Azure Information Protection の使用権限を構成するConfiguring usage rights for Azure Information Protection

適用対象: Azure Information ProtectionOffice 365Applies to: Azure Information Protection, Office 365

Azure Information Protection を使用してファイルまたは電子メールに対して Rights Management 保護を設定し、テンプレートを使用しない場合は、使用権限を自分で構成する必要があります。When you set Rights Management protection on files or emails by using Azure Information Protection and you do not use a template, you must configure the usage rights yourself. さらに、保護するテンプレートまたはラベルを構成するときに、ユーザー、管理者、または構成されたサービスによってテンプレートまたはラベルが選択されたときに自動的に適用される使用権限を選択します。In addition, when you configure templates or labels for protection, you select the usage rights that will then be automatically applied when the template or label is selected by users, administrators, or configured services. たとえば、Azure Portal では、使用権限の論理的なグループを構成するロールを選ぶことも、個別の権限を構成することもできます。For example, in the Azure portal you can select roles that configure a logical grouping of usage rights, or you can configure the individual rights.

この記事では、使用しているアプリケーションに対して必要な使用権限を構成する際に役立つ情報を提供すると共に、それらの権限がアプリケーションによってどのように解釈されるのかを説明します。Use this article to help you configure the usage rights you want for the application you’re using and understand how these rights are interpreted by applications.

注意

完全を期すため、この記事には 2018 年 1 月 8 日に廃止された Azure クラシック ポータルの値が含まれています。For completeness, this article includes values from the Azure classic portal, which was retired January 08, 2018.

新しいポータルへの移行については「Azure クラシック ポータルで行っていたタスク」を参照してください。To help you migrate to the new portal, see Tasks that you used to do with the Azure classic portal.

使用権限と説明Usage rights and descriptions

次の表では、Rights Management がサポートする使用権限を一覧表示して説明します。さらに、これらを使用し、解釈する方法も示します。The following table lists and describes the usage rights that Rights Management supports, and how they are used and interpreted. これらの権限は、表示または参照される使用権限がどのように表示される可能性があるかを示す共通名によって一覧表示されます。通常、コード内で使用される単一ワード値 (ポリシーでのエンコードの値) のより親しみやすいバージョンとして表示されます。They are listed by their common name, which is typically how you might see the usage right displayed or referenced, as a more friendly version of the single-word value that is used in the code (the Encoding in policy value).

API の定数または値は、MSIPC API 呼び出しの SDK 名であり、使用権限があるかどうかを確認したり、ポリシーに使用権限を追加したりする RMS 対応アプリケーションを記述するときに使用されます。The API Constant or Value is the SDK name for an MSIPC API call, used when you write an RMS-enlightened application that checks for a usage right, or adds a usage right to a policy.

使用権限Usage right [説明]Description 実装Implementation
共通名: コンテンツの編集、編集Common name: Edit Content, Edit

ポリシーでのエンコード: DOCEDITEncoding in policy: DOCEDIT
アプリケーション内のコンテンツの変更、再配置、書式設定、または並べ替えをユーザーに許可します。Allows the user to modify, rearrange, format, or sort the content inside the application. 編集済みのコピーを保存する権限は付与されません。It does not grant the right to save the edited copy.

Word では、バージョン 1807 以降の Office 365 ProPlus を持っていない限り、 [変更の追跡] をオンまたはオフにしたり、レビュー担当者として変更の追跡機能をすべて使用したりするには、この権限は十分ではありません。In Word, unless you have Office 365 ProPlus with a minimum version of 1807, this right isn't sufficient to turn on or turn off Track Changes, or to use all the track changes features as a reviewer. 代わりに、変更の追跡オプションをすべて使用するには、次の権限が必要です: フル コントロールInstead, to use all the track changes options requires the following right: Full Control.
Office カスタム権限: 変更フル コントロール オプションの一部。Office custom rights: As part of the Change and Full Control options.

Azure クラシック ポータルでの名前: コンテンツの編集Name in the Azure classic portal: Edit Content

Azure Portal での名前: コンテンツの編集、編集 (DOCEDIT)Name in the Azure portal: Edit Content, Edit (DOCEDIT)

AD RMS テンプレートでの名前: 編集Name in AD RMS templates: Edit

API の定数または値: 該当なし。API constant or value: Not applicable.
共通名: 保存Common name: Save

ポリシーでのエンコード: EDITEncoding in policy: EDIT
ドキュメントを現在の場所に保存することをユーザーに許可します。Allows the user to save the document to the current location.

Office アプリケーションでは、この権限により、ユーザーがドキュメントを変更してそれを新しい場所に保存することもできます。選択したファイル形式が Rights Management 保護をネイティブにサポートしている場合は、新しい名前でドキュメントが保存されます。In Office applications, this right also allows the user to modify the document and save it to a new location and a new name if the selected file format natively supports Rights Management protection. ファイル形式の制限により、ファイルから元の保護を削除することはできません。The file format restriction ensures that the original protection cannot be removed from the file.
Office カスタム権限: 変更フル コントロール オプションの一部。Office custom rights: As part of the Change and Full Control options.

Azure クラシック ポータルでの名前: ファイルの保存Name in the Azure classic portal: Save File

Azure Portal での名前: 保存 (EDIT)Name in the Azure portal: Save (EDIT)

AD RMS テンプレートでの名前: 保存Name in AD RMS templates: Save

API の定数または値: IPC_GENERIC_WRITE L"EDIT"API constant or value: IPC_GENERIC_WRITE L"EDIT"
共通名: コメントCommon name: Comment

ポリシーでのエンコード: COMMENTEncoding in policy: COMMENT
コンテンツに注釈やコメントを追加するオプションを有効にします。Enables the option to add annotations or comments to the content.

この権限は SDK で使用でき、Azure Information Protection と Windows PowerShell の RMS 保護モジュールでアドホック ポリシーとして使用できます。また、いくつかのソフトウェア ベンダーのアプリケーションに実装されています。This right is available in the SDK, is available as an ad-hoc policy in the AzureInformationProtection and RMS Protection module for Windows PowerShell, and has been implemented in some software vendor applications. ただし広く使用されてはおらず、Office アプリケーションでは現在のところサポートされていません。However, it is not widely used and is not currently supported by Office applications.
Office カスタム権限: 実装されていません。Office custom rights: Not implemented.

Azure クラシック ポータルでの名前: 実装されていません。Name in the Azure classic portal: Not implemented.

Azure ポータルでの名前: 実装されていません。Name in the Azure portal: Not implemented.

AD RMS テンプレートでの名前: 実装されていません。Name in AD RMS templates: Not implemented.

API の定数または値: IPC_GENERIC_COMMENT L"COMMENTAPI constant or value: IPC_GENERIC_COMMENT L"COMMENT
共通名: 名前を付けて保存、エクスポートCommon name: Save As, Export

ポリシーでのエンコード: EXPORTEncoding in policy: EXPORT
別のファイル名でコンテンツを保存するオプション (名前を付けて保存) を有効にします。Enables the option to save the content to a different file name (Save As).

Azure Information Protection クライアントについては、ファイルを保護なしで保存し、新しい設定とアクセス許可で再保護することができます。For the Azure Information Protection client, the file can be saved without protection, and also reprotected with new settings and permissions. 許可されているこれらの操作は、この権限を持つユーザーが保護されたドキュメントまたは電子メールから Azure Information Protection ラベルを変更または削除できることを意味します。These permitted actions mean that a user who has this right can change or remove an Azure Information Protection label from a protected document or email.

この権限は、アプリケーションでその他のエクスポート オプション ( [OneNote に送る] など) を実行することもユーザーに許可します。This right also allows the user to perform other export options in applications, such as Send to OneNote.
Office カスタム権限: フル コントロール オプションの一部。Office custom rights: As part of the Full Control option.

Azure クラシック ポータルでの名前: コンテンツのエクスポート (名前を付けて保存)Name in the Azure classic portal: Export Content (Save As)

Azure Portal での名前: 名前を付けて保存、エクスポート (EXPORT)Name in the Azure portal: Save As, Export (EXPORT)

AD RMS テンプレートでの名前: エクスポート (名前を付けて保存)Name in AD RMS templates: Export (Save As)

API の定数または値: IPC_GENERIC_EXPORT L"EXPORT"API constant or value: IPC_GENERIC_EXPORT L"EXPORT"
共通名: 転送Common name: Forward

ポリシーでのエンコード: FORWARDEncoding in policy: FORWARD
電子メール メッセージの転送、 [宛先][CC] 行への受信者の追加を行うオプションを有効にします。Enables the option to forward an email message and to add recipients to the To and Cc lines. この権限は、ドキュメントには適用されません。メール メッセージだけに適用されます。This right does not apply to documents; only email messages.

転送操作の一部として転送者が他のユーザーに権限を付与することは許可しません。Does not allow the forwarder to grant rights to other users as part of the forward action.

この権限を付与するときは、保護されたメール メッセージが添付ファイルとして転送されないように、コンテンツの編集、編集権限 (共通名) と、さらに保存権限 (共通名) も付与します。When you grant this right, also grant the Edit Content, Edit right (common name), and additionally grant the Save right (common name) to ensure that the protected email message is not delivered as an attachment. これらの権限は、Outlook クライアントまたは Outlook Web アプリを利用する別の組織に電子メールを送信するときにも指定します。Also specify these rights when you send an email to another organization that uses the Outlook client or Outlook web app. または、オンボードコントロールを実装しているため Rights Management 保護の使用を除外している組織内のユーザーの場合。Or, for users in your organization that are exempt from using Rights Management protection because you have implemented onboarding controls.
Office カスタム権限: 転送不可標準ポリシーを使用すると拒否されます。Office custom rights: Denied when using the Do Not Forward standard policy.

Azure クラシック ポータルでの名前: 転送Name in the Azure classic portal: Forward

Azure Portal での名前: 転送 (FORWARD)Name in the Azure portal: Forward (FORWARD)

AD RMS テンプレートでの名前: 転送Name in AD RMS templates: Forward

API の定数または値: IPC_EMAIL_FORWARD L"FORWARD"API constant or value: IPC_EMAIL_FORWARD L"FORWARD"
共通名: フル コントロールCommon name: Full Control

ポリシーでのエンコード: OWNEREncoding in policy: OWNER
ドキュメントに対するすべての権限を付与します。利用可能なすべての操作を実行できます。Grants all rights to the document and all available actions can be performed.

ドキュメントの保護解除と再保護の能力も含まれます。Includes the ability to remove protection and reprotect a document.

この使用権限は Rights Management 所有者とは同じではありません。Note that this usage right is not the same as the Rights Management owner.
Office カスタム権限: フル コントロール カスタム オプション。Office custom rights: As the Full Control custom option.

Azure クラシック ポータルでの名前: フル コントロールName in the Azure classic portal: Full Control

Azure Portal での名前: フル コントロール (OWNER)Name in the Azure portal: Full Control (OWNER)

AD RMS テンプレートでの名前: フル コントロールName in AD RMS templates: Full Control

API の定数または値: IPC_GENERIC_ALL L"OWNER"API constant or value: IPC_GENERIC_ALL L"OWNER"
共通名: 印刷Common name: Print

ポリシーでのエンコード: PRINTEncoding in policy: PRINT
コンテンツを印刷するオプションを有効にします。Enables the options to print the content. Office カスタム権限: カスタム アクセス許可のコンテンツの印刷オプション。Office custom rights: As the Print Content option in custom permissions. 受信者単位の設定ではありません。Not a per-recipient setting.

Azure クラシック ポータルでの名前: 印刷Name in the Azure classic portal: Print

Azure Portal での名前: 印刷 (PRINT)Name in the Azure portal: Print (PRINT)

AD RMS テンプレートでの名前: 印刷Name in AD RMS templates: Print

API の定数または値: IPC_GENERIC_PRINT L"PRINT"API constant or value: IPC_GENERIC_PRINT L"PRINT"
共通名: 返信Common name: Reply

ポリシーでのエンコード: REPLYEncoding in policy: REPLY
メール クライアントの [返信] オプションを有効にします。ただし、 [宛先] または [CC] 行に対する変更は許可しません。Enables the Reply option in an email client, without allowing changes in the To or Cc lines.

この権限を付与するときは、保護されたメール メッセージが添付ファイルとして転送されないように、コンテンツの編集、編集権限 (共通名) と、さらに保存権限 (共通名) も付与します。When you grant this right, also grant the Edit Content, Edit right (common name), and additionally grant the Save right (common name) to ensure that the protected email message is not delivered as an attachment. これらの権限は、Outlook クライアントまたは Outlook Web アプリを利用する別の組織に電子メールを送信するときにも指定します。Also specify these rights when you send an email to another organization that uses the Outlook client or Outlook web app. または、オンボードコントロールを実装しているため Rights Management 保護の使用を除外している組織内のユーザーの場合。Or, for users in your organization that are exempt from using Rights Management protection because you have implemented onboarding controls.
Office カスタム権限: 該当なし。Office custom rights: Not applicable.

Azure クラシック ポータルでの名前: 返信Name in the Azure classic portal: Reply

Azure クラシック ポータルでの名前: 返信 (REPLY)Name in the Azure classic portal: Reply (REPLY)

AD RMS テンプレートでの名前: 返信Name in AD RMS templates: Reply

API の定数または値: IPC_EMAIL_REPLYAPI constant or value: IPC_EMAIL_REPLY
共通名: 全員に返信Common name: Reply All

ポリシーでのエンコード: REPLYALLEncoding in policy: REPLYALL
メール クライアントの [全員に返信] オプションを有効にします。ただし、 [宛先] または [CC] 行への受信者の追加はユーザーに許可しません。Enables the Reply All option in an email client, but doesn’t allow the user to add recipients to the To or Cc lines.

この権限を付与するときは、保護されたメール メッセージが添付ファイルとして転送されないように、コンテンツの編集、編集権限 (共通名) と、さらに保存権限 (共通名) も付与します。When you grant this right, also grant the Edit Content, Edit right (common name), and additionally grant the Save right (common name) to ensure that the protected email message is not delivered as an attachment. これらの権限は、Outlook クライアントまたは Outlook Web アプリを利用する別の組織に電子メールを送信するときにも指定します。Also specify these rights when you send an email to another organization that uses the Outlook client or Outlook web app. または、オンボードコントロールを実装しているため Rights Management 保護の使用を除外している組織内のユーザーの場合。Or, for users in your organization that are exempt from using Rights Management protection because you have implemented onboarding controls.
Office カスタム権限: 該当なし。Office custom rights: Not applicable.

Azure クラシック ポータルでの名前: 全員に返信Name in the Azure classic portal: Reply All

Azure Portal での名前: 全員に返信 (REPLY ALL)Name in the Azure portal: Reply All (REPLY ALL)

AD RMS テンプレートでの名前: 全員に返信Name in AD RMS templates: Reply All

API の定数または値: IPC_EMAIL_REPLYALL L"REPLYALL"API constant or value: IPC_EMAIL_REPLYALL L"REPLYALL"
共通名: 表示、開く、読み取りCommon name: View, Open, Read

ポリシーでのエンコード: VIEWEncoding in policy: VIEW
ドキュメントを開き、内容を表示することをユーザーに許可します。Allows the user to open the document and see the content.

Excel の場合、データを並べ替えるには、この権限は十分ではありません。次の権限が必要です: コンテンツの編集、編集In Excel, this right isn't sufficient to sort data, which requires the following right: Edit Content, Edit. Excel でデータをフィルター処理するには、次の 2 つの権限が必要です: コンテンツの編集、編集およびコピーTo filter data in Excel, you need the following two rights: Edit Content, Edit and Copy.
Office カスタム権限: 読み取りカスタムポリシー、表示オプション。Office custom rights: As the Read custom policy, View option.

Azure クラシック ポータルでの名前: 表示Name in the Azure classic portal: View

Azure Portal での名前:表示、開く、読み取り (VIEW)Name in the Azure portal: View, Open, Read (VIEW)

AD RMS テンプレートでの名前: 読み取りName in AD RMS templates: Read

API の定数または値: IPC_GENERIC_READ L"VIEW"API constant or value: IPC_GENERIC_READ L"VIEW"
共通名: コピーCommon name: Copy

ポリシーでのエンコード: EXTRACTEncoding in policy: EXTRACT
ドキュメントのデータ (画面キャプチャを含む) を同じドキュメントまたは別のドキュメントにコピーするオプションを有効にします。Enables options to copy data (including screen captures) from the document into the same or another document.

一部のアプリケーションでは、ドキュメント全体を保護されていない形式で保存することも許可されます。In some applications, it also allows the whole document to be saved in unprotected form.

Skype for Business のような画面共有アプリケーションでは、プレゼンターは、保護されたドキュメントを正常に表示するために、この権限を持っている必要があります。In Skype for Business and similar screen-sharing applications, the presenter must have this right to successfully present a protected document. プレゼンターがこの権限を持っていない場合は、参加者はドキュメントを表示することができず、黒塗りで表示されます。If the presenter does not have this right, the attendees cannot view the document and it displays as blacked out to them.
Office カスタム権限: [閲覧の権限を持つユーザーが、コンテンツをコピーすることを許可する] カスタム ポリシー オプションと同様。Office custom rights: As the Allow users with Read access to copy content custom policy option.

Azure クラシック ポータルでの名前: コンテンツのコピーと抽出Name in the Azure classic portal: Copy and Extract content

Azure Portal での名前: コピー (EXTRACT)Name in the Azure portal: Copy (EXTRACT)

AD RMS テンプレートでの名前: ExtractName in AD RMS templates: Extract

API の定数または値: IPC_GENERIC_EXTRACT L"EXTRACT"API constant or value: IPC_GENERIC_EXTRACT L"EXTRACT"
共通名: 権限の表示Common name: View Rights

ポリシーでのエンコード: VIEWRIGHTSDATAEncoding in policy: VIEWRIGHTSDATA
ドキュメントに適用されたポリシーを表示することをユーザーに許可します。Allows the user to see the policy that is applied to the document. Office カスタム権限: 実装されていません。Office custom rights: Not implemented.

Azure クラシック ポータルでの名前: 割り当てられた権限の表示Name in the Azure classic portal: View Assigned Rights

Azure Portal での名前: 権限の表示 (VIEWRIGHTSDATA)Name in the Azure portal: View Rights (VIEWRIGHTSDATA).

AD RMS テンプレートでの名前: 権限の表示Name in AD RMS templates: View Rights

API の定数または値: IPC_READ_RIGHTS L"VIEWRIGHTSDATA"API constant or value: IPC_READ_RIGHTS L"VIEWRIGHTSDATA"
共通名: 権限の変更Common name: Change Rights

ポリシーでのエンコード: EDITRIGHTSDATAEncoding in policy: EDITRIGHTSDATA
ドキュメントに適用されたポリシーを変更することをユーザーに許可します。Allows the user to change the policy that is applied to the document. 保護の削除などを含みます。Includes including removing protection. Office カスタム権限: 実装されていません。Office custom rights: Not implemented.

Azure クラシック ポータルでの名前: 権限の変更Name in the Azure classic portal: Change Rights

Azure Portal での名前: 権限の編集 (EDITRIGHTSDATA)Name in the Azure portal: Edit Rights (EDITRIGHTSDATA).

AD RMS テンプレートでの名前: 権限の編集Name in AD RMS templates: Edit Rights

API の定数または値: PC_WRITE_RIGHTS L"EDITRIGHTSDATA"API constant or value: PC_WRITE_RIGHTS L"EDITRIGHTSDATA"
共通名: マクロの許可Common name: Allow Macros

ポリシーでのエンコード: OBJMODELEncoding in policy: OBJMODEL
マクロを実行したり、その他のプログラムまたはリモートからのドキュメント内のコンテンツへのアクセスを実行したりするオプションを有効にします。Enables the option to run macros or perform other programmatic or remote access to the content in a document. Office カスタム権限: [プログラムによるアクセスを許可] カスタム ポリシー オプションと同様。Office custom rights: As the Allow Programmatic Access custom policy option. 受信者単位の設定ではありません。Not a per-recipient setting.

Azure クラシック ポータルでの名前: マクロの許可Name in the Azure classic portal: Allow Macros

Azure Portal での名前: マクロの許可 (OBJMODEL)Name in the Azure portal: Allow Macros (OBJMODEL)

AD RMS テンプレートでの名前: マクロの許可Name in AD RMS templates: Allow Macros

API の定数または値: 実装されていません。API constant or value: Not implemented.

アクセス許可レベルに含まれる権限Rights included in permissions levels

一部のアプリケーションは、通常は一緒に使用される使用権限を選択しやすくために、使用権限をまとめてアクセス許可レベルにグループ化します。Some applications group usage rights together into permissions levels, to make it easier to select usage rights that are typically used together. これらのアクセス許可レベルは、役割ベースのオプションを選択できるように、ユーザーからの複雑さのレベルを抽象化するのに役立ちます。These permissions levels help to abstract a level of complexity from users, so they can choose options that are role-based. たとえば、レビュー担当者共同作成者などがあります。For example, Reviewer and Co-Author. 多くの場合、これらのオプションではユーザーに対して権限の概要が表示されますが、前の表に記載されているすべての権限が含まれるとは限りません。Although these options often show users a summary of the rights, they might not include every right that is listed in the previous table.

これらのアクセス許可レベルの一覧、および含まれる使用権限の完全な一覧については、次の表を使用してください。Use the following table for a list of these permissions levels and a complete list of the usage rights that they contain. 使用権限は、共通名で一覧表示されています。The usage rights are listed by their common name.

アクセス許可レベルPermissions level アプリケーションApplications 含まれる使用権限Usage rights included
表示者Viewer Azure クラシック ポータルAzure classic portal

Azure Portal を比較してデバイス コンプライアンス ポリシーを使用するAzure portal

Windows 用 Azure Information Protection クライアントAzure Information Protection client for Windows
表示、開く、読み取り、権限の表示、返信 [1]、全員に返信 [1]、マクロの許可 [2]View, Open, Read; View Rights; Reply [1]; Reply All [1]; Allow Macros [2]

注: 電子メールの場合、電子メールの返信が添付ファイルではなく電子メール メッセージとして受信されるように、このアクセス許可レベルではなく、レビュー担当者を利用します。Note: For emails, use Reviewer rather than this permission level to ensure that an email reply is received as an email message rather than an attachment. レビュー担当者は、Outlook クライアントまたは Outlook Web アプリを利用する別の組織に電子メールを送信するときにも必要になります。Reviewer is also required when you send an email to another organization that uses the Outlook client or Outlook web app. または、オンボーディング制御を実装しているため、Azure Rights Management サービスの使用対象から除外されている組織内のユーザーに適用されます。Or, for users in your organization that are exempt from using the Azure Rights Management service because you have implemented onboarding controls.
レビュー担当者Reviewer Azure クラシック ポータルAzure classic portal

Azure Portal を比較してデバイス コンプライアンス ポリシーを使用するAzure portal

Windows 用 Azure Information Protection クライアントAzure Information Protection client for Windows
表示、開く、読み取り、保存、コンテンツの編集、編集、権限の表示、返信、全員に返信 [3]、転送 [3]、マクロの許可 [2]View, Open, Read; Save; Edit Content, Edit; View Rights; Reply: Reply All [3]; Forward [3]; Allow Macros [2]
共同作成者Co-Author Azure クラシック ポータルAzure classic portal

Azure Portal を比較してデバイス コンプライアンス ポリシーを使用するAzure portal

Windows 用 Azure Information Protection クライアントAzure Information Protection client for Windows
表示、開く、読み取り、保存、コンテンツの編集、編集、コピー、権限の表示、マクロの許可、名前を付けて保存、エクスポート [4]、印刷、返信 [3]、全員に返信 [3]、転送 [3]View, Open, Read; Save; Edit Content, Edit; Copy; View Rights; Allow Macros; Save As, Export [4]; Print; Reply [3]; Reply All [3]; Forward [3]
共同所有者Co-Owner Azure クラシック ポータルAzure classic portal

Azure Portal を比較してデバイス コンプライアンス ポリシーを使用するAzure portal

Windows 用 Azure Information Protection クライアントAzure Information Protection client for Windows
表示、開く、読み取り、保存、コンテンツの編集、編集、コピー、権限の表示、権限の変更、マクロの許可、名前を付けて保存、エクスポート、印刷、返信 [3]、全員に返信 [3]、転送 [3]、フル コントロールView, Open, Read; Save; Edit Content, Edit; Copy; View Rights; Change Rights; Allow Macros; Save As, Export; Print; Reply [3]; Reply All [3]; Forward [3]; Full Control

脚注 1:Footnote 1

Azure Portal には含まれていません。Not included in the Azure portal.

脚注 2Footnote 2

Windows 用 Azure Information Protection クライアントの場合、この権限は、Office アプリケーションの Information Protection バーで現在必要です。For the Azure Information Protection client for Windows, this right is currently required for the Information Protection bar in Office apps.

脚注 3Footnote 3

Windows 用 Azure Information Protection クライアントには適用されません。Not applicable to the Azure Information Protection client for Windows.

脚注 4Footnote 4

Azure Portal または Windows 用 Azure Information Protection クライアントには含まれていません。Not included in the Azure portal or the Azure Information Protection client for Windows.

既定のテンプレートに含まれる権限Rights included in the default templates

次の表は、既定のテンプレートを作成したときに含まれる使用権限を一覧表示しています。The following table lists the usage rights that are included when the default templates are created. 使用権限は、共通名で一覧表示されています。The usage rights are listed by their common name.

これらの既定のテンプレートは、サブスクリプションを購入すると作成されます。Azure Portal で、名前と使用権限を変更することができます。These default templates are created when your subscription was purchased, and the names and usage rights can be changed in the Azure portal.

テンプレートの表示名Display name of template 使用権限 (2017 年 10 月 6 日から現在)Usage rights October 6, 2017 to current date 使用権限 (2017 年 10 月 6 日より前)Usage rights before October 6, 2017
<組織名> - 社外秘、表示のみ<organization name> - Confidential View Only

またはor

非常に機密性の高い社外秘 \ すべての従業員Highly Confidential \ All Employees
表示、開く、読み取り、コピー、権限の表示、マクロの許可、印刷、転送、返信、全員に返信、保存、コンテンツの編集、編集View, Open, Read; Copy; View Rights; Allow Macros; Print; Forward; Reply; Reply All; Save; Edit Content, Edit 表示、開く、読み取りView, Open, Read
<組織名> - 社外秘<organization name>- Confidential

またはor

社外秘 \ すべての従業員Confidential \ All Employees
表示、開く、読み取り、名前を付けて保存、エクスポート、コピー、権限の表示、権限の変更、マクロの許可、印刷、転送、返信、全員に返信、保存、コンテンツの編集、編集、フル コントロールView, Open, Read; Save As, Export; Copy; View Rights; Change Rights; Allow Macros; Print; Forward; Reply; Reply All; Save; Edit Content, Edit; Full Control 表示、開く、読み取り、名前を付けて保存、エクスポート、コンテンツの編集、編集、権限の表示、マクロの許可、転送、返信、全員に返信View, Open, Read; Save As, Export; Edit Content, Edit; View Rights; Allow Macros; Forward; Reply; Reply All

電子メールの [転送不可] オプションDo Not Forward option for emails

Exchange のクライアントとサービス (Outlook クライアント、Outlook on the web、Exchange メール フロー ルール、Exchange の DLP アクションなど) には、 [転送不可] というメール用の追加の情報権限保護オプションがあります。Exchange clients and services (for example, the Outlook client, Outlook on the web, Exchange mail flow rules, and DLP actions for Exchange) have an additional information rights protection option for emails: Do Not Forward.

このオプションは、選択できる既定の Rights Management テンプレートのようにユーザー (と Exchange 管理者) には見えますが、 [転送不可] はテンプレートではありません。Although this option appears to users (and Exchange administrators) as if it's a default Rights Management template that they can select, Do Not Forward is not a template. そのため、保護テンプレートを参照および管理するとき、Azure Portal には表示されません。That explains why you cannot see it in the Azure portal when you view and manage protection templates. [転送不可] オプションは、ユーザーが電子メール受信者に動的に適用する使用権限の集合です。Instead, the Do Not Forward option is a set of usage rights that is dynamically applied by users to their email recipients.

[転送不可] オプションが電子メールに適用される場合、電子メールが暗号化され、受信者は認証される必要があります。When the Do Not Forward option is applied to an email, the email is encrypted and recipients must be authenticated. その結果、受信者はメールの転送、印刷、またはコピーを実行できなくなります。Then, the recipients cannot forward it, print it, or copy from it. たとえば、Outlook クライアントでは、[転送] ボタンが利用できなくなり、 [名前を付けて保存] および [印刷] メニュー オプションが利用できなくなり、 [宛先][Cc][Bcc] ボックスの受信者を追加したり、変更したりすることができなくなります。For example, in the Outlook client, the Forward button is not available, the Save As and Print menu options are not available, and you cannot add or change recipients in the To, Cc, or Bcc boxes.

メールに添付されている保護されていない Office ドキュメントは、自動的に同じ制限を継承します。Unprotected Office documents that are attached to the email automatically inherit the same restrictions. これらのドキュメントに適用される使用権限は、コンテンツの編集、編集保存表示、開く、読み取りマクロの許可です。The usage rights applied to these documents are Edit Content, Edit; Save; View, Open, Read; and Allow Macros. 添付ファイルに別の使用権限を使用する場合または添付ファイルがこの継承された保護をサポートする Office ドキュメントでない場合、電子メールに添付する前に、ファイルを保護する必要があります。If you want different usage rights for an attachment, or your attachment is not an Office document that supports this inherited protection, protect the file before you attach it to the email. それからファイルに必要な特定の使用権限を割り当てることができます。You can then assign the specific usage rights that you need for the file.

転送不可と転送の使用権限を付与しないことの違いDifference between Do Not Forward and not granting the Forward usage right

[転送不可] オプションの適用と電子メールに転送使用権限を与えないテンプレートの適用には重要な違いがあります。 [転送不可] オプションの場合、元の電子メールでユーザーが選択した受信者に基づく、許可されたユーザーの動的なリストが使用されます。テンプレートの権限の場合、管理者が前もって指定した許可されたユーザーの静的なリストが使用されます。There's an important distinction between applying the Do Not Forward option and applying a template that doesn't grant the Forward usage right to an email: The Do Not Forward option uses a dynamic list of authorized users that is based on the user's chosen recipients of the original email; whereas the rights in the template have a static list of authorized users that the administrator has previously specified. 違いは何ですか。What's the difference? 例を見てみましょう。Let's take an example:

あるユーザーがいくつかの情報をマーケティング部署の一部の人たちに電子メールで送信します。それ以外の人とこの情報を共有することは許されません。A user wants to email some information to specific people in the Marketing department that shouldn't be shared with anybody else. 権限 (表示、返信、保存) をマーケティング部署に限定するテンプレートで電子メールを保護するべきでしょうか。Should she protect the email with a template that restricts rights (viewing, replying, and saving) to the Marketing department? それとも、 [転送不可] オプションを選択するべきでしょうか。Or should she choose the Do Not Forward option? いずれの場合でも、受信者は電子メールを転送できません。Both choices would result in the recipients not able to forward the email.

  • テンプレートを適用した場合、受信者はマーケティング部署の他の人と情報を共有できる可能性があります。If she applied the template, the recipients could still share the information with others in the marketing department. たとえば、エクスプローラーを利用し、電子メールを共有の場所や USB ドライブにドラッグアンドドロップできます。For example, a recipient could use Explorer to drag and drop the email to a shared location or a USB drive. マーケティング部署の人 (と電子メールの作成者) でこの場所にアクセスできる人であれば、誰でも電子メールの情報を見ることができます。Now, anybody from the marketing department (and the email owner) who has access to this location can view the information in the email.

  • [転送不可] オプションを適用した場合、受信者は電子メールを別の場所に移すことができず、マーケティング部署の他の人と情報を共有することができません。If she applied the Do Not Forward option, the recipients will not be able to share the information with anybody else in the marketing department by moving the email to another location. この場合、元の受信者 (と電子メールの作成者) だけが電子メールの情報を見ることができます。In this scenario, only the original recipients (and the email owner) will be able to view the information in the email.

注意

送信者が選択した受信者だけに電子メールの情報の閲覧を許可することが重要である場合、 [転送不可] を使用してください。Use Do Not Forward when it's important that only the recipients that the sender chooses should see the information in the email. 送信者が選択した受信者に関係なく、管理者が前もって指定したユーザー グループに権限を制限するとき、電子メールのテンプレートを使用します。Use a template for emails to restrict rights to a group of people that the administrator specifies in advance, independently from the sender's chosen recipients.

電子メールの暗号化のみオプションEncrypt-Only option for emails

Exchange Online で Office 365 Message Encryption の新機能を使用する場合、新しい電子メール オプション (暗号化のみ) を利用できます。When Exchange Online uses the new capabilities for Office 365 Message Encryption, a new email option becomes available: Encrypt-Only.

このオプションは、Exchange Online を使用するテナントが利用可能であり、Outlook on the web でメール フロー ルールの別の権利保護オプションとして、Office 365 の DLP アクションとして、および Outlook (Office 365 ProPlus の最小バージョン 1804、および Azure RMS をサポートする Office 365 アプリがある場合は、最小バージョン 1805) から選択することができます。This option is available to tenants who use Exchange Online and can be selected in Outlook on the web, as another rights protection option for a mail flow rule, as an Office 365 DLP action, and from Outlook (minimum version of 1804 for Office 365 ProPlus, and minimum version of 1805 when you have Office 365 apps that support Azure RMS. [暗号化のみ] オプションの詳細については、Office チームの次のブログ投稿のお知らせを参照してください。 office 365 Message Encryption でのロールアウトのみを暗号化します。For more information about the Encrypt-Only option, see the following blog post announcement from the Office team: Encrypt only rolling out in Office 365 Message Encryption.

このオプションが選択されると、電子メールが暗号化され、受信者は認証される必要があります。When this option is selected, the email is encrypted and recipients must be authenticated. すると、受信者には名前を付けて保存、エクスポートフル コントロールを除くすべての使用権限が割り当てられます。Then, the recipients have all usage rights except Save As, Export and Full Control. この使用権限の組み合わせは、保護を削除できないこと以外は、受信者には制限がないということです。This combination of usage rights means that the recipients have no restrictions except that they cannot remove the protection. たとえば、受信者は電子メールをコピー、印刷、および転送することができます。For example, a recipient can copy from the email, print it, and forward it.

同様に、既定では、メールに添付されている保護されていない Office ドキュメントも同じアクセス許可を継承します。Similarly, by default, unprotected Office documents that are attached to the email inherit the same permissions. これらのドキュメントは自動的に保護されます。これらをダウンロードしたら、受信者は Office アプリケーションから保存、編集、コピーおよび印刷することができます。These documents are automatically protected and when they are downloaded, they can be saved, edited, copied, and printed from Office applications by the recipients. 受信者が文書を保存する場合、新しい名前で保存できます。このとき、別の形式で保存することも可能です。When the document is saved by a recipient, it can be saved to a new name and even a different format. ただし、元の保護でドキュメントを保存できるよう、保護をサポートするファイル形式のみを使用できます。However, only file formats that support protection are available so that the document cannot be saved without the original protection. 添付ファイルに別の使用権限を使用する場合または添付ファイルがこの継承された保護をサポートする Office ドキュメントでない場合、電子メールに添付する前に、ファイルを保護する必要があります。If you want different usage rights for an attachment, or your attachment is not an Office document that supports this inherited protection, protect the file before you attach it to the email. それからファイルに必要な特定の使用権限を割り当てることができます。You can then assign the specific usage rights that you need for the file.

または、Exchange Online PowerShellSet-IRMConfiguration -DecryptAttachmentForEncryptOnly $true を指定して、このドキュメントの保護継承を変更することができます。Alternatively, you can change this protection inheritance of documents by specifying Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true with Exchange Online PowerShell. ユーザーの認証後にドキュメントの元の保護を保持する必要がない場合は、この構成を使用します。Use this configuration when you don't need to retain the original protection for the document after the user is authenticated. 受信者が電子メール メッセージを開く際に、ドキュメントは保護されません。When recipients open the email message, the document is not protected.

元の保護を保持するために添付されたドキュメントが必要な場合は、「Azure Information Protection を使用したセキュアなドキュメント コラボレーション」をご覧ください。If you do need an attached document to retain the original protection, see Secure document collaboration by using Azure Information Protection.

注: DecryptAttachmentFromPortalへの参照が表示されている場合、このパラメーターは、 Set irmconfigurationでは非推奨となりました。Note: If you see references to DecryptAttachmentFromPortal, this parameter is now deprecated for Set-IRMConfiguration. このパラメーターを以前に設定したことがない場合は使用できません。Unless you have previously set this parameter, it is not available.

PDF ドキュメントを Exchange Online で自動的に暗号化するAutomatically encrypt PDF documents with Exchange Online

Exchange Online で Office 365 Message Encryption の新機能を使用すると、暗号化された電子メールに添付されている場合、保護されていない PDF ドキュメントを自動的に暗号化することができます。When Exchange Online uses the new capabilities for Office 365 Message Encryption, you can automatically encrypt unprotected PDF documents when they are attached to an encrypted email. ドキュメントは、電子メールメッセージと同じ権限を継承します。The document inherits the same permissions as those for the email message. この構成を有効にするには、 set-IRMConfigurationを使用してEnablePdfEncryption $Trueを設定します。To enable this configuration, set EnablePdfEncryption $True with Set-IRMConfiguration.

ISO 規格の PDF 暗号化をサポートするリーダーがまだインストールされていない受信者は、 Microsoft Information Protection をサポートする pdf リーダーに記載されているいずれかのリーダーをインストールできます。Recipients who don't already have a reader installed that supports the ISO standard for PDF encryption can install one of the readers listed in PDF readers that support Microsoft Information Protection. または、OME ポータルで、保護された PDF ドキュメントを受信者が読み取ることができます。Alternatively, recipients can read the protected PDF document in the OME portal.

Rights Management 発行者と Rights Management 所有者Rights Management issuer and Rights Management owner

ドキュメントまたは電子メールが Azure Rights Management サービスで保護されているとき、そのコンテンツを保護するアカウントはそのコンテンツの Rights Management 発行者に自動的になります。When a document or email is protected by using the Azure Rights Management service, the account that protects that content automatically becomes the Rights Management issuer for that content. このアカウントは利用状況ログ発行者フィールドとして記録されます。This account is logged as the issuer field in the usage logs.

Rights Management 発行者には常にドキュメントまたは電子メールのフル コントロール使用権限が与えられます。さらに、次の操作が可能です。The Rights Management issuer is always granted the Full Control usage right for the document or email, and in addition:

  • 保護設定に有効期限が含まれる場合、Rights Management 発行者はその日付の後でもドキュメントまたは電子メールを開き、編集できます。If the protection settings include an expiry date, the Rights Management issuer can still open and edit the document or email after that date.

  • Rights Management 発行者は常にドキュメントまたは電子メールにオフラインでアクセスできます。The Rights Management issuer can always access the document or email offline.

  • Rights Management 発行者は取り消した後もドキュメントを開くことができます。The Rights Management issuer can still open a document after it is revoked.

既定では、このアカウントはそのコンテンツの Rights Management 所有者でもあります。Rights Management 所有者であれば、ドキュメントまたは電子メールを作成したユーザーが保護を開始します。By default, this account is also the Rights Management owner for that content, which is the case when a user who created the document or email initiates the protection. ただし、管理者またはサービスがユーザーの代わりにコンテンツを保護できるシナリオもあります。But there are some scenarios where an administrator or service can protect content on behalf of users. たとえば、次のようになります。For example:

  • 管理者がファイル共有のファイルを一括保護する: Azure AD の管理者アカウントでユーザーのドキュメントを保護します。An administrator bulk-protects files on a file share: The administrator account in Azure AD protects the documents for the users.

  • Rights Management コネクタが Windows Server フォルダーの Office ドキュメントを保護する: RMS コネクタに作成された Azure AD のサービス プリンシパル アカウントでユーザーのドキュメントを保護します。The Rights Management connector protects Office documents on a Windows Server folder: The service principal account in Azure AD that is created for the RMS connector protects the documents for the users.

以上のシナリオでは、Rights Management 発行者は Azure Information Protection SDK または PowerShell を利用して Rights Management 所有者を別のアカウントに割り当てることができます。In these scenarios, the Rights Management issuer can assign the Rights Management owner to another account by using the Azure Information Protection SDKs or PowerShell. たとえば、Azure Information Protection クライアントで Protect-RMSFile PowerShell コマンドレットを使用するとき、OwnerEmail パラメーターを指定し、Rights Management 所有者を別のアカウントに割り当てることができます。For example, when you use the Protect-RMSFile PowerShell cmdlet with the Azure Information Protection client, you can specify the OwnerEmail parameter to assign the Rights Management owner to another account.

ユーザーの代わりに Rights Management 発行者が保護するとき、Rights Management 所有者を割り当てることで、元のドキュメントまたは電子メールの所有者に、保護コンテンツに対し、保護を自分で開始した場合と同じレベルのコントロールが与えられます。When the Rights Management issuer protects on behalf of users, assigning the Rights Management owner ensures that the original document or email owner has the same level of control for their protected content as if they initiated the protection themselves.

たとえば、印刷使用権限が含まれていないテンプレートで保護されていても、ドキュメントを作成したユーザーはそのドキュメントを印刷できます。For example, the user who created the document can print it, even though it's now protected with a template that doesn't include the Print usage right. そのテンプレートで構成されているオフライン アクセス設定や有効期限に関係なく、同じユーザーは常に自分のドキュメントにアクセスできます。The same user can always access their document, regardless of the offline access setting or expiry date that might have been configured in that template. さらに、Rights Management 所有者にはフル コントロール使用権限が与えられるため、このユーザーはドキュメントを再保護し、追加のユーザー アクセスを付与することもできます (その時点で、ユーザーは Rights Management 発行者と Rights Management 所有者になります)。このユーザーは保護を解除することもできます。In addition, because the Rights Management owner has the Full Control usage right, this user can also reprotect the document to grant additional users access (at which point the user then becomes the Rights Management issuer as well as the Rights Management owner), and this user can even remove the protection. ただし、ドキュメントを追跡し、取り消すことができるのは Rights Management 発行者だけです。However, only the Rights Management issuer can track and revoke a document.

ドキュメントまたは電子メールの Rights Management 所有者は利用状況ログowner-email フィールドとして記録されます。The Rights Management owner for a document or email is logged as the owner-email field in the usage logs.

Rights Management 所有者と Windows ファイル システム所有者に依存関係はありません。Note that the Rights Management owner is independent from the Windows file system Owner. この 2 つは同じことが多いですが、異なる場合もあります (SDK または PowerShell を使用しない場合でも)。They are often the same but can be different, even if you don't use the SDKs or PowerShell.

Rights Management の使用ライセンスRights Management use license

Azure Rights Management によって保護されたドキュメントまたは電子メールをユーザーが開くと、そのコンテンツに対する Rights Management の使用ライセンスがユーザーに付与されます。When a user opens a document or email that has been protected by Azure Rights Management, a Rights Management use license for that content is granted to the user. この使用ライセンスは証明書であり、ドキュメントまたは電子メール メッセージに対するユーザーの使用権限、およびコンテンツを暗号化するのに使用された暗号化キーが含まれています。This use license is a certificate that contains the user's usage rights for the document or email message, and the encryption key that was used to encrypt the content. 使用ライセンスにはまた、有効期限 (設定されている場合) および使用ライセンスの有効期間も含まれます。The use license also contains an expiry date if this has been set, and how long the use license is valid.

ユーザーはコンテンツを開くために、有効な使用ライセンスと権利アカウント証明書 (RAC) を持つ必要があります。この証明書は、ユーザー環境が初期化されて 31 日ごとに更新されたときに付与されます。A user must have a valid use license to open the content in addition to their rights account certificate (RAC), which is a certificate that's granted when the user environment is initialized and then renewed every 31 days.

使用ライセンスの期間中、ユーザーはコンテンツについて再認証も再承認も行われません。For the duration of the use license, the user is not reauthenticated or reauthorized for the content. これにより、ユーザーはインターネットに接続しなくても、保護されたドキュメントまたは電子メールを引き続き開くことができます。This lets the user continue to open the protected document or email without an internet connection. 使用ライセンスの有効期限を過ぎると、次に保護されたドキュメントまたは電子メールにアクセスしたときに、ユーザーは再認証および再承認される必要があります。When the use license validity period expires, the next time the user accesses the protected document or email, the user must be reauthenticated and reauthorized.

保護設定を定義したラベルまたはテンプレートによってドキュメントおよび電子メールメッセージが保護されている場合は、ラベルまたはテンプレート内でこれらの設定を変更することができ、コンテンツを再保護する必要はありません。When documents and email messages are protected by using a label or a template that defines the protection settings, you can change these settings in your label or template without having to reprotect the content. ユーザーが既にコンテンツにアクセスしている場合は、使用ライセンスの有効期限が過ぎた後で変更が有効になります。If the user has already accessed the content, the changes take effect after their use license has expired. ただし、ユーザーがカスタム アクセス許可 (アドホック権利ポリシーとも呼ばれる) を適用した場合、ドキュメントまたは電子メールが保護された後でこれらのアクセス許可を変更する必要があるときは、そのコンテンツを新しいアクセス許可で再度保護する必要があります。However, when users apply custom permissions (also known as an ad-hoc rights policy) and these permissions need to change after the document or email is protected, that content must be protected again with the new permissions. 電子メール メッセージのカスタム アクセス許可は、[転送不可] オプションで実装されます。Custom permissions for an email message are implemented with the Do Not Forward option.

テナントの既定の使用ライセンス有効期間は30日です。この値を構成するには、PowerShell コマンドレットAipServiceMaxUseLicenseValidityTimeを使用します。The default use license validity period for a tenant is 30 days and you can configure this value by using the PowerShell cmdlet, Set-AipServiceMaxUseLicenseValidityTime. ラベルまたはテンプレートを使用して保護を適用する場合は、より制限の厳しい設定を構成できます。You can configure a more restrictive setting for when protection is applied by using a label or template:

  • Azure Portal で、ラベルまたはテンプレートを構成する場合は、使用ライセンスの有効期間として、 [オフライン アクセスの許可] 設定の値が使用されます。When you configure a label or template in the Azure portal, the use license validity period takes its value from the Allow offline access setting.

    Azure Portal でこの設定を構成するための詳細とガイダンスについては、Rights Management の保護用にラベルを構成する方法について説明した記事の、「保護の設定に関する情報」の表をご覧ください。For more information and guidance to configure this setting in the Azure portal, see the Information about the protection settings table from the instructions how to configure a label for Rights Management protection.

  • PowerShell を使用してテンプレートを構成する場合、使用ライセンスの有効期間は、 LicenseValidityDurationパラメーターの値を設定します。これは、 Set AipServiceTemplatePropertyおよびAdd-aipservicetemplateコマンドレットです。When you configure a template by using PowerShell, the use license validity period takes its value from the LicenseValidityDuration parameter in the Set-AipServiceTemplateProperty and Add-AipServiceTemplate cmdlets.

    PowerShell を使用してこの設定を構成するための詳細とガイダンスについては、各コマンドレットのヘルプを参照してください。For more information and guidance to configure this setting by using PowerShell, see the help for each cmdlet.

参照See Also

Azure Information Protection のテンプレートを構成して管理するConfiguring and managing templates for Azure Information Protection

Azure Information Protection および探索サービスまたはデータ回復用のスーパーユーザーの構成Configuring super users for Azure Information Protection and discovery services or data recovery