の一致を Azure Information Protection 分析に送信する
全般設定 - ユーザー向けの "問題の報告" を追加する
- ラベルが適用されているときにカスタム プロパティを適用する
- ローカルのログ記録レベルを変更する
- 保護するファイルの種類を変更する
- Office ファイルで自動ラベル付けのタイムアウトを構成する
- SharePoint タイムアウトを構成する
- 変更されたラベル用に正当な理由の入力を求めるテキストをカスタマイズする
- Office アプリの Information Protection バーを表示する
- 圧縮されたファイルからの保護の削除を有効にする
- ラベル付け時に NTFS 所有者を保持する (パブリック プレビュー)
- 必須のラベル付けの使用時にドキュメントの "後で実行" を削除する
- ファイル属性に基づいてスキャン中にファイルをスキップまたは無視する
- ラベルの色を指定する
- 親ラベルの既定のサブラベルを指定する
- <EXT>.PFILE から P<EXT> への変更のサポート
- 切断されたコンピューターのサポート
- バックグラウンドで継続的に実行するために分類をオンにする
- ドキュメント追跡機能をオフにする
- Office アプリでエンドユーザー向けの取り消すオプションをオフにする
- 分類グローバリゼーション機能を有効にする

ラベル ポリシーの詳細設定の参考資料

AdvancedSettings パラメーターを New-LabelPolicySet-LabelPolicy と共に使用して、次の設定を定義します。

設定 シナリオと手順
AdditionalPPrefixExtensions この詳細プロパティを使用した、<EXT>.PFILE から P<EXT> への変更のサポート
AttachmentAction 添付ファイルのある電子メール メッセージの場合、その添付ファイルの最上位の分類と一致するラベルを適用します
AttachmentActionTip 添付ファイルのある電子メール メッセージの場合、その添付ファイルの最上位の分類と一致するラベルを適用します
DisableMandatoryInOutlook 必須のラベル付けから Outlook メッセージを除外する
EnableAudit 監査データが AIP と Microsoft 365 に送信されるのを防ぐ
EnableContainerSupport PST、rar、7zip、MSG ファイルからの保護の削除を有効にする
EnableCustomPermissions エクスプローラーでカスタム アクセス許可を無効にする
EnableCustomPermissionsForCustomProtectedFiles カスタム アクセス許可で保護されているファイルについて、ファイル エクスプローラーでカスタム アクセス許可を常にユーザーに表示する
EnableGlobalization 分類グローバリゼーション機能を有効にする
EnableLabelByMailHeader Secure Islands からのラベルの移行と、その他のラベル付けのソリューション
EnableLabelBySharePointProperties Secure Islands からのラベルの移行と、その他のラベル付けのソリューション
EnableOutlookDistributionListExpansion 電子メール受信者を検索するときに Outlook の配布リストを展開する
EnableRevokeGuiSupport Office アプリ内のエンドユーザーの取り消しオプションをオフにする
EnableTrackAndRevoke ドキュメント追跡機能をオフにする
HideBarByDefault Office アプリの Information Protection バーを表示します
JustificationTextForUserText 変更されたラベルの理由の入力を促すテキストをカスタマイズする
LogMatchedContent 情報の種類の一致を Azure Information Protection 分析に送信する
OfficeContentExtractionTimeout Office ファイルでファイルの自動ラベル付けタイムアウトを構成する
OutlookBlockTrustedDomains Outlook で、送信される電子メールに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装する
OutlookBlockUntrustedCollaborationLabel Outlook で、送信される電子メールに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装する
OutlookCollaborationRule Outlook ポップアップメッセージをカスタマイズする
OutlookDefaultLabel Outlook に別の既定ラベルを設定する
OutlookGetEmailAddressesTimeOutMSProperty 配布リスト内の受信者宛てのメッセージのブロックを実装する場合の Outlook での配布リストの展開のタイムアウトを変更する )
OutlookJustifyTrustedDomains Outlook で、送信される電子メールに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装する
OutlookJustifyUntrustedCollaborationLabel Outlook で、送信される電子メールに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装する
OutlookRecommendationEnabled Outlook で推奨分類を有効にする
OutlookOverrideUnlabeledCollaborationExtensions Outlook で、送信される電子メールに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装する
OutlookSkipSmimeOnReadingPaneEnabled S/MIME 電子メールでの Outlook のパフォーマンスの問題を防止する
OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior Outlook で、送信される電子メールに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装する
OutlookWarnTrustedDomains Outlook で、送信される電子メールに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装する
OutlookWarnUntrustedCollaborationLabel Outlook で、送信される電子メールに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装する
PFileSupportedExtensions 保護するファイルの種類を変更する
PostponeMandatoryBeforeSave 必須のラベル付けを使用するときにドキュメントの "後で" を削除する
PowerPointRemoveAllShapesByShapeName 図形内部のテキストによって図形を削除するのではなく、特定の図形名のすべての図形をヘッダーとフッターから削除する
PowerPointShapeNameToRemove 指定したテキストを含む、ヘッダー/フッターでない図形を PowerPoint から削除されないようにする
RemoveExternalContentMarkingInApp 他のラベル付けソリューションからヘッダーとフッターを削除する
RemoveExternalMarkingFromCustomLayouts PowerPoint カスタム レイアウト内から外部コンテンツのマーキングを明示的に削除する
ReportAnIssueLink ユーザー向けの "問題の報告" を追加する
RunPolicyInBackground バックグラウンドでの分類の継続的実行をオンにする
ScannerMaxCPU CPU 使用量を制限する
ScannerMinCPU CPU 使用量を制限する
ScannerConcurrencyLevel スキャナーで使用されるスレッドの数を制限する
ScannerFSAttributesToSkip ファイル属性に応じてスキャン中にファイルをスキップまたは無視する
SharepointWebRequestTimeout SharePoint タイムアウトを構成する
SharepointFileWebRequestTimeout SharePoint タイムアウトを構成する
UseCopyAndPreserveNTFSOwner ラベル付け中に NTFS 所有者を保持する

ラベルの詳細設定の参考資料

New-LabelSet-Label と共に、AdvancedSettings パラメーターを使用します。

設定 シナリオと手順
color ラベルの色を指定する
customPropertiesByLabel ラベルが適用されたときにカスタム プロパティを適用する
DefaultSubLabelId 親ラベルに既定のサブラベルを指定する
labelByCustomProperties Secure Islands からのラベルの移行と、その他のラベル付けのソリューション
SMimeEncrypt ラベルを構成して Outlook で S/MIME 保護を適用する
SMimeSign ラベルを構成して Outlook で S/MIME 保護を適用する

エクスプローラーの [Hide the Classify and Protect]\(分類の非表示と保護) メニュー オプション

Windows エクスプローラーの [分類と保護] メニュー オプションを非表示にするには、次の DWORD 値の名前 (任意の値のデータを使用) を作成します。

HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisable

詳細については、「エクスプローラーを使用してファイルを分類する」を参照してください。

Display the Information Protection bar in Office apps(Office アプリの Information Protection バーを表示する)

この構成では、Security & Compliance Center PowerShell を使用して構成する必要があるポリシーの詳細設定を使用します。

規定では、ユーザーは [秘密度] ボタンから [バーの表示] オプションを選択して Office アプリの Information Protection バーを表示する必要があります。 HideBarByDefault キーを使用して、値を False に設定すると、このバーは自動的にユーザーに表示され、ユーザーはバーまたはボタンからラベルを選択できるようになります。

選択したラベル ポリシーについて、次の文字列を指定します。

  • キー: HideBarByDefault

  • 値: False

ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{HideBarByDefault="False"}

必須のラベル付けから Outlook メッセージを除外する

この構成では、Security & Compliance Center PowerShell を使用して構成する必要があるポリシーの詳細設定を使用します。

既定では、ラベル ポリシー設定の [すべてのドキュメントとメールにラベルを付ける] を有効にした場合、保存されるドキュメントと送信されるメールには、すべてラベルを適用する必要があります。 次の詳細設定を構成すると、ポリシー設定は Office ドキュメントにのみ適用され、Outlook メッセージには適用されません。

選択したラベル ポリシーについて、次の文字列を指定します。

  • キー: DisableMandatoryInOutlook

  • 値: True

ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{DisableMandatoryInOutlook="True"}

この構成では、Security & Compliance Center PowerShell を使用して構成する必要があるポリシーの詳細設定を使用します。

推奨分類のラベルを設定すると、Word、Excel、PowerPoint では、推奨ラベルを受け入れるか、却下するように求められます。 また、このラベル推奨が Outlook でも表示されます。

選択したラベル ポリシーについて、次の文字列を指定します。

  • キー: OutlookRecommendationEnabled

  • 値: True

ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookRecommendationEnabled="True"}

圧縮ファイルからの保護の削除を有効にする

この構成では、Security & Compliance Center PowerShell を使用して構成する必要があるポリシーの詳細設定を使用します。

この設定を構成すると、PowerShell コマンドレットの Set-AIPFileLabel が有効になり、PST、rar、7zip ファイルからの保護を削除できるようになります。

  • キー: EnableContainerSupport

  • 値: True

ポリシーが有効になっている PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableContainerSupport="True"}

Outlook に別の既定ラベルを設定します

この構成では、Security & Compliance Center PowerShell を使用して構成する必要があるポリシーの詳細設定を使用します。

この設定を構成すると、Outlook では、[既定でこのラベルをドキュメントとメールに適用する] オプションのポリシー設定として構成されている既定のラベルが適用されません。 別の既定のラベルを適用できるか、ラベルがありません。

選択したラベル ポリシーについて、次の文字列を指定します。

  • キー: OutlookDefaultLabel

  • 値: <ラベル GUID> または None

ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookDefaultLabel="None"}

保護するファイルの種類を変更する

これらの構成では、Security & Compliance Center PowerShell を使用して構成する必要があるポリシーの詳細設定を使用します。

既定では、Azure Information Protection の統合されたラベル付けクライアントはすべてのファイルの種類を保護します。クライアントのスキャナーは、Office ファイルの種類と PDF ファイルのみを保護します。

次のいずれかを指定することで、選択したラベル ポリシーのこの既定の動作を変更できます。

PFileSupportedExtension

  • キー: PFileSupportedExtensions

  • 値: <文字列値>

次の表を使用して、指定する文字列値を特定します。

文字列値 クライアント スキャナー
* 既定値: すべてのファイルの種類に保護が適用されます。 すべてのファイルの種類に保護が適用されます。
ConvertTo-Json(".jpg", ".png") Office ファイルの種類と PDF ファイルに加えて、指定したファイル名拡張子に保護が適応されます。 Office ファイルの種類と PDF ファイルに加えて、指定したファイル名拡張子に保護が適応されます。

例 1: すべてのファイルの種類を保護するためのスキャナーの PowerShell コマンド (ラベル ポリシーの名前は "Scanner"):

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

例 2: Office ファイルと PDF ファイルに加えて .txt ファイルと .csv ファイルを保護するためのスキャナーの PowerShell コマンド (ラベル ポリシーの名前は "Scanner"):

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".txt", ".csv")}

この設定では、保護するファイルの種類を変更できますが、既定の保護レベルをネイティブから汎用に変更することはできません。 たとえば、統合ラベル付けクライアントを実行しているユーザーの場合、既定の設定を変更して、すべてのファイルの種類ではなく、Office ファイルと PDF ファイルのみを保護することができます。 ただし、これらのファイルの種類は、.pfile ファイル名拡張子で一般的に保護するように変更することはできません。

AdditionalPPrefixExtensions

統合ラベル付けクライアントでは、AdditionalPPrefixExtensions 詳細プロパティを使った、<EXT>.PFILE から P<EXT> への変更がサポートされています。 この詳細プロパティは、エクスプローラー、PowerShell、スキャナーでサポートされています。 すべてのアプリに同様の動作が備わっています。

  • キー: AdditionalPPrefixExtensions

  • 値: <文字列値>

次の表を使用して、指定する文字列値を特定します。

文字列値 クライアントとスキャナー
* すべての PFile 拡張子が P<EXT> になります。
<null 値> 既定値は、既定の保護値と同様に動作します。
ConvertTo-Json(".dwg", ".zip") 前述のリストに加えて、".dwg" と ".zip" が P<EXT> になります。

この設定では、次の拡張子 ".txt"、".xml"、".bmp"、".jt"、".jpg"、".jpeg"、".jpe"、".jif"、".jfif"、".jfi"、".png"、".tif"、".tiff"、".gif" は常に P<EXT> になります。 重要な例外として、"ptxt" は "txt.pfile" にはなりません。

AdditionalPPrefixExtensions は、PFiles の詳細プロパティ PFileSupportedExtension の保護が有効になっている場合にのみ機能します。

例 1: 保護された ".dwg" が ".dwg.pfile" になる既定の動作のように動作する PowerShell コマンド:

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =""}

例 2: ファイルが保護されている場合に、すべての PFile 拡張子を汎用的な保護 (dwg.pfile) からネイティブ保護 (.pdwg) に変更する PowerShell コマンド:

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions ="*"}

例 3: このファイル保護のサービスを使用している場合に、".dwg" を ".pdwg" に変更する PowerShell コマンド:

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =ConvertTo-Json(".dwg")}

必須のラベル付けを使用するときにドキュメントの "後で" を削除する

この構成では、Security & Compliance Center PowerShell を使用して構成する必要があるポリシーの詳細設定が使用されます。

[すべてのドキュメントとメールにラベルを付ける] のラベル ポリシー設定を使うと、ユーザーが Office ドキュメントを初めて保存するとき、および Outlook からメールを送信するときに、ラベルの選択が求められます。

ドキュメントの場合、ユーザーは [後で] を選択して一時的にメッセージを無視し、ラベルを選んで、ドキュメントに戻ることができます。 ただし、ラベルを付けないと、保したドキュメントを閉じることはできません。

PostponeMandatoryBeforeSave 設定を構成すると、[後で] オプションが削除され、ユーザーはドキュメントを初めて保存するときにラベルを選択する必要があります。

ヒント

PostponeMandatoryBeforeSave 設定では、共有ドキュメントがメールで送信される前にラベル付けされるよう保証されます。

既定では、ポリシーで [すべてのドキュメントとメールにラベルを付ける] を有効にした場合でも、ユーザーは Outlook 内からメールに添付されたファイルへのラベル付けのみが求められます。

選択したラベル ポリシーについて、次の文字列を指定します。

  • キー: PostponeMandatoryBeforeSave

  • 値: False

ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{PostponeMandatoryBeforeSave="False"}

他のラベル付けソリューションからヘッダーとフッターを削除する

この構成では、Security & Compliance Center PowerShell を使用して構成する必要があるポリシーの詳細設定が使用されます。

他のラベル付けソリューションから分類を削除するには、次の 2 つの方法があります。

設定 説明
WordShapeNameToRemove WordShapeNameToRemove 詳細プロパティで定義されている名前と図形名が一致する図形を Word ドキュメントから削除します。

詳細については、「WordShapeNameToRemove 詳細プロパティを使用する」を参照してください。
RemoveExternalContentMarkingInApp

ExternalContentMarkingToRemove
テキストベースのヘッダーまたはフッターを Word、Excel、PowerPoint ドキュメントから削除または置換できます。

詳細については、次を参照してください。
- RemoveExternalContentMarkingInApp 詳細プロパティを使用する
- ExternalContentMarkingToRemove を構成する方法

WordShapeNameToRemove 詳細プロパティを使用する

WordShapeNameToRemove 詳細プロパティは、バージョン 2.6.101.0 以降でサポートされています。

この設定を使用すると、別のラベル付けソリューションによって視覚的なマーキングが適用されている場合に、Word ドキュメントから図形ベースのラベルを削除または置換できます。 たとえば、新しいラベル名と独自の図形を使用するために秘密度ラベルに移行した、前のラベル名を含む図形などです。

この詳細プロパティを使用するには、Word ドキュメントで図形名を見つけて、その後 WordShapeNameToRemove 詳細プロパティの図形リストで定義する必要があります。 サービスでは、この詳細プロパティの図形リストで定義された名前で始まるいかなる図形も Word 内から削除されます。

無視したいテキストを含んだ図形の削除を回避するには、削除するすべての図形の名前を定義して、すべての図形のテキストをチェックしないようにします。これは、リソースを集中的に消費するプロセスです。

注意

Microsoft Word では、図形名を定義するか、テキストで図形を削除できますが、両方で削除することはできません。 WordShapeNameToRemove プロパティが定義されている場合、ExternalContentMarkingToRemove 値で定義された構成はすべて無視されます。

使用している図形の名前を検索し、例外とする方法は次の通りです。

  1. Word で [ホーム] タブ >[編集] グループ >[選択] オプション >[オブジェクトの選択と表示] の順に選択し、[選択] ウィンドウを表示します。

  2. 削除用にマークするページ上の図形を選択します。 マークした図形の名前が、[選択] ウィンドウで強調表示されます。

図形の名前を使用して、WordShapeNameToRemove キーの文字列値を指定します。

例: 図形の名前は dc です。 この名前の図形を削除するには、値 dc を指定します。

  • キー: WordShapeNameToRemove

  • 値: <Word の図形の名前>

ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{WordShapeNameToRemove="dc"}

複数の Word の図形を削除する場合は、削除する図形の数だけ値を指定します。

RemoveExternalContentMarkingInApp 詳細プロパティを使用する

この設定では、その視覚的なマーキングが別のラベル付けソリューションによって適用されている場合に、テキストベースのヘッダーまたはフッターをドキュメントから削除したり置き換えたりできるようになります。 たとえば、新しいラベル名と独自のフッターを使用するために秘密度ラベルに移行した、前のラベル名を含む以前のフッターなどです。

統合ラベル付けクライアントのポリシーにこの構成が使用されると、Office アプリでドキュメントを開き、いずれかの秘密度ラベルがドキュメントに適用されたときに、前のヘッダーとフッターは削除または置換されます。

この構成は Outlook ではサポートされていません。そのため、この構成を Word、Excel、PowerPoint で使用すると、ユーザーのこれらのアプリのパフォーマンスに悪影響が生じる場合があります。 この構成ではアプリケーションごとの設定を定義することができます。たとえば、Word 文書のヘッダーとフッターのテキストは検索し、Excel のスプレッドシートや PowerPoint のプレゼンテーションのテキストは検索しないようにできます。

パターン マッチングはユーザーのパフォーマンスに影響するため、Office アプリケーションの種類 (Word、EXcel、PowerPoint) は検索を必要とするもののみに制限することをお勧めします。 選択したラベル ポリシーについて、次の文字列を指定します。

  • キー: RemoveExternalContentMarkingInApp

  • 値: <Office アプリケーションの種類 WXP>

例:

  • Word 文書のみを検索するには、W を指定します。

  • Word 文書と PowerPoint プレゼンテーションを検索するには、WP を指定します。

ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInApp="WX"}

この後、ヘッダーまたはフッターの内容と、その削除または置換方法を指定したりするために、少なくとも 1 つのより詳細なクライアント設定 ExternalContentMarkingToRemove が必要です。

ExternalContentMarkingToRemove を構成する方法

ExternalContentMarkingToRemove キーに文字列値を指定するときには、正規表現を使用する 3 つのオプションがあります。 これらのシナリオごとに、次の表の [値の例] 列に示されている構文を使用します。

オプション 例の説明 値の例
ヘッダーまたはフッターのすべてを削除する部分一致 ヘッダーまたはフッターに TEXT TO REMOVE という文字列が含まれ、これらのヘッダーまたはフッターを完全に削除する場合。 *TEXT*
ヘッダーまたはフッターの特定の単語のみを削除する完全一致 ヘッダーまたはフッターに TEXT TO REMOVE という文字列が含まれ、TEXT という単語のみを削除し、ヘッダーまたはフッターの文字列を TO REMOVE として残したい場合。 TEXT
ヘッダーまたはフッターのすべてを削除する完全一致 ヘッダーまたはフッターに TEXT TO REMOVE という文字列が含まれている場合。 正確にこの文字列が含まれているヘッダーまたはフッターを削除したいとします。 ^TEXT TO REMOVE$

指定した文字列のパターン マッチングでは大文字と小文字が区別されます。 文字列の最大長は 255 文字で、空白を含めることはできません。

一部のドキュメントには非表示の文字やさまざまな種類のスペースやタブが含まれているため、語句や文に指定した文字列が検出されない可能性があります。 値には、できるだけ単独の特徴的な単語を指定し、運用環境に展開する前に結果をテストしてください。

同じラベル ポリシーについて、次の文字列を指定します。

  • キー: ExternalContentMarkingToRemove

  • 値: <正規表現として定義された、マッチングする文字列>

ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove="*TEXT*"}

詳細については、次を参照してください。

複数行のヘッダーまたはフッター

ヘッダーまたはフッターのテキストが複数行にわたる場合は、行ごとにキーと値を作成します。 たとえば、2 行にわたる次のフッターがあるとします。

ファイルは社外秘として分類
ラベルは手動で適用

この複数行のフッターを削除するには、同じラベル ポリシーに対して次の 2 つのエントリを作成します。

  • キー: ExternalContentMarkingToRemove
  • キー値 1: *Confidential*
  • キー値 2: *Label applied*

ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove=ConvertTo-Json("Confidential","Label applied")}

PowerPoint 用の最適化

PowerPoint では、ヘッダーとフッターは図形として実装されます。 msoTextBoxmsoTextEffectmsoPlaceholder、および msoAutoShape の図形の種類では、次の詳細設定によって追加の最適化が提供されます。

また、PowerPointRemoveAllShapesByShapeName で、図形の名前に基づいた任意の図形の種類を削除できます。

詳細については、「ヘッダーまたはフッターとして使用している図形の名前を検索する」のセクションを参照してください。

指定したテキストを含む、ヘッダー/フッターでない図形を PowerPoint から削除されないようにする

指定したテキストを含む、ヘッダーまたはフッターでない図形が削除されるのを防ぐには、PowerPointShapeNameToRemove という名前の、追加のクライアントの詳細設定を使用します。

また、すべての図形のテキストのチェックはリソースを消費するプロセスであるため、この設定を使用して回避することをお勧めします。

  • この追加のクライアントの詳細設定を指定せず、PowerPoint が RemoveExternalContentMarkingInApp キーの値に含まれている場合、ExternalContentMarkingToRemove で指定したテキストがすべての図形でチェックされます。

  • この値が指定されている場合は、図形名の条件を満たし、ExternalContentMarkingToRemove によって提供された文字列と一致するテキストを含む図形のみが削除されます。

たとえば、次のように入力します。

Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}
外部のマーキング削除をカスタム レイアウトに拡張する

この構成では、Security & Compliance Center PowerShell を使用して構成する必要があるポリシーの詳細設定が使用されます。

既定では、外部コンテンツのマーキングを削除するために使用されるロジックは、PowerPoint で構成されたカスタム レイアウトを無視します。 このロジックをカスタム レイアウトに拡張するには、RemoveExternalMarkingFromCustomLayouts 詳細プロパティを True に設定します。

  • キー: RemoveExternalMarkingFromCustomLayouts

  • 値: True

ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalMarkingFromCustomLayouts="True"}
特定の図形名のすべての図形を削除する

PowerPoint カスタム レイアウトを使用して、ヘッダーとフッターから特定の図形名のすべての図形を削除する場合は、PowerPointRemoveAllShapesByShapeName 詳細設定を削除したい図形の名前と共に使用します。

PowerPointRemoveAllShapesByShapeName 設定を使用すると、図形内のテキストは無視され、代わりに図形の名前を使用して、削除する図形が識別されます。

次に例を示します。

Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointRemoveAllShapesByShapeName="Arrow: Right"}

詳細については、次を参照してください。

  1. PowerPoint で、[書式] タブ >[配置] グループ >[オブジェクトの選択と表示] の順に選択し、[選択] ウィンドウを表示します。

  2. ヘッダーまたはフッターを含むスライド上の図形を選択します。 選択した図形の名前が、選択ウィンドウで強調表示されます。

図形の名前を使用して、PowerPointShapeNameToRemove キーの文字列値を指定します。

: 図形の名前は fc です。 この名前の図形を削除するには、値 fc を指定します。

  • キー: PowerPointShapeNameToRemove

  • 値: <PowerPoint の図形の名前>

ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}

複数の PowerPoint 図形を削除する場合は、削除する図形の数だけ値を指定します。

既定では、マスター スライドのヘッダーとフッターのみがチェックされます。 この検索の対象をすべてのスライドに広げるには、RemoveExternalContentMarkingInAllSlides という名前の、追加のクライアントの詳細設定を使用します。ただし、このプロセスはリソースをより多く消費します。

  • キー: RemoveExternalContentMarkingInAllSlides

  • 値: True

ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInAllSlides="True"}
PowerPoint でカスタム レイアウトから外部コンテンツのマーキングを削除する

この構成では、Security & Compliance Center PowerShell を使用して構成する必要があるポリシーの詳細設定が使用されます。

既定では、外部コンテンツのマーキングを削除するために使用されるロジックは、PowerPoint で構成されたカスタム レイアウトを無視します。 このロジックをカスタム レイアウトに拡張するには、RemoveExternalMarkingFromCustomLayouts 詳細プロパティを True に設定します。

  • キー: RemoveExternalMarkingFromCustomLayouts

  • 値: True

ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalMarkingFromCustomLayouts="True"}

エクスプローラーでカスタム アクセス許可を無効にする

この構成では、Security & Compliance Center PowerShell を使用して構成する必要があるポリシーの詳細設定が使用されます。

既定では、ユーザーがエクスプローラーで右クリックして [分類と保護] を選択すると、[カスタム アクセス許可で保護する] というオプションが表示されます。 このオプションでは、ラベルの構成で指定している可能性があるいかなる保護設定もオーバーライドする、独自の保護設定を設定できます。 ユーザーには、保護を削除するオプションも表示されます。 この設定を構成すると、ユーザーにはこれらのオプションが表示されません。

この詳細設定を構成するには、選択したラベル ポリシーに対して次の文字列を入力します。

  • キー: EnableCustomPermissions

  • 値: False

ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}

カスタム アクセス許可で保護されているファイルについて、ファイル エクスプローラーでカスタム アクセス許可を常にユーザーに表示する

この構成では、Security & Compliance Center PowerShell を使用して構成する必要があるポリシーの詳細設定が使用されます。

エクスプローラーでカスタム アクセス許可を無効にするようクライアントの詳細設定を構成した場合、既定では、ユーザーは保護されたドキュメントで既に設定されているカスタム アクセス許可を表示または変更できません。

ただし、このシナリオでは、別のクライアント詳細設定を指定することができます。ユーザーはエクスプローラーを使用してファイルを右クリックすると、保護されたドキュメントのカスタム アクセス許可を表示および変更できます。

この詳細設定を構成するには、選択したラベル ポリシーに対して次の文字列を入力します。

  • キー: EnableCustomPermissionsForCustomProtectedFiles

  • 値: True

PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissionsForCustomProtectedFiles="True"}

添付ファイル付きの電子メール メッセージの場合、添付ファイルの最上位の分類に一致するラベルを適用します

この構成では、Security & Compliance Center PowerShell を使用して構成する必要があるポリシーの詳細設定が使用されます。

この設定は、ユーザーがラベル付きドキュメントをメールに添付するときに、メール メッセージ自体にはラベルを付けない場合に使用します。 このシナリオでは、添付ファイルに適用される分類ラベルに基づいて、ラベルが自動的に選択されます。 最上位の分類ラベルが選択されます。

添付ファイルは物理ファイルである必要があり、ファイルへのリンク (たとえば、Microsoft SharePoint または OneDrive 上のファイルへのリンク) はできません。

この設定を [推奨] に構成すると、選択したラベルをメール メッセージに適用するように求められます。 その後、ユーザーは、ラベルを適用せずに推奨事項を受け入れるか、無視できます。 または、選択したラベルが自動的に適用される 自動にこの設定を構成することもできますが、ユーザーはメールを送信する前にラベルを削除したり、別のラベルを選択したりできます。 どちらのシナリオでも、カスタマイズされたメッセージがサポートされます。

注意

最上位の分類ラベルを持つ添付ファイルが、ユーザー定義のアクセス許可の設定を使用して保護するように構成されている場合は、次のようになります。

  • ラベルのユーザー定義のアクセス許可に Outlook (転送不可) が含まれる場合、メールにそのラベルが選択され、転送不可保護も適用されます。
  • ラベルのユーザー定義のアクセス許可が Word、Excel、PowerPoint、エクスプローラーのみを対象とする場合、そのラベルはメール メッセージに適用されず、保護も適用されません。

この詳細設定を構成するには、選択したラベル ポリシーに対して次の文字列を入力します。

  • キー 1: AttachmentAction

  • キー値 1: 推奨または自動

  • キー 2 (省略可能): AttachmentActionTip

  • キー値 2: "<カスタマイズされたヒント>"

オプションのカスタマイズされたツールヒントでは、1 つの言語のみがサポートされます。 この設定が指定されていない場合は、次のメッセージがユーザーに表示されます。

  • 推奨されるメッセージ: このメールにラベル名>として<ラベルを付けるのが推奨されます
  • 自動メッセージ: この電子メールはラベル名>として<自動的にラベル付けされました

ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{AttachmentAction="Automatic"}

ユーザー向けの "問題の報告" を追加する

この構成では、Security & Compliance Center PowerShell を使用して構成する必要があるポリシーの詳細設定が使用されます。

次のクライアントの詳細設定を指定すると、ユーザーに、[ヘルプとフィードバック] クライアント ダイアログ ボックスから選択できる [問題の報告] オプションが表示されます。 リンクの HTTP 文字列を指定します。 たとえば、ユーザーが問題を報告するための、カスタマイズされた独自の Web ページや、ヘルプ デスクに送信される電子メール アドレスです。

この詳細設定を構成するには、選択したラベル ポリシーに対して次の文字列を入力します。

  • キー: ReportAnIssueLink

  • 値: <HTTP 文字列>

Web サイトの値の例: https://support.contoso.com

メール アドレスの値の例: mailto:helpdesk@contoso.com

ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{ReportAnIssueLink="mailto:helpdesk@contoso.com"}

Outlook で、送信される電子メールに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装する

この構成では、Security & Compliance Center PowerShell を使用して構成する必要があるポリシーの詳細設定が使用されます。

次のクライアント詳細設定を作成して構成すると、Outlook でユーザーに対してポップアップ メッセージが表示されます。これにより、次のどちらかのシナリオで、電子メールを送信する前に警告したり、電子メールの送信理由の入力を求めたり、電子メールの送信を妨げることができます。

  • 電子メール、または電子メールの添付ファイルに特定のラベルが含まれる:

    • 添付ファイルはあらゆる種類のファイルである可能性がある
  • 電子メール、または電子メールの添付ファイルにラベルがない:

    • 添付ファイルは Office ドキュメントまたは PDF ドキュメントである可能性がある

これらの条件を満たすと、次のいずれかのアクションを示すポップアップ メッセージがユーザーに表示されます。

説明
警告 ユーザーは確認して電子メールを送信またはキャンセルできます。
理由の入力 ユーザーは理由 (定義済みのオプションまたは自由形式) の入力を求められます。その後、ユーザーは電子メールを送信またはキャンセルできます。
理由テキストは、他のシステム (データ損失防止 (DLP) サービスなど) で読み取ることができるように、電子メールの X ヘッダーに書き込まれます。
ブロック 条件が満たされている間、ユーザーは電子メールを送信できなくなります。
メッセージには、ユーザーが問題に対処できるように、電子メールをブロックする理由が含まれます。
たとえば、特定の受信者を削除する、電子メールにラベルを付けるなどです。

特定のラベルについてのポップアップ メッセージでは、ドメイン名で受信者の例外を構成できます。

これらの設定を構成する方法のチュートリアル例については、 AIP UL クライアントの Outlook ポップアップ メッセージのカスタマイズ に関する技術コミュニティ ブログを参照してください。

ヒント

ドキュメントが Outlook (ファイル > 共有 > コピーの添付) 外部から共有されている場合でもポップアップが表示されるようにするには、PostponeMandatoryBeforeSave 詳細設定も構成します。

詳細については、次を参照してください。

特定のラベルに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装するには

選択したポリシーで次のキーを使用して、次の 1 つ以上の詳細設定を作成します。 値については、1 つ以上のラベルの GUID をそれぞれコンマで区切って指定します。

コンマ区切り文字列としての複数のラベル GUID の値の例:

dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813f
メッセージの種類 キー/値
警告 キー: OutlookWarnUntrustedCollaborationLabel

値: <コンマ区切りのラベル GUID>
理由の入力 キー: OutlookJustifyUntrustedCollaborationLabel

値: <コンマ区切りのラベル GUID>
ブロック キー: OutlookBlockUntrustedCollaborationLabel

値: <コンマ区切りのラベル GUID>

ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookWarnUntrustedCollaborationLabel="8faca7b8-8d20-48a3-8ea2-0f96310a848e,b6d21387-5d34-4dc8-90ae-049453cec5cf,bb48a6cb-44a8-49c3-9102-2d2b017dcead,74591a94-1e0e-4b5d-b947-62b70fc0f53a,6c375a97-2b9b-4ccd-9c5b-e24e4fd67f73"}

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyUntrustedCollaborationLabel="dc284177-b2ac-4c96-8d78-e3e1e960318f,d8bb73c3-399d-41c2-a08a-6f0642766e31,750e87d4-0e91-4367-be44-c9c24c9103b4,32133e19-ccbd-4ff1-9254-3a6464bf89fd,74348570-5f32-4df9-8a6b-e6259b74085b,3e8d34df-e004-45b5-ae3d-efdc4731df24"}

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockUntrustedCollaborationLabel="0eb351a6-0c2d-4c1d-a5f6-caa80c9bdeec,40e82af6-5dad-45ea-9c6a-6fe6d4f1626b"}

さらにカスタマイズするために、特定のラベル用に構成されたポップアップ メッセージのドメイン名を除外することもできます

注意

このセクションの詳細設定 (OutlookWarnUntrustedCollaborationLabelOutlookJustifyUntrustedCollaborationLabelOutlookBlockUntrustedCollaborationLabel) は、特定のラベルが使用されている場合に使用されます。

ラベル付けされていないコンテンツに既定のポップアップ メッセージを実装するには、OutlookUnlabeledCollaborationAction 詳細設定を使用します。 ラベル付けされていないコンテンツのポップアップ メッセージをカスタマイズするには、.json ファイルを使用して詳細設定を定義します。

詳細については、Outlook ポップアップ メッセージのカスタマイズに関するページを参照してください。

ヒント

ブロック メッセージが必要に応じて表示されるようにするには、Outlook 配布リスト内にある受信者にも、EnableOutlookDistributionListExpansion 詳細設定を追加してください。

特定のラベル用に構成されたポップアップ メッセージのドメイン名を除外するには

これらのポップアップ メッセージで指定したラベルについては、特定のドメイン名を除外して、そのドメイン名がメール アドレスに含まれている受信者のメッセージがユーザーに表示されないようにすることができます。 この場合、電子メールは中断なく送信されます。 複数のドメインを指定するには、ドメインをコンマで区切って 1 つの文字列として追加します。

一般的な構成では、組織の外部の受信者、または組織の承認済みのパートナーではない受信者についてのみ、ポップアップ メッセージが表示されます。 この場合は、お客様の組織およびパートナーによって使用されるすべての電子メール ドメインを指定します。

同じラベル ポリシーで次のクライアントの詳細設定を作成し、値として 1 つ以上のドメインをそれぞれコンマで区切って指定します。

コンマ区切り文字列としての複数のドメインの値の例: contoso.com,fabrikam.com,litware.com

メッセージの種類 キー/値
警告 キー: OutlookWarnTrustedDomains

値: <コンマ区切りのドメイン名>
理由の入力 キー: OutlookJustifyTrustedDomains

値: <コンマ区切りのドメイン名>
ブロック キー: OutlookBlockTrustedDomains

値: <コンマ区切りのドメイン名>

たとえば、[社外秘\すべての従業員] ラベルについて OutlookBlockUntrustedCollaborationLabel 詳細クライアント設定を指定したとします。

次に、contoso.com を使用して OutlookBlockTrustedDomains の追加の詳細クライアント設定を指定します。 その結果、ユーザーは、[社外秘\すべての従業員] というラベルが付いているときにメールを john@sales.contoso.com に送信できますが、同じラベルが付いたメールの Gmail アカウントへの送信はブロックされます。

ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockTrustedDomains="contoso.com"}

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyTrustedDomains="contoso.com,fabrikam.com,litware.com"}

注意

ブロック メッセージが必要に応じて表示されるようにするには、Outlook 配布リスト内にある受信者にも、EnableOutlookDistributionListExpansion 詳細設定を追加してください。

ラベルのない電子メールまたは添付ファイルに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装するには

同じラベル ポリシーで次のいずれかの値を使用して、次のクライアント詳細設定を作成します。

メッセージの種類 キー/値
警告 キー: OutlookUnlabeledCollaborationAction

値: 警告
理由の入力 キー: OutlookUnlabeledCollaborationAction

値: 理由の入力
ブロック キー: OutlookUnlabeledCollaborationAction

値: ブロック
これらのメッセージをオフにする キー: OutlookUnlabeledCollaborationAction

値: オフ

ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationAction="Warn"}

さらにカスタマイズする場合は、以下を参照してください。

ラベルのないメールの添付ファイルについて、警告、理由の入力、またはブロックのポップアップ メッセージの特定のファイル名拡張子を定義するには

既定では、警告、理由の入力、またはブロックのポップアップ メッセージは、すべての Office ドキュメントと PDF ドキュメントに適用されます。 この一覧を調整するには、追加の詳細設定とファイル名拡張子のコンマ区切りの一覧を使用して、警告、理由の入力、ブロックのメッセージを表示するファイル名拡張子を指定します。

コンマ区切りの文字列として定義する複数のファイル名拡張子の値の例は、.XLSX,.XLSM,.XLS,.XLTX,.XLTM,.DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTM です

この例では、ラベル付けされていない PDF ドキュメントでは、警告、理由の入力、またはブロックのポップアップ メッセージは表示されません。

同じラベル ポリシーについて、次の文字列を入力します。

  • キー: OutlookOverrideUnlabeledCollaborationExtensions

  • 値: <コンマ区切りの、メッセージを表示するファイル名拡張子>

ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookOverrideUnlabeledCollaborationExtensions=".PPTX,.PPTM,.PPT,.PPTX,.PPTM"}

添付ファイルのないメール メッセージに対して別のアクションを指定するには

既定では、警告、理由の入力、またはブロックのポップアップ メッセージを表示するために OutlookUnlabeledCollaborationAction に指定する値は、ラベルのないメールまたは添付ファイルに適用されます。

この構成を調整するには、添付ファイルのないメール メッセージに対して、別の詳細設定を指定します。

次のいずれかの値を使用して、次のクライアント詳細設定を作成します。

メッセージの種類 キー/値
警告 キー: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

値: 警告
理由の入力 キー: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

値: 理由の入力
ブロック キー: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

値: ブロック
これらのメッセージをオフにする キー: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

値: オフ

このクライアント設定を指定しない場合は、OutlookUnlabeledCollaborationAction に指定した値が、添付ファイルのないラベル付けされていないメール メッセージと、添付ファイルを含むラベル付けされていないメール メッセージに使用されます。

ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior="Warn"}

電子メール受信者を検索するときに Outlook の配布リストを展開する

この構成では、Security & Compliance Center PowerShell を使用して構成する必要があるポリシーの詳細設定を使用します。

他の詳細設定から Outlook 配布リスト内の受信者にサポートを拡張するには、EnableOutlookDistributionListExpansion 詳細設定を true に設定します。

  • キー: EnableOutlookDistributionListExpansion
  • 値: true

たとえば、OutlookBlockTrustedDomainsOutlookBlockUntrustedCollaborationLabel 詳細設定を構成した後に、EnableOutlookDistributionListExpansion 設定も構成した場合は、Outlook で配布リストが展開され、ブロック メッセージが必要に応じて表示されていることが確認されます。

配布リストを展開する既定のタイムアウトは 2000 ミリ秒です。

このタイムアウトを変更するには、選択したポリシーで次の詳細設定を作成します。

  • キー: OutlookGetEmailAddressesTimeOutMSProperty
  • 値: 整数 (ミリ秒単位)

ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{
  EnableOutlookDistributionListExpansion="true"
  OutlookGetEmailAddressesTimeOutMSProperty="3000"
}

監査データが AIP と Microsoft 365 に送信されるのを防ぐ

既定では、Azure Information Protection 統合ラベル付けクライアントで中央レポートがサポートされ、その監査データが次の場所に送信されます。

監査データが送信されないように、この動作を変更する場合は、次の手順に従います。

  1. Security & Compliance Center PowerShell を使用して、次のポリシーの詳細設定を追加します。

    • キー: EnableAudit

    • 値: False

    たとえば、ラベル ポリシーの名前が "Global" の場合は、次のようになります。

    Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableAudit="False"}
    

    注意

    既定では、この詳細設定はポリシーに存在せず、監査ログが送信されます。

  2. すべての Azure Information Protection クライアント コンピューターで、%localappdata%\Microsoft\MSIP\mip フォルダーを削除します。

クライアントが監査ログ データを再送信できるようにするには、詳細設定の値を True に変更します。 クライアント コンピューターで %localappdata%\Microsoft\MSIP\mip フォルダーを手動で再度作成する必要はありません。

情報の種類の一致を Azure Information Protection 分析に送信する

この構成では、Security & Compliance Center PowerShell を使用して構成する必要があるポリシーの詳細設定を使用します。

既定では、統合ラベル付けクライアントから Azure Information Protection 分析に、機密情報の種類のコンテンツの一致は送信されません。 このような送信可能な追加情報の詳細については、中央レポートのドキュメントから詳細な分析のためのコンテンツの一致に関するセクションを参照してください。

機密情報の種類の送信時にコンテンツの一致を送信するには、ラベル ポリシーで次の詳細クライアント設定を作成します。

  • キー: LogMatchedContent

  • 値: True

ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{LogMatchedContent="True"}

CPU 使用量を制限する

スキャナー バージョン 2.7.x.x 以降では、次の ScannerMaxCPUScannerMinCPU 詳細設定を使用して CPU 消費量を制限することをお勧めします。

重要

次のスレッド制限ポリシーが使用されている場合は、ScannerMaxCPUScannerMinCPU 詳細設定が無視されます。 ScannerMaxCPUScannerMinCPU 詳細設定を使用して CPU 消費量を制限するには、スレッド数を制限するポリシーの使用を取り消します。

この構成では、Security & Compliance Center PowerShell を使用して構成する必要があるポリシーの詳細設定を使用します。

スキャナー マシンで CPU 消費量を制限するには、次の 2 つの詳細設定を作成することで管理できます。

  • ScannerMaxCPU:

    既定では 100 に設定されます。つまり、CPU の最大消費量に制限はありません。 この場合、スキャナー プロセスでは、使用可能なすべての CPU 時間を使用してスキャン レートの最大化が試みられます。

    ScannerMaxCPU を 100 未満に設定した場合は、過去 30 分間の CPU 消費量がスキャナーで監視されます。 平均 CPU が設定した制限を超えた場合は、新しいファイルに割り当てられたスレッドの数が減少し始めます。

    スレッド数の制限は、CPU 消費量が ScannerMaxCPU に設定されている制限を超えている限り、継続されます。

  • ScannerMinCPU:

    ScannerMaxCPU が 100 と等しくない場合にのみチェックされ、ScannerMaxCPU 値よりも大きい数値に設定することはできません。 ScannerMinCPU は、ScannerMaxCPU の値よりも少なくとも 15 ポイント低く設定することをお勧めします。

    既定では 50 に設定されます。つまり、この値よりも低い場合に過去 30 分間の CPU 消費量が発生した場合は、CPU 消費量が ScannerMaxCPU-15 に設定したレベルに達するまで、より多くのファイルを並列でスキャンする新しいスレッドの追加がスキャナーで開始されます。

スキャナーで使用されるスレッドの数を制限する

重要

次のスレッド制限ポリシーが使用されている場合は、ScannerMaxCPUScannerMinCPU 詳細設定が無視されます。 ScannerMaxCPUScannerMinCPU 詳細設定を使用して CPU 消費量を制限するには、スレッド数を制限するポリシーの使用を取り消します。

この構成では、Security & Compliance Center PowerShell を使用して構成する必要があるポリシーの詳細設定を使用します。

既定では、スキャナー サービスを実行しているコンピューター上の利用可能なプロセッサ リソースのすべてがスキャナーによって使われます。 このサービスのスキャン中に CPU 使用量を制限する必要がある場合は、ラベル ポリシーで次の詳細設定を作成します。

値には、スキャナーが並列で実行できる同時スレッドの数を指定します。 スキャナーでは、それがスキャンするファイルごとに個別のスレッドが使われます。このため、この調整構成によって並列でスキャンできるファイルの数も定義されます。

最初にテスト用の値を構成するときは、コアごとに 2 を指定してから、その結果を監視することをお勧めします。 たとえば、4 コアのコンピューター上でスキャナーを実行する場合、最初は値を 8 に設定します。 必要な場合は、スキャナー コンピューターとスキャン速度に対してご自身が要求する結果のパフォーマンスに応じて、その数を増減させます。

  • キー: ScannerConcurrencyLevel

  • 値: <同時スレッドの数>

ラベル ポリシーの名前が "Scanner" の場合の PowerShell コマンドの例:

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{ScannerConcurrencyLevel="8"}

Secure Islands からのラベルの移行と、その他のラベル付けのソリューション

この構成では、Security & Compliance Center PowerShell を使用して構成する必要があるラベルの詳細設定を使用します。

この構成には、ファイル名拡張子が ppdf の保護された PDF ファイルとの互換性がありません。 これらのファイルは、クライアントでエクスプローラーまたは PowerShell を使用して開くことができません。

Secure Islands でラベル付けされた Office ドキュメントの場合、定義したマッピングを使用して、秘密度ラベルでラベル付けし直すことができます。 また、この方法を使用して、他のソリューションからのラベルを、そのラベルが Office ドキュメントにある場合は再利用することができます。

この構成オプションの結果として、新しい秘密度ラベルは、Azure Information Protection 統合ラベル付けクライアントで次のように適用されます。

  • Office ドキュメントの場合: デスクトップ アプリでドキュメントを開くと、新しい秘密度ラベルが設定されたことが表示され、ドキュメントを保存すると適用されます。

  • PowerShell の場合: Set-AIPFileLabelSet-AIPFileClassificiation で新しい秘密度ラベルを適用できます。

  • エクスプローラーの場合: [Azure Information Protection] ダイアログボックスで新しい秘密度ラベルが表示されますが、設定されていません。

この構成では、古いラベルにマップする秘密度ラベルごとに、labelByCustomProperties という名前の詳細設定を指定する必要があります。 次に、各エントリに対して、次の構文を使用して値を設定します。

[migration rule name],[Secure Islands custom property name],[Secure Islands metadata Regex value]

任意の移行規則名を指定します。 以前のラベル付けソリューションから秘密度ラベルに、1 つ以上のラベルをマップする方法を特定するのに役立つ、わかりやすい名前を使用します。

この設定では、ドキュメントから元のラベルが削除されたり、元のラベルが適用された可能性がある視覚的マーキングが削除されたりすることはありません。 ヘッダーおよびフッターを削除するには、他のラベル付けソリューションからヘッダーとフッターを削除する方法に関するページを参照してください。

例:

追加のカスタマイズについては、以下を参照してください。

注意

会社の合併後など、テナント間でラベルから移行する場合について詳しくは、合併とスピンオフに関するブログ記事を参照することをお勧めします。

例1: 同じラベル名の 1 対 1 のマッピング

要件: Secure Islands の "Confidential" というラベルを持ったドキュメントを、Azure Information Protection によって "Confidential" というラベルに変更する必要があります。

この例は次のとおりです。

  • Secure Islands のラベルは、Confidential という名前が付けられ、Classification という名前のカスタム プロパティに保存されます。

詳細設定:

  • キー: labelByCustomProperties

  • 値: Secure Islands のラベルは Confidential、Classification、Confidential

ラベルの名前が "Confidential" の場合の PowerShell コマンドの例:

Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Confidential,Classification,Confidential"}

例 2: 異なるラベル名の 1 対 1 のマッピング

要件: Secure Islands によって "Sensitive" というラベルを付けられたドキュメントを、Azure Information Protection によって "Highly Confidential" というラベルに変更する必要があります。

この例は次のとおりです。

  • Secure Islands のラベルは Sensitive という名前が付けられ、Classification という名前のカスタム プロパティに保存されます。

詳細設定:

  • キー: labelByCustomProperties

  • 値: Secure Islands のラベルは Sensitive、Classification、Sensitive

ラベルの名前が "Highly Confidential" の場合の PowerShell コマンドの例:

Set-Label -Identity "Highly Confidential" -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Sensitive,Classification,Sensitive"}

例 3: ラベル名の多対一のマッピング

要件: "Internal" という単語を含む Secure Islands のラベルが 2 つあり、この Secure Islands のラベルのいずれかを含んでいるドキュメントを、Azure Information Protection 統合ラベル付けクライアントによって "General" というラベルに変更します。

この例は次のとおりです。

  • Secure Islands のラベルには、Internal という単語が含まれ、Classification という名前のカスタム プロパティに保存されます。

クライアントの詳細設定:

  • キー: labelByCustomProperties

  • 値: Secure Islands のラベルは Internal、Classification、*Internal.*

ラベルの名前が "General" の場合の PowerShell コマンドの例:

Set-Label -Identity General -AdvancedSettings @{labelByCustomProperties="Secure Islands label contains Internal,Classification,.*Internal.*"}

例 4: 同じラベルに対して複数のルールを使用する

同じラベルに複数のルールが必要な場合は、同じキーに複数の文字列値を定義します。

この例では、"Confidential" と "Secret" という名前の Secure Islands ラベルが Classification" という名前のカスタム プロパティに格納され、Azure Information Protection 統合ラベル付けクライアントに "Confidential" という名前の秘密度ラベルを適用します。

Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}

ラベルの移行ルールを電子メールに拡張する

追加のラベル ポリシーの詳細設定を指定することによって、Office ドキュメントに加えて Outlook メールに対して、labelByCustomProperties 詳細設定で定義した構成を使用できます。

ただし、この設定によって Outlook のパフォーマンスが既知の悪影響を受けるため、この追加の設定は、厳しいビジネス要件がある場合にのみ構成し、他のラベル付けソリューションからの移行が完了したら、忘れずに null 文字列値に設定してください。

この詳細設定を構成するには、選択したラベル ポリシーに対して次の文字列を入力します。

  • キー: EnableLabelByMailHeader

  • 値: True

ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelByMailHeader="True"}

ラベルの移行ルールを SharePoint のプロパティに拡張する

追加のラベルポリシーの詳細設定を指定することによって、列としてユーザーに表示される可能性がある SharePoint プロパティの labelByCustomProperties 詳細設定で定義した構成を使用できます。

この設定は、Word、Excel、PowerPoint を使用する際にサポートされます。

この詳細設定を構成するには、選択したラベル ポリシーに対して次の文字列を入力します。

  • キー: EnableLabelBySharePointProperties

  • 値: True

ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelBySharePointProperties="True"}

ラベルが適用されたときにカスタム プロパティを適用する

この構成では、Security & Compliance Center PowerShell を使用して構成する必要があるラベルの詳細設定を使用します。

秘密度ラベルで適用されるメタデータに加えて、1 つ以上のカスタム プロパティをドキュメントまたはメール メッセージに適用する際は、いくつかのシナリオが考えられます。

たとえば、次のように入力します。

  • 他のラベル付けのソリューション (Secure Islands など) からの移行プロセス中です。 移行中の相互運用性を確保するために、他のラベル付けソリューションで使用されるカスタム プロパティを機密度ラベルに適用することもできます。

  • コンテンツ管理システム (SharePoint や別のベンダーのドキュメント管理ソリューションなど) の場合は、ラベルのさまざまな値と、ラベル GUID ではなくユーザー フレンドリ名との整合性があるカスタム プロパティ名を使用します。

ユーザーが Azure Information Protection の統合ラベル付けクライアントを使用してラベル付けする Office ドキュメントや Outlook メールの場合は、定義した 1 つ以上のカスタム プロパティを追加できます。 また、この方法を統合ラベル付けクライアントに対して使用すると、このカスタム プロパティを他のソリューションからラベルとして表示することもできます。

この構成オプションの結果として、追加のカスタム プロパティは、Azure Information Protection 統合ラベル付けクライアントで次のように適用されます。

環境 説明
Office ドキュメント デスクトップ アプリでドキュメントがラベル付けされている場合は、ドキュメントの保存時に追加のカスタム プロパティが適用されます。
Outlook メール Outlook でメール メッセージにラベル付けすると、メールの送信時に追加のプロパティが X ヘッダーに適用されます。
PowerShell Set-AIPFileLabelSet-AIPFileClassificiation では、ドキュメントにラベル付けして保存すると、追加のカスタム プロパティが適用されます。

Get-AIPFileStatus では、秘密度ラベルが適用されていない場合に、マップされたラベルとしてカスタム プロパティが表示されます。
エクスプローラー ユーザーがファイルを右クリックしてラベルを適用すると、カスタム プロパティが適用されます。

この構成では、追加のカスタム プロパティを適用する秘密度ラベルごとに、customPropertiesByLabel という名前の詳細設定を指定する必要があります。 次に、各エントリに対して、次の構文を使用して値を設定します。

[custom property name],[custom property value]

重要

文字列で空白を使用すると、ラベルの適用が回避されます。

たとえば、次のように入力します。

例 1: ラベルに 1 つのカスタム プロパティを追加する

要件: Azure Information Protection 統合ラベル付けクライアントによって "Confidential" というラベルが付けられているドキュメントに、"Secret" という値を持つ "Classification" という名前のカスタム プロパティを追加する必要があります。

この例は次のとおりです。

  • 秘密度ラベルには Confidential という名前が付けられて、Secret という値を持つ Classification という名前のカスタム プロパティが作成されます。

詳細設定:

  • キー: customPropertiesByLabel

  • 値: Classification,Secret

ラベルの名前が "Confidential" の場合の PowerShell コマンドの例:

    Set-Label -Identity Confidential -AdvancedSettings @{customPropertiesByLabel="Classification,Secret"}

例 2: ラベルに複数のカスタム プロパティを追加する

同じラベルに複数のカスタム プロパティを追加するには、同じキーに複数の文字列値を定義する必要があります。

ラベルの名前が "General" で、General という値を持つ Classification という名前のカスタム プロパティと、Internal という値を持つ Sensitivity という名前の 2 つ目のカスタム プロパティを追加する PowerShell コマンドの例:

Set-Label -Identity General -AdvancedSettings @{customPropertiesByLabel=ConvertTo-Json("Classification,General", "Sensitivity,Internal")}

ラベルを構成して Outlook で S/MIME 保護を適用する

この構成では、Security & Compliance Center PowerShell を使用して構成する必要があるラベルの詳細設定が使用されます。

この設定を使用するのは、稼働中の S/MIME の展開があり、Azure Information Protection の Rights Management による保護の代わりに、ラベルによってこの保護方法を自動的にメールに適用する場合のみです。 結果として得られる保護は、ユーザーが Outlook から手動で S/MIME オプションを選択した場合と同じものです。

構成 キー/値
S/MIME デジタル署名 S/MIME デジタル署名の詳細設定を構成するには、選択したラベルに対して次の文字列を入力します。

- キー: SMimeSign

- 値: True
S/MIME 暗号化 S/MIME 暗号化の詳細設定を構成するには、選択したラベルに対して次の文字列を入力します。

- キー: SMimeEncrypt

- 値: True

ユーザーが Outlook でラベルを選択すると、構成した S/MIME 設定が適用されます。 Microsoft Purview コンプライアンス ポータルで指定できる既定の Rights Management 暗号化用にラベルも構成されている場合は、S/MIME 設定によって、Outlook でのみ Rights Management 保護が置き換えられます。 統合ラベル付けクライアントがサポートする他のアプリの場合、クライアントはコンプライアンス ポータルで指定された暗号化設定を引き続き使用します。

Outlook でのみラベルを表示する場合は、[ユーザーがアクセス許可を割り当てられるようにする][転送不可] 暗号化オプションを構成します。

ラベルの名前が "Recipients Only" の場合の PowerShell コマンドの例:

Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeSign="True"}

Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeEncrypt="True"}

親ラベルに既定のサブラベルを指定する

この構成では、Security & Compliance Center PowerShell を使用して構成する必要があるラベルの詳細設定を使用します。

ラベルにサブラベルを追加すると、ユーザーはドキュメントやメールに親ラベルを適用できなくなります。 既定では、ユーザーは親ラベルを選択して、適用できるサブラベルを確認してから、それらのサブラベルのいずれかを選択します。 この詳細設定を構成した場合は、ユーザーが親ラベルを選択すると、サブラベルが自動的に選択されて適用されます。

  • キー: DefaultSubLabelId

  • 値: <サブラベルの GUID>

親ラベルの名前が "Confidential" で、"All Employees" サブラベルの GUID が 8faca7b8-8d20-48a3-8ea2-0f96310a848e である場合の PowerShell コマンドの例:

Set-Label -Identity "Confidential" -AdvancedSettings @{DefaultSubLabelId="8faca7b8-8d20-48a3-8ea2-0f96310a848e"}

バックグラウンドでの分類の継続的実行をオンにする

この構成では、Security & Compliance Center PowerShell を使用して構成する必要があるラベルの詳細設定を使用します。

この設定を構成すると、自動の推奨されるラベルが、Azure Information Protection 統合ラベル付けクライアントによってどのようにドキュメントに適用されるかの既定の動作が変更されます。

Word、Excel、PowerPoint に対して、自動分類はバックグラウンドで継続的に実行されます。

この動作は Outlook でも変わりません。

Azure Information Protection 統合ラベル付けクライアントによって、ユーザーが指定する条件規則についての確認がドキュメントに対して定期的に行われるときには、この動作により、SharePoint または OneDrive に格納されている Office ドキュメントに対して推奨される自動の分類と保護が有効になります。 条件規則が既に実行されているため、大きなファイルもすばやく保存されます。

条件規則がユーザーの入力と同時にリアルタイムで実行されることはありません。 ドキュメントが変更された場合、バックグラウンド タスクとして定期的に実行されます。

この詳細設定を構成するには、次の文字列を入力します。

  • キー: RunPolicyInBackground
  • 値: True

PowerShell コマンドの例:

Set-LabelPolicy -Identity PolicyName -AdvancedSettings @{RunPolicyInBackground = "true"}

注意

現在、この機能はプレビュー段階にあります。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

ラベルの色を指定する

この構成では、Security & Compliance Center PowerShell を使用して構成する必要があるラベルの詳細設定が使用されます。

この詳細設定を使用して、ラベルの色を設定します。 色を指定するには、色を構成する赤、緑、青 (RGB) の要素を表わす 3 つの 16 進数コードを入力します。 たとえば、#40e0d0 は水色の RGB 16 進値です。

これらのコードについてのリファレンスが必要な場合は、MSDN Web ドキュメントの「<color>」ページに、便利な表があります。これらのコードは、画像を編集できるさまざまなアプリケーションにも用意されています。 たとえば、Microsoft ペイントでは、パレットからカスタム色を選択できます。RGB 値が自動的に表示されるので、それをコピーできます。

ラベルの色についての詳細設定を構成するには、選択したラベルに対して次の文字列を入力します。

  • キー: color

  • 値: <RGB 16 進値>

ラベルの名前が "Public" の場合の PowerShell コマンドの例:

Set-Label -Identity Public -AdvancedSettings @{color="#40e0d0"}

別のユーザーでのサイン イン

複数ユーザーのサインインは、運用環境の AIP ではサポートされていません。 この手順では、テスト目的でのみ、別のユーザーとしてサインインする方法を説明します。

現在どのアカウントでサインインしているかは、[Microsoft Azure Information Protection] ダイアログ ボックスを使用して確認できます。Office アプリケーションを開き、[ホーム] タブで [秘密度] ボタンを選択してから、[ヘルプとフィードバック] を選択します。 アカウント名が [クライアント ステータス] セクションに表示されます。

表示されるサインイン アカウントのドメイン名も必ず確認してください。 正しいアカウントでサインインしていてもドメインが間違っている、という状況は気付きにくいものです。 適切ではないアカウントが使用された場合の症状には、ラベルのダウンロードが失敗することや、必要なラベルや動作が表示されないことが含まれます。

別のユーザーとしてサインインするには:

  1. %localappdata%\Microsoft\MSIP に移動し、TokenCache ファイルを削除します。

  2. 開いている Office アプリケーションがあれば再起動し、別のユーザー アカウントでサインインします。 Office アプリケーションで、Azure Information Protection サービスへのサインインを求めるプロンプトが表示されない場合は、[Microsoft Azure Information Protection] ダイアログ ボックスに戻り、更新された [クライアント ステータス] セクションの [サインイン] を選択します。

補足:

シナリオ 説明
まだ以前のアカウントにサインインしている これらの手順の完了後、Azure Information Protection 統合ラベル付けクライアントのサインインでまだ古いアカウントが使用されている場合は、Internet Explorer からすべての Cookie を削除してから、手順 1 と 2 を繰り返します。
シングル サインオンの使用 シングル サインオンを使用する場合は、トークン ファイルを削除した後に Windows からサインアウトし、別のユーザー アカウントでサインインする必要があります。

Azure Information Protection 統合ラベル付けクライアントは、その後、現在サインインしているユーザー アカウントを使用して自動的に認証を行います。
異なるテナント このソリューションでは、同じテナントから別ユーザーとしてサインインする操作がサポートされています。 別のテナントから別のユーザーとしてサインインする操作はサポートされていません。

複数のテナントがある Azure Information Protection をテストするには、異なるコンピューターを使用します。
リセット設定 ヘルプとフィードバック[設定のリセット] オプションを使用すると、サインアウトし、Microsoft Purview コンプライアンス ポータルから現在ダウンロードされているラベルとポリシー設定を削除できます。

切断されたコンピューターのサポート

重要

切断されたコンピューターは、エクスプローラー、PowerShell、Office アプリ、スキャナーでのラベル付けシナリオでサポートされています。

既定では、Azure Information Protection統合ラベル付けクライアントは、インターネットに自動的に接続して、Microsoft Purview コンプライアンス ポータルからラベルとラベル ポリシー設定をダウンロードしようとします。

一定期間インターネットに接続できないコンピューターがある場合は、統合ラベル付けクライアントのポリシーを手動で管理するファイルをエクスポートしてコピーすることができます。

切断されたコンピューターを統合ラベル付けクライアントからサポートするには:

  1. 切断されたコンピューターで使用するラベルとポリシー設定をダウンロードするために使用する、Azure AD のユーザー アカウントを選択または作成します。

  2. このアカウントのための追加のラベル ポリシー設定として、監査データの Azure Information Protection 分析への送信をオフにします

    この手順をお勧めするのは、切断されたコンピューターが実際には断続的にインターネットに接続している場合、手順 1 のユーザー名が含まれるログ情報が Azure Information Protection 分析に送信されるためです。 そのユーザー アカウントは、切断されたコンピューターで使用中のローカル アカウントとは異なる可能性があります。

  3. 統合ラベル付けクライアントがインストールされていて、手順 1 のユーザー アカウントを使用してサインインしている、インターネット接続があるコンピューターから、ラベルとポリシー設定をダウンロードします。

  4. このコンピューターからログ ファイルをエクスポートします。

    たとえば、Export-AIPLogs コマンドレットを実行するか、クライアントの [ヘルプとフィードバック] ダイアログ ボックスから [ログのエクスポート] オプションを使用します。

    ログ ファイルは、1 つの圧縮ファイルとしてエクスポートされます。

  5. 圧縮ファイルを開き、MSIP フォルダーから、ファイル名拡張子が .xml であるすべてのファイルをコピーします。

  6. これらのファイルを、切断されたコンピューターの %localappdata%\Microsoft\MSIP フォルダーに貼り付けます。

  7. 選択したユーザー アカウントが、通常はインターネットに接続している場合は、 EnableAudit の値を True に設定して、監査データの送信を再度有効にします。

このコンピューターのユーザーが、[ヘルプとフィードバック][設定のリセット] オプションを選択した場合、この操作によってポリシー ファイルが削除され、ファイルを手動で置き換えるか、クライアントがインターネットに接続してファイルをダウンロードするまで、クライアントは動作できなくなります。

切断されたコンピューターで Azure Information Protection スキャナーが実行されている場合は、追加の構成手順を実行する必要があります。 詳細については、スキャナーの配置に関する手順の「制限: スキャナー サーバーをインターネットに接続できない」を参照してください。

ローカルのログ記録レベルを変更する

既定では、Azure Information Protection 統合ラベル付けクライアントのクライアント ログ ファイルは、%localappdata%\Microsoft\MSIP フォルダーに書き込まれます。 これらのファイルは、Microsoft サポートによるトラブルシューティングを目的としています。

これらのファイルのログ記録レベルを変更するには、レジストリで次の値の名前を見つけて、値のデータを必要なログ記録レベルに設定します。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\LogLevel

ログ記録レベルに次の値のいずれかを設定します。

  • Off: ローカルのログ記録なし。

  • Error: エラーのみ。

  • Warn: エラーと警告。

  • Info: 最小限のログ記録。イベント ID は含まれません (スキャナーの既定の設定)。

  • Debug: 完全な情報。

  • Trace: 詳細なログ記録 (クライアントの既定の設定)。

このレジストリ設定では、中央レポートのために Azure Information Protection に送信される情報は変更されません。

ファイル属性に応じてスキャン中にファイルをスキップまたは無視する

この構成では、Security & Compliance Center PowerShell を使用して構成する必要があるポリシーの詳細設定が使用されます。

Azure Information Protection 統合ラベル付けスキャナーでは、既定では関連するすべてのファイルをスキャンします。 ただし、アーカイブされたファイルや移動されたファイルなど、スキップする特定のファイルを定義することもできます。

ScannerFSAttributesToSkip 詳細設定を使用して、ファイル属性に基づいて、スキャナーで特定のファイルをスキップできるようにします。 設定値には、すべてが true に設定されているときにファイルをスキップできるようにするファイル属性を列挙します。 ファイル属性のこの一覧では、AND ロジックが使用されます。

次の PowerShell サンプル コマンドは、"Global" という名前のラベルを指定してこの詳細設定を使用する方法を示しています。

読み取り専用とアーカイブ済みの両方のファイルをスキップする

Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE"}

読み取り専用またはアーカイブ済みのいずれかであるファイルをスキップする

OR ロジックを使用するには、同じプロパティを複数回実行します。 次に例を示します。

Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_ARCHIVE"}

ヒント

スキャナーで、以下の属性を持つファイルをスキップできるようにすることを検討するようお勧めします。

  • FILE_ATTRIBUTE_SYSTEM
  • FILE_ATTRIBUTE_HIDDEN
  • FILE_ATTRIBUTE_DEVICE
  • FILE_ATTRIBUTE_OFFLINE
  • FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS
  • FILE_ATTRIBUTE_RECALL_ON_OPEN
  • FILE_ATTRIBUTE_TEMPORARY

ScannerFSAttributesToSkip 詳細設定で定義できるすべてのファイル属性の一覧については、Win32 のファイル属性定数に関するページを参照してください

ラベル付け中に NTFS 所有者を保持する (パブリック プレビュー)

この構成では、Security & Compliance Center PowerShell を使用して構成する必要があるポリシーの詳細設定が使用されます。

既定では、スキャナー、PowerShell、およびエクスプローラーの拡張子のラベル付けでは、ラベル付けの前に定義された NTFS 所有者が保持されません。

NTFS 所有者の値が保持されるようにするには、選択したラベル ポリシーの UseCopyAndPreserveNTFSOwner 詳細設定を true に設定します。

注意事項

この詳細設定を定義するのは、スキャナーとスキャンされるリポジトリの間に、低遅延で信頼性が高いネットワーク接続を確保できる場合だけにしてください。 ラベル付けの自動処理中にネットワーク エラーが発生すると、ファイルが失われる可能性があります。

ラベル ポリシーの名前が "Global" の場合の PowerShell サンプル コマンド:

Set-LabelPolicy -Identity Global -AdvancedSettings @{UseCopyAndPreserveNTFSOwner ="true"}

注意

現在、この機能はプレビュー段階にあります。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

変更したラベルの理由プロンプトのテキストをカスタマイズする

エンド ユーザーがドキュメントやメールの分類ラベルを変更すると Office と AIP クライアントの両方に表示される理由プロンプトをカスタマイズします。

たとえば管理者は、このフィールドに顧客の識別情報を追加しないよう、ユーザーに通知することもできます。

カスタマイズされた理由のプロンプト テキスト

表示される既定の [その他] のテキストを変更するには、Set-LabelPolicy コマンドレットで JustificationTextForUserText 詳細プロパティを使用します。 その値を、代わりに使用するテキストに設定します。

ラベル ポリシーの名前が "Global" の場合の PowerShell サンプル コマンド:

Set-LabelPolicy -Identity Global -AdvancedSettings @{JustificationTextForUserText="Other (please explain) - Do not enter sensitive info"}

Outlook のポップアップ メッセージをカスタマイズする

AIP 管理者は、Outlook でエンド ユーザーに表示される、次のようなポップアップ メッセージをカスタマイズできます。

  • ブロックされたメール用のメッセージ
  • ユーザーに、送信しようとしている内容の確認することを求める警告メッセージ
  • ユーザーに、送信しようとしている内容を正当だと理由付けることを要求する理由メッセージ

重要

この手順では、OutlookUnlabeledCollaborationAction 詳細プロパティを使用して、定義済みのすべての設定をオーバーライドします。

運用環境では、OutlookUnlabeledCollaborationAction 詳細プロパティを使用してルールを定義するか、下で定義しているように json ファイルを使用して複雑なルールを定義するか、"いずれか" の方法で、複雑にならないようにすることをお勧めします。

Outlook のポップアップ メッセージをカスタマイズするには:

  1. Outlook でユーザーにポップアップ メッセージを表示する方法を構成するルールをそれぞれに含めて、.json ファイルを作成します。 詳細については、「ルール値の .json 構文」と「ポップアップ カスタマイズの .json サンプル コード」を参照してください。

  2. PowerShell を使用して、構成中のポップアップ メッセージを制御する詳細設定を定義します。 構成するルールごとに、別個のコマンドのセットを実行します。

    PowerShell コマンドの各セットには、構成しているポリシーの名前のほか、キーと、ルールを定義する値を含める必要があります。

    使用する構文は以下のとおりです。

    $filedata = Get-Content "<Path to json file>"
    Set-LabelPolicy -Identity <Policy name> -AdvancedSettings @{<Key> ="$filedata"}
    

    各値の説明:

    • <Path to json file> は、作成した json ファイルへのパスです。 例: C:\Users\msanchez\Desktop\ \dlp\OutlookCollaborationRule_1.json

    • <Policy name> は、構成するポリシーの名前です。

    • <Key> は、ルールの名前です。 次の構文を使用します。ここで <#> は、ルールのシリアル番号です。

      OutlookCollaborationRule_<#>

    詳細については、「Outlook カスタマイズ ルールの順序付け」と「ルール値の .json 構文」を参照してください。

ヒント

さらに整理する場合は、PowerShell コマンドで使用したキーと同じ文字列を使用してファイルに名前を付けます。 たとえば、ファイルに OutlookCollaborationRule_1.json という名前を付けたら、キーとしても OutlookCollaborationRule_1 を使用します。

Outlook の外部から共有されている場合 ([ファイル] > [共有] > [コピーの添付]) でもポップアップが確実に表示されるように、PostponeMandatoryBeforeSave 詳細設定も構成します。

Outlook カスタマイズ ルールの順序付け

AIP では、ユーザーが入力したキーのシリアル番号を使用して、ルールが処理される順序を決定します。 各ルールで使用するキーを定義するときには、より小さい数字を指定して制限の厳しいルールを定義し、その後、より大きい数字を指定して制限の少ないルールを定義します。

特定のルールの一致が見つかると、AIP によってルールの処理が停止され、一致しているルールに関連付けられているアクションが実行されます。 (最初の一致 - > 終了ロジック)

:

特定の Warning メッセージが含まれるすべての Internal メールを構成しますが、通常、それらをブロックする必要はないとします。 ただし、Internal メールとしてであっても、Secret と分類されている添付ファイルをユーザーが送信することはブロックする必要があります。

このシナリオでは、より具体的なルールであるシークレットのブロック ルール キーは、より汎用のルールである内部に関して警告ルール キーの前の順序にします。

  • ブロック メッセージの場合: OutlookCollaborationRule_1
  • 警告 メッセージの場合: OutlookCollaborationRule_2

ルール値の .json 構文

ルールの json 構文は、次のように定義します。

"type" : "And",
"nodes" : []

少なくとも 2 つのノードが必要です。最初がルールの条件を表し、最後がルールのアクションを表します。 詳細については、次を参照してください。

ルールの条件の構文

ルールの条件のノードには、ノード型と、条件そのものが含まれている必要があります。

サポートされているノード型は以下のとおりです。

ノード型 説明
And すべての子ノードに対して And を実行します
Or すべての子ノードに対して Or を実行します
Not 自身の子に対して Not を実行します
Except 自身の子に対しては Notを返し、それが All として動作するようにします。
SentTo、その後に Domains: listOfDomains 以下のいずれかを調べます。
- 親が Except である場合、受信者すべて (All) がいずれかのドメイン内にいるかどうかを調べます
- 親が Except 以外の何かである場合、受信者すべて (All) がいずれかのドメイン内にいるかどうかを調べます。
EMailLabel、その後にラベル 次のいずれか:
- ラベル ID
- null (ラベルが付けられていない場合)
AttachmentLabel、その後に Label およびサポートされている Extensions (拡張子) 次のいずれか:

true:
- 親が Except である場合、サポートされている拡張子の 1 つを持つすべての (All) 添付ファイルがラベル内に存在するかどうかを調べます
- 親が Except 以外の何かである場合、サポートされている拡張子の 1 つを持つ任意の (Any) 添付ファイルがラベル内に存在するかどうかを調べます
- ラベルが付けられていない場合は、label = null です

false: 他のすべての場合

: Extensions プロパティが空であるか存在しない場合、サポートされているファイルの種類 (拡張子) すべてがルールに含められます。

ルールのアクションの構文

ルールのアクションは、以下のいずれかです。

アクション 構文 サンプル メッセージ
ブロック Block (List<language, [title, body]>) "メールがブロックされました"

"Secret として分類されているコンテンツを 1 人以上の信頼されていない受信者に送信しようとしています":
rsinclair@contoso.com

組織のポリシーでは、このアクションは許可されていません。 これらの受信者を削除するか、コンテンツを置換することを検討してください。
警告 Warn (List<language,[title,body]>) "確認が必要です"

"General として分類されているコンテンツを 1 人以上の信頼されていない受信者に送信しようとしています":
rsinclair@contoso.com

"組織のポリシーによれば、このコンテンツを送信する場合には確認が必要です。"
理由の入力 Justify (numOfOptions, hasFreeTextOption, List<language, [Title, body, options1,options2….]> )

最大 3 つのオプションを含めることができます。
"理由が必要です"

"組織のポリシーによれば、General として分類されているコンテンツを信頼されていない受信者に送信するには、理由が必要です。"

- "受信者がこのコンテンツの共有を承認されていることを確認しました"
- "このコンテンツの共有を上司が承認しました"
- "その他、説明のとおり"
アクションのパラメーター

アクションに対してパラメーターが指定されていない場合、ポップアップには既定のテキストが表示されます。

すべてのテキストで、以下の動的パラメーターがサポートされています。

パラメーター 説明
${MatchedRecipientsList} SentTo 条件の最後の一致
${MatchedLabelName} ポリシーからから取得されるローカライズされた名前を持つメール/添付ファイルの Label
${MatchedAttachmentName} AttachmentLabel 条件の最後の一致から取得される添付ファイルの名前

注意

すべてのメッセージには、[詳細の表示] オプションと、[ヘルプ] および [フィードバック] のダイアログが含まれます。

Language は、ロケール名を表す、英語 = en-usスペイン語 = es-es などの CultureName です

en のみのように、親だけの言語名もサポートされています。

ポップアップ カスタマイズの .json サンプル コード

次の一連の .json コードは、Outlook でユーザーにポップアップ メッセージを表示する方法を制御するさまざまなルールを、どのように定義できるかを示しています。

例 1: 内部メールや添付ファイルをブロックする

次の .json コードでは、Internal に分類されているメールや添付ファイルが、外部の受信者に対して設定されることをブロックします。

この例では、89a453df-5df4-4976-8191-259d0cf9560aInternal ラベルの ID であり、内部ドメインには contoso.commicrosoft.com が含まれています。

特定の拡張子が指定されていないため、サポートされているすべてのファイルの種類が含められます。

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "Except" , 			
            "node" :{ 				
                "type" : "SentTo",  				
                "Domains" : [  					
                    "contoso.com", 					
			  "microsoft.com"
                ]   			
            } 		
        },
		{ 			
            "type" : "Or", 			
            "nodes" : [ 				
                { 			
					"type" : "AttachmentLabel", 			
					"LabelId" : "89a453df-5df4-4976-8191-259d0cf9560a" 		
				},{ 					
                    "type" : "EmailLabel", 					
                    "LabelId" : "89a453df-5df4-4976-8191-259d0cf9560a" 				
                }
			]
		},		
        { 			
            "type" : "Block", 			
            "LocalizationData": { 				
                "en-us": { 				  
                    "Title": "Email Blocked", 				  
                    "Body": "The email or at least one of the attachments is classified as <Bold>${MatchedLabelName}</Bold>. Documents classified as <Bold> ${MatchedLabelName}</Bold> cannot be sent to external recipients (${MatchedRecipientsList}).<br><br>List of attachments classified as <Bold>${MatchedLabelName}</Bold>:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance with classification requirements as per Contoso's policies." 				
                }, 				
                "es-es": { 				  
                    "Title": "Correo electrónico bloqueado", 				  
                    "Body": "El correo electrónico o al menos uno de los archivos adjuntos se clasifica como <Bold> ${MatchedLabelName}</Bold>." 				
                } 			
            }, 			
            "DefaultLanguage": "en-us" 		
        } 	
    ] 
}

例 2: 未分類の Office 添付ファイルをブロックする

次の .json コードでは、未分類の Office 添付ファイルやメールが外部の受信者に送信されることをブロックします。

次の例でラベル付けが必要な添付ファイルの一覧は次のとおりです。.doc、.docm、.docx、.dot、.dotm、.dotx、.potm、.potx、.pps、.ppsm、.ppsx、.ppt、.pptm、.pptx、.vdw、.vsd、.vsdm、.vsdx、.vss、.vssm、.vst、vstm、.vssx、.vstx、.xls、.xlsb、xlt、.xlsm、.xlsx、.xltm、.xltx

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "Except" , 			
            "node" :{ 				
                "type" : "SentTo",  				
                "Domains" : [  					
                    "contoso.com", 					
			        "microsoft.com"
                ]   			
            } 		
        },
		{ 			
            "type" : "Or", 			
            "nodes" : [ 				
                { 			
					"type" : "AttachmentLabel",
					 "LabelId" : null,
					"Extensions": [
									".doc",
									".docm",
									".docx",
									".dot",
									".dotm",
									".dotx",
									".potm",
									".potx",
									".pps",
									".ppsm",
									".ppsx",
									".ppt",
									".pptm",
									".pptx",
									".vdw",
									".vsd",
									".vsdm",
									".vsdx",
									".vss",
									".vssm",
									".vst",
									".vstm",
									".vssx",
									".vstx",
									".xls",
									".xlsb",
									".xlt",
									".xlsm",
									".xlsx",
									".xltm",
									".xltx"
								 ]
					
				},{ 					
                    "type" : "EmailLabel",
					 "LabelId" : null
                }
			]
		},		
        { 			
            "type" : "Block", 			
            "LocalizationData": { 				
                "en-us": { 				  
                    "Title": "Emailed Blocked", 				  
                    "Body": "Classification is necessary for attachments to be sent to external recipients.<br><br>List of attachments that are not classified:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance to classification requirement as per Contoso's policies.<br><br>For MS Office documents, classify and send again.<br><br>For PDF files, classify the document or classify the email (using the most restrictive classification level of any single attachment or the email content) and send again." 				
                }, 				
                "es-es": { 				  
                    "Title": "Correo electrónico bloqueado", 				  
                    "Body": "La clasificación es necesaria para que los archivos adjuntos se envíen a destinatarios externos." 				
                } 			
            }, 			
            "DefaultLanguage": "en-us" 		
        } 	
    ] 
}

例 3: 社外秘のメールまたは添付ファイルの送信を受け入れるようユーザーに要求する

次の例では、社外の受信者に Confidential のメールや添付ファイルを送信しようとしていることをユーザーに警告するメッセージを、Outlook に表示させています。また、ユーザーが [同意する] を選択することも要求しています。

この種の警告メッセージは、ユーザーが [同意する] を選択する必要があるため、厳密には理由だと考えられます。

特定の拡張子が指定されていないため、サポートされているすべてのファイルの種類が含められます。

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "Except" , 			
            "node" :{ 				
                "type" : "SentTo",  				
                "Domains" : [  					
                    "contoso.com", 					
			        "microsoft.com"
                ]   			
            } 		
        },
		{ 			
            "type" : "Or", 			
            "nodes" : [ 				
                { 			
					"type" : "AttachmentLabel", 			
					"LabelId" : "3acd2acc-2072-48b1-80c8-4da23e245613" 		
				},{ 					
                    "type" : "EmailLabel", 					
                    "LabelId" : "3acd2acc-2072-48b1-80c8-4da23e245613" 				
                }
			]
		},		
        { 			
            "type" : "Justify", 			
            "LocalizationData": { 				
                "en-us": { 				  
                    "Title": "Warning", 				  
                    "Body": "You are sending a document that is classified as <Bold>${MatchedLabelName}</Bold> to at least one external recipient. Please make sure that the content is correctly classified and that the recipients are entitled to receive this document.<br><br>List of attachments classified as <Bold>${MatchedLabelName}</Bold>:<br><br>${MatchedAttachmentName}<br><br><Bold>List of external email addresses:</Bold><br>${MatchedRecipientsList})<br><br>You are responsible for ensuring compliance to classification requirement as per Contoso's policies.<br><br><Bold>Acknowledgement</Bold><br>By clicking <Bold>I accept</Bold> below, you confirm that the recipient is entitled to receive the content and the communication complies with CS Policies and Standards",
					"Options": [ 						
                        "I accept"			    
                    ] 
                }, 				
                "es-es": { 				  
                    "Title": "Advertencia", 				  
                    "Body": "Está enviando un documento clasificado como <Bold>${MatchedLabelName}</Bold> a al menos un destinatario externo. Asegúrese de que el contenido esté correctamente clasificado y que los destinatarios tengan derecho a recibir este documento.",
                    "Options": [ 						
                        "Acepto"				    
                    ] 					
                } 			
            }, 			
            "HasFreeTextOption":"false", 			
            "DefaultLanguage": "en-us" 		
        } 	
    ] 
}

例 4: 特定のラベルを持つ添付ファイルがある、ラベルのないメールについて警告する

次の .json コード では、特定のラベルを持つ添付ファイルがあり、ラベルがない内部メールを送信しようとしているときに、Outlook からユーザーに警告させます。

この例では、bcbef25a-c4db-446b-9496-1b558d9edd0e が添付ファイルのラベルの ID であり、ルールは .docx、.xlsx、および .pptx ファイルに適用されます。

既定では、ラベルが付いている添付ファイルがあるメールは、同じラベルを自動的に受け取りません。

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "EmailLabel",
					 "LabelId" : null			
        },
        {
          "type": "AttachmentLabel",
          "LabelId": "bcbef25a-c4db-446b-9496-1b558d9edd0e",
          "Extensions": [
                ".docx",
                ".xlsx",
                ".pptx"
             ]
        },
	{  			
            "type" : "SentTo",  			
            "Domains" : [  				
                "contoso.com", 				
            ]   		
        }, 		
        { 			
            "type" : "Warn"	
        } 	
    ] 
}

例 5: 2 つの定義済みオプションと追加の自由記載オプションを使用して、理由の入力を促す

次の .json コードでは、ユーザーにアクションの理由の入力を求めるプロンプトを、Outlook に表示させています。 理由テキストには、2 つの定義済みオプションのほか、3 つ目の自由記載オプションが含まれています。

特定の拡張子が指定されていないため、サポートされているすべてのファイルの種類が含められます。

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "Except" , 			
            "node" :{ 				
                "type" : "SentTo",  				
                "Domains" : [  					
                    "contoso.com", 									
                ]   			
            } 		
        }, 		
        { 			
            "type" : "EmailLabel", 			
            "LabelId" : "34b8beec-40df-4219-9dd4-553e1c8904c1" 		
        }, 		
        { 			
            "type" : "Justify", 			
            "LocalizationData": { 				
                "en-us": { 					
                    "Title": "Justification Required", 					
                    "Body": "Your organization policy requires justification for you to send content classified as <Bold> ${MatchedLabelName}</Bold>,to untrusted recipients:<br>Recipients are: ${MatchedRecipientsList}", 					
                    "Options": [ 						
                        "I confirm the recipients are approved for sharing this content", 					
                        "My manager approved sharing of this content", 						
                        "Other, as explained" 				    
                    ] 				
                }, 				
                "es-es": { 				    
                    "Title": "Justificación necesaria", 				    
                    "Body": "La política de su organización requiere una justificación para que envíe contenido clasificado como <Bold> ${MatchedLabelName}</Bold> a destinatarios que no sean de confianza.", 				    
                    "Options": [ 						
                        "Confirmo que los destinatarios están aprobados para compartir este contenido.",
                        "Mi gerente aprobó compartir este contenido",
                        "Otro, como se explicó" 					
                    ] 				
                } 			
            }, 			
            "HasFreeTextOption":"true", 			
            "DefaultLanguage": "en-us" 		
        } 	
    ] 
}

SharePoint タイムアウトを構成する

既定では、SharePoint との相互作用のタイムアウトは 2 分です。その後、試みられた AIP 操作は失敗します。

バージョン 2.8.85.0 以降、AIP 管理者は、以下の詳細プロパティを使用してこのタイムアウトを制御し、hh:mm:ss の構文を使用してタイムアウトを定義することができます。

  • SharepointWebRequestTimeout. SharePoint に対するすべての AIP Web 要求のタイムアウトを指定します。 既定値:は 2 分です。

    たとえば、ポリシーの名前が Global である場合、次の PowerShell サンプル コマンドを実行すると、Web 要求のタイムアウトが 5 分に更新されます。

    Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointWebRequestTimeout="00:05:00"}
    
  • SharepointFileWebRequestTimeout. AIP Web 要求を介して、SharePoint ファイル専用のタイムアウトを指定します。 既定値は 15 分です

    たとえば、ポリシーの名前が Global である場合、次の PowerShell サンプル コマンドを実行すると、ファイル Web 要求のタイムアウトは 10 分に更新されます。

    Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointFileWebRequestTimeout="00:10:00"}
    

SharePoint でスキャナーのタイムアウトを回避する

SharePoint バージョン 2013 以降に長いファイル パスがある場合は、SharePoint サーバーの httpRuntime.maxUrlLength 値が、既定の 260 文字より大きいことを確認してください。

この値は、ASP.NET 構成の HttpRuntimeSection クラスで定義します。

HttpRuntimeSection クラスを更新するには:

  1. お使いの web.config 構成をバックアップします。

  2. 必要に応じて maxUrlLength の値を更新します。 たとえば、次のように入力します。

    <httpRuntime maxRequestLength="51200" requestValidationMode="2.0" maxUrlLength="5000"  />
    
  3. SharePoint Web サーバーを再起動して、それが正しく読み込まれることを確認します。

    たとえば、Windows インターネット インフォメーション サーバー (IIS) マネージャーでサイトを選択してから、[Web サイトの管理][再起動] を選択します。

S/MIME メール使用時の Outlook のパフォーマンスの問題を防止する

S/MIME メールが閲覧ウィンドウで開かれているときに、Outlook でパフォーマンスの問題が発生することがあります。 これらの問題を防止するには、OutlookSkipSmimeOnReadingPaneEnabled 詳細プロパティを有効にします。

このプロパティを有効にすると、AIP バーとメール分類が閲覧ウィンドウに表示されなくなります。

たとえば、ポリシーの名前が Global である場合、次の PowerShell サンプル コマンドを実行すると、OutlookSkipSmimeOnReadingPaneEnabled プロパティが有効になります。

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookSkipSmimeOnReadingPaneEnabled="true"}

ドキュメント追跡機能をオフにする

既定では、ドキュメント追跡機能はテナントに対して有効になっています。 組織やリージョンのプライバシー要件のためなど、それらをオフにするには、EnableTrackAndRevoke の値を False に設定します。

オフにすると、組織ではドキュメント追跡データを使用できなくなり、ユーザーの Office アプリには [取り消し] メニュー オプションが表示されなくなります。

選択したラベル ポリシーについて、次の文字列を指定します。

  • キー: EnableTrackAndRevoke

  • 値: False

ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableTrackAndRevoke="False"}

この値を False に設定すると、追跡と取り消しは次のようにオフになります。

  • 保護されたドキュメントを AIP 統合ラベル付けクライアントで開いても、追跡と取り消しのためにドキュメントが登録されなくなります。
  • エンド ユーザーの Office アプリに [取り消し] メニュー オプション表示されなくなります。

ただし、既に追跡のために登録されている保護されたドキュメントは引き続き追跡され、管理者は引き続き、PowerShell からアクセスを取り消すことができます。 追跡と取り消しの機能を完全にオフにするには、Disable-AipServiceDocumentTrackingFeature コマンドレットも実行します。

この構成では、Security & Compliance Center PowerShell を使用して構成する必要があるポリシーの詳細設定を使用します。

ヒント

追跡と取り消しをもう一度有効にするには、EnableTrackAndRevokeTrue に設定し、Enable-AipServiceDocumentTrackingFeature コマンドレットも実行します。

Office アプリのエンド ユーザー用の [取り消し] オプションをオフにする

エンド ユーザーが自分の Office アプリで、保護されたドキュメントへのアクセスを取り消す機能を使用することを望まない場合は、Office アプリから [アクセスの取り消し] オプションを削除できます。

注意

[アクセスの取り消し] オプションを削除しても、保護されたドキュメントはバックグラウンドで追跡され続け、管理者が PowerShell を介してドキュメントへのアクセスを取り消す機能は維持されます。

選択したラベル ポリシーについて、次の文字列を指定します。

  • キー: EnableRevokeGuiSupport

  • 値: False

ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableRevokeGuiSupport="False"}

Office ファイルに対するファイルの自動ラベル付けタイムアウトを構成する

既定では、Office ファイルに対するスキャナーの自動ラベル付けタイムアウトは 3 秒です。

多数のシートや行が含まれる複雑な Excel ファイルがある場合は、自動的にラベルを適用するには 3 秒では不十分な可能性があります。 選択したラベル ポリシーに対してこのタイムアウトを長くするには、次の文字列を指定します。

  • キー: OfficeContentExtractionTimeout

  • 値: 秒数。hh:mm:ss の形式で指定します。

重要

このタイムアウトは、15 秒より長く設定しないことをお勧めします。

ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OfficeContentExtractionTimeout="00:00:15"}

更新されたタイムアウトは、すべての Office ファイルの自動ラベル付けに適用されます。

分類グローバリゼーション機能を有効にする (パブリック プレビュー)

分類グローバリゼーション機能には、東アジア言語の精度の向上や、2 バイト文字のサポートが含まれています。 これらの機能強化は 64 ビット プロセス用にのみ提供され、既定ではオフになっています。

ポリシーに対してこれらの機能を有効にするには、次の文字列を指定します。

  • キー: EnableGlobalization

  • 値: True

ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableGlobalization="True"}

サポートを再度オフにし、既定値に戻すには、EnableGlobalization 詳細設定を空の文字列に設定します。

次の手順

これで Azure Information Protection 統合ラベル付けクライアントのカスタマイズを終えました。このクライアントをサポートするために必要になる場合がある追加の情報については、以下のリソースを参照してください。