スコープ ポリシーを使用して特定のユーザーの Azure Information Protection ポリシーを構成する方法

Azure Information Protection クライアントがインストールされているコンピューターに Azure Information Protection ポリシーがダウンロードされると、すべてのユーザーは、既定のポリシーから設定とラベルを取得するか、グローバル ポリシー用に構成された変更を取得します。 特定のユーザーに対してこの構成を補う場合は、そのようなユーザー向けに構成されているスコープ付きポリシーを、さまざまな設定やラベルを使用して作成する必要があります。

スコープ付きポリシーのしくみ

Azure Information Protection クライアントをサポートするアプリケーションの場合、すべてのユーザーは、Information Protection バーに表示されるタイトルとツールヒント、グローバル設定、およびグローバル ラベルを含むグローバル ポリシーを受信します。 特定のユーザーに対してスコープ付きポリシーを構成した場合、それらのユーザーは追加の設定とラベルを受け取ります。

Azure Information Protection クライアントをサポートする Office デスクトップ アプリケーションに加えて、ラベルも PowerShell および Azure Information Protection スキャナーでサポートされています。 つまり、Powershell コマンドまたはスキャナーを実行するアカウントに対して、スコープ ポリシーを作成し構成することができます。

スコープ付きポリシーは、ラベルと同様に Azure Portal で順序付けされます。 ユーザーが複数のスコープに対して構成されている場合、ダウンロード前に、そのユーザーの有効なポリシーが計算されます。 ポリシーの順序で最後のポリシー設定が適用されます。 ユーザーに表示されるラベルは、グローバル ポリシーのラベルと、ユーザーが属するスコープ付きポリシーの追加ラベルです。

例外は、テナントからのユーザーがラベル付きのドキュメントまたは電子メールを開く場合に、そのユーザーがラベルのスコープに含まれていない場合です。 このシナリオでは、ユーザーにラベルのセットの名前が表示されますが、ラベルは選択可能なものとして表示されません。

スコープ付きポリシーは、グローバル ポリシーのラベルと設定を常に継承します。グローバル ポリシーのラベルは、スコープ付きポリシーを作成または編集するときに表示されます。 ただし、スコープ付きポリシーを編集するときに、グローバル ポリシーのラベルを編集することはできません。 ただし、これらの継承されたラベルにサブラベルを追加することはできます。

たとえば、グローバル ポリシーに Confidential というラベルがある場合、すべてのユーザーにこのラベルが表示されます。 スコープ ポリシーでこのラベルを削除したり順序を変更したりすることはできません。 ただし、Confidential に新しいサブラベルを追加するマーケティング部門のスコープ付きポリシーを作成して、この部門のユーザーに Confidential \ Promotions を表示することができます。 また、Confidential に新しいサブラベルを追加する営業部門の別のスコープ付きポリシーを作成し、この部門のユーザーに Confidential \ Partners に表示することもできます。 各サブラベルは異なる設定用に構成することができます。また、サブラベルは各部門のユーザーにのみ表示することができます。

スコープ付きポリシーを構成する

1. まだ実行していない場合は、新しいブラウザー ウィンドウを開いて、Azure Portal にサインインします。 次に、 [Azure Information Protection] ペインに移動します。

   たとえば、リソース、サービス、ドキュメントの検索ボックスで次のようにします: 「Information」と入力し、 [Azure Information Protection] を選択します。

2. [分類]>[ポリシー] メニュー オプションから: [Azure Information Protection - ポリシー] ペインで、[新しいポリシーの追加] を選択します。 [ポリシー] ペインに、既存のグローバル ポリシーが表示されます。ここで、新しいスコープ付きポリシーを構成することができます。

3. Azure Portal で管理者にのみ表示されるポリシー名と説明を指定します。 名前はテナントに対して一意である必要があります。 次に、[Specify which users/groups get this policy](このポリシーを取得するユーザーまたはグループを指定する) を選択し、次に表示されるペインで、このポリシーの対象となるユーザーとグループを検索および選択できます。 このスコープ付きポリシーで構成するラベルと設定は、これらのユーザーにのみ適用されます。

   パフォーマンス上の理由から、スコープ付きポリシーのグループ メンバーシップはキャッシュされます。

   注意

   最大 200 のユーザーまたはグループを選択します。 200 ユーザー以上がスコープ付きポリシーの取得を必要としている場合、新しいグループを作成し、関連するユーザーをグループに追加して、その新しいグループに対してポリシー スコープを設定します。

4. ここで、新しいラベルを追加したり、スコープ ポリシーの設定を構成します。 グローバル ポリシーは常に最初に適用されるため、新しいラベルでグローバル ポリシーを補い、グローバル設定をオーバーライドすることができます。 たとえば、グローバル ポリシーに既定のラベルを指定せず、特定の部門に対して異なるスコープ付きポリシーの異なる既定のラベルを構成します。

   ラベルまたは設定の構成でサポートが必要な場合は、「組織のポリシーを構成する」セクション内のリンクを使用してください。

5. グローバル ポリシーを編集するときのように [Azure Information Protection] ペインで変更を行ったら、[保存] をクリックして、変更を保存します。または、[破棄] をクリックして、最後に保存した設定に戻します。

6. スコープ付きポリシーに対する変更が完了したら、最初の [Azure Information Protection - ポリシー] ペインで、このスコープ付きポリシーに適用される順序が正しいことを確認します。 この手順は、複数のスコープ付きポリシーに対して同じユーザーを選択した場合に重要です。 順序を変更するには、コンテキスト メニュー ([...]) を選択し、[上へ移動] または [下へ移動] を選択します。

Azure Information Protection クライアントは、サポートされている Office アプリケーションが起動するか、ファイル エクスプローラーが開かれるたびに変更がないかどうかを確認します。 クライアントは、グローバル ポリシー、またはそのユーザーに適用されるスコープ付きポリシーの変更をダウンロードします。

次の手順

既定のポリシーをカスタマイズする方法や、Office アプリケーションで結果の動作を確認する方法の例については、ポリシーの編集と新しいラベルの作成に関するチュートリアルをご覧ください。