Azure Information Protection ポリシーの構成Configuring the Azure Information Protection policy

適用対象: Azure Information ProtectionApplies to: Azure Information Protection

手順: Windows 用の Azure Information Protection クライアントInstructions for: Azure Information Protection client for Windows

注意

Azure Information Protection ポリシーは Azure Information Protection クライアント (クラシック) に適用され、Azure Information Protection の統合されたラベル付けクライアントには適用されません。The Azure Information Protection policy applies to the Azure Information Protection client (classic) and not the Azure Information Protection unified labeling client. これらのクライアントの違いがわからない場合は、Not sure of the difference between these clients? こちらの FAQ を参照してください。See this FAQ.

統一されたラベル付けクライアントの秘密度ラベルとポリシー設定を構成するための情報を探している場合は、Office ドキュメントの「秘密度ラベルの概要」を参照してください。If you are looking for information to configure sensitivity labels and policy settings for the unified labeling client, see Overview of sensitivity labels from the Office documentation.

クラシッククライアントの分類、ラベル付け、保護を構成するには、Azure Information Protection ポリシーを構成する必要があります。To configure classification, labeling, and protection for the classic client, you must configure the Azure Information Protection policy. このポリシーは、Azure Information Protection クライアントがインストールされたコンピューターにダウンロードされます。This policy is then downloaded to computers that have installed the Azure Information Protection client.

ポリシーにはラベルと設定が含まれています。The policy contains labels and settings:

  • ラベルによってドキュメントや電子メールに分類値を適用し、必要に応じてそのコンテンツを保護することができます。Labels apply a classification value to documents and emails, and can optionally protect this content. Azure Information Protection クライアントでは、Office アプリのユーザー向けにこれらのラベルが表示されます。また、エクスプローラーで右クリックしたときにも表示されます。The Azure Information Protection client displays these labels for your users in Office apps and when users right-click from File Explorer. これらのラベルは、PowerShell と Azure Information Protection スキャナーを使用して適用することもできます。These labels can also be applied by using PowerShell and the Azure Information Protection scanner.

  • この設定で、Azure Information Protection クライアントの既定の動作は変更されます。The settings change the default behavior of the Azure Information Protection client. たとえば、既定のラベル、すべてのドキュメントと電子メールにラベルが必要かどうか、Office アプリに Azure Information Protection バーを表示するかどうかを選択できます。For example, you can select a default label, whether all documents and emails must have a label, and whether the Azure Information Protection bar is displayed in Office apps.

サブスクリプション サポートSubscription support

Azure Information Protection では、さまざまなレベルのサブスクリプションをサポートしています。Azure Information Protection supports different levels of subscriptions:

  • Azure Information Protection P2: すべての分類、ラベル付け、保護機能をサポートします。Azure Information Protection P2: Support for all classification, labeling, and protection features.

  • Azure Information Protection P1: ほとんどの分類、ラベル付け、保護機能をサポートしますが、自動分類や HYOK はサポートしません。Azure Information Protection P1: Support for most classification, labeling, and protection features, but not automatic classification or HYOK.

  • Azure Rights Management サービスを含む office 365: 保護をサポートしますが、分類とラベル付けはサポートしません。Office 365 that includes the Azure Rights Management service: Support for protection but not classification and labeling.

Azure Information Protection P2 サブスクリプションが必要なオプションはポータルで確認します。Options that require an Azure Information Protection P2 subscription are identified in the portal.

組織が種類の異なるサブスクリプションを保有している場合、アカウントに使用を許諾されていない機能をユーザーが使用しないようにする必要があります。If your organization has a mix of subscriptions, it is your responsibility to make sure that users do not use features that their account is not licensed to use. Azure Information Protection クライアントはライセンスのチェックと適用を行いません。The Azure Information Protection client does not do license checking and enforcement. 一部のユーザーのライセンスには付属しないオプションを構成する場合は、範囲設定されたポリシーやレジストリ設定を使用して、組織がライセンス条件を遵守するようにします。When you configure options that not all users have a license for, use scoped policies or a registry setting to ensure that your organization stays in compliance with your licenses:

  • 組織が Azure Information Protection P1 と Azure Information Protection P2 の種類が異なるライセンスを保有している場合: P2 ライセンスを保有しているユーザーは、Azure Information Protection P2 ライセンスが必要なオプションを構成する場合、範囲設定されたポリシーを 1 つ以上作成して使用します。When your organization has a mix of Azure Information Protection P1 and Azure Information Protection P2 licenses: For users who have a P2 license, create and use one or more scoped policies when you configure options that require an Azure Information Protection P2 license. Azure Information Protection P2 ライセンスを必要とするオプションがグローバル ポリシーに含まれないようにします。Make sure that your global policy does not contain options that require an Azure Information Protection P2 license.

  • 組織が Azure Information Protection のサブスクリプションを保有し、一部のユーザーが Azure Rights Management サービスを含む Office 365 のライセンスのみを保有している場合: Azure Information Protection のライセンスを保有しないユーザー向けに、コンピューター上のレジストリを編集して、Azure Information Protection ポリシーがダウンロードされないようにします。When your organization has a subscription for Azure Information Protection but some users have only a license for Office 365 that includes the Azure Rights Management service: For the users who do not have a license for Azure Information Protection, edit the registry on their computers so they do not download the Azure Information Protection policy. 手順については、以下のカスタマイズについての管理ガイド、「Enforce protection-only mode when your organization has a mix of licenses (組織が種類の異なるライセンスを保有している場合の保護のみモードの適用)」をご覧ください。For instructions, see the admin guide for the following customization: Enforce protection-only mode when your organization has a mix of licenses.

サブスクリプションの詳細については、「Azure Information Protection にはどのようなサブスクリプションが必要ですか。どのような機能が含まれていますか。」を参照してください。For more information about the subscriptions, see What subscription do I need for Azure Information Protection and what features are included?

Azure Portal にサインインするSigning in to the Azure portal

Azure Portal にサインインするには、Azure Information Protection を構成して管理します。To sign in to the Azure portal, to configure and manage Azure Information Protection:

  • 以下のリンクを使用します。 https://portal.azure.comUse the following link: https://portal.azure.com

  • 次のいずれかの管理者ロールを持つ Azure AD アカウントを使用します。Use an Azure AD account that has one of the following administrator roles:

    • Azure Information Protection 管理者Azure Information Protection administrator

    • コンプライアンス管理者Compliance administrator

    • コンプライアンスデータ管理者Compliance data administrator

    • セキュリティ管理者Security administrator

      セキュリティ閲覧者 - Azure Information Protection analyticsのみSecurity reader - Azure Information Protection analytics only

      グローバルリーダー - Azure Information Protection analyticsのみGlobal reader - Azure Information Protection analytics only

    • グローバル管理者Global administrator

      注意

      テナントが統一されたラベル付けプラットフォームにある場合、Azure Information Protection 管理者ロール (旧称 "Information Protection administrator") とグローバル閲覧者ロールは、Azure portal ではサポートされません。If your tenant is on the unified labeling platform, the Azure Information Protection administrator role (formerly "Information Protection administrator") and the Global reader role are not supported for the Azure portal. 詳細情報More information

      Microsoft アカウントは Azure Information Protection を管理できません。Microsoft accounts cannot manage Azure Information Protection.

初めて [Azure Information Protection] ウィンドウにアクセスするにはTo access the Azure Information Protection pane for the first time

  1. Azure ポータルにサインインします。Sign in to the Azure portal.

  2. [+ リソースの作成] を選択し、Marketplace の検索ボックスで「 Azure Information Protection」と入力します。Select + Create a resource, and then, from the search box for the Marketplace, type Azure Information Protection.

  3. 結果一覧から [Azure Information Protection] を選択します。From the results list, select Azure Information Protection. Azure Information Protectionウィンドウで、 [作成] をクリックします。On the Azure Information Protection pane, click Create.

    ヒント

    必要に応じて、 [ダッシュボードにピン留めする] を選択してダッシュボードの [Azure Information Protection] タイルを作成し、次にポータルにサインインするときにサービスの参照をスキップできるようにします。Optionally, select Pin to dashboard to create an Azure Information Protection tile on your dashboard, so that you can skip browsing to the service the next time you sign in to the portal.

    再び [作成] をクリックします。Click Create again.

  4. サービスに最初に接続するときに自動的に開く [クイック スタート] ページが表示されます。You see the Quick start page that automatically opens the first time you connect to the service. 推奨リソースを参照するか、他のメニュー オプションを使用します。Browse the suggested resources, or use the other menu options. ユーザーが選択できるラベルを構成するには、次の手順に従います。To configure the labels that users can select, use the following procedure.

次に [Azure Information Protection] ウィンドウにアクセスしたときに、すべてのユーザーのラベルを表示および構成できるように、 [ラベル] オプションが自動的に選択されます。Next time you access the Azure Information Protection pane, it automatically selects the Labels option so that you can view and configure labels for all users. [クイック スタート] ページに戻るには、 [全般] メニューから選択します。You can return to the Quick start page by selecting it from the General menu.

Azure Information Protection ポリシーを構成する方法How to configure the Azure Information Protection policy

  1. Azure Information Protection 管理者、セキュリティ管理者、またはグローバル管理のいずれかの管理者ロールを使用して、Azure portal にサインインしていることを確認します。Make sure that you are signed in to the Azure portal by using one of these administrative roles: Azure Information Protection administrator, Security administrator, or Global administration. これらの管理者ロールの詳細については、上記のセクションを参照してください。See the preceding section for more information about these administrative roles.

  2. 必要に応じて、Azure Information Protection ウィンドウに移動します。たとえば、ハブメニューで すべてのサービス をクリックし、フィルター ボックスに「 Information Protectionの入力を開始します。If necessary, navigate to the Azure Information Protection pane: For example, on the hub menu, click All services and start typing Information Protection in the Filter box. 結果から [Azure Information Protection] を選択します。From the results, select Azure Information Protection.

    [Azure Information Protection ラベル] ウィンドウが自動的に開き、使用可能なラベルを表示および編集できます。The Azure Information Protection - Labels pane automatically opens for you to view and edit the available labels. ラベルをポリシーに追加または削除して、すべてのユーザーまたは選択したユーザーに対して利用可能にしたり、どのユーザーに対しても利用不可にしたりできます。The labels can be made available to all users, selected users, or no users by adding or removing them from a policy.

  3. ポリシーを表示および編集するには、メニュー オプションから [ポリシー] を選択します。To view and edit the policies, select Policies from the menu options. すべてのユーザーが取得するポリシーを表示および編集するには、 [グローバル] ポリシーを選択します。To view and edit the policy that all users get, select the Global policy. 選択したユーザー用のカスタム ポリシーを作成するには、 [Add a new policy](新しいポリシーの追加) を選択します。To create a custom policy for selected users, select Add a new policy.

ポリシーに対する変更Making changes to the policy

任意の数のラベルを作成できます。You can create any number of labels. ただし、多すぎて正しいラベルを発見して選択する作業が困難になるとき、スコープ ポリシーを作成し、あるユーザーに関連するラベルのみがそのユーザーに表示されるようにします。However, when they start to get too many for users to easily see and select the right label, create scoped policies so that users see only the labels that are relevant to them. 保護を適用するラベルには 500 という上限があります。There is an upper limit for labels that apply protection, which is 500.

Azure Information Protection ウィンドウで変更を行った場合は、 [保存] をクリックして変更を保存するか、 [破棄] をクリックして最後に保存した設定に戻します。When you make any changes on an Azure Information Protection pane, click Save to save the changes, or click Discard to revert to the last saved settings. ポリシーに変更を保存したり、ポリシーに追加されたラベルを変更したりすると、それらの変更は自動的に発行されます。When you save changes in a policy, or make changes to labels that are added to policies, those changes are automatically published. 独立した公開オプションはありません。There's no separate publish option.

Azure Information Protection クライアントは、サポート対象の Office アプリケーションの起動時に常に変更の有無を確認し、変更があった場合は該当する最新の Azure Information Protection ポリシーに変更をダウンロードします。The Azure Information Protection client checks for any changes whenever a supported Office application starts, and downloads the changes as its latest Azure Information Protection policy. ポリシーをクライアントに更新するトリガーには、他に次のものがあります。Additional triggers that refresh the policy on the client:

  • ファイルまたはフォルダーを分類して保護するための右クリック。Right-click to classify and protect a file or folder.

  • ラベル付けおよび保護のための PowerShell コマンドレット (Get-AIPFileStatus、Set-AIPFileClassification、および Set-AIPFileLabel) の実行。Running the PowerShell cmdlets for labeling and protection (Get-AIPFileStatus, Set-AIPFileClassification, and Set-AIPFileLabel).

  • 24 時間ごと。Every 24 hours.

  • Azure Information Protection スキャナーの場合: サービスが開始されたとき (ポリシーが 1 時間前よりも古い場合) と、操作中の 1 時間ごと。For the Azure Information Protection Scanner: When the service starts (if the policy is older than an hour), and every hour during operation.

注意

クライアントがポリシーをダウンロードしてから完全に機能するまで、数分間待機します。When the client downloads the policy, be prepared to wait a few minutes before it's fully operational. 待機時間はポリシーの構成のサイズや複雑さ、ネットワークの接続などの要素によって異なります。The actual time varies, according to factors such as the size and complexity of the policy configuration, and the network connectivity. ラベルの動作の結果が最新の変更と一致しない場合は、15 分待ってから再度お試しください。If the resulting action of your labels does not match your latest changes, allow up to 15 minutes and then try again.

組織のポリシーの構成Configuring your organization's policy

次の情報を使用して、Azure Information Protection ポリシーを構成します。Use the following information to help you configure the Azure Information Protection policy:

メールやドキュメントに格納されるラベル情報Label information stored in emails and documents

ドキュメントまたはメールにラベルが適用されるとき、実際には、アプリケーションとサービスがそのラベルを読み取れるように、メタデータにラベルが格納されています。When a label is applied to a document or email, under the covers, the label is stored in metadata so that applications and services can read the label:

  • メールでは、この情報は msip_labels: MSIP_Label_<GUID>_Enabled=True; の X ヘッダーに格納されますIn emails, this information is stored in the x-header: msip_labels: MSIP_Label_<GUID>_Enabled=True;

  • Word 文書 (.doc および .docx)、Excel スプレッドシート (.xls および .xlsx)、PowerPoint プレゼンテーション (.ppt および .pptx)、および PDF ドキュメントの場合、このメタデータは、次のカスタムプロパティに格納されます: MSIP_Label_<GUID > 有効にする = TrueFor Word documents (.doc and .docx), Excel spreadsheets (.xls and .xlsx), PowerPoint presentations (.ppt and .pptx), and PDF documents, this metadata is stored in the following custom property: MSIP_Label_<GUID>_Enabled=True

電子メールの場合は、電子メールの送信時にラベル情報が保存されます。For emails, the label information is stored when the email is sent. ドキュメントについては、ファイルの保存時にラベル情報が保存されます。For documents, the label information is stored when the file is saved.

ラベルの GUID を特定するには、Azure Information Protection ポリシーを表示または構成するときに、Azure portal のラベルペインで [ラベル ID] の値を見つけます。To identify the GUID for a label, locate the Label ID value on the Label pane in the Azure portal, when you view or configure the Azure Information Protection policy. ファイルにラベルが適用されている場合、Get-AIPFileStatus PowerShell コマンドレットを実行して GUID (MainLabelId または SubLabelId) を特定することもできます。For files that have labels applied, you can also run the Get-AIPFileStatus PowerShell cmdlet to identify the GUID (MainLabelId or SubLabelId). ラベルにサブラベルがある場合、親ラベルではなく、サブラベルの GUID だけを常に指定してください。When a label has sublabels, always specify the GUID of just a sublabel and not the parent label.

次のステップNext steps

Azure Information Protection ポリシーをカスタマイズする方法や、ユーザーに対して結果の動作を表示する方法の例については、次のチュートリアルをご覧ください。For examples of how to customize the Azure Information Protection policy, and see the resulting behavior for users, try the following tutorials:

ポリシーの実行方法を確認するには、「 Azure Information Protection の中央レポート」を参照してください。To see how your policy is performing, see Central reporting for Azure Information Protection.