管理者ガイド: Azure Information Protection 統合クライアントでの PowerShell の使用

[アーティクル]
12/27/2023

Note

Microsoft Purview Information Protection をお探しですか? (以前の Microsoft Information Protection (MIP))

Azure Information Protection アドインは廃止され、Microsoft 365 アプリとサービスに組み込まれているラベルに置き換えられています。詳細については、「他の Azure Information Protection コンポーネントのサポート状況」を参照してください。

新しい Microsoft Information Protection クライアント (アドインなし) は現在プレビュー段階であり、一般提供が予定されています。

Azure Information Protection 統合ラベル付けクライアントをインストールすると、PowerShell コマンドがラベル付け用のコマンドレットと共に AzureInformationProtection モジュールの一部として自動的にインストールされます。

AzureInformationProtection モジュールを使用すると、自動化スクリプトのコマンドを実行して、クライアントを管理できます。

次に例を示します。

Get-AIPFileStatus: 指定した 1 つまたは複数のファイルの Azure Information Protection ラベルと保護情報を取得します。
Set-AIPFileClassification: ポリシーで構成されている条件に従って、ファイルをスキャンして、ファイルの Azure Information Protection ラベルを自動的に設定します。
Set-AIPFileLabel: ファイルの Azure Information Protection ラベルを設定または削除し、ラベル構成またはカスタムアクセス許可に従って保護を設定または削除します。
Set-AIPAuthentication: Azure Information Protection クライアントの認証資格情報を設定します。

AzureInformationProtection モジュールが \ProgramFiles (x86)\Microsoft Azure Information Protection フォルダーにインストールされ、このフォルダーを PSModulePath システム変数に追加します。このモジュールの .dll の名前は AIP.dll です。

重要

AzureInformationProtection モジュールでは、ラベルやラベルポリシーの詳細設定を構成できません。

これらの設定には、セキュリティ &コンプライアンスセンター PowerShell が必要です。詳しくは、Azure Information Protection 統合ラベル付けクライアントのカスタム構成に関する記事をご覧ください。

ヒント

パスの長さが 260 文字を超えるコマンドレットを使用するには、Windows 10 バージョン 1607 以降で利用できる次のグループポリシー設定を使用します。
ローカルコンピューターポリシー>コンピューターの構成>管理用テンプレート>すべての設定>Win32 の長いパスを有効にする

Windows Server 2016 の場合、Windows 10 用の最新の管理用テンプレート (.admx) をインストールするときに同じグループポリシー設定を使用できます。

詳細については、Windows 10 開発者向けドキュメントの「最大パス長の制限」セクションを参照してください。

AzureInformationProtection モジュールを使用するための前提条件

AzureInformationProtection モジュールのインストールに関する前提条件に加えて、Azure Information Protection のラベル付けコマンドレットを使用する際の追加の前提条件が存在します。

Azure Rights Management サービスをアクティブ化する必要があります。

Azure Information Protection テナントがアクティブ化されていない場合は、「Azure Information Protection からの保護サービスのアクティブ化」の手順をご覧ください。
自分のアカウントを使用して他のユーザーのファイルから保護を削除するには:
- 組織のスーパーユーザー機能が有効になっている必要があります。
- 自分のアカウントが Azure Rights Management のスーパーユーザーとして構成されている必要があります。
たとえば、データの検出や回復のために、他のユーザーの保護を削除する必要がある場合があります。ラベルを使用して保護を適用している場合は、保護を適用しない新しいラベルを設定するか、ラベルを削除することによって保護を削除できます。

保護を削除するには、RemoveProtection パラメーターを指定して Set-AIPFileLabel コマンドレットを使用します。場合によっては、保護の削除機能が既定で無効になっているため、先に Set-LabelPolicy コマンドレットを使用して有効にしておく必要があります。

RMS から統合ラベル付けコマンドレットへのマッピング

Azure RMS から移行した場合、RMS 関連のコマンドレットの統合ラベル付けでの使用は非推奨となっていることに注意してください。

従来のコマンドレットの一部は、統合ラベル付け用の新しいコマンドレットに置き換えられました。たとえば、RMS での保護に New-RMSProtectionLicense を使用しており、統合ラベル付けに移行した場合は、代わりに New-AIPCustomPermissions を使用してください。

次の表は、RMS 関連のコマンドレットと、統合ラベル付けに使用される更新されたコマンドレットを示しています。

RMS のコマンドレット	統合ラベル付けのコマンドレット
Get-RMSFileStatus	Get-AIPFileStatus
Get-RMSServer	統合ラベル付けには関連しません。
Get-RMSServerAuthentication	Set-AIPAuthentication
Clear-RMSAuthentication	Set-AIPAuthentication
Set-RMSServerAuthentication	Set-AIPAuthentication
Get-RMSTemplate	統合ラベル付けには関連しません。
New-RMSProtectionLicense	New-AIPCustomPermissions, Set-AIPFileLabel, CustomPermissions パラメータ。
Protect-RMSFile	Set-AIPFileLabel
Unprotect-RMSFile	Set-AIPFileLabel、RemoveProtection パラメータを指定します。

Azure Information Protection のために非対話形式でファイルにラベルを付ける方法

デフォルトでは、ラベル付けのコマンドレットを実行すると、コマンドは対話型 PowerShell セッションの独自のユーザーコンテキストで実行されます。

詳細については、以下を参照してください:

AIP のラベル付けコマンドレットを無人で実行するための前提条件
Set-AIPAuthentication 用の Microsoft Entra アプリケーションを作成して構成します
Set-AIPAuthentication コマンドレットの実行

Note

コンピュータをインターネットにアクセスできない場合、Microsoft Entra IDでアプリを作成し、Set-AIPAuthentication コマンドレットを実行する必要はありません。代わりに、接続されていないコンピューター向けの手順に従ってください。

AIP のラベル付けコマンドレットを無人で実行するための前提条件

Azure Information Protection のラベル付けコマンドレットを無人で実行するには、次のアクセスの詳細を使用します。

対話形式でサインイン可能な Windows アカウント。

委任されたアクセス用の Microsoft Entra アカウント。　管理を容易にするために、Active Directory から Microsoft Entra ID に同期された 1 つのアカウントを使用します。

委任されたユーザーアカウントの場合:

要件	詳細
ラベルポリシー	このアカウントにラベルポリシーが割り当てられていること、および使用する必要がある発行されたラベルがそのポリシーに含まれていることを確認してください。異なるユーザーにラベルポリシーを使用する場合は、すべてのラベルを発行する新しいラベルポリシーを作成し、この委任されたユーザーアカウントのみにそのポリシーを発行する必要がある場合があります。
コンテンツの復号化	このアカウントでコンテンツの暗号化を解除する必要がある場合 (たとえば、ファイルを再保護する、他のユーザーが保護しているファイルを検査する場合) は、Azure Information Protection のスーパーユーザーにして、スーパーユーザー機能が有効になっていることを確認してください。
オンボーディングコントロール	段階的なデプロイのためにオンボーディング制御を実装している場合は、構成したオンボーディング制御にこのアカウントが含まれていることを確認してください。

Microsoft Entra アクセストークンは、Azure Information Protection に認証するために、委任されたユーザーの資格情報を設定して保存します。 Microsoft Entra ID のトークンの有効期限が切れた際には、新しいトークンを取得するため、コマンドレットを再度実行する必要があります。

Set-AIPAuthentication のパラメーターでは、Microsoft Entra IDのアプリ登録プロセスからの値を使用します。詳細については、「Set-AIPAuthentication 用のMicrosoft Entra アプリケーションを作成して構成する」を参照してください。

先に Set-AIPAuthentication コマンドレットを実行して、ラベル付けコマンドレットを非対話式に実行します。

AIPAuthentication コマンドレットを実行しているコンピューターは、Microsoft Purview コンプライアンスポータルで委任されたユーザーアカウントに割り当てられているラベル付けポリシーをダウンロードします。

Set-AIPAuthentication 用の Microsoft Entra アプリケーションを作成して構成します

Set-AIPAuthentication コマンドレットには、AppId パラメーターと AppSecret パラメーターのアプリ登録が必要です。

統合ラベル付けクライアントの Set-AIPAuthentication コマンドレット用の新しいアプリ登録を作成するには、次のようにします。

新しいブラウザーウィンドウでは、Azure portal をAzure Information Protection で使用する Microsoft Entra テナントにサインインします。
Microsoft Entra ID> に移動し、>アプリの登録 を管理し、新規登録 を選択します。

[アプリケーションの登録] ペインで、次の値を指定してから、[登録] をクリックします。

オプション	Value
名前	`AIP-DelegatedUser` 必要に応じて、別の名前を指定します。名前は、テナントごとに一意である必要があります。
サポートされているアカウントの種類	[この組織のディレクトリ内のアカウントのみ] を選択します。
リダイレクト URI (省略可能)	[Web] を選択し、「`https://localhost`」と入力します。

[AIP-DelegatedUser] ペインで、[アプリケーション (クライアント) ID] の値をコピーします。

値は例の 77c3c1c3-abf9-404e-8b2b-4652836c8c66 のようになります。

この値は、Set-AIPAuthentication コマンドレットを実行するときに AppId パラメーターに使用されます。後で参照するために値を貼り付けて保存します。
サイドバーで、[管理]>[証明書とシークレット] を選択します。

次に、[AIP-DelegatedUser] - [証明書とシークレット] ペインで、[クライアントシークレット] セクションの [新しいクライアントシークレット] を選択します。
[クライアントシークレットの追加] で、次の内容を指定してから、[追加] を選択します。

フィールド Value

説明 Azure Information Protection unified labeling client

有効期限 選択した期間 (1 年、2 年、または無期限) を指定します
[AIP-DelegatedUser] - [証明書とシークレット] ペインに戻り、[クライアントシークレット] セクションで VALUE の文字列をコピーします。

この文字列は例の OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4 のようになります。

すべての文字を確実にコピーするために、[クリップボードにコピー] アイコンを選択します。

重要

この文字列は再度表示されず、取得することもできないため、保存することが重要です。使用する機密情報と同様に、保存された値を安全に格納し、それに対するアクセスを制限します。
サイドバーで、[管理]>[API のアクセス許可] を選択します。

[AIP-DelegatedUser] - [API のアクセス許可] ペインで、[アクセス許可の追加] を選択します。
[API アクセス許可の要求] ペインで、[Microsoft API] タブにいることを確認し、[Microsoft Rights Management Services] を選択します。

アプリケーションに必要なアクセス許可の種類を求めるメッセージが表示されたら、[アプリケーションのアクセス許可] を選択します。
[アクセス許可を選択する] で、[コンテンツ] を展開し、次を選択してから、[アクセス許可の追加] を選択します。
- Content.DelegatedReader
- Content.DelegatedWriter
[AIP-DelegatedUser] - [API のアクセス許可] ペインに戻り、もう一度 [アクセス許可の追加] を選択します。

[API アクセス許可の要求] ペインで、[所属する組織で使用している API] を選択して、「Microsoft Information Protection 同期サービス」を検索します。
[API アクセス許可の要求] ペインで、[アプリケーションのアクセス許可] を選択します。

[アクセス許可を選択する] で、[UnifiedPolicy] を展開し、[UnifiedPolicy.Tenant.Read] を選択してから、[アクセス許可の追加] を選択します。
[AIP-DelegatedUser] - [API のアクセス許可] ペインに戻り、[<"ご利用のテナント名"> に管理者の同意を与えます] を選択し、確認プロンプトで [はい] を選択します。

API のアクセス許可は次の図のようになります。

フィールド	Value
説明	`Azure Information Protection unified labeling client`
有効期限	選択した期間 (1 年、2 年、または無期限) を指定します

これで、シークレットを使用したこのアプリの登録が完了し、パラメーター AppId と AppSecret を使用して Set-AIPAuthentication を実行する準備ができました。さらに、テナント ID が必要です。

ヒント

Azure portal を使用してテナント ID をすばやくコピーできます:Microsoft Entra ID>管理>プロパティ>ディレクトリ ID。　

Set-AIPAuthentication コマンドレットの実行

[管理者として実行] オプションを使用して、Windows PowerShell を開きます。
PowerShell セッションで、非対話形式で実行される Windows ユーザーアカウントの資格情報を格納する変数を作成します。たとえば、スキャナーのサービスアカウントを作成した場合は、次のようになります。
```
$pscreds = Get-Credential "CONTOSO\srv-scanner"
```
このアカウントのパスワードを求めるプロンプトが表示されます。
Set-AIPAuthentication コマンドレットを、OnBeHalfOf パラメーターを指定して実行します。その値には、作成した変数を指定します。

また、アプリ登録値、テナント ID、Microsoft Entra ID で委任されたユーザーアカウントの名前を指定します。次に例を示します。
```
Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds
```

PowerShell コマンドレットの共通パラメーター

共通パラメーターについては、共通パラメーターに関する記事をご覧ください。

次のステップ

PowerShell セッション中にコマンドレットのヘルプを表示するには、「Get-Help <cmdlet name> -online」と入力します。次に例を示します。

Get-Help Set-AIPFileLabel -online