Azure Information Protection ラベルを統合秘密度ラベルに移行する方法
統合ラベル付けをサポートするクライアントおよびサービスで秘密度ラベルとして使用できるように、Azure Information Protection ラベルを統合ラベル付けプラットフォームに移行します。
注意
Azure Information Protection サブスクリプションがかなり新しい場合、テナントは既に統合ラベル付けプラットフォーム上にあるため、ラベルの移行は必要ない可能性があります。 詳細については、「テナントが統合ラベル付けプラットフォーム上にあるかどうかを確認するにはどうすればいいですか。」を参照してください
ラベルの移行後、このクライアントではラベルと Azure Information Protection ポリシーが引き続き Azure portal からダウンロードされるので、Azure Information Protection クラシック クライアントとの違いは表示されません。 ただし、Azure Information Protection 統合ラベル付けクライアントと、秘密度ラベルを使用するその他のクライアントおよびサービスでラベルを使用できるようになります。
ラベルの移行手順を読む前に、次のよく寄せられる質問が役立つ場合があります。
統合ラベル付けプラットフォームをサポートする管理者ロール
組織内の委任された管理に管理者ロールを使用する場合は、統合ラベル付けプラットフォームに対していくつかの変更を行う必要がある可能性があります。
Azure Information Protection 管理者 (旧称 Information Protection 管理者) の Azure AD ロールは、統合ラベル付けプラットフォームではサポートされません。 お客様の組織でこの管理者ロールを使用して Azure Information Protection を管理している場合は、このロールを持つユーザーをコンプライアンス管理者、コンプライアンス データ管理者、またはセキュリティ管理者の Azure AD ロールに追加してください。 この手順に関するヘルプが必要な場合は、「ユーザーにMicrosoft Purview コンプライアンス ポータルへのアクセス権を付与する」を参照してください。 これらのロールは、Azure AD ポータルとMicrosoft Purview コンプライアンス ポータルで割り当てることもできます。
ロールを使用する代わりに、Microsoft Purview コンプライアンス ポータルで、これらのユーザーの新しい役割グループを作成し、秘密度ラベル管理者ロールまたは組織構成ロールをこのグループに追加することもできます。
これらの構成のいずれかを使用してこれらのユーザーにMicrosoft Purview コンプライアンス ポータルへのアクセス権を付与しないと、ラベルの移行後にAzure portalで Azure Information Protectionを構成できなくなります。
テナントのグローバル管理者は、ラベルの移行後も、Azure portalとMicrosoft Purview コンプライアンス ポータルの両方でラベルとポリシーを引き続き管理できます。
開始する前に
ラベルの移行には多くの利点がありますが、元に戻すことはできません。 移行する前に、次の変更内容と考慮事項に注意してください。
- 統合ラベル付けのためのクライアント サポート
- ポリシーの構成
- 保護テンプレート
- 表示名
- ラベル内のローカライズされた文字列
- Microsoft Purview コンプライアンス ポータルで移行されたラベルを編集する
- Microsoft Purview コンプライアンス ポータルでサポートされていないラベル設定
- ラベルの保護設定の動作を比較する
統合ラベル付けのためのクライアント サポート
統合ラベルをサポートするクライアントがあることを確認し、必要に応じて、Azure portal (統合ラベルをサポートしていないクライアントの場合) とMicrosoft Purview コンプライアンス ポータル (統合ラベルをサポートするクライアントの場合) の両方で管理できるように準備してください。
ポリシーの構成
ポリシーとすべてのクライアント詳細設定は移行されません。移行されないポリシーには、ポリシー設定とそれにアクセスできるユーザーが含まれます (スコープ付きポリシー)。 ラベルの移行後にこれらの設定を構成するオプションは次のとおりです。
- Microsoft Purview コンプライアンス ポータル
- セキュリティ & コンプライアンス PowerShell。 クライアントの詳細設定を構成するために使用する必要があります。
重要
移行されたラベルのすべての設定が、Microsoft Purview コンプライアンス ポータルでサポートされているわけではありません。 Microsoft Purview コンプライアンス ポータルセクションでサポートされていないラベル設定の表を使用して、これらの設定と推奨されるアクションの手順を特定します。
保護テンプレート
クラウドベースのキーを使用し、ラベル構成に含まれるテンプレートもラベルと共に移行されます。 その他の保護テンプレートは移行されません。
定義済みのテンプレート用に構成されているラベルがある場合は、これらのラベルを編集し、[アクセス許可を設定] オプションを選択して、ご自分のテンプレートで使用していたのと同じ保護設定を構成します。 定義済みのテンプレートを持つラベルはラベルの移行をブロックしませんが、このラベル構成はMicrosoft Purview コンプライアンス ポータルではサポートされていません。
ヒント
これらのラベルを再構成する場合は、2 つのブラウザー ウィンドウを使用すると便利です。1 つのウィンドウでは、ラベル用の [テンプレートの編集] ボタンを選択して保護設定を表示します。もう 1 つのウィンドウでは、[アクセス許可の設定] を選択したときと同じ設定を構成します。
クラウドベースの保護設定を持つラベルが移行されると、結果として得られる保護テンプレートのスコープは、Azure portalで定義されたスコープ (または AIPService PowerShell モジュールを使用して) と、Microsoft Purview コンプライアンス ポータルで定義されているスコープになります。
表示名
Azure portal では、各ラベルのラベル表示名のみが表示されます。この名前は編集できます。 ユーザーには、このラベル名はアプリで表示されます。
Microsoft Purview コンプライアンス ポータルには、ラベルの表示名とラベル名の両方が表示されます。 ラベル名は、ラベルが最初に作成されたときに指定した最初の名前です。このプロパティは、識別目的でバックエンド サービスによって使用されます。 ラベルを移行しても表示名は同じままで、ラベル名は Azure portal からラベル ID に変更されます。
競合する表示名
移行前に、移行の完了後に競合する表示名が存在しないようにしてください。 ラベル付け階層内の同じ場所にある表示名は一意である必要があります。
たとえば、次のラベルの一覧を考えてみます。
- パブリック
- 全般
- 社外秘
- 社外秘 \ 人事
- 社外秘 \ 財務
- シークレット
- シークレット \ 人事
- シークレット \ 財務
この一覧では、パブリック、全般、社外秘、シークレットはすべて親ラベルであり、重複する名前を持つことはできません。 さらに、社外秘 \ 人事と社外秘 \ 財務は階層内の同じ場所にあり、こちらも重複する名前を持つことはできません。
ただし、社外秘 \ 人事やシークレット \ 人事など、異なる親間のサブラベルは階層内の同じ場所にないので、同じ個々の名前を持つことができます。
ラベル内のローカライズされた文字列
ラベルのローカライズされた文字列は移行されません。 Security & Compliance PowerShell と Set-Label の LocaleSettings パラメーターを使用して、移行されたラベルの新しいローカライズされた文字列を定義します。
Microsoft Purview コンプライアンス ポータルで移行されたラベルを編集する
移行後、Azure portalで移行されたラベルを編集すると、同じ変更がMicrosoft Purview コンプライアンス ポータルに自動的に反映されます。
ただし、Microsoft Purview コンプライアンス ポータルで移行されたラベルを編集する場合は、Azure portal、Azure Information Protection - 統合ラベル付けウィンドウに戻り、[発行] を選択する必要があります。
Azure Information Protection クライアント (クラシック) でラベルの変更を取得するには、この追加のアクションが必要です。
Microsoft Purview コンプライアンス ポータルでサポートされていないラベル設定
移行されたラベルのどの構成設定がMicrosoft Purview コンプライアンス ポータルでサポートされていないかを特定するには、次の表を使用します。 これらの設定のラベルがある場合は、移行が完了したら、Microsoft Purview コンプライアンス ポータルでラベルを発行する前に、最後の列の管理ガイダンスを使用します。
ラベルがどのように構成されているか不明な場合は、Azure portal でそれらの設定を表示してください。 この手順に関してサポートが必要な場合は、「Azure Information Protection ポリシーの構成」を参照してください。
Azure Information Protection クライアント (クラシック) では、一覧表示されているラベル設定をすべて何の問題もなく使用できます。これは Azure portal から引き続きラベルがダウンロードされるからです。
| ラベル構成 | 統合ラベル付けのクライアントによるサポート | Microsoft Purview コンプライアンス ポータルのガイダンス |
|---|---|---|
| 有効または無効の状態 この状態はMicrosoft Purview コンプライアンス ポータルに同期されません |
適用できません | ラベルが発行されているかどうかに対応します。 |
| 一覧から選択するか、RGB コードを使用して指定するラベルの色 | はい | ラベルの色に対する構成オプションはありません。 代わりに、Azure portal でラベルの色を構成するか、PowerShell を使用できます。 |
| 事前定義テンプレートを使用するクラウドベースの保護または HYOK ベースの保護 | いいえ | 事前に定義されたテンプレート用の構成オプションはありません。 この構成を使用してラベルを発行することはお勧めしません。 |
| Word、Excel、PowerPoint に対するユーザー定義のアクセス許可を使用するクラウドベースの保護 | はい | Microsoft Purview コンプライアンス ポータルでは、ユーザー定義のアクセス許可の構成オプションがサポートされています。 この構成でラベルを発行する場合は、次の表のラベルの適用結果を確認してください。 |
| Outlook のユーザー定義のアクセス許可を使用する HYOK ベースの保護 ([転送不可]) | いいえ | HYOK に対する構成オプションはありません。 この構成を使用してラベルを発行することはお勧めしません。 それを行った場合は、ラベルの適用結果が次の表に一覧表示されます。 |
| 視覚的なマーキング向けのカスタム フォント名、サイズ、RGB コードによるカスタム フォントの色 (ヘッダー、フッター、透かし) | はい | 視覚的なマーキングの構成は、色とフォント サイズの一覧に限定されます。 このラベルは変更せずに発行できますが、Microsoft Purview コンプライアンス ポータルで構成された値は表示できません。 これらのオプションを変更するには、New-Label Office 365 セキュリティ/コンプライアンス センター コマンドレットを使用します。 管理を容易にするために、Microsoft Purview コンプライアンス ポータルに表示されているオプションのいずれかに色を変更することを検討してください。 注: Microsoft Purview コンプライアンス ポータルでは、定義済みのフォント定義のリストがサポートされています。 カスタム フォントと色は、New-Label コマンドレットによってのみサポートされます。 クラシック クライアントを使用している場合は、Azure portal でラベルにこれらの変更を行います。 |
| 視覚的なマーキングの変数 (ヘッダー、フッター) | はい | このラベル構成は、AIP クライアントおよび選択したアプリの Office 組み込みのラベル付けでサポートされています。 この構成をサポートしていないアプリを使用して組み込みのラベル付けを行い、このラベルを変更せずに発行した場合、動的な値が表示されるのではなく、変数はクライアント上でテキストとして表示されます。 詳細については、Microsoft 365 のドキュメントを参照してください。 |
| アプリごとの視覚的なマーキング | はい | このラベル構成は、AIP クライアントでのみサポートされ、Office 組み込みのラベル付けではサポートされません。 組み込みのラベル付けを使用していて、このラベルを変更せずに発行した場合、各アプリで表示するように構成した視覚的なマーキングではなく、視覚的なマーキングの構成が変数テキストとして表示されます。 |
| "自分のみ" の保護 | はい | Microsoft Purview コンプライアンス ポータルでは、ユーザーを指定せずに、現在適用した暗号化設定を保存することはできません。 Azure portal では、この構成により、ラベルに "自分のみ" の保護が適用されます。 別の方法として、暗号化を適用するラベルを作成し、任意のアクセス許可を持つユーザーを指定してから、PowerShell を使用して関連する保護テンプレートを編集します。 最初に、New-AipServiceRightsDefinition コマンドレット (例 3 を参照) を使用して、次に RightsDefinitions パラメーターを指定して Set-AipServiceTemplateProperty を使用します。 |
| 条件と関連設定 自動の推奨ラベル付けとそのヒントが含まれます |
適用できません | 自動ラベル付けを使用して、ラベル設定とは個別の構成としてご自分の条件を再構成します。 |
ラベルの保護設定の動作を比較する
ラベル用の保護設定は同じであっても、Azure Information Protection クラシック クライアント、Azure Information Protection 統合ラベル付けクライアント、またはラベル付けが組み込まれた Office アプリ ("ネイティブ Office ラベル付け" とも呼ばれます) のいずれで使用されるかによって、その動作がどのように異なるかを判別するには、次の表を使用します。 ラベルの動作の違いによって、特に組織内でクライアントが混在している場合に、ラベルを発行するかどうかの決定が変わることがあります。
保護設定の構成方法が不明な場合は、Azure portal の [保護] ウィンドウでそれらの設定を表示します。 この手順に関してサポートが必要な場合は、「保護設定用のラベルを構成するには」をご覧ください。
同じ動作をする保護設定は一覧に含まれませんが、次の例外があります。
- ラベル付けが組み込まれた Office アプリを使用すると、Azure Information Protection 統合ラベル付けクライアントもインストールされていない限り、ラベルはエクスプローラーに表示されません。
- ラベル付けが組み込まれた Office アプリを使用すると、保護が以前にラベルから独立して適用されていた場合、その保護は保持されます [1]。
| ラベル用の保護設定 | Azure Information Protection クラシック クライアント | Azure Information Protection 統合ラベル付けクライアント | ラベル付けが組み込まれた Office アプリ |
|---|---|---|---|
| テンプレートを使用した HYOK (AD RMS): | Word、Excel、PowerPoint、Outlook、およびエクスプローラーで表示されます このラベルが適用された場合: - HYOK 保護はドキュメントや電子メールに適用されます。 |
Word、Excel、PowerPoint、Outlook、およびエクスプローラーで表示されます このラベルが適用された場合: - 保護が以前にラベルによって適用されている場合、その保護は適用されず削除されます [2] - 保護が以前にラベルから独立して適用されていた場合、その保護は保持されます |
Word、Excel、PowerPoint、および Outlook で表示されます このラベルが適用された場合: - 保護が以前にラベルによって適用されている場合、その保護は適用されず削除されます [2] - 保護が以前にラベルから独立して適用されていた場合、その保護は保持されます [1] |
| ユーザー定義のアクセス許可が Word、Excel、PowerPoint、およびエクスプローラーを対象とする HYOK (AD RMS): | Word、Excel、PowerPoint、およびエクスプローラーで表示されます このラベルが適用された場合: - HYOK 保護はドキュメントや電子メールに適用されます。 |
Word、Excel、PowerPoint で表示されます このラベルが適用された場合: - 保護が以前にラベルによって適用されている場合、その保護は適用されず削除されます [2] - 保護が以前にラベルから独立して適用されていた場合、その保護は保持されます |
Word、Excel、PowerPoint で表示されます このラベルが適用された場合: - 保護が以前にラベルによって適用されている場合、その保護は適用されず削除されます [2] - 保護が以前にラベルから独立して適用されていた場合、その保護は保持されます |
| ユーザー定義のアクセス許可が Outlook を対象とする HYOK (AD RMS): | Outlook で表示されます このラベルが適用された場合: - HYOK 保護を使用した転送不可が電子メールに適用されます |
Outlook で表示されます このラベルが適用された場合: - 保護が以前にラベルによって適用されている場合、その保護は適用されず削除されます [2] - 保護が以前にラベルから独立して適用されていた場合、その保護は保持されます |
Outlook で表示されます このラベルが適用された場合: - 保護が以前にラベルによって適用されている場合、その保護は適用されず削除されます [2] - 保護が以前にラベルから独立して適用されていた場合、その保護は保持されます [1] |
脚注 1
Outlook では保護は保持されますが、例外が 1 つあります。暗号化のみオプション (暗号化) を使用してメールが保護されている場合、その保護は削除されます。
脚注 2
次の操作をサポートする使用権限またはロールをユーザーが持っている場合、保護は削除されます。
- 使用権限エクスポートまたはフル コントロール。
- Rights Management 発行者もしくは Rights Management 所有者、またはスーパー ユーザーのロール。
ユーザーがこれらの使用権限またはロールをいずれも持っていない場合、ラベルは適用されず、元の保護が維持されます。
Azure Information Protection ラベルを移行するには
テナントと Azure Information Protection ラベルを移行して、統合ラベル付けストアを使用するには、次の手順を使用します。
ラベルを移行するには、コンプライアンス管理者、コンプライアンス データ管理者、セキュリティ管理者、またはグローバル管理者である必要があります。
まだ実行していない場合は、新しいブラウザー ウィンドウを開いて、Azure Portal にサインインします。 次に、 [Azure Information Protection] ペインに移動します。
たとえば、リソース、サービス、ドキュメントの検索ボックスで次のようにします: 「Information」と入力し、 [Azure Information Protection] を選択します。
[管理] メニュー オプションから [統合ラベル付け] を選択します。
[Azure Information Protection - 統合ラベル付け] ウィンドウで [アクティブ化] を選択し、オンライン指示に従います。
アクティブ化するためのオプションを使用できない場合は、[統合ラベル付けの状態] をオンにします。[アクティブ化] と表示されている場合は、お客様のテナントでは既に統合ラベル付けストアが使用されているため、ラベルを移行する必要はありません。
正常に移行されたラベルについては、統合ラベル付けをサポートするクライアントおよびサービスで使用できるようになりました。 ただし、最初にこれらのラベルをMicrosoft Purview コンプライアンス ポータルで発行する必要があります。
重要
Azure portal の外部で Azure Information Protection クライアント (クラシック) のラベルを編集する場合、この [Azure Information Protection - 統合ラベル付け] ウィンドウに戻り、[発行] を選びます。
ポリシーをコピーする
ラベルの移行後は、ポリシーをコピーするオプションを選択できます。 このオプションを選択すると、ポリシー設定とクライアントの詳細設定を含むポリシーの 1 回限りのコピーがMicrosoft Purview コンプライアンス ポータルに送信されます。
その後、設定とラベルを使用する正常にコピーされたポリシーは、Azure portal のポリシーに割り当てられたユーザーとグループに自動的に発行されます。 グローバル ポリシーの場合、これはすべてのユーザーを意味することに注意してください。 コピーしたポリシーの移行済みラベルを発行する準備ができていない場合は、ポリシーをコピーした後、管理者ラベル付けセンターのラベル ポリシーからラベルを削除できます。
[Azure Information Protection - 統合ラベル付け] ウィンドウで [ポリシーのコピー (プレビュー)] オプションを選択する前に、次の点に注意してください。
[ポリシーのコピー (プレビュー)] オプションは、テナントに対して統合ラベル付けがアクティブになるまで使用できません。
コピーするポリシーと設定を選択的に選択することはできません。 すべてのポリシー (グローバル ポリシーとスコープ付きポリシー) が自動的にコピー対象として選択され、ラベル ポリシー設定としてサポートされている設定はすべてコピーされます。 同じ名前のラベル ポリシーが既にある場合は、Azure portal のポリシー設定で上書きされます。
一部のクライアントの詳細設定はコピーされません。これは、Azure Information Protection 統合ラベル付けクライアントでは、ポリシー設定ではなくラベルの詳細設定としてサポートされているためです。 これらのラベルの詳細設定は 、Security & Compliance PowerShell を使用して構成できます。 コピーされないクライアントの詳細設定:
ラベルへの後続の変更が同期されるラベルの移行とは異なり、ポリシーのコピー アクションでは、ポリシーまたはポリシー設定に対する後続の変更は同期されません。 Azure portal で変更を加えた後で、ポリシーのコピー アクションを繰り返すと、既存のポリシーとその設定が再び上書きされます。 または、セキュリティ & コンプライアンス PowerShell の AdvancedSettings パラメーターを使用して、Set-LabelPolicyまたはSet-Labelコマンドレットを使用します。
ポリシーのコピー アクションでは、各ポリシーがコピーされる前に次のことを確認します。
ポリシーに割り当てられているユーザーとグループは、現在 Azure AD にあります。 1 つ以上のアカウントが存在しない場合、ポリシーはコピーされません。 グループ メンバーシップは検査されません。
グローバル ポリシーには、少なくとも 1 つのラベルが含まれています。 管理者ラベル付けセンターではラベルなしのラベル ポリシーはサポートされていないので、ラベルなしのグローバル ポリシーはコピーされません。
ポリシーをコピーしてから、管理者ラベル付けセンターから削除する場合は、削除がレプリケートされるのに十分な時間を確保するために、[ポリシーのコピー] アクションを再度使用するまでに少なくとも 2 時間待ちます。
Azure Information Protection からコピーされたポリシーには、同じ名前ではなく、プレフィックス AIP_ が付いた名前が使用されます。 後でポリシー名を変更することはできません。
Azure Information Protection 統合ラベル付けクライアントのポリシー設定、クライアントの詳細設定、ラベル設定の構成の詳細については、管理者ガイドの「Azure Information Protection 統合ラベル付けクライアントのカスタム構成」を参照してください。
注意
ポリシーをコピーするための Azure Information Protection のサポートは、現在プレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
統合ラベル付けをサポートするクライアントおよびサービス
使用するクライアントとサービスが統合ラベル付けをサポートしているかどうかを確認するには、ドキュメントを参照して、Microsoft Purview コンプライアンス ポータルから発行された秘密度ラベルを使用できるかどうかを確認します。
現在統合ラベル付けをサポートしているクライアントには、次のものが含まれます。
Azure Information Protection Windows 用の統合ラベル付けクライアント。 詳細については、「Azure Information Protectionと MIP 組み込みのラベル付けを比較する」を参照してください。
可用性の段階が異なる Office からのアプリ
詳細については、Microsoft 365 コンプライアンスに関するドキュメントの「アプリでの秘密度ラベル機能のサポート」を参照してください。
Microsoft Information Protection SDK を使用しているソフトウェア ベンダーおよび開発者からのアプリ。
現在統合ラベル付けをサポートしているサービスには、次のものが含まれます。
Office Online と Outlook on the web
詳しくは、「SharePoint および OneDrive で Office ファイルの秘密度ラベルを有効にする」をご覧ください。
Microsoft SharePoint、職場または学校用の OneDrive、自宅用の OneDrive、Teams、Microsoft 365 グループ
詳細については、「秘密度ラベルを使用して Microsoft Teams、Microsoft 365 グループ、SharePoint サイトのコンテンツを保護する」を参照してください。
Microsoft Defender for Cloud Apps
このサービスでは、統合ラベル付けストアに移行する前と後の両方で、次のロジックを使用してラベルがサポートされます。
Microsoft Purview コンプライアンス ポータルに秘密度ラベルがある場合、これらのラベルはMicrosoft Purview コンプライアンス ポータルから取得されます。 Microsoft Defender for Cloud Apps でこれらのラベルを選択するには、少なくとも 1 つのラベルが、少なくとも 1 人のユーザーに発行されている必要があります。
Microsoft Purview コンプライアンス ポータルに秘密度ラベルがない場合、Azure Information Protection ラベルはAzure portalから取得されます。
Microsoft Information Protection SDK を使用するソフトウェア ベンダーおよび開発者からのサービス。
ラベルの移行後に使用する管理ポータル
Azure portal でラベルを移行した後は、インストールしたクライアントに応じて、次のいずれかの場所で管理を続行できます。
| クライアント | 説明 |
|---|---|
| 統合ラベル付けクライアントとサービスのみ | 統合ラベル付けクライアントのみがインストールされている場合は、統合ラベル付けクライアントがラベルとそのポリシー設定をダウンロードするMicrosoft Purview コンプライアンス ポータルでラベルを管理します。 手順については、「秘密度ラベルとそのポリシーを作成して構成する」を参照してください。 |
| クラシック クライアントのみ | ラベルを移行した後もクラシック クライアントがインストールされている場合は、引き続き Azure portal を使ってラベルとポリシー設定を編集します。 クラシック クライアントによって、引き続き Azure からラベルとポリシー設定がダウンロードされます。 |
| AIP クラシック クライアントと統合ラベル付けクライアントの両方 | 両方のクライアントがインストールされている場合は、Microsoft Purview コンプライアンス ポータルまたはAzure portalを使用してラベルを変更します。 クラシック クライアントがMicrosoft Purview コンプライアンス ポータルで行ったラベルの変更を取得するには、Azure portalに戻って発行します。 Azure portal >[Azure Information Protection - 統合ラベル付け] ペインで、[発行] を選択します。 中央レポート機能とスキャナーには、引き続き Azure portal を使用します。 |
次の手順
カスタマー エクスペリエンス チームからのガイダンスとヒント:
- ブログ記事: 統合ラベル付けの移行について
秘密度ラベルについて:
統合ラベル付けクライアントのデプロイ:
まだ行っていない場合は、Azure Information Protection 統合ラベル付けクライアントをインストールします。
詳細については、次を参照してください。