Azure Information Protection のポリシー設定を構成する方法

適用対象:Azure Information Protection

関連: Windows Azure Information Protection クラシック クライアント。 統合ラベル付けクライアントについては、次のドキュメントの 感度ラベルについてMicrosoft 365参照してください。

注意

統一された効率的なカスタマー エクスペリエンスを提供するため、Azure portal の Azure Information Protection のクラシック クライアントラベル管理 は、2021 年 3 月 31 日 をもって 非推奨 になります。 クラシック クライアントは構成どおりに動作しますが、今後のサポートは提供されず、メンテナンス バージョンがクラシック クライアントにリリースされなくなります。

この記事の内容は、延長サポートをご利用のお客様をサポートするために提供されています。 統一されたラベル付けに移行し、統一されたラベル付けクライアントにアップグレードすることをお勧めします。 詳細については、最新の非推奨に関するブログを参照してください。

Information Protection バーに表示されるタイトルとヒントのほかに、ラベルから個別に構成できる Azure Information Protection ポリシーにはいくつかの設定があります。

Azure Information Protection ポリシーのグローバル設定

Azure Information Protection のサブスクリプションを購入した時期に応じて、ポリシー設定の既定の値が異なることに注意してください。 一部の設定は、カスタム クライアント設定から設定することもできます。

ポリシー設定を構成するには

  1. まだ実行していない場合は、新しいブラウザー ウィンドウを開いて、Azure Portal にサインインします。 次に、 [Azure Information Protection] ペインに移動します。

    たとえば、リソース、サービス、ドキュメントの検索ボックスで次のようにします: 「Information」と入力し、 [Azure Information Protection] を選択します。

  2. [分類 ポリシー] メニュー オプションから:構成する設定がすべてのユーザーに適用される場合は、[Azure Information Protection - ポリシー] ウィンドウで [グローバル] > を選択します。

    構成する設定がスコープ ポリシーにあり、選択したユーザーだけに適用される場合は、代わりにスコープ ポリシーを選びます。

  3. [ポリシー ] ウィンドウ で、設定を構成します。

    • Select the default label (既定のラベルを選択します): このオプションを設定した場合、ラベルを持たないドキュメントや電子メールに割り当てるラベルを選択します。 サブラベルがあるラベルは、既定値として設定することはできません。

      この設定は、Office アプリとスキャナーに適用されます。 これはエクスプローラーや PowerShell には適用されません。

    • 監査データを分析Azure Information Protection送信 する: Azure Information Analytics用の Azure Log Analytics ワークスペースを作成する前に、この設定の値に [ オフ ] と [構成されていません] と表示されます。 ワークスペースを作成すると、値が [オフ] および [オン] に変わります。

      設定が [ オン] の場合、中央レポートをサポートするクライアントは、サービスにデータAzure Information Protectionします。 この情報には、適用されるラベルと、分類が低いラベルをユーザーが選択した場合、またはラベルを削除する場合が含まれます。 送信および格納される情報の詳細については、中央レポートドキュメントの「 収集され、Microsoft に送信される情報」セクションを参照してください。 このポリシー設定を [オフ] に設定 すると、このデータが送信されません。

    • All documents and emails must have a label (すべてのドキュメントと電子メールにラベルを設定する必要があります): このオプションを [オン] に設定した場合は、すべての保存されるドキュメントと送信される電子メールにラベルを適用する必要があります。 ラベル付けは、ユーザーが手動で割り当てる、条件の結果として自動的に割り当てる、または ([Select the default label] (既定のラベルを選択) オプションを設定することで) 既定で割り当てることができます。

      ユーザーがドキュメントを保存または電子メールを送信するときにラベルが割り当てられなかった場合は、ラベルの選択を求めるメッセージが表示されます。 例:

      ラベル付けが必須である場合の Azure Information Protection のプロンプト

      Set-AIPFileLabelPowerShell コマンドレットと RemoveLabel パラメーターを使用してラベルを削除する場合、このオプションは適用されません。

    • 分類ラベルを低くする、ラベルを削除する、保護を削除する場合、ユーザーは理由を提供する必要があります: このオプションが [オン] に設定されているときは、ユーザーがこれらの操作を行うと (たとえば [Public (パブリック)] ラベルを [Personal (個人用)] に変更)、その操作の理由を入力する画面が表示されます。 たとえば、ユーザーは、「このドキュメントにはもう秘密情報が含まれていない」という説明を入力します。 アクションとその正当な理由は、ローカルの Windows イベント ログに記録されます。 [アプリケーションと サービス ログ] > Azure Information Protection。

      新しい分類が下位の場合の Azure Information Protection のプロンプト

      このオプションは、同じ親ラベル下のサブラベルの分類を低くするためには使用できません。

    • For email messages with attachments, apply a label that matches the highest classification of those attachments (添付ファイル付きの電子メール メッセージの場合、添付ファイルの最上位の分類に一致するラベルを適用します): このオプションを [推奨] に設定すると、ユーザーは自分の電子メール メッセージにラベルを適用するよう求められます。 ラベルは、添付ファイルに適用されている分類のラベルに基づいて動的に選択され、最上位の分類のラベルが選択されます。 添付ファイルは物理ファイルである必要があります。また、ファイルへのリンクにすることはできません (たとえば、Microsoft SharePoint または OneDrive 上のファイルへのリンク)。 ユーザーは、推奨設定を受け入れるか、通知を閉じます。 このオプションを [自動] に設定すると、ラベルが自動的に適用されますが、ユーザーは電子メールを送信する前に、ラベルを削除することも、別のラベルを選択することもできます。

      このポリシー設定を使う際にサブラベルの順序を考慮する場合は、クライアントの詳細設定を構成する必要があります。

      分類ラベルが最も高い添付ファイルが、ユーザー定義のアクセス許可のプレビュー設定を使用して保護するように構成されている場合: - ラベルのユーザー定義アクセス許可に Outlook (転送しない) が含まれる場合、そのラベルが適用され、転送しない保護が電子メールに適用されます。 ラベルのユーザー定義のアクセス許可が Word、Excel、PowerPoint、およびファイル エクスプローラーのみを対象とする場合、そのラベルは電子メールに適用されず、保護も適用されません。

    • Display the Information Protection bar in Office apps (Office アプリで Information Protection バーを表示する): この設定をオフにすると、ユーザーは Word、Excel、PowerPoint、Outlook のバーからラベルを選択できません。 代わりに、リボンの [保護] ボタンからラベルを選択する必要があります。 この設定をオンにすると、ユーザーはバーまたはボタンのいずれかからラベルを選択できます。

      この設定をオンにしているときに、ユーザーがバーを表示しないことを選択する場合、Azure Information Protection バーを永久に非表示にできるように、この設定をクライアントの詳細設定と共に使用できます。 [保護] ボタンから [バーの表示] オプションをクリアして、この操作を行うことができます。

    • Add the Do Not Forward button to the Outlook ribbon (Outlook リボンに [転送不可] ボタンを追加する): この設定をオンにすると、ユーザーは Outlook メニューから [転送不可] オプションを選択できるほか、Outlook リボンの [保護] グループからもこのボタンを選択できます。 ユーザーが電子メールを分類して保護できるようにするには、このボタンを追加するのではなく、 保護用にラベルを構成 し、ユーザーに Outlook のアクセス許可を定義することをお勧めします。 この保護設定は、[転送不可] ボタンの選択と同様に機能しますが、この機能にラベルが含まれる場合は、メールは分類され、保護されます。

      このポリシー設定は、クライアントのカスタマイズとしてクライアントの詳細設定を使って構成することもできます。

    • Make the custom permissions option available to users (ユーザーがカスタム アクセス許可オプションを使用できるようにする): この設定をオンにすると、ラベルの構成で指定している可能性がある保護設定をオーバーライドできる、独自の保護設定を設定するオプションがユーザーに表示されます。 ユーザーには、保護を削除するオプションも表示されます。 この設定がオフの場合、これらのオプションはユーザーに表示されません。

      このポリシー設定は、ユーザーが Office メニュー オプションから構成できるカスタムのアクセス許可には影響しないことに注意してください。 ただし、クライアントのカスタマイズとしてクライアントの詳細設定を使用し、構成することもできます。

      カスタムのアクセス許可オプションは、次の場所に配置されています。

      • Office アプリケーション: リボンから [ホーム] タブ > [保護] グループ > [保護] > [カスタムのアクセス許可]

      • エクスプローラーから: > 右クリックし て、 > カスタムアクセス許可 を分類して保護する

    • Provide a custom URL for the Azure Information Protection client "Tell me more" web page (Azure Information Protection クライアントの "詳細情報を表示する" Web ページのカスタム URL を入力する): このリンクは、[Microsoft Azure Information Protection] ダイアログ ボックスの [ヘルプとフィードバック] セクションにあり、ユーザーが Office アプリケーションの [ホーム] タブで [保護] > [ヘルプとフィードバック] を選択したときに表示されます。 このリンクの既定のリンク先は Azure Information Protection Web サイトです。 このリンクをクリックしたときに別の Web ページが表示されるようにするには、HTTP または HTTPS (推奨) の URL を入力します。 入力されたカスタム URL がどのデバイスでもアクセス可能で正しく表示できるかどうかの確認は行われません。

      たとえば、ヘルプデスクの場合、クライアントのインストールと使用に関する情報が記載された Microsoft のドキュメントページを参照してください https://docs.microsoft.com/information-protection/rms-client/info-protect-client 。 またはリリースバージョン情報: https://docs.microsoft.com/information-protection/rms-client/client-version-release-history 。 あるいは、ユーザー向けの Web ページを独自に作成して、ヘルプ デスクへの連絡方法を掲載したり、ラベルを使用する手順をユーザーに説明するビデオを公開したりすることが考えられます。

  4. 変更を保存し、ユーザーが利用できるようにするには、[保存] をクリックします。

[保存] をクリックすると、変更内容がユーザーとサービスに対して自動的に利用可能になります。 独立した公開オプションはなくなりました。

次のステップ

このような一部のポリシー設定を連携させる方法を確認するには、チュートリアル「Configure Azure Information Protection policy settings that work together (連携させる Azure Information Protection のポリシー設定を構成する)」をご覧ください。

Azure Information Protection ポリシーの構成の詳細については、「組織のポリシーの構成」セクションのリンクを使用してください。