Azure Information Protection のポリシー設定を構成する方法

  • [アーティクル]

Information Protection バーに表示されるタイトルとヒントのほかに、ラベルから個別に構成できる Azure Information Protection ポリシーにはいくつかの設定があります。

Azure Information Protection policy global settings

Azure Information Protection のサブスクリプションを購入した時期に応じて、ポリシー設定の既定の値が異なることに注意してください。 一部の設定は、カスタム クライアント設定から設定することもできます。

ポリシー設定を構成するには

  1. まだ実行していない場合は、新しいブラウザー ウィンドウを開いて、Azure Portal にサインインします。 次に、 [Azure Information Protection] ペインに移動します。

    たとえば、リソース、サービス、ドキュメントの検索ボックスで次のようにします: 「Information」と入力し、 [Azure Information Protection] を選択します。

  2. [分類]>[ポリシー] メニュー オプションから: 構成する設定がすべてのユーザーに適用される場合は、[Azure Information Protection - ポリシー] ペインで [グローバル] を選択します。

    構成する設定がスコープ ポリシーにあり、選択したユーザーだけに適用される場合は、代わりにスコープ ポリシーを選びます。

  3. [ポリシー] ペインで、設定を構成します。

    • Select the default label (既定のラベルを選択します): このオプションを設定した場合、ラベルを持たないドキュメントや電子メールに割り当てるラベルを選択します。 サブラベルがあるラベルは、既定値として設定することはできません。

      この設定は、Office アプリとスキャナーに適用されます。 これはエクスプローラーや PowerShell には適用されません。

    • [監査データを Azure Information Protection 分析に送信します]: Azure Information 分析用の Azure Log Analytics ワークスペースを作成する前は、この設定には [オフ] および [未構成] という値が表示されています。 ワークスペースを作成すると、値が [オフ] および [オン] に変わります。

      設定が [オン] の場合、中央レポートをサポートするクライアントは、Azure Information Protection サービスにデータを送信します。 この情報には、適用されたラベルと、ユーザーが低い分類のラベルを選択したとき、またはラベルを削除したときの日時が含まれます。 このポリシー設定を [オフ] に設定すると、このデータは送信されません。

      Note

      AIP 監査ログと分析の日没は 、2022 年 3 月 18 日に発表され、完全な廃止日は 2022 年 9 月 31 日です。 詳細については、「削除されたサービスと廃止されたサービス」を参照してください。

    • All documents and emails must have a label (すべてのドキュメントと電子メールにラベルを設定する必要があります): このオプションを [オン] に設定した場合は、すべての保存されるドキュメントと送信される電子メールにラベルを適用する必要があります。 ラベル付けは、ユーザーが手動で割り当てる、条件の結果として自動的に割り当てる、または ([Select the default label] (既定のラベルを選択) オプションを設定することで) 既定で割り当てることができます。

      ユーザーがドキュメントを保存または電子メールを送信するときにラベルが割り当てられなかった場合は、ラベルの選択を求めるメッセージが表示されます。 次に例を示します。

      Azure Information Protection prompt if labeling is enforced

      Set-AIPFileLabelPowerShell コマンドレットと RemoveLabel パラメーターを使用してラベルを削除する場合、このオプションは適用されません。

    • 分類ラベルを低くする、ラベルを削除する、保護を削除する場合、ユーザーは理由を提供する必要があります: このオプションが [オン] に設定されているときは、ユーザーがこれらの操作を行うと (たとえば [Public (パブリック)] ラベルを [Personal (個人用)] に変更)、その操作の理由を入力する画面が表示されます。 たとえば、ユーザーは、「このドキュメントにはもう秘密情報が含まれていない」という説明を入力します。 この操作と妥当性の理由は、次のローカルの Windows イベント ログの [アプリケーションとサービス ログ]>[Azure Information Protection] に記録されます。

      Azure Information Protection prompt if new classification is lower

      このオプションは、同じ親ラベル下のサブラベルの分類を低くするためには使用できません。

    • For email messages with attachments, apply a label that matches the highest classification of those attachments (添付ファイル付きの電子メール メッセージの場合、添付ファイルの最上位の分類に一致するラベルを適用します): このオプションを [推奨] に設定すると、ユーザーは自分の電子メール メッセージにラベルを適用するよう求められます。 ラベルは、添付ファイルに適用されている分類のラベルに基づいて動的に選択され、最上位の分類のラベルが選択されます。 添付ファイルは物理ファイルである必要があり、ファイルへのリンク (たとえば、Microsoft SharePoint または OneDrive 上のファイルへのリンク) はできません。 ユーザーは、推奨設定を受け入れるか、通知を閉じます。 このオプションを [自動] に設定すると、ラベルが自動的に適用されますが、ユーザーは電子メールを送信する前に、ラベルを削除することも、別のラベルを選択することもできます。

      このポリシー設定を使う際にサブラベルの順序を考慮する場合は、クライアントの詳細設定を構成する必要があります。

      ユーザー定義のアクセス許可のプレビュー設定を使って保護するために、最上位の分類のラベルを含む添付ファイルを構成する場合: - 通常利用可能なバージョンのクライアント: - ラベルのユーザー定義のアクセス許可に Outlook (転送不可) が含まれる場合、電子メールにそのラベルが適用され、転送不可保護も適用されます。 ラベルのユーザー定義のアクセス許可が Word、Excel、PowerPoint、およびファイル エクスプローラーのみを対象とする場合、そのラベルは電子メールに適用されず、保護も適用されません。

    • Display the Information Protection bar in Office apps (Office アプリで Information Protection バーを表示する): この設定をオフにすると、ユーザーは Word、Excel、PowerPoint、Outlook のバーからラベルを選択できません。 代わりに、リボンの [保護] ボタンからラベルを選択する必要があります。 この設定をオンにすると、ユーザーはバーまたはボタンのいずれかからラベルを選択できます。

      この設定をオンにしているときに、ユーザーがバーを表示しないことを選択する場合、Azure Information Protection バーを永久に非表示にできるように、この設定をクライアントの詳細設定と共に使用できます。 [保護] ボタンから [バーの表示] オプションをクリアして、この操作を行うことができます。

    • Add the Do Not Forward button to the Outlook ribbon (Outlook リボンに [転送不可] ボタンを追加する): この設定をオンにすると、ユーザーは Outlook メニューから [転送不可] オプションを選択できるほか、Outlook リボンの [保護] グループからもこのボタンを選択できます。 ユーザーがメールを分類および保護できるようにするには、このボタンを追加しないことをお勧めします。ただし、代わりに Outlook に保護のラベルとユーザー定義のアクセス許可を構成できます。 この保護設定は、[転送不可] ボタンの選択と同様に機能しますが、この機能にラベルが含まれる場合は、メールは分類され、保護されます。

      このポリシー設定は、クライアントのカスタマイズとしてクライアントの詳細設定を使って構成することもできます。

    • Make the custom permissions option available to users (ユーザーがカスタム アクセス許可オプションを使用できるようにする): この設定をオンにすると、ラベルの構成で指定している可能性がある保護設定をオーバーライドできる、独自の保護設定を設定するオプションがユーザーに表示されます。 ユーザーには、保護を削除するオプションも表示されます。 この設定がオフの場合、これらのオプションはユーザーに表示されません。

      このポリシー設定は、ユーザーが Office メニュー オプションから構成できるカスタムのアクセス許可には影響しないことに注意してください。 ただし、クライアントのカスタマイズとしてクライアントの詳細設定を使用し、構成することもできます。

      カスタムのアクセス許可オプションは、次の場所に配置されています。

      • Office アプリケーション: リボンから [ホーム] タブ >[保護] グループ >[保護]>[カスタムのアクセス許可]

      • エクスプローラー: 右クリック >[分類して保護する]>[カスタムのアクセス許可]

    • Provide a custom URL for the Azure Information Protection client "Tell me more" web page (Azure Information Protection クライアントの "詳細情報を表示する" Web ページのカスタム URL を入力する): このリンクは、[Microsoft Azure Information Protection] ダイアログ ボックスの [ヘルプとフィードバック] セクションにあり、ユーザーが Office アプリケーションの [ホーム] タブで [保護]>[ヘルプとフィードバック] を選択したときに表示されます。 このリンクの既定のリンク先は Azure Information Protection Web サイトです。 このリンクをクリックしたときに別の Web ページが表示されるようにするには、HTTP または HTTPS (推奨) の URL を入力します。 入力されたカスタム URL がどのデバイスでもアクセス可能で正しく表示できるかどうかの確認は行われません。

      たとえば、ヘルプ デスクの場合、クライアントのインストールおよび使用に関する情報が含まれる Microsoft ドキュメント ページを入力することが考えられます: https://docs.microsoft.com/information-protection/rms-client/info-protect-client。 または、リリース バージョン情報: https://docs.microsoft.com/information-protection/rms-client/client-version-release-history。 あるいは、ユーザー向けの Web ページを独自に作成して、ヘルプ デスクへの連絡方法を掲載したり、ラベルを使用する手順をユーザーに説明するビデオを公開したりすることが考えられます。

  4. 変更を保存し、ユーザーが利用できるようにするには、[保存] をクリックします。

[保存] をクリックすると、変更内容がユーザーとサービスに対して自動的に利用可能になります。 独立した公開オプションはなくなりました。

次の手順

このような一部のポリシー設定を連携させる方法を確認するには、チュートリアル「Configure Azure Information Protection policy settings that work together (連携させる Azure Information Protection のポリシー設定を構成する)」をご覧ください。

Azure Information Protection ポリシーの構成の詳細については、「組織のポリシーの構成」セクションのリンクを使用してください。