Office アプリで秘密度ラベルを管理する

セキュリティ & コンプライアンスに関する Microsoft 365 ライセンス ガイダンス

Microsoft Purview コンプライアンス ポータルから秘密度ラベルを公開すると、Office アプリに表示され始め、ユーザーはデータの作成または編集時にデータを分類および保護できます。

この記事の情報を使用して、Office アプリの秘密度ラベルを正常に管理するのに役立ててください。 たとえば、組み込みのラベル付けに固有の機能に必要なアプリの最小バージョン、これらの機能の追加の構成情報を特定し、Azure Information Protection統合ラベル付けクライアントやその他のアプリやサービスとの対話を理解します。

ヒント

E5 のお客様でない場合は、Microsoft Purview のすべてのプレミアム機能を無料で試すことができます。 90 日間の Purview ソリューション試用版を使用して、堅牢な Purview 機能が組織がデータのセキュリティとコンプライアンスのニーズを管理するのにどのように役立つかを調べます。 Microsoft Purview コンプライアンス ポータル試用版ハブから今すぐ開始します。 サインアップと試用版の条件の詳細について説明します。

デスクトップ アプリのラベル付けクライアント

Windows および Mac 用の Office デスクトップ アプリに組み込まれている秘密度ラベルを使用するには、Office のサブスクリプション エディションを使用する必要があります。 このラベル付けクライアントは、スタンドアロン エディションの Office ("永続ライセンス版 Office"とも呼ばれます) をサポートしていません。

Azure Information Protection統合ラベル付けクライアントからの Azure Information Protection (AIP) アドイン コンポーネントがメンテナンス モードになりました。 現在、Office アプリでのラベル付けにこのアドインを使用している場合は、組み込みのラベル付けに移行することをお勧めします。 詳細については、「Azure Information Protection (AIP) アドインを Office アプリの組み込みラベル付けに移行する」を参照してください。

アプリでの秘密度ラベル機能のサポート

Office アプリに組み込まれている秘密度ラベルの特定の機能を導入した最小 Office バージョンを特定するには、「 Office アプリの秘密度ラベルの最小バージョン 」の表を使用します。 または、ラベル機能が公開プレビュー中または将来のリリースのためにレビュー中の場合。

Windows、macOS、iOS、および Android の最小バージョンの一覧に加えて、この機能がOffice on the webでサポートされているかどうかを表に含めます。

Office for iOS および Office for Android: 秘密度ラベルは Office アプリに組み込まれています。

Office 組み込みのラベル付けクライアントと Azure Information Protection クライアント

ユーザーが Windows コンピューターに Azure Information Protection (AIP) クライアントをインストールしている場合、ラベル付けをサポートする最新の Windows Office アプリでは、組み込みのラベルが新しい既定値になります。 組み込みラベルは、AIP クライアントで使用される Office アドインを使用しないため、安定性とパフォーマンスの向上という利点があります。 また、高度な分類子などの最新の機能もサポートしています。

注:

Windows コンピューターで予期されるラベル付け機能が表示されない場合は、Office 更新チャネルでサポートされている最小バージョンが確認されているにもかかわらず、古いバージョンの Office で AIP アドインを無効にする 必要がある可能性があります。

AIP クライアントでのラベル付けのサポートと、Office アプリでのみこのクライアントを無効にする方法の詳細については、「Azure Information Protection (AIP) アドインを Office アプリの組み込みラベル付けに移行する」を参照してください。

Windows 上の Office アプリで組み込みのラベル付けを無効にする必要がある場合

Office 組み込みのラベル付けクライアントは、Microsoft Purview コンプライアンス ポータルから秘密度ラベルと秘密度ラベル ポリシー設定をダウンロードします。

Office 組み込みのラベル付けクライアントを使用するには、Microsoft Purview コンプライアンス ポータルとサポートされているバージョンの Office からユーザーに 1 つ以上のラベル ポリシーを公開する必要があります。

これらの条件の両方が満たされているが、Windows Office アプリの組み込みのラベル付けクライアントをオフにする必要がある場合は、次のグループ ポリシー設定を使用します:

  1. ユーザーの構成/管理用テンプレート/Microsoft Office 2016/セキュリティ設定に移動します。

  2. [Office の秘密度機能を使用して、秘密度ラベルを適用および表示する]0 に設定します。

後でこの構成を元に戻す必要がある場合は、値を 1 に変更 します。 また、リボンに [秘密度] ボタンが期待どおりに表示されない場合は、この値を 1 に変更する必要がある場合もあります。 たとえば、前の管理者がこのラベル付け設定をオフにしたとします。

この設定を展開するには、グループ ポリシーを使用するか、Microsoft 365 の Cloud Policy サービスを使用します。 この設定は、Office アプリが再起動したときに有効になります。

この設定は Windows Office アプリに固有であるため、秘密度ラベル (Power BI など) や他のプラットフォーム (macOS、モバイル デバイス、Office for the web など) をサポートする Windows 上の他のアプリには影響しません。 一部またはすべてのユーザーにすべてのアプリ (すべてのプラットフォーム) で秘密度ラベルを表示して使用したくない場合は、それらのユーザーに秘密度ラベル ポリシーを割り当てないでください。

サポートされる Office ファイルの種類

一般に、Word、Excel、PowerPoint ファイルのラベル付けが組み込まれている Office アプリでは、Open XML 形式 (.docxや.xlsxなど) はサポートされますが、Microsoft Office 97-2003 形式 (.docや.xlsなど)、Open Document Format (.odt や .ods など) などの形式はサポートされません。 ファイルの種類が組み込みのラベル付けでサポートされていない場合、Office アプリでは [秘密度] ボタンを使用できません。

これらのサービスが秘密度ラベルに対して有効になっている場合に SharePoint と OneDrive でサポートされる特定のファイルの種類については、「 SharePoint および OneDrive で Office ファイルの秘密度ラベルを有効にする」を参照してください。

Azure Information Protection 統合ラベル付けクライアントは、Open XML 形式と Microsoft Office 97-2003 形式の両方をサポートしています。 詳細については、クライアントの管理ガイドの「Azure Information Protection 統合ラベル付けクライアントでサポートされるファイルの種類」を参照してください。

その他のラベル付けソリューションについては、サポートされるファイルの種類のドキュメントを確認してください。

保護テンプレートと秘密度ラベル

Microsoft Purview Message Encryption用に定義した保護テンプレートなど、管理者が定義した保護テンプレートは、組み込みのラベル付けを使用している場合、Office アプリには表示されません。 この簡素化されたエクスペリエンスにより、保護テンプレートを選択する必要はありません。暗号化が有効になっている秘密度ラベルに同じ設定が含まれているためです。

EncryptionTemplateId パラメーターを指定して New-Label コマンドレットを使用すると、既存のテンプレートを秘密度ラベルに変換できます。

Information Rights Management (IRM) オプションと秘密度ラベル

暗号化を適用するために構成する秘密度ラベルは、ユーザーから複雑さを取り除き、独自の暗号化設定を指定します。 多くの Office アプリでは、これらの個々の暗号化設定は、ユーザーが Information Rights Management (IRM) オプションを使用して手動で構成できます。 たとえば、Windows アプリの場合:

  • ドキュメントの場合: ファイル>情報>ドキュメントの保護>アクセスの制限
  • 電子メールの場合: [オプション] タブ [暗号化] から>

ユーザーが最初にドキュメントまたは電子メールにラベルを付けると、ラベル構成設定を独自の暗号化設定でオーバーライドできます。 次に例を示します。

  • ユーザーが社外秘 \ すべての従業員ラベルをドキュメントに適用し、このラベルは組織内のすべてのユーザーに暗号化設定を適用するように構成されています。 次に、このユーザーは IRM 設定を手動で構成して、組織外のユーザーへのアクセスを制限します。 最終結果は、社外秘 \ すべての従業員というラベルが付けられ、暗号化されたドキュメントですが、組織内のユーザーは期待どおりに開くことができません。

  • ユーザーが社外秘 \ 受信者のみラベルをメールに適用し、このメールは転送不可の暗号化設定を適用するように構成されています。 Outlook アプリでは、このユーザーが手動で暗号化のみの IRM 設定を選択します。 最終的に、社外秘 \ 受信者のみラベルが付いていても、暗号化が保持される間は受信者はメールを転送できます。

    例外として、Outlook on the web の場合、現在選択されているラベルが暗号化を適用する場合、ユーザーは [暗号化] メニューのオプションを選択できません。

  • ユーザーが全般ラベルをドキュメントに適用しますが、このラベルは暗号化を適用するように構成されていません。 次に、このユーザーは IRM 設定を手動で構成して、ドキュメントへのアクセスを制限します。 最終結果は、全般というラベルの付いたドキュメントですが、暗号化も適用されるため、一部のユーザーは期待どおりに開くことができません。

ドキュメントまたはメールにすでにラベルが付けられている場合、コンテンツがまだ暗号化されていないか、「エクスポート」または「フル コントロール」の使用権限があるなら、ユーザーはこれらのアクションのいずれかを実行できます。

わかりやすいレポートを使用してラベルをより一貫性のあるエクスペリエンスにするには、ドキュメントと電子メールを保護するためにラベルのみを適用するための適切なラベルとガイダンスをユーザーに提供します。 次に例を示します。

  • ユーザーが独自のアクセス許可を割り当てる必要がある例外的なケースでは、ユーザーが独自のアクセス許可を割り当てることができるラベルを提供します。

  • ユーザーが暗号化を適用するラベルを選んだ後に手動で暗号化を削除する代わりに、ユーザーが同じ分類の暗号化なしのラベルを必要とする場合は、サブラベルの代替手段を提供します。 たとえば、次のようなものです。

    • 社外秘 \ すべての従業員
    • 社外秘 \ すべてのユーザー (暗号化なし)
  • 以下のように IRM 設定を無効化してユーザーが選択しないようにすることを検討します。

    • Outlook for Windows:
      • レジストリ キー DWORD:00000001DisableDNFDisableEO from HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\DRM
      • グループ ポリシー設定では、[暗号化] ボタン向けに既定の暗号化オプションを構成するは構成されないことを確認してください。
    • Outlook for Mac:
    • Outlook on the web:
      • パラメーター SimplifiedClientAccessDoNotForwardDisabled および SimplifiedClientAccessEncryptOnlyDisabled は、Set-IRMConfiguration 向けに文書化されます
    • iOS および Android 用の Outlook: これらのアプリでは、ユーザーがラベルなしの暗号化を適用することをサポートされていないため、すべて無効です。

注:

ユーザーが SharePoint または OneDrive に保存されているラベル付きドキュメントから暗号化を手動で削除し、SharePoint および OneDrive で Office ファイルの秘密度ラベルを有効にした場合、ラベルの暗号化は、次にドキュメントがアクセスまたはダウンロードされたときに、自動的に復元します。

ドキュメントの暗号化ベースのラベルマッチング

管理者が定義したアクセス許可でドキュメントが暗号化されている場合、暗号化ポリシーがドキュメントに埋め込まれます。 これは、ラベル付けとは別に行われます。 たとえば、Office 添付ファイルが電子メール メッセージから暗号化を継承している場合、またはユーザーが Office アプリで Information Rights Management (IRM) を使用して保護テンプレートを適用した場合などです。 テナント内の秘密度ラベルが同じ暗号化ポリシーと一致する場合、Office アプリはその一致するラベルをドキュメントに自動的に割り当てます。

このシナリオでは、一致する秘密度ラベルでラベル付けされていないドキュメントにラベルを付け、暗号化を適用しない既存のラベルを置き換えることができます。 たとえば、[ 全般 ] ラベルは 社外秘/すべての従業員に置き換えられます。 一致するラベルのコンテンツ マーキングは、ドキュメントが以前にラベル付けされておらず、AIP アドインを使用していない限り、自動的には適用されません。

このシナリオは、保護テンプレートから暗号化を適用する秘密度ラベルに古い暗号化ソリューションを移動するのに役立ちます。

ただし、この動作は、受信者が開いたときに、電子メールと会議の添付ファイルのラベル付けシナリオでも表示されます。 例:

  1. ユーザーが電子メールを作成し、暗号化されていない Office ドキュメントを添付した後、メールにラベルを適用します。

    ラベルは、[転送不可] または [Encrypt-Only] オプションではなく、管理者によって設定されたアクセス許可を使用して暗号化を適用します。 たとえば、ラベル構成の場合、管理者は [ 今すぐアクセス許可を割り当てる] を選択し、すべての従業員が読み取りアクセス権を持っていることを指定します。

  2. 電子メールが送信されると、 添付ファイルは自動的に暗号化を継承しますが、ラベルは継承しません

  3. 同じテナント内の受信者が暗号化されたドキュメントを開くと、管理者が定義したアクセス許可の一致するラベルが自動的にドキュメントに表示され、ドキュメントが保存された場合は保持されます。

    アクティビティ エクスプローラーに表示される監査イベントとして、このユーザーはメール送信者ではなくラベルを適用しました。

暗号化ベースのラベルの照合は、管理者が定義したアクセス許可に対してテナント内でのみ機能し、一致する秘密度ラベルは、ドキュメントを開くユーザーに発行する必要があります。 ドキュメントが保存されると、一致するラベルが保持されます。

秘密度ラベルの互換性

RMS 対応アプリの場合: 秘密度ラベルをサポートしていない RMS 対応アプリケーションで、ラベル付きで暗号化されたドキュメントまたはメールを開いた場合でも、アプリは暗号化とアクセス権管理を実施します。

Azure Information Protection クライアントの場合: Azure Information Protection クライアントを使用して、Office 組み込みのラベル付けクライアントでドキュメントやメールに適用する秘密度ラベルを表示および変更できます。その逆も可能です。

他のバージョンの Office の場合: 許可されたユーザーは、他のバージョンの Office でラベル付きのドキュメントやメールを開くことができます。 ただし、サポートされている Office バージョン、または Azure Information Protection クライアントを使用してのみ、ラベルを表示または変更できます。 サポートされている Office アプリのバージョンは、前のセクションに記載されています。

秘密度ラベルで保護された SharePoint および OneDrive ファイルのサポート

SharePoint または OneDrive のドキュメントに対して Office on the web で Office 組み込みのラベル付けクライアントを使用するには、SharePoint および OneDrive の Office ファイルに秘密度ラベルが有効になっていることを確認してください。

外部ユーザーとラベル付きコンテンツのサポート

ドキュメントまたはメールにラベルを付けると、ラベルはテナントとラベル GUID を含むメタデータとして保存されます。 秘密度ラベルをサポートする Office アプリでラベル付きのドキュメントまたはメールを開くと、このメタデータが読み取られ、ユーザーが同じテナントに属している場合にのみ、ラベルがアプリに表示されます。 たとえば、Word、PowerPoint、Excel の組み込みのラベル付けの場合、ラベル名はステータス バーに表示されます。

つまり、異なるラベル名を使用する別の組織とドキュメントを共有する場合、各組織はドキュメントに適用された独自のラベルを適用して確認できます。 ただし、適用されたラベルの次の要素は、組織外のユーザーに表示されます。

  • コンテンツ マーキング。 ラベルがヘッダー、フッター、または透かしを適用すると、これらはコンテンツに直接追加され、誰かが変更または削除するまで表示されたままになります。

  • 暗号化を適用したラベルの基になる保護テンプレートの名前と説明。 この情報は、ドキュメントの上部にあるメッセージ バーに表示され、ドキュメントを開く権限のあるユーザーと、そのドキュメントの使用権に関する情報を提供します。

暗号化されたドキュメントを外部ユーザーと共有する

自分の組織内のユーザーへのアクセスを制限することはできますが、Azure Active Directory (Azure AD) にアカウントを持つ他のユーザーへのアクセスを拡張することもできます。 既定では、これらの外部ユーザーは追加の構成なしで認証されます。 ただし、Azure AD 外部 ID のクロステナント アクセス設定条件付きアクセスには、追加の構成が必要になる場合があります。

外部ユーザーが Azure AD にアカウントを持っていない場合は、テナントのゲスト アカウントを使用して認証できます。 これらのゲスト アカウントは、SharePoint および OneDrive で Office ファイルの秘密度ラベルを有効にしている場合に、SharePoint または OneDrive の共有ドキュメントにアクセスするためにも使用できます。

オプションの Azure AD 機能と認証要件にゲスト アカウントを使用する方法の詳細については、「 暗号化コンテンツの Azure AD 構成」を参照してください。

すべての Office アプリおよびその他の RMS 対応アプリケーションは、ユーザーが正常に認証された後、暗号化されたドキュメントを開くことができます。

Office アプリがコンテンツ マーキングと暗号化を適用した場合

Office アプリは、使用するアプリに応じて、秘密度ラベルを使用したコンテンツ マーキングと暗号化を異なる方法で適用します。

アプリ コンテンツのマーケティング 暗号化
すべてのプラットフォームの Word、Excel、PowerPoint 直ちに 直ちに
Outlook for PC と Outlook for Mac Exchange Onlineがメールまたは会議出席依頼を送信した後 直ちに
Outlook on the web、iOS、および Android Exchange Onlineがメールまたは会議出席依頼を送信した後 Exchange Onlineがメールまたは会議出席依頼を送信した後

Office アプリの外部のファイルに秘密度ラベルを適用するソリューションは、ファイルにラベル付けメタデータを適用します。 このシナリオでは、ラベルの構成からコンテンツ マーキングはファイルに挿入されませんが、暗号化が適用されます。

これらのファイルを Office デスクトップ アプリで開くと、ファイルが最初に保存されたときに、Azure Information Protection 統合ラベル付けクライアントによってコンテンツのマーキングが自動的に適用されます。 デスクトップ、モバイル、または Web アプリに組み込みのラベル付けを使用する場合、コンテンツ マーキングは自動的に適用されません。

Office アプリの外部に秘密度ラベルを適用することを含むシナリオは次のとおりです。

  • Azure Information Protection 統合ラベル付けクライアントのスキャナー、エクスプローラー、および PowerShell

  • SharePoint と OneDrive の自動ラベル付けポリシー

  • Power BI からエクスポートされた、ラベル付けおよび暗号化されたデータ

  • Microsoft Defender for Cloud Apps

これらのシナリオでは、Office アプリを使用して、組み込みのラベル付けを持つユーザーは、現在のラベルを一時的に削除または置換してから元のラベルを再適用することで、ラベルのコンテンツ マーキングを適用できます。

変数を使用した動的マーキング

重要

ご使用の Office アプリがこの機能をサポートしていない場合、変数を解決するのではなく、ラベル構成で指定された元のテキストとしてマーキングを適用します。

Azure Information Protection 統合ラベル付けクライアントは、動的マーキングをサポートしています。 Office に組み込まれているラベル付けについては、「 Office アプリの秘密度ラベルの最小バージョン」の表を参照してください。

コンテンツ マーキングの秘密度ラベルを構成する場合、ヘッダー、フッター、または透かしのテキスト文字列で次の変数を使用できます。

変数 説明 ラベルが適用された場合の例
${Item.Label} 適用されたラベルのラベル表示名 全般
${Item.Name} ラベル付けされたコンテンツのファイル名またはメールの件名 Sales.docx
${Item.Location} ラベル付けされたドキュメントのパスとファイル名、またはラベル付けされたメールの件名 \\Sales\2020\Q3\Report.docx
${User.Name} ラベルを適用するユーザーの表示名 Richard Simone
${User.PrincipalName} ラベルを適用するユーザーの Azure AD ユーザー プリンシパル名 (UPN) rsimone@contoso.com
${Event.DateTime} コンテンツにラベル付けされる日時、Microsoft 365 アプリでラベルを適用するユーザーのローカル タイム ゾーン、または Office Online および自動ラベル付けポリシーの UTC (協定世界時) 2020 年 8 月 10 日午後 1:30

注:

これらの変数の構文では大文字と小文字が区別されます。

Word、Excel、PowerPoint、および Outlook にさまざまな視覚的マーキングを設定する

追加の変数として、テキスト文字列で "If.App" 変数ステートメントを使用して Office アプリケーションの種類ごとに視覚的マーキングを構成し、WordExcelPowerPoint、または Outlook の値を使用してアプリケーションの種類を識別できます。 これらの値を短縮することもできます。これは、同じ If.App ステートメントで複数を指定する場合に必要です。

次の構文を使用してください。

${If.App.<application type>}<your visual markings text> ${If.End}

他の動的な視覚的マーキングと同様に、構文では大文字と小文字が区別され、各アプリケーション タイプ (WEPO) の略語が含まれます。

例:

  • Word 文書のみのヘッダー テキストを設定します。

    ${If.App.Word}This Word document is sensitive ${If.End}

    Word 文書ヘッダーのみで、ラベルに「この Word 文書は機密です」というヘッダー テキストを適用します。 ヘッダー テキストは他の Office アプリケーションには適用されません。

  • Word、Excel、および Outlook のフッター テキストと、PowerPoint の別のフッター テキストを設定します。

    ${If.App.WXO}This content is confidential. ${If.End}${If.App.PowerPoint}This presentation is confidential. ${If.End}

    Word、Excel、Outlook では、"このコンテンツは機密です" というフッター テキストがラベルによって適用されます。PowerPoint では、ラベルによってフッター テキスト "このプレゼンテーションは機密です" が適用されます。

  • Word と PowerPoint に特定の透かしテキストを設定してから、Word、Excel、PowerPoint に透かしテキストを設定します。

    ${If.App.WP}This content is ${If.End}Confidential

    Word および PowerPoint では、ラベルに「このコンテンツは社外秘です」という透かしテキストを適用します。 Excel では、ラベルに「社外秘」という透かしテキストを適用します。 Outlook では、視覚的マーキングとしての透かしは Outlook でサポートされていないため、ラベルに透かしテキストを適用しません。

ユーザーがメールとドキュメントにラベルを適用することを必須にする

重要

Azure Information Protection 統合ラベリング クライアントは、必須ラベリングとも呼ばれるこの構成をサポートします。 Office アプリに組み込まれているラベル付けについては、「Office アプリの 秘密度ラベルの最小バージョン」の表を参照してください。

メールではなくドキュメントに必須ラベルを使用するには、Outlook 固有のオプションを構成する方法を説明する次のセクションの手順を参照してください。

Power BI の必須のラベル付けを使用するには、「Power BI の必須のラベル付けポリシー」を参照してください。

このポリシー設定 [ユーザーに電子メールとドキュメントへのラベルの適用を要求する] を選択した場合、ポリシーを割り当てられたユーザーは、次のシナリオで秘密度ラベルを選択して適用する必要があります。

  • Azure Information Protection 統合ラベル付けクライアントの場合:

    • ドキュメント (Word、Excel、PowerPoint) の場合: ラベル付けされていないドキュメントが保存されたとき、またはユーザーがドキュメントを閉じたとき。
    • メール (Outlook) の場合: ユーザーがラベル付けされていないメッセージを送信するとき。
  • Office アプリに組み込まれているラベル付けの場合:

    • ドキュメント (Word、Excel、PowerPoint) の場合: ラベル付けされていないドキュメントを開いたり保存したりしたとき。
    • メール (Outlook) の場合: ユーザーがラベル付けされていないメール メッセージを送信するとき。

組み込みのラベル付けに関する追加情報:

  • ラベル付けされていないドキュメントを開いたために秘密度ラベルを追加するように求められた場合、ユーザーはラベルを追加するか、ドキュメントを読み取り専用モードで開くことを選択できます。

  • 必須のラベル付けが有効になっている場合、ユーザーはドキュメントから秘密度ラベルを削除することはできませんが、既存のラベルを変更することはできます。

  • 必須のラベル付けが有効になっている場合、ドキュメントにラベルが付けられているか暗号化されていると、PDF に印刷オプションは使用できなくなります。 詳細については、このページの「PDF サポート」セクションを参照してください。

この設定をいつ使用するかについては、ポリシー設定に関する情報を参照してください。

注:

必須のラベル付けに加えて、ドキュメントやメールに既定のラベル ポリシー設定を使用する場合:

既定のラベルは、必須のラベル付けよりも常に優先されます。 ただし、ドキュメントの場合、Azure Information Protection 統合ラベル付けクライアントでは、既定のラベルがすべてのラベルなしドキュメントに適用されます。一方、組み込みのラベル付けでは、既定のラベルは新しいドキュメントには適用されますが、ラベルのない既存のドキュメントには適用されません。 この動作の違いにより、ユーザーが既定のラベル設定で必須のラベル付けを使用する場合、Azure Information Protection の統合ラベル付けクライアント使用時よりも、組み込みのラベル付け使用時のほうが、秘密度ラベルの適用を求めるメッセージがより頻繁に表示されることになります。

今すぐロールアウト: 組み込みラベル付けを使用し、既存のドキュメント用に既定のラベルをサポートする Office アプリ。 詳細については、Word、Excel、および PowerPoint の機能表を参照してください。

既定ラベルと必須ラベルの Outlook 固有のオプション

組み込みのラベル付けの場合は、Outlook の機能テーブルと、既定のラベルと必須ラベル付けの [異なる設定] 行を使用して、これらの機能をサポートする Outlook の最小バージョンを特定します。 Azure Information Protection 統合ラベル付けクライアントのすべてのバージョンは、これらの Outlook 固有のオプションをサポートします。

Outlook アプリが、ドキュメントの既定のラベル設定と異なる既定のラベル設定をサポートしている場合は、以下のようになります。

  • Microsoft Purview コンプライアンス ポータルのラベル ポリシー構成の [メールに既定のラベルを適用する] ページでは、ラベルなしのすべてのメールに適用される秘密度ラベルを選択するか、既定のラベルをなしにするかを指定できます。 この設定は、構成の以前の [ドキュメント向けポリシー設定] ページの [既定でドキュメントにこのラベルを適用する] 設定とは独立しています。

Outlook アプリが、ドキュメント向けの既定のラベル設定と異なる既定のラベル設定をサポートしていない場合: Outlook は、ラベル ポリシー ウィザードの[ドキュメント向けポリシー設定] ページで [既定でドキュメントにこのラベルを適用する] に指定した値を常に使用します。

Outlook アプリが、必須のラベル付けをオフすることをサポートする場合は、以下のようになります。

  • [ポリシー設定] ページの Microsoft Purview コンプライアンス ポータルのラベル ポリシー構成で、[メールまたはドキュメントにラベルを適用するユーザーを要求する] を選択します。 次に [次へ]>、[次へ] の順に選択し、[メールへのラベルの適用をユーザーに要求する] チェックボックスをオフにします。 ドキュメントに加えて、メールにもラベル付けを必須にすることを適用する場合は、チェックボックスをオンにしたままにしておきます。

Outlook アプリが必須のラベル付けをオフにすることをサポートしていない場合。ポリシー設定でRequire users to apply a label to their email or documentsを選択した場合、Outlookはラベルのない電子メールに対して常にユーザーにラベルの選択を促すようになります。

注:

Set-LabelPolicy コマンドレットまたは New-LabelPolicy コマンドレットを使用して、PowerShell の詳細設定 OutlookDefaultLabel および DisableMandatoryInOutlook を設定している場合は、このコマンドレットを使用してください。

これらの PowerShell 設定で選択した値は、Microsoft Purview コンプライアンス ポータルのラベル ポリシー構成に反映され、これらの設定をサポートする Outlook アプリで自動的に機能します。 その他の PowerShell の詳細設定は、Azure Information Protection 統合ラベル付けクライアントでのみサポートされたままです。

Outlook で S/MIME 保護を適用するようにラベルを構成する

注:

この機能は、Windows、Mac、iOS、Android の組み込みのラベル付けに使用できますが、Outlook on the webはまだ使用できません。 Outlook の 機能テーブル と [ S/MIME 保護の適用] 行を使用して、この機能をサポートする Outlook の最小バージョンを特定します。

S/MIME 保護を適用するようにラベルを構成しても、Outlook for Windows のバージョンがまだサポートされていない場合、ラベルは引き続き表示され、適用できますが、S/MIME 設定は無視されます。 Exchange 自動ラベル付けポリシーに対してこのラベルを選択することはできません。

この構成は、Microsoft Purview コンプライアンス ポータルでは使用できません。 セキュリティ & コンプライアンス PowerShell に接続した後、Set-Label または New-Label cmd で PowerShell の詳細設定を使用する必要があります。

これらの設定は、作業中の S/MIME 展開 があり、 Azure Information ProtectionからのRights Management 暗号化を使用する既定の保護ではなく、電子メールにラベルでこの保護方法を自動的に適用する場合にのみ使用します。 結果として得られる保護は、ユーザーが Outlook から S/MIME オプションを手動で選択した場合と同じです。

構成 詳細設定のキー/値
S/MIME デジタル署名 SMimeSign="True"
S/MIME 暗号化 SMimeEncrypt="True"

これらの設定に対して構成するラベルは、コンプライアンス ポータルで暗号化用に構成する必要はありません。 ただし、その場合、S/MIME 保護は Outlook でのみRights Management暗号化を置き換えます。 他のアプリの場合、ラベルは Microsoft Purview コンプライアンス ポータルで指定された暗号化設定を適用します。

秘密度ラベル GUID が 8faca7b8-8d20-48a3-8ea2-0f96310a848eである PowerShell コマンドの例:

Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{SMimeSign="True"}

Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{SMimeEncrypt="True"}

PowerShell の詳細設定の指定に関する詳細については、「PowerShell の詳細設定の指定に関するヒント」を参照してください。

PDF サポート

組み込みのラベル付けの場合は、 Office アプリの秘密度ラベルの最小バージョンのテーブルを使用します。 Azure Information Protection 統合ラベル付けクライアントは、Office アプリでは PDF をサポートしていません。

Word、Excel、および PowerPoint は、Office ドキュメントを PDF ドキュメントに変換するための次の方法をサポートしています。

  • ファイル > を PDF として > 保存
  • ファイルの > エクスポート > PDF
  • コピーの送信 PDF を共有する>>

このアクションは、ファイル アクティビティとページ アクティビティ監査グループの名前変更されたファイル監査イベントでログに記録されます。 コンプライアンス ポータルの監査検索結果に、この監査イベントの詳細が [アクティビティ] フィールドの SensitivityLabeledFileRenamed と表示されます。

PDF が作成されると、コンテンツのマーキングと暗号化を含むラベルが継承されます。 暗号化された PDF は、Windows または Mac の Microsoft Edge で開くことができます。 詳細および代替リーダーについては、「保護された PDF をサポートする PDF リーダー」を参照してください。

Outlook では、現在、ラベル付きメッセージから暗号化を継承する PDF 添付ファイルはサポートされていません。 ただし、Outlook では、次に説明するように、ユーザーによる PDF への印刷の警告またはブロックがサポートされています。

PDF シナリオはサポートされていません:

  • PDF に印刷する

    ユーザーがこのオプションを選択すると、ドキュメントまたはメールがラベルの保護と暗号化 (適用されている場合) を失うことを警告され、続行するには確認する必要があります。 秘密度ラベル ポリシーでラベルを削除するか、その分類を下げる理由が必要な場合は、このプロンプトが表示されます。

    このオプションは秘密度ラベルを削除するため、必須のラベルを使用している場合、ユーザーはこのオプションを使用できません。 この構成は、ユーザーがメールとドキュメントにラベルを適用することを要求する秘密度ラベル ポリシー設定を参照します。

  • PDF/A 形式と暗号化

    長期アーカイブ用に設計されたこの PDF 形式は、ラベルが暗号化を適用する場合はサポートされず、ユーザーが Office ドキュメントを PDF に変換できなくなります。 構成情報については、「 ISO 19005-1 への PDF 準拠を強制する (PDF/A) 」に関するグループ ポリシードキュメントを参照してください。

  • パスワード保護と暗号化

    ドキュメントのラベルが暗号化を適用する場合、オプション [ファイル]>[情報]>[ドキュメントの保護]>[パスワードで暗号化] はサポートされません。 このシナリオでは、ユーザーは [パスワードで暗号化] オプションを使用できなくなります。

この機能の詳細については、「Office アプリで作成された PDF に秘密度ラベルを適用する」の発表を参照してください。

エンド ユーザーのドキュメントについては、「 Office ファイルから保護された PDF を作成する」を参照してください。

秘密度バー

Word、Excel、PowerPoint の組み込みラベルのプレビューで新しくサポートされましたが、Outlook または Office for the webの場合はまだサポートされていませんが、「Office アプリの秘密度ラベルの最小バージョン」の表を参照して、この機能をサポートする Office バージョンを特定してください。

サポートされているアプリでは、上部のウィンドウ バーのファイル名の横にある秘密度バーに秘密度ラベルが表示されるようになりました。 例:

ウィンドウ タイトル バーの秘密度ラベル。

ラベルに関する情報と、ラベルを選択または変更する機能も、保存と名前の変更、エクスポート、共有、印刷、 PDF への変換を含むユーザー ワークフローに統合されます。 詳細とスクリーンショットの例については、ブログ投稿のお知らせ「 Office for Windows の新しい秘密度バー」を参照してください。

この高い可視性の一部として、これらのラベルは色もサポートしています。 詳細については、次のセクションを参照してください。

ラベルの色

重要

ラベル付けアプリでこの機能がサポートされていない場合、構成されたラベルの色は表示されません。

Azure Information Protection統合ラベル付けクライアントでは、ラベルの色がサポートされています。 Office に組み込まれているラベル付けの場合、Windows では Word、Excel、PowerPoint のプレビューではラベルの色がサポートされていますが、Outlook、macOS、またはOffice for the webの場合はまだサポートされていません。 詳細については、「 Office アプリの秘密度ラベルの最小バージョン」の表を参照してください。

新しく作成されたラベルには、既定では色がありません。 ラベルが Azure Information Protectionから移行された場合、または Azure Information Protection統合ラベル付けクライアントのラベルの色を構成した場合、これらのラベルの色は、それらをサポートするアプリに表示されるようになります。

Microsoft Purview コンプライアンス ポータルを使用して、秘密度ラベルに 10 色の標準色のいずれかを選択します。 ラベルの色の構成は、ラベル名と説明の後のラベル構成の最初のページにあります。

サブラベルの色は、親ラベルからラベルの色を自動的に継承するため、選択できません。

ラベルが 10 個の既定の色の 1 つとは異なる色で構成されている場合は、[ 以前に割り当てられたカスタム色を使用 する] チェック ボックスがオンになっているので、標準の色オプションは使用できません。 カスタムの色を標準色のいずれかに変更するには、最初にチェック ボックスをオフにしてから、標準の色のいずれかを選択します。

コンプライアンス ポータルを使用して別のカスタム色を構成することはできません。 代わりに、次のセクションで説明するように PowerShell を使用します。

PowerShell を使用したカスタム 色の構成

セキュリティ & コンプライアンス PowerShell の詳細設定の色を使用して、秘密度ラベルの色を設定できます。 この構成では、Microsoft Purview コンプライアンス ポータルで構成できない色がサポートされます。

色の選択を指定するには、色の赤、緑、青 (RGB) コンポーネントの 16 進トリプレット コードを使用します。 たとえば、#40e0d0 はターコイズの RGB 16進数値です。

これらのコードの詳細については、MSDN Web ドキュメントの <カラー> ページを参照してください。 また、RapidTables が役立つ場合もあります。 これらのコードは、画像を編集できる多くのアプリケーションで識別できます。 たとえば、Microsoft ペイントでは、パレットからカスタムカラーを選択すると、RGB値が自動的に表示され、コピーできます。

秘密度ラベル GUID が 8faca7b8-8d20-48a3-8ea2-0f96310a848e である PowerShell コマンドの例

Set-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e -AdvancedSettings @{color="#40e0d0"}

秘密度ラベルの PowerShell 詳細設定の指定に役立つ詳細については、「 詳細設定を指定するための PowerShell のヒント」を参照してください。

親ラベルの既定のサブラベルを指定する

注:

組み込みのラベル付けの場合は、 機能テーブル と親ラベルの [ 既定のサブラベル] 行を使用して、この設定をサポートする最小バージョンを特定します。 Azure Information Protection統合ラベル付けクライアントのすべてのバージョンでは、この設定がサポートされています。

この構成は、Microsoft Purview コンプライアンス ポータルでは使用できません。 セキュリティ & コンプライアンス PowerShell に接続した後、Set-Label または New-Label cmd で PowerShell の詳細設定 DefaultSubLabelId を使用する必要があります。

サブラベルをラベルに追加すると、ユーザーはドキュメントまたは電子メールに親ラベルを適用できなくなります。 既定では、ユーザーは親ラベルを選択して適用できるサブラベルを表示し、それらのサブラベルのいずれかを選択します。 親ラベルに既定のサブラベルを指定した場合、ユーザーが親ラベルを選択すると、サブラベルが自動的に選択されて適用されます。

PowerShell コマンドの例。親秘密度ラベル GUID が 8faca7b8-8d20-48a3-8ea2-0f96310a848e であり、既定値として指定するサブラベルは 1ace2cc3-14bc-4142-9125-bf946a70542c です。

Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{DefaultSubLabelId="1ace2cc3-14bc-4142-9125-bf946a70542c"}

PowerShell の詳細設定の指定に関する詳細については、「PowerShell の詳細設定の指定に関するヒント」を参照してください。

ラベル付けアクティビティの監査

秘密度ラベル アクティビティによって生成される監査イベントの詳細については、「Microsoft Purview コンプライアンス ポータルの監査ログを検索する」の「秘密度ラベル アクティビティ」セクションを参照してください。

この監査情報は コンテンツ エクスプローラーアクティビティ エクスプローラー で視覚的に表され、秘密度ラベルの使用方法と、ラベル付けされたコンテンツの場所を理解するのに役立ちます。

監査ログ レコードをエクスポートおよび構成するときには、セキュリティ情報とイベント管理 (SIEM) ソフトウェアを選択してカスタム レポート を作成することもできます。 大規模なレポート ソリューションについては、「Office 365 Management Activity API リファレンス」を参照してください

エンド ユーザー向けのドキュメント