Azure Information Protection のテンプレートを構成して管理するConfiguring and managing templates for Azure Information Protection

*適用対象: Azure Information ProtectionOffice 365**Applies to: Azure Information Protection, Office 365*

*関連: Windows 用のクラシッククライアント Azure Information Protectionます。*Relevant for: Azure Information Protection classic client for Windows. 統一されたラベル付けクライアントについては、Microsoft 365 ドキュメントの「秘密度ラベルの暗号化を使用して、 秘密度ラベル の詳細と コンテンツへのアクセスを制限する 」を参照してください。 *For the unified labeling client, see Learn about sensitivity labels and Restrict access to content by using encryption in sensitivity labels from the Microsoft 365 documentation.*

注意

統一された効率的なカスタマー エクスペリエンスを提供するため、Azure portal の Azure Information Protection のクラシック クライアントラベル管理 は、2021 年 3 月 31 日 をもって 非推奨 になります。To provide a unified and streamlined customer experience, the Azure Information Protection classic client and Label Management in the Azure Portal are deprecated as of March 31, 2021. クラシック クライアントは構成どおりに動作しますが、今後のサポートは提供されず、メンテナンス バージョンがクラシック クライアントにリリースされなくなります。While the classic client continues to work as configured, no further support is provided, and maintenance versions will no longer be released for the classic client.

この記事の内容は、延長サポートをご利用のお客様をサポートするために提供されています。The content in this article is provided to support customers with extended support only. 統一されたラベル付けに移行し、統一されたラベル付けクライアントにアップグレードすることをお勧めします。We recommend that you migrate to unified labeling and upgrade to the unified labeling client. 詳細については、最新の非推奨に関するブログを参照してください。Learn more in our recent deprecation blog.

保護テンプレート (Rights Management テンプレート) は、Azure Information Protection 用の管理者が定義した保護設定のグループです。Protection templates, also known as Rights Management templates, are a grouping of administrator-defined protection settings for Azure Information Protection. これらの設定には、承認されたユーザー向けの選択した使用権限や、有効期限やオフライン アクセス向けのアクセス制御が含まれます。These settings include your chosen usage rights for authorized users, and access controls for expiry and offline access. これらのテンプレートは Azure Information Protection ポリシーに統合されています。These templates are integrated with the Azure Information Protection policy:

分類、ラベル付け、保護を含むサブスクリプション (Azure Information Protection P1 または P2) がある場合 は、次のようになります。When you have a subscription that includes classification, labeling, and protection (Azure Information Protection P1 or P2):

  • テナントのラベルと統合されていないテンプレートは、[ Azure Information Protection ラベル] ウィンドウのラベルの後の [保護テンプレート] セクションに表示されます。Templates that are not integrated with your labels for your tenant are displayed in the Protection templates section after your labels on the Azure Information Protection - Labels pane. このペインに移動するには、[分類 > ラベル] メニューオプションを選択します。To navigate to this pane, select the Classifications > Labels menu option. これらのテンプレートをラベルに変換できるほか、ラベルの保護を構成するときにテンプレートに関連付けることもできます。You can convert these templates to labels, or you can link to them when you configure protection for your labels.

保護のみを含むサブスクリプション (Azure Rights Management サービスを含む Microsoft 365 サブスクリプション) がある場合 は、次のようになります。When you have a subscription that includes protection only (a Microsoft 365 subscription that includes the Azure Rights Management service):

  • テナントのテンプレートは、[ Azure Information Protection ラベル] ウィンドウの [保護テンプレート] セクションに表示されます。Templates for your tenant are displayed in the Protection templates section on the Azure Information Protection - Labels pane. このペインに移動するには、[分類 > ラベル] メニューオプションを選択します。To navigate to this pane, select the Classifications > Labels menu option. ラベルは表示されません。No labels are displayed. 分類とラベル付けに固有の構成設定も表示されますが、これらの設定はテンプレートには反映されず、構成することはできません。You also see configuration settings that are specific to classification and labeling, but these settings either have no effect on your templates or cannot be configured.

注意

アプリケーションやサービスによっては、[ 転送不可 ] と [ 暗号化のみ (暗号化)] がテンプレートとして表示される場合があります。In some applications and services, you might see Do Not Forward and encrypt-only (Encrypt) displayed as a template. これらは編集したり削除したりできるテンプレートではなく、Exchange サービスでの既定のオプションです。These are not templates that you can edit or delete, but options that come by default with the Exchange service.

既定のテンプレートDefault templates

Azure Information Protection のサブスクリプションまたは Azure Rights Management サービスを含む Microsoft 365 サブスクリプションを取得すると、テナントに対して2つの既定のテンプレートが自動的に作成されます。When you obtain your subscription for Azure Information Protection or for a Microsoft 365 subscription that includes the Azure Rights Management service, two default templates are automatically created for your tenant. これらのテンプレートは、組織内の許可されたユーザーだけにアクセスを制限します。These templates restrict access to authorized users in your organization. これらのテンプレートを作成すると、 Azure Information Protection ドキュメントの使用権限の構成 に関するドキュメントに記載されているアクセス許可が付与されます。When these templates are created, they have the permissions that are listed in the Configuring usage rights for Azure Information Protection documentation.

さらに、テンプレートは、7 日間のオフライン アクセスを許可し、有効期限を設定しないように構成されます。In addition, the templates are configured to allow offline access for seven days and do not have an expiration date.

注意

これらの設定および既定のテンプレートの名前と説明は変更できます。You can change these settings, and the names and descriptions of the default templates. この機能は、Azure クラシック ポータルでは不可能であり、PowerShell ではサポートされないままです。This ability was not possible with the Azure classic portal and remains unsupported for PowerShell.

これらの既定のテンプレートを利用することで、組織の機密データの保護をすぐに開始できます。These default templates make it easy for you and others to immediately start protecting your organization's sensitive data. これらのテンプレートは Azure Information Protection ラベルと組み合わせて利用するか、Rights Management テンプレートを利用できるアプリケーションやサービスで単体で利用できます。These templates can be used with Azure Information Protection labels, or by themselves with applications and services that can use Rights Management templates.

また、独自のカスタム テンプレートを作成することもできます。You can also create your own custom templates. 必要なテンプレートはおそらく数個のみですが、最大 500 個のカスタム テンプレートを Azure に保存することができます。Although you probably require only a few templates, you can have a maximum of 500 custom templates saved in Azure.

既定のテンプレート名Default template names

サブスクリプションを最近入手した場合、既定のテンプレートは次の名前で作成されます。If you recently obtained your subscription, your default templates are created with the following names:

  • 社外秘 \ すべての従業員Confidential \ All Employees

  • 非常に機密性の高い社外秘 \ すべての従業員Highly Confidential \ All Employees

しばらく前にサブスクリプションを取得した場合、既定のテンプレートは次の名前で作成される可能性があります。If you obtained your subscription some time ago, your default templates might be created with the following names:

  • <organization name> -社外秘<organization name> - Confidential

  • <organization name> -社外秘、表示のみ<organization name> - Confidential View Only

Azure Portal を使っている場合、これらの既定テンプレートの名前を変更 (および再構成) できます。You can rename (and reconfigure) these default templates when you use the Azure portal.

注意

[ Azure Information Protection ラベル ] ペインに既定のテンプレートが表示されない場合は、ラベルに変換されるか、ラベルにリンクされます。If you don't see your default templates in the Azure Information Protection - Labels pane, they are converted to labels, or linked to a label. テンプレートとして存在していますが、Azure Portal では、クラウド キーの保護設定を含むラベル構成の一部として表示されます。They still exist as templates, but in the Azure portal, you see them as part of a label configuration that includes protection settings for a cloud key. Aipservice PowerShell モジュールからGet AipServiceTemplateを実行すると、いつでもテナントのテンプレートを確認できます。You can always confirm what templates your tenant has, by running the Get-AipServiceTemplate from the AIPService PowerShell module.

後の「テンプレートをラベルに変更するには」セクションで説明するように、テンプレートは手動で変換できます。変換後、必要に応じて名前を変更します。You can manually convert templates, as explained in the later section, To convert templates to labels, and then rename them if you want. あるいは、既定の Azure Information Protection ポリシーが最近作成され、そのときにテナントの Azure Rights Management サービスが有効にされた場合は、自動的に変換されます。Or they are converted automatically for you if your default Azure Information Protection policy was recently created and the Azure Rights Management service for your tenant was activated at that time.

アーカイブされたテンプレートは、[ Azure Information Protection ラベル ] ウィンドウに使用できないものとして表示されます。Templates that are archived display as unavailable in the Azure Information Protection - Labels pane. そのようなテンプレートはラベルとして選択できませんが、ラベルに変換することはできます。These templates cannot be selected for labels but they can be converted to labels.

Azure Portal のテンプレートに関する考慮事項Considerations for templates in the Azure portal

テンプレートを編集したり、ラベルに変換したりする前に、次の変更内容と考慮事項に注意してください。Before you edit these templates or convert them to labels, make sure that you are aware of the following changes and considerations. 実装が変更されたため、Azure クラシック ポータルで以前にテンプレートを管理していた場合は、次のリストが特に重要になります。Because of implementation changes, the following list is especially important if you previously managed templates in the Azure classic portal.

  • テンプレートを編集または変換して Azure Information Protection ポリシーを保存すると、元の使用権限に次の変更が行われます。After you edit or convert a template and save the Azure Information Protection policy, the following changes are made to the original usage rights. 必要に応じて、Azure Portal を使用して個々の使用権限を追加するか削除します。If required, you can add or remove individual usage rights by using the Azure portal. または、 AipServiceRightsDefinition および Set-AipServiceTemplateProperty コマンドレットで PowerShell を使用します。Or, use PowerShell with the New-AipServiceRightsDefinition and Set-AipServiceTemplateProperty cmdlets.

    • マクロの許可 (共通名) が自動的に追加されます。Allow Macros (common name) is automatically added. この使用権限は、Office アプリの Azure Information Protection バーに必要です。This usage right is required for the Azure Information Protection bar in Office apps.
  • 発行済み および アーカイブ 済みの設定が 有効 として表示されます: onenabled: それぞれ ラベル ペインで オフ にします。Published and Archived settings display as Enabled: On and Enabled: Off respectively on the Label pane. 維持するものの、ユーザーまたはサービスには表示しないテンプレートの場合は、[有効]: [オフ] に設定します。For templates that you want to retain but not be visible to users or services, set these templates to Enabled: Off.

  • Azure Portal では、テンプレートをコピーまたは削除することはできません。You cannot copy or delete a template in the Azure portal. テンプレートがラベルに変換されると、テンプレートの使用を停止するようにラベルを構成できます。[このラベルを含むドキュメントやメールに対するアクセス許可の設定] オプションで [構成されていません] を選択します。When the template is converted to a label, you can configure the label to stop using the template by selecting Not configured for the Set permissions for documents and emails containing this label option. または、ラベルを削除できます。Or, you can delete the label. ただし、いずれのシナリオでもテンプレートは削除されず、アーカイブされた状態で残ります。In both scenarios however, the template is not deleted and remains in an archived state.

    PowerShell の Remove-AipServiceTemplate コマンドレットを使用してテンプレートを削除することは、 永続的 です。Deleting templates using the PowerShell Remove-AipServiceTemplate cmdlet is permanent. ラベルに変換されていないテンプレートにも、この PowerShell コマンドレットを使用できます。You can also use this PowerShell cmdlet for templates that are not converted to labels. ただし、それ以前に保護されていたコンテンツを意図したとおり確実に開いたり使用したりできるようにするため、通常は、テンプレートを削除しないことをお勧めします。However, to ensure that previously protected content can be opened and used as intended, we usually advise against deleting templates. ベスト プラクティスとしては、運用環境で文書やメールの保護に使用されなかったことが確かな場合にのみ、テンプレートを削除してください。As a best practice, delete templates only if you are sure they were not used to protect documents or emails in production. PowerShell を使用してテンプレートを完全に削除する前に、テンプレートをバックアップとしてエクスポートすることを検討してください。そのためには、 Export-AipServiceTemplate コマンドレットを使用します。As a precaution before permanently deleting a template using PowerShell, consider exporting the template as a backup, using the Export-AipServiceTemplate cmdlet.

  • 現時点では、部門別テンプレートを編集して保存すると、スコープの構成が削除されます。Currently, if you edit and save a departmental template, it removes the scope configuration. Azure Information Protection ポリシーでスコープ テンプレートに相当するのが、スコープ ポリシーです。The equivalent of a scoped template in the Azure Information Protection policy is a scoped policy. テンプレートをラベルに変換する場合は、既存のスコープを選択できます。If you convert the template to a label, you can select an existing scope.

    また、Azure Portal では部門別テンプレートのアプリケーションの互換性を設定できません。In addition, you cannot set the application compatibility setting for a departmental template by using the Azure portal. 必要に応じて、 set-AipServiceTemplateProperty コマンドレットと EnableInLegacyApps パラメーターを使用して、このアプリケーションの互換性設定を設定できます。If necessary, you can set this application compatibility setting by using the Set-AipServiceTemplateProperty cmdlet and the EnableInLegacyApps parameter.

  • テンプレートをラベルに変換またはリンクすると、他のラベルで利用できなくなります。When you convert or link a template to a label, it can no longer be used by other labels. また、このテンプレートは [保護テンプレート] セクションに表示されなくなります。In addition, this template no longer displays in the Protection templates section.

  • [保護テンプレート] セクションでは、新しいテンプレートを作成しません。You do not create a new template from the Protection templates section. 代わりに、 保護 設定を含むラベルを作成し、[ 保護 ] ウィンドウで使用権限と設定を構成します。Instead, create a label that has the Protect setting, and configure the usage rights and settings from the Protection pane. 詳しい手順については、「新しいテンプレートを作成するには」を参照してください。For full instructions, see To create a new template.

Azure Information Protection ポリシーでテンプレートを構成するにはTo configure the templates in the Azure Information Protection policy

  1. まだ実行していない場合は、新しいブラウザー ウィンドウを開いて、Azure Portal にサインインしますIf you haven't already done so, open a new browser window and sign in to the Azure portal. 次に、[ Azure Information Protection ラベル ] ウィンドウに移動します。Then navigate to the Azure Information Protection - Labels pane.

    たとえば、リソース、サービス、ドキュメントの検索ボックスで次のようにします: 「Information」と入力し、 [Azure Information Protection] を選択します。For example, in the search box for resources, services, and docs: Start typing Information and select Azure Information Protection.

  2. [分類 > ラベル] メニューオプションから: [ Azure Information Protection ラベル] ウィンドウで [保護テンプレート] を展開し、構成するテンプレートを見つけます。From the Classifications > Labels menu option: On the Azure Information Protection - Labels pane, expand Protection templates, and then locate the template that you want to configure.

  3. テンプレートを選択し、[ ラベル ] ウィンドウで、 ラベルの表示名説明 を編集することによって、必要に応じてテンプレートの名前と説明を変更できます。Select the template, and on the Label pane, you can change the template name and description if required, by editing the Label display name and Description. 次に、値が Azure (クラウドキー)保護 を選択して [保護] ウィンドウを開きます。Then, select Protection that has a value of Azure (cloud key), to open the Protection pane.

  4. [ 保護 ] ウィンドウでは、アクセス許可、コンテンツの有効期限、およびオフラインアクセスの設定を変更できます。On the Protection pane, you can change the permissions, content expiration, and offline access settings. 保護設定の構成の詳細については、「Rights Management による保護でラベルを構成する方法」を参照してください。For more information about configuring the protection settings, see How to configure a label for Rights Management protection

    [ OK ] をクリックして変更を保存し、[ ラベル ] ウィンドウで [ 保存] をクリックします。Click OK to keep your changes, and on the Label pane, click Save.

注意

定義済みのテンプレートを使用するようにラベルを構成している場合は、[保護] ウィンドウの [テンプレートの編集] ボタンを使用してテンプレートを編集することもできます。You can also edit a template by using the Edit Template button on the Protection pane if you have configured a label to use a predefined template. 選択したテンプレートを使っているラベルが他にない場合、このボタンはテンプレートをラベルに変換し、手順 5. に移動します。Providing no other label also uses the selected template, this button converts the template into a label, and takes you to step 5. テンプレートがラベルに変換される場合の処理の詳細については、次のセクションを参照してください。For more information about what happens when templates are converted to labels, see the next section.

テンプレートをラベルに変換するにはTo convert templates to labels

分類、ラベル付け、保護を含むサブスクリプションの場合は、テンプレートをラベルに変換できます。When you have a subscription that includes classification, labeling, and protection, you can convert a template to a label. テンプレートの変換を行った場合、元のテンプレートは保持されますが、Azure Portal では新しいラベルに含まれた形で元のテンプレートが表示されます。When you convert a template, the original template is retained but in the Azure portal, it now displays as included in a new label.

たとえば、マーケティング グループに使用権限を付与する マーケティング という名前のラベルを変換すると、Azure Portal では マーケティング という名前の、同一の保護設定を持つラベルとして表示されます。For example, if you convert a label named Marketing that grants usage rights to the marketing group, in the Azure portal it now displays as a label named Marketing that has the same protection settings. 新しく作成したこのラベルの保護設定を変更する場合は、テンプレートで変更します。このテンプレートを使用するすべてのユーザーまたはサービスには、次にテンプレートが更新されるときに、新しい保護設定が適用されます。If you change the protection settings in this newly created label, you're changing them in the template and any user or service that uses this template will get the new protection settings with the next template refresh.

すべてのテンプレートをラベルに変換する必要はありませんが、すべて変換すると、保護設定がラベルのすべての機能と完全に統合されるため、個別に設定を維持する必要がなくなります。There is no requirement to convert all your templates to labels, but when you do, the protection settings are fully integrated with the full functionality of labels so that you do not have to maintain the settings separately.

テンプレートをラベルに変換するには、テンプレートを右クリックして、[ラベルに変換] を選択します。To convert a template into a label, right-click the template, and select Convert to label. または、コンテキスト メニューを使用してこのオプションを選択します。Alternatively, use the context-menu to select this option.

ラベルの保護と定義済みテンプレートを構成するときに、[テンプレートの編集] ボタンを使用して、テンプレートをラベルに変換することもできます。You can also convert a template to a label when you configure a label for protection and a predefined template, by using the Edit Template button.

テンプレートをラベルに変換すると、次のようになります。When you convert a template to a label:

  • テンプレートの名前は新しいラベル名に変換され、テンプレートの説明はラベルのヒントに変換されます。The name of the template is converted to a new label name, and the template description is converted to the label tooltip.

  • テンプレートの状態が [公開済み] の場合、ラベルではこの設定が [有効]: [オン] にマップされ、Azure Information Protection ポリシーが次に公開されるときにこのラベルがユーザーに表示されます。If the status of the template was published, this setting maps to Enabled: On for the label, which now displays as this label to users when you next publish the Azure Information Protection policy. テンプレートの状態が [アーカイブ済み] の場合、ラベルではこの設定が [有効]: [オフ] にマップされ、ユーザーが使用できるラベルとして表示されません。If the status of the template was archived, this setting maps to Enabled: Off for the label and does not display as an available label to users.

  • 保護設定は保持され、必要に応じて編集できます。また、視覚的なマーカーや条件などのラベルの他の設定を追加することもできます。The protection settings are retained, and you can edit these if required, and also add other label settings such as visual markers and conditions.

  • 元のテンプレートは [保護テンプレート] に表示されなくなり、ラベルの保護の構成時に、事前定義済みテンプレートとして選択できません。The original template is no longer displayed in Protection templates and cannot be selected as a predefined template when you configure protection for a label. Azure Portal でこのテンプレートを編集するには、テンプレートの変換時に作成したラベルを編集します。To edit this template in the Azure portal, you now edit the label that was created when you converted the template. Azure Rights Management サービスではこれまでどおりにテンプレートを使用できるほか、PowerShell コマンドを使用してテンプレートを管理できます。The template remains available for the Azure Rights Management service, and can still be managed by using PowerShell commands.

新しいテンプレートを作成するにはTo create a new template

テンプレートは、ポータルまたは PowerShell を使用して作成できます。Templates can be created using the portal or using PowerShell.

PowerShell を使用したテンプレートの作成Template creation using PowerShell

指定された名前、説明、ポリシー、および必要な状態の設定で PowerShell を使用して新しい保護テンプレートを作成するには、 Add-AipServiceTemplate コマンドレットを使用します。To create a new protection template using PowerShell with the specified name, description, policy, and desired status setting use the Add-AipServiceTemplate cmdlet.

ポータルを使用したテンプレートの作成Template creation using the portal

Azure (クラウドキー) の保護設定でポータルを使用して新しいラベルを作成すると、この操作によって新しいカスタムテンプレートが作成され、Rights Management テンプレートと統合されるサービスとアプリケーションからアクセスできるようになります。When you create a new label using the portal with the protection setting of Azure (cloud key), this action creates a new custom template that can then be accessed by services and applications that integrate with Rights Management templates.

  1. [分類 > ラベル] メニューオプションから: [ Azure Information Protection ラベル] ウィンドウで、[新しいラベルの追加] を選択します。From the Classifications > Labels menu option: On the Azure Information Protection - Labels pane, select Add a new label.

  2. [ ラベル ] ウィンドウで、[ 有効]: [オン] のままにして、テンプレート名と説明のラベル名と説明を入力します。On the Label pane, keep the default of Enabled: On, then enter a label name and description for the template name and description.

  3. [このラベルを含むドキュメントやメールに対するアクセス許可の設定] では、[保護] を選択してから、再び [保護] を選択します。For Set permissions for documents and emails containing this label, select Protect, and then select Protection:

    Azure Information Protection ラベルの保護を構成する

  4. [ 保護 ] ウィンドウでは、アクセス許可、コンテンツの有効期限、およびオフラインアクセスの設定を変更できます。On the Protection pane, you can change the permissions, content expiration, and offline access settings. これらの保護設定の構成の詳細については、「Rights Management による保護でラベルを構成する方法」を参照してください。For more information about configuring these protection settings, see How to configure a label for Rights Management protection

    [ OK ] をクリックして変更を保存し、[ ラベル ] ウィンドウで [ 保存] をクリックします。Click OK to keep your changes, and on the Label pane, click Save.

    [ Azure Information Protection ラベル ] ウィンドウに新しいラベルが表示され、 保護の設定 が含まれていることが示されます。On the Azure Information Protection - Labels pane, you now see your new label displayed with the PROTECTION column to indicate that it contains protection settings. これらの保護設定は、Azure Rights Management サービスをサポートするアプリケーションとサービスに対してテンプレートとして表示されます。These protection settings display as templates to applications and services that support the Azure Rights Management service.

    ラベルは有効ですが (既定)、テンプレートはアーカイブされます。Although the label is enabled, by default, the template is archived. アプリケーションとサービスでテンプレートを使用してドキュメントや電子メールを保護できるようにするには、テンプレートを発行する最後の手順を完了します。So that applications and services can use the template to protect documents and emails, complete the final step to publish the template.

  5. [分類 > ポリシー ] メニューオプションから、新しい保護設定を含めるポリシーを選択します。From the Classifications > Policies menu option, select the policy to contain the new protection settings. 次に [ラベルの追加または削除] を選択します。Then select Add or remove labels. [ ポリシー: ラベルの追加または削除 ] ウィンドウで、保護設定を含む新しく作成されたラベルを選択し、[ OK]、[ 保存] の順に選択します。From the Policy: Add or remove labels pane, select the newly created label that contains your protection settings, select OK, and then select Save.

次のステップNext steps

Azure Information Protection クライアントを実行しているコンピューターが変更された設定を取得するまで、最大で 15 分間かかる場合があります。It can take up to 15 minutes for a computer running the Azure Information Protection client to get these changed settings. コンピューターおよびサービスでテンプレートをダウンロードして更新する方法については、「ユーザーとサービスのためのテンプレートの更新」を参照してください。For information about how computers and services download and refresh templates, see Refreshing templates for users and services.

テンプレートの作成と管理のために Azure Portal で構成できたことはすべて、PowerShell を利用して行うことができます。Everything that you can configure in the Azure portal to create and manage your templates, you can do by using PowerShell. また、PowerShell は、ポータルでは利用できないオプションも提供します。In addition, PowerShell provides more options that are not available in the portal. 詳細については、保護テンプレートの PowerShell リファレンスを参照してください。For more information, see PowerShell reference for protection templates.

Azure Information Protection ポリシーの構成の詳細については、「組織のポリシーの構成」セクションのリンクを使用してください。For more information about configuring your Azure Information Protection policy, use the links in the Configuring your organization's policy section.