管理者ガイド: Azure Information Protection 統合ラベル付けクライアントのカスタム構成
Note
Microsoft Purview Information Protection をお探しですか? (以前の Microsoft Information Protection (MIP))
Azure Information Protection アドインは廃止され、Microsoft 365 アプリとサービスに組み込まれているラベルに置き換えられています。 詳細については、「他の Azure Information Protection コンポーネントのサポート状況」を参照してください。
新しい Microsoft Information Protection クライアント (アドインなし) は現在プレビュー段階であり、一般提供が予定されています。
AIP 統合ラベル付けクライアントを管理する際に特定のシナリオまたはユーザーで必要な詳細構成については、次の情報を使用してください。
Note
これらの設定には、レジストリの編集または詳細設定の指定が必要です。 詳細設定では、セキュリティ&コンプライアンス センター PowerShell を使用します。
PowerShell を使用したクライアントの詳細設定の構成
Microsoft Purview セキュリティ & コンプライアンス PowerShell を使用して、ラベル ポリシーとラベルをカスタマイズするための詳細設定を構成します。
どちらの場合も、 Security & Compliance PowerShellに接続した後、AdvancedSettingsパラメータに、ポリシーまたはラベルのID(名前またはGUID)を、ハッシュテーブル内のキー/値ペアで指定します。
詳細設定を削除するには、同じ AdvancedSettings パラメーター構文を使用しますが、null 文字列値を指定します。
重要
文字列値で空白を使用しないでください。 これらの文字列値に空白の文字列があると、ラベルが適用されなくなります。
詳細については、以下を参照してください:
ラベル ポリシーの詳細設定の構文
ラベル ポリシーの詳細設定の例として、Office アプリの Information Protection バーを表示する設定があります。
文字列値が 1 つの場合は、次の構文を使用します。
Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key="value1,value2"}
同じキーに文字列値が複数ある場合は、次の構文を使用します。
Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}
ラベルの詳細設定の構文
ラベルの詳細設定の例として、ラベルの色を指定する設定があります。
文字列値が 1 つの場合は、次の構文を使用します。
Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key="value1,value2"}
同じキーに文字列値が複数ある場合は、次の構文を使用します。
Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}
現在の詳細設定の確認
現在有効になっている詳細設定を確認するには、次のコマンドを実行します。
ラベル ポリシーの詳細設定を確認するには、次の構文を使用します。
Global という名前のラベル ポリシーの場合:
(Get-LabelPolicy -Identity Global).settings
ラベルの詳細設定を確認するには、次の構文を使用します。
Public という名前のラベルの場合:
(Get-Label -Identity Public).settings
詳細設定の設定例
例 1: ラベル ポリシーの詳細設定で 1 つの文字列値を設定する:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}
例 2: ラベルの詳細設定で 1 つの文字列値を設定する:
Set-Label -Identity Internal -AdvancedSettings @{smimesign="true"}
例 3: ラベルの詳細設定で複数の文字列値を設定する:
Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}
例 4: 文字列として null 値を指定してラベル ポリシーの詳細設定を削除する:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions=""}
ラベル ポリシーまたはラベル ID の指定
PowerShell Identity パラメータのラベル ポリシー名を見つけることは、Microsoft Purview コンプライアンス ポータルに 1 つのポリシー名しかないため、簡単です。
しかし、Microsoft Purviewコンプライアンスポータルでは、ラベルの場合、名前と表示名の両方の値が表示されます。 状況によっては、これらの値は同じになりますが、異なる場合があります。 ラベルの詳細設定を構成するには、[名前] の値を使用します。
たとえば、次の図でラベルを識別するには、PowerShell コマンドで次の構文を使用します: -Identity "All Company":
![秘密度ラベルを識別するには、[表示名] ではなく [名前] を使用します](../media/labelname_scc.png)
GUIDというラベルを指定したい場合、この値はMicrosoft Purviewコンプライアンスポータルに表示されません。 次のように、Get-Label コマンドを使用してこの値を見つけます。
Get-Label | Format-Table -Property DisplayName, Name, Guid
ラベル付けの名前と表示名の詳細については、次を参照してください。
[名前] は、ラベルの元の名前で、すべてのラベルで一意です。
後でラベル名を変更した場合でも、この値は変わりません。 Azure Information Protection から移行された機密度ラベルの場合、Azure portal からの元のラベル ID が表示されることがあります。
[表示名] は、現在ユーザーに表示されているラベル名で、すべてのラベルで一意である必要はありません。
たとえば、[社外秘] ラベルのサブラベルの表示名が [すべての従業員] で、[非常に機密性の高い社外秘] ラベルのサブラベルの表示名も [すべての従業員] の場合があります。 これらのサブラベルの両方に同じ名前が表示されますが、同じラベルではなく、設定が異なります。
優先順位 - 競合する設定の解決方法
Microsoft Purview コンプライアンスポータルを使用して、次のラベルポリシー設定を構成できます:
このラベルを既定でドキュメントと電子メールに適用する
ラベルまたは下位分類ラベルを削除する場合、ユーザーは理由を提供する必要がある
電子メールまたはドキュメントへのラベルの適用をユーザーに要求する
カスタムヘルプページへのリンクをユーザーに提供する
ユーザーに対して複数のラベルポリシーが設定され、それぞれが異なるポリシー設定を持つ可能性がある場合、Microsoft Purview コンプライアンスポータルのポリシーの順序に従って、最後のポリシー設定が適用されます。 詳細については、ラベル ポリシーの優先度 (順序が重要) に関するページを参照してください
ラベル ポリシーの詳細設定は、同じロジックを使用し、最後のポリシー設定を使用して適用されます。
詳細設定の参考資料
次のセクションでは、ラベル ポリシーとラベルに使用できる詳細設定を示します。
機能別の詳細設定の参考資料
次のセクションでは、このページに記載されている詳細設定を製品や機能の統合別に示します。
ラベル ポリシーの詳細設定の参考資料
AdvancedSettings パラメーターを New-LabelPolicy と Set-LabelPolicy と共に使用して、次の設定を定義します。
ラベルの詳細設定の参考資料
New-Label と Set-Label と共に、AdvancedSettings パラメーターを使用します。
| 設定 | シナリオと指示 |
|---|---|
| color | ラベルの色を指定する |
| customPropertiesByLabel | ラベルが適用されたときにカスタム プロパティを適用する |
| DefaultSubLabelId | 親ラベルの既定のサブラベルを指定する |
| labelByCustomProperties | Secure Islands からのラベルの移行と、その他のラベル付けのソリューション |
| SMimeEncrypt | Outlook で S/MIME 保護を適用するためのラベルを構成する |
| SMimeSign | Outlook で S/MIME 保護を適用するためのラベルを構成する |
エクスプローラーで [分類して保護する] メニュー オプションを非表示にする
Windows エクスプローラーの [分類と保護] メニュー オプションを非表示にするには、次の DWORD 値の名前 (任意の値のデータを使用) を作成します。
HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisable
詳細については、「エクスプローラーを使用してファイルを分類する」を参照してください。
Office アプリの Information Protection バーを表示します
この構成では、Security & Compliance Center PowerShellを使用して構成する必要があるポリシー 詳細設定 を使用します。
規定では、ユーザーは [秘密度] ボタンから [バーの表示] オプションを選択して Office アプリの Information Protection バーを表示する必要があります。 HideBarByDefault キーを使用して、値を False に設定すると、このバーは自動的にユーザーに表示され、ユーザーはバーまたはボタンからラベルを選択できるようになります。
選択したラベル ポリシーについて、次の文字列を指定します。
キー: HideBarByDefault
値: False
ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{HideBarByDefault="False"}
必須のラベル付けから Outlook メッセージを除外する
この構成では、Security & Compliance Center PowerShellを使用して構成する必要があるポリシー 詳細設定 を使用します。
既定では、ラベル ポリシー設定の [すべてのドキュメントとメールにラベルを付ける] を有効にした場合、保存されるドキュメントと送信されるメールには、すべてラベルを適用する必要があります。 次の詳細設定を構成すると、ポリシー設定は Office ドキュメントにのみ適用され、Outlook メッセージには適用されません。
選択したラベル ポリシーについて、次の文字列を指定します。
キー: DisableMandatoryInOutlook
値: True
ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{DisableMandatoryInOutlook="True"}
Outlook で推奨分類を有効にする
この構成では、Security & Compliance Center PowerShellを使用して構成する必要があるポリシー 詳細設定 を使用します。
推奨分類のラベルを設定すると、Word、Excel、PowerPointでは、推奨ラベルを受け入れるかどうかをユーザーに尋ねるプロンプトが表示されます。 この設定により、この推奨ラベルがOutlookにも表示されるようになります。
選択したラベル ポリシーについて、次の文字列を指定します。
キー: OutlookRecommendationEnabled
値: True
ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookRecommendationEnabled="True"}
圧縮されたファイルからの保護の削除を有効にする
この構成では、Security & Compliance Center PowerShellを使用して構成する必要があるポリシー 詳細設定 を使用します。
この設定を構成すると、PowerShell コマンドレットの Set-AIPFileLabel が有効になり、PST、rar、7zip ファイルからの保護を削除できるようになります。
キー: EnableContainerSupport
値: True
ポリシーが有効になっている PowerShell コマンドの例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableContainerSupport="True"}
Outlook に別の既定ラベルを設定する
この構成では、Security & Compliance Center PowerShellを使用して構成する必要があるポリシー 詳細設定 を使用します。
この設定を構成すると、Outlook では、[既定でこのラベルをドキュメントとメールに適用する] オプションのポリシー設定として構成されている既定のラベルが適用されません。 代わりに、Outlookは別のデフォルトラベルを適用することも、ラベルを適用しないこともできる。
選択したラベル ポリシーについて、次の文字列を指定します。
キー: OutlookDefaultLabel
値: <ラベル GUID> または None
ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookDefaultLabel="None"}
保護するファイルの種類を変更する
これらの構成は、Security & Compliance Center PowerShellを使用して構成する必要があるポリシー 詳細設定 を使用します。
既定では、Azure Information Protection の統合されたラベル付けクライアントはすべてのファイルの種類を保護します。クライアントのスキャナーは、Office ファイルの種類と PDF ファイルのみを保護します。
次のいずれかを指定することで、選択したラベル ポリシーのこの既定の動作を変更できます。
PFileSupportedExtension
キー: PFileSupportedExtensions
値: <文字列値>
次の表を使用して、指定する文字列値を特定します。
| 文字列値 | クライアント | スキャナー |
|---|---|---|
| * | 既定値: すべてのファイルの種類に保護が適用されます。 | すべてのファイルの種類に保護が適用されます。 |
| ConvertTo-Json(".jpg", ".png") | Office ファイルの種類と PDF ファイルに加えて、指定したファイル名拡張子に保護が適応されます。 | Office ファイルの種類と PDF ファイルに加えて、指定したファイル名拡張子に保護が適応されます。 |
例 1: すべてのファイルの種類を保護するためのスキャナーの PowerShell コマンド (ラベル ポリシーの名前は "Scanner"):
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}
例 2: Office ファイルと PDF ファイルに加えて .txt ファイルと .csv ファイルを保護するためのスキャナーの PowerShell コマンド (ラベル ポリシーの名前は "Scanner"):
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".txt", ".csv")}
この設定では、保護するファイルの種類を変更できますが、既定の保護レベルをネイティブから汎用に変更することはできません。 たとえば、統合ラベル付けクライアントを実行しているユーザーの場合、既定の設定を変更して、すべてのファイルの種類ではなく、Office ファイルと PDF ファイルのみを保護することができます。 ただし、これらのファイルの種類は、.pfile ファイル名拡張子で一般的に保護するように変更することはできません。
AdditionalPPrefixExtensions
統合ラベル付けクライアントでは、AdditionalPPrefixExtensions 詳細プロパティを使った、<EXT>.PFILE から P<EXT> への変更がサポートされています。 この詳細プロパティは、エクスプローラー、PowerShell、スキャナーでサポートされています。 すべてのアプリに同様の動作が備わっています。
キー: AdditionalPPrefixExtensions
値: <文字列値>
次の表を使用して、指定する文字列値を特定します。
| 文字列値 | クライアントとスキャナー |
|---|---|
| * | すべての PFile 拡張子が P<EXT> になります。 |
| <null 値> | 既定値は、既定の保護値と同様に動作します。 |
| ConvertTo-Json(".dwg", ".zip") | 前述のリストに加えて、".dwg" と ".zip" が P<EXT> になります。 |
この設定では、次の拡張子 ".txt"、".xml"、".bmp"、".jt"、".jpg"、".jpeg"、".jpe"、".jif"、".jfif"、".jfi"、".png"、".tif"、".tiff"、".gif" は常に P<EXT> になります。 重要な例外として、"ptxt" は "txt.pfile" にはなりません。
AdditionalPPrefixExtensions は、PFiles の詳細プロパティ PFileSupportedExtension の保護が有効になっている場合にのみ機能します。
例 1: 保護された ".dwg" が ".dwg.pfile" になる既定の動作のように動作する PowerShell コマンド:
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =""}
例 2: ファイルが保護されている場合に、すべての PFile 拡張子を汎用的な保護 (dwg.pfile) からネイティブ保護 (.pdwg) に変更する PowerShell コマンド:
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions ="*"}
例 3: このファイル保護のサービスを使用している場合に、".dwg" を ".pdwg" に変更する PowerShell コマンド:
Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =ConvertTo-Json(".dwg")}
必須のラベル付けを使用するときにドキュメントの "後で" を削除する
この構成では、Security & Compliance Center PowerShellを使用して構成する必要があるポリシー 詳細設定 を使用します。
[すべてのドキュメントとメールにラベルを付ける] のラベル ポリシー設定を使うと、ユーザーが Office ドキュメントを初めて保存するとき、および Outlook からメールを送信するときに、ラベルの選択が求められます。
ドキュメントの場合、ユーザーはNot nowを選択することで、ラベルを選択するプロンプトを一時的に解除し、ドキュメントに戻ることができる。 しかし、ラベルを貼らずに保存した文書を閉じることはできない。
PostponeMandatoryBeforeSave 設定を構成すると、[後で] オプションが削除され、ユーザーはドキュメントを初めて保存するときにラベルを選択する必要があります。
ヒント
PostponeMandatoryBeforeSave 設定では、共有ドキュメントがメールで送信される前にラベル付けされるよう保証されます。
既定では、ポリシーで [すべてのドキュメントとメールにラベルを付ける] を有効にした場合でも、ユーザーは Outlook 内からメールに添付されたファイルへのラベル付けのみが求められます。
選択したラベル ポリシーについて、次の文字列を指定します。
キー: PostponeMandatoryBeforeSave
値: False
ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{PostponeMandatoryBeforeSave="False"}
他のラベル付けソリューションからヘッダーとフッターを削除する
この構成では、Security & Compliance Center PowerShellを使用して構成する必要があるポリシー 詳細設定 を使用します。
他のラベル付けソリューションから分類を削除するには、次の 2 つの方法があります。
| 設定 | 説明 |
|---|---|
| WordShapeNameToRemove | WordShapeNameToRemove 詳細プロパティで定義されている名前と図形名が一致する図形を Word ドキュメントから削除します。 詳細については、「WordShapeNameToRemove 詳細プロパティを使用する」を参照してください。 |
| RemoveExternalContentMarkingInApp ExternalContentMarkingToRemove |
テキストベースのヘッダーまたはフッターを Word、Excel、PowerPoint ドキュメントから削除または置換できます。 その他の情報については、次を参照してください。 - RemoveExternalContentMarkingInApp 詳細プロパティを使用する - ExternalContentMarkingToRemove を構成する方法 |
WordShapeNameToRemove 詳細プロパティを使用する
WordShapeNameToRemove 詳細プロパティは、バージョン 2.6.101.0 以降でサポートされています。
この設定を使用すると、別のラベル付けソリューションによって視覚的なマーキングが適用されている場合に、Word ドキュメントから図形ベースのラベルを削除または置換できます。 たとえば、新しいラベル名と独自の図形を使用するために秘密度ラベルに移行した、前のラベル名を含む図形などです。
この詳細プロパティを使用するには、Word ドキュメントで図形名を見つけて、その後 WordShapeNameToRemove 詳細プロパティの図形リストで定義する必要があります。 サービスでは、この詳細プロパティの図形リストで定義された名前で始まるいかなる図形も Word 内から削除されます。
無視したいテキストを含んだ図形の削除を回避するには、削除するすべての図形の名前を定義して、すべての図形のテキストをチェックしないようにします。これは、リソースを集中的に消費するプロセスです。
Note
Microsoft Word では、図形名を定義するか、テキストで図形を削除できますが、両方で削除することはできません。 WordShapeNameToRemove プロパティが定義されている場合、ExternalContentMarkingToRemove 値で定義された構成はすべて無視されます。
使用している図形の名前を検索し、例外とする方法は次の通りです。
Word で [ホーム] タブ >[編集] グループ >[選択] オプション >[オブジェクトの選択と表示] の順に選択し、[選択] ウィンドウを表示します。
削除用にマークするページ上の図形を選択します。 マークした図形の名前が、[選択] ウィンドウで強調表示されます。
図形の名前を使用して、WordShapeNameToRemove キーの文字列値を指定します。
例: 図形の名前は dc です。 この名前のシェイプを削除するには、値を指定する: dc。
キー: WordShapeNameToRemove
値: <Word の図形の名前>
ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{WordShapeNameToRemove="dc"}
複数の Word の図形を削除する場合は、削除する図形の数だけ値を指定します。
RemoveExternalContentMarkingInApp 詳細プロパティを使用する
この設定では、その視覚的なマーキングが別のラベル付けソリューションによって適用されている場合に、テキストベースのヘッダーまたはフッターをドキュメントから削除したり置き換えたりできるようになります。 たとえば、新しいラベル名と独自のフッターを使用するために秘密度ラベルに移行した、前のラベル名を含む以前のフッターなどです。
統合ラベル付けクライアントのポリシーにこの構成が使用されると、Office アプリでドキュメントを開き、いずれかの秘密度ラベルがドキュメントに適用されたときに、前のヘッダーとフッターは削除または置換されます。
この設定はOutlookではサポートされておらず、Word、Excel、PowerPointで使用すると、ユーザーにとってこれらのアプリのパフォーマンスに悪影響を及ぼす可能性があることに注意してください。 例えば、ワード・ドキュメントのヘッダーとフッターのテキストは検索するが、エクセルのスプレッドシートやパワーポイントのプレゼンテーションは検索しない、といった具合だ。
パターン マッチングはユーザーのパフォーマンスに影響するため、Office アプリケーションの種類 (Word、EXcel、PowerPoint) は検索を必要とするもののみに制限することをお勧めします。 選択したラベル ポリシーについて、次の文字列を指定します。
キー: RemoveExternalContentMarkingInApp
値: <Office アプリケーションの種類 WXP>
例 :
Word 文書のみを検索するには、W を指定します。
Word 文書および PowerPoint プレゼンテーションを検索するには、WP を指定します。
ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInApp="WX"}
次に、ヘッダーまたはフッターの内容と、それらを削除または置換する方法を指定するには、少なくとも 1 つの詳細なクライアント設定 ExternalContentMarkingToRemove が必要です。
ExternalContentMarkingToRemove を構成する方法
ExternalContentMarkingToRemove キーに文字列値を指定するときには、正規表現を使用する 3 つのオプションがあります。 これらのシナリオごとに、次の表の [値の例] 列に示されている構文を使用します。
| オプション | 例の説明 | 例値 |
|---|---|---|
| ヘッダーまたはフッターのすべてを削除する部分一致 | ヘッダーまたはフッターに TEXT TO REMOVE という文字列が含まれ、これらのヘッダーまたはフッターを完全に削除する場合。 | *TEXT* |
| ヘッダーまたはフッターの特定の単語のみを削除する完全一致 | ヘッダーまたはフッターに TEXT TO REMOVE という文字列が含まれ、TEXT という単語のみを削除し、ヘッダーまたはフッターの文字列を TO REMOVE として残したい場合。 | TEXT |
| ヘッダーまたはフッターのすべてを削除する完全一致 | ヘッダーまたはフッターに TEXT TO REMOVE という文字列が含まれている場合。 まさにこの文字列を含むヘッダーまたはフッターを削除したいとします。 | ^TEXT TO REMOVE$ |
指定した文字列のパターン マッチングでは、大文字と小文字は区別されません。 文字列の最大長は 255 文字で、空白を含めることはできません。
ドキュメントによっては、目に見えない文字やさまざまな種類のスペースやタブが含まれる場合があるため、語句や文に指定した文字列が検出されない場合があります。 可能な限り、値に単一の識別語を指定し、実稼働環境にデプロイする前に必ず結果をテストしてください。
同じラベル ポリシーについて、次の文字列を指定します。
キー: ExternalContentMarkingToRemove
値: <正規表現として定義された一致する文字列>
ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove="*TEXT*"}
詳細については、以下を参照してください:
複数行のヘッダーまたはフッター
ヘッダーまたはフッターのテキストが複数行にわたる場合は、各行にキーと値を作成します。 たとえば、2 行にわたる次のフッターがあるとします。
ファイルは機密として分類されています
ラベルを手動で適用
この複数行のフッターを削除するには、同じラベル ポリシーに対して次の 2 つのエントリを作成します。
- キー: ExternalContentMarkingToRemove
- キーの値 1: *Confidential*
- キーの値 2: *Label applied*
ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove=ConvertTo-Json("Confidential","Label applied")}
PowerPoint の最適化
PowerPoint では、ヘッダーとフッターは図形として実装されます。 msoTextBox、msoTextEffect、msoPlaceholder、および msoAutoShape の図形の種類では、次の詳細設定によって追加の最適化が提供されます。
また、PowerPointRemoveAllShapesByShapeName で、図形の名前に基づいた任意の図形の種類を削除できます。
詳細については、「ヘッダーまたはフッターとして使用している図形の名前を検索する」のセクションを参照してください。
指定したテキストを含む、ヘッダー/フッターでない図形を PowerPoint から削除されないようにする
指定したテキストを含む、ヘッダーまたはフッターでない図形が削除されるのを防ぐには、PowerPointShapeNameToRemove という名前の、追加のクライアントの詳細設定を使用します。
また、リソースを大量に消費するプロセスであるすべての図形内のテキストのチェックを避けるために、この設定を使用することをお勧めします。
この追加の詳細なクライアント設定を指定せず、PowerPoint が RemoveExternalContentMarkingInApp キー値に含まれている場合、すべての図形で ExternalContentMarkingToRemove 値に指定したテキストがチェックされます。
この値が指定されている場合は、図形名の条件を満たし、ExternalContentMarkingToRemove によって提供された文字列と一致するテキストを含む図形のみが削除されます。
次に例を示します。
Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}
外部のマーキング削除をカスタム レイアウトに拡張する
この構成では、Security & Compliance Center PowerShellを使用して構成する必要があるポリシー 詳細設定 を使用します。
既定では、外部コンテンツのマーキングを削除するために使用されるロジックは、PowerPoint で構成されたカスタム レイアウトを無視します。 このロジックをカスタム レイアウトに拡張するには、RemoveExternalMarkingFromCustomLayouts 詳細プロパティを True に設定します。
キー: RemoveExternalMarkingFromCustomLayouts
値: True
ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalMarkingFromCustomLayouts="True"}
特定の図形名のすべての図形を削除する
PowerPoint カスタム レイアウトを使用して、ヘッダーとフッターから特定の図形名のすべての図形を削除する場合は、PowerPointRemoveAllShapesByShapeName 詳細設定を削除したい図形の名前と共に使用します。
PowerPointRemoveAllShapesByShapeName 設定を使用すると、図形内のテキストは無視され、代わりに図形の名前を使用して、削除する図形が識別されます。
次に例を示します。
Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointRemoveAllShapesByShapeName="Arrow: Right"}
詳細については、以下を参照してください:
ヘッダーまたはフッターとして使用している図形の名前を検索する
PowerPoint の [選択] ウィンドウを表示します ([書式] タブ >[配置] グループ >[選択ウィンドウ])。
ヘッダーまたはフッターを含むスライド上の図形を選択します。 選択した図形の名前が [選択] ペインで強調表示されます。
図形の名前を使用して、PowerPointShapeNameToRemove キーの文字列値を指定します。
例: 図形の名前は fc です。 この名前のシェイプを削除するには、値を指定する: fc。
キー: PowerPointShapeNameToRemove
値: <PowerPoint shape name>
ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}
複数の PowerPoint 図形を削除する場合は、削除する図形の数だけ値を指定します。
デフォルトでは、マスター スライドのみのヘッダーとフッターがチェックされます。 この検索をすべてのスライドに拡張するには、これはリソースを大幅に消費するプロセスですが、RemoveExternalContentMarkingInAllSlides という名前の追加の詳細クライアント設定を使用します。
キー: RemoveExternalContentMarkingInAllSlides
値: True
ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInAllSlides="True"}
PowerPoint でカスタム レイアウトから外部コンテンツのマーキングを削除する
この構成では、Security & Compliance Center PowerShellを使用して構成する必要があるポリシー 詳細設定 を使用します。
既定では、外部コンテンツのマーキングを削除するために使用されるロジックは、PowerPoint で構成されたカスタム レイアウトを無視します。 このロジックをカスタム レイアウトに拡張するには、RemoveExternalMarkingFromCustomLayouts 詳細プロパティを True に設定します。
キー: RemoveExternalMarkingFromCustomLayouts
値: True
ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalMarkingFromCustomLayouts="True"}
エクスプローラーでカスタム アクセス許可を無効にする
この構成では、Security & Compliance Center PowerShellを使用して構成する必要があるポリシー 詳細設定 を使用します。
既定では、ユーザーがエクスプローラーで右クリックして [分類と保護] を選択すると、[カスタム アクセス許可で保護する] というオプションが表示されます。 このオプションでは、ラベルの構成で指定している可能性があるいかなる保護設定もオーバーライドする、独自の保護設定を設定できます。 ユーザーには、保護を削除するオプションも表示されます。 この設定を構成すると、ユーザーにはこれらのオプションが表示されません。
この詳細設定を構成するには、選択したラベル ポリシーに対して次の文字列を入力します。
キー: EnableCustomPermissions
値: False
ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}
カスタムパーミッションで保護されたファイルの場合、ファイルエクスプローラーでユーザーに対して常にカスタムパーミッションを表示する
この構成では、Security & Compliance Center PowerShellを使用して構成する必要があるポリシー 詳細設定 を使用します。
エクスプローラーでカスタム アクセス許可を無効にするようクライアントの詳細設定を構成した場合、既定では、ユーザーは保護されたドキュメントで既に設定されているカスタム アクセス許可を表示または変更できません。
ただし、このシナリオでは、別のクライアント詳細設定を指定することができます。ユーザーはエクスプローラーを使用してファイルを右クリックすると、保護されたドキュメントのカスタム アクセス許可を表示および変更できます。
この詳細設定を構成するには、選択したラベル ポリシーに対して次の文字列を入力します。
キー: EnableCustomPermissionsForCustomProtectedFiles
値: True
PowerShell コマンドの例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissionsForCustomProtectedFiles="True"}
添付ファイルのある電子メール メッセージの場合、その添付ファイルの最上位の分類と一致するラベルを適用します
この構成では、Security & Compliance Center PowerShellを使用して構成する必要があるポリシー 詳細設定 を使用します。
この設定は、ユーザーがラベル付きドキュメントをメールに添付するときに、メール メッセージ自体にはラベルを付けない場合に使用します。 このシナリオでは、添付ファイルに適用される分類ラベルに基づいて、ラベルが自動的に選択されます。 最上位の分類ラベルが選択されます。
添付ファイルは物理ファイルである必要があり、ファイルへのリンク (たとえば、Microsoft SharePoint または OneDrive 上のファイルへのリンク) はできません。
この設定を 推奨 に構成すると、選択したラベルを電子メール メッセージに適用するようユーザーに求められます。 ユーザーは、ラベルを適用せずに推奨を受け入れるか、却下することができます。 または、この設定を 自動 に構成することもできます。この場合、選択したラベルが自動的に適用されますが、ユーザーは電子メールを送信する前にラベルを削除したり、別のラベルを選択したりできます。 どちらのシナリオでも、カスタマイズされたメッセージがサポートされています。
Note
最上位の分類ラベルを持つ添付ファイルが、ユーザー定義のアクセス許可の設定を使用して保護するように構成されている場合は、次のようになります。
- ラベルのユーザー定義のアクセス許可に Outlook (転送不可) が含まれる場合、メールにそのラベルが選択され、転送不可保護も適用されます。
- ラベルのユーザー定義のアクセス許可が Word、Excel、PowerPoint、エクスプローラーのみを対象とする場合、そのラベルはメール メッセージに適用されず、保護も適用されません。
この詳細設定を構成するには、選択したラベル ポリシーに対して次の文字列を入力します。
キー 1: AttachmentAction
キー値 1: 推奨または自動
キー 2 (オプション): AttachmentActionTip
キー値 2: "<カスタマイズされたヒント>"
オプションのカスタマイズされたツールチップは、単一の言語のみをサポートします。 この設定が指定されていない場合、次のメッセージがユーザーに表示されます。
- 推奨メッセージ: この電子メールには、<ラベル名>というラベルを付けることをお勧めします。
- 自動メッセージ: このメールには自動的に <ラベル名>というラベルが付けられました
ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{AttachmentAction="Automatic"}
ユーザー向けの "問題の報告" を追加する
この構成では、Security & Compliance Center PowerShellを使用して構成する必要があるポリシー 詳細設定 を使用します。
次の詳細なクライアント設定を指定すると、ユーザーには [ヘルプとフィードバック] クライアント ダイアログ ボックスから選択できる [問題を報告] オプションが表示されます。 リンクのHTTP文字列を指定します。 たとえば、ユーザーが問題を報告するためのカスタマイズされた Web ページや、ヘルプ デスクに送信する電子メール アドレスなどです。
この詳細設定を構成するには、選択したラベル ポリシーに対して次の文字列を入力します。
キー: ReportAnIssueLink
値: <HTTP 文字列>
Web サイトの値の例: https://support.contoso.com
電子メールアドレスの値の例: mailto:helpdesk@contoso.com
ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{ReportAnIssueLink="mailto:helpdesk@contoso.com"}
Outlook で、送信される電子メールに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装する
この構成では、Security & Compliance Center PowerShellを使用して構成する必要があるポリシー 詳細設定 を使用します。
次のクライアントの詳細設定を作成して構成すると、Outlook にポップアップ メッセージが表示され、電子メールを送信する前に警告したり、電子メールを送信する理由の説明を求めたり、次のいずれかの理由で電子メールを送信できなくなったりすることがあります。 次のシナリオのいずれかです。
電子メールまたは電子メールの添付ファイルには、次のようなラベルが付いています。
- 添付ファイルはどのような種類のファイルでもかまいません
メールまたはメールの添付ファイルに次のラベルがありません。
- 添付ファイルは Office ドキュメントまたは PDF ドキュメントです
これらの条件を満たすと、次のいずれかのアクションを示すポップアップ メッセージがユーザーに表示されます。
| 型 | 説明 |
|---|---|
| 警告 | ユーザーは確認して送信またはキャンセルすることができます。 |
| Justify | ユーザーは理由 (定義済みのオプションまたは自由形式) の入力を求められます。その後、ユーザーは電子メールを送信またはキャンセルできます。 理由テキストは、他のシステム (データ損失防止 (DLP) サービスなど) で読み取ることができるように、電子メールの X ヘッダーに書き込まれます。 |
| ブロック | この状態が続くと、ユーザーはメールを送信できなくなります。 メッセージには電子メールをブロックした理由が含まれているため、ユーザーは問題に対処できます。 たとえば、特定の受信者を削除したり、電子メールにラベルを付けたりします。 |
特定のラベルについてのポップアップ メッセージでは、ドメイン名で受信者の例外を構成できます。
これらの設定を構成する方法の詳細な例については、技術コミュニティ ブログ「AIP UL クライアントの Outlook ポップアップ メッセージのカスタマイズ」を参照してください。
ヒント
Outlook の外部から共有されている場合 ([ファイル] > [共有] > [コピーの添付]) でもポップアップが確実に表示されるように、PostponeMandatoryBeforeSave 詳細設定も構成します。
詳細については、以下を参照してください:
- 特定のラベルに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装するには
- ラベルのない電子メールまたは添付ファイルに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装するには
特定のラベルに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装するには
選択したポリシーで次のキーを使用して、次の 1 つ以上の詳細設定を作成します。 値については、1 つ以上のラベルの GUID をそれぞれコンマで区切って指定します。
コンマ区切り文字列としての複数のラベル GUID の値の例:
dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813f
| Message type (メッセージの種類) | キー/値 |
|---|---|
| 警告 | キー: OutlookWarnUntrustedCollaborationLabel 値: <コンマ区切りのラベル GUID> |
| Justify | キー: OutlookJustifyUntrustedCollaborationLabel 値: <コンマ区切りのラベル GUID> |
| ブロック | キー: OutlookBlockUntrustedCollaborationLabel 値: <コンマ区切りのラベル GUID> |
ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookWarnUntrustedCollaborationLabel="8faca7b8-8d20-48a3-8ea2-0f96310a848e,b6d21387-5d34-4dc8-90ae-049453cec5cf,bb48a6cb-44a8-49c3-9102-2d2b017dcead,74591a94-1e0e-4b5d-b947-62b70fc0f53a,6c375a97-2b9b-4ccd-9c5b-e24e4fd67f73"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyUntrustedCollaborationLabel="dc284177-b2ac-4c96-8d78-e3e1e960318f,d8bb73c3-399d-41c2-a08a-6f0642766e31,750e87d4-0e91-4367-be44-c9c24c9103b4,32133e19-ccbd-4ff1-9254-3a6464bf89fd,74348570-5f32-4df9-8a6b-e6259b74085b,3e8d34df-e004-45b5-ae3d-efdc4731df24"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockUntrustedCollaborationLabel="0eb351a6-0c2d-4c1d-a5f6-caa80c9bdeec,40e82af6-5dad-45ea-9c6a-6fe6d4f1626b"}
さらにカスタマイズするために、特定のラベル用に構成されたポップアップ メッセージのドメイン名を除外することもできます。
Note
このセクションの詳細設定 (OutlookWarnUntrustedCollaborationLabel、OutlookJustifyUntrustedCollaborationLabel、OutlookBlockUntrustedCollaborationLabel) は、特定のラベルが使用されている場合に使用されます。
ラベル付けされていないコンテンツに既定のポップアップ メッセージを実装するには、OutlookUnlabeledCollaborationAction 詳細設定を使用します。 ラベル付けされていないコンテンツのポップアップ メッセージをカスタマイズするには、.json ファイルを使用して詳細設定を定義します。
詳細については、Outlook ポップアップ メッセージのカスタマイズに関するページを参照してください。
ヒント
ブロック メッセージが必要に応じて表示されるようにするには、Outlook 配布リスト内にある受信者にも、EnableOutlookDistributionListExpansion 詳細設定を追加してください。
特定のラベル用に構成されたポップアップ メッセージのドメイン名を除外するには
これらのポップアップ メッセージで指定したラベルについては、特定のドメイン名を除外して、そのドメイン名がメール アドレスに含まれている受信者のメッセージがユーザーに表示されないようにすることができます。 この場合、電子メールは中断されることなく送信されます。 複数のドメインを指定するには、それらをカンマで区切って単一の文字列として追加します。
一般的な構成では、組織の外部にいる受信者、または組織の認定パートナーではない受信者にのみポップアップ メッセージを表示します。 この場合、組織とパートナーが使用するすべての電子メール ドメインを指定します。
同じラベル ポリシーで次のクライアントの詳細設定を作成し、値として 1 つ以上のドメインをそれぞれコンマで区切って指定します。
カンマ区切り文字列としての複数のドメインの値の例: contoso.com,fabrikam.com,litware.com
| Message type (メッセージの種類) | キー/値 |
|---|---|
| 警告 | キー: OutlookWarnTrustedDomains 値: <ドメイン名、カンマ区切り> |
| Justify | キー: OutlookJustifyTrustedDomains 値: <ドメイン名、カンマ区切り> |
| ブロック | キー: OutlookBlockTrustedDomains 値: <ドメイン名、カンマ区切り> |
たとえば、[社外秘\すべての従業員] ラベルについて OutlookBlockUntrustedCollaborationLabel 詳細クライアント設定を指定したとします。
次に、contoso.com を使用して OutlookBlockTrustedDomains の追加の詳細クライアント設定を指定します。 その結果、ユーザーは、[社外秘\すべての従業員] というラベルが付いているときにメールを john@sales.contoso.com に送信できますが、同じラベルが付いたメールの Gmail アカウントへの送信はブロックされます。
ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockTrustedDomains="contoso.com"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyTrustedDomains="contoso.com,fabrikam.com,litware.com"}
Note
ブロック メッセージが必要に応じて表示されるようにするには、Outlook 配布リスト内にある受信者にも、EnableOutlookDistributionListExpansion 詳細設定を追加してください。
ラベルのない電子メールまたは添付ファイルに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装するには
同じラベル ポリシーで次のいずれかの値を使用して、次のクライアント詳細設定を作成します。
| Message type (メッセージの種類) | キー/値 |
|---|---|
| 警告 | キー: OutlookUnlabeledCollaborationAction 値: 警告 |
| Justify | キー: OutlookUnlabeledCollaborationAction 値: 理由の入力 |
| ブロック | キー: OutlookUnlabeledCollaborationAction 値: ブロック |
| これらのメッセージをオフにする | キー: OutlookUnlabeledCollaborationAction 値: オフ |
ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationAction="Warn"}
さらにカスタマイズする場合は、以下を参照してください。
- ラベルのないメールの添付ファイルについて、警告、理由の入力、またはブロックのポップアップ メッセージの特定のファイル名拡張子を定義するには
- 添付ファイルのないメール メッセージに対して別のアクションを指定するには
- Outlook ポップアップメッセージをカスタマイズする
ラベルのないメールの添付ファイルについて、警告、理由の入力、またはブロックのポップアップ メッセージの特定のファイル名拡張子を定義するには
既定では、警告、理由の入力、またはブロックのポップアップ メッセージは、すべての Office ドキュメントと PDF ドキュメントに適用されます。 この一覧を調整するには、追加の詳細設定とファイル名拡張子のコンマ区切りの一覧を使用して、警告、理由の入力、ブロックのメッセージを表示するファイル名拡張子を指定します。
コンマ区切りの文字列として定義する複数のファイル名拡張子の値の例は、.XLSX,.XLSM,.XLS,.XLTX,.XLTM,.DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTM です
この例では、ラベル付けされていない PDF ドキュメントでは、警告、理由の入力、またはブロックのポップアップ メッセージは表示されません。
同じラベル ポリシーについて、次の文字列を入力します。
キー: OutlookOverrideUnlabeledCollaborationExtensions
値: <コンマ区切りの、メッセージを表示するファイル名拡張子>
ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookOverrideUnlabeledCollaborationExtensions=".PPTX,.PPTM,.PPT,.PPTX,.PPTM"}
添付ファイルのないメール メッセージに対して別のアクションを指定するには
既定では、警告、理由の入力、またはブロックのポップアップ メッセージを表示するために OutlookUnlabeledCollaborationAction に指定する値は、ラベルのないメールまたは添付ファイルに適用されます。
この構成を調整するには、添付ファイルのないメール メッセージに対して、別の詳細設定を指定します。
次のいずれかの値を使用して、次の詳細なクライアント設定を作成します。
| Message type (メッセージの種類) | キー/値 |
|---|---|
| 警告 | キー: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior 値: 警告 |
| Justify | キー: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior 値: 理由の入力 |
| ブロック | キー: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior 値: ブロック |
| これらのメッセージをオフにする | キー: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior 値: オフ |
このクライアント設定を指定しない場合は、OutlookUnlabeledCollaborationAction に指定した値が、添付ファイルのないラベル付けされていないメール メッセージと、添付ファイルを含むラベル付けされていないメール メッセージに使用されます。
ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior="Warn"}
電子メール受信者を検索するときに Outlook の配布リストを展開する
この構成では、Security & Compliance Center PowerShellを使用して構成する必要があるポリシー 詳細設定 を使用します。
他の詳細設定から Outlook 配布リスト内の受信者にサポートを拡張するには、EnableOutlookDistributionListExpansion 詳細設定を True に設定します。
- キー: EnableOutlookDistributionListExpansion
- 値: true
たとえば、OutlookBlockTrustedDomains、OutlookBlockUntrustedCollaborationLabel 詳細設定を構成した後に、EnableOutlookDistributionListExpansion 設定も構成した場合は、Outlook で配布リストが展開され、ブロック メッセージが必要に応じて表示されていることが確認されます。
配布リストを展開する既定のタイムアウトは 2000 ミリ秒です。
このタイムアウトを変更するには、選択したポリシーで次の詳細設定を作成します。
- キー: OutlookGetEmailAddressesTimeOutMSProperty
- 値: 整数 (ミリ秒単位)
ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{
EnableOutlookDistributionListExpansion="true"
OutlookGetEmailAddressesTimeOutMSProperty="3000"
}
監査データが AIP と Microsoft 365 に送信されるのを防ぐ
既定では、Azure Information Protection 統合ラベル付けクライアントで中央レポートがサポートされ、その監査データが次の場所に送信されます。
- Azure Information Protection 分析 (Log Analytics ワークスペースを構成した場合)
- Microsoft 365 (アクティビティ エクスプローラーに表示可能)
監査データが送信されないように、この動作を変更する場合は、次の手順に従います。
セキュリティ& コンプライアンス センター PowerShell を使用して、次のポリシー 詳細設定を追加します。
キー: EnableAudit
値: False
たとえば、ラベル ポリシーの名前が "Global" の場合は、次のようになります。
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableAudit="False"}Note
既定では、この詳細設定はポリシーに存在せず、監査ログが送信されます。
すべての Azure Information Protection クライアント コンピューターで、%localappdata%\Microsoft\MSIP\mip フォルダーを削除します。
クライアントが監査ログ データを再送信できるようにするには、詳細設定の値を True に変更します。 クライアント コンピューターで %localappdata%\Microsoft\MSIP\mip フォルダーを手動で再度作成する必要はありません。
情報の種類の一致を Azure Information Protection 分析に送信する
この構成では、Security & Compliance Center PowerShellを使用して構成する必要があるポリシー 詳細設定 を使用します。
既定では、統合ラベル付けクライアントから Azure Information Protection 分析に、機密情報の種類のコンテンツの一致は送信されません。 このような送信可能な追加情報の詳細については、中央レポートのドキュメントから詳細な分析のためのコンテンツの一致に関するセクションを参照してください。
機密情報の種類の送信時にコンテンツの一致を送信するには、ラベル ポリシーで次の詳細クライアント設定を作成します。
キー: LogMatchedContent
値: True
ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{LogMatchedContent="True"}
CPU 使用量を制限する
スキャナー バージョン 2.7.x.x 以降では、次の ScannerMaxCPU と ScannerMinCPU 詳細設定を使用して CPU 消費量を制限することをお勧めします。
重要
次のスレッド制限ポリシーが使用されている場合は、ScannerMaxCPU と ScannerMinCPU 詳細設定が無視されます。 ScannerMaxCPU と ScannerMinCPU 詳細設定を使用して CPU 消費量を制限するには、スレッド数を制限するポリシーの使用を取り消します。
この構成では、Security & Compliance Center PowerShellを使用して構成する必要があるポリシー 詳細設定 を使用します。
スキャナー マシンで CPU 消費量を制限するには、次の 2 つの詳細設定を作成することで管理できます。
ScannerMaxCPU:
既定では 100 に設定されます。つまり、CPU の最大消費量に制限はありません。 この場合、スキャナー プロセスでは、使用可能なすべての CPU 時間を使用してスキャン レートの最大化が試みられます。
ScannerMaxCPU を 100 未満に設定した場合は、過去 30 分間の CPU 消費量がスキャナーで監視されます。 平均 CPU が設定した制限を超えた場合は、新しいファイルに割り当てられたスレッドの数が減少し始めます。
スレッド数の制限は、CPU 消費量が ScannerMaxCPU に設定されている制限を超えている限り、継続されます。
ScannerMinCPU:
ScannerMaxCPU が 100 と等しくない場合にのみチェックされ、ScannerMaxCPU 値よりも大きい数値に設定することはできません。 ScannerMinCPU は、ScannerMaxCPU の値よりも少なくとも 15 ポイント低く設定することをお勧めします。
既定では 50 に設定されます。つまり、この値よりも低い場合に過去 30 分間の CPU 消費量が発生した場合は、CPU 消費量が ScannerMaxCPU-15 に設定したレベルに達するまで、より多くのファイルを並列でスキャンする新しいスレッドの追加がスキャナーで開始されます。
スキャナーで使用されるスレッドの数を制限する
重要
次のスレッド制限ポリシーが使用されている場合は、ScannerMaxCPU と ScannerMinCPU 詳細設定が無視されます。 ScannerMaxCPU と ScannerMinCPU 詳細設定を使用して CPU 消費量を制限するには、スレッド数を制限するポリシーの使用を取り消します。
この構成では、Security & Compliance Center PowerShellを使用して構成する必要があるポリシー 詳細設定 を使用します。
デフォルトでは、スキャナーは、スキャナー サービスを実行しているコンピューター上で利用可能なすべてのプロセッサ リソースを使用します。 このサービスのスキャン中に CPU 使用量を制限する必要がある場合は、ラベル ポリシーで次の詳細設定を作成します。
値には、スキャナーが並行して実行できる同時スレッドの数を指定します。 スキャナーはスキャンするファイルごとに個別のスレッドを使用するため、この調整構成により、並行してスキャンできるファイルの数も定義されます。
最初にテスト用の値を構成するときは、コアごとに 2 を指定し、結果を監視することをお勧めします。 たとえば、4 コアを備えたコンピューターでスキャナーを実行する場合は、最初に値を 8 に設定します。 必要に応じて、スキャナ コンピュータに必要なパフォーマンスとスキャン速度に応じて、その数値を増減します。
キー: ScannerConcurrencyLevel
値: <同時スレッドの数>
ラベル ポリシーの名前が "Scanner" の場合の PowerShell コマンドの例:
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{ScannerConcurrencyLevel="8"}
Secure Islands からのラベルの移行と、その他のラベル付けのソリューション
この構成では、Security & Compliance Center PowerShellを使用して構成する必要があるラベル 詳細設定 を使用します。
この構成には、ファイル名拡張子が ppdf の保護された PDF ファイルとの互換性がありません。 これらのファイルは、クライアントでエクスプローラーまたは PowerShell を使用して開くことができません。
Secure Islands でラベル付けされた Office ドキュメントの場合、定義したマッピングを使用して、秘密度ラベルでラベル付けし直すことができます。 また、ラベルが Office ドキュメント上にある場合、この方法を使用して、他のソリューションのラベルを再利用することもできます。
この構成オプションの結果として、新しい秘密度ラベルは、Azure Information Protection 統合ラベル付けクライアントで次のように適用されます。
Office ドキュメントの場合: デスクトップ アプリでドキュメントを開くと、新しい秘密度ラベルが設定されたことが表示され、ドキュメントを保存すると適用されます。
PowerShell の場合: Set-AIPFileLabel と Set-AIPFileClassificiation で新しい秘密度ラベルを適用できます。
エクスプローラーの場合: [Azure Information Protection] ダイアログボックスで新しい秘密度ラベルが表示されますが、設定されていません。
この構成では、古いラベルにマップする秘密度ラベルごとに、labelByCustomProperties という名前の詳細設定を指定する必要があります。 次に、各エントリに対して、次の構文を使用して値を設定します。
[migration rule name],[Secure Islands custom property name],[Secure Islands metadata Regex value]
選択した移行ルール名を指定します。 以前のラベル付けソリューションから秘密度ラベルに、1 つ以上のラベルをマップする方法を特定するのに役立つ、わかりやすい名前を使用します。
この設定では、文書から元のラベルが削除されたり、元のラベルが適用された文書内の視覚的なマークが削除されたりするわけではないことに注意してください。 ヘッダーおよびフッターを削除するには、他のラベル付けソリューションからヘッダーとフッターを削除する方法に関するページを参照してください。
例 :
追加のカスタマイズについては、以下を参照してください。
Note
会社の合併後など、テナント間でラベルから移行する場合について詳しくは、合併とスピンオフに関するブログ記事を参照することをお勧めします。
例 1: 同じラベル名の 1 対 1 マッピング
要件: Secure Islands の "Confidential" というラベルを持ったドキュメントを、Azure Information Protection によって "Confidential" というラベルに変更する必要があります。
次の点に注意してください。
- Secure Islands ラベルの名前は Confidential で、Classification という名前のカスタム プロパティに保存されます。
詳細設定:
キー: labelByCustomProperties
値: Secure Islands のラベルは Confidential、Classification、Confidential
ラベルの名前が "Confidential" の場合の PowerShell コマンドの例:
Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Confidential,Classification,Confidential"}
例 2: 異なるラベル名の 1 対 1 マッピング
要件: Secure Islands によって "Sensitive" というラベルを付けられたドキュメントを、Azure Information Protection によって "Highly Confidential" というラベルに変更する必要があります。
次の点に注意してください。
- Secure Islands ラベルの名前は Sensitive で、Classification という名前のカスタム プロパティに保存されます。
詳細設定:
キー: labelByCustomProperties
値: Secure Islands のラベルは Sensitive、Classification、Sensitive
ラベルの名前が "Highly Confidential" の場合の PowerShell コマンドの例:
Set-Label -Identity "Highly Confidential" -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Sensitive,Classification,Sensitive"}
例 3: ラベル名の多対 1 マッピング
要件: "Internal" という単語を含む Secure Islands のラベルが 2 つあり、この Secure Islands のラベルのいずれかを含んでいるドキュメントを、Azure Information Protection 統合ラベル付けクライアントによって "General" というラベルに変更します。
次の点に注意してください。
- Secure Islands のラベルには、Internal という単語が含まれ、Classification という名前のカスタム プロパティに保存されます。
クライアントの詳細設定:
キー: labelByCustomProperties
値: Secure Islands のラベルは Internal、Classification、*Internal.*
ラベルの名前が "General" の場合の PowerShell コマンドの例:
Set-Label -Identity General -AdvancedSettings @{labelByCustomProperties="Secure Islands label contains Internal,Classification,.*Internal.*"}
例 4: 同じラベルに対して複数のルールを使用する
同じラベルに複数のルールが必要な場合は、同じキーに複数の文字列値を定義します。
この例では、"Confidential" と "Secret" という名前の Secure Islands ラベルが Classification" という名前のカスタム プロパティに格納され、Azure Information Protection 統合ラベル付けクライアントに "Confidential" という名前の秘密度ラベルを適用します。
Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}
ラベルの移行ルールを電子メールに拡張する
追加のラベル ポリシーの詳細設定を指定することによって、Office ドキュメントに加えて Outlook メールに対して、labelByCustomProperties 詳細設定で定義した構成を使用できます。
ただし、この設定によって Outlook のパフォーマンスが既知の悪影響を受けるため、この追加の設定は、厳しいビジネス要件がある場合にのみ構成し、他のラベル付けソリューションからの移行が完了したら、忘れずに null 文字列値に設定してください。
この詳細設定を構成するには、選択したラベル ポリシーに対して次の文字列を入力します。
キー: EnableLabelByMailHeader
値: True
ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelByMailHeader="True"}
ラベルの移行ルールを SharePoint のプロパティに拡張する
追加のラベルポリシーの詳細設定を指定することによって、列としてユーザーに表示される可能性がある SharePoint プロパティの labelByCustomProperties 詳細設定で定義した構成を使用できます。
この設定は、Word、Excel、PowerPoint を使用する際にサポートされます。
この詳細設定を構成するには、選択したラベル ポリシーに対して次の文字列を入力します。
キー: EnableLabelBySharePointProperties
値:True
ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelBySharePointProperties="True"}
ラベルが適用されたときにカスタム プロパティを適用する
この構成では、Security & Compliance Center PowerShellを使用して構成する必要があるラベル 詳細設定 を使用します。
秘密度ラベルで適用されるメタデータに加えて、1 つ以上のカスタム プロパティをドキュメントまたはメール メッセージに適用する際は、いくつかのシナリオが考えられます。
次に例を示します。
他のラベル付けのソリューション (Secure Islands など) からの移行プロセス中です。 移行中の相互運用性を確保するために、他のラベル付けソリューションで使用されるカスタム プロパティを機密度ラベルに適用することもできます。
コンテンツ管理システム (SharePoint や別のベンダーのドキュメント管理ソリューションなど) の場合は、ラベルのさまざまな値と、ラベル GUID ではなくユーザー フレンドリ名との整合性があるカスタム プロパティ名を使用します。
ユーザーが Azure Information Protection の統合ラベル付けクライアントを使用してラベル付けする Office ドキュメントや Outlook メールの場合は、定義した 1 つ以上のカスタム プロパティを追加できます。 また、この方法を統合ラベル付けクライアントに対して使用すると、このカスタム プロパティを他のソリューションからラベルとして表示することもできます。
この構成オプションの結果として、追加のカスタム プロパティは、Azure Information Protection 統合ラベル付けクライアントで次のように適用されます。
| 環境 | 説明 |
|---|---|
| Office ドキュメント | デスクトップ アプリでドキュメントがラベル付けされている場合は、ドキュメントの保存時に追加のカスタム プロパティが適用されます。 |
| Outlook メール | Outlook でメール メッセージにラベル付けすると、メールの送信時に追加のプロパティが X ヘッダーに適用されます。 |
| PowerShell | Set-AIPFileLabel と Set-AIPFileClassificiation では、ドキュメントにラベル付けして保存すると、追加のカスタム プロパティが適用されます。 Get-AIPFileStatus では、秘密度ラベルが適用されていない場合に、マップされたラベルとしてカスタム プロパティが表示されます。 |
| エクスプローラー | ユーザーがファイルを右クリックしてラベルを適用すると、カスタム プロパティが適用されます。 |
この構成では、追加のカスタム プロパティを適用する秘密度ラベルごとに、customPropertiesByLabel という名前の詳細設定を指定する必要があります。 次に、各エントリに対して、次の構文を使用して値を設定します。
[custom property name],[custom property value]
重要
文字列で空白を使用すると、ラベルの適用が回避されます。
次に例を示します。
例 1: ラベルに 1 つのカスタム プロパティを追加する
要件: Azure Information Protection 統合ラベル付けクライアントによって "Confidential" というラベルが付けられているドキュメントに、"Secret" という値を持つ "Classification" という名前のカスタム プロパティを追加する必要があります。
次の点に注意してください。
- 秘密度ラベルには Confidential という名前が付けられて、Secret という値を持つ Classification という名前のカスタム プロパティが作成されます。
詳細設定:
キー: customPropertiesByLabel
値: Classification,Secret
ラベルの名前が "Confidential" の場合の PowerShell コマンドの例:
Set-Label -Identity Confidential -AdvancedSettings @{customPropertiesByLabel="Classification,Secret"}
例 2: ラベルに複数のカスタム プロパティを追加する
同じラベルに複数のカスタム プロパティを追加するには、同じキーに複数の文字列値を定義する必要があります。
ラベルの名前が "General" で、General という値を持つ Classification という名前のカスタム プロパティと、Internal という値を持つ Sensitivity という名前の 2 つ目のカスタム プロパティを追加する PowerShell コマンドの例:
Set-Label -Identity General -AdvancedSettings @{customPropertiesByLabel=ConvertTo-Json("Classification,General", "Sensitivity,Internal")}
Outlook で S/MIME 保護を適用するためのラベルを構成する
この構成では、Security & Compliance Center PowerShellを使用して構成する必要があるラベル 詳細設定 を使用します。
この設定を使用するのは、稼働中の S/MIME の展開があり、Azure Information Protection の Rights Management による保護の代わりに、ラベルによってこの保護方法を自動的にメールに適用する場合のみです。 結果として得られる保護は、ユーザーが Outlook から S/MIME オプションを手動で選択した場合と同じです。
| 構成 | キー/値 |
|---|---|
| S/MIME デジタル署名 | S/MIME デジタル署名の詳細設定を構成するには、選択したラベルに対して次の文字列を入力します。 - キー: SMimeSign - 値: True |
| S/MIME HANA 暗号化 | S/MIME 暗号化の詳細設定を構成するには、選択したラベルに対して次の文字列を入力します。 - キー: SMimeEncrypt - 値: True |
ユーザーが Outlook でラベルを選択すると、構成された S/MIME 設定が適用されます。 Microsoft Purview コンプライアンス ポータルで指定できるデフォルトの Rights Management 暗号化に対してラベルも構成されている場合、S/MIME 設定は Outlook でのみ Rights Management 保護を置き換えます。 統合ラベル付けクライアントがサポートする他のアプリの場合、クライアントはコンプライアンス ポータルで指定された暗号化設定を引き続き使用します。
Outlook でのみラベルを表示する場合は、[ユーザーがアクセス許可を割り当てられるようにする] で [転送不可] 暗号化オプションを構成します。
ラベルの名前が "Recipients Only" の場合の PowerShell コマンドの例:
Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeSign="True"}
Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeEncrypt="True"}
親ラベルの既定のサブラベルを指定する
この構成では、Security & Compliance Center PowerShellを使用して構成する必要があるラベル 詳細設定 を使用します。
ラベルにサブラベルを追加すると、ユーザーはドキュメントやメールに親ラベルを適用できなくなります。 既定では、ユーザーは親ラベルを選択して、適用できるサブラベルを確認してから、それらのサブラベルのいずれかを選択します。 この詳細設定を構成した場合は、ユーザーが親ラベルを選択すると、サブラベルが自動的に選択されて適用されます。
キー: DefaultSubLabelId
値: <サブラベルの GUID>
親ラベルの名前が "Confidential" で、"All Employees" サブラベルの GUID が 8faca7b8-8d20-48a3-8ea2-0f96310a848e である場合の PowerShell コマンドの例:
Set-Label -Identity "Confidential" -AdvancedSettings @{DefaultSubLabelId="8faca7b8-8d20-48a3-8ea2-0f96310a848e"}
バックグラウンドでの分類の継続的実行をオンにする
この構成では、Security & Compliance Center PowerShellを使用して構成する必要があるラベル 詳細設定 を使用します。
この設定を構成すると、自動の推奨されるラベルが、Azure Information Protection 統合ラベル付けクライアントによってどのようにドキュメントに適用されるかの既定の動作が変更されます。
Word、Excel、PowerPoint の場合、自動分類はバックグラウンドで継続的に実行されます。
Outlook では動作は変わりません。
Azure Information Protection 統合ラベル付けクライアントによって、ユーザーが指定する条件規則についての確認がドキュメントに対して定期的に行われるときには、この動作により、SharePoint または OneDrive に格納されている Office ドキュメントに対して推奨される自動の分類と保護が有効になります。 条件規則が既に実行されているため、大きなファイルもすばやく保存されます。
条件ルールは、ユーザーの入力時にリアルタイムでは実行されません。 代わりに、ドキュメントが変更された場合、バックグラウンド タスクとして定期的に実行されます。
この詳細設定を構成するには、次の文字列を入力します。
- キー: RunPolicyInBackground
- 値: True
PowerShell コマンドの例:
Set-LabelPolicy -Identity PolicyName -AdvancedSettings @{RunPolicyInBackground = "true"}
Note
現在、この機能はプレビュー段階にあります。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
ラベルの色を指定する
この構成では、Security & Compliance Center PowerShellを使用して構成する必要があるラベル 詳細設定 を使用します。
この詳細設定を使用して、ラベルの色を設定します。 色を指定するには、色を構成する赤、緑、青 (RGB) の要素を表わす 3 つの 16 進数コードを入力します。 たとえば、#40e0d0 は水色の RGB 16 進値です。
これらのコードについてのリファレンスが必要な場合は、MSDN Web ドキュメントの<色>に関するページで、便利なテーブルを入手できます。画像を編集できるさまざまなアプリケーションでも、これらのコードを参照できます。 たとえば、Microsoft ペイントでは、パレットからカスタム カラーを選択すると、RGB 値が自動的に表示されるので、それをコピーできます。
ラベルの色についての詳細設定を構成するには、選択したラベルに対して次の文字列を入力します。
キー: color
値: <RGB 16 進値>
ラベルの名前が "Public" の場合の PowerShell コマンドの例:
Set-Label -Identity Public -AdvancedSettings @{color="#40e0d0"}
別のユーザーとしてログインします
複数ユーザーのサインインは、運用環境の AIP ではサポートされていません。 この手順では、テスト目的でのみ、別のユーザーとしてサインインする方法を説明します。
現在どのアカウントでサインインしているかは、[Microsoft Azure Information Protection] ダイアログ ボックスを使用して確認できます。Office アプリケーションを開き、[ホーム] タブで [秘密度] ボタンを選択してから、[ヘルプとフィードバック] を選択します。 アカウント名が [クライアント ステータス] セクションに表示されます。
表示されるサインインしたアカウントのドメイン名も必ず確認してください。 正しいアカウント名でサインインしているのに、間違ったドメインでサインインしていることを見逃しがちです。 適切ではないアカウントが使用された場合の症状には、ラベルのダウンロードが失敗することや、必要なラベルや動作が表示されないことが含まれます。
別のユーザーとしてサインインするには:
%localappdata%\Microsoft\MSIP に移動し、TokenCache ファイルを削除します。
開いている Office アプリケーションをすべて再起動し、別のユーザー アカウントでサインインします。 Office アプリケーションで、Azure Information Protection サービスへのサインインを求めるプロンプトが表示されない場合は、[Microsoft Azure Information Protection] ダイアログ ボックスに戻り、更新された [クライアント ステータス] セクションの [サインイン] を選択します。
さらに、
| シナリオ | 説明 |
|---|---|
| まだ以前のアカウントにサインインしている | これらの手順の完了後、Azure Information Protection 統合ラベル付けクライアントのサインインでまだ古いアカウントが使用されている場合は、Internet Explorer からすべての Cookie を削除してから、手順 1 と 2 を繰り返します。 |
| シングル サインオンの使用 | シングル サインオンを使用している場合は、トークン ファイルを削除した後、Windows からサインアウトし、別のユーザー アカウントでサインインする必要があります。 Azure Information Protection 統合ラベル付けクライアントは、その後、現在サインインしているユーザー アカウントを使用して自動的に認証を行います。 |
| 異なるテナント | このソリューションは、同じテナントの別のユーザーとしてサインインするためにサポートされています。 別のテナントから別のユーザーとしてサインインすることはサポートされていません。 複数のテナントで Azure Information Protection をテストするには、別のコンピューターを使用します。 |
| 設定のリセット | ヘルプとフィードバックの設定をリセットオプションを使用して、Microsoft Purview コンプライアンス ポータルからサインアウトし、現在ダウンロードされているラベルとポリシー設定を削除できます。 |
切断されたコンピューターのサポート
重要
切断されたコンピューターは、エクスプローラー、PowerShell、Office アプリ、スキャナーでのラベル付けシナリオでサポートされています。
既定では、Azure Information Protection 統合ラベル付けクライアントは、自動的にインターネットに接続して、Microsoft Purview コンプライアンス ポータルからラベルとラベル ポリシー設定をダウンロードしようとします。
一定期間インターネットに接続できないコンピューターがある場合は、統合ラベル付けクライアントのポリシーを手動で管理するファイルをエクスポートしてコピーすることができます。
切断されたコンピューターを統合ラベル付けクライアントからサポートするには:
切断されたコンピュータで使用したいポリシー設定とダウンロードしたラベルに使用するMicrosoft Entra ID のユーザー アカウントを選択または作成します。
このアカウントのための追加のラベル ポリシー設定として、監査データの Azure Information Protection 分析への送信をオフにします。
この手順をお勧めするのは、切断されたコンピューターが実際には断続的にインターネットに接続している場合、手順 1 のユーザー名が含まれるログ情報が Azure Information Protection 分析に送信されるためです。 そのユーザー アカウントは、切断されたコンピューターで使用中のローカル アカウントとは異なる可能性があります。
統合ラベル付けクライアントがインストールされていて、手順 1 のユーザー アカウントを使用してサインインしている、インターネット接続があるコンピューターから、ラベルとポリシー設定をダウンロードします。
このコンピューターからログ ファイルをエクスポートします。
たとえば、Export-AIPLogs コマンドレットを実行するか、クライアントの [ヘルプとフィードバック] ダイアログ ボックスから [ログのエクスポート] オプションを使用します。
ログ ファイルは、1 つの圧縮ファイルとしてエクスポートされます。
圧縮ファイルを開き、MSIP フォルダーから、ファイル名拡張子が .xml であるすべてのファイルをコピーします。
これらのファイルを、切断されたコンピューターの %localappdata%\Microsoft\MSIP フォルダーに貼り付けます。
選択したユーザー アカウントが、通常はインターネットに接続している場合は、 EnableAudit の値を True に設定して、監査データの送信を再度有効にします。
このコンピューターのユーザーが、[ヘルプとフィードバック] の [設定のリセット] オプションを選択した場合、この操作によってポリシー ファイルが削除され、ファイルを手動で置き換えるか、クライアントがインターネットに接続してファイルをダウンロードするまで、クライアントは動作できなくなります。
切断されたコンピューターで Azure Information Protection スキャナーが実行されている場合は、追加の構成手順を実行する必要があります。 詳細については、スキャナーの配置に関する手順の「制限: スキャナー サーバーをインターネットに接続できない」を参照してください。
ローカルのログ記録レベルを変更する
既定では、Azure Information Protection 統合ラベル付けクライアントのクライアント ログ ファイルは、%localappdata%\Microsoft\MSIP フォルダーに書き込まれます。 これらのファイルは、Microsoft サポートによるトラブルシューティングを目的としています。
これらのファイルのログ記録レベルを変更するには、レジストリで次の値の名前を見つけて、値のデータを必要なログ記録レベルに設定します。
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\LogLevel
ログ レベルを次のいずれかの値に設定します。
Off: ローカルのログ記録なし。
Error: エラーのみ。
Warn: エラーと警告。
Info: 最小限のログ記録。イベント ID は含まれません (スキャナーの既定の設定)。
Debug: 完全な情報。
Trace: 詳細なログ記録 (クライアントの既定の設定)。
このレジストリ設定では、中央レポートのために Azure Information Protection に送信される情報は変更されません。
ファイル属性に応じてスキャン中にファイルをスキップまたは無視する
この構成では、Security & Compliance Center PowerShellを使用して構成する必要があるポリシー 詳細設定 を使用します。
Azure Information Protection 統合ラベル付けスキャナーでは、既定では関連するすべてのファイルをスキャンします。 ただし、アーカイブされたファイルや移動されたファイルなど、スキップする特定のファイルを定義することもできます。
ScannerFSAttributesToSkip 詳細設定を使用して、ファイル属性に基づいて、スキャナーで特定のファイルをスキップできるようにします。 設定値には、すべてが true に設定されているときにファイルをスキップできるようにするファイル属性を列挙します。 ファイル属性のこの一覧では、AND ロジックが使用されます。
次の PowerShell サンプル コマンドは、"Global" という名前のラベルを指定してこの詳細設定を使用する方法を示しています。
読み取り専用とアーカイブ済みの両方のファイルをスキップする
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE"}
読み取り専用またはアーカイブ済みのいずれかであるファイルをスキップする
OR ロジックを使用するには、同じプロパティを複数回実行します。 次に例を示します。
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_ARCHIVE"}
ヒント
スキャナーで、以下の属性を持つファイルをスキップできるようにすることを検討するようお勧めします。
- FILE_ATTRIBUTE_SYSTEM
- FILE_ATTRIBUTE_HIDDEN
- FILE_ATTRIBUTE_DEVICE
- FILE_ATTRIBUTE_OFFLINE
- FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS
- FILE_ATTRIBUTE_RECALL_ON_OPEN
- FILE_ATTRIBUTE_TEMPORARY
ScannerFSAttributesToSkip 詳細設定で定義できるすべてのファイル属性の一覧については、Win32 のファイル属性定数に関するページを参照してください
ラベル付け時に NTFS 所有者を保持する (パブリック プレビュー)
この構成では、Security & Compliance Center PowerShellを使用して構成する必要があるポリシー 詳細設定 を使用します。
既定では、スキャナー、PowerShell、およびエクスプローラーの拡張子のラベル付けでは、ラベル付けの前に定義された NTFS 所有者が保持されません。
NTFS 所有者の値が保持されるようにするには、選択したラベル ポリシーの UseCopyAndPreserveNTFSOwner 詳細設定を true に設定します。
注意事項
この詳細設定を定義するのは、スキャナーとスキャンされるリポジトリの間に、低遅延で信頼性が高いネットワーク接続を確保できる場合だけにしてください。 ラベル付けの自動処理中にネットワーク エラーが発生すると、ファイルが失われる可能性があります。
ラベル ポリシーの名前が "Global" の場合の PowerShell サンプル コマンド:
Set-LabelPolicy -Identity Global -AdvancedSettings @{UseCopyAndPreserveNTFSOwner ="true"}
Note
現在、この機能はプレビュー段階にあります。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
変更したラベルの理由プロンプトのテキストをカスタマイズする
エンド ユーザーがドキュメントやメールの分類ラベルを変更すると Office と AIP クライアントの両方に表示される理由プロンプトをカスタマイズします。
たとえば管理者は、このフィールドに顧客の識別情報を追加しないよう、ユーザーに通知することもできます。
表示される既定の [その他] のテキストを変更するには、Set-LabelPolicy コマンドレットで JustificationTextForUserText 詳細プロパティを使用します。 その値を、代わりに使用するテキストに設定します。
ラベル ポリシーの名前が "Global" の場合の PowerShell サンプル コマンド:
Set-LabelPolicy -Identity Global -AdvancedSettings @{JustificationTextForUserText="Other (please explain) - Do not enter sensitive info"}
Outlook ポップアップメッセージをカスタマイズする
AIP 管理者は、Outlook でエンド ユーザーに表示される、次のようなポップアップ メッセージをカスタマイズできます。
- ブロックされたメール用のメッセージ
- ユーザーに、送信しようとしている内容の確認することを求める警告メッセージ
- ユーザーに、送信しようとしている内容を正当だと理由付けることを要求する理由メッセージ
重要
この手順では、OutlookUnlabeledCollaborationAction 詳細プロパティを使用して、定義済みのすべての設定をオーバーライドします。
運用環境では、OutlookUnlabeledCollaborationAction 詳細プロパティを使用してルールを定義するか、下で定義しているように json ファイルを使用して複雑なルールを定義するか、"いずれか" の方法で、複雑にならないようにすることをお勧めします。
Outlook のポップアップ メッセージをカスタマイズするには:
Outlook でユーザーにポップアップ メッセージを表示する方法を構成するルールをそれぞれに含めて、.json ファイルを作成します。 詳細については、「ルール値の .json 構文」と「ポップアップ カスタマイズの .json サンプル コード」を参照してください。
PowerShell を使用して、構成中のポップアップ メッセージを制御する詳細設定を定義します。 構成するルールごとに、別個のコマンドのセットを実行します。
PowerShell コマンドの各セットには、構成しているポリシーの名前のほか、キーと、ルールを定義する値を含める必要があります。
次の構文を使用します。
$filedata = Get-Content "<Path to json file>" Set-LabelPolicy -Identity <Policy name> -AdvancedSettings @{<Key> ="$filedata"}ここで:
<Path to json file>は、作成した json ファイルへのパスです。 例: C:\Users\msanchez\Desktop\ \dlp\OutlookCollaborationRule_1.json<Policy name>は、構成するポリシーの名前です。<Key>は、ルールの名前です。 次の構文を使用します。ここで <#> は、ルールのシリアル番号です。OutlookCollaborationRule_<#>
詳細については、「Outlook カスタマイズ ルールの順序付け」と「ルール値の .json 構文」を参照してください。
ヒント
さらに整理する場合は、PowerShell コマンドで使用したキーと同じ文字列を使用してファイルに名前を付けます。 たとえば、ファイルに OutlookCollaborationRule_1.json という名前を付けたら、キーとしても OutlookCollaborationRule_1 を使用します。
Outlook の外部から共有されている場合 ([ファイル] > [共有] > [コピーの添付]) でもポップアップが確実に表示されるように、PostponeMandatoryBeforeSave 詳細設定も構成します。
Outlook カスタマイズ ルールの順序付け
AIP では、ユーザーが入力したキーのシリアル番号を使用して、ルールが処理される順序を決定します。 各ルールで使用するキーを定義するときには、より小さい数字を指定して制限の厳しいルールを定義し、その後、より大きい数字を指定して制限の少ないルールを定義します。
特定のルールの一致が見つかると、AIP によってルールの処理が停止され、一致しているルールに関連付けられているアクションが実行されます。 (最初の一致 - > 終了ロジック)
例:
特定の Warning メッセージが含まれるすべての Internal メールを構成しますが、通常、それらをブロックする必要はないとします。 ただし、Internal メールとしてであっても、Secret と分類されている添付ファイルをユーザーが送信することはブロックする必要があります。
このシナリオでは、より具体的なルールであるシークレットのブロック ルール キーは、より汎用のルールである内部に関して警告ルール キーの前の順序にします。
- ブロック メッセージの場合: OutlookCollaborationRule_1
- 警告 メッセージの場合: OutlookCollaborationRule_2
ルール値の .json 構文
ルールの json 構文は、次のように定義します。
"type" : "And",
"nodes" : []
少なくとも 2 つのノードが必要です。最初がルールの条件を表し、最後がルールのアクションを表します。 詳細については、以下を参照してください:
ルールの条件の構文
ルールの条件のノードには、ノード型と、条件そのものが含まれている必要があります。
サポートされているノード型は以下のとおりです。
| ノード型 | 説明 |
|---|---|
| And | すべての子ノードに対して And を実行します |
| Or | すべての子ノードに対して Or を実行します |
| ない | 自身の子に対して Not を実行します |
| Except | 自身の子に対しては Notを返し、それが All として動作するようにします。 |
| SentTo、その後に Domains: listOfDomains | 次のいずれかを確認します。 - 親が Except である場合、受信者すべて (All) がいずれかのドメイン内にいるかどうかを調べます - 親が Except 以外の何かである場合、受信者すべて (All) がいずれかのドメイン内にいるかどうかを調べます。 |
| EMailLabel、その後にラベル | 次のいずれかです。 - ラベル ID - null (ラベルが付けられていない場合) |
| AttachmentLabel、その後に Label およびサポートされている Extensions (拡張子) | 次のいずれかです。 true: - 親が Except である場合、サポートされている拡張子の 1 つを持つすべての (All) 添付ファイルがラベル内に存在するかどうかを調べます - 親が Except 以外の何かである場合、サポートされている拡張子の 1 つを持つ任意の (Any) 添付ファイルがラベル内に存在するかどうかを調べます - ラベルが付けられていない場合は、label = null です false: 他のすべての場合 注: Extensions プロパティが空であるか存在しない場合、サポートされているファイルの種類 (拡張子) すべてがルールに含められます。 |
ルールのアクションの構文
ルールのアクションは、以下のいずれかです。
| アクション | 構文 | サンプル メッセージ |
|---|---|---|
| ブロック | Block (List<language, [title, body]>) |
"メールがブロックされました" "Secret として分類されているコンテンツを 1 人以上の信頼されていない受信者に送信しようとしています": rsinclair@contoso.com組織のポリシーでは、このアクションは許可されていません。 これらの受信者を削除するか、コンテンツを置換することを検討してください。 |
| 警告 | Warn (List<language,[title,body]>) |
"確認が必要です" "General として分類されているコンテンツを 1 人以上の信頼されていない受信者に送信しようとしています": rsinclair@contoso.com"組織のポリシーによれば、このコンテンツを送信する場合には確認が必要です。" |
| Justify | Justify (numOfOptions, hasFreeTextOption, List<language, [Title, body, options1,options2….]> ) 最大 3 つのオプションを含めることができます。 |
"理由が必要です" "組織のポリシーによれば、General として分類されているコンテンツを信頼されていない受信者に送信するには、理由が必要です。" - "受信者がこのコンテンツの共有を承認されていることを確認しました" - "このコンテンツの共有を上司が承認しました" - "その他、説明のとおり" |
アクション パラメーター
アクションに対してパラメーターが指定されていない場合、ポップアップには既定のテキストが表示されます。
すべてのテキストで、以下の動的パラメーターがサポートされています。
| パラメーター | 説明 |
|---|---|
${MatchedRecipientsList} |
SentTo 条件の最後の一致 |
${MatchedLabelName} |
ポリシーからから取得されるローカライズされた名前を持つメール/添付ファイルの Label |
${MatchedAttachmentName} |
AttachmentLabel 条件の最後の一致から取得される添付ファイルの名前 |
Note
すべてのメッセージには、[詳細の表示] オプションと、[ヘルプ] および [フィードバック] のダイアログが含まれます。
Language は、ロケール名を表す、英語 = en-us、スペイン語 = es-es などの CultureName です
en のみのように、親だけの言語名もサポートされています。
ポップアップ カスタマイズの .json サンプル コード
次の一連の .json コードは、Outlook でユーザーにポップアップ メッセージを表示する方法を制御するさまざまなルールを、どのように定義できるかを示しています。
- 例 1: 内部メールや添付ファイルをブロックする
- 例 2: 未分類の Office 添付ファイルをブロックする
- 例 3: 社外秘のメールまたは添付ファイルの送信を受け入れるようユーザーに要求する
- 例 4: 特定のラベルを持つ添付ファイルがある、ラベルのないメールについて警告する
- 例 5: 2 つの定義済みオプションと追加の自由記載オプションを使用して、理由の入力を促す
例 1: 内部メールや添付ファイルをブロックする
次の .json コードでは、Internal に分類されているメールや添付ファイルが、外部の受信者に対して設定されることをブロックします。
この例では、89a453df-5df4-4976-8191-259d0cf9560a が Internal ラベルの ID であり、内部ドメインには contoso.com と microsoft.com が含まれています。
特定の拡張子が指定されていないため、サポートされているすべてのファイルの種類が含められます。
{
"type" : "And",
"nodes" : [
{
"type" : "Except" ,
"node" :{
"type" : "SentTo",
"Domains" : [
"contoso.com",
"microsoft.com"
]
}
},
{
"type" : "Or",
"nodes" : [
{
"type" : "AttachmentLabel",
"LabelId" : "89a453df-5df4-4976-8191-259d0cf9560a"
},{
"type" : "EmailLabel",
"LabelId" : "89a453df-5df4-4976-8191-259d0cf9560a"
}
]
},
{
"type" : "Block",
"LocalizationData": {
"en-us": {
"Title": "Email Blocked",
"Body": "The email or at least one of the attachments is classified as <Bold>${MatchedLabelName}</Bold>. Documents classified as <Bold> ${MatchedLabelName}</Bold> cannot be sent to external recipients (${MatchedRecipientsList}).<br><br>List of attachments classified as <Bold>${MatchedLabelName}</Bold>:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance with classification requirements as per Contoso's policies."
},
"es-es": {
"Title": "Correo electrónico bloqueado",
"Body": "El correo electrónico o al menos uno de los archivos adjuntos se clasifica como <Bold> ${MatchedLabelName}</Bold>."
}
},
"DefaultLanguage": "en-us"
}
]
}
例 2: 未分類の Office 添付ファイルをブロックする
次の .json コードでは、未分類の Office 添付ファイルやメールが外部の受信者に送信されることをブロックします。
次の例でラベル付けが必要な添付ファイルの一覧は次のとおりです。.doc、.docm、.docx、.dot、.dotm、.dotx、.potm、.potx、.pps、.ppsm、.ppsx、.ppt、.pptm、.pptx、.vdw、.vsd、.vsdm、.vsdx、.vss、.vssm、.vst、vstm、.vssx、.vstx、.xls、.xlsb、xlt、.xlsm、.xlsx、.xltm、.xltx
{
"type" : "And",
"nodes" : [
{
"type" : "Except" ,
"node" :{
"type" : "SentTo",
"Domains" : [
"contoso.com",
"microsoft.com"
]
}
},
{
"type" : "Or",
"nodes" : [
{
"type" : "AttachmentLabel",
"LabelId" : null,
"Extensions": [
".doc",
".docm",
".docx",
".dot",
".dotm",
".dotx",
".potm",
".potx",
".pps",
".ppsm",
".ppsx",
".ppt",
".pptm",
".pptx",
".vdw",
".vsd",
".vsdm",
".vsdx",
".vss",
".vssm",
".vst",
".vstm",
".vssx",
".vstx",
".xls",
".xlsb",
".xlt",
".xlsm",
".xlsx",
".xltm",
".xltx"
]
},{
"type" : "EmailLabel",
"LabelId" : null
}
]
},
{
"type" : "Block",
"LocalizationData": {
"en-us": {
"Title": "Emailed Blocked",
"Body": "Classification is necessary for attachments to be sent to external recipients.<br><br>List of attachments that are not classified:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance to classification requirement as per Contoso's policies.<br><br>For MS Office documents, classify and send again.<br><br>For PDF files, classify the document or classify the email (using the most restrictive classification level of any single attachment or the email content) and send again."
},
"es-es": {
"Title": "Correo electrónico bloqueado",
"Body": "La clasificación es necesaria para que los archivos adjuntos se envíen a destinatarios externos."
}
},
"DefaultLanguage": "en-us"
}
]
}
例 3: 社外秘のメールまたは添付ファイルの送信を受け入れるようユーザーに要求する
次の例では、社外の受信者に Confidential のメールや添付ファイルを送信しようとしていることをユーザーに警告するメッセージを、Outlook に表示させています。また、ユーザーが [同意する] を選択することも要求しています。
この種の警告メッセージは、ユーザーが [同意する] を選択する必要があるため、厳密には理由だと考えられます。
特定の拡張子が指定されていないため、サポートされているすべてのファイルの種類が含められます。
{
"type" : "And",
"nodes" : [
{
"type" : "Except" ,
"node" :{
"type" : "SentTo",
"Domains" : [
"contoso.com",
"microsoft.com"
]
}
},
{
"type" : "Or",
"nodes" : [
{
"type" : "AttachmentLabel",
"LabelId" : "3acd2acc-2072-48b1-80c8-4da23e245613"
},{
"type" : "EmailLabel",
"LabelId" : "3acd2acc-2072-48b1-80c8-4da23e245613"
}
]
},
{
"type" : "Justify",
"LocalizationData": {
"en-us": {
"Title": "Warning",
"Body": "You are sending a document that is classified as <Bold>${MatchedLabelName}</Bold> to at least one external recipient. Please make sure that the content is correctly classified and that the recipients are entitled to receive this document.<br><br>List of attachments classified as <Bold>${MatchedLabelName}</Bold>:<br><br>${MatchedAttachmentName}<br><br><Bold>List of external email addresses:</Bold><br>${MatchedRecipientsList})<br><br>You are responsible for ensuring compliance to classification requirement as per Contoso's policies.<br><br><Bold>Acknowledgement</Bold><br>By clicking <Bold>I accept</Bold> below, you confirm that the recipient is entitled to receive the content and the communication complies with CS Policies and Standards",
"Options": [
"I accept"
]
},
"es-es": {
"Title": "Advertencia",
"Body": "Está enviando un documento clasificado como <Bold>${MatchedLabelName}</Bold> a al menos un destinatario externo. Asegúrese de que el contenido esté correctamente clasificado y que los destinatarios tengan derecho a recibir este documento.",
"Options": [
"Acepto"
]
}
},
"HasFreeTextOption":"false",
"DefaultLanguage": "en-us"
}
]
}
例 4: 特定のラベルを持つ添付ファイルがある、ラベルのないメールについて警告する
次の .json コード では、特定のラベルを持つ添付ファイルがあり、ラベルがない内部メールを送信しようとしているときに、Outlook からユーザーに警告させます。
この例では、bcbef25a-c4db-446b-9496-1b558d9edd0e が添付ファイルのラベルの ID であり、ルールは .docx、.xlsx、および .pptx ファイルに適用されます。
既定では、ラベルが付いている添付ファイルがあるメールは、同じラベルを自動的に受け取りません。
{
"type" : "And",
"nodes" : [
{
"type" : "EmailLabel",
"LabelId" : null
},
{
"type": "AttachmentLabel",
"LabelId": "bcbef25a-c4db-446b-9496-1b558d9edd0e",
"Extensions": [
".docx",
".xlsx",
".pptx"
]
},
{
"type" : "SentTo",
"Domains" : [
"contoso.com",
]
},
{
"type" : "Warn"
}
]
}
例 5: 2 つの定義済みオプションと追加の自由記載オプションを使用して、理由の入力を促す
次の .json コードでは、ユーザーにアクションの理由の入力を求めるプロンプトを、Outlook に表示させています。 理由テキストには、2 つの定義済みオプションのほか、3 つ目の自由記載オプションが含まれています。
特定の拡張子が指定されていないため、サポートされているすべてのファイルの種類が含められます。
{
"type" : "And",
"nodes" : [
{
"type" : "Except" ,
"node" :{
"type" : "SentTo",
"Domains" : [
"contoso.com",
]
}
},
{
"type" : "EmailLabel",
"LabelId" : "34b8beec-40df-4219-9dd4-553e1c8904c1"
},
{
"type" : "Justify",
"LocalizationData": {
"en-us": {
"Title": "Justification Required",
"Body": "Your organization policy requires justification for you to send content classified as <Bold> ${MatchedLabelName}</Bold>,to untrusted recipients:<br>Recipients are: ${MatchedRecipientsList}",
"Options": [
"I confirm the recipients are approved for sharing this content",
"My manager approved sharing of this content",
"Other, as explained"
]
},
"es-es": {
"Title": "Justificación necesaria",
"Body": "La política de su organización requiere una justificación para que envíe contenido clasificado como <Bold> ${MatchedLabelName}</Bold> a destinatarios que no sean de confianza.",
"Options": [
"Confirmo que los destinatarios están aprobados para compartir este contenido.",
"Mi gerente aprobó compartir este contenido",
"Otro, como se explicó"
]
}
},
"HasFreeTextOption":"true",
"DefaultLanguage": "en-us"
}
]
}
SharePoint タイムアウトを構成する
既定では、SharePoint との相互作用のタイムアウトは 2 分です。その後、試みられた AIP 操作は失敗します。
バージョン 2.8.85.0 以降、AIP 管理者は、以下の詳細プロパティを使用してこのタイムアウトを制御し、hh:mm:ss の構文を使用してタイムアウトを定義することができます。
SharepointWebRequestTimeout. SharePoint に対するすべての AIP Web 要求のタイムアウトを指定します。 既定値は 2 分です。
たとえば、ポリシーの名前が Global である場合、次の PowerShell サンプル コマンドを実行すると、Web 要求のタイムアウトが 5 分に更新されます。
Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointWebRequestTimeout="00:05:00"}SharepointFileWebRequestTimeout. AIP Web 要求を介して、SharePoint ファイル専用のタイムアウトを指定します。 既定値は 15 分です
たとえば、ポリシーの名前が Global である場合、次の PowerShell サンプル コマンドを実行すると、ファイル Web 要求のタイムアウトは 10 分に更新されます。
Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointFileWebRequestTimeout="00:10:00"}
SharePoint でスキャナーのタイムアウトを回避する
SharePoint バージョン 2013 以降に長いファイル パスがある場合は、SharePoint サーバーの httpRuntime.maxUrlLength 値が、既定の 260 文字より大きいことを確認してください。
この値は、ASP.NET 構成の HttpRuntimeSection クラスで定義します。
HttpRuntimeSection クラスを更新するには:
お使いの web.config 構成をバックアップします。
必要に応じて maxUrlLength の値を更新します。 次に例を示します。
<httpRuntime maxRequestLength="51200" requestValidationMode="2.0" maxUrlLength="5000" />SharePoint Web サーバーを再起動して、それが正しく読み込まれることを確認します。
たとえば、Windows インターネット インフォメーション サーバー (IIS) マネージャーでサイトを選択してから、[Web サイトの管理] で [再起動] を選択します。
S/MIME メール使用時の Outlook のパフォーマンスの問題を防止する
S/MIME メールが閲覧ウィンドウで開かれているときに、Outlook でパフォーマンスの問題が発生することがあります。 これらの問題を防止するには、OutlookSkipSmimeOnReadingPaneEnabled 詳細プロパティを有効にします。
このプロパティを有効にすると、AIP バーとメール分類が閲覧ウィンドウに表示されなくなります。
たとえば、ポリシーの名前が Global である場合、次の PowerShell サンプル コマンドを実行すると、OutlookSkipSmimeOnReadingPaneEnabled プロパティが有効になります。
Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookSkipSmimeOnReadingPaneEnabled="true"}
ドキュメント追跡機能をオフにする
既定では、ドキュメント追跡機能はテナントに対して有効になっています。 組織やリージョンのプライバシー要件のためなど、それらをオフにするには、EnableTrackAndRevoke の値を False に設定します。
オフにすると、組織ではドキュメント追跡データを使用できなくなり、ユーザーの Office アプリには [取り消し] メニュー オプションが表示されなくなります。
選択したラベル ポリシーについて、次の文字列を指定します。
キー: EnableTrackAndRevoke
値: False
ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableTrackAndRevoke="False"}
この値を False に設定すると、追跡と取り消しは次のようにオフになります。
- 保護されたドキュメントを AIP 統合ラベル付けクライアントで開いても、追跡と取り消しのためにドキュメントが登録されなくなります。
- エンド ユーザーの Office アプリに [取り消し] メニュー オプション表示されなくなります。
ただし、既に追跡のために登録されている保護されたドキュメントは引き続き追跡され、管理者は引き続き、PowerShell からアクセスを取り消すことができます。 追跡と取り消しの機能を完全にオフにするには、Disable-AipServiceDocumentTrackingFeature コマンドレットも実行します。
この構成では、Security & Compliance Center PowerShellを使用して構成する必要があるポリシー 詳細設定 を使用します。
ヒント
追跡と取り消しをもう一度有効にするには、EnableTrackAndRevoke を True に設定し、Enable-AipServiceDocumentTrackingFeature コマンドレットも実行します。
Office アプリでエンドユーザー向けの取り消すオプションをオフにする
Office アプリから [アクセスの取り消し] オプションを削除すると、保護されたドキュメントへのアクセスをエンド ユーザーが Office アプリから取り消せないようにすることができます。
Note
[アクセスの取り消し] オプションを削除しても、保護されたドキュメントはバックグラウンドで追跡され続け、管理者が PowerShell を介してドキュメントへのアクセスを取り消す機能は維持されます。
選択したラベル ポリシーについて、次の文字列を指定します。
キー: EnableRevokeGuiSupport
値: False
ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableRevokeGuiSupport="False"}
Office ファイルで自動ラベル付けのタイムアウトを構成する
既定では、Office ファイルに対するスキャナーの自動ラベル付けタイムアウトは 3 秒です。
多数のシートや行が含まれる複雑な Excel ファイルがある場合は、自動的にラベルを適用するには 3 秒では不十分な可能性があります。 選択したラベル ポリシーに対してこのタイムアウトを長くするには、次の文字列を指定します。
キー: OfficeContentExtractionTimeout
値: 秒数。
hh:mm:ssの形式で指定します。
重要
このタイムアウトは、15 秒より長く設定しないことをお勧めします。
ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{OfficeContentExtractionTimeout="00:00:15"}
更新されたタイムアウトは、すべての Office ファイルの自動ラベル付けに適用されます。
分類グローバリゼーション機能を有効にする (パブリック プレビュー)
分類グローバリゼーション機能には、東アジア言語の精度の向上や、2 バイト文字のサポートが含まれています。 これらの機能強化は 64 ビット プロセス用にのみ提供され、既定ではオフになっています。
ポリシーに対してこれらの機能を有効にするには、次の文字列を指定します。
キー: EnableGlobalization
値:
True
ラベル ポリシーの名前が "Global" の場合の PowerShell コマンドの例:
Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableGlobalization="True"}
サポートを再度オフにし、既定値に戻すには、EnableGlobalization 詳細設定を空の文字列に設定します。
データ境界設定を有効にする
EU データ境界に対する Microsoft の取り組みに従って、Azure Information Protection 統合ラベル付けクライアントの EU 顧客は、データを EU に送信して保存および処理できるようになります。
イベントの送信先となる適切な場所を指定するレジストリ キーを変更して、AIP クライアントでこの機能を有効にします。
- レジストリキー: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\DataBoundary (DWORD)
- 値:
Default = 0North_America = 1European_Union = 2
認証のためにシステム既定のブラウザーを有効にする
AIP クライアントでの認証には、システム既定のブラウザーを使用します。 既定では、AIP クライアントは認証のために Microsoft Edge を開きます。
このレジストリ キーを有効にして、AIP クライアントでこの機能を有効にします。
- レジストリキー: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\MSALUseSytemDefaultBrowserAuth (DWORD)
- 値:
Disabled = 0Enabled = 1
次のステップ
これで Azure Information Protection 統合ラベル付けクライアントのカスタマイズを終えました。このクライアントをサポートするために必要になる場合がある追加の情報については、以下のリソースを参照してください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示