Azure Information Protection の保護の廃止と非アクティブ化

  • [アーティクル]

Note

Microsoft Purview Information Protection をお探しですか? (以前の Microsoft Information Protection (MIP))

Azure Information Protection アドインは廃止され、Microsoft 365 アプリとサービスに組み込まれているラベルに置き換えられています。 詳細については、「他の Azure Information Protection コンポーネントのサポート状況」を参照してください。

新しい Microsoft Information Protection クライアント (アドインなし) は現在プレビュー段階であり、一般提供が予定されています

Azure Information Protection から Azure Rights Management サービスを使用することで、組織でコンテンツを保護するかどうかを常に制御できます。 この情報保護サービスを使用しないことに決定した場合、以前に保護されていたコンテンツからロックアウトされることはありません。

以前に保護されていたコンテンツに引き続きアクセスする必要がない場合、サービスを無効にして、Azure Information Protection のサブスクリプションの有効期限を終わらせることができます。 たとえば、これは、Azure Information Protection を運用環境にデプロイする前のテストが完了した場合も該当します。

ただし、運用環境に Azure Information Protection をデプロイし、ドキュメントやメールを保護している場合は、Azure Rights Management サービスを非アクティブ化する前に、Azure Information Protection テナント キーのコピーと適切な信頼された発行ドメイン (TPD) を用意する必要があります。 サービスの非アクティブ化後に Azure Rights Management で保護されていたコンテンツに引き続きアクセスできるように、サブスクリプションが期限切れになる前にキーのコピーと TPD を用意しておいてください。

HSM で独自のキーを生成および管理する Bring Your Own Key Solution (BYOK) を使用した場合は、Azure Information Protection テナント キーが既にあります。 将来のクラウド退出に向けて準備する手順に従っている場合は、適切な TPD もあります。 ただし、テナント キーが Microsoft により管理されていた場合 (既定) は、「Azure Information Protection テナント キーに対する操作」に記載されたテナント キーのエクスポート手順を参照してください。

ヒント

サブスクリプションの有効期限が切れた後でも、Azure Information Protection テナントはメインコンテンツを長期間使用できるようになります。 ただし、テナント キーをエクスポートできなくなります。

Azure Information Protection テナント キーと TPD がある場合は、オンプレミスで Rights Management (AD RMS) をデプロイし、信頼された発行ドメイン (TPD) としてテナント キーをインポートできます。 その後、Azure Information Protection デプロイの使用を停止するための次のオプションがあります。

これが適用される場合... … これを行う:
すべてのユーザーに Rights Management を引き続き利用させたいが、Azure Information Protection ではなくオンプレミス ソリューションを利用する場合 → Office 2016 または Office 2013 の LicensingRedirection レジストリ キーを使って、オンプレミス展開にクライアントをリダイレクトします。 手順については、RMS クライアントのデプロイに関する注意事項に記載されているサービスの検出に関するセクションを参照してください。
Rights Management テクノロジの使用を完全に停止する場合 → 指定された管理者 スーパー ユーザー権限 を付与し、このユーザーの Azure Information Protection クライアント をインストールします。

そうすることで、この管理者は、このクライアントの PowerShell モジュールを使って、Azure Information Protection によって保護されたフォルダー内のファイルを一括暗号化解除できます。 ファイルは保護されていない状態に戻るため、Azure Information Protection や AD RMS などの Rights Management テクノロジなしで読み取ることができます。 この PowerShell モジュールは Azure Information Protection と AD RMS の両方で使用できるため、Azure Information Protection の保護サービスを非アクティブ化する前または後、またはその組み合わせでファイルを暗号化解除できます。
Azure Information Protection によって保護されていたすべてのファイルを識別することはできません。 あるいは、読み取れなかった保護ファイルをすべてのユーザーが自動的に読み取れるようにする場合 → RMS クライアントのデプロイに関する注意事項のサービスの検出に関するセクションで説明されているように、Office 2016 と Office 2013 の LicensingRedirection レジストリ キーを使って、すべてのクライアント コンピューターにレジストリ設定をデプロイします。
読み取れなかったファイルに、制御された手動回復サービスを実行する場合 → このアクションが標準ユーザーによって要求されたときにファイルの保護を解除できるように、データ回復グループのスーパー ユーザー権限を指定されたユーザーに付与し、これらのユーザーに対して Azure Information Protection クライアントをインストールします。

Office レジストリ設定」の説明に従い、DisableCreation1 に設定することで、ユーザーが新しいファイルを保護できないようにするレジストリ設定をすべてのコンピューターに展開します。

この表の手順の詳細については、次のリソースを参照してください。

Azure Information Protection の保護サービスを非アクティブ化する準備ができたら、以下の手順に従います。

保護サービスの非アクティブ化

Azure Information Protection から保護サービスを非アクティブ化するには、PowerShell を使用する必要があります。 管理ポータルからこのサービスをアクティブ化または非アクティブ化することはできなくなります。

  1. 保護サービスを構成および管理するには、AIPService モジュールをインストールします。 手順については、「AIPService PowerShell モジュールのインストール」を参照してください。

  2. PowerShell セッションから Connect-AipService を実行し、メッセージが表示されたら、Azure Information Protection テナントのグローバル管理者アカウントの詳細を指定します。

  3. Get-AipServiceを実行して、保護サービスの現在の状態を確認します。 有効の状態はアクティブ化を確認します。 無効は、サービスが非アクティブ化されていることを示します。

  4. サービスを非アクティブ化するには、 Disable-AipServiceを実行します。

  5. Get-AipService を再度実行し、保護サービスが非アクティブ化されたことを確認します。 今回は、状態が [無効] と表示されます。

  6. Disconnect-AipServiceを実行してサービスから切断し、PowerShell セッションを閉じます。