チュートリアル: Azure Information Protection (AIP) クラシック クライアントから統合ラベル付けソリューションに移行する

Note

Microsoft Purview Information Protection をお探しですか? (以前の Microsoft Information Protection (MIP))

Azure Information Protection アドインは廃止され、Microsoft 365 アプリとサービスに組み込まれているラベルに置き換えられています。 詳細については、「他の Azure Information Protection コンポーネントのサポート状況」を参照してください。

新しい Microsoft Information Protection クライアント (アドインなし) は現在プレビュー段階であり、一般提供が予定されています。

統一され合理化されたカスタマー エクスペリエンスを提供するために、Azure portal の Azure Information Protection クラシック クライアントとラベル管理は、2021 年 3 月 31 日をもって廃止されました。 クラシック クライアントは引き続き構成されたとおりに動作しますが、今後はサポートが提供されず、クラシック クライアントのメンテナンス バージョンはリリースされません。

統合ラベル付けに移行し、統合ラベル付けクライアントにアップグレードすることをお勧めします。 廃止の詳細については、最新情報を参照してください。

このチュートリアルでは、社内で利用している Azure Information Protection のデプロイを、クラシック クライアントと Azure portal におけるラベルまたはラベル ポリシーの管理から、統合ラベル付けソリューションと Microsoft 365 秘密度ラベルに移行する方法について説明します。

所要時間: 移行の所要時間は、ポリシーの複雑さと、使用する AIP 機能によって異なります。 バックグラウンドで移行を進めている間、クラシック クライアントでの作業を継続できます。

このチュートリアルでは、各手順の概要を説明し、詳細情報の参照先として Microsoft ドキュメントの関連セクションを示しています。

このチュートリアルでは、次のことについて説明します。

• 移行の計画について学習する
• 統合ラベル付けプラットフォームにラベルを移行する
• Microsoft Purview コンプライアンス ポータルの詳細設定を構成する方法を学習する
• 統合ラベル付けプラットフォームにポリシーをコピーする
• 統合ラベル付けクライアントをデプロイする

統合ラベル付けソリューションに移行する理由

クラシック クライアントの廃止に加え、統合ラベル付けソリューションに移行することで、デジタル資産全体の機密データを効率的に保護することができます。 移行後は、Microsoft 365 クラウド サービス、オンプレミス、サードパーティの SaaS アプリケーションなどで、Microsoft Purview Information Protection を使用します。

MIP では、数多くの基本的な情報保護機能に対して組み込みのラベル付けサービスがサポートされるため、クライアントの使用を、組み込みのラベル付けでサポートされない追加機能に限定することができます。

• メンテナンス コストの削減: デプロイおよびメンテナンスする追加のソフトウェアを削減することで実現します
• Office のパフォーマンスの向上: アドインを追加する必要はありません
• Microsoft Purview コンライアンス ポータルを使用して、AIP、Office 365、Windows 全体にわたるラベル付けと保護ポリシー管理を効率化する。

詳細については、統合ラベル付けへの移行についてのブログを参照してください。

移行を計画する

AIP クラシック クライアントで提供されている機能のほとんどは統合ラベル付けクライアントでも利用できますが、まだ完全には利用できない機能や、統合ラベル付けでは構成が異なる機能もあります。

統合ラベル付けクライアントから Information Protection 機能を使用した場合の違いについては、次の記事を参照してください。

• Office アプリでの組み込みラベル付け機能について学習する
• 組み込みラベル付けと AIP 統合ラベル付けクライアントについて学習する
• Microsoft Purview コンプライアンス ポータルですぐにはサポートされないラベルの設定を管理する方法について学習する

ヒント

クライアント間の違いとして、エンド ユーザーの動作に影響する相違点がドキュメントに記載されている場合は、統合ラベル付けクライアントのデプロイと新しいポリシーの発行を始める前に、それらの変更を効率的にユーザーに伝達することをお勧めします。

移行の計画を立て、生じる変更を把握したら、「統合ラベル付けプラットフォームにラベルを移行する」に進みます。

統合ラベル付けプラットフォームにラベルを移行する

移行を計画し、クライアントでの違いをどのように管理するかを検討したら、統合ラベル付けをアクティブにしてラベルを移行する準備が整いました。

移行中も、Azure portal の Azure Information Protection 領域で、引き続き AIP クラシック クライアントとポリシーを使用できます。 2 つのクライアントは、追加の構成なしで並行して動作させることができます。

1. 次のいずれかのロールを持つ管理者として Azure portal にサインインします。

   • コンプライアンス管理者
   • コンプライアンス データ管理者
   • セキュリティ管理者
   • グローバル管理者

2. Azure Information Protection 領域の左側にある [管理] で、[統合ラベル付け] を選択します。

   ページの上部にある [アクティブ化] を選択すると、統合ラベル付けがアクティブになります。

   ご自分のラベルは、Azure Information Protection から統合ラベル付けプラットフォームにコピーされて、この時点で両方のシステムに格納されています。

   Microsoft Purview コンプライアンス ポータルを開いて、そこに表示されるラベルと Azure Information Protection 領域に表示されるラベルを比較します。 2 つのリストは同じである必要があります。 たとえば、Microsoft Purview コンプライアンス ポータルと比較した結果は次のとおりです。

   

   Note

   必要に応じて、移行が完了するまで、両方のシステムのラベルを引き続き使用できます。 詳細については、「ラベル付けの編集を同期させる」を参照してください。

「統合ラベル付けプラットフォームにポリシーをコピーする」に進みます。

ラベル付けの編集を同期させる

Microsoft Purview コンプライアンス ポータルへのラベルの移行後、移行済みのラベルを引き続き Azure portal で編集すると、Microsoft Purview コンプライアンス ポータル内の同じラベルに自動的に同期されます。

ただし、Microsoft Purview コンプライアンス ポータルで移行済みのラベルを編集した内容は、Azure portal に同期 "されません"。 Microsoft Purview コンプライアンス ポータルで編集を行い、それらを Azure portal で更新する必要がある場合は、ポータルに戻ってその更新を発行します。

更新済みのラベルを Azure portal で発行するには、次の手順を実行します。

1. Azure Information Protection 領域の左側にある [管理] で、[統合ラベル付け] を選択します。

2. [発行] を選びます。

Note

この手順が必要になるのは、移行済みのラベルを統合ラベル付けプラットフォームで編集し、それらの編集を Azure portal に同期させる必要がある場合だけです。

PowerShell を使用してラベルを移行する

GCC High 環境に使用されるような既存のラベルは、PowerShell を使用して移行することもできます。

既存の秘密度ラベルを移行するには、New-Label コマンドレットを使用します。

たとえば、秘密度ラベルに暗号化が含まれる場合は、次のように New-Label コマンドレットを使用します。

New-Label -Name 'aipscopetest' -Tooltip 'aipscopetest' -Comment 'admin notes' -DisplayName 'aipscopetest' -Identity 'b342447b-eab9-ea11-8360-001a7dda7113' -EncryptionEnabled $true -EncryptionProtectionType 'template' -EncryptionTemplateId 'a32027d7-ea77-4ba8-b2a9-7101a4e44d89' -EncryptionAipTemplateScopes "['allcompany@labelaction.onmicrosoft.com','admin@labelaction.onmicrosoft.com']"

GCC、GCC High、DoD 環境における作業の詳細については、「Azure Information Protection Premium Government のサービスの説明」を参照してください。

統合ラベル付けプラットフォームにポリシーをコピーする

Azure portal に保存したポリシーをコピーして、統合ラベル付けプラットフォームでそのまま使用できるようにします。

現在、この機能はプレビュー段階にあります。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

Note

ポリシーをコピーする場合には、いくつかの制限事項があります。 Microsoft Purview コンプライアンス ポータルで、最初から手動でポリシーを作成することもできます。 詳細については、Microsoft 365 のドキュメントを参照してください。

ポリシーをコピーするには、次の手順を実行します。

1. 次の項目について検討し、この時点でポリシーをコピーすることを確認します。

   考慮事項	説明
   ポリシーをコピーすると、お使いの "すべて" のポリシーがコピーされます	特定のポリシーだけをコピーすることはサポートされません。現在はすべてのポリシーをコピーするか、何もコピーしないかのどちらかです。
   コピーされたポリシーは自動的に発行されます	統合ラベル付けクライアントにポリシーをコピーすると、統合ラベル付けがサポートされるすべてのクライアントにそれらが自動的に発行されます。 重要: 発行しないポリシーはコピーしないでください。
   同じ名前の既存のポリシーはコピーにより上書きされます	同じ名前のポリシーが既に Microsoft Purview コンプライアンス ポータルに存在する場合、ポリシーをコピーすると、そのポリシーに定義されている設定がすべて上書きされます。 Azure portal からコピーされたすべてのポリシーには、AIP_<policy name> という構文で名前が付けられます。
   一部のクライアント設定はコピーされません	一部のクライアント設定は、統合ラベル付けプラットフォームにコピーされず、移行後に手動で構成する必要があります。 詳細については、「ラベル付けの詳細設定を構成する」を参照してください

2. 次のいずれかのロールを持つ管理者として Azure portal にサインインします。

   • コンプライアンス管理者
   • コンプライアンス データ管理者
   • セキュリティ管理者
   • グローバル管理者

3. Azure Information Protection 領域の左側にある [管理] で、[統合ラベル付け] を選択します。

4. [ポリシーのコピー (プレビュー)] を選択します。 Azure portal に保存したすべてのポリシーが Microsoft Purview コンプライアンス ポータルにコピーされます。

   同じ名前のポリシーが既に Microsoft Purview コンプライアンス ポータルに存在する場合、そのポリシーは Azure portal からの設定で上書きされます。

   重要

   現在、Microsoft Defender for Cloud Apps と Azure Information Protection のラベルをお使いの場合は、最小限の一連のラベルを含んだポリシー (ポリシーの対象が 1 人のユーザーである場合でも) が少なくとも 1 つ Microsoft Purview コンプライアンスに発行済みであることを確認してください。

   このポリシーは、Microsoft Defender for Cloud Apps で Microsoft Purview コンプライアンス ポータル内のラベルをすべて識別して、Microsoft Defender for Cloud Apps ポータルに表示するために必要となります。

ラベルとポリシーの両方が移行されたので、移行されない詳細な構成について説明している「ラベル付けの詳細設定を構成する」に進みます。

ラベル付けの詳細設定を構成する

計画フェーズで触れたように、一部の詳細なラベル付け設定は自動的には移行されません。統合ラベル付けプラットフォームで再び構成する必要があります。

詳細については、以下を参照してください:

• ラベル付けの詳細設定を PowerShell で構成する
• Microsoft Purview コンプライアンス ポータルでラベルの条件を定義する

ラベル付けの詳細設定を PowerShell で構成する

1. セキュリティ & コンプライアンス センターの PowerShell モジュールに接続します。 詳細については、セキュリティ & コンプライアンス センターの PowerShell に関するドキュメントを参照してください。

2. ラベルの詳細設定を定義するには、Set-Label コマンドレットを使用し、AdvancedSettings パラメーター、設定の適用先となるラベル、設定を定義するためのキーと値のペアを指定します。

   次の構文を使用します。

   Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{<Key>="<value1>,<value2>"}
   

   ここで:

   • <LabelGUIDorName> では、ラベル名または GUID を使用してラベルを識別します
   • <Key> は、構成する詳細設定のキーまたは名前です
   • <Value> は、定義する設定値です。 値は引用符で囲み、複数の値はコンマで区切ります。 空白はサポートされません。

3. 次の詳細設定の構成から始めます。

   • ラベルの色を指定する
   • 親ラベルの既定のサブラベルを指定する
   • Outlook で S/MIME 保護を適用するためのラベルを構成する
   • カスタム プロパティを使用してラベルを定義する
   • ラベルの翻訳を定義する

   使用可能な詳細な構成の詳細については、「管理者ガイド: Azure Information Protection 統合ラベル付けクライアントのカスタム構成」を参照してください。

Note

統合ラベル付けプラットフォーム用に定義された設定を活用するには、エンドユーザーのマシンに統合ラベル付けクライアントがインストールされている必要があります。

Office 365 で提供される組み込みのラベル付けのみを使用しているユーザーは、これらの詳細設定を利用することはできません。

Microsoft Purview コンプライアンス ポータルでラベルの条件を定義する

統合ラベル付けの条件では、Azure portal で作成された条件よりもすぐれた柔軟性と正確性が提供されます。

統合ラベル付けの条件の機能を活用するには、Microsoft Purview コンプライアンス ポータルでラベル付けの条件を手動で作成します。

詳細については、Microsoft 365 のドキュメントの「秘密度ラベルでできること」を参照してください。

ヒント

Office 365 DLP または Microsoft Defender for Cloud Apps での使用を目的として作成したカスタムの機密情報の種類がある場合は、統合ラベル付けにそのまま適用します。 詳細については、Microsoft 365 のドキュメントを参照してください。

統合ラベル付けクライアントをデプロイする

統合ラベル付けのポリシーとラベルをユーザーが使用できるようにするには、統合ラベル付けをサポートするクライアントを各ユーザーのマシンにデプロイします。

ユーザーには、Microsoft Purview コンプライアンス ポータルに接続して統合ラベル付けポリシーをプルできるサポート対象のクライアントが必要です。

詳細については、以下を参照してください:

• Windows 以外のプラットフォーム
• Windows プラットフォーム
• クラシック クライアントのエンドユーザーの場合の変更点

Windows 以外のプラットフォーム

Windows 以外のプラットフォームでは、統合ラベル付け機能が Office クライアントに直接統合されており、ユーザーは発行されたラベルをすぐに使用できます。

統合ラベル付け機能が統合された Office クライアントには次のものがあります。

• macOS 用 Office クライアント
• Office for the web (プレビュー)
• Outlook Web App
• モバイル用 Outlook

これらのプラットフォームにおける統合ラベル付けの詳細については、Microsoft サポート サイトの「Office のファイルとメールに秘密度ラベルを適用する」を参照してください。

Windows プラットフォーム

Microsoft 365 Apps for enterprise がインストールされている Windows マシンでは、Office バージョン 1910 以上で提供される組み込みのラベル付け機能を使用するか、Azure Information Protection の統合ラベル付けクライアントをインストールして AIP 機能をエクスプローラーまたは PowerShell に拡張します。

詳細については、以下を参照してください:

• 組み込みラベル付けと AIP 統合ラベル付けクライアントについて学習する
• クイック スタート - Azure Information Protection (AIP) 統合ラベル付けクライアントのデプロイ

Azure Information Protection 統合ラベル付けクライアントは、Microsoft ダウンロード センターからダウンロードできます。

必ず AzInfoProtection_UL ファイルを使用してクライアントにデプロイしてください。 現在、クラシック クライアントがマシンにインストールされている場合、統合ラベル付けクライアントをインストールするとインプレース アップグレードが実行されます。

Note

組み込みのラベル付けを使用する時期や、統合ラベル付けクライアントを使用する時期を決定する際は、現在、ご自分の組織で必要とされている AIP 機能を考慮してください。

クラシック クライアントのエンドユーザーの場合の変更点

Azure Information Protection クラシック クライアントを使用してきたエンド ユーザーにとって最も目に見える違いは、Office アプリの [保護] ボタンが [秘密度] ボタンに置き換わったことです。

秘密度ラベルと統合ラベル付けでサポートされる追加機能を利用すると、エンド ユーザーの Office アプリにもそれらの変更が表示されます。

次に例を示します。

• Windows AIP クラシック クライアント

  

• Windows AIP 統合ラベル付けクライアント

  

ヒント

ラベルを発行したにもかかわらず、組み込みサポートを備えたクライアントに [秘密度] ボタンが表示されない場合は、必要に応じて該当するトラブルシューティング ガイドをご確認ください。

クラシック クライアントのスキャナーをアップグレードする

現在、Azure Information Protection クラシック クライアントの Azure Information Protection スキャナーを使用している場合はアップグレードして、Microsoft Purview コンプライアンス ポータルから発行される機密情報の種類と秘密度ラベルを使用できます。

スキャナーをアップグレードする方法は、現在実行しているクラシック クライアントのバージョンによって異なります。

• バージョン 1.48.204.0 以降からアップグレードする

• バージョン 1.48.204.0 より前からアップグレードする

アップグレードでは AIPScannerUL_<profile_name> という名前の新しいデータベースが作成され、以前のバージョンで必要になった場合のために以前のスキャナー データベースが維持されます。 以前のスキャナー データベースが不要であることに確信がある場合は、削除できます。 アップグレードによって新しいデータベースが作成されるので、スキャナーでは初回の実行時にすべてのファイルが再スキャンされます。

Azure Information Protection クラシック クライアント バージョン 1.48.204.0 以降からアップグレードする

統合ラベル付けクライアントのプレビュー バージョンを使用してスキャナーをアップグレードした場合は、これらの手順を再度実行する必要はありません。

1. スキャナーのコンピューターで、スキャナー サービス (Azure Information Protection Scanner) を停止します。

2. Microsoft ダウンロード センターから統合ラベル付けクライアントをダウンロードしてインストールすることにより、Azure Information Protection 統合ラベル付けクライアントをアップグレードします。

3. PowerShell セッションで、スキャナーのプロファイルを指定して Update-AIPScanner コマンドを実行します。 (例: Update-AIPScanner –Profile Europe)。

   この手順により、AIPScannerUL_<profile_name> という名前の新しいデータベースが作成されます

4. Azure Information Protection スキャナー サービス (Azure Information Protection Scanner) を再起動します。

これで、「Azure Information Protection スキャナーをデプロイして、ファイルを自動的に分類して保護する」の残りの手順を使用できるようになりました。スキャナーをインストールする手順は省略します。 スキャナーは既にインストールされているので、もう一度インストールする理由はありません。

Azure Information Protection クラシック クライアント バージョン 1.48.204.0 より前からアップグレードする

重要

スムーズなアップグレード パスにするために、スキャナーをアップグレードする最初の手順として、スキャナーが実行されているコンピューターに Azure Information Protection 統合ラベル付けクライアントをインストールしないでください。 代わりに、以下のアップグレード手順を使用してください。

バージョン 1.48.204.0 以降、スキャナーでは構成プロファイルを使用して Azure portal から構成設定を取得します。 スキャナーのアップグレードでは、このオンライン構成を使用するようにスキャナーが指示されます。また、統合ラベル付けクライアントの場合、スキャナーのオフライン構成はサポートされていません。

1. Azure portal を使用して、スキャナーの設定と必要な設定を持つデータ リポジトリを含む新しいスキャナー プロファイルを作成します。 このステップについては、スキャナーのデプロイ手順の「Azure portal でスキャナーを構成する」をご覧ください。

2. スキャナーのコンピューターで、スキャナー サービス (Azure Information Protection Scanner) を停止します。

3. Microsoft ダウンロード センターから統合ラベル付けクライアントをダウンロードしてインストールすることにより、Azure Information Protection 統合ラベル付けクライアントをアップグレードします。

4. PowerShell セッションで、手順 1 で指定したのと同じプロファイル名を指定して Update-AIPScanner コマンドを実行します。 例: Update-AIPScanner –Profile Europe

5. Azure Information Protection スキャナー サービス (Azure Information Protection Scanner) を再起動します。

これで、「Azure Information Protection スキャナーをデプロイして、ファイルを自動的に分類して保護する」の残りの手順を使用できるようになりました。スキャナーをインストールする手順は省略します。 スキャナーは既にインストールされているので、もう一度インストールする理由はありません。

次のステップ

ラベル、ポリシーを移行し、必要に応じてクライアントを配置したら、Microsoft Purview コンプライアンス ポータルのみでラベルとラベル付けポリシーを管理する方法に関する記事に進みます。

統合ラベル付けプラットフォームを使用すると、Azure portal の Azure Information Protection 領域に戻るだけで、次の作業を行うことができます。

• AIP スキャナーを使用する
• AIP 分析を使用してラベル付けのアクティビティを監視する

エンドユーザーは、Web、Mac、iOS、Android 向けの最新の Office アプリと Microsoft 365 Apps for enterprise で組み込みのラベル付け機能を活用することをお勧めします。

組み込みのラベル付けでまだサポートされていないその他の AIP 機能を使用するには、Windows 向けの最新の統合ラベル付けクライアントを使用することをお勧めします。