Azure Information Protection のテンプレートを構成して管理するConfiguring and managing templates for Azure Information Protection

適用対象: Azure Information ProtectionOffice 365Applies to: Azure Information Protection, Office 365

手順: Windows 用の Azure Information Protection クライアントInstructions for: Azure Information Protection client for Windows

保護テンプレート (Rights Management テンプレート) は、Azure Information Protection 用の管理者が定義した保護設定のグループです。Protection templates, also known as Rights Management templates, are a grouping of administrator-defined protection settings for Azure Information Protection. これらの設定には、承認されたユーザー向けの選択した使用権限や、有効期限やオフライン アクセス向けのアクセス制御が含まれます。These settings include your chosen usage rights for authorized users, and access controls for expiry and offline access. これらのテンプレートは Azure Information Protection ポリシーに統合されています。These templates are integrated with the Azure Information Protection policy:

分類、ラベル付け、保護を含むサブスクリプションの場合 (Azure Information Protection P1 または P2)When you have a subscription that includes classification, labeling, and protection (Azure Information Protection P1 or P2):

  • テナントのラベルと統合されていないテンプレートは、 [Azure Information Protection ラベル] ウィンドウのラベルの後の [保護テンプレート] セクションに表示されます。Templates that are not integrated with your labels for your tenant are displayed in the Protection templates section after your labels on the Azure Information Protection - Labels pane. このペインに移動するには、[分類 > ラベル] メニューオプションを選択します。To navigate to this pane, select the Classifications > Labels menu option. これらのテンプレートをラベルに変換できるほか、ラベルの保護を構成するときにテンプレートに関連付けることもできます。You can convert these templates to labels, or you can link to them when you configure protection for your labels.

保護のみを含むサブスクリプションの場合 (Azure Rights Management サービスを含む Office 365 サブスクリプション)When you have a subscription that includes protection only (an Office 365 subscription that includes the Azure Rights Management service):

  • テナントのテンプレートは、 [Azure Information Protection ラベル] ウィンドウの [保護テンプレート] セクションに表示されます。Templates for your tenant are displayed in the Protection templates section on the Azure Information Protection - Labels pane. このペインに移動するには、[分類 > ラベル] メニューオプションを選択します。To navigate to this pane, select the Classifications > Labels menu option. ラベルは表示されません。No labels are displayed. 分類とラベル付けに固有の構成設定も表示されますが、これらの設定はテンプレートには反映されず、構成することはできません。You also see configuration settings that are specific to classification and labeling, but these settings either have no effect on your templates or cannot be configured.

注意

一部のアプリケーションやサービスでは、[転送不可][暗号化のみ] (または [暗号化] ) がテンプレートとして表示される場合があります。In some applications and services, you might see Do Not Forward and Encrypt-Only (or Encrypt) displayed as a template. これらは編集したり削除したりできるテンプレートではなく、Exchange サービスでの既定のオプションです。These are not templates that you can edit or delete, but options that come by default with the Exchange service.

既定のテンプレートDefault templates

Azure Rights Management サービスが含まれる Azure Information Protection サブスクリプションまたは Office 365 サブスクリプションを入手すると、既定のテンプレートが 2 つテナントに自動的に作成されます。When you obtain your subscription for Azure Information Protection or for an Office 365 subscription that includes the Azure Rights Management service, two default templates are automatically created for your tenant. これらのテンプレートは、組織内の許可されたユーザーにアクセスを制限します。These templates restrict access to authorized users in your organization. これらのテンプレートを作成すると、 Azure Information Protection ドキュメントの使用権限の構成に関するドキュメントに記載されているアクセス許可が付与されます。When these templates are created, they have the permissions that are listed in the Configuring usage rights for Azure Information Protection documentation.

さらに、テンプレートは、7 日間オフライン アクセスを許可し、有効期限がないように構成されます。In addition, the templates are configured to allow offline access for seven days and do not have an expiration date.

注意

これらの設定および既定のテンプレートの名前と説明は変更できます。You can change these settings, and the names and descriptions of the default templates. この機能は、Azure クラシック ポータルでは不可能であり、PowerShell ではサポートされないままです。This ability was not possible with the Azure classic portal and remains unsupported for PowerShell.

これらの既定のテンプレートを利用することで、組織の機密データの保護をすぐに開始できます。These default templates make it easy for you and others to immediately start protecting your organization's sensitive data. これらのテンプレートは Azure Information Protection ラベルと組み合わせて利用するか、Rights Management テンプレートを利用できるアプリケーションやサービスで単体で利用できます。These templates can be used with Azure Information Protection labels, or by themselves with applications and services that can use Rights Management templates.

また、独自のカスタム テンプレートを作成することもできます。You can also create your own custom templates. 必要なテンプレートはおそらく数個のみですが、最大 500 個のカスタム テンプレートを Azure に保存することができます。Although you probably require only a few templates, you can have a maximum of 500 custom templates saved in Azure.

既定のテンプレート名Default template names

サブスクリプションを最近入手した場合、既定のテンプレートは次の名前で作成されます。If you recently obtained your subscription, your default templates are created with the following names:

  • 社外秘 \ すべての従業員Confidential \ All Employees

  • 非常に機密性の高い社外秘 \ すべての従業員Highly Confidential \ All Employees

しばらく前にサブスクリプションを取得した場合、既定のテンプレートは次の名前で作成される可能性があります。If you obtained your subscription some time ago, your default templates might be created with the following names:

  • <組織名 >-社外秘<organization name> - Confidential

  • <組織名> - 社外秘、表示のみ<organization name> - Confidential View Only

Azure Portal を使っている場合、これらの既定テンプレートの名前を変更 (および再構成) できます。You can rename (and reconfigure) these default templates when you use the Azure portal.

注意

[Azure Information Protection ラベル] ペインに既定のテンプレートが表示されない場合は、ラベルに変換されるか、ラベルにリンクされます。If you don't see your default templates in the Azure Information Protection - Labels pane, they are converted to labels, or linked to a label. テンプレートとして存在していますが、Azure Portal では、クラウド キーの保護設定を含むラベル構成の一部として表示されます。They still exist as templates, but in the Azure portal, you see them as part of a label configuration that includes protection settings for a cloud key. Aipservice PowerShell モジュールからGet AipServiceTemplateを実行すると、いつでもテナントのテンプレートを確認できます。You can always confirm what templates your tenant has, by running the Get-AipServiceTemplate from the AIPService PowerShell module.

テンプレートをラベルに変更するには」セクションに説明があるとおり、テンプレートは手動で変換できます。変換後、必要に応じて名前を変更します。You can manually convert templates, as explained in the later section, To convert templates to labels, and then rename them if you want. あるいは、既定の Azure Information Protection ポリシーが最近作成され、そのとき、テナントの Azure Rights Management サービスが有効化された場合、自動的に変換されます。Or they are converted automatically for you if your default Azure Information Protection policy was recently created and the Azure Rights Management service for your tenant was activated at that time.

アーカイブされたテンプレートは、 [Azure Information Protection ラベル] ウィンドウに使用できないものとして表示されます。Templates that are archived display as unavailable in the Azure Information Protection - Labels pane. そのようなテンプレートはラベルとして選択できませんが、ラベルに変換することはできます。These templates cannot be selected for labels but they can be converted to labels.

Azure Portal のテンプレートに関する考慮事項Considerations for templates in the Azure portal

テンプレートを編集したり、ラベルに変換したりする前に、次の変更内容と考慮事項に注意してください。Before you edit these templates or convert them to labels, make sure that you are aware of the following changes and considerations. 実装変更のため、Azure クラシック ポータルで以前、テンプレートを管理していた場合、次のリストが特に重要になります。Because of implementation changes, the following list is especially important if you previously managed templates in the Azure classic portal.

  • テンプレートを編集または変換して Azure Information Protection ポリシーを保存すると、元の使用権限に次の変更が行われます。After you edit or convert a template and save the Azure Information Protection policy, the following changes are made to the original usage rights. 必要な場合は、Azure Portal を使用して、個々の使用権限を追加または削除できます。If required, you can add or remove individual usage rights by using the Azure portal. または、 AipServiceRightsDefinitionおよびSet-AipServiceTemplatePropertyコマンドレットで PowerShell を使用します。Or, use PowerShell with the New-AipServiceRightsDefinition and Set-AipServiceTemplateProperty cmdlets.

    • マクロの許可 (共通名) が自動的に追加されます。Allow Macros (common name) is automatically added. この使用権限は Office アプリの Azure Information Protection バーに必要です。This usage right is required for the Azure Information Protection bar in Office apps.
  • 発行済みおよびアーカイブ済みの設定が有効として表示されます: onenabled: それぞれラベルペインでオフにします。Published and Archived settings display as Enabled: On and Enabled: Off respectively on the Label pane. 維持するがユーザーまたはサービスには表示しないテンプレートの場合、これらのテンプレートを [有効] : [オフ] に設定します。For templates that you want to retain but not be visible to users or services, set these templates to Enabled: Off.

  • Azure ポータルでは、テンプレートをコピーまたは削除することはできません。You cannot copy or delete a template in the Azure portal. テンプレートがラベルに変換されると、テンプレートの使用を停止するようにラベルを構成できます。 [このラベルを含むドキュメントやメールに対するアクセス許可の設定] オプションに [構成されていません] を選択します。When the template is converted to a label, you can configure the label to stop using the template by selecting Not configured for the Set permissions for documents and emails containing this label option. あるいは、ラベルを削除できます。Or, you can delete the label. ただし、いずれのシナリオでもテンプレートは削除されず、アーカイブされた状態で残ります。In both scenarios however, the template is not deleted and remains in an archived state.

    これで、PowerShell のRemove-AipServiceTemplateコマンドレットを使用して、テンプレートを削除できます。You could now delete the template by using the PowerShell Remove-AipServiceTemplate cmdlet. ラベルに変換されていないテンプレートにもこの PowerShell コマンドレットを使用できます。You can also use this PowerShell cmdlet for templates that are not converted to labels. ただし、それ以前に保護されていたコンテンツを意図したとおり確実に開いたり使用したりできるようにするため、通常は、テンプレートを削除しないことをお勧めします。However, to ensure that previously protected content can be opened and used as intended, we usually advise against deleting templates. ベスト プラクティスとしては、運用環境で文書やメールの保護に使用されなかったことが確かな場合にのみ、テンプレートを削除してください。As a best practice, delete templates only if you are sure they were not used to protect documents or emails in production. 念のため、 Export-AipServiceTemplateコマンドレットを使用して、最初にテンプレートをバックアップとしてエクスポートすることを検討してください。As a precaution, you might want to consider first exporting the template as a backup, by using the Export-AipServiceTemplate cmdlet.

  • 現時点では、部門別テンプレートを編集して保存すると、スコープの構成が削除されます。Currently, if you edit and save a departmental template, it removes the scope configuration. Azure Information Protection ポリシーのスコープ テンプレートに相当するのが、スコープ ポリシーです。The equivalent of a scoped template in the Azure Information Protection policy is a scoped policy. テンプレートをラベルに変換する場合は、既存のスコープを選択できます。If you convert the template to a label, you can select an existing scope.

    また、Azure Portal では部門別テンプレートのアプリケーションの互換性を設定できません。In addition, you cannot set the application compatibility setting for a departmental template by using the Azure portal. 必要に応じて、 set-AipServiceTemplatePropertyコマンドレットとEnableInLegacyAppsパラメーターを使用して、このアプリケーションの互換性設定を設定できます。If necessary, you can set this application compatibility setting by using the Set-AipServiceTemplateProperty cmdlet and the EnableInLegacyApps parameter.

  • テンプレートをラベルに変換またはリンクすると、多のラベルで利用できなくなります。When you convert or link a template to a label, it can no longer be used by other labels. また、このテンプレートは [保護テンプレート] セクションに表示されなくなりました。In addition, this template no longer displays in the Protection templates section.

  • [保護テンプレート] セクションからは新しいテンプレートを作成しません。You do not create a new template from the Protection templates section. 代わりに、保護設定を含むラベルを作成し、 [保護] ウィンドウで使用権限と設定を構成します。Instead, create a label that has the Protect setting, and configure the usage rights and settings from the Protection pane. 詳しい説明については、「新しいテンプレートを作成するには」をご覧ください。For full instructions, see To create a new template.

Azure Information Protection ポリシーでテンプレートを構成するにはTo configure the templates in the Azure Information Protection policy

  1. まだサインインしていない場合は、新しいブラウザー ウィンドウを開き、Azure Portal にサインインします。If you haven't already done so, open a new browser window and sign in to the Azure portal. 次に、 [Azure Information Protection ラベル] ウィンドウに移動します。Then navigate to the Azure Information Protection - Labels pane.

    たとえば、リソース、サービス、ドキュメントの検索ボックスで、「情報の入力を開始し、 [Azure Information Protection] を選択します。For example, in the search box for resources, services, and docs: Start typing Information and select Azure Information Protection.

  2. [分類 > ラベル] メニューオプションから: [Azure Information Protection ラベル] ウィンドウで [保護テンプレート] を展開し、構成するテンプレートを見つけます。From the Classifications > Labels menu option: On the Azure Information Protection - Labels pane, expand Protection templates, and then locate the template that you want to configure.

  3. テンプレートを選択し、 [ラベル] ウィンドウで、ラベルの表示名説明を編集することによって、必要に応じてテンプレートの名前と説明を変更できます。Select the template, and on the Label pane, you can change the template name and description if required, by editing the Label display name and Description. 次に、値がAzure (クラウドキー)保護を選択して [保護] ウィンドウを開きます。Then, select Protection that has a value of Azure (cloud key), to open the Protection pane.

  4. [保護] ウィンドウでは、アクセス許可、コンテンツの有効期限、およびオフラインアクセスの設定を変更できます。On the Protection pane, you can change the permissions, content expiration, and offline access settings. 保護設定の構成の詳細については、「Rights Management による保護でラベルを構成する方法」をご覧ください。For more information about configuring the protection settings, see How to configure a label for Rights Management protection

    [OK] をクリックして変更を保存し、 [ラベル] ウィンドウで [保存] をクリックします。Click OK to keep your changes, and on the Label pane, click Save.

注意

定義済みのテンプレートを使用するようにラベルを構成している場合は、 [保護] ウィンドウの [テンプレートの編集] ボタンを使用してテンプレートを編集することもできます。You can also edit a template by using the Edit Template button on the Protection pane if you have configured a label to use a predefined template. 選択したテンプレートを使っているラベルが他にない場合、このボタンはテンプレートをラベルに変換し、手順 5 に移動します。Providing no other label also uses the selected template, this button converts the template into a label, and takes you to step 5. テンプレートがラベルに変換される場合の処理について詳しくは、次のセクションをご覧ください。For more information about what happens when templates are converted to labels, see the next section.

テンプレートをラベルに変換するにはTo convert templates to labels

分類、ラベル付け、保護を含むサブスクリプションの場合は、テンプレートをラベルに変換できます。When you have a subscription that includes classification, labeling, and protection, you can convert a template to a label. テンプレートの変換を行った場合、元のテンプレートは保持されますが、Azure Portal では新しいラベルに含まれた形で元のテンプレートが表示されます。When you convert a template, the original template is retained but in the Azure portal, it now displays as included in a new label.

たとえば、マーケティング グループに使用権限を付与するマーケティングという名前のラベルに変換すると、Azure Portal では、マーケティングという名前の、同一の保護設定のラベルが表示されます。For example, if you convert a label named Marketing that grants usage rights to the marketing group, in the Azure portal it now displays as a label named Marketing that has the same protection settings. 新しく作成したこのラベルの保護設定を変更する場合は、テンプレートで変更します。このテンプレートを使用するすべてのユーザーまたはサービスには、次にテンプレートが更新されるときに、新しい保護設定が適用されます。If you change the protection settings in this newly created label, you're changing them in the template and any user or service that uses this template will get the new protection settings with the next template refresh.

すべてのテンプレートをラベルに変換する必要はありませんが、すべて変換すると、保護設定がラベルのすべての機能と完全に統合されるため、個別に設定を維持する必要がなくなります。There is no requirement to convert all your templates to labels, but when you do, the protection settings are fully integrated with the full functionality of labels so that you do not have to maintain the settings separately.

テンプレートをラベルに変換するには、テンプレートを右クリックして、 [ラベルに変換] を選択します。To convert a template into a label, right-click the template, and select Convert to label. または、コンテキスト メニューを使用してこのオプションを選択します。Alternatively, use the context-menu to select this option.

保護および定義済みテンプレートのラベルを構成するときに、 [テンプレートの編集] ボタンを使って、テンプレートをラベルに変換することもできます。You can also convert a template to a label when you configure a label for protection and a predefined template, by using the Edit Template button.

テンプレートをラベルに変換する場合When you convert a template to a label:

  • テンプレートの名前は新しいラベル名に変換され、テンプレートの説明はラベルのヒントに変換されます。The name of the template is converted to a new label name, and the template description is converted to the label tooltip.

  • テンプレートの状態が [公開済み] の場合、ラベルではこの設定が [有効] : [オン] にマップされ、Azure Information Protection ポリシーが次に公開されるときにこのラベルがユーザーに表示されます。If the status of the template was published, this setting maps to Enabled: On for the label, which now displays as this label to users when you next publish the Azure Information Protection policy. テンプレートの状態が [アーカイブ済み] の場合、ラベルではこの設定が [有効] : [オフ] にマップされ、ユーザーが使用できるラベルとして表示されません。If the status of the template was archived, this setting maps to Enabled: Off for the label and does not display as an available label to users.

  • 保護設定は保持され、必要に応じて編集できます。また、視覚的なマーカーや条件などのラベルの他の設定を追加することもできます。The protection settings are retained, and you can edit these if required, and also add other label settings such as visual markers and conditions.

  • 元のテンプレートは [保護テンプレート] に表示されなくなり、ラベルの保護の設定時に、事前定義済みテンプレートとして選択できません。The original template is no longer displayed in Protection templates and cannot be selected as a predefined template when you configure protection for a label. Azure Portal でこのテンプレートを編集するには、テンプレートの変換時に作成したラベルを編集します。To edit this template in the Azure portal, you now edit the label that was created when you converted the template. Azure Rights Management サービスではこれまで通りテンプレートを使用できるほか、PowerShell コマンドを使用してテンプレートを管理できます。The template remains available for the Azure Rights Management service, and can still be managed by using PowerShell commands.

新しいテンプレートを作成するにはTo create a new template

Azure (クラウド キー) の保護設定で新しいラベルを作成すると、この処理の裏では、Rights Management テンプレートと統合されるサービスとアプリケーションが次からアクセスできるようになる新しいカスタム テンプレートが作成されます。When you create a new label with the protection setting of Azure (cloud key), under the covers, this action creates a new custom template that can then be accessed by services and applications that integrate with Rights Management templates.

  1. [分類 > ラベル] メニューオプションから: [Azure Information Protection ラベル] ウィンドウで、 [新しいラベルの追加] を選択します。From the Classifications > Labels menu option: On the Azure Information Protection - Labels pane, select Add a new label.

  2. [ラベル] ウィンドウで、 [有効] : [オン] のままにして、テンプレート名と説明のラベル名と説明を入力します。On the Label pane, keep the default of Enabled: On, then enter a label name and description for the template name and description.

  3. [このラベルを含むドキュメントやメールに対するアクセス許可の設定] では、 [保護] を選択してから、再び [保護] を選択します。For Set permissions for documents and emails containing this label, select Protect, and then select Protection:

    Azure Information Protection ラベルの保護を構成する

  4. [保護] ウィンドウでは、アクセス許可、コンテンツの有効期限、およびオフラインアクセスの設定を変更できます。On the Protection pane, you can change the permissions, content expiration, and offline access settings. 保護設定の構成の詳細については、「Rights Management による保護でラベルを構成する方法」をご覧ください。For more information about configuring these protection settings, see How to configure a label for Rights Management protection

    [OK] をクリックして変更を保存し、 [ラベル] ウィンドウで [保存] をクリックします。Click OK to keep your changes, and on the Label pane, click Save.

    [Azure Information Protection ラベル] ウィンドウに新しいラベルが表示され、保護の設定が含まれていることが示されます。On the Azure Information Protection - Labels pane, you now see your new label displayed with the PROTECTION column to indicate that it contains protection settings. これらの保護設定は、Azure Rights Management サービスをサポートするアプリケーションとサービスに対してテンプレートとして表示されます。These protection settings display as templates to applications and services that support the Azure Rights Management service.

    ラベルは有効ですが (既定)、テンプレートはアーカイブされます。Although the label is enabled, by default, the template is archived. アプリケーションとサービスでテンプレートを使用してドキュメントや電子メールを保護できるようにするには、テンプレートを発行する最後の手順を完了します。So that applications and services can use the template to protect documents and emails, complete the final step to publish the template.

  5. [分類] > [ポリシー] メニュー オプションから、新しい保護設定を含むポリシーを選択します。From the Classifications > Policies menu option, select the policy to contain the new protection settings. 次に [ラベルの追加または削除] を選択します。Then select Add or remove labels. [ポリシー: ラベルの追加または削除] ウィンドウで、保護設定を含む新しく作成されたラベルを選択し、 [OK][保存] の順に選択します。From the Policy: Add or remove labels pane, select the newly created label that contains your protection settings, select OK, and then select Save.

次のステップNext steps

Azure Information Protection クライアントを実行しているコンピューターが変更された設定を取得するまで、最大で 15 分間かかる場合があります。It can take up to 15 minutes for a computer running the Azure Information Protection client to get these changed settings. コンピューターとサービスにテンプレートをダウンロードおよび更新する方法の詳細については、ユーザー用とサービス用のテンプレートの更新に関するページをご覧ください。For information about how computers and services download and refresh templates, see Refreshing templates for users and services.

テンプレートを作成し、管理するために Azure Portal でテンプレートで設定できたことはすべて、PowerShell を利用してできます。Everything that you can configure in the Azure portal to create and manage your templates, you can do by using PowerShell. また、PowerShell は、ポータルでは利用できないオプションも提供します。In addition, PowerShell provides more options that are not available in the portal. 詳細については、保護テンプレートの PowerShell リファレンスに関するページを参照してください。For more information, see PowerShell reference for protection templates.

Azure Information Protection ポリシーの構成の詳細については、「組織のポリシーの構成」セクションのリンクを使用してください。For more information about configuring your Azure Information Protection policy, use the links in the Configuring your organization's policy section.