Rights Management による保護でラベルを構成する方法How to configure a label for Rights Management protection

適用対象:Azure Information ProtectionApplies to: Azure Information Protection

手順:Windows 用 Azure Information Protection クライアントInstructions for: Azure Information Protection client for Windows

注意

これらの手順は、Azure Information Protection の統合ラベル付けクライアントではなく、Azure Information Protection クライアント (クラシック) に適用されます。These instructions apply to the Azure Information Protection client (classic) and not the Azure Information Protection unified labeling client. これらのクライアントの違いがわからない場合は、Not sure of the difference between these clients? こちらの FAQ を参照してください。See this FAQ.

Rights Management 保護を適用するための秘密度ラベルを構成する方法については、Office のドキュメントを参照してください。If you are looking for information to configure a sensitivity label to apply Rights Management protection, see the Office documentation. たとえば、機密ラベルの暗号化を使用してコンテンツへのアクセスを制限しますFor example, Restrict access to content by using encryption in sensitivity labels.

Rights Management サービスを使用すれば、ほとんどの機密文書や機密メールを保護できます。You can protect your most sensitive documents and emails by using a Rights Management service. このサービスでは、暗号化ポリシー、ID ポリシー、認証ポリシーを使用し、データ損失を防止します。This service uses encryption, identity, and authorization policies to help prevent data loss. この保護は、ドキュメントと電子メールに Rights Management 保護を使用するように構成されたラベルで適用されます。Outlook の [転送不可] ボタンを選択することもできます。The protection is applied with a label that is configured to use Rights Management protection for documents and emails, and users can also select the Do not forward button in Outlook.

ラベルが Azure (クラウド キー) の保護設定で構成されていると、この処理の裏では、Rights Management テンプレートと統合されるサービスとアプリケーションがアクセスできる保護テンプレートが作成および構成されます。When your label is configured with the protection setting of Azure (cloud key), under the covers, this action creates and configures a protection template that can then be accessed by services and applications that integrate with Rights Management templates. たとえば、Exchange Online とメール フロー ルールや、Outlook on the web などです。For example, Exchange Online and mail flow rules, and Outlook on the web.

保護のしくみHow the protection works

Rights Management によって保護されたドキュメントや電子メールは、保存または送信されるときに暗号化されます。When a document or email is protected by a Rights Management service, it is encrypted at rest and in transit. 承認されたユーザーだけが復号できます。It can then be decrypted only by authorized users. この暗号化は、ドキュメントまたは電子メールの名前が変更された場合でも維持されます。This encryption stays with the document or email, even if it is renamed. さらに、次の例のように、使用権限と制限を構成できます。In addition, you can configure usage rights and restrictions, such as the following examples:

  • 組織内のユーザーのみが社外秘のドキュメントまたは電子メールを開くことができます。Only users within your organization can open the company-confidential document or email.

  • マーケティング部門のユーザーのみが宣伝の通知ドキュメントまたは電子メールの編集と印刷を実行でき、組織内の他のすべてのユーザーはそれらの閲覧のみを実行できます。Only users in the marketing department can edit and print the promotion announcement document or email, while all other users in your organization can only read this document or email.

  • ユーザーは、社内の再編成に関するニュースを含む電子メールを転送したり、電子メールの情報をコピーしたりすることはできません。Users cannot forward an email or copy information from it that contains news about an internal reorganization.

  • ビジネス パートナーに送信される現在の価格表は、指定日以降は開くことができません。The current price list that is sent to business partners cannot be opened after a specified date.

Azure Rights Management での保護のしくみについて詳しくは、「Azure Rights Management とは」をご覧ください。For more information about the Azure Rights Management protection and how it works, see What is Azure Rights Management?

重要

この保護を適用するようにラベルを構成するには、組織に対して Azure Rights Management サービスをアクティブにする必要があります。To configure a label to apply this protection, the Azure Rights Management service must be activated for your organization. 詳細については、「Activating the protection service from Azure Information Protection (Azure Information Protection の保護サービスのアクティブ化)」をご覧ください。For more information, see Activating the protection service from Azure Information Protection.

ラベルで保護を適用する場合、保護された文書は SharePoint または OneDrive に保存するには適しません。When the label applies protection, a protected document is not suitable to be saved on SharePoint or OneDrive. これらの場所では、保護されたファイルに対する次の機能はサポートされていません。共同編集、Web 用 Office、検索、ドキュメント プレビュー、サムネイル、電子情報開示、データ損失防止 (DLP)。These locations do not support the following features for protected files: Co-authoring, Office for the web, search, document preview, thumbnail, eDiscovery, and data loss prevention (DLP).

ヒント

統合された秘密度ラベルにラベルを移行し、Microsoft 365 コンプライアンス センターなどのラベル管理センターのいずれかから公開すると、保護を適用するラベルはこれらの場所に対してサポートされます。When you migrate your labels to unified sensitivity labels and publish them from one of the labeling admin centers such as the Microsoft 365 compliance center, labels that apply protection are then supported for these locations. 詳しくは、「SharePoint および OneDrive で Office ファイルに対して秘密度ラベルを有効にする (パブリック プレビュー)」をご覧ください。For more information, see Enable sensitivity labels for Office files in SharePoint and OneDrive (public preview).

ユーザーが電子メールを保護するラベルを Outlook で適用するために、Azure Information Protection 用に Exchange を構成する必要はありません。Exchange does not have to be configured for Azure Information Protection before users can apply labels in Outlook to protect their emails. ただし、Exchange が Azure Information Protection 用に構成されるまで、Exchange で Azure Rights Management による保護を使用するすべての機能を利用できません。However, until Exchange is configured for Azure Information Protection, you do not get the full functionality of using Azure Rights Management protection with Exchange. たとえば、ユーザーは保護された電子メールを携帯電話や Outlook on the web で表示できません。保護された電子メールには検索のインデックスを作成できません。また、Rights Management 保護に Exchange Online DLP を構成できません。For example, users cannot view protected emails on mobile phones or with Outlook on the web, protected emails cannot be indexed for search, and you cannot configure Exchange Online DLP for Rights Management protection. このような追加のシナリオを Exchange がサポートできるようにするには、以下のリソースを参照してください。To ensure that Exchange can support these additional scenarios, see the following resources:

保護設定用のラベルを構成するにはTo configure a label for protection settings

  1. まだサインインしていない場合は、新しいブラウザー ウィンドウを開き、Azure Portal にサインインします。If you haven't already done so, open a new browser window and sign in to the Azure portal. 次に、 [Azure Information Protection] ペインに移動します。Then navigate to the Azure Information Protection pane.

    たとえば、リソース、サービス、ドキュメントの検索ボックスで次のようにします: 「Information」と入力し、 [Azure Information Protection] を選択します。For example, in the search box for resources, services, and docs: Start typing Information and select Azure Information Protection.

  2. [分類] > [ラベル] メニュー オプションから: [Azure Information Protection - ラベル] ペインで、変更するラベルを選択します。From the Classifications > Labels menu option: On the Azure Information Protection - Labels pane, select the label you want to change.

  3. [ラベル] ペインで、 [このラベルを含むドキュメントやメールに対するアクセス許可の設定] を見つけ、下記オプションから 1 つ選択します。On the Label pane, locate Set permissions for documents and emails containing this label, and select one of the following options:

    • [未構成] :現在保護を適用するようにラベルが構成されていて、選択したラベルでこれ以上保護を適用しない場合は、このオプションを選択します。Not configured: Select this option if the label is currently configured to apply protection and you no longer want the selected label to apply protection. 次に手順 11 に進みます。Then go to step 11.

      以前に構成された保護設定はアーカイブ済みの保護テンプレートとして保持され、オプションを [保護] に戻すと再び表示されます。The previously configured protection settings are retained as an archived protection template, and will be displayed again if you change the option back to Protect. Azure Portal ではこのテンプレートが表示されませんが、PowerShell を使用すると、必要に応じてテンプレートを引き続き管理することができます。You do not see this template in the Azure portal but if necessary, you can still manage the template by using PowerShell. この動作は、テンプレートに以前に適用された保護設定のラベルが含まれる場合に、引き続きコンテンツにアクセスできることを意味します。This behavior means that content remains accessible if it has this label with the previously applied protection settings.

      この [未構成] 保護設定を使用したラベルが適用されるとき:When a label with this Not configured protection setting is applied:

      • コンテンツが以前にラベルを使用しないで保護されている場合、その保護は保持されます。If the content was previously protected without using a label, that protection is preserved.

      • コンテンツが以前にラベルを使用して保護されている場合、ラベルを適用するユーザーに Rights Management による保護を削除するアクセス許可があると、その保護は削除されます。If the content was previously protected with a label, that protection is removed if the user applying the label has permissions to remove Rights Management protection. この要件は、ユーザーがエクスポートまたはフル コントロール使用権限を持っている必要があることを意味します。This requirement means that the user must have the Export or Full Control usage right. あるいは、Rights Management の所有者 (自動的にフル コントロールの使用権限が付与されている) であるか、Azure Rights Management のスーパー ユーザーである必要があります。Or, be the Rights Management owner (which automatically grants the Full Control usage right), or a super user for Azure Rights Management.

        ユーザーが保護を削除するアクセス許可を持っていない場合、ラベルを適用することはできず、次のメッセージが表示されます。Azure Information Protection ではこのラベルを適用できません。この問題が引き続き発生する場合は、管理者にお問い合わせください。If the user doesn't have permissions to remove protection, the label cannot be applied and the following message is displayed: Azure Information Protection cannot apply this label. If this problem persists, contact your administrator.

    • [保護] :保護を適用するには、このオプションを選択し、手順 4 に進みます。Protect: Select this option to apply protection, and then go to step 4.

    • [保護の削除] :ドキュメントまたはメールが保護されている場合に保護を削除するには、このオプションを選びます。Remove Protection: Select this option to remove protection if a document or email is protected. 次に手順 11 に進みます。Then go to step 11.

      ラベルまたは保護テンプレートを使用して保護が適用されている場合、保護設定はアーカイブ済みの保護テンプレートとして保持され、オプションを [保護] に戻すと再び表示されます。If the protection was applied with a label or protection template, the protection settings are retained as an archived protection template, and will be displayed again if you change the option back to Protect. Azure Portal ではこのテンプレートが表示されませんが、PowerShell を使用すると、必要に応じてテンプレートを引き続き管理することができます。You do not see this template in the Azure portal but if necessary, you can still manage the template by using PowerShell. この動作は、テンプレートに以前に適用された保護設定のラベルが含まれる場合に、引き続きコンテンツにアクセスできることを意味します。This behavior means that content remains accessible if it has this label with the previously applied protection settings.

      このオプションを持つラベルを正常に適用するには、ユーザーは Rights Management による保護を削除するアクセス許可を持っている必要があることに注意してください。Note that for a user to successfully apply a label that has this option, that user must have permissions to remove Rights Management protection. この要件は、ユーザーがエクスポートまたはフル コントロール使用権限を持っている必要があることを意味します。This requirement means that the user must have the Export or Full Control usage right. あるいは、Rights Management の所有者 (自動的にフル コントロールの使用権限が付与されている) であるか、Azure Rights Management のスーパー ユーザーである必要があります。Or, be the Rights Management owner (which automatically grants the Full Control usage right), or a super user for Azure Rights Management.

      この設定を使用してラベルを適用するユーザーが、Rights Management による保護を削除するアクセス許可を持たない場合、ラベルを適用することはできず、次のメッセージが表示されます。Azure Information Protection ではこのラベルを適用できません。この問題が引き続き発生する場合は、管理者に問い合わせてください。If the user applying the label with this setting does not have permissions to remove Rights Management protection, the label cannot be applied and the following message is displayed: Azure Information Protection cannot apply this label. If this problem persists, contact your administrator.

  4. [保護] を選択した場合、その他のオプションのいずれかが以前選択された場合は [保護] ペインが自動的に開きます。If you selected Protect, the Protection pane automatically opens if one of the other options were previously selected. この新しいペインが自動的に開かない場合は、 [保護] を選択します。If this new pane does not automatically open, select Protection:

    Azure Information Protection ラベルの保護を構成する

  5. [保護] ペインで、 [Azure (クラウド キー)] または [HYOK (AD RMS)] を選択します。On the Protection pane, select Azure (cloud key) or HYOK (AD RMS).

    ほとんどの場合、アクセス許可の設定には [Azure (cloud key)](クラウド キー) を選択します。In most cases, select Azure (cloud key) for your permission settings. この "Hold Your Own Key" (HYOK) 構成に付随する前提条件と制限事項を読み、理解するまでは [HYOK (AD RMS)] を選択しないでください。Do not select HYOK (AD RMS) unless you have read and understood the prerequisites and restrictions that accompany this "hold your own key" (HYOK) configuration. 詳細については、「AD RMS 保護の Hold Your Own Key (HYOK) の要件と制限事項」を参照してください。For more information, see Hold your own key (HYOK) requirements and restrictions for AD RMS protection. HYOK (AD RMS) の構成を続行するには、手順 9 に進みます。To continue the configuration for HYOK (AD RMS), go to step 9.

  6. 次のいずれかのオプションを選択します。Select one of the following options:

    • [アクセス許可の設定] :このポータルで新しい保護設定を定義します。Set permissions: To define new protection settings in this portal.

    • [ユーザー定義のアクセス許可の設定 (プレビュー)] :アクセス許可付与対象のユーザーと付与するアクセス許可を、ユーザーが指定できるようにします。Set user-defined permissions (Preview): To let users specify who should be granted permissions and what those permissions are. このオプションを調整し、Outlook のみ、または Word、Excel、PowerPoint、およびエクスプローラーを選択できます。You can then refine this option and choose Outlook only, or Word, Excel, PowerPoint, and File Explorer. このオプションは、ラベルが自動分類用に構成されているとサポートされず、機能しません。This option is not supported, and does not work, when a label is configured for automatic classification.

      Outlook のオプションを選択した場合:Outlook にラベルが表示されます。ユーザーがラベルを適用した場合の動作は、[転送不可] オプションと同じです。If you choose the option for Outlook: The label is displayed in Outlook and the resulting behavior when users apply the label is the same as the Do Not Forward option.

      Word、Excel、PowerPoint、およびエクスプローラーのオプションを選択した場合:このオプションが設定されると、これらのアプリケーションにラベルが表示されます。If you choose the option for Word, Excel, PowerPoint, and File Explorer: When this option is set, the label is displayed in these applications. ユーザーがラベルを適用したときの結果の動作は、ユーザーがカスタム アクセス許可を選択するダイアログ ボックスが表示されます。The resulting behavior when users apply the label is to display the dialog box for users to select custom permissions. ユーザーは、このダイアログ ボックスで、定義済みのアクセス許可レベルのいずれかを選択し、ユーザーまたはグループを参照して指定し、必要に応じて有効期限日を設定します。In this dialog box, users choose one of the predefined permissions levels, browse to or specify the users or groups, and optionally, set an expiry date. これらの値を指定する方法に関する指示とガイダンスをユーザーに必ず提供します。Make sure that users have instructions and guidance how to supply these values.

    • [定義済みのテンプレートを選択する] :既定のテンプレートのいずれかまたは構成したカスタム テンプレートを使用します。Select a predefined template: To use one of the default templates or a custom template that you've configured. 以前に [アクセス許可の設定] オプションを使用したラベルを編集している場合、新しいラベルにこのオプションは表示されないことにご注意ください。Note that this option does not display for new labels, or if you are editing a label that previously used the Set permissions option.

      定義済みのテンプレートを選択するには、テンプレートを (アーカイブではなく) 公開する必要があります。また、すでに別のラベルにリンクされていることがないようにします。To select a predefined template, the template must be published (not archived) and must not be linked already to another label. このオプションを選ぶときは、 [テンプレートの編集] ボタンを使ってテンプレートをラベルに変換することができます。When you select this option, you can use an Edit Template button to convert the template into a label.

      カスタム テンプレートの作成や編集に慣れている場合は、「Azure クラシック ポータルで行っていたタスク」の情報が役に立つことがあります。If you are used to creating and editing custom templates, you might find it useful to reference Tasks that you used to do with the Azure classic portal.

  7. [Azure (クラウド キー)] に対して [アクセス許可を設定します] を選択した場合、このオプションによりユーザーおよび使用権限を選択することができます。If you selected Set permissions for Azure (cloud key), this option lets you select users and usage rights.

    このペインでユーザーを選択せずに [OK] を選択した場合、 [ラベル] ペインに [保存] が表示されます。ラベルを適用したユーザーのみが制限なしにドキュメントまたはメールを開くことができるような保護を適用するように、ラベルが構成されます。If you don't select any users and select OK on this pane, followed by Save on the Label pane: The label is configured to apply protection such that only the person who applies the label can open the document or email with no restrictions. この構成は "自分のみ" と呼ばれることがあり、求められている結果である場合があります。ユーザーは任意の場所にファイルを保存でき、自分だけがそれを開くことができるようになります。This configuration is sometimes referred to as "Just for me" and might be the required outcome, so that a user can save a file to any location and be assured that only they can open it. この結果がご自身の要件に合っていて、保護されたコンテンツを他のユーザーと共用しない場合は、 [アクセス許可の追加] を選択しないでください。If this outcome matches your requirement and others are not required to collaborate on the protected content, do not select Add permissions. ラベルを保存すると、次にこの [保護] ペインを開いたときに、この構成を反映するように [ユーザー] に対して [IPC_USER_ID_OWNER] が表示され、 [アクセス許可] に対して [共同所有者] が表示されます。After saving the label, the next time you open this Protection pane, you see IPC_USER_ID_OWNER displayed for Users, and Co-Owner displayed for Permissions to reflect this configuration.

    保護されたドキュメントとメールを開けるようにするユーザーを指定するには、 [アクセス許可の追加] を選択します。To specify the users you want to be able to open protected documents and emails, select Add permissions. 次に、 [アクセス許可の追加] ペインで、選択したラベルで保護されるコンテンツの使用権限を与えるユーザーとグループの最初のセットを選択します。Then on the Add permissions pane, select the first set of users and groups who will have rights to use the content that will be protected by the selected label:

    • 可能な場所で [一覧から選択] を選択し、 [<組織名> の追加 - すべてのメンバー] を選択して組織のすべてのユーザーを追加します。Choose Select from the list where you can then add all users from your organization by selecting Add <organization name> - All members. この設定では、ゲスト アカウントは除外されます。This setting excludes guest accounts. または、 [認証されたユーザーを追加] を選択するか、ディレクトリを参照することができます。Or, you can select Add any authenticated users, or browse the directory.

      すべてのメンバーを選択するか、ディレクトリを参照する場合、ユーザーまたはグループが電子メール アドレスを所有している必要があります。When you choose all members or browse the directory, the users or groups must have an email address. 運用環境では、ほとんど常にユーザーとグループにメール アドレスがありますが、単純なテスト環境では、ユーザー アカウントまたはグループへの電子メール アドレスの追加が必要になることがあります。In a production environment, users and groups nearly always have an email address, but in a simple testing environment, you might need to add email addresses to user accounts or groups.

      認証されたユーザーの追加に関する詳しい情報More information about Add any authenticated users

      この設定では、ラベルで保護されているコンテンツのアクセス権を持つユーザーが制限されることはありません。一方、引き続きコンテンツは暗号化され、コンテンツの使用方法 (アクセス許可) やアクセス方法 (有効期限、オフライン アクセス) を制限できます。This setting doesn't restrict who can access the content that the label protects, while still encrypting the content and providing you with options to restrict how the content can be used (permissions), and accessed (expiry and offline access). ただし、保護されたコンテンツを開くアプリケーションは、使用されている認証をサポートできる必要があります。However, the application opening the protected content must be able to support the authentication being used. このため、Google などのフェデレーション ソーシャル プロバイダーや、ワンタイム パスコード認証は、電子メール用、および Exchange Online と Office 365 メッセージの暗号化の新機能を使用するときにのみ使用する必要があります。For this reason, federated social providers such as Google, and onetime passcode authentication should be used for email only, and only when you use Exchange Online and the new capabilities from Office 365 Message Encryption. Microsoft アカウントは、Azure Information Protection ビューアーおよび Office 365 アプリ (クイック実行) で使用できます。Microsoft accounts can be used with the Azure Information Protection viewer and Office 365 apps (Click-to-Run).

      認証されたユーザー設定の一般的なシナリオ:Some typical scenarios for the any authenticated users setting:

      • 誰がコンテンツを表示してもよいが、その使用方法を制限する場合。You don't mind who views the content, but you want to restrict how it is used. たとえば、コンテンツを編集、コピー、印刷できないようにします。For example, you do not want the content to be edited, copied, or printed.
      • 誰がコンテンツにアクセスしてもよいが、コンテンツを開いたユーザーを追跡し、必要に応じて取り消しできるようにする場合。You don't need to restrict who accesses the content, but you want to be able to track who opens it and potentially, revoke it.
      • コンテンツを保存時と転送時に暗号化する必要があるが、アクセス制御は要求しない要件の場合。You have a requirement that the content must be encrypted at rest and in transit, but it doesn't require access controls.
    • 個々のユーザーまたはグループ (内部または外部) の電子メール アドレスを手動で設定するには、 [詳細を入力] を選択します。Choose Enter details to manually specify email addresses for individual users or groups (internal or external). あるいは、別の組織のドメイン名を入力して、その組織のすべてのユーザーを指定するには、このオプションを使用します。Or, use this option to specify all users in another organization by entering any domain name from that organization. また、gmail.comhotmail.com、または outlook.com などのドメイン名を入力すると、ソーシャル プロバイダーにこのオプションを使用することもできます。You can also use this option for social providers, by entering their domain name such as gmail.com, hotmail.com, or outlook.com.

      注意

      ユーザーまたはグループを選択した後に電子メール アドレスが変更された場合、計画ドキュメントの電子メール アドレスが変更された場合の考慮事項をご覧ください。If an email address changes after you select the user or group, see the Considerations if email addresses change section from the planning documentation.

      ベスト プラクティスとしては、ユーザーではなくグループの利用が推奨されます。As a best practice, use groups rather than users. この戦略では構成が単純になり、後でラベル構成を更新し、コンテンツを再保護する必要性が少なくなります。This strategy keeps your configuration simpler and makes it less likely that you have to update your label configuration later and then reprotect content. ただし、グループを変更した場合、パフォーマンス上の理由から、Azure Rights Management ではグループ メンバーシップがキャッシュされることに注意してください。However, if you make changes to the group, keep in mind that for performance reasons, Azure Rights Management caches the group membership.

    ユーザーとグループの最初のセットを指定したら、ユーザーとグループに与えるアクセス許可を選択します。When you have specified the first set of users and groups, select the permissions to grant these users and groups. 選択できるアクセス許可について詳しくは、「Configuring usage rights for Azure Information Protection (Azure Information Protection の使用権限の構成)」をご覧ください。For more information about the permissions that you can select, see Configuring usage rights for Azure Information Protection. ただし、この保護をサポートするアプリケーションでアクセス許可の実装方法が異なる場合があります。However, applications that support this protection might vary in how they implement these permissions. その文書を参照し、ユーザーが使用するアプリケーションで独自にテストし、動作を確認してからユーザーのテンプレートをデプロイします。Consult their documentation and do your own testing with the applications that users use to check the behavior before you deploy the template for users.

    必要に応じて、ユーザーとグループの 2 つ目のセットと使用権限を追加できます。If required, you can now add a second set of users and groups with usage rights. すべてのユーザーとグループとそれぞれのアクセス許可が指定されるまで繰り返します。Repeat until you have specified all the users and groups with their respective permissions.

    ヒント

    カスタム アクセス許可の [名前を付けて保存、エクスポート (EXPORT)] の追加を検討し、このアクセス許可をデータ復旧管理者か、情報復旧を担当するその他の役割が与えられた人に付与します。Consider adding the Save As, Export (EXPORT) custom permission and grant this permission to data recovery administrators or personnel in other roles that have responsibilities for information recovery. このようなユーザーは、必要であれば、このラベルまたはテンプレートで保護されるファイルやメールから保護を削除できます。If needed, these users can then remove protection from files and emails that will be protected by using this label or template. ドキュメントまたはメールの保護をアクセス許可レベルで削除できれば、スーパー ユーザー機能より詳細な制御が可能になります。This ability to remove protection at the permission level for a document or email provides more fine-grained control than the super user feature.

    指定したすべてのユーザーとグループに対して、 [保護] ペインで、次の設定を変更するかどうかを確認します。For all the users and groups that you specified, on the Protection pane, now check whether you want to make any changes to the following settings. アクセス許可と同様に、これらの設定は、Rights Management の発行者や Rights Management の所有者、管理者によって割り当てられたスーパー ユーザーには適用されません。Note that these settings, as with the permissions, do not apply to the Rights Management issuer or Rights Management owner, or any super user that you have assigned.

    保護の設定に関する情報Information about the protection settings
    SettingSetting 詳細情報More information 推奨される設定Recommended setting
    [ファイル コンテンツの有効期限]File Content Expiration これらの設定によって保護されているドキュメントを、選択したユーザーが開けなくなる日付またはそれまでの日数を定義します。Define a date or number of days for when documents that are protected by these settings should not open for the selected users. 電子メールの場合は、一部の電子メール クライアントで使用されるキャッシュ メカニズムにより、有効期限が常に適用されるとは限りません。For emails, expiration isn't always enforced because of caching mechanisms used by some email clients.

    日付を指定するか、保護がコンテンツに適用された時点からの日数を指定できます。You can specify a date or specify a number of days starting from the time that the protection is applied to the content.

    日付を指定する場合は、現在のタイム ゾーンの午前 0 時から有効になります。When you specify a date, it is effective midnight, in your current time zone.
    [コンテンツには有効期限がありません] (コンテンツに期限付きの特定の要件が含まれる場合を除く)。Content never expires unless the content has a specific time-bound requirement.
    [オフライン アクセスの許可]Allow offline access この設定を使用すると、選択されたユーザーはインターネットに接続していないときに保護されたコンテンツを開くことができるため、セキュリティ要件 (失効後のアクセスを含む) のバランスを取ることができます。Use this setting to balance any security requirements that you have (includes access after revocation) with the ability for the selected users to open protected content when they don't have an internet connection.

    インターネットに接続されていないときにコンテンツを使用できないように指定するか、コンテンツが指定された日数のみ利用できるように指定した場合、そのしきい値に達すると、ユーザーは再認証される必要があり、アクセスがログに記録されます。If you specify that content is not available without an internet connection or that content is only available for a specified number of days, when that threshold is reached, these users must be reauthenticated and their access is logged. この場合、ユーザーの資格情報がキャッシュされていない場合、ユーザーはドキュメントまたは電子メールを開く前にサインインするように要求されます。When this happens, if their credentials are not cached, the users are prompted to sign in before they can open the document or email.

    再認証に加えて、ポリシーおよびユーザー グループのメンバーシップが再評価されます。In addition to reauthentication, the policy and the user group membership is reevaluated. つまり、ユーザーが最後にコンテンツにアクセスした後にポリシーまたはグループ メンバーシップが変更された場合、ユーザーが同じドキュメントまたは電子メールにアクセスしたときに異なる結果になる可能性があります。This means that users could experience different access results for the same document or email if there are changes in the policy or group membership from when they last accessed the content. これには、ドキュメントが失効された場合にアクセスできないことも含まれます。That could include no access if the document has been revoked.
    コンテンツの重要度に応じて次のように設定します。Depending on how sensitive the content is:

    - [インターネットに接続せずにコンテンツを利用できる日数] = 7 (不正ユーザーの手に渡った場合にビジネス上の損失を招く可能性がある機密性の高いビジネス データ)。- Number of days the content is available without an internet connection = 7 for sensitive business data that could cause damage to the business if shared with unauthorized people. この推奨設定では、柔軟性とセキュリティのバランスを取ることができます。This recommendation offers a balanced compromise between flexibility and security. 例としては、契約書、セキュリティ レポート、予測の概要、および販売取引データなどがあります。Examples include contracts, security reports, forecast summaries, and sales account data.

    - [Never(常に不可)] (承認されていない人と共有した場合、ビジネスに損害を与える可能性のある非常に機密性の高いビジネス データ)。- Never for very sensitive business data that would cause damage to the business if it was shared with unauthorized people. この推奨では柔軟性よりもセキュリティが優先され、ドキュメントが失効されると、承認されたすべてのユーザーが直ちにそのドキュメントを開けなくなります。This recommendation prioritizes security over flexibility, and ensures that if the document is revoked, all authorized users immediately cannot open the document. 例としては、従業員と顧客の情報、パスワード、ソース コード、および発表前の財務レポートなどがあります。Examples include employee and customer information, passwords, source code, and pre-announced financial reports.

    アクセス許可と設定の構成が完了したら、 [OK] をクリックします。When you have finished configuring the permissions and settings, click OK.

    この設定のグループ化により、Azure Rights Management サービスのカスタム テンプレートが作成されます。This grouping of settings creates a custom template for the Azure Rights Management service. これらのテンプレートは、Azure Rights Management に統合されたアプリケーションとサービスで使用できます。These templates can be used with applications and services that integrate with Azure Rights Management. コンピューターとサービスがテンプレートをダウンロードおよび更新する方法の詳細については、「ユーザー用のテンプレートの更新」をご覧ください。For information about how computers and services download and refresh these templates, see Refreshing templates for users and services.

  8. [Azure (cloud key)](Azure (クラウド キー))[定義済みのテンプレートを選択する] を選択した場合、ドロップ ダウン ボックスをクリックし、このラベルでドキュメントとメールを保護するために使用するテンプレートを選択します。If you selected Select a predefined template for Azure (cloud key), click the drop-down box and select the template that you want to use to protect documents and emails with this label. アーカイブ済みのテンプレートや別にラベルに選択されているテンプレートは表示されません。You do not see archived templates or templates that are already selected for another label.

    部門別テンプレートを選択する場合、またはオンボーディング コントロールを構成済みの場合:If you select a departmental template, or if you have configured onboarding controls:

    • 構成されたテンプレート範囲の外にいるユーザー、または Azure Rights Management 保護の適用から除外されているユーザーは、引き続きラベルを確認できますが、適用することはできません。Users who are outside the configured scope of the template or who are excluded from applying Azure Rights Management protection still see the label but cannot apply it. それらのユーザーがラベルを選択した場合、次のメッセージが表示されます:Azure Information Protection ではこのラベルを適用できません。この問題が引き続き発生する場合は、管理者に問い合わせてください。If they select the label, they see the following message: Azure Information Protection cannot apply this label. If this problem persists, contact your administrator.

      スコープ ポリシーを構成する場合でも、公開済みのすべてのテンプレートが常に表示されることに注意してください。Note that all published templates are always shown, even if you are configuring a scoped policy. たとえば、マーケティング グループのスコープ ポリシーを構成しているとします。For example, you are configuring a scoped policy for the Marketing group. 選択可能なテンプレートは、マーケティング グループにスコープされたテンプレートに制限されることはなく、選択されたユーザーが使用できない部門別のテンプレートを選択することが可能です。The templates that you can select are not restricted to templates that are scoped to the Marketing group and it's possible to select a departmental template that your selected users cannot use. 構成を簡単にしてトラブルシューティングを最小限に抑えるために、部門別テンプレートの名前がスコープ ポリシーのラベルに一致するように名前を付けることを考慮してください。For ease of configuration and to minimize troubleshooting, consider naming the departmental template to match the label in your scoped policy.

  9. [HYOK (AD RMS)] を選択した場合は、 [AD RMS テンプレートの詳細を設定する] または [ユーザー定義のアクセス許可の設定 (プレビュー)] のいずれかを選択します。If you selected HYOK (AD RMS), select either Set AD RMS templates details or Set user defined permissions (Preview). 次に、使用している AD RMS クラスターのライセンス URL を指定します。Then specify the licensing URL of your AD RMS cluster.

    テンプレート GUID を指定する方法とライセンス URL については、「Azure Information Protection ラベルによる AD RMS の保護を指定する情報の確認」をご覧ください。For instructions to specify a template GUID and your licensing URL, see Locating the information to specify AD RMS protection with an Azure Information Protection label.

    ユーザー定義のアクセス許可オプションを選択すると、ユーザーは、アクセス許可を与えるユーザーとアクセス許可の内容を指定できます。The user-defined permissions option lets users specify who should be granted permissions and what those permissions are. このオプションを調整し、Outlook のみ (既定)、または Word、Excel、PowerPoint、およびエクスプローラーを選択できます。You can then refine this option and choose Outlook only (the default), or Word, Excel, PowerPoint, and File Explorer. このオプションは、ラベルが自動分類用に構成されているとサポートされず、機能しません。This option is not supported, and does not work, when a label is configured for automatic classification.

    Outlook のオプションを選択した場合:Outlook にラベルが表示されます。ユーザーがラベルを適用した場合の動作は、[転送不可] オプションと同じです。If you choose the option for Outlook: The label is displayed in Outlook and the resulting behavior when users apply the label is the same as the Do Not Forward option.

    Word、Excel、PowerPoint、およびエクスプローラーのオプションを選択した場合:このオプションが設定されると、これらのアプリケーションにラベルが表示されます。If you choose the option for Word, Excel, PowerPoint, and File Explorer: When this option is set, the label is displayed in these applications. ユーザーがラベルを適用したときの結果の動作は、ユーザーがカスタム アクセス許可を選択するダイアログ ボックスが表示されます。The resulting behavior when users apply the label is to display the dialog box for users to select custom permissions. ユーザーは、このダイアログ ボックスで、定義済みのアクセス許可レベルのいずれかを選択し、ユーザーまたはグループを参照して指定し、必要に応じて有効期限日を設定します。In this dialog box, users choose one of the predefined permissions levels, browse to or specify the users or groups, and optionally, set an expiry date. これらの値を指定する方法に関する指示とガイダンスをユーザーに必ず提供します。Make sure that users have instructions and guidance how to supply these values.

  10. [OK] をクリックして [保護] ペインを閉じ、選択した [ユーザー定義] または選択したテンプレートが [ラベル] ペインの [保護] オプションに表示されていることを確認します。Click OK to close the Protection pane and see your choice of User defined or your chosen template display for the Protection option in the Label pane.

  11. [ラベル] ペインで、 [保存] をクリックします。On the Label pane, click Save.

  12. [Azure Information Protection] ペインで、 [保護] 列を使用して、目的の保護設定がラベルに表示されていることを確認します。On the Azure Information Protection pane, use the PROTECTION column to confirm that your label now displays the protection setting that you want:

    • 保護を構成した場合は、チェック マーク。A check mark if you have configured protection.

    • 保護を削除するようにラベルを構成した場合は、キャンセルを示す X マーク。An x mark to denote cancellation if you have configured a label to remove protection.

    • 保護を設定していない場合は、空白のフィールド。A blank field when protection is not set.

[保存] をクリックすると、変更内容がユーザーとサービスに対して自動的に利用可能になります。When you clicked Save, your changes are automatically available to users and services. 独立した公開オプションはなくなりました。There's no longer a separate publish option.

構成例Example configurations

既定のポリシー[社外秘][非常に機密性の高い社外秘] ラベルの [すべての従業員][受信者のみ] サブラベルを使って、保護を適用するラベルを構成する方法の例を示します。The All Employees and Recipients Only sublabels from the Confidential and High Confidential labels from the default policy provide examples of how you can configure labels that apply protection. 次の例は、さまざまなシナリオの保護を構成する際にも使用できます。You can also use the following examples to help you configure protection for different scenarios.

以下のそれぞれの例について、自分の <"ラベル名"> ペイン上で、 [保護] を選択します。For each example that follows, on your <label name> pane, select Protect. [保護] ペインが自動的に開かない場合は、 [保護] を選択してこのペインを開きます。これを使って保護構成オプションを選択することができます。If the Protection pane doesn't automatically open, select Protection to open this pane that lets you select your protection configuration options:

保護用の Azure Information Protection ラベルの構成

例 1:[転送不可] を適用して保護された電子メールを Gmail アカウントに送信するラベルExample 1: Label that applies Do Not Forward to send a protected email to a Gmail account

このラベルは、Outlook でのみ使用でき、Exchange Online が Office 365 Message Encryption の新しい機能のために構成されている場合に適しています。This label is available only in Outlook and is suitable when Exchange Online is configured for the new capabilities in Office 365 Message Encryption. ユーザーが Gmail アカウント (または組織外のその他の電子メール アカウント) を使用しているユーザーに保護された電子メールを送信する必要がある場合は、このラベルを選択するように指示します。Instruct users to select this label when they need to send a protected email to people using a Gmail account (or any other email account outside your organization).

[宛先] ボックスにユーザーが Gmail 電子メール アドレスを入力します。Your users type the Gmail email address in the To box. 次に、ユーザーがラベルを選択すると、[転送不可] オプションが自動的にメールに追加されます。Then, they select the label and the Do Not Forward option is automatically added to the email. その結果、受信者はメールの転送、印刷、メールからのコピー、添付ファイルの保存を行ったり、メールを別の名前で保存したりすることはできません。The result is that recipients cannot forward the email, or print it, copy from it, or save attachments, or save the email as a different name.

  1. [保護] ペインで、 [Azure (クラウド キー)] が選択されていることを確認します。On the Protection pane, make sure that Azure (cloud key) is selected.

  2. [ユーザー定義のアクセス許可の設定 (プレビュー)] を選択します。Select Set user-defined permissions (Preview).

  3. 次のオプションが選択されていることを確認します。 [Outlook で [転送不可] を適用する]Make sure that the following option is selected: In Outlook apply Do Not Forward.

  4. 選択されている場合は、次のオプションをオフにします。 [Word、Excel、PowerPoint、エクスプローラーでは、カスタム アクセス許可を指定するようユーザーに促す]If selected, clear the following option: In Word, Excel, PowerPoint and File Explorer prompt user for custom permissions.

  5. [保護] ペインで [OK] をクリックしてから、 [ラベル] ペインで [保存] をクリックします。Click OK on the Protection pane, and then click Save on the Label pane.

例 2:別の組織内のすべてのユーザーに対し、読み取り専用のアクセス許可を制限し、即時の失効をサポートするラベルExample 2: Label that restricts read-only permission to all users in another organization, and that supports immediate revocation

このラベルは、表示するのに常にインターネット接続を必要とする (読み取り専用の) 非常に機密性の高いドキュメントの共有に適しています。This label is suitable for sharing (read-only) very sensitive documents that always require an internet connection to view it. 失効させると、ユーザーは、次回そのドキュメントを開こうとしたときに表示することができなくなります。If revoked, users will not be able to view the document the next time they try to open it.

このラベルは電子メールには適していません。This label is not suitable for emails.

  1. [保護] ペインで、 [Azure (クラウド キー)] が選択されていることを確認します。On the Protection pane, make sure that Azure (cloud key) is selected.

  2. [アクセス許可の設定] オプションが選択されていることを確認し、 [アクセス許可の追加] を選択します。Make sure that the Set permissions option is selected, and then select Add permissions.

  3. [アクセス許可の追加] ペインで、 [詳細を入力] を選択します。On the Add permissions pane, select Enter details.

  4. 他の組織のドメイン名 (fabrikam.com など) を入力します。Enter the name of a domain from the other organization, for example, fabrikam.com. [追加] を選択します。Then select Add.

  5. [事前設定されたものの中からアクセス許可を選択する] から [ビューアー] を選択し、 [OK] を選択します。From Choose permissions from preset, select Viewer, and then select OK.

  6. [保護] ペインに戻り、 [オフライン アクセスの許可][Never](常に不可) を選択します。Back on the Protection pane, for Allow offline access setting, select Never.

  7. [保護] ペインで [OK] をクリックしてから、 [ラベル] ペインで [保存] をクリックします。Click OK on the Protection pane, and then click Save on the Label pane.

例 3:コンテンツを保護する既存のラベルに外部ユーザーを追加するExample 3: Add external users to an existing label that protects content

追加した新しいユーザーは、このラベルで既に保護されているドキュメントおよび電子メールを開けるようになります。The new users that you add will be able open documents and emails that have already been protected with this label. これらのユーザーには、既存のユーザーが持つアクセス許可と異なるアクセス許可を付与することができます。The permissions that you grant these users can be different from the permissions that the existing users have.

  1. [保護] ペインで、 [Azure (クラウド キー)] が選択されていることを確認します。On the Protection pane, make sure Azure (cloud key) is selected.

  2. [アクセス許可の設定] が選択されていることを確認し、 [アクセス許可の追加] を選択します。Ensure that Set permissions is selected, and then select Add permissions.

  3. [アクセス許可の追加] ペインで、 [詳細を入力] を選択します。On the Add permissions pane, select Enter details.

  4. 追加する最初のユーザー (またはグループ) の電子メール アドレスを入力し、 [追加] を選択します。Enter the email address of the first user (or group) to add, and then select Add.

  5. このユーザー (またはグループ) のアクセス許可を選択します。Select the permissions for this user (or group).

  6. このラベルを追加するユーザー (またはグループ) ごとに手順 4 と 5 を繰り返します。Repeat steps 4 and 5 for each user (or group) that you want to add to this label. [OK] をクリックします。Then click OK.

  7. [保護] ペインで [OK] をクリックしてから、 [ラベル] ペインで [保存] をクリックします。Click OK on the Protection pane, and then click Save on the Label pane.

例 4:[転送不可] よりも制限の緩いアクセス許可をサポートする保護された電子メールのラベルExample 4: Label for protected email that supports less restrictive permissions than Do Not Forward

このラベルは、Outlook を制限することはできませんが、[転送不可] を使用するよりも制限の緩い制御を提供します。This label cannot be restricted to Outlook but does provide less restrictive controls than using Do Not Forward. たとえば、受信者に電子メールまたは添付ファイルからコピーしたり、添付ファイルを保存または編集することを許可できます。For example, you want the recipients to be able to copy from the email or an attachment, or save and edit an attachment.

Azure AD のアカウントを持たない外部ユーザーを指定する場合:If you specify external users who do not have an account in Azure AD:

  • このラベルは、Exchange Online で Office 365 Message Encryption の新機能を使用している場合の電子メールに適しています。The label is suitable for email when Exchange Online is using the new capabilities in Office 365 Message Encryption.

  • 自動的に保護されている Office 添付ファイルの場合、これらのドキュメントはブラウザーで表示できます。For Office attachments that are automatically protected, these documents are available to view in a browser. これらのドキュメントを編集するには、Office 365 アプリ (クイック実行) および同じメール アドレスを使用する Microsoft アカウントを使用して、それらをダウンロードし、編集します。To edit these documents, download and edit them with Office 365 apps (Click-to-Run), and a Microsoft account that uses the same email address. 詳細情報More information

注意

Exchange Online が新しいオプションである [暗号化のみ] をロールアウトしています。Exchange Online is rolling out a new option, Encrypt-Only. このオプションはラベル構成では使用できません。This option is not available for label configuration. ただし、受信者が誰かを把握している場合は、この例を使用して同じ使用権限のセットを持つラベルを構成できます。However, when you know who the recipients will be, you can use this example to configure a label with the same set of usage rights.

ユーザーが [宛先] ボックスに電子メール アドレスを指定する場合、そのアドレスは、このラベル構成に指定したものと同じユーザーのアドレスである必要があります。When your users specify the email addresses in the To box, the addresses must be for the same users that you specify for this label configuration. ユーザーは複数のグループに属して、複数の電子メール アドレスを持つことができるため、ユーザーが指定する電子メールアドレスが、アクセス許可用に指定した電子メール アドレスと一致している必要はありません。Because users can belong to groups and have more than one email address, the email address that they specify does not have to match the email address that you specify for the permissions. ただし、受信者が正常に承認されるようにするには、同じ電子メール アドレスを指定するのが最も簡単です。However, specifying the same email address is the easiest way to ensure that the recipient will be successfully authorized. ユーザーがどのようにアクセス許可を付与されるかに関する詳細は、「Azure Information Protection 向けのユーザーとグループの準備」を参照してください。For more information about how users are authorized for permissions, see Preparing users and groups for Azure Information Protection.

  1. [保護] ペインで、 [Azure (クラウド キー)] が選択されていることを確認します。On the Protection pane, make sure that Azure (cloud key) is selected.

  2. [アクセス許可の設定] が選択されていることを確認し、 [アクセス許可の追加] を選択します。Make sure Set permissions is selected, and select Add permissions.

  3. [アクセス許可の追加] ペインで、次の操作を行います。組織のユーザーにアクセス許可を与えるには、 [<組織名> の追加 - すべてのメンバー] を選択して、テナント内のすべてのメンバーを選択します。On the Add permissions pane: To grant permissions to users in your organization, select Add <organization name> - All members to select all users in your tenant. この設定では、ゲスト アカウントは除外されます。This setting excludes guest accounts. または、 [ディレクトリを参照] を選択して特定のグループを選択します。Or, select Browse directory to select a specific group. 外部ユーザーにアクセス許可を与えるには、またはメール アドレスを入力する場合は、 [詳細を入力] を選択し、ユーザーまたは Azure AD グループの電子メール アドレス、またはドメイン名を入力します。To grant permissions to external users or if you prefer to type the email address, select Enter details and type the email address of the user, or Azure AD group, or a domain name.

    この手順を繰り返して、同じアクセス許可を持つ必要がある追加のユーザーを指定します。Repeat this step to specify additional users who should have the same permissions.

  4. [事前設定されたものの中からアクセス許可を選択する] に対し、 [共同所有者][共同作成者][レビュー担当者][カスタム] のいずれかを選択し、付与するアクセス許可を選択します。For Choose permissions from preset, select Co-Owner, Co-Author, Reviewer, or Custom to select the permissions that you want to grant.

    注: 電子メールには [ビューアー] を選択しないでください。また、 [カスタム] を選択した場合は、 [編集と保存] を必ず含めてください。Note: Do not select Viewer for emails and if you do select Custom, make sure that you include Edit and Save.

    Exchange Online の新しい [Encrypt-Only] (暗号化のみ) オプションと同じアクセス許可を選択するには、 [カスタム] を選択します。To select the same permissions that match the new Encrypt-Only option from Exchange Online, select Custom. 次いで、 [名前を付けて保存]、[エクスポート] (エクスポート)[フル コントロール] (所有者) を除くすべてのアクセス許可を選択します。Then select all permissions except Save As, Export (EXPORT) and Full Control (OWNER).

  5. 異なるアクセス許可を持つ追加のユーザーを指定するには、手順 3 と 4 を繰り返します。To specify additional users who should have different permissions, repeat steps 3 and 4.

  6. [アクセス許可の追加] ペインで [OK] をクリックします。Click OK on the Add permissions pane.

  7. [保護] ペインで [OK] をクリックしてから、 [ラベル] ペインで [保存] をクリックします。Click OK on the Protection pane, and then click Save on the Label pane.

例 5:コンテンツを暗号化するが、アクセスできるユーザーは制限しないラベルExample 5: Label that encrypts content but doesn't restrict who can access it

この構成には、電子メールやドキュメントを保護するユーザー、グループ、ドメインを指定する必要がないという利点があります。This configuration has the advantage that you don't need to specify users, groups, or domains to protect an email or document. コンテンツは引き続き暗号化され、使用権限、有効期限、オフライン アクセスを指定できます。The content will still be encrypted and you can still specify usage rights, an expiry date, and offline access. 保護されたドキュメントや電子メールを開くことができるユーザーを制限する必要がない場合にのみ、この構成を使用します。Use this configuration only when you do not need to restrict who can open the protected document or email. この設定についての詳しい情報More information about this setting

  1. [保護] ペインで、 [Azure (クラウド キー)] が選択されていることを確認します。On the Protection pane, make sure Azure (cloud key) is selected.

  2. [アクセス許可の設定] が選択されていることを確認し、 [アクセス許可の追加] を選択します。Make sure Set permissions is selected, and then select Add permissions.

  3. [アクセス許可の追加] ペインの [一覧から選択] タブで、 [認証されたユーザーを追加] を選択します。On the Add permissions pane, on the Select from the list tab, select Add any authenticated users.

  4. 必要なアクセス許可を選択して、 [OK] をクリックします。Select the permissions you want, and click OK.

  5. [保護] ペインに戻り、必要に応じて [ファイル コンテンツの有効期限][オフライン アクセスの許可] の設定を構成し、 [OK] をクリックします。Back on the Protection pane, configure settings for File Content Expiration and Allow offline access, if needed, and then click OK.

  6. [ラベル] ペインで、 [保存] を選択します。On the Label pane, select Save.

例 6: "自分のみ" の保護を適用するラベルExample 6: Label that applies "Just for me" protection

この構成では、ドキュメントに対してセキュリティ保護されたコラボレーションの逆の機能が提供されます。スーパー ユーザーを例外として、ラベルを適用したユーザーのみが、保護されたコンテンツを制限なく開くことができます。This configuration offers the opposite of secure collaboration for documents: With the exception of a super user, only the person who applies the label can open the protected content, without any restrictions. この構成は、多くの場合に "自分のみ" の保護と呼ばれ、ユーザーが任意の場所にファイルを保存して自分だけが開くことができるようにする場合に適しています。This configuration is often referred to as "Just for me" protection and is suitable when a user wants to save a file to any location and be assured that only they can open it.

このラベル構成は一見単純です。The label configuration is deceptively simple:

  1. [保護] ペインで、 [Azure (クラウド キー)] が選択されていることを確認します。On the Protection pane, make sure Azure (cloud key) is selected.

  2. ユーザーを選択せずに、またはこのペインで何も設定を構成せずに、 [OK] を選択します。Select OK without selecting any users, or configuring any settings on this pane.

    [ファイル コンテンツの有効期限][オフライン アクセスの許可] の設定を構成することはできますが、ユーザーとそのアクセス許可を指定しない場合、これらのアクセス設定は適用されません。Although you can configure settings for File Content Expiration and Allow offline access, when you do not specify users and their permisisons, these access settings are not applicable. これは、保護を適用したユーザーがそのコンテンツの Rights Management 発行者であり、この役割はこれらのアクセス制限から除外されるためです。That's because the person who applies the protection is the Rights Management issuer for the content, and this role is exempt from these access restrictions.

  3. [ラベル] ペインで、 [保存] を選択します。On the Label pane, select Save.

次の手順Next steps

Azure Information Protection ポリシーの構成の詳細については、「組織のポリシーの構成」セクションのリンクを使用してください。For more information about configuring your Azure Information Protection policy, use the links in the Configuring your organization's policy section.

ラベルに基づいて Exchange のメール フロー ルールを保護に適用することもできます。Exchange mail flow rules can also apply protection, based on your labels. 詳細と例については、「Configuring Exchange Online mail flow rules for Azure Information Protection labels」(Azure Information Protection ラベル用に Exchange Online のメール フロー ルールを構成する) をご覧ください。For more information and examples, see Configuring Exchange Online mail flow rules for Azure Information Protection labels.