次の方法で共有


Windows で秘密度ラベル付けを拡張する

Microsoft Purview Information Protection クライアントは、Microsoft 365 アプリやサービスに組み込まれているラベルを超えて 秘密度ラベル を拡張し、 幅広い種類のファイルをサポートします。

このクライアントは Windows でのみ実行され、Azure Information Protection (AIP) 統合ラベル付けクライアントに置き換えられます。 これには次のコンポーネントがあります。

コンポーネント 説明
情報保護スキャナー ネットワーク共有や SharePoint Server ライブラリなどのデータ ストア上のファイルの検出、ラベル付け、暗号化に使用されます。
情報保護ファイル ラベラー エクスプローラーを使用して秘密度ラベルと暗号化を適用するために使用されます。
情報保護ビューアー 暗号化されたファイルを表示するために使用されます。
Microsoft Purview Information Protection PowerShell モジュール ファイルの秘密度ラベルを調整し、Microsoft Purview Information Protection スキャナーをインストールして構成するために使用されます。

この機能は Office に 組み込まれている秘密度ラベルに置き換えられるため、Microsoft Purview Information Protection クライアントを使用した Office アドインはありません。

各クライアント バージョンの最新リリース情報とサポート タイムラインについては、「 Microsoft Purview Information Protection クライアント - リリース管理とサポート可能性」を参照してください。

情報保護クライアントをデプロイするための要件

Microsoft Purview Information Protection クライアントを使用するには、クライアント コンポーネントを使用する Windows コンピューターにこのクライアントをインストールします。

また、次の要件も満たす必要があります。

次のオペレーティング システムは、Microsoft Purview Information Protection クライアントをサポートしています。

  • Windows 11
  • Windows 10 (x64) ( Windows 10 RS4 ビルド以降では手書き入力はサポートされていません)。
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2 および Windows Server 2012

ARM64 はサポートされていません。

情報保護クライアントをインストールまたはアップグレードする

Microsoft Purview Information クライアントを対話形式でインストールし、Azure Information Protection (AIP) 統合ラベル付けクライアントが検出された場合は、AIP アドイン for Office が削除されることを確認した後で、古いクライアントをアップグレードできます。

注:

Microsoft Update Catalog またはその他の非対話型インストールを使用したアップグレードでは、ローカル コンピューターに Azure Information Protection クライアントのバージョンがある場合は、 レジストリ キーの構成 が必要です。

情報保護クライアントをインストールするには、次の 2 つのオプションがあります。

  • .exe インストーラーを使用した情報保護クライアントのインストール
  • .msi インストーラーを使用した情報保護クライアントのインストール

Azure Information Protection (AIP) 統合ラベル付けクライアントまたは以前のバージョンの情報保護クライアントから情報保護スキャナーをアップグレードする場合は、これらのクライアントのインストール手順を使用する前に 、「Microsoft Purview Information Protection スキャナーをアップグレード する」を参照してください。

.exe ファイルを使用して情報保護クライアントをインストールするには、次の手順を実行します。

  1. Microsoft ダウンロード センターから Microsoft Purview Information Protection クライアントの実行可能バージョンを ダウンロードします。 たとえば、 をPurviewInfoProtection.exeします。

    重要

    使用可能なプレビュー バージョンがある場合は、そのバージョンをテストにのみ使用します。 運用環境のエンド ユーザーを対象としたものではありません。

  2. 既定のインストールでは、実行可能ファイルを実行するだけです。 すべてのインストール オプションを表示するには、まず /help を使用して実行可能ファイルを実行します。 例:
    PurviewInfoProtection.exe **/help**

    1. クライアントをサイレント インストールするには、次のコマンドを実行します。
      PurviewInfoProtection.exe /quiet
    2. PowerShell コマンドレットのみをサイレント インストールするには、次のコマンドを実行します。
      PurviewInfoProtection.exe PowerShellOnly=true /quiet

    注:

    既定では、使用状況統計を Microsoft に送信するオプションが有効になっています。 このオプションを無効にするには、次のいずれかの手順を実行してください。

    • インストール中に、AllowTelemetry=0 を指定します
    • インストール後、レジストリ キーを EnableTelemetry=0 のように更新します。
  3. インストールを完了するには、エクスプローラーのすべてのインスタンスを再起動します。

  4. 既定で %temp% フォルダーに作成されたインストール ログ ファイルを確認して、インストールが成功したことを確認します。

    インストール ログ ファイルの名前付け形式は次のとおりです。 Microsoft_Azure_Information_Protection_<number>_<number>_MSIP.Setup.Main.msi.log

    例: Microsoft_Azure_Information_Protection_20161201093652_000_MSIP.Setup.Main.msi.log

    ログ ファイルで、 Product: Microsoft Purview Information Protection--Installation が正常に完了したことを示す文字列を検索します。 インストールに失敗した場合、このログ ファイルには、問題の特定と解決に役立つ詳細が含まれています。

    ヒント

    /log インストール パラメーターを使用して、インストール ログ ファイルの場所を変更できます。

ログ ファイルの場所

クライアントとスキャナーのログ ファイルは、Windows コンピューター上の次の場所にあります。

  • \ProgramFiles (x86)\Microsoft Purview Information Protection (64 ビット オペレーティング システムのみ)
  • \Program Files\Microsoft Purview Information Protection (32 ビット オペレーティング システムのみ)
  • %localappdata%\Microsoft\MSIP

サポートされている言語

情報保護クライアントは、Office 365 でサポートされているのと同じ言語をサポートします。 これらの言語の一覧については、「Office からの 国際利用可能性 」ページを参照してください。

これらの言語の場合、メニュー オプション、ダイアログ ボックス、および Microsoft Purview Information Protection クライアントからのメッセージは、ユーザーの言語で表示されます。 言語を検出する 1 つのインストーラーがあるため、さまざまな言語の情報保護クライアントをインストールするために追加の構成は必要ありません。

ただし、管理ポータルでラベルを構成しても、指定したラベル名と説明は自動的に翻訳されません。 ユーザーが優先する言語でラベルを表示するには、独自の翻訳を指定し、PowerShell と Set-LabelLocaleSettings パラメーターを使用してラベル用に構成します。 詳細については、「 さまざまな言語の秘密度ラベルを構成するための構成例」を参照してください。

サポートされているファイルの種類

このセクションでは、Microsoft Purview Information Protection クライアントでサポートされているファイルの種類の一覧を示します。 一覧表示されているファイルの種類では、WebDav の場所はサポートされていません。

ヒント

暗号化のサポートが組み込まれていないファイルの種類を暗号化し、汎用暗号化を使用する場合は、共同所有者のアクセス許可をこれらのファイルに割り当てることをお勧めします。

次のファイルの種類は、暗号化なしでラベル付けできます。

  • Adobe Portable Document Format: .pdf

  • Microsoft Project: .mpp、.mpt

  • Microsoft Publisher: .pub

  • Microsoft XPS: .xps .oxps

  • 画像: .jpg、.jpe、.jpeg、.jif、.jfif、.jfi。 png、.tif、.tiff

  • Autodesk Design Review 2013: .dwfx

  • Adobe Photoshop: .psd

  • Digital Negative: .dng

  • Microsoft Office: Word、Excel、PowerPointの 97 から 2003 のファイル形式と Office Open XML 形式など、次のファイルの種類。

    Word Excel PowerPoint Visio
    .doc .xls .potm .vdw
    .docm .xlsb .potx .vsd
    .docx .xlst .pps .vsdm
    .dot .xlsm .ppsm .vsdx
    .doctm .xlsx .ppsx .vss
    .dotx .xltm .vssm
    .xltx .vst
    .vstm
    .vssx
    .vstx

除外されたフォルダーとファイルの種類

ユーザーがコンピューターの操作に不可欠なファイルを変更できないようにするために、一部のファイルの種類とフォルダーは自動的に分類とラベル付けから除外されます。 ユーザーが情報保護クライアントを使用してこれらのファイルにラベルを付けようとすると、それらのファイルが除外されることを示すメッセージが表示されます。

次のフォルダーは、情報保護クライアントによる分類とラベル付けから除外されます。

  • Windows
  • プログラム ファイル (\Program Files and \Program Files (x86))
  • \ProgramData
  • \AppData (すべてのユーザー向け)

既定では暗号化できないファイルの種類

パスワードで保護されたファイルは、暗号化を適用するアプリケーションでファイルが現在開かれている場合を除き、クライアントによってネイティブに暗号化することはできません。 ほとんどの場合、パスワードで保護された PDF ファイルが表示されますが、Office アプリなどの他のアプリケーションでもこの機能が提供されます。

検査でサポートされるファイルの種類

情報保護クライアントは、Windows IFilter を使用してドキュメントの内容を検査します。 Windows IFilter は、インデックス作成のために Windows Search によって使用されます。 その結果、 Set-FileLabel -Autolabel PowerShell コマンドを使用すると、次のファイルの種類を検査できます。

アプリケーションの種類 ファイルの種類
Word .doc、.docx、.docm、.dot、.dotx
Excel .xls、.xlt、.xlsx、.xlsm、.xlsb
PowerPoint .ppt、.pps、.pot、.pptx
PDF .pdf
テキスト .txt、.xml、.csv

.ZIP ファイルのスキャン

情報保護スキャナーまたは Set-FileLabel PowerShell コマンドを使用して、.zip ファイルを検査できます。

注:

情報保護スキャナーが Windows サーバー コンピューターにインストールされている場合は、機密情報の種類 .zip ファイルをスキャンするために、Microsoft Office iFilter もインストールする必要があります。 詳細については、 Microsoft ダウンロード サイトを参照してください。

機密情報を見つけた後、.zip ファイルにラベルを付け、ラベルで暗号化する必要がある場合は、スキャナーの展開手順から、PowerShell PFileSupportedExtensions 詳細設定で .zip ファイル名拡張子を指定します。

シナリオ例:

accounts.zip という名前のファイルには、クレジット カード番号を含む Excel スプレッドシートが含まれています。 Confidential \ Finance という名前の秘密度ラベルがあります。これは、クレジット カード番号を検出し、Finance グループへのアクセスを制限する暗号化を使用してラベルを自動的に適用するように構成されています。

ファイルを検査した後、PowerShell セッションのクライアントは、このファイルに Confidential \ Finance というラベルを付けます。 次に、クライアントはファイルに汎用暗号化を適用して、Finance グループのメンバーのみが解凍できるようにし、ファイル の名前をaccounts.zip.pfile に変更します。

切断されたコンピューターのサポート

既定では、情報保護クライアントは自動的にインターネットに接続して、Microsoft Purview から秘密度ラベルと秘密度ラベル ポリシー設定をダウンロードしようとします。

一定期間インターネットに接続できないコンピューターがある場合は、情報保護クライアントのポリシーを手動で管理するファイルをエクスポートおよびコピーできます。

情報保護クライアントから切断されたコンピューターをサポートするには:

  1. Microsoft Entra ID で、切断されたコンピューターで使用するラベルとポリシー設定をダウンロードするために使用するユーザー アカウントを選択または作成します。

  2. このアカウントの追加のラベル ポリシー設定として、Set-LabelPolicy from Security & Compliance PowerShell の EnableAudit PowerShell 詳細設定を使用して、Microsoft Purview への監査データの送信をオフにします。

    切断されたコンピューターに定期的なインターネット接続がある場合、手順 1 のユーザー名を含むログ情報が Microsoft Purview に送信されるため、この手順をお勧めします。 そのユーザー アカウントは、切断されたコンピューターで使用しているローカル アカウントとは異なる場合があります。

  3. 手順 1 の情報保護クライアントがインストールされ、ユーザー アカウントでサインインしているインターネット接続を持つコンピューターから、ラベルとポリシー設定をダウンロードします。

  4. このコンピューターから、ログ ファイルをエクスポートします。

    たとえば、Export-DebugLogs コマンドレットを実行するか、ファイル ラベラーからクライアントの [ヘルプとフィードバック] ダイアログ ボックスの [ログのエクスポート] オプションを使用します。

    ログ ファイルは、1 つの圧縮ファイルとしてエクスポートされます。

  5. 圧縮ファイルを開き、MSIP フォルダーから、.xml ファイル名拡張子を持つすべてのファイルをコピーします。

  6. これらのファイルを、切断されたコンピューターの %localappdata%\Microsoft\MSIP フォルダーに貼り付けます。

  7. 選択したユーザー アカウントが通常インターネットに接続するユーザー アカウントの場合は、 EnableAudit 値を True に設定して、監査データの送信を再度有効 にします

このコンピューターのユーザーがファイル ラベラーの [ヘルプとフィードバック] から [設定のリセット] オプションを選択した場合、このアクションはポリシー ファイルを削除し、必要なファイルをダウンロードできるように、ファイルを手動で置き換えたり、クライアントがインターネットに接続するまでクライアントを操作できなくなることに注意してください。

切断されたコンピューターで情報保護スキャナーが実行されている場合は、追加の構成手順を実行する必要があります。 詳細については、「 制限: スキャナー サーバーは、スキャナーの展開手順からインターネットに接続できません 」を参照してください。

サポートされているカスタマイズ

情報保護クライアントでは、PowerShell の詳細設定と、特定のシナリオやユーザーに必要なレジストリ設定がいくつかサポートされています。

New-Label または Set-Label、および Security & Compliance PowerShell の New-LabelPolicy または Set-LabelPolicy でサポートされる PowerShell の詳細設定については、「Microsoft Purview Information Protection クライアントの詳細設定」を参照してください。

サポートされているカスタマイズ用にレジストリを構成するには、次のセクションを使用します。

Azure Information Protection クライアントからの非対話型アップグレードを有効にする

Microsoft Purview Information Protection クライアントをインストールし、Azure Information Protection 統合ラベル付けクライアントが検出された場合、クライアントの対話型インストールでは、古いクライアントから Office 用 AIP アドインが削除されることを確認する必要があります。

Microsoft Update Catalog、グループ ポリシー、スクリプトなど、クライアントに非対話型インストールを使用するには、最初に Azure Information Protection クライアントをアンインストールするか、ローカル コンピューター用に次のレジストリ キーを作成して構成する必要があります。

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\AllowMajorVersionUpgrade (DWORD)

AIP Office アドインのアップグレードとアンインストールをサイレント モードで許可するには、値を 1 に設定します。 0 は、Azure Information Protection クライアントがインストールされている場合にアップグレードをブロックします。

ローカル ログ レベルを変更する

既定では、Purview Information Protection クライアントはクライアント ログ ファイルを %localappdata%\Microsoft\MSIP フォルダーに書き込みます。 これらのファイルは、Microsoft サポートによるトラブルシューティングを目的としています。

これらのファイルのログ レベルを変更するには、レジストリで次の値名を見つけて、値データを必要なログ レベルに設定します。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\LogLevel

ログ レベルを次のいずれかの値に設定します。

  • オフ: ローカル ログ記録なし。

  • エラー: エラーのみ。

  • 警告: エラーと警告。

  • 情報: イベント ID (スキャナーの既定の設定) を含む最小ログ記録。

  • デバッグ: 完全な情報。

  • トレース: 詳細ログ (クライアントの既定の設定)。

このレジストリ設定では、Microsoft Purview 監査に送信される情報は変更されません。

データ境界設定を有効にする

EU データ境界に対する Microsoft のコミットメントに従って、Microsoft Purview Information Protection クライアントを使用する EU のお客様は、データを EU に送信して保存および処理できます。

情報保護クライアントでこの機能を有効にするには、イベントを送信する場所を指定する次のレジストリ キーを変更します。

  • レジストリ キー: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\DataBoundary (DWORD)
  • 値:
    • Default = 0
    • North_America = 1
    • European_Union = 2

認証のためにシステムの既定のブラウザーを有効にする

Microsoft Purview Information Protection クライアントでの認証には、システムの既定のブラウザーを使用します。 既定では、情報保護クライアントは認証のために Microsoft Edge を開きます。

次のレジストリ キーを有効にして、情報保護クライアントでこの機能を有効にします。

  • レジストリ キー: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\MSALUseSytemDefaultBrowserAuth (DWORD)
  • 値:
    • Disabled = 0
    • Enabled = 1

エクスプローラーで [Microsoft Purview に秘密度ラベルを適用する] メニュー オプションを非表示にする

エクスプローラーで [Microsoft Purview で秘密度ラベルを適用 する] 右クリック メニュー オプションを非表示にするには、 LegacyDisable の値名と任意の値データを含む次の DWORD レジストリ キーを作成します。

HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick

情報保護クライアントを使用して秘密度ラベルを適用する方法

Microsoft Purview Information Protection クライアントがインストールされたら、次を使用して 、作成して発行した秘密度ラベルを適用できます。

暗号化されたドキュメントを表示するには、「 Microsoft Purview Information Protection ビューアーを使用して保護されたファイルを表示する」を参照してください。