Rights Management による保護でラベルを構成する方法How to configure a label for Rights Management protection

*適用対象:Azure Information Protection**Applies to: Azure Information Protection*

*関連: Windows 用のクラシッククライアント Azure Information Protectionます。*Relevant for: Azure Information Protection classic client for Windows. 統一されたラベル付けクライアントについては、Microsoft 365 ドキュメントの「秘密度ラベルの暗号化を使用して、 秘密度ラベル の詳細と コンテンツへのアクセスを制限する 」を参照してください。 *For the unified labeling client, see Learn about sensitivity labels and Restrict access to content by using encryption in sensitivity labels from the Microsoft 365 documentation.*

注意

統一された効率的なカスタマー エクスペリエンスを提供するため、Azure portal の Azure Information Protection のクラシック クライアントラベル管理 は、2021 年 3 月 31 日 をもって 非推奨 になります。To provide a unified and streamlined customer experience, the Azure Information Protection classic client and Label Management in the Azure Portal are deprecated as of March 31, 2021. クラシック クライアントは構成どおりに動作しますが、今後のサポートは提供されず、メンテナンス バージョンがクラシック クライアントにリリースされなくなります。While the classic client continues to work as configured, no further support is provided, and maintenance versions will no longer be released for the classic client.

この記事の内容は、延長サポートをご利用のお客様をサポートするために提供されています。The content in this article is provided to support customers with extended support only. 統一されたラベル付けに移行し、統一されたラベル付けクライアントにアップグレードすることをお勧めします。We recommend that you migrate to unified labeling and upgrade to the unified labeling client. 詳細については、最新の非推奨に関するブログを参照してください。Learn more in our recent deprecation blog.

Rights Management サービスを使用して、最も機密性の高いドキュメントや電子メールを保護することができます。You can protect your most sensitive documents and emails by using a Rights Management service. このサービスでは、暗号化、ID、承認ポリシーを使用して、データ損失を防止します。This service uses encryption, identity, and authorization policies to help prevent data loss. 保護は、ドキュメントと電子メールに Rights Management による保護を使用するように構成されたラベルで適用されます。ユーザーは Outlook で [転送不可] ボタンを選択することもできます。The protection is applied with a label that is configured to use Rights Management protection for documents and emails, and users can also select the Do not forward button in Outlook.

ラベルが Azure (クラウド キー) の保護設定で構成されていると、この処理の裏では、Rights Management テンプレートと統合されるサービスとアプリケーションがアクセスできる保護テンプレートが作成および構成されます。When your label is configured with the protection setting of Azure (cloud key), under the covers, this action creates and configures a protection template that can then be accessed by services and applications that integrate with Rights Management templates. たとえば、Exchange Online とメール フロー ルールや、Outlook on the web などです。For example, Exchange Online and mail flow rules, and Outlook on the web.

保護のしくみHow the protection works

ドキュメントまたは電子メールが Rights Management サービスで保護されている場合、そのドキュメントまたは電子メールは保存時および転送中に暗号化されます。When a document or email is protected by a Rights Management service, it is encrypted at rest and in transit. 暗号化されたドキュメントまたは電子メールは、承認されたユーザーのみが暗号化解除できます。It can then be decrypted only by authorized users. この暗号化は、ドキュメントまたは電子メールの名前を変更しても、引き続き適用されます。This encryption stays with the document or email, even if it is renamed. さらに、次の例のような使用権限と制限を構成できます。In addition, you can configure usage rights and restrictions, such as the following examples:

  • 社外秘のドキュメントまたは電子メールを開けるのは、組織内のユーザーのみ。Only users within your organization can open the company-confidential document or email.

  • 宣伝発表のドキュメントまたは電子メールを編集して印刷できるのは、マーケティング部門のユーザーだけだが、読み取りは組織内のすべてのユーザーができる。Only users in the marketing department can edit and print the promotion announcement document or email, while all other users in your organization can only read this document or email.

  • ユーザーは、社内の再編成に関するニュースを含む電子メールを転送したり、そのメールから情報をコピーしたりすることはできない。Users cannot forward an email or copy information from it that contains news about an internal reorganization.

  • ビジネス パートナーに送信される最新の価格表は、指定日になるまで開けない。The current price list that is sent to business partners cannot be opened after a specified date.

Azure Rights Management 保護の詳細とそのしくみについては、「Azure Rights Management とは」を参照してください。For more information about the Azure Rights Management protection and how it works, see What is Azure Rights Management?

重要

この保護を適用するラベルを構成するには、組織に対して Azure Rights Management サービスをアクティブにする必要があります。To configure a label to apply this protection, the Azure Rights Management service must be activated for your organization. 詳細については、「Activating the protection service from Azure Information Protection (Azure Information Protection の保護サービスのアクティブ化)」をご覧ください。For more information, see Activating the protection service from Azure Information Protection.

ラベルによる保護を適用する場合は、保護されたドキュメントを SharePoint や OneDrive に保存することはお勧めできません。When the label applies protection, a protected document is not suitable to be saved on SharePoint or OneDrive. これらの場所では、保護されたファイルの共同作成、web 用 Office、検索、ドキュメントプレビュー、サムネイル、電子情報開示、データ損失防止 (DLP) はサポートされていません。These locations do not support the following features for protected files: Co-authoring, Office for the web, search, document preview, thumbnail, eDiscovery, and data loss prevention (DLP).

ヒント

統合された秘密度ラベルにラベルを移行し、Microsoft 365 コンプライアンス センターなどのラベル管理センターのいずれかから公開すると、保護を適用するラベルはこれらの場所に対してサポートされます。When you migrate your labels to unified sensitivity labels and publish them from one of the labeling admin centers such as the Microsoft 365 compliance center, labels that apply protection are then supported for these locations. 詳細については、「 SharePoint および OneDrive での Office ファイルの秘密度ラベルの有効化」を参照してください。For more information, see Enable sensitivity labels for Office files in SharePoint and OneDrive.

ユーザーが電子メールを保護するラベルを Outlook で適用するために、Azure Information Protection 用に Exchange を構成する必要はありません。Exchange does not have to be configured for Azure Information Protection before users can apply labels in Outlook to protect their emails. ただし、Exchange が Azure Information Protection 用に構成されるまで、Exchange で Azure Rights Management による保護を使用するすべての機能を利用できません。However, until Exchange is configured for Azure Information Protection, you do not get the full functionality of using Azure Rights Management protection with Exchange. たとえば、ユーザーが携帯電話または Outlook on the web で保護された電子メールを表示できない、保護された電子メールで検索用のインデックスが作成できない、または Rights Management 保護用に Exchange Online DLP を構成できないなどが挙げられます。For example, users cannot view protected emails on mobile phones or with Outlook on the web, protected emails cannot be indexed for search, and you cannot configure Exchange Online DLP for Rights Management protection. このような追加のシナリオを Exchange がサポートできるようにするには、以下のリソースを参照してください。To ensure that Exchange can support these additional scenarios, see the following resources:

保護設定用のラベルを構成するにはTo configure a label for protection settings

  1. まだ実行していない場合は、新しいブラウザー ウィンドウを開いて、Azure Portal にサインインしますIf you haven't already done so, open a new browser window and sign in to the Azure portal. 次に、 [Azure Information Protection] ペインに移動します。Then navigate to the Azure Information Protection pane.

    たとえば、リソース、サービス、ドキュメントの検索ボックスで次のようにします: 「Information」と入力し、 [Azure Information Protection] を選択します。For example, in the search box for resources, services, and docs: Start typing Information and select Azure Information Protection.

  2. [分類 > ラベル] メニューオプションから: [ Azure Information Protection ラベル] ウィンドウで、変更するラベルを選択します。From the Classifications > Labels menu option: On the Azure Information Protection - Labels pane, select the label you want to change.

  3. [ラベル] ペインで、[このラベルを含むドキュメントやメールに対するアクセス許可の設定] を見つけ、下記オプションから 1 つ選択します。On the Label pane, locate Set permissions for documents and emails containing this label, and select one of the following options:

    • [未構成]: 現在、保護を適用するようにラベルが構成されていて、選択したラベルで保護を適用する必要がなくなった場合に、このオプションを選択します。Not configured: Select this option if the label is currently configured to apply protection and you no longer want the selected label to apply protection. 手順 11 に進みます。Then go to step 11.

      以前に構成された保護設定はアーカイブ済みの保護テンプレートとして保持され、オプションを [保護] に戻すと再び表示されます。The previously configured protection settings are retained as an archived protection template, and will be displayed again if you change the option back to Protect. Azure Portal ではこのテンプレートが表示されませんが、PowerShell を使用すると、必要に応じてテンプレートを引き続き管理することができます。You do not see this template in the Azure portal but if necessary, you can still manage the template by using PowerShell. この動作は、テンプレートに以前に適用された保護設定のラベルが含まれる場合に、引き続きコンテンツにアクセスできることを意味します。This behavior means that content remains accessible if it has this label with the previously applied protection settings.

      この [未構成] 保護設定を使用したラベルが適用されるとき: When a label with this Not configured protection setting is applied:

      • コンテンツが以前にラベルを使用しないで保護されている場合、その保護は保持されます。If the content was previously protected without using a label, that protection is preserved.

      • コンテンツが以前にラベルを使用して保護されている場合、ラベルを適用するユーザーに Rights Management による保護を削除するアクセス許可があると、その保護は削除されます。If the content was previously protected with a label, that protection is removed if the user applying the label has permissions to remove Rights Management protection. この要件は、ユーザーが エクスポート または フル コントロールの 使用権限を持っている必要があることを意味します。This requirement means that the user must have the Export or Full Control usage right. あるいは、Rights Management の所有者 (自動的にフル コントロールの使用権限が付与されている) であるか、Azure Rights Management のスーパー ユーザーである必要があります。Or, be the Rights Management owner (which automatically grants the Full Control usage right), or a super user for Azure Rights Management.

        保護を削除するアクセス許可がユーザーにない場合は、ラベルを適用できず、次のメッセージが表示されます。 Azure Information Protection このラベルを適用できません。この問題が解決しない場合は、管理者に連絡 してください。If the user doesn't have permissions to remove protection, the label cannot be applied and the following message is displayed: Azure Information Protection cannot apply this label. If this problem persists, contact your administrator.

    • [保護]: 保護を適用するには、このオプションを選択し、手順 4 に進みます。Protect: Select this option to apply protection, and then go to step 4.

    • [保護の解除]: ドキュメントまたは電子メールが保護されている場合に保護を解除するには、このオプションを選択します。Remove Protection: Select this option to remove protection if a document or email is protected. 手順 11 に進みます。Then go to step 11.

      ラベルまたは保護テンプレートを使用して保護が適用されている場合、保護設定はアーカイブ済みの保護テンプレートとして保持され、オプションを [保護] に戻すと再び表示されます。If the protection was applied with a label or protection template, the protection settings are retained as an archived protection template, and will be displayed again if you change the option back to Protect. Azure Portal ではこのテンプレートが表示されませんが、PowerShell を使用すると、必要に応じてテンプレートを引き続き管理することができます。You do not see this template in the Azure portal but if necessary, you can still manage the template by using PowerShell. この動作は、テンプレートに以前に適用された保護設定のラベルが含まれる場合に、引き続きコンテンツにアクセスできることを意味します。This behavior means that content remains accessible if it has this label with the previously applied protection settings.

      このオプションを持つラベルを正常に適用するには、ユーザーは Rights Management による保護を削除するアクセス許可を持っている必要があることに注意してください。Note that for a user to successfully apply a label that has this option, that user must have permissions to remove Rights Management protection. この要件は、ユーザーが エクスポート または フル コントロールの 使用権限を持っている必要があることを意味します。This requirement means that the user must have the Export or Full Control usage right. あるいは、Rights Management の所有者 (自動的にフル コントロールの使用権限が付与されている) であるか、Azure Rights Management のスーパー ユーザーである必要があります。Or, be the Rights Management owner (which automatically grants the Full Control usage right), or a super user for Azure Rights Management.

      この設定でラベルを適用するユーザーに Rights Management 保護を削除するアクセス許可がない場合は、ラベルを適用できず、次のメッセージが表示されます。 Azure Information Protection このラベルを適用できません。この問題が解決しない場合は、管理者に連絡してください。If the user applying the label with this setting does not have permissions to remove Rights Management protection, the label cannot be applied and the following message is displayed: Azure Information Protection cannot apply this label. If this problem persists, contact your administrator.

  4. [保護] を選択した場合、その他のオプションのいずれかが以前選択された場合は [保護] ペインが自動的に開きます。If you selected Protect, the Protection pane automatically opens if one of the other options were previously selected. この新しいペインが自動的に開かない場合は、[保護] を選択します。If this new pane does not automatically open, select Protection:

    Azure Information Protection ラベルの保護を構成する

  5. [保護] ペインで、[Azure (クラウド キー)] または [HYOK (AD RMS)] を選択します。On the Protection pane, select Azure (cloud key) or HYOK (AD RMS).

    ほとんどの場合、アクセス許可設定には [Azure (クラウド キー)] を選択します。In most cases, select Azure (cloud key) for your permission settings. [HYOK (AD RMS)] は、この "Hold Your Own Key" (HYOK) 構成に付随する前提条件と制限を読んで理解するまで選択しないでください。Do not select HYOK (AD RMS) unless you have read and understood the prerequisites and restrictions that accompany this "hold your own key" (HYOK) configuration. 詳細については、「AD RMS 保護の Hold Your Own Key (HYOK) の要件と制限事項」を参照してください。For more information, see Hold your own key (HYOK) requirements and restrictions for AD RMS protection. HYOK (AD RMS) の構成を続行するには、手順 9 に進みます。To continue the configuration for HYOK (AD RMS), go to step 9.

  6. 以下のオプションの 1 つを選択します。Select one of the following options:

    • [アクセス許可を設定する]: このポータルで新しい保護設定を定義します。Set permissions: To define new protection settings in this portal.

    • [ユーザー定義のアクセス許可の設定 (プレビュー)]: アクセス許可付与対象のユーザーと付与するアクセス許可を、ユーザーが指定できるようにします。Set user-defined permissions (Preview): To let users specify who should be granted permissions and what those permissions are. その後このオプションを調整し、Outlook のみ、または Word、Excel、PowerPoint、およびエクスプローラーを選択できます。You can then refine this option and choose Outlook only, or Word, Excel, PowerPoint, and File Explorer. このオプションはサポートされていません。また、自動分類に対してラベルが構成されていると、機能しません。This option is not supported, and does not work, when a label is configured for automatic classification.

      Outlook のオプションを選択した場合: Outlook にラベルが表示され、ユーザーがラベルを適用したときの動作は [ 転送不可 ] オプションと同じになります。If you choose the option for Outlook: The label is displayed in Outlook and the resulting behavior when users apply the label is the same as the Do Not Forward option.

      Word、Excel、PowerPoint、およびエクスプローラーのオプションを選択した場合: このオプションを設定すると、ラベルがこれらのアプリケーションで表示されます。If you choose the option for Word, Excel, PowerPoint, and File Explorer: When this option is set, the label is displayed in these applications. ユーザーがラベルを適用したときの結果として、ユーザーがカスタム アクセス許可を選択するためのダイアログ ボックスが表示されます。The resulting behavior when users apply the label is to display the dialog box for users to select custom permissions. ユーザーは、このダイアログ ボックスで、定義済みのアクセス許可レベルのいずれかを選択し、ユーザーまたはグループを参照して指定し、必要に応じて有効期限日を設定します。In this dialog box, users choose one of the predefined permissions levels, browse to or specify the users or groups, and optionally, set an expiry date. ユーザーに対し、これらの値を指定する方法の手順とガイダンスがあることを確認します。Make sure that users have instructions and guidance how to supply these values.

      注意

      ユーザー定義のアクセス許可を設定するための Azure Information Protection サポートは現在プレビューの段階です。Azure Information Protection support for setting user-defined permissions is currently in PREVIEW. Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。The Azure Preview Supplemental Terms include additional legal terms that apply to Azure features that are in beta, preview, or otherwise not yet released into general availability.

    • [定義済みのテンプレートを選択する]: 既定のテンプレートまたは自分で設定したカスタム テンプレートのいずれかを使用します。Select a predefined template: To use one of the default templates or a custom template that you've configured. 以前に [アクセス許可の設定] オプションを使用したラベルを編集している場合、新しいラベルにこのオプションは表示されないことにご注意ください。Note that this option does not display for new labels, or if you are editing a label that previously used the Set permissions option.

      定義済みのテンプレートを選択するには、そのテンプレートが公開されていて (アーカイブ済みではない)、別のラベルにまだリンクされていない必要があります。To select a predefined template, the template must be published (not archived) and must not be linked already to another label. このオプションを選択すると、[テンプレートの編集] ボタンを使用して テンプレートをラベルに変換できます。When you select this option, you can use an Edit Template button to convert the template into a label.

      カスタム テンプレートの作成や編集に慣れている場合は、「Azure クラシック ポータルで行っていたタスク」の情報が役に立つことがあります。If you are used to creating and editing custom templates, you might find it useful to reference Tasks that you used to do with the Azure classic portal.

  7. [Azure (クラウド キー)] に対して [アクセス許可を設定します] を選択した場合、このオプションによりユーザーおよび使用権限を選択することができます。If you selected Set permissions for Azure (cloud key), this option lets you select users and usage rights.

    このウィンドウでユーザーを選択せずに [OK] をクリックした後、ラベル ウィンドウに [保存 ] を選択した場合、ラベルは保護を適用するように構成されます。これにより、ラベルを適用したユーザーのみがドキュメントまたは電子メールを制限なく開くことができます。If you don't select any users and select OK on this pane, followed by Save on the Label pane: The label is configured to apply protection such that only the person who applies the label can open the document or email with no restrictions. この構成は "自分のみ" と呼ばれることがあり、求められている結果である場合があります。ユーザーは任意の場所にファイルを保存でき、自分だけがそれを開くことができるようになります。This configuration is sometimes referred to as "Just for me" and might be the required outcome, so that a user can save a file to any location and be assured that only they can open it. この結果がご自身の要件に合っていて、保護されたコンテンツを他のユーザーと共用しない場合は、[アクセス許可の追加] を選択しないでください。If this outcome matches your requirement and others are not required to collaborate on the protected content, do not select Add permissions. ラベルを保存すると、次にこの [保護] ペインを開いたときに、この構成を反映するように [ユーザー] に対して [IPC_USER_ID_OWNER] が表示され、[アクセス許可] に対して [共同所有者] が表示されます。After saving the label, the next time you open this Protection pane, you see IPC_USER_ID_OWNER displayed for Users, and Co-Owner displayed for Permissions to reflect this configuration.

    保護されたドキュメントとメールを開けるようにするユーザーを指定するには、[アクセス許可の追加] を選択します。To specify the users you want to be able to open protected documents and emails, select Add permissions. 次に、[アクセス許可の追加] ペインで、選択したラベルで保護されるコンテンツの使用権限を与えるユーザーとグループの最初のセットを選択します。Then on the Add permissions pane, select the first set of users and groups who will have rights to use the content that will be protected by the selected label:

    • 一覧から [選択] を選択し、[ <organization name> すべてのメンバー] を選択して、組織のすべてのユーザーを追加します。Choose Select from the list where you can then add all users from your organization by selecting Add <organization name> - All members. この設定では、ゲスト アカウントは除外されます。This setting excludes guest accounts. または、[認証されたユーザーを追加] を選択するか、ディレクトリを参照することができます。Or, you can select Add any authenticated users, or browse the directory.

      すべてのメンバーを選択するか、ディレクトリを参照する場合、ユーザーまたはグループが電子メール アドレスを所有している必要があります。When you choose all members or browse the directory, the users or groups must have an email address. 運用環境では、ユーザーとグループにはほとんど常にメール アドレスがありますが、単純なテスト環境では、メール アドレスをユーザー アカウントまたはグループに追加する必要があります。In a production environment, users and groups nearly always have an email address, but in a simple testing environment, you might need to add email addresses to user accounts or groups.

      認証されたユーザーの追加 に関する詳しい情報More information about Add any authenticated users

      この設定では、ラベルで保護されているコンテンツのアクセス権を持つユーザーが制限されることはありません。一方、引き続きコンテンツは暗号化され、コンテンツの使用方法 (アクセス許可) やアクセス方法 (有効期限、オフライン アクセス) を制限できます。This setting doesn't restrict who can access the content that the label protects, while still encrypting the content and providing you with options to restrict how the content can be used (permissions), and accessed (expiry and offline access). ただし、保護されたコンテンツを開くアプリケーションは、使用されている認証をサポートできる必要があります。However, the application opening the protected content must be able to support the authentication being used. このため、Google などのフェデレーション ソーシャル プロバイダーや、ワンタイム パスコード認証は、電子メール用、および Exchange Online と Office 365 メッセージの暗号化の新機能を使用するときにのみ使用する必要があります。For this reason, federated social providers such as Google, and onetime passcode authentication should be used for email only, and only when you use Exchange Online and the new capabilities from Office 365 Message Encryption. Microsoft アカウントは、Azure Information Protection ビューアーおよび Office 365 アプリ (クイック実行) で使用できます。Microsoft accounts can be used with the Azure Information Protection viewer and Office 365 apps (Click-to-Run).

      認証されたユーザー設定の一般的なシナリオ:Some typical scenarios for the any authenticated users setting:

      • 誰がコンテンツを表示してもよいが、その使用方法を制限する場合。You don't mind who views the content, but you want to restrict how it is used. たとえば、コンテンツを編集、コピー、印刷できないようにします。For example, you do not want the content to be edited, copied, or printed.
      • 誰がコンテンツにアクセスしてもよいが、コンテンツを開いたユーザーを追跡し、必要に応じて取り消しできるようにする場合。You don't need to restrict who accesses the content, but you want to be able to track who opens it and potentially, revoke it.
      • コンテンツを保存時と転送時に暗号化する必要があるが、アクセス制御は要求しない要件の場合。You have a requirement that the content must be encrypted at rest and in transit, but it doesn't require access controls.
    • [詳細を入力] を選択して個々のユーザーまたはグループ (内部または外部) のメール アドレスを手動で指定します。Choose Enter details to manually specify email addresses for individual users or groups (internal or external). または、このオプションを使用して、別の組織の任意のドメイン名を入力して、その組織内のすべてのユーザーを指定します。Or, use this option to specify all users in another organization by entering any domain name from that organization. gmail.comhotmail.comoutlook.com などのドメイン名を入力して、ソーシャル プロバイダーのこのオプションを使用することもできます。You can also use this option for social providers, by entering their domain name such as gmail.com, hotmail.com, or outlook.com.

      注意

      ユーザーまたはグループを選択した後にメール アドレスを変更する場合は、計画に関するドキュメントの「電子メール アドレスが変更される場合の Azure Information Protection に関する考慮事項」セクションを参照してください。If an email address changes after you select the user or group, see the Considerations if email addresses change section from the planning documentation.

      ベスト プラクティスとして、ユーザーではなくグループを使用します。As a best practice, use groups rather than users. この方法は、構成をよりシンプルにして、後でラベルの構成を更新してコンテンツを再保護する必要性を減らします。This strategy keeps your configuration simpler and makes it less likely that you have to update your label configuration later and then reprotect content. ただし、グループを変更する場合は、パフォーマンス上の理由から、Azure Rights Management はグループ メンバーシップをキャッシュすることに注意してください。However, if you make changes to the group, keep in mind that for performance reasons, Azure Rights Management caches the group membership.

    ユーザーとグループの最初のセットを指定した場合は、これらのユーザーとグループに付与するアクセス許可を選択します。When you have specified the first set of users and groups, select the permissions to grant these users and groups. 選択できるアクセス許可について詳しくは、「Configuring usage rights for Azure Information Protection (Azure Information Protection の使用権限の構成)」をご覧ください。For more information about the permissions that you can select, see Configuring usage rights for Azure Information Protection. ただし、この保護をサポートするアプリケーションによっては、これらのアクセス許可を実装する方法が異なる場合があります。However, applications that support this protection might vary in how they implement these permissions. テンプレートをユーザーに展開する前に、アプリケーションのマニュアルを参照し、ユーザーが使用するアプリケーションを使用して自らテストを行って動作を確認してください。Consult their documentation and do your own testing with the applications that users use to check the behavior before you deploy the template for users.

    必要に応じて、使用権限を持つユーザーとグループの 2 番目のセットを追加できます。If required, you can now add a second set of users and groups with usage rights. すべてのユーザーとグループにそれぞれのアクセス許可を指定するまで繰り返します。Repeat until you have specified all the users and groups with their respective permissions.

    ヒント

    カスタム アクセス許可の [名前を付けて保存、エクスポート (EXPORT)] の追加を検討し、このアクセス許可をデータ復旧管理者か、情報復旧を担当するその他の役割が与えられた人に付与します。Consider adding the Save As, Export (EXPORT) custom permission and grant this permission to data recovery administrators or personnel in other roles that have responsibilities for information recovery. 必要に応じて、これらのユーザーはその後、このラベルまたはテンプレートを使用して保護されるファイルおよび電子メールから保護を解除できます。If needed, these users can then remove protection from files and emails that will be protected by using this label or template. ドキュメントまたは電子メールに対してアクセス許可レベルで保護を解除するこの機能は、スーパー ユーザー機能よりも詳細な制御を提供します。This ability to remove protection at the permission level for a document or email provides more fine-grained control than the super user feature.

    指定したすべてのユーザーとグループに対して、[保護] ペインで、次の設定を変更するかどうかを確認します。For all the users and groups that you specified, on the Protection pane, now check whether you want to make any changes to the following settings. アクセス許可と同じく、これらの設定は、Rights Management 発行者または Rights Management 所有者、または割り当てた任意のスーパー ユーザーには適用されないことに注意してください。Note that these settings, as with the permissions, do not apply to the Rights Management issuer or Rights Management owner, or any super user that you have assigned.

    保護の設定に関する情報Information about the protection settings
    設定Setting 詳細情報More information 推奨設定Recommended setting
    [ファイル コンテンツの有効期限]File Content Expiration これらの設定によって保護されているドキュメントを、選択したユーザーが開けなくなる日付またはそれまでの日数を定義します。Define a date or number of days for when documents that are protected by these settings should not open for the selected users. 電子メールの場合は、一部の電子メール クライアントで使用されるキャッシュ メカニズムにより、有効期限が常に適用されるとは限りません。For emails, expiration isn't always enforced because of caching mechanisms used by some email clients.

    日付を指定するか、コンテンツに保護が適用された時点からの日数を指定することができます。You can specify a date or specify a number of days starting from the time that the protection is applied to the content.

    日付を指定する場合は、ご利用の現在のタイム ゾーンで午前 0 時に有効になります。When you specify a date, it is effective midnight, in your current time zone.
    コンテンツに特定の期限を定めた要件がない限り、コンテンツの有効期限が切れることはありませんContent never expires unless the content has a specific time-bound requirement.
    オフライン アクセスの許可Allow offline access この設定を使用すると、選択されたユーザーはインターネットに接続していないときに保護されたコンテンツを開くことができるため、セキュリティ要件 (失効後のアクセスを含む) のバランスを取ることができます。Use this setting to balance any security requirements that you have (includes access after revocation) with the ability for the selected users to open protected content when they don't have an internet connection.

    インターネットに接続されていないときにコンテンツを使用できないように指定するか、コンテンツが指定された日数のみ利用できるように指定した場合、そのしきい値に達すると、ユーザーは再認証される必要があり、アクセスがログに記録されます。If you specify that content is not available without an internet connection or that content is only available for a specified number of days, when that threshold is reached, these users must be reauthenticated and their access is logged. このような場合、ユーザーの資格情報がキャッシュされない場合、ユーザーはドキュメントまたは電子メールを開く前にサインインするように求められます。When this happens, if their credentials are not cached, the users are prompted to sign in before they can open the document or email.

    再認証に加え、ポリシーおよびユーザー グループ メンバーシップが再評価されます。In addition to reauthentication, the policy and the user group membership is reevaluated. つまり、ユーザーが最後にコンテンツにアクセスしたときからポリシーまたはグループ メンバーシップが変更された場合、同じドキュメントまたは電子メールに対して、ユーザーが異なるアクセス結果を経験する可能性があります。This means that users could experience different access results for the same document or email if there are changes in the policy or group membership from when they last accessed the content. ドキュメントが失効している場合は、アクセスが含まれない可能性があります。That could include no access if the document has been revoked.
    コンテンツの機密性に応じて、次の設定を行います。Depending on how sensitive the content is:

    - インターネットに接続 = せずにコンテンツを利用できる日数 7 機密ビジネスデータの場合は、承認されていない人物と共有するとビジネスに損害を与える可能性があります。- Number of days the content is available without an internet connection = 7 for sensitive business data that could cause damage to the business if shared with unauthorized people. この推奨設定では、柔軟性とセキュリティのバランスを取ることができます。This recommendation offers a balanced compromise between flexibility and security. 例としては、契約書、セキュリティ レポート、予測概要、販売取引データなどがあります。Examples include contracts, security reports, forecast summaries, and sales account data.

    承認されていないユーザーと共有された場合、ビジネスに損害を与える可能性のある非常に機密性の高いビジネス データには、- [Never] を設定します。- Never for very sensitive business data that would cause damage to the business if it was shared with unauthorized people. この推奨設定は、柔軟性よりもセキュリティを優先し、ドキュメントが失効した場合に、すぐにすべての承認されているユーザーがドキュメントを開けないようにします。This recommendation prioritizes security over flexibility, and ensures that if the document is revoked, all authorized users immediately cannot open the document. 例としては、従業員情報と顧客情報、パスワード、ソース コード、発表前の財務レポートなどがあります。Examples include employee and customer information, passwords, source code, and pre-announced financial reports.

    アクセス許可と設定の構成が完了したら、[OK] をクリックします。When you have finished configuring the permissions and settings, click OK.

    この設定のグループ化により、Azure Rights Management サービスのカスタム テンプレートが作成されます。This grouping of settings creates a custom template for the Azure Rights Management service. これらのテンプレートは、Azure Rights Management と統合するアプリケーションとサービスで使用できます。These templates can be used with applications and services that integrate with Azure Rights Management. コンピューターとサービスにこれらのテンプレートをダウンロードして更新する方法については、「ユーザーとサービスのためのテンプレートの更新」を参照してください。For information about how computers and services download and refresh these templates, see Refreshing templates for users and services.

  8. [Azure (クラウド キー)][定義済みのテンプレートを選択する] を選択した場合は、ドロップダウン ボックスをクリックし、ドキュメントと電子メールを保護するために使用する テンプレートを選択します。If you selected Select a predefined template for Azure (cloud key), click the drop-down box and select the template that you want to use to protect documents and emails with this label. アーカイブされたテンプレートまたは別のラベルに既に選択されているテンプレートは表示されません。You do not see archived templates or templates that are already selected for another label.

    部門別のテンプレート を選択した場合、または オンボード コントロールを構成した場合:If you select a departmental template, or if you have configured onboarding controls:

    • テンプレートの構成済みのスコープの外にあるユーザー、または Azure Rights Management 保護の適用から除外されているユーザーは、ラベルを表示することはできますが、それを適用することはできません。Users who are outside the configured scope of the template or who are excluded from applying Azure Rights Management protection still see the label but cannot apply it. これらのユーザーがラベルを選択すると、次のメッセージが表示されます。 Azure Information Protection このラベルを適用できません。この問題が解決しない場合は、管理者に連絡してください。If they select the label, they see the following message: Azure Information Protection cannot apply this label. If this problem persists, contact your administrator.

      スコープ付きポリシーを構成している場合でも、公開されているすべてのテンプレートが常に表示されることに注意してください。Note that all published templates are always shown, even if you are configuring a scoped policy. たとえば、マーケティング グループにスコープ付きポリシーを設定しているとします。For example, you are configuring a scoped policy for the Marketing group. 選択できるテンプレートは、マーケティング グループにスコープが設定されているテンプレートに制限されていないため、選択したユーザーが使用できない、部門別テンプレートを選択できる可能性があります。The templates that you can select are not restricted to templates that are scoped to the Marketing group and it's possible to select a departmental template that your selected users cannot use. 構成を容易にしてトラブルシューティングを最小限に抑えるため、スコープ付きポリシー内のラベルと一致する名前を部門別テンプレートに付けることを検討してください。For ease of configuration and to minimize troubleshooting, consider naming the departmental template to match the label in your scoped policy.

  9. [HYOK (AD RMS)] を選択した場合は、[AD RMS テンプレートの詳細を設定する] または [ユーザー定義のアクセス許可の設定 (プレビュー)] のいずれかを選択します。If you selected HYOK (AD RMS), select either Set AD RMS templates details or Set user defined permissions (Preview). 次に、ご利用の AD RMS クラスターのライセンス URL を指定します。Then specify the licensing URL of your AD RMS cluster.

    テンプレート GUID とライセンス URL を指定する手順については、「Azure Information Protection ラベルによる AD RMS の保護を指定する情報の確認」を参照してください。For instructions to specify a template GUID and your licensing URL, see Locating the information to specify AD RMS protection with an Azure Information Protection label.

    ユーザー定義のアクセス許可オプションを選択すると、ユーザーは、アクセス許可を与えるユーザーとアクセス許可の内容を指定できます。The user-defined permissions option lets users specify who should be granted permissions and what those permissions are. その後このオプションを調整し、Outlook のみ (既定値)、または Word、Excel、PowerPoint、およびエクスプローラーを選択できます。You can then refine this option and choose Outlook only (the default), or Word, Excel, PowerPoint, and File Explorer. このオプションはサポートされていません。また、自動分類に対してラベルが構成されていると、機能しません。This option is not supported, and does not work, when a label is configured for automatic classification.

    Outlook のオプションを選択した場合: Outlook にラベルが表示され、ユーザーがラベルを適用したときの動作は [ 転送不可 ] オプションと同じになります。If you choose the option for Outlook: The label is displayed in Outlook and the resulting behavior when users apply the label is the same as the Do Not Forward option.

    Word、Excel、PowerPoint、およびエクスプローラーのオプションを選択した場合: このオプションを設定すると、ラベルがこれらのアプリケーションで表示されます。If you choose the option for Word, Excel, PowerPoint, and File Explorer: When this option is set, the label is displayed in these applications. ユーザーがラベルを適用したときの結果として、ユーザーがカスタム アクセス許可を選択するためのダイアログ ボックスが表示されます。The resulting behavior when users apply the label is to display the dialog box for users to select custom permissions. ユーザーは、このダイアログ ボックスで、定義済みのアクセス許可レベルのいずれかを選択し、ユーザーまたはグループを参照して指定し、必要に応じて有効期限日を設定します。In this dialog box, users choose one of the predefined permissions levels, browse to or specify the users or groups, and optionally, set an expiry date. ユーザーに対し、これらの値を指定する方法の手順とガイダンスがあることを確認します。Make sure that users have instructions and guidance how to supply these values.

  10. [OK] をクリックして [保護] ペインを閉じ、選択した [ユーザー定義] または選択したテンプレートが [ラベル] ペインの [保護] オプションに表示されていることを確認します。Click OK to close the Protection pane and see your choice of User defined or your chosen template display for the Protection option in the Label pane.

  11. [ラベル] ペインで、[保存] をクリックします。On the Label pane, click Save.

  12. [Azure Information Protection] ペインで、[保護] 列を使用して、目的の保護設定がラベルに表示されていることを確認します。On the Azure Information Protection pane, use the PROTECTION column to confirm that your label now displays the protection setting that you want:

    • 保護を構成している場合はチェック マークが表示されます。A check mark if you have configured protection.

    • x マークは、保護を解除するようにラベルを構成している場合に、キャンセルを示します。An x mark to denote cancellation if you have configured a label to remove protection.

    • 保護が設定されていない場合は、空白フィールドです。A blank field when protection is not set.

[保存] をクリックすると、変更内容がユーザーとサービスに対して自動的に利用可能になります。When you clicked Save, your changes are automatically available to users and services. 独立した公開オプションはなくなりました。There's no longer a separate publish option.

構成例Example configurations

既定ポリシー社外秘非常に機密性の高い社外秘 ラベルの すべての従業員受信者のみ サブレベルを使って、保護を適用するラベルを構成する方法の例を示します。The All Employees and Recipients Only sublabels from the Confidential and High Confidential labels from the default policy provide examples of how you can configure labels that apply protection. 次の例は、さまざまなシナリオに保護を構成する際にも使用できます。You can also use the following examples to help you configure protection for different scenarios.

次の各例について、 <label name> ウィンドウで [ 保護] を選択します。For each example that follows, on your <label name> pane, select Protect. [保護] ペインが自動的に開かない場合は、[保護] を選択してこのペインを開きます。これを使って保護構成オプションを選択することができます。If the Protection pane doesn't automatically open, select Protection to open this pane that lets you select your protection configuration options:

保護用の Azure Information Protection ラベルの構成

例 1: 転送不可が適用され保護されたメールを Gmail アカウントに送信するラベルExample 1: Label that applies Do Not Forward to send a protected email to a Gmail account

このラベルは、Outlook でのみ使用でき、Exchange Online が Office 365 Message Encryption の新機能用に構成されている場合に適しています。This label is available only in Outlook and is suitable when Exchange Online is configured for the new capabilities in Office 365 Message Encryption. 保護された電子メールを Gmail アカウント (または組織の外部の他の電子メール アカウント) に送信する必要がある場合は、このラベルを選択するようにユーザーに指示します。Instruct users to select this label when they need to send a protected email to people using a Gmail account (or any other email account outside your organization).

ユーザーが [宛先] ボックスに Gmail のメール アドレスを入力します。Your users type the Gmail email address in the To box. そして、ユーザーがラベルを選択すると、[転送不可] オプションが電子メールに自動的に追加されます。Then, they select the label and the Do Not Forward option is automatically added to the email. その結果、受信者が電子メールを転送したり、印刷したり、コピーしたり、[名前を付け て保存 ] オプションを使用してメールボックスの外に電子メールを保存したりすることはできません。The result is that recipients cannot forward the email, or print it, copy from it, or save the email outside their mailbox by using the Save As option.

  1. [保護] ペインで、 [Azure (クラウド キー)] が選択されていることを確認します。On the Protection pane, make sure that Azure (cloud key) is selected.

  2. [ユーザー定義のアクセス許可の設定 (プレビュー)] を選択します。Select Set user-defined permissions (Preview).

  3. 次のオプションが選択されていることを確認します。 [Outlook で [転送不可] を適用する]Make sure that the following option is selected: In Outlook apply Do Not Forward.

  4. 選択されている場合は、次のオプションをオフにします。 [Word、Excel、PowerPoint、エクスプローラーでは、カスタム アクセス許可を指定するようユーザーに促す]If selected, clear the following option: In Word, Excel, PowerPoint and File Explorer prompt user for custom permissions.

  5. [保護] ペインで [OK] をクリックしてから、 [ラベル] ペインで [保存] をクリックします。Click OK on the Protection pane, and then click Save on the Label pane.

例 2: 読み取り専用のアクセス許可を別の組織内のすべてのユーザーに制限し、即時の失効をサポートするラベルExample 2: Label that restricts read-only permission to all users in another organization, and that supports immediate revocation

このラベルは、表示するのに常にインターネット接続を必要とする (読み取り専用の) 非常に機密性の高いドキュメントの共有に適しています。This label is suitable for sharing (read-only) very sensitive documents that always require an internet connection to view it. 失効すると、ユーザーが次にそのドキュメントを開こうとしたときに、表示できなくなります。If revoked, users will not be able to view the document the next time they try to open it.

このラベルは電子メールには適していません。This label is not suitable for emails.

  1. [保護] ペインで、 [Azure (クラウド キー)] が選択されていることを確認します。On the Protection pane, make sure that Azure (cloud key) is selected.

  2. [アクセス許可を設定する] オプションが選択されていることを確認し、[アクセス許可を追加] を選択します。Make sure that the Set permissions option is selected, and then select Add permissions.

  3. [アクセス許可の追加] ペインで、[詳細を入力] を選択します。On the Add permissions pane, select Enter details.

  4. 他の組織からのドメイン名 (例: fabrikam.com) を入力します。Enter the name of a domain from the other organization, for example, fabrikam.com. その後、 [追加] を選択します。Then select Add.

  5. [事前設定されたものの中からアクセス許可を選択する] から、[ビューアー] を選択し、[OK] を選択します。From Choose permissions from preset, select Viewer, and then select OK.

  6. [保護] ペインに戻り、[オフライン アクセスの許可][Never](常に不可) を選択します。Back on the Protection pane, for Allow offline access setting, select Never.

  7. [保護] ペインで [OK] をクリックしてから、 [ラベル] ペインで [保存] をクリックします。Click OK on the Protection pane, and then click Save on the Label pane.

例 3: コンテンツを保護する既存のラベルに外部ユーザーを追加するExample 3: Add external users to an existing label that protects content

追加した新しいユーザーは、このラベルで既に保護されているドキュメントおよび電子メールを開くことができます。The new users that you add will be able open documents and emails that have already been protected with this label. これらのユーザーに付与するアクセス許可は、既存のユーザーに付与しているアクセス許可と異なっていてもかまいません。The permissions that you grant these users can be different from the permissions that the existing users have.

  1. [保護] ペインで、[Azure (クラウド キー)] が選択されていることを確認します。On the Protection pane, make sure Azure (cloud key) is selected.

  2. [アクセス許可を設定する] が選択されていることを確認し、[アクセス許可を追加] を選択します。Ensure that Set permissions is selected, and then select Add permissions.

  3. [アクセス許可の追加] ペインで、[詳細を入力] を選択します。On the Add permissions pane, select Enter details.

  4. 追加する最初のユーザー (またはグループ) のメール アドレスを入力し、[追加] を選択します。Enter the email address of the first user (or group) to add, and then select Add.

  5. このユーザー (またはグループ) に付与するアクセス許可を選択します。Select the permissions for this user (or group).

  6. このラベルに追加するユーザー (またはグループ) ごとに手順 4 と 5 を繰り返します。Repeat steps 4 and 5 for each user (or group) that you want to add to this label. 次に、 [OK] をクリックしますThen click OK.

  7. [保護] ペインで [OK] をクリックしてから、 [ラベル] ペインで [保存] をクリックします。Click OK on the Protection pane, and then click Save on the Label pane.

例 4: 転送不可よりも制限の緩いアクセス許可をサポートする保護された電子メールのラベルExample 4: Label for protected email that supports less restrictive permissions than Do Not Forward

このラベルは、Outlook に制限することはできませんが、転送不可を使用するよりも制限の緩い制御を提供します。This label cannot be restricted to Outlook but does provide less restrictive controls than using Do Not Forward. たとえば、受信者に電子メールまたは添付ファイルからコピーしたり、添付ファイルを保存または編集することを許可できます。For example, you want the recipients to be able to copy from the email or an attachment, or save and edit an attachment.

Azure AD のアカウントを持たない外部ユーザーを指定する場合:If you specify external users who do not have an account in Azure AD:

  • このラベルは、Exchange Online で Office 365 Message Encryption の新機能を使用している場合の電子メールに適しています。The label is suitable for email when Exchange Online is using the new capabilities in Office 365 Message Encryption.

  • 自動的に保護されている Office 添付ファイルの場合、これらのドキュメントはブラウザーで表示できます。For Office attachments that are automatically protected, these documents are available to view in a browser. これらのドキュメントを編集するには、Office 365 アプリ (クイック実行) および同じメール アドレスを使用する Microsoft アカウントを使用して、それらをダウンロードし、編集します。To edit these documents, download and edit them with Office 365 apps (Click-to-Run), and a Microsoft account that uses the same email address. 詳細情報More information

注意

Exchange Online は、新しいオプションである [ 暗号化のみ] を展開しています。Exchange Online is rolling out a new option, encrypt-only. このオプションはラベル構成では使用できません。This option is not available for label configuration. ただし、受信者が誰かを把握している場合は、この例を使用して同じ使用権限のセットを持つラベルを構成できます。However, when you know who the recipients will be, you can use this example to configure a label with the same set of usage rights.

ユーザーが [宛先] ボックスにメール アドレスを指定するときに、そのアドレスが、このラベル構成のために指定したのと同じユーザーのものである必要があります。When your users specify the email addresses in the To box, the addresses must be for the same users that you specify for this label configuration. ユーザーはグループに属し、複数のメール アドレスを持つことができるため、ユーザーが指定するメール アドレスが、アクセス許可のために指定されたメール アドレスと一致する必要はありません。Because users can belong to groups and have more than one email address, the email address that they specify does not have to match the email address that you specify for the permissions. ただし、受信者が正常に承認されていることを確認するには、同じメール アドレスを指定することが最も簡単な方法です。However, specifying the same email address is the easiest way to ensure that the recipient will be successfully authorized. アクセス許可のためにユーザーを承認する方法については、「Azure Information Protection 向けのユーザーとグループの準備」を参照してください。For more information about how users are authorized for permissions, see Preparing users and groups for Azure Information Protection.

  1. [保護] ペインで、 [Azure (クラウド キー)] が選択されていることを確認します。On the Protection pane, make sure that Azure (cloud key) is selected.

  2. [アクセス許可を設定する] が選択されていることを確認し、[アクセス許可を追加] を選択します。Make sure Set permissions is selected, and select Add permissions.

  3. [ アクセス許可の追加 ] ウィンドウで、組織内のユーザーにアクセス許可を付与するには、[ 追加 <organization name> -すべてのメンバー ] を選択して、テナント内のすべてのユーザーを選択します。On the Add permissions pane: To grant permissions to users in your organization, select Add <organization name> - All members to select all users in your tenant. この設定では、ゲスト アカウントは除外されます。This setting excludes guest accounts. または、[ディレクトリを参照] を選択して特定のグループを選択します。Or, select Browse directory to select a specific group. 外部ユーザーにアクセス許可を付与するためにメール アドレスを入力する場合は、[詳細を入力] を選択し、ユーザー、Azure AD グループ、またはドメイン名のメール アドレスを入力します。To grant permissions to external users or if you prefer to type the email address, select Enter details and type the email address of the user, or Azure AD group, or a domain name.

    この手順を繰り返して、同じアクセス許可を付与する必要がある追加ユーザーを指定します。Repeat this step to specify additional users who should have the same permissions.

  4. [事前設定されたものの中からアクセス許可を選択する][共同所有者][共同作成者][レビュー担当者]、または [カスタム] を選択し、付与するアクセス許可を選択します。For Choose permissions from preset, select Co-Owner, Co-Author, Reviewer, or Custom to select the permissions that you want to grant.

    注: 電子メールには [ビューアー] を選択しないでください。また、[カスタム] を選択する場合は、[編集と保存] が含まれていることを確認します。Note: Do not select Viewer for emails and if you do select Custom, make sure that you include Edit and Save.

    追加の制限なしに暗号化を適用する Exchange Online の [ 暗号化 ] オプションと同じアクセス許可を選択するには、[ カスタム] を選択します。To select the same permissions that match the Encrypt option from Exchange Online, which applies encryption without additional restrictions, select Custom. 次いで、[名前を付けて保存]、[エクスポート] (エクスポート)[フル コントロール] (所有者) を除くすべてのアクセス許可を選択します。Then select all permissions except Save As, Export (EXPORT) and Full Control (OWNER).

  5. 別のアクセス許可を持っている必要があるユーザーを指定するには、手順 3 と 4 を繰り返します。To specify additional users who should have different permissions, repeat steps 3 and 4.

  6. [アクセス許可の追加] ペインで [OK] をクリックします。Click OK on the Add permissions pane.

  7. [保護] ペインで [OK] をクリックしてから、 [ラベル] ペインで [保存] をクリックします。Click OK on the Protection pane, and then click Save on the Label pane.

例 5: コンテンツを暗号化するが、アクセスできるユーザーは制限しないラベルExample 5: Label that encrypts content but doesn't restrict who can access it

この構成には、電子メールやドキュメントを保護するユーザー、グループ、ドメインを指定する必要がないという利点があります。This configuration has the advantage that you don't need to specify users, groups, or domains to protect an email or document. コンテンツは引き続き暗号化され、使用権限、有効期限、オフライン アクセスを指定できます。The content will still be encrypted and you can still specify usage rights, an expiry date, and offline access. 保護されたドキュメントや電子メールを開くことができるユーザーを制限する必要がない場合にのみ、この構成を使用します。Use this configuration only when you do not need to restrict who can open the protected document or email. この設定についての詳しい情報More information about this setting

  1. [保護] ペインで、[Azure (クラウド キー)] が選択されていることを確認します。On the Protection pane, make sure Azure (cloud key) is selected.

  2. [アクセス許可の設定] が選択されていることを確認し、[アクセス許可の追加] を選択します。Make sure Set permissions is selected, and then select Add permissions.

  3. [アクセス許可の追加] ペインの [一覧から選択] タブで、[認証されたユーザーを追加] を選択します。On the Add permissions pane, on the Select from the list tab, select Add any authenticated users.

  4. 必要なアクセス許可を選択して、[OK] をクリックします。Select the permissions you want, and click OK.

  5. [保護] ペインに戻り、必要に応じて [ファイル コンテンツの有効期限][オフライン アクセスの許可] の設定を構成し、[OK] をクリックします。Back on the Protection pane, configure settings for File Content Expiration and Allow offline access, if needed, and then click OK.

  6. [ラベル] ペインで、[保存] を選択します。On the Label pane, select Save.

例 6: "自分だけ" の保護が適用されるラベルExample 6: Label that applies "Just for me" protection

この構成は、ドキュメントのセキュリティで保護されたコラボレーションとは逆のことを提供します。 スーパーユーザーを除き、保護されたコンテンツを開くことができるのは、ラベルを適用したユーザーだけです。制限はありません。This configuration offers the opposite of secure collaboration for documents: With the exception of a super user, only the person who applies the label can open the protected content, without any restrictions. この構成は、多くの場合に "自分のみ" の保護と呼ばれ、ユーザーが任意の場所にファイルを保存して自分だけが開くことができるようにする場合に適しています。This configuration is often referred to as "Just for me" protection and is suitable when a user wants to save a file to any location and be assured that only they can open it.

このラベル構成は一見単純です。The label configuration is deceptively simple:

  1. [保護] ペインで、[Azure (クラウド キー)] が選択されていることを確認します。On the Protection pane, make sure Azure (cloud key) is selected.

  2. ユーザーを選択せずに、またはこのペインで何も設定を構成せずに、[OK] を選択します。Select OK without selecting any users, or configuring any settings on this pane.

    ファイルコンテンツの有効期限 の設定を構成したり、オフラインアクセスを許可 したりすることはできますが、ユーザーとそのアクセス許可を指定しない場合、これらのアクセス設定は適用されません。Although you can configure settings for File Content Expiration and Allow offline access, when you do not specify users and their permissions, these access settings are not applicable. これは、保護を適用したユーザーがそのコンテンツの Rights Management 発行者であり、この役割はこれらのアクセス制限から除外されるためです。That's because the person who applies the protection is the Rights Management issuer for the content, and this role is exempt from these access restrictions.

  3. [ラベル] ペインで、[保存] を選択します。On the Label pane, select Save.

次のステップNext steps

Azure Information Protection ポリシーの構成の詳細については、「組織のポリシーの構成」セクションのリンクを使用してください。For more information about configuring your Azure Information Protection policy, use the links in the Configuring your organization's policy section.

ラベルに基づいて Exchange のメール フロー ルールを保護に適用することもできます。Exchange mail flow rules can also apply protection, based on your labels. 詳細と例については、「Configuring Exchange Online mail flow rules for Azure Information Protection labels」(Azure Information Protection ラベル用に Exchange Online のメール フロー ルールを構成する) をご覧ください。For more information and examples, see Configuring Exchange Online mail flow rules for Azure Information Protection labels.