Azure Information Protection ラベルを統合秘密度ラベルに移行する方法

統合ラベル付けをサポートするクライアントおよびサービスで秘密度ラベルとして使用できるように、Azure Information Protection ラベルを統合ラベル付けプラットフォームに移行します。

注意

Azure Information Protection サブスクリプションがかなり新しい場合、テナントは既に統合ラベル付けプラットフォーム上にあるため、ラベルの移行は必要ない可能性があります。 詳細については、「テナントが統合ラベル付けプラットフォーム上にあるかどうかを確認するにはどうすればいいですか。」を参照してください

ラベルの移行後、このクライアントではラベルと Azure Information Protection ポリシーが引き続き Azure portal からダウンロードされるので、Azure Information Protection クラシック クライアントとの違いは表示されません。 ただし、Azure Information Protection 統合ラベル付けクライアントと、秘密度ラベルを使用するその他のクライアントおよびサービスでラベルを使用できるようになります。

ラベルの移行手順を読む前に、次のよく寄せられる質問が役立つ場合があります。

統合ラベル付けプラットフォームをサポートする管理者ロール

組織内の委任された管理に管理者ロールを使用する場合は、統合ラベル付けプラットフォームに対していくつかの変更を行う必要がある可能性があります。

Azure Information Protection 管理者 (旧称 Information Protection 管理者) の Azure AD ロールは、統合ラベル付けプラットフォームではサポートされません。 お客様の組織でこの管理者ロールを使用して Azure Information Protection を管理している場合は、このロールを持つユーザーをコンプライアンス管理者コンプライアンス データ管理者、またはセキュリティ管理者の Azure AD ロールに追加してください。 この手順に関するヘルプが必要な場合は、「ユーザーにMicrosoft Purview コンプライアンス ポータルへのアクセス権を付与する」を参照してください。 これらのロールは、Azure AD ポータルとMicrosoft Purview コンプライアンス ポータルで割り当てることもできます。

ロールを使用する代わりに、Microsoft Purview コンプライアンス ポータルで、これらのユーザーの新しい役割グループを作成し、秘密度ラベル管理者ロールまたは組織構成ロールをこのグループに追加することもできます。

これらの構成のいずれかを使用してこれらのユーザーにMicrosoft Purview コンプライアンス ポータルへのアクセス権を付与しないと、ラベルの移行後にAzure portalで Azure Information Protectionを構成できなくなります。

テナントのグローバル管理者は、ラベルの移行後も、Azure portalとMicrosoft Purview コンプライアンス ポータルの両方でラベルとポリシーを引き続き管理できます。

開始する前に

ラベルの移行には多くの利点がありますが、元に戻すことはできません。 移行する前に、次の変更内容と考慮事項に注意してください。

統合ラベル付けのためのクライアント サポート

統合ラベルをサポートするクライアントがあることを確認し、必要に応じて、Azure portal (統合ラベルをサポートしていないクライアントの場合) とMicrosoft Purview コンプライアンス ポータル (統合ラベルをサポートするクライアントの場合) の両方で管理できるように準備してください。

ポリシーの構成

ポリシーとすべてのクライアント詳細設定は移行されません。移行されないポリシーには、ポリシー設定とそれにアクセスできるユーザーが含まれます (スコープ付きポリシー)。 ラベルの移行後にこれらの設定を構成するオプションは次のとおりです。

重要

移行されたラベルのすべての設定が、Microsoft Purview コンプライアンス ポータルでサポートされているわけではありません。 Microsoft Purview コンプライアンス ポータルセクションでサポートされていないラベル設定の表を使用して、これらの設定と推奨されるアクションの手順を特定します。

保護テンプレート

  • クラウドベースのキーを使用し、ラベル構成に含まれるテンプレートもラベルと共に移行されます。 その他の保護テンプレートは移行されません。

  • 定義済みのテンプレート用に構成されているラベルがある場合は、これらのラベルを編集し、[アクセス許可を設定] オプションを選択して、ご自分のテンプレートで使用していたのと同じ保護設定を構成します。 定義済みのテンプレートを持つラベルはラベルの移行をブロックしませんが、このラベル構成はMicrosoft Purview コンプライアンス ポータルではサポートされていません。

    ヒント

    これらのラベルを再構成する場合は、2 つのブラウザー ウィンドウを使用すると便利です。1 つのウィンドウでは、ラベル用の [テンプレートの編集] ボタンを選択して保護設定を表示します。もう 1 つのウィンドウでは、[アクセス許可の設定] を選択したときと同じ設定を構成します。

  • クラウドベースの保護設定を持つラベルが移行されると、結果として得られる保護テンプレートのスコープは、Azure portalで定義されたスコープ (または AIPService PowerShell モジュールを使用して) と、Microsoft Purview コンプライアンス ポータルで定義されているスコープになります。

表示名

Azure portal では、各ラベルのラベル表示名のみが表示されます。この名前は編集できます。 ユーザーには、このラベル名はアプリで表示されます。

Microsoft Purview コンプライアンス ポータルには、ラベルの表示名とラベル名の両方が表示されます。 ラベル名は、ラベルが最初に作成されたときに指定した最初の名前です。このプロパティは、識別目的でバックエンド サービスによって使用されます。 ラベルを移行しても表示名は同じままで、ラベル名は Azure portal からラベル ID に変更されます。

競合する表示名

移行前に、移行の完了後に競合する表示名が存在しないようにしてください。 ラベル付け階層内の同じ場所にある表示名は一意である必要があります。

たとえば、次のラベルの一覧を考えてみます。

  • パブリック
  • 全般
  • 社外秘
    • 社外秘 \ 人事
    • 社外秘 \ 財務
  • シークレット
    • シークレット \ 人事
    • シークレット \ 財務

この一覧では、パブリック全般社外秘シークレットはすべて親ラベルであり、重複する名前を持つことはできません。 さらに、社外秘 \ 人事社外秘 \ 財務は階層内の同じ場所にあり、こちらも重複する名前を持つことはできません。

ただし、社外秘 \ 人事シークレット \ 人事など、異なる親間のサブラベルは階層内の同じ場所にないので、同じ個々の名前を持つことができます。

ラベル内のローカライズされた文字列

ラベルのローカライズされた文字列は移行されません。 Security & Compliance PowerShell と Set-LabelLocaleSettings パラメーターを使用して、移行されたラベルの新しいローカライズされた文字列を定義します。

Microsoft Purview コンプライアンス ポータルで移行されたラベルを編集する

移行後、Azure portalで移行されたラベルを編集すると、同じ変更がMicrosoft Purview コンプライアンス ポータルに自動的に反映されます。

ただし、Microsoft Purview コンプライアンス ポータルで移行されたラベルを編集する場合は、Azure portal、Azure Information Protection - 統合ラベル付けウィンドウに戻り、[発行] を選択する必要があります。

Azure Information Protection クライアント (クラシック) でラベルの変更を取得するには、この追加のアクションが必要です。

Microsoft Purview コンプライアンス ポータルでサポートされていないラベル設定

移行されたラベルのどの構成設定がMicrosoft Purview コンプライアンス ポータルでサポートされていないかを特定するには、次の表を使用します。 これらの設定のラベルがある場合は、移行が完了したら、Microsoft Purview コンプライアンス ポータルでラベルを発行する前に、最後の列の管理ガイダンスを使用します。

ラベルがどのように構成されているか不明な場合は、Azure portal でそれらの設定を表示してください。 この手順に関してサポートが必要な場合は、「Azure Information Protection ポリシーの構成」を参照してください。

Azure Information Protection クライアント (クラシック) では、一覧表示されているラベル設定をすべて何の問題もなく使用できます。これは Azure portal から引き続きラベルがダウンロードされるからです。

ラベル構成 統合ラベル付けのクライアントによるサポート Microsoft Purview コンプライアンス ポータルのガイダンス
有効または無効の状態

この状態はMicrosoft Purview コンプライアンス ポータルに同期されません
適用できません ラベルが発行されているかどうかに対応します。
一覧から選択するか、RGB コードを使用して指定するラベルの色 はい ラベルの色に対する構成オプションはありません。 代わりに、Azure portal でラベルの色を構成するか、PowerShell を使用できます。
事前定義テンプレートを使用するクラウドベースの保護または HYOK ベースの保護 いいえ 事前に定義されたテンプレート用の構成オプションはありません。 この構成を使用してラベルを発行することはお勧めしません。
Word、Excel、PowerPoint に対するユーザー定義のアクセス許可を使用するクラウドベースの保護 はい Microsoft Purview コンプライアンス ポータルでは、ユーザー定義のアクセス許可の構成オプションがサポートされています。

この構成でラベルを発行する場合は、次の表のラベルの適用結果を確認してください。
Outlook のユーザー定義のアクセス許可を使用する HYOK ベースの保護 ([転送不可]) いいえ HYOK に対する構成オプションはありません。 この構成を使用してラベルを発行することはお勧めしません。 それを行った場合は、ラベルの適用結果が次の表に一覧表示されます。
視覚的なマーキング向けのカスタム フォント名、サイズ、RGB コードによるカスタム フォントの色 (ヘッダー、フッター、透かし) はい 視覚的なマーキングの構成は、色とフォント サイズの一覧に限定されます。 このラベルは変更せずに発行できますが、Microsoft Purview コンプライアンス ポータルで構成された値は表示できません。

これらのオプションを変更するには、New-Label Office 365 セキュリティ/コンプライアンス センター コマンドレットを使用します。 管理を容易にするために、Microsoft Purview コンプライアンス ポータルに表示されているオプションのいずれかに色を変更することを検討してください。

: Microsoft Purview コンプライアンス ポータルでは、定義済みのフォント定義のリストがサポートされています。 カスタム フォントと色は、New-Label コマンドレットによってのみサポートされます。

クラシック クライアントを使用している場合は、Azure portal でラベルにこれらの変更を行います。
視覚的なマーキングの変数 (ヘッダー、フッター) はい このラベル構成は、AIP クライアントおよび選択したアプリの Office 組み込みのラベル付けでサポートされています。

この構成をサポートしていないアプリを使用して組み込みのラベル付けを行い、このラベルを変更せずに発行した場合、動的な値が表示されるのではなく、変数はクライアント上でテキストとして表示されます。

詳細については、Microsoft 365 のドキュメントを参照してください。
アプリごとの視覚的なマーキング はい このラベル構成は、AIP クライアントでのみサポートされ、Office 組み込みのラベル付けではサポートされません。

組み込みのラベル付けを使用していて、このラベルを変更せずに発行した場合、各アプリで表示するように構成した視覚的なマーキングではなく、視覚的なマーキングの構成が変数テキストとして表示されます。
"自分のみ" の保護 はい Microsoft Purview コンプライアンス ポータルでは、ユーザーを指定せずに、現在適用した暗号化設定を保存することはできません。 Azure portal では、この構成により、ラベルに "自分のみ" の保護が適用されます。

別の方法として、暗号化を適用するラベルを作成し、任意のアクセス許可を持つユーザーを指定してから、PowerShell を使用して関連する保護テンプレートを編集します。 最初に、New-AipServiceRightsDefinition コマンドレット (例 3 を参照) を使用して、次に RightsDefinitions パラメーターを指定して Set-AipServiceTemplateProperty を使用します。
条件と関連設定

自動の推奨ラベル付けとそのヒントが含まれます
適用できません 自動ラベル付けを使用して、ラベル設定とは個別の構成としてご自分の条件を再構成します。

ラベルの保護設定の動作を比較する

ラベル用の保護設定は同じであっても、Azure Information Protection クラシック クライアント、Azure Information Protection 統合ラベル付けクライアント、またはラベル付けが組み込まれた Office アプリ ("ネイティブ Office ラベル付け" とも呼ばれます) のいずれで使用されるかによって、その動作がどのように異なるかを判別するには、次の表を使用します。 ラベルの動作の違いによって、特に組織内でクライアントが混在している場合に、ラベルを発行するかどうかの決定が変わることがあります。

保護設定の構成方法が不明な場合は、Azure portal の [保護] ウィンドウでそれらの設定を表示します。 この手順に関してサポートが必要な場合は、「保護設定用のラベルを構成するには」をご覧ください。

同じ動作をする保護設定は一覧に含まれませんが、次の例外があります。

  • ラベル付けが組み込まれた Office アプリを使用すると、Azure Information Protection 統合ラベル付けクライアントもインストールされていない限り、ラベルはエクスプローラーに表示されません。
  • ラベル付けが組み込まれた Office アプリを使用すると、保護が以前にラベルから独立して適用されていた場合、その保護は保持されます [1]
ラベル用の保護設定 Azure Information Protection クラシック クライアント Azure Information Protection 統合ラベル付けクライアント ラベル付けが組み込まれた Office アプリ
テンプレートを使用した HYOK (AD RMS): Word、Excel、PowerPoint、Outlook、およびエクスプローラーで表示されます

このラベルが適用された場合:

- HYOK 保護はドキュメントや電子メールに適用されます。
Word、Excel、PowerPoint、Outlook、およびエクスプローラーで表示されます

このラベルが適用された場合:

- 保護が以前にラベルによって適用されている場合、その保護は適用されず削除されます [2]

- 保護が以前にラベルから独立して適用されていた場合、その保護は保持されます
Word、Excel、PowerPoint、および Outlook で表示されます

このラベルが適用された場合:

- 保護が以前にラベルによって適用されている場合、その保護は適用されず削除されます [2]

- 保護が以前にラベルから独立して適用されていた場合、その保護は保持されます [1]
ユーザー定義のアクセス許可が Word、Excel、PowerPoint、およびエクスプローラーを対象とする HYOK (AD RMS): Word、Excel、PowerPoint、およびエクスプローラーで表示されます

このラベルが適用された場合:

- HYOK 保護はドキュメントや電子メールに適用されます。
Word、Excel、PowerPoint で表示されます

このラベルが適用された場合:

- 保護が以前にラベルによって適用されている場合、その保護は適用されず削除されます [2]

- 保護が以前にラベルから独立して適用されていた場合、その保護は保持されます
Word、Excel、PowerPoint で表示されます

このラベルが適用された場合:

- 保護が以前にラベルによって適用されている場合、その保護は適用されず削除されます [2]

- 保護が以前にラベルから独立して適用されていた場合、その保護は保持されます
ユーザー定義のアクセス許可が Outlook を対象とする HYOK (AD RMS): Outlook で表示されます

このラベルが適用された場合:

- HYOK 保護を使用した転送不可が電子メールに適用されます
Outlook で表示されます

このラベルが適用された場合:

- 保護が以前にラベルによって適用されている場合、その保護は適用されず削除されます [2]

- 保護が以前にラベルから独立して適用されていた場合、その保護は保持されます
Outlook で表示されます

このラベルが適用された場合:

- 保護が以前にラベルによって適用されている場合、その保護は適用されず削除されます [2]

- 保護が以前にラベルから独立して適用されていた場合、その保護は保持されます [1]
脚注 1

Outlook では保護は保持されますが、例外が 1 つあります。暗号化のみオプション (暗号化) を使用してメールが保護されている場合、その保護は削除されます。

脚注 2

次の操作をサポートする使用権限またはロールをユーザーが持っている場合、保護は削除されます。

ユーザーがこれらの使用権限またはロールをいずれも持っていない場合、ラベルは適用されず、元の保護が維持されます。

Azure Information Protection ラベルを移行するには

テナントと Azure Information Protection ラベルを移行して、統合ラベル付けストアを使用するには、次の手順を使用します。

ラベルを移行するには、コンプライアンス管理者、コンプライアンス データ管理者、セキュリティ管理者、またはグローバル管理者である必要があります。

  1. まだ実行していない場合は、新しいブラウザー ウィンドウを開いて、Azure Portal にサインインします。 次に、 [Azure Information Protection] ペインに移動します。

    たとえば、リソース、サービス、ドキュメントの検索ボックスで次のようにします: 「Information」と入力し、 [Azure Information Protection] を選択します。

  2. [管理] メニュー オプションから [統合ラベル付け] を選択します。

  3. [Azure Information Protection - 統合ラベル付け] ウィンドウで [アクティブ化] を選択し、オンライン指示に従います。

    アクティブ化するためのオプションを使用できない場合は、[統合ラベル付けの状態] をオンにします。[アクティブ化] と表示されている場合は、お客様のテナントでは既に統合ラベル付けストアが使用されているため、ラベルを移行する必要はありません。

正常に移行されたラベルについては、統合ラベル付けをサポートするクライアントおよびサービスで使用できるようになりました。 ただし、最初にこれらのラベルをMicrosoft Purview コンプライアンス ポータルで発行する必要があります。

重要

Azure portal の外部で Azure Information Protection クライアント (クラシック) のラベルを編集する場合、この [Azure Information Protection - 統合ラベル付け] ウィンドウに戻り、[発行] を選びます。

ポリシーをコピーする

ラベルの移行後は、ポリシーをコピーするオプションを選択できます。 このオプションを選択すると、ポリシー設定クライアントの詳細設定を含むポリシーの 1 回限りのコピーがMicrosoft Purview コンプライアンス ポータルに送信されます。

その後、設定とラベルを使用する正常にコピーされたポリシーは、Azure portal のポリシーに割り当てられたユーザーとグループに自動的に発行されます。 グローバル ポリシーの場合、これはすべてのユーザーを意味することに注意してください。 コピーしたポリシーの移行済みラベルを発行する準備ができていない場合は、ポリシーをコピーした後、管理者ラベル付けセンターのラベル ポリシーからラベルを削除できます。

[Azure Information Protection - 統合ラベル付け] ウィンドウで [ポリシーのコピー (プレビュー)] オプションを選択する前に、次の点に注意してください。

  • [ポリシーのコピー (プレビュー)] オプションは、テナントに対して統合ラベル付けがアクティブになるまで使用できません。

  • コピーするポリシーと設定を選択的に選択することはできません。 すべてのポリシー (グローバル ポリシーとスコープ付きポリシー) が自動的にコピー対象として選択され、ラベル ポリシー設定としてサポートされている設定はすべてコピーされます。 同じ名前のラベル ポリシーが既にある場合は、Azure portal のポリシー設定で上書きされます。

  • 一部のクライアントの詳細設定はコピーされません。これは、Azure Information Protection 統合ラベル付けクライアントでは、ポリシー設定ではなくラベルの詳細設定としてサポートされているためです。 これらのラベルの詳細設定は 、Security & Compliance PowerShell を使用して構成できます。 コピーされないクライアントの詳細設定:

  • ラベルへの後続の変更が同期されるラベルの移行とは異なり、ポリシーのコピー アクションでは、ポリシーまたはポリシー設定に対する後続の変更は同期されません。 Azure portal で変更を加えた後で、ポリシーのコピー アクションを繰り返すと、既存のポリシーとその設定が再び上書きされます。 または、セキュリティ & コンプライアンス PowerShell の AdvancedSettings パラメーターを使用して、Set-LabelPolicyまたはSet-Labelコマンドレットを使用します。

  • ポリシーのコピー アクションでは、各ポリシーがコピーされる前に次のことを確認します。

    • ポリシーに割り当てられているユーザーとグループは、現在 Azure AD にあります。 1 つ以上のアカウントが存在しない場合、ポリシーはコピーされません。 グループ メンバーシップは検査されません。

    • グローバル ポリシーには、少なくとも 1 つのラベルが含まれています。 管理者ラベル付けセンターではラベルなしのラベル ポリシーはサポートされていないので、ラベルなしのグローバル ポリシーはコピーされません。

  • ポリシーをコピーしてから、管理者ラベル付けセンターから削除する場合は、削除がレプリケートされるのに十分な時間を確保するために、[ポリシーのコピー] アクションを再度使用するまでに少なくとも 2 時間待ちます。

  • Azure Information Protection からコピーされたポリシーには、同じ名前ではなく、プレフィックス AIP_ が付いた名前が使用されます。 後でポリシー名を変更することはできません。

Azure Information Protection 統合ラベル付けクライアントのポリシー設定、クライアントの詳細設定、ラベル設定の構成の詳細については、管理者ガイドの「Azure Information Protection 統合ラベル付けクライアントのカスタム構成」を参照してください。

注意

ポリシーをコピーするための Azure Information Protection のサポートは、現在プレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

統合ラベル付けをサポートするクライアントおよびサービス

使用するクライアントとサービスが統合ラベル付けをサポートしているかどうかを確認するには、ドキュメントを参照して、Microsoft Purview コンプライアンス ポータルから発行された秘密度ラベルを使用できるかどうかを確認します。

現在統合ラベル付けをサポートしているクライアントには、次のものが含まれます。
現在統合ラベル付けをサポートしているサービスには、次のものが含まれます。

ラベルの移行後に使用する管理ポータル

Azure portal でラベルを移行した後は、インストールしたクライアントに応じて、次のいずれかの場所で管理を続行できます。

クライアント 説明
統合ラベル付けクライアントとサービスのみ 統合ラベル付けクライアントのみがインストールされている場合は、統合ラベル付けクライアントがラベルとそのポリシー設定をダウンロードするMicrosoft Purview コンプライアンス ポータルでラベルを管理します。

手順については、「秘密度ラベルとそのポリシーを作成して構成する」を参照してください。
クラシック クライアントのみ ラベルを移行した後もクラシック クライアントがインストールされている場合は、引き続き Azure portal を使ってラベルとポリシー設定を編集します。 クラシック クライアントによって、引き続き Azure からラベルとポリシー設定がダウンロードされます。
AIP クラシック クライアント統合ラベル付けクライアントの両方 両方のクライアントがインストールされている場合は、Microsoft Purview コンプライアンス ポータルまたはAzure portalを使用してラベルを変更します。

クラシック クライアントがMicrosoft Purview コンプライアンス ポータルで行ったラベルの変更を取得するには、Azure portalに戻って発行します。 Azure portal >[Azure Information Protection - 統合ラベル付け] ペインで、[発行] を選択します。

中央レポート機能スキャナーには、引き続き Azure portal を使用します。

次の手順

カスタマー エクスペリエンス チームからのガイダンスとヒント:

秘密度ラベルについて:

統合ラベル付けクライアントのデプロイ:

まだ行っていない場合は、Azure Information Protection 統合ラベル付けクライアントをインストールします。

詳細については、次を参照してください。