Azure Information Protection からの保護サービスのアクティブ化Activating the protection service from Azure Information Protection

適用対象:Azure Information ProtectionOffice 365Applies to: Azure Information Protection, Office 365

注意

この構成情報は、組織内のすべてのユーザーに適用されるサービスを担当する管理者のためのものです。This configuration information is for administrators who are responsible for a service that applies to all users in an organization. 特定のアプリケーション用の Rights Management 機能の使用、または権利保護されたファイルや電子メールを開く方法に関するユーザー向けヘルプや情報をお探しの場合は、アプリケーションに付属しているヘルプとガイダンスを使用してください。If you are looking for user help and information to use the Rights Management functionality for a specific application or how to open a file or email that is rights-protected, use the help and guidance that accompanies your application.

たとえば、Office アプリケーションの場合、[ヘルプ] アイコンをクリックし、「 Rights Management 」や「 IRM」などの検索語句を入力します。For example, for Office applications, click the Help icon and enter search terms such as Rights Management or IRM. Windows 用 Azure Information Protection クライアントについては、「Azure Information Protection ユーザー ガイド」を参照してください。For the Azure Information Protection client for Windows, see the Azure Information Protection client user guide.

このサービスのテクニカル サポートとその他の質問については、「サポート オプションとコミュニティ リソース」の情報を参照してください。For technical support and other questions about the service, see the Support options and community resources information.

Azure Information Protection の保護サービスが組織に対してアクティブ化されると、管理者とユーザーは、この情報保護ソリューションをサポートするアプリケーションとサービスを使用して、重要なデータの保護を開始できます。When the protection service for Azure Information Protection is activated for your organization, administrators and users can start to protect important data by using applications and services that support this information protection solution. 管理者は、組織が所有する保護されたドキュメントや電子メールを管理および監視することもできます。Administrators can also manage and monitor protected documents and emails that your organization owns.

保護サービスの Azure Rights Management をアクティブ化する必要がありますか。Do you need to activate the protection service, Azure Rights Management?

Azure Rights Management を含むサービス プランを持っている場合は、サービスをアクティブにする必要がない可能性があります。When you have a service plan that includes Azure Rights Management, you might not have to activate the service:

  • Azure Rights Management または Azure Information Protection を含むサブスクリプションを 2018 年 2 月末日以降を対象として取得した場合: サービスが自動的にアクティブになります。If your subscription that includes Azure Rights Management or Azure Information Protection was obtained towards the end of February 2018 or later: The service is automatically activated for you. お客様または組織の他のグローバル管理者が Azure Rights Management を非アクティブ化しない限り、サービスをアクティブ化する必要はありません。You do not have to activate the service unless you or another global administrator for your organization deactivated Azure Rights Management.

  • Azure Rights Management または Azure Information Protection を含むサブスクリプションを 2018 年 2 月以前に取得した場合: Microsoft は、ご利用のテナントで Exchange Online を使用している場合に、これらのサブスクリプションの Azure Rights Management サービスのアクティブ化を開始しています。If your subscription that includes Azure Rights Management or Azure Information Protection was obtained before or during February 2018: Microsoft is starting to activate the Azure Rights Management service for these subscriptions if your tenant is using Exchange Online. これらのサブスクリプションの場合、サービスがアクティブ化される 2018 年 8 月 1 日から自動アクティブ化のロール アウトが開始されます。ただし、Get-IRMConfiguration を実行するときに AutomaticServiceUpdateEnabledfalse に設定されていない場合に限ります。For these subscriptions, automatic activation is starting to roll out August 1, 2018 when the service will be activated for you unless you see AutomaticServiceUpdateEnabled is set to false when you run Get-IRMConfiguration.

後続のシナリオがどちらも当てはまらない場合は、保護サービスを手動でアクティブ化する必要があります。If neither of the subsequent scenarios apply to you, you must manually activate the protection service.

サービスをアクティブにした後は、組織内のすべてのユーザーが各自のドキュメントや電子メールに情報保護を適用したり、Azure Rights Management で保護されているドキュメントや電子メールを開く (使用する) ことができます。When the service is activated, all users in your organization can apply information protection to their documents and emails, and all users can open (consume) documents and emails that have been protected by the Azure Rights Management service. ただし、そちらを希望する場合は、段階的デプロイのオンボーディング コントロールを使用して、情報保護を適用できるユーザーを制限できます。However, if you prefer, you can restrict who can apply information protection, by using onboarding controls for a phased deployment. 詳細については、この記事の「段階的デプロイのオンボーディング コントロールの構成」セクションを参照してください。For more information, see the Configuring onboarding controls for a phased deployment section in this article.

保護サービスの状態をアクティブ化または確認する方法How to activate or confirm the status of the protection service

重要

Active Directory Rights Management サービス (AD RMS) が組織に展開されている場合は、保護サービスをアクティブ化しないでください。Do not activate the protection service if you have Active Directory Rights Management Services (AD RMS) deployed for your organization. 詳細情報More information

このデータ保護ソリューションを使用するには、組織が、Azure Information Protection からの Azure Rights Management サービスを含むサービス プランを持っている必要があります。To use this data protection solution, your organization must have a service plan that includes the Azure Rights Management service from Azure Information Protection. これを行わないと、保護サービスをアクティブにできません。Without this, the protection service cannot be activated. 次のいずれかを用意する必要があります。You must have one of the following:

保護サービスをアクティブ化すると、組織内のすべてのユーザーがドキュメントと電子メールに情報保護を適用でき、すべてのユーザーがこのサービスによって保護されているドキュメントと電子メールを開く (使用) ことができます。When the protection service is activated, all users in your organization can apply information protection to their documents and emails, and all users can open (consume) documents and emails that have been protected by this service. ただし、そちらを希望する場合は、段階的デプロイのオンボーディング コントロールを使用して、情報保護を適用できるユーザーを制限できます。However, if you prefer, you can restrict who can apply information protection, by using onboarding controls for a phased deployment. 詳細については、この記事の「段階的デプロイのオンボーディング コントロールの構成」セクションを参照してください。For more information, see the Configuring onboarding controls for a phased deployment section in this article.

アクティブ化メソッドを選択するChoosing your activation method

管理ポータルから保護サービスをアクティブ化する手順については、Microsoft 365 管理センターと Azure portal のどちらを使用するかを選択してください。For instructions how to activate the protection service from your management portal, select whether to use the Microsoft 365 admin center or the Azure portal:

代わりに、次の PowerShell コマンドを使用することができます。Alternatively, you can use the following PowerShell commands:

  1. AIPService モジュールをインストールして、保護サービスを構成および管理します。Install the AIPService module, to configure and manage the protection service. 手順については、「 AIPService PowerShell モジュールのインストール」を参照してください。For instructions, see Installing the AIPService PowerShell module.

  2. PowerShell セッションから、 Connect-AipServiceを実行し、メッセージが表示されたら、Azure Information Protection テナントのグローバル管理者アカウントの詳細を入力します。From a PowerShell session, run Connect-AipService, and when prompted, provide the Global Administrator account details for your Azure Information Protection tenant.

  3. Get AipServiceを実行して、保護サービスがアクティブ化されているかどうかを確認します。Run Get-AipService to confirm whether the protection service is activated. Enabled の状態でアクティブであることを確認し、Disabled はサービスが非アクティブであることを示します。A status of Enabled confirms activation; Disabled indicates that the service is deactivated.

  4. サービスをアクティブ化するには、 Enable-AipServiceを実行します。To activate the service, run Enable-AipService.

段階的デプロイのオンボーディング コントロールの構成Configuring onboarding controls for a phased deployment

すべてのユーザーが Azure Information Protection を使用してドキュメントや電子メールを直ちに保護できないようにする場合は、 Set-Aipserviceonworkplace Ingcontrolpolicy PowerShell コマンドを使用して、ユーザーのオンボードコントロールを構成できます。If you don’t want all users to be able to protect documents and emails immediately by using Azure Information Protection, you can configure user onboarding controls by using the Set-AipServiceOnboardingControlPolicy PowerShell command. このコマンドを実行するのは、Azure Rights Management サービスをアクティブ化する前と後のどちらでもかまいません。You can run this command before or after you activate the Azure Rights Management service.

たとえば、テストのために最初は “IT department” グループ (オブジェクト ID が fbb99ded-32a0-45f1-b038-38b519009503) の管理者だけがコンテンツを保護できるようにする場合は、次のコマンドを使用します。For example, if you initially want only administrators in the “IT department” group (that has an object ID of fbb99ded-32a0-45f1-b038-38b519009503) to be able to protect content for testing purposes, use the following command:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fbb99ded-32a0-45f1-b038-38b519009503"

この構成オプションでは、グループを指定する必要があります。個々 のユーザーを指定することはできません。Note that for this configuration option, you must specify a group; you cannot specify individual users. グループのオブジェクト ID を取得するには、Azure AD PowerShell を使用します。たとえば、バージョン 1.0 のモジュールについては、Get-MsolGroup コマンドを使用します。To obtain the object ID for the group, you can use Azure AD PowerShell—for example, for version 1.0 of the module, use the Get-MsolGroup command. または、Azure Portal から、グループのオブジェクト ID 値をコピーしてもかまいません。Or, you can copy the Object ID value of the group from the Azure portal.

あるいは、Azure Information Protection を使用するライセンスがあるユーザーのみがコンテンツを保護できるようにする場合は、次のコマンドを使用します。Alternatively, if you want to ensure that only users who are correctly licensed to use Azure Information Protection can protect content:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True

オンボーディング コントロールを使用する必要がなくなった場合は、使用していたのがグループ オプションかライセンス オプションかに関係なく、次のコマンドレットを実行します。When you no longer need to use onboarding controls, whether you used the group or licensing option, run:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False

このコマンドレットとその他の例の詳細については、「 Set-Aipserviceonworkplace Ingcontrolpolicy help」を参照してください。For more information about this cmdlet and additional examples, see the Set-AipServiceOnboardingControlPolicy help.

これらのオンボーディング コントロールを使用するときは、保護されたコンテンツを組織内のすべてのユーザーがいつでも使用できますが、コンテンツを保護できるのは組織内の一部のユーザーのみとなり、それ以外のユーザーは情報保護を自分でクライアント アプリケーションから適用することはできません。When you use these onboarding controls, all users in the organization can always consume protected content that has been protected by your subset of users, but they won’t be able to apply information protection themselves from client applications. たとえば、保護サービスがアクティブになったときに自動的に公開される既定の保護テンプレートや、構成されているカスタムテンプレートは、Office アプリに表示されません。For example, they won’t see in their Office apps the default protection templates that are automatically published when the protection service is activated, or custom templates that you might configure. Exchange などのサーバー側アプリケーションは、ユーザーごとのコントロールを実装して、同じ結果を得ることができます。Server-side applications, such as Exchange, can implement their own per-user controls to achieve the same result. たとえば、ユーザーが Outlook on the web 内の電子メールを保護できないようにするには、Set-OwaMailboxPolicy を使用して IRMEnabled パラメーターを $false に設定します。For example, to prevent users from protecting emails in Outlook on the web, use Set-OwaMailboxPolicy to set the IRMEnabled parameter to $false.

次の手順Next steps

保護サービスが組織に対してアクティブ化されている場合は、 Azure Information Protection 展開ロードマップを使用して、Azure Information Protection をにロールアウトする前に他の構成手順が必要かどうかを確認します。ユーザーと管理者。When the protection service is activated for your organization, use the Azure Information Protection deployment roadmap to check whether there are other configuration steps that you might need to do before you roll out Azure Information Protection to users and administrators.

たとえば、テンプレートを使用して、ユーザーがファイルに保護を適用し、Rights Management コネクタをインストールして、オンプレミスのサーバーを接続して保護サービスを使用するようにし、Azure をデプロイすることができます。すべてのデバイスですべてのファイルの種類の保護をサポートする Azure Information Protection クライアントFor example, you might want to use templates to make it easier for users to apply protection to files, connect your on-premises servers to use the protection service by installing the Rights Management connector, and deploy the Azure Information Protection client that supports protecting all file types on all devices.

Exchange Online や SharePoint Online などの Office サービスの Information Rights Management (IRM) 機能を使用するには、あらかじめ追加の構成手順が必要です。Office services, such as Exchange Online and SharePoint Online require additional configuration before you can use their Information Rights Management (IRM) features. アプリケーションが保護サービス、Azure Rights Management でどのように機能するかについては、「アプリケーションが azure Rights Management サービスをサポートする方法」を参照してください。For information about how your applications work with the protection service, Azure Rights Management, see How applications support the Azure Rights Management service.