Rights Management による保護でラベルを構成する方法

  • [アーティクル]

Rights Management サービスを使用して、最も機密性の高いドキュメントや電子メールを保護することができます。 このサービスでは、暗号化、ID、承認ポリシーを使用して、データ損失を防止します。 保護は、ドキュメントと電子メールに Rights Management による保護を使用するように構成されたラベルで適用されます。ユーザーは Outlook で [転送不可] ボタンを選択することもできます。

ラベルが Azure (クラウド キー) の保護設定で構成されていると、この処理の裏では、Rights Management テンプレートと統合されるサービスとアプリケーションがアクセスできる保護テンプレートが作成および構成されます。 たとえば、Exchange Online とメール フロー ルールや、Outlook on the web などです。

保護のしくみ

ドキュメントまたは電子メールが Rights Management サービスで保護されている場合、そのドキュメントまたは電子メールは保存時および転送中に暗号化されます。 暗号化されたドキュメントまたは電子メールは、承認されたユーザーのみが暗号化解除できます。 この暗号化は、ドキュメントまたは電子メールの名前を変更しても、引き続き適用されます。 さらに、次の例のような使用権限と制限を構成できます。

  • 社外秘のドキュメントまたは電子メールを開けるのは、組織内のユーザーのみ。

  • 宣伝発表のドキュメントまたは電子メールを編集して印刷できるのは、マーケティング部門のユーザーだけだが、読み取りは組織内のすべてのユーザーができる。

  • ユーザーは、社内の再編成に関するニュースを含む電子メールを転送したり、そのメールから情報をコピーしたりすることはできない。

  • ビジネス パートナーに送信される最新の価格表は、指定日になるまで開けない。

Azure Rights Management 保護の詳細とそのしくみについては、「Azure Rights Management とは」を参照してください。

重要

この保護を適用するラベルを構成するには、組織に対して Azure Rights Management サービスをアクティブにする必要があります。 詳細については、「Activating the protection service from Azure Information Protection (Azure Information Protection の保護サービスのアクティブ化)」をご覧ください。

ラベルによる保護を適用する場合は、保護されたドキュメントを SharePoint や OneDrive に保存することはお勧めできません。 これらの場所では、保護されたファイルに対する機能 (共同作成、Office for the web、検索、ドキュメント プレビュー、サムネイル、電子情報開示、データ損失防止 (DLP)) はサポートされていません。

ヒント

統合された秘密度ラベルにラベルを移行し、Microsoft 365 コンプライアンス センターから公開すると、保護を適用するラベルはこれらの場所に対してサポートされます。 詳しくは、「SharePoint および OneDrive で Office ファイルの秘密度ラベルを有効にする」をご覧ください。

ユーザーが電子メールを保護するラベルを Outlook で適用するために、Azure Information Protection 用に Exchange を構成する必要はありません。 ただし、Exchange が Azure Information Protection 用に構成されるまで、Exchange で Azure Rights Management による保護を使用するすべての機能を利用できません。 たとえば、ユーザーが携帯電話または Outlook on the web で保護された電子メールを表示できない、保護された電子メールで検索用のインデックスが作成できない、または Rights Management 保護用に Exchange Online DLP を構成できないなどが挙げられます。 このような追加のシナリオを Exchange がサポートできるようにするには、以下のリソースを参照してください。

保護設定用のラベルを構成するには

  1. まだ実行していない場合は、新しいブラウザー ウィンドウを開いて、Azure Portal にサインインします。 次に、 [Azure Information Protection] ペインに移動します。

    たとえば、リソース、サービス、ドキュメントの検索ボックスで次のようにします: 「Information」と入力し、 [Azure Information Protection] を選択します。

  2. [分類]>[ラベル] メニュー オプションから: [Azure Information Protection - ラベル] ウィンドウで、変更するラベルを選択します。

  3. [ラベル] ペインで、[このラベルを含むドキュメントやメールに対するアクセス許可の設定] を見つけ、下記オプションから 1 つ選択します。

    • [未構成]: 現在、保護を適用するようにラベルが構成されていて、選択したラベルで保護を適用する必要がなくなった場合に、このオプションを選択します。 手順 11 に進みます。

      以前に構成された保護設定はアーカイブ済みの保護テンプレートとして保持され、オプションを [保護] に戻すと再び表示されます。 Azure Portal ではこのテンプレートが表示されませんが、PowerShell を使用すると、必要に応じてテンプレートを引き続き管理することができます。 この動作は、テンプレートに以前に適用された保護設定のラベルが含まれる場合に、引き続きコンテンツにアクセスできることを意味します。

      この [未構成] 保護設定を使用したラベルが適用されるとき:

      • コンテンツが以前にラベルを使用しないで保護されている場合、その保護は保持されます。

      • コンテンツが以前にラベルを使用して保護されている場合、ラベルを適用するユーザーに Rights Management による保護を削除するアクセス許可があると、その保護は削除されます。 この要件は、ユーザーがエクスポートまたはフル コントロール使用権限を持っている必要があることを意味します。 あるいは、Rights Management の所有者 (自動的にフル コントロールの使用権限が付与されている) であるか、Azure Rights Management のスーパー ユーザーである必要があります。

        ユーザーが保護を削除するアクセス許可を持っていない場合、ラベルを適用することはできず、次のメッセージが表示されます: Azure Information Protection はこのラベルを適用できません。問題が解決しない場合は、管理者にお問い合わせください

    • [保護]: 保護を適用するには、このオプションを選択し、手順 4 に進みます。

    • [保護の解除]: ドキュメントまたは電子メールが保護されている場合に保護を解除するには、このオプションを選択します。 手順 11 に進みます。

      ラベルまたは保護テンプレートを使用して保護が適用されている場合、保護設定はアーカイブ済みの保護テンプレートとして保持され、オプションを [保護] に戻すと再び表示されます。 Azure Portal ではこのテンプレートが表示されませんが、PowerShell を使用すると、必要に応じてテンプレートを引き続き管理することができます。 この動作は、テンプレートに以前に適用された保護設定のラベルが含まれる場合に、引き続きコンテンツにアクセスできることを意味します。

      このオプションを持つラベルを正常に適用するには、ユーザーは Rights Management による保護を削除するアクセス許可を持っている必要があることに注意してください。 この要件は、ユーザーがエクスポートまたはフル コントロール使用権限を持っている必要があることを意味します。 あるいは、Rights Management の所有者 (自動的にフル コントロールの使用権限が付与されている) であるか、Azure Rights Management のスーパー ユーザーである必要があります。

      この設定を使用してラベルを適用するユーザーが、Rights Management による保護を削除するアクセス許可を持たない場合、ラベルを適用することはできず、次のメッセージが表示されます: Azure Information Protection はこのラベルを適用できません。問題が解決しない場合は、管理者にお問い合わせください

  4. [保護] を選択した場合、その他のオプションのいずれかが以前選択された場合は [保護] ペインが自動的に開きます。 この新しいペインが自動的に開かない場合は、[保護] を選択します。

    Configure protection for an Azure Information Protection label

  5. [保護] ペインで、[Azure (クラウド キー)] または [HYOK (AD RMS)] を選択します。

    ほとんどの場合、アクセス許可設定には [Azure (クラウド キー)] を選択します。 [HYOK (AD RMS)] は、この "Hold Your Own Key" (HYOK) 構成に付随する前提条件と制限を読んで理解するまで選択しないでください。 詳細については、「AD RMS 保護の Hold Your Own Key (HYOK) の要件と制限事項」を参照してください。 HYOK (AD RMS) の構成を続行するには、手順 9 に進みます。

  6. 以下のオプションの 1 つを選択します。

    • [アクセス許可を設定する]: このポータルで新しい保護設定を定義します。

    • [ユーザー定義のアクセス許可の設定 (プレビュー)]: アクセス許可付与対象のユーザーと付与するアクセス許可を、ユーザーが指定できるようにします。 その後このオプションを調整し、Outlook のみ、または Word、Excel、PowerPoint、およびエクスプローラーを選択できます。 このオプションはサポートされていません。また、自動分類に対してラベルが構成されていると、機能しません。

      Outlook のオプションを選択した場合: Outlook にラベルが表示されます。ユーザーがラベルを適用した場合の動作は、[転送不可] オプションと同じです。

      Word、Excel、PowerPoint、およびエクスプローラーのオプションを選択した場合: このオプションを設定すると、ラベルがこれらのアプリケーションで表示されます。 ユーザーがラベルを適用したときの結果として、ユーザーがカスタム アクセス許可を選択するためのダイアログ ボックスが表示されます。 ユーザーは、このダイアログ ボックスで、定義済みのアクセス許可レベルのいずれかを選択し、ユーザーまたはグループを参照して指定し、必要に応じて有効期限日を設定します。 ユーザーに対し、これらの値を指定する方法の手順とガイダンスがあることを確認します。

      注意

      Azure Information Protection によるユーザー定義のアクセス許可の設定のサポートは、現在プレビューの段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

    • [定義済みのテンプレートを選択する]: 既定のテンプレートまたは自分で設定したカスタム テンプレートのいずれかを使用します。 以前に [アクセス許可の設定] オプションを使用したラベルを編集している場合、新しいラベルにこのオプションは表示されないことにご注意ください。

      定義済みのテンプレートを選択するには、そのテンプレートが公開されていて (アーカイブ済みではない)、別のラベルにまだリンクされていない必要があります。 このオプションを選択すると、[テンプレートの編集] ボタンを使用してテンプレートをラベルに変換できます。

      カスタム テンプレートの作成や編集に慣れている場合は、「Azure クラシック ポータルで行っていたタスク」の情報が役に立つことがあります。

  7. [Azure (クラウド キー)] に対して [アクセス許可を設定します] を選択した場合、このオプションによりユーザーおよび使用権限を選択することができます。

    このペインでユーザーを選択せずに [OK] を選択した後、[ラベル] ペインで [保存] を選択した場合: ラベルを適用したユーザーのみが制限なしにドキュメントまたはメールを開くことができるような保護を適用するように、ラベルが構成されます。 この構成は "自分のみ" と呼ばれることがあり、求められている結果である場合があります。ユーザーは任意の場所にファイルを保存でき、自分だけがそれを開くことができるようになります。 この結果がご自身の要件に合っていて、保護されたコンテンツを他のユーザーと共用しない場合は、[アクセス許可の追加] を選択しないでください。 ラベルを保存すると、次にこの [保護] ペインを開いたときに、この構成を反映するように [ユーザー] に対して [IPC_USER_ID_OWNER] が表示され、[アクセス許可] に対して [共同所有者] が表示されます。

    保護されたドキュメントとメールを開けるようにするユーザーを指定するには、[アクセス許可の追加] を選択します。 次に、[アクセス許可の追加] ペインで、選択したラベルで保護されるコンテンツの使用権限を与えるユーザーとグループの最初のセットを選択します。

    • 可能な場所で [一覧から選択] を選択し、[<組織名> の追加 - すべてのメンバー] を選択して組織のすべてのユーザーを追加します。 この設定では、ゲスト アカウントは除外されます。 または、[認証されたユーザーを追加] を選択するか、ディレクトリを参照することができます。

      すべてのメンバーを選択するか、ディレクトリを参照する場合、ユーザーまたはグループが電子メール アドレスを所有している必要があります。 運用環境では、ユーザーとグループにはほとんど常にメール アドレスがありますが、単純なテスト環境では、メール アドレスをユーザー アカウントまたはグループに追加する必要があります。

      認証されたユーザーの追加に関する詳しい情報

      この設定では、ラベルで保護されているコンテンツのアクセス権を持つユーザーが制限されることはありません。一方、引き続きコンテンツは暗号化され、コンテンツの使用方法 (アクセス許可) やアクセス方法 (有効期限、オフライン アクセス) を制限できます。 ただし、保護されたコンテンツを開くアプリケーションは、使用されている認証をサポートできる必要があります。 このため、Google などのフェデレーション ソーシャル プロバイダーや、ワンタイム パスコード認証は、電子メール用、および Exchange Online と Office 365 メッセージの暗号化の新機能を使用するときにのみ使用する必要があります。 Microsoft アカウントは、Azure Information Protection ビューアーおよび Office 365 アプリ (クイック実行) で使用できます。

      認証されたユーザー設定の一般的なシナリオ:

      • 誰がコンテンツを表示してもよいが、その使用方法を制限する場合。 たとえば、コンテンツを編集、コピー、印刷できないようにします。
      • 誰がコンテンツにアクセスしてもよいが、コンテンツを開いたユーザーを追跡し、必要に応じて取り消しできるようにする場合。
      • コンテンツを保存時と転送時に暗号化する必要があるが、アクセス制御は要求しない要件の場合。

    • [詳細を入力] を選択して個々のユーザーまたはグループ (内部または外部) のメール アドレスを手動で指定します。 または、このオプションを使用して、別の組織の任意のドメイン名を入力して、その組織内のすべてのユーザーを指定します。 gmail.comhotmail.comoutlook.com などのドメイン名を入力して、ソーシャル プロバイダーのこのオプションを使用することもできます。

      注意

      ユーザーまたはグループを選択した後にメール アドレスを変更する場合は、計画に関するドキュメントの「電子メール アドレスが変更される場合の Azure Information Protection に関する考慮事項」セクションを参照してください。

      ベスト プラクティスとして、ユーザーではなくグループを使用します。 この方法は、構成をよりシンプルにして、後でラベルの構成を更新してコンテンツを再保護する必要性を減らします。 ただし、グループを変更する場合は、パフォーマンス上の理由から、Azure Rights Management はグループ メンバーシップをキャッシュすることに注意してください。

    ユーザーとグループの最初のセットを指定した場合は、これらのユーザーとグループに付与するアクセス許可を選択します。 選択できるアクセス許可について詳しくは、「Configuring usage rights for Azure Information Protection (Azure Information Protection の使用権限の構成)」をご覧ください。 ただし、この保護をサポートするアプリケーションによっては、これらのアクセス許可を実装する方法が異なる場合があります。 テンプレートをユーザーに展開する前に、アプリケーションのマニュアルを参照し、ユーザーが使用するアプリケーションを使用して自らテストを行って動作を確認してください。

    必要に応じて、使用権限を持つユーザーとグループの 2 番目のセットを追加できます。 すべてのユーザーとグループにそれぞれのアクセス許可を指定するまで繰り返します。

    ヒント

    カスタム アクセス許可の [名前を付けて保存、エクスポート (EXPORT)] の追加を検討し、このアクセス許可をデータ復旧管理者か、情報復旧を担当するその他の役割が与えられた人に付与します。 必要に応じて、これらのユーザーはその後、このラベルまたはテンプレートを使用して保護されるファイルおよび電子メールから保護を解除できます。 ドキュメントまたは電子メールに対してアクセス許可レベルで保護を解除するこの機能は、スーパー ユーザー機能よりも詳細な制御を提供します。

    指定したすべてのユーザーとグループに対して、[保護] ペインで、次の設定を変更するかどうかを確認します。 アクセス許可と同じく、これらの設定は、Rights Management 発行者または Rights Management 所有者、または割り当てた任意のスーパー ユーザーには適用されないことに注意してください。

    保護の設定に関する情報
    設定 詳細情報 推奨設定
    [ファイル コンテンツの有効期限] これらの設定によって保護されているドキュメントを、選択したユーザーが開けなくなる日付またはそれまでの日数を定義します。 電子メールの場合は、一部の電子メール クライアントで使用されるキャッシュ メカニズムにより、有効期限が常に適用されるとは限りません。

    日付を指定するか、コンテンツに保護が適用された時点からの日数を指定することができます。

    日付を指定する場合は、ご利用の現在のタイム ゾーンで午前 0 時に有効になります。    		 コンテンツに特定の期限を定めた要件がない限り、コンテンツの有効期限が切れることはありません
    オフライン アクセスの許可 この設定を使用すると、選択されたユーザーはインターネットに接続していないときに保護されたコンテンツを開くことができるため、セキュリティ要件 (失効後のアクセスを含む) のバランスを取ることができます。

    インターネットに接続されていないときにコンテンツを使用できないように指定するか、コンテンツが指定された日数のみ利用できるように指定した場合、そのしきい値に達すると、ユーザーは再認証される必要があり、アクセスがログに記録されます。 このような場合、ユーザーの資格情報がキャッシュされない場合、ユーザーはドキュメントまたは電子メールを開く前にサインインするように求められます。

    再認証に加え、ポリシーおよびユーザー グループ メンバーシップが再評価されます。 つまり、ユーザーが最後にコンテンツにアクセスしたときからポリシーまたはグループ メンバーシップが変更された場合、同じドキュメントまたは電子メールに対して、ユーザーが異なるアクセス結果を経験する可能性があります。 ドキュメントが失効している場合は、アクセスが含まれない可能性があります。    		 コンテンツの機密性に応じて、次の設定を行います。

    - [インターネットに接続せずにコンテンツを利用できる日数] = 7 (不正ユーザーの手に渡った場合にビジネス上の損失を招く可能性がある機密性の高いビジネス データ)。 この推奨設定では、柔軟性とセキュリティのバランスを取ることができます。 例としては、契約書、セキュリティ レポート、予測概要、販売取引データなどがあります。

    - 承認されていないユーザーと共有された場合、ビジネスに損害を与える可能性のある非常に機密性の高いビジネス データには、[Never](なし) を設定します。 この推奨設定は、柔軟性よりもセキュリティを優先し、ドキュメントが失効した場合に、すぐにすべての承認されているユーザーがドキュメントを開けないようにします。 例としては、従業員情報と顧客情報、パスワード、ソース コード、発表前の財務レポートなどがあります。

    アクセス許可と設定の構成が完了したら、[OK] をクリックします。

    この設定のグループ化により、Azure Rights Management サービスのカスタム テンプレートが作成されます。 これらのテンプレートは、Azure Rights Management と統合するアプリケーションとサービスで使用できます。 コンピューターとサービスにこれらのテンプレートをダウンロードして更新する方法については、「ユーザーとサービスのためのテンプレートの更新」を参照してください。

  8. [Azure (クラウド キー)][定義済みのテンプレートを選択する] を選択した場合は、ドロップダウン ボックスをクリックし、ドキュメントと電子メールを保護するために使用するテンプレートを選択します。 アーカイブされたテンプレートまたは別のラベルに既に選択されているテンプレートは表示されません。

    部門別のテンプレートを選択した場合、またはオンボード コントロールを構成した場合:

    • テンプレートの構成済みのスコープの外にあるユーザー、または Azure Rights Management 保護の適用から除外されているユーザーは、ラベルを表示することはできますが、それを適用することはできません。 それらのユーザーがラベルを選択した場合、次のメッセージが表示されます: Azure Information Protection はこのラベルを適用できません。この問題が引き続き発生する場合は、管理者にお問い合わせください。

      スコープ付きポリシーを構成している場合でも、公開されているすべてのテンプレートが常に表示されることに注意してください。 たとえば、マーケティング グループにスコープ付きポリシーを設定しているとします。 選択できるテンプレートは、マーケティング グループにスコープが設定されているテンプレートに制限されていないため、選択したユーザーが使用できない、部門別テンプレートを選択できる可能性があります。 構成を容易にしてトラブルシューティングを最小限に抑えるため、スコープ付きポリシー内のラベルと一致する名前を部門別テンプレートに付けることを検討してください。

  9. [HYOK (AD RMS)] を選択した場合は、[AD RMS テンプレートの詳細を設定する] または [ユーザー定義のアクセス許可の設定 (プレビュー)] のいずれかを選択します。 次に、ご利用の AD RMS クラスターのライセンス URL を指定します。

    テンプレート GUID とライセンス URL を指定する手順については、「Azure Information Protection ラベルによる AD RMS の保護を指定する情報の確認」を参照してください。

    ユーザー定義のアクセス許可オプションを選択すると、ユーザーは、アクセス許可を与えるユーザーとアクセス許可の内容を指定できます。 その後このオプションを調整し、Outlook のみ (既定値)、または Word、Excel、PowerPoint、およびエクスプローラーを選択できます。 このオプションはサポートされていません。また、自動分類に対してラベルが構成されていると、機能しません。

    Outlook のオプションを選択した場合: Outlook にラベルが表示されます。ユーザーがラベルを適用した場合の動作は、[転送不可] オプションと同じです。

    Word、Excel、PowerPoint、およびエクスプローラーのオプションを選択した場合: このオプションを設定すると、ラベルがこれらのアプリケーションで表示されます。 ユーザーがラベルを適用したときの結果として、ユーザーがカスタム アクセス許可を選択するためのダイアログ ボックスが表示されます。 ユーザーは、このダイアログ ボックスで、定義済みのアクセス許可レベルのいずれかを選択し、ユーザーまたはグループを参照して指定し、必要に応じて有効期限日を設定します。 ユーザーに対し、これらの値を指定する方法の手順とガイダンスがあることを確認します。

  10. [OK] をクリックして [保護] ペインを閉じ、選択した [ユーザー定義] または選択したテンプレートが [ラベル] ペインの [保護] オプションに表示されていることを確認します。

  11. [ラベル] ペインで、[保存] をクリックします。

  12. [Azure Information Protection] ペインで、[保護] 列を使用して、目的の保護設定がラベルに表示されていることを確認します。

    • 保護を構成している場合はチェック マークが表示されます。

    • x マークは、保護を解除するようにラベルを構成している場合に、キャンセルを示します。

    • 保護が設定されていない場合は、空白フィールドです。

[保存] をクリックすると、変更内容がユーザーとサービスに対して自動的に利用可能になります。 独立した公開オプションはなくなりました。

構成例

既定ポリシー社外秘非常に機密性の高い社外秘ラベルのすべての従業員受信者のみサブレベルを使って、保護を適用するラベルを構成する方法の例を示します。 次の例は、さまざまなシナリオに保護を構成する際にも使用できます。

続く各例に対して、<ラベル名> ペインで、[保護] を選択します。 [保護] ペインが自動的に開かない場合は、[保護] を選択してこのペインを開きます。これを使って保護構成オプションを選択することができます。

Configuing an Azure Information Protection label for protection

例 1: 転送不可が適用され保護されたメールを Gmail アカウントに送信するラベル

このラベルは、Outlook でのみ使用でき、Exchange Online が Office 365 Message Encryption の新機能用に構成されている場合に適しています。 保護された電子メールを Gmail アカウント (または組織の外部の他の電子メール アカウント) に送信する必要がある場合は、このラベルを選択するようにユーザーに指示します。

ユーザーが [宛先] ボックスに Gmail のメール アドレスを入力します。 そして、ユーザーがラベルを選択すると、[転送不可] オプションが電子メールに自動的に追加されます。 その結果、受信者は、メールを転送したり、印刷したり、コピーしたり、または [名前を付けて保存] オプションを使用してメールボックスの外部にメールを保存したりできなくなります。

  1. [保護] ペインで、 [Azure (クラウド キー)] が選択されていることを確認します。

  2. [ユーザー定義のアクセス許可の設定 (プレビュー)] を選択します。

  3. 次のオプションが選択されていることを確認します。 [Outlook で [転送不可] を適用する]

  4. 選択されている場合は、次のオプションをオフにします。 [Word、Excel、PowerPoint、エクスプローラーでは、カスタム アクセス許可を指定するようユーザーに促す]

  5. [保護] ペインで [OK] をクリックしてから、 [ラベル] ペインで [保存] をクリックします。

例 2: 読み取り専用のアクセス許可を別の組織内のすべてのユーザーに制限し、即時の失効をサポートするラベル

このラベルは、表示するのに常にインターネット接続を必要とする (読み取り専用の) 非常に機密性の高いドキュメントの共有に適しています。 失効すると、ユーザーが次にそのドキュメントを開こうとしたときに、表示できなくなります。

このラベルは電子メールには適していません。

  1. [保護] ペインで、 [Azure (クラウド キー)] が選択されていることを確認します。

  2. [アクセス許可を設定する] オプションが選択されていることを確認し、[アクセス許可を追加] を選択します。

  3. [アクセス許可の追加] ペインで、[詳細を入力] を選択します。

  4. 他の組織からのドメイン名 (例: fabrikam.com) を入力します。 その後、 [追加] を選択します。

  5. [事前設定されたものの中からアクセス許可を選択する] から、[ビューアー] を選択し、[OK] を選択します。

  6. [保護] ペインに戻り、[オフライン アクセスの許可][Never](常に不可) を選択します。

  7. [保護] ペインで [OK] をクリックしてから、 [ラベル] ペインで [保存] をクリックします。

例 3: コンテンツを保護する既存のラベルに外部ユーザーを追加する

追加した新しいユーザーは、このラベルで既に保護されているドキュメントおよび電子メールを開くことができます。 これらのユーザーに付与するアクセス許可は、既存のユーザーに付与しているアクセス許可と異なっていてもかまいません。

  1. [保護] ペインで、[Azure (クラウド キー)] が選択されていることを確認します。

  2. [アクセス許可を設定する] が選択されていることを確認し、[アクセス許可を追加] を選択します。

  3. [アクセス許可の追加] ペインで、[詳細を入力] を選択します。

  4. 追加する最初のユーザー (またはグループ) のメール アドレスを入力し、[追加] を選択します。

  5. このユーザー (またはグループ) に付与するアクセス許可を選択します。

  6. このラベルに追加するユーザー (またはグループ) ごとに手順 4 と 5 を繰り返します。 次に、 [OK] をクリックします

  7. [保護] ペインで [OK] をクリックしてから、 [ラベル] ペインで [保存] をクリックします。

例 4: 転送不可よりも制限の緩いアクセス許可をサポートする保護された電子メールのラベル

このラベルは、Outlook に制限することはできませんが、転送不可を使用するよりも制限の緩い制御を提供します。 たとえば、受信者に電子メールまたは添付ファイルからコピーしたり、添付ファイルを保存または編集することを許可できます。

Azure AD のアカウントを持たない外部ユーザーを指定する場合:

  • このラベルは、Exchange Online で Office 365 Message Encryption の新機能を使用している場合の電子メールに適しています。

  • 自動的に保護されている Office 添付ファイルの場合、これらのドキュメントはブラウザーで表示できます。 これらのドキュメントを編集するには、Office 365 アプリ (クイック実行) および同じメール アドレスを使用する Microsoft アカウントを使用して、それらをダウンロードし、編集します。 詳細情報

注意

Exchange Online で新しいオプション "暗号化のみ" がロールアウトされています。 このオプションはラベル構成では使用できません。 ただし、受信者が誰かを把握している場合は、この例を使用して同じ使用権限のセットを持つラベルを構成できます。

ユーザーが [宛先] ボックスにメール アドレスを指定するときに、そのアドレスが、このラベル構成のために指定したのと同じユーザーのものである必要があります。 ユーザーはグループに属し、複数のメール アドレスを持つことができるため、ユーザーが指定するメール アドレスが、アクセス許可のために指定されたメール アドレスと一致する必要はありません。 ただし、受信者が正常に承認されていることを確認するには、同じメール アドレスを指定することが最も簡単な方法です。 アクセス許可のためにユーザーを承認する方法については、「Azure Information Protection 向けのユーザーとグループの準備」を参照してください。

  1. [保護] ペインで、 [Azure (クラウド キー)] が選択されていることを確認します。

  2. [アクセス許可を設定する] が選択されていることを確認し、[アクセス許可を追加] を選択します。

  3. [アクセス許可の追加] ペインで、組織のユーザーにアクセス許可を与えるには、[<組織名> の追加 - すべてのメンバー] を選択してテナント内のすべてのメンバーを選択します。 この設定では、ゲスト アカウントは除外されます。 または、[ディレクトリを参照] を選択して特定のグループを選択します。 外部ユーザーにアクセス許可を付与するためにメール アドレスを入力する場合は、[詳細を入力] を選択し、ユーザー、Azure AD グループ、またはドメイン名のメール アドレスを入力します。

    この手順を繰り返して、同じアクセス許可を付与する必要がある追加ユーザーを指定します。

  4. [事前設定されたものの中からアクセス許可を選択する][共同所有者][共同作成者][レビュー担当者]、または[カスタム] を選択し、付与するアクセス許可を選択します。

    注: 電子メールには [ビューアー] を選択しないでください。また、[カスタム] を選択する場合は、[編集と保存] が含まれていることを確認します。

    追加の制限なしに暗号化を適用する Exchange Online の [暗号化] オプションと同じアクセス許可を選択するには、[カスタム] を選択します。 次いで、[名前を付けて保存]、[エクスポート] \(エクスポート)[フル コントロール] \(所有者) を除くすべてのアクセス許可を選択します。

  5. 別のアクセス許可を持っている必要があるユーザーを指定するには、手順 3 と 4 を繰り返します。

  6. [アクセス許可の追加] ペインで [OK] をクリックします。

  7. [保護] ペインで [OK] をクリックしてから、 [ラベル] ペインで [保存] をクリックします。

例 5: コンテンツを暗号化するが、アクセスできるユーザーは制限しないラベル

この構成には、電子メールやドキュメントを保護するユーザー、グループ、ドメインを指定する必要がないという利点があります。 コンテンツは引き続き暗号化され、使用権限、有効期限、オフライン アクセスを指定できます。 保護されたドキュメントや電子メールを開くことができるユーザーを制限する必要がない場合にのみ、この構成を使用します。 この設定についての詳しい情報

  1. [保護] ペインで、[Azure (クラウド キー)] が選択されていることを確認します。

  2. [アクセス許可の設定] が選択されていることを確認し、[アクセス許可の追加] を選択します。

  3. [アクセス許可の追加] ペインの [一覧から選択] タブで、[認証されたユーザーを追加] を選択します。

  4. 必要なアクセス許可を選択して、[OK] をクリックします。

  5. [保護] ペインに戻り、必要に応じて [ファイル コンテンツの有効期限][オフライン アクセスの許可] の設定を構成し、[OK] をクリックします。

  6. [ラベル] ペインで、[保存] を選択します。

例 6: "自分のみ" の保護を適用するラベル

この構成では、ドキュメントに対してセキュリティ保護されたコラボレーションの逆の機能が提供されます。スーパー ユーザーを例外として、ラベルを適用したユーザーのみが、保護されたコンテンツを制限なく開くことができます。 この構成は、多くの場合に "自分のみ" の保護と呼ばれ、ユーザーが任意の場所にファイルを保存して自分だけが開くことができるようにする場合に適しています。

このラベル構成は一見単純です。

  1. [保護] ペインで、[Azure (クラウド キー)] が選択されていることを確認します。

  2. ユーザーを選択せずに、またはこのペインで何も設定を構成せずに、[OK] を選択します。

    [ファイル コンテンツの有効期限][オフライン アクセスの許可] の設定を構成することはできますが、ユーザーとそのアクセス許可を指定しない場合、これらのアクセス設定は適用されません。 これは、保護を適用したユーザーがそのコンテンツの Rights Management 発行者であり、この役割はこれらのアクセス制限から除外されるためです。

  3. [ラベル] ペインで、[保存] を選択します。

次の手順

Azure Information Protection ポリシーの構成の詳細については、「組織のポリシーの構成」セクションのリンクを使用してください。

ラベルに基づいて Exchange のメール フロー ルールを保護に適用することもできます。 詳細と例については、「Configuring Exchange Online mail flow rules for Azure Information Protection labels」(Azure Information Protection ラベル用に Exchange Online のメール フロー ルールを構成する) をご覧ください。