Azure Information Protection に関してよく寄せられる質問Frequently asked questions for Azure Information Protection

適用対象:Azure Information ProtectionOffice 365Applies to: Azure Information Protection, Office 365

注意

統一された効率的なカスタマー エクスペリエンスを提供するため、Azure portal の Azure Information Protection クライアント (クラシック)ラベル管理 は、2021 年 3 月 31 日非推奨 になります。To provide a unified and streamlined customer experience, Azure Information Protection client (classic) and Label Management in the Azure Portal are being deprecated as of March 31, 2021. このタイムフレームにより、現在のすべての Azure Information Protection のお客様は、Microsoft Information Protection 統合ラベル付けプラットフォームを使用する統一されたラベル付けソリューションに移行できます。This time-frame allows all current Azure Information Protection customers to transition to our unified labeling solution using the Microsoft Information Protection Unified Labeling platform. 詳細については、公式な非推奨の通知をご覧ください。Learn more in the official deprecation notice.

Azure Information Protection、または Azure Rights Management サービス (Azure RMS) に関して質問がございますか。Have a question about Azure Information Protection, or about the Azure Rights Management service (Azure RMS)? ここで回答を探してみてください。See if it's answered here.

Azure Information Protection と Microsoft Information Protection の違いは何ですか。What's the difference between Azure Information Protection and Microsoft Information Protection?

Azure Information Protection とは異なり、 Microsoft Information Protection は購入できるサブスクリプションや製品ではありません。Unlike Azure Information Protection, Microsoft Information Protection isn't a subscription or product that you can buy. 代わりに、組織の機密情報を保護するのに役立つ製品と統合された機能のフレームワークです。Instead, it's a framework for products and integrated capabilities that help you protect your organization's sensitive information.

Microsoft Information Protection 製品には次のものが含まれます。Microsoft Information Protection products include:

  • Azure Information ProtectionAzure Information Protection
  • Microsoft 365 Information Protection (Microsoft 365 DLP など)Microsoft 365 Information Protection, such as Microsoft 365 DLP
  • Windows Information ProtectionWindows Information Protection
  • Microsoft Cloud App SecurityMicrosoft Cloud App Security

Microsoft Information Protection の機能は次のとおりです。Microsoft Information Protection capabilities include:

  • 統一されたラベルの管理Unified label management
  • Office アプリに組み込まれているエンドユーザーのラベル付けエクスペリエンスEnd-user labeling experiences built into Office apps
  • Windows が統合ラベルを理解し、データに保護を適用する機能The ability for Windows to understand unified labels and apply protection to data
  • Microsoft Information Protection SDKThe Microsoft Information Protection SDK
  • ラベル付きで保護された Pdf を表示するための Adobe Acrobat Reader の機能Functionality in Adobe Acrobat Reader to view labeled and protected PDFs

詳細については、「 機密データを保護するための情報保護機能」を参照してください。For more information, see Information protection capabilities to help protect your sensitive data.

Office 365 の Azure Information Protection ラベルとラベルの違いは何ですか。What's the difference between labels in Azure Information Protection and labels in Office 365?

もともと、Microsoft 365 には、コンテンツが Microsoft 365 services に保存されたときに監査と保持のためのドキュメントや電子メールを分類できるようにする 保持ラベル だけがありました。Originally, Microsoft 365 had just retention labels that enabled you to classify documents and emails for auditing and retention when that content was stored in Microsoft 365 services.

一方、Azure Information Protection ラベルを有効にすると、オンプレミスまたはクラウドのどちらに保存されたかにかかわらず、ドキュメントと電子メールに一貫した分類と保護ポリシーが適用されます。In contrast, Azure Information Protection labels enabled you apply a consistent classification and protection policy for documents and emails whether they were stored on-premises or in the cloud.

州オーランドの Microsoft Ignite 2018 で発表された、Microsoft 365 では、保有期間ラベルに加えて、 機密ラベルを作成および構成するオプションが追加されました。Announced at Microsoft Ignite 2018 in Orlando, Microsoft 365 now has the option to create and configure sensitivity labels, in addition to retention labels. 機密ラベルは、次の管理センターで作成および構成できます。Sensitivity labels can be created and configured in the following admin centers:

  • Office 365 セキュリティ/コンプアライアンス センターOffice 365 Security & Compliance Center
  • Microsoft 365 セキュリティ センターMicrosoft 365 security center
  • Microsoft 365 コンプライアンス センターMicrosoft 365 compliance center

AIP ラベルを統一されたラベル付けストアに移行することによって、Microsoft 365 アプリで Azure Information Protection ラベルを機密ラベルとして使用します。Use Azure Information Protection labels as sensitivity labels with Microsoft 365 apps by migrating your AIP labels to the unified labeling store.

統一されたラベル付け管理とサポートの詳細については、「 機密データを保護するための情報保護機能の可用性の発表」を参照してください。For more information about unified labeling management and support, see Announcing availability of information protection capabilities to help protect your sensitive data.

テナントが統一されたラベル付けプラットフォームにあるかどうかを確認する方法はありますかHow can I determine if my tenant is on the unified labeling platform?

テナントが統一されたラベル付けプラットフォームにある場合、統一されたラベル 付けをサポートするクライアントとサービスが使用できる機密ラベルをサポートします。When your tenant is on the unified labeling platform, it supports sensitivity labels that can be used by clients and services that support unified labeling. 2019年6月以降に Azure Information Protection のサブスクリプションを取得した場合、テナントは自動的に統合されたラベル付けプラットフォームになり、それ以上の操作は必要ありません。If you obtained your subscription for Azure Information Protection in June 2019 or later, your tenant is automatically on the unified labeling platform and no further action is needed. また、ユーザーが Azure Information Protection ラベルを移行したため、テナントがこのプラットフォーム上に存在する場合もあります。Your tenant might also be on this platform because somebody migrated your Azure Information Protection labels.

テナントが統一されたラベル付けプラットフォームにない場合は、Azure portal の Azure Information Protection ペインに次の情報バナーが表示されます。If your tenant is not on the unified labeling platform, you'll see the following information banner in the Azure portal, on the Azure Information Protection panes:

移行情報バナー

また、[ Azure Information Protection の > 統合ラベルの 管理] に移動して、統一さ > Unified labeling れた ラベル の状態を確認することもできます。You can also check by going to Azure Information Protection > Manage > Unified labeling, and view the Unified labeling status:

StatusStatus 説明Description
行っActivated テナントは、統一されたラベル付けプラットフォーム上にあります。Your tenant is on the unified labeling platform.
Microsoft 365 コンプライアンスセンターで ラベルを作成、構成、および発行 することができます。You can create, configure, and publish labels from the Microsoft 365 compliance center.
非アクティブ化Not activated テナントは、統一されたラベル付けプラットフォーム上にありません。Your tenant is not on the unified labeling platform.
移行の手順とガイダンスについては、「 Azure Information Protection ラベルを統合秘密度ラベルに移行する方法」を参照してください。For migration instructions and guidance, see How to migrate Azure Information Protection labels to unified sensitivity labels.

Azure Information Protection クラシックと統合されたラベル付けクライアントの違いは何ですか。What's the difference between the Azure Information Protection classic and unified labeling clients?

Azure Information client または クラシック クライアントと呼ばれる元のクライアントは、azure からラベルとポリシー設定をダウンロードし、Azure portal から AIP ポリシーを構成できます。The original client, referred to as the Azure Information client or the classic client, downloads labels and policy settings from Azure and enables you to configure the AIP policy from the Azure portal.

統一された ラベル付けクライアント はより新しい追加であり、複数のアプリケーションやサービスで使用される統一されたラベル付けストアをサポートしています。The unified labeling client is a more recent addition and supports the unified labeling store used by multiple applications and services. 統一されたラベル付けクライアントは、次の管理センターから 機密ラベル とポリシー設定をダウンロードします。The unified labeling client downloads sensitivity labels and policy settings from the following admin centers:

  • Office 365 セキュリティ/コンプアライアンス センターOffice 365 Security & Compliance Center
  • Microsoft 365 セキュリティ センターMicrosoft 365 security center
  • Microsoft 365 コンプライアンス センターMicrosoft 365 compliance center

管理者であり、使用するクライアントがわからない場合は、「 使用する Azure Information Protection クライアントを選択する」を参照してください。If you're an admin and aren't sure which client to use, see Choose which Azure Information Protection client to use.

インストールしたクライアントを特定するIdentify the client you have installed

クラシックまたは統合されたラベル付けクライアントがインストールされているかどうかを確認するユーザーの場合は、[ ヘルプとフィードバック ] を選択して [ Microsoft Azure Information Protection ] ダイアログボックスを表示します。If you are a user who wants to understand verify whether you have the classic or unified labeling client installed, select Help and Feedback to show the Microsoft Azure Information Protection dialog box.

例:For example:

クラシックまたは統合クライアントがインストールされているかどうかを確認する

バージョン番号は、次のようにクライアントを示します。The version number indicates the client, as follows:

  • バージョン1.x は、クラシッククライアントがあることを示し ていますVersions 1.x indicate that you have the classic client. 例: 1.54.59.0Example: 1.54.59.0
  • バージョン 2.x は、統一されたラベル付けクライアントがあることを示しています。Versions 2.x indicate that you have the unified labeling client. 例: 2.6.111.0Example: 2.6.111.0

次のいずれかの方法を使用して、このダイアログにアクセスします。Access this dialog using one of the following methods:

  • ファイルエクスプローラーで、ファイル、ファイル、またはフォルダーを右クリックし、[分類と保護] [ > ヘルプとフィードバック] の順に選択します。In the File Explorer, right-click a file, files, or folder, select Classify and protect > Help and Feedback.
  • Office アプリケーションでは、クラシッククライアントに [ 保護 ] ボタンがあり、統一されたラベル付けクライアントには [ 感度 ] ボタンがあります。In Office applications, the classic client has a Protect button, and the unified labeling client has a Sensitivity button. これらのボタンのいずれかを選択し、[ ヘルプとフィードバック] を選択します。Select either of these buttons and then select Help and Feedback.

ラベルを移行するのに最適なタイミングWhen is the right time to migrate my labels?

Azure Information Protection ラベルを統一されたラベル付けプラットフォームに移行することをお勧めします。これにより、統一されたラベル付けを サポートする他のクライアントおよびサービスとの感度ラベルとして使用できるようになります。We recommend that you migrate your Azure Information Protection labels to the unified labeling platform so that you can use them as sensitivity labels with other clients and services that support unified labeling.

詳細および手順については、「 Azure Information Protection ラベルを統合秘密度ラベルに移行する方法」を参照してください。For more information and instructions, see How to migrate Azure Information Protection labels to unified sensitivity labels.

ラベルを移行した後に使用する管理ポータルはどれですか。After I've migrated my labels, which management portal do I use?

Azure portal でラベルを移行したら、インストールしたクライアントに応じて、次のいずれかの場所で管理を続行します。After you've migrated your labels in the Azure portal, continue managing them in one of the following locations, depending on the clients you have installed:

ClientClient 説明Description
クライアントとサービスのみの統一 されたラベル付けUnified labeling clients and services only 統一されたラベル付けクライアントがインストールされている場合は、管理センターの1つでラベルを管理します。 Office 365 セキュリティ & コンプライアンスセンター、Microsoft 365 security center、または Microsoft 365 コンプライアンスセンターです。If you only have unified labeling clients installed, manage your labels in one of the admin centers: Office 365 Security & Compliance Center, Microsoft 365 security center, or Microsoft 365 compliance center. 統合ラベル付けのクライアントは、これらの管理センターからラベルとポリシー設定をダウンロードします。Unified labeling clients download the labels and policy settings from these admin centers.

手順については、「 秘密度ラベルとそのポリシーを作成して構成する」を参照してください。For instructions, see Create and configure sensitivity labels and their policies.
従来のクライアント のみClassic client only ラベルを移行した後も従来のクライアントがインストールされている場合は、引き続き Azure portal を使用してラベルとポリシー設定を編集します。If you've migrated your labels, but still have the classic client installed, continue to use the Azure portal to edit labels and policy settings. クラシッククライアントは、Azure からラベルとポリシー設定を引き続きダウンロードします。The classic client continues to download labels and policy settings from Azure.
AIP クラシッククライアント と統一された ラベル付け クライアントの両方Both the AIP classic client and unified labeling clients 両方のクライアントがインストールされている場合は、管理センターまたは Azure portal を使用してラベルを変更します。If you have both of the clients installed, use the admin centers or the Azure portal to make label changes.

クラシッククライアントが管理センターで行われたラベルの変更を取得するには、Azure portal に戻り、発行します。For the classic clients to pick up label changes made in the admin centers, return to the Azure portal to publish them. [Azure portal > Azure Information Protection-統合ラベル ] ウィンドウで、[ 発行] を選択します。In the Azure portal > Azure Information Protection - Unified labeling pane, select Publish.

中央レポート機能スキャナーには、引き続き Azure portal を使用します。Continue to use the Azure portal for central reporting and the scanner.

機密ラベルと統合されたラベル付けプラットフォームに移行した後、ファイルを再暗号化する必要がありますか。Do I need to re-encrypt my files after moving to sensitivity labels and the unified labeling platform?

いいえ。 AIP クラシッククライアントからの移行後、および Azure portal で管理されているラベルを使用して、機密ラベルと統一されたラベル付けプラットフォームに移行した後、ファイルを再暗号化する必要はありません。No, you don’t need to re-encrypt your files after moving to sensitivity labels and the unified labeling platform after migrating from the AIP classic client and the labels managed in the Azure portal.

移行した後、ラベル管理センター (Microsoft security center、Microsoft コンプライアンスセンター、Microsoft セキュリティ & コンプライアンスセンターなど) からラベルとラベル付けポリシーを管理します。After migrating, manage your labels and labeling policies from your labeling admin center, including the Microsoft security center, Microsoft compliance center, or the Microsoft Security & Compliance Center.

詳細については、Microsoft 365 のドキュメントの「 機密ラベルについ て」および「 統合ラベルの移行 に関するブログ」を参照してください。For more information, see Learn about sensitivity labels in the Microsoft 365 documentation and the Understanding unified labeling migration blog.

Azure Information Protection と Azure Rights Management の違いは何ですか。What's the difference between Azure Information Protection and Azure Rights Management?

Azure Information Protection (AIP) は、組織のドキュメントや電子メールの分類、ラベル付け、保護を提供します。Azure Information Protection (AIP) provides classification, labeling, and protection for an organization's documents and emails.

コンテンツは、AIP のコンポーネントである Azure Rights Management サービスを使用して保護されます。Content is protected using the Azure Rights Management service, which is now a component of AIP.

詳細については、「 AIP によるデータの保護 」および「 Azure Rights Management とは」を参照してください。For more information, see How AIP protects your data and What is Azure Rights Management?.

Azure Information Protection の id 管理の役割は何ですか。What's the role of identity management for Azure Information Protection?

Id 管理は、保護されたコンテンツにアクセスするためにユーザーが有効なユーザー名とパスワードを持っている必要があるため、AIP の重要なコンポーネントです。Identity management is an important component of AIP, as users must have a valid user name and password to access protected content.

Azure Information Protection でデータを保護するしくみについての詳細は、「データのセキュリティ保護における Azure Information Protection の役割」をご覧ください。To read more about how Azure Information Protection helps to secure your data, see The role of Azure Information Protection in securing data.

Azure Information Protection にはどのようなサブスクリプションが必要ですか。どのような機能が含まれていますか。What subscription do I need for Azure Information Protection and what features are included?

AIP サブスクリプションの詳細については、「 Azure Information Protection の価格 」ページのサブスクリプション情報と機能一覧を参照してください。To understand more about AIP subscriptions, see the subscription information and feature list on the Azure Information Protection pricing page.

Azure Rights Management data protection を含む Microsoft 365 サブスクリプションがある場合は、AIP との統合の詳細について Azure Information Protection ライセンスデータシート をダウンロードしてください。If you have a Microsoft 365 subscription that includes Azure Rights Management data protection, download the Azure Information Protection licensing datasheet for more details about integrating with AIP.

ライセンスについてまだご質問がありますか。Still have questions about licensing? ライセンスについてよく寄せられる質問のセクションで回答されているかどうかを確認してください。See if they are answered in the frequently asked questions for licensing section.

Azure Information Protection client は分類とラベル付けを含むサブスクリプション用のみでしょうか。Is the Azure Information Protection client only for subscriptions that include classification and labeling?

いいえ。No. クラシック AIP クライアントは、Azure Rights Management サービスだけを含むサブスクリプションでも使用できます。データ保護のみが対象となります。The classic AIP client can also be used with subscriptions that include just the Azure Rights Management service, for data protection only.

Azure Information Protection ポリシーを使用せずにクラシッククライアントをインストールすると、クライアントは 保護のみモードで自動的に動作します。これにより、ユーザーは Rights Management テンプレートとカスタムアクセス許可を適用できます。When the classic client is installed without an Azure Information Protection policy, the client automatically operates in protection-only mode, which enables users to apply Rights Management templates and custom permissions.

分類とラベル付けを含むサブスクリプションを後で購入した場合、Azure Information Protection ポリシーをダウンロードする際に、クライアントは自動的に標準モードへと切り替わります。If you later purchase a subscription that does include classification and labeling, the client automatically switches to standard mode when it downloads the Azure Information Protection policy.

Azure Information Protection を構成するにはグローバル管理者である必要がありますか、または他の管理者に委任できますか?Do you need to be a global admin to configure Azure Information Protection, or can I delegate to other administrators?

Microsoft 365 テナントまたは Azure AD テナントのグローバル管理者は、Azure Information Protection のすべての管理タスクを明らかに実行できます。Global administrators for a Microsoft 365 tenant or Azure AD tenant can obviously run all administrative tasks for Azure Information Protection.

ただし、管理アクセス許可を他のユーザーに割り当てる場合は、次の役割を使用します。However, if you want to assign administrative permissions to other users, do so using the following roles:

また、管理タスクと役割を管理する際には、次の点に注意してください。Additionally, note the following when managing administrative tasks and roles:

トピックTopic 詳細Details
サポートされているアカウントの種類Supported account types Microsoft アカウントは、一覧表示されているいずれかの管理者ロールにアカウントが割り当てられている場合でも、Azure Information Protection の代理管理ではサポートされません。Microsoft accounts are not supported for delegated administration of Azure Information Protection, even if these accounts are assigned to one of the administrative roles listed.
オンボードコントロールOnboarding controls オンボーディング コントロールを構成してある場合は、RMS コネクタを除き、Azure Information Protection を管理する機能に影響はありません。If you have configured onboarding controls, this configuration does not affect the ability to administer Azure Information Protection, except the RMS connector.

たとえば、オンボードコントロールを構成して、コンテンツを保護する機能が IT 部門 のグループに限定されるようにした場合、RMS コネクタのインストールと構成に使用するアカウントは、そのグループのメンバーである必要があります。For example, if you have configured onboarding controls so that the ability to protect content is restricted to the IT department group, the account used to install and configure the RMS connector must be a member of that group.
保護の削除Removing protection 管理者は、Azure Information Protection によって保護されたドキュメントまたは電子メールから保護を自動的に削除することはできません。Administrators cannot automatically remove protection from documents or emails that were protected by Azure Information Protection.

スーパーユーザーとして割り当てられているユーザーのみが保護を削除でき、スーパーユーザー機能が有効になっている場合のみです。Only users who are assigned as super users can do remove protection, and only when the super user feature is enabled.

Azure Information Protection に対する管理アクセス許可を持つすべてのユーザーは、スーパーユーザー機能を有効にし、自分のアカウントを含むスーパーユーザーとしてユーザーを割り当てることができます。Any user with administrative permissions to Azure Information Protection can enable the super user feature, and assign users as super users, including their own account.

これらのアクションは、管理者ログに記録されます。These actions are recorded in an administrator log.

詳細については、「 Azure Information Protection および探索サービスまたはデータ回復用のスーパーユーザーの構成」のセキュリティのベストプラクティスに関するセクションを参照してください。For more information, see the security best practices section in Configuring super users for Azure Information Protection and discovery services or data recovery.
統一されたラベル付けストアへの移行Migrating to the unified labeling store Azure Information Protection ラベルを統合ラベルストアに移行する場合は、「移行に関するドキュメント」の次のセクションを必ず参照してください。If you are migrating your Azure Information Protection labels to the unified labeling store, be sure to read the following section from the label migration documentation:
統一されたラベル付けプラットフォームをサポートする管理ロールAdministrative roles that support the unified labeling platform.

Azure Information Protection 管理者Azure Information Protection administrator

管理者はこの Azure Active Directory 管理者ロールを使用して Azure Information Protection を構成できますが、他のサービスは構成できません。This Azure Active Directory administrator role lets an administrator configure Azure Information Protection but not other services.

この役割を持つ管理者は、次のことができます。Administrators with this role can:

ユーザーに管理者ロールを割り当てるには、「Azure Active Directory でユーザーを管理者ロールに割り当てる」を参照してください。To assign a user to this administrative role, see Assign a user to administrator roles in Azure Active Directory.

注意

このロールは、ユーザーのドキュメントの追跡と取り消しをサポートしていません。テナントが統一された ラベル付けプラットフォームにある場合、Azure portal ではサポートされません。This role doesn't support tracking and revoking documents for users, and is not supported in the Azure portal if your tenant is on the unified labeling platform.

コンプライアンス管理者またはコンプライアンスデータ管理者Compliance administrator or Compliance data administrator

これらの Azure Active Directory 管理者ロールにより、管理者は次のことができます。These Azure Active Directory administrator roles enable administrators to:

  • Azure Rights Management Protection サービスのアクティブ化と非アクティブ化を含む Azure Information Protection の構成Configure Azure Information Protection, including activating and deactivating the Azure Rights Management protection service
  • 保護設定とラベルを構成するConfigure protection settings and labels
  • Azure Information Protection ポリシーを構成するConfigure the Azure Information Protection policy
  • Azure Information Protection クライアントおよびaipservice モジュールから、すべての PowerShell コマンドレットを実行します。Run all the PowerShell cmdlets for the Azure Information Protection client and from the AIPService module.

ユーザーに管理者ロールを割り当てるには、「Azure Active Directory でユーザーを管理者ロールに割り当てる」を参照してください。To assign a user to this administrative role, see Assign a user to administrator roles in Azure Active Directory.

これらのロールが割り当てられているユーザーの他のアクセス許可については、Azure Active Directory のドキュメントの「 利用可能な役割 」セクションを参照してください。To see what other permissions a user with these roles have, see the Available roles section from the Azure Active Directory documentation.

注意

これらのロールは、ユーザーのドキュメントの追跡と取り消しをサポートしていません。These roles don't support tracking and revoking documents for users.

セキュリティ閲覧者またはグローバルリーダーSecurity reader or Global reader

これらのロールは Azure Information Protection analytics にのみ使用され、管理者は次のことを行うことができます。These roles are used for Azure Information Protection analytics only, and enable administrators to:

  • ラベルがどのように使用されているかを表示するView how your labels are being used
  • ラベル付きドキュメントと電子メールへのユーザーアクセスを監視するMonitor user access to labeled documents and emails
  • 分類に加えられた変更の表示View changes made to classification
  • 保護する必要がある機密情報が含まれているドキュメントを識別するIdentify documents that contain sensitive information that must be protected

この機能は Azure Monitor を使用するため、サポート RBAC ロールも必要です。Because this feature uses Azure Monitor, you must also have a supporting RBAC role.

セキュリティ管理者Security administrator

この Azure Active Directory 管理者ロールを使用すると、管理者は Azure portal の Azure Information Protection と、他の Azure サービスのいくつかの側面を構成できます。This Azure Active Directory administrator role enables administrators to configure Azure Information Protection in the Azure portal as well as some aspects of other Azure services.

このロールを持つ管理者は、 AIPService モジュールから PowerShell コマンドレットを実行したり、ユーザーのドキュメントを追跡したり取り消したりすることはできません。Administrators with this role cannot run any of the PowerShell cmdlets from the AIPService module, or track and revoke documents for users.

ユーザーに管理者ロールを割り当てるには、「Azure Active Directory でユーザーを管理者ロールに割り当てる」を参照してください。To assign a user to this administrative role, see Assign a user to administrator roles in Azure Active Directory.

この役割のユーザーが持つその他のアクセス許可を確認するには、Azure Active Directory ドキュメントの「使用可能なロール」セクションを参照してください。To see what other permissions a user with this role has, see the Available roles section from the Azure Active Directory documentation.

Azure Rights Management 全体管理者とコネクタ管理者Azure Rights Management Global Administrator and Connector Administrator

グローバル管理者ロールを使用すると、ユーザーは、他のクラウドサービスのグローバル管理者になることなく、 AIPService モジュールからすべての PowerShell コマンドレット を実行できます。The Global Administrator role enables users to run all PowerShell cmdlets from the AIPService module without making them a global administrator for other cloud services.

コネクタ管理者ロールは、ユーザーが Rights Management (RMS) コネクタのみを実行できるようにします。The Connector Administrator role enables users to run only the Rights Management (RMS) connector.

これらの管理者ロールは、管理コンソールにアクセス許可を付与したり、ユーザーのドキュメントの追跡と取り消しをサポートしたりすることはありません。These administrative roles don't grant permissions to management consoles, or support tracking and revoking documents for users.

これらの管理者ロールのいずれかを割り当てるには、AIPService PowerShell コマンドレットを使用します。To assign either of these administrative roles, use the AIPService PowerShell cmdlet, Add-AipServiceRoleBasedAdministrator.

Azure Information Protection はオンプレミスおよびハイブリッドのシナリオをサポートしますか?Does Azure Information Protection support on-premises and hybrid scenarios?

はい。Yes. Azure Information Protection はクラウドベースのソリューションですが、クラウドだけでなく、オンプレミスに保存されているドキュメントや電子メールの分類、ラベル付け、および保護が可能です。Although Azure Information Protection is a cloud-based solution, it can classify, label, and protect documents and emails that are stored on-premises, as well as in the cloud.

Exchange Server、SharePoint Server、および Windows ファイルサーバーがある場合は、次のいずれかまたは両方の方法を使用します。If you have Exchange Server, SharePoint Server, and Windows file servers, use one or both of the following methods:

  • これらのオンプレミスサーバーが Azure Rights Management サービスを使用して電子メールとドキュメントを保護できるように、 Rights Management コネクタ をデプロイします。Deploy the Rights Management connector so that these on-premises servers can use the Azure Rights Management service to protect your emails and documents
  • Active Directory ドメインコントローラーを Azure AD と同期してフェデレーションし、ユーザーにとってシームレスな認証エクスペリエンスを実現します。Synchronize and federate your Active Directory domain controllers with Azure AD for a more seamless authentication experience for users. たとえば、 Azure AD Connectを使用します。For example, use Azure AD Connect.

Azure Rights Management サービスは、必要に応じて XrML 証明書を自動的に生成して管理するため、オンプレミスの PKI は使用しません。The Azure Rights Management service automatically generates and manages XrML certificates as required, so it doesn't use an on-premises PKI.

Azure Rights Management での証明書の使用方法の詳細については、「 Azure RMS の使用方法: 初めての使用、コンテンツ保護、コンテンツ消費」のチュートリアルを参照してください。For more information about how Azure Rights Management uses certificates, see the Walkthrough of how Azure RMS works: First use, content protection, content consumption.

Azure Information Protection ではどのようなデータの種類を分類し、保護できますか?What types of data can Azure Information Protection classify and protect?

Azure Information Protection では、メール メッセージやドキュメントがオンプレミスまたはクラウドのどちらに配置されていても、それらを分類し、管理することができます。Azure Information Protection can classify and protect email messages and documents, whether they are located on-premises or in the cloud. これらのドキュメントには、Word ドキュメント、Excel スプレッドシート、PowerPoint プレゼンテーション、PDF ドキュメント、テキストベースのファイル、および画像ファイルが含まれます。These documents include Word documents, Excel spreadsheets, PowerPoint presentations, PDF documents, text-based files, and image files.

詳細については、「 サポートされているファイルの種類の一覧」を参照してください。For more information, see the full list file types supported.

注意

Azure Information Protection では、データベースファイル、予定表アイテム、Yammer の投稿、Sway コンテンツ、OneNote ノートブックなどの構造化データを分類して保護することはできません。Azure Information Protection cannot classify and protect structured data such as database files, calendar items, Yammer posts, Sway content, and OneNote notebooks.

ヒント

Power BI では、機密ラベルを使用した分類がサポートされるようになりました。また、次のファイル形式 (.pdf、.xls、.ppt) にエクスポートされたデータに、これらのラベルからの保護を適用できます。Power BI now supports classification by using sensitivity labels and can apply protection from those labels to data that is exported to the following file formats: .pdf, .xls, and .ppt. 詳細については、「Power BI におけるデータ保護」を参照してください。For more information, see Data protection in Power BI.

条件付きアクセスに利用できるクラウド アプリとして Azure Information Protection が一覧に記載されています。これはどのように動作しますか。I see Azure Information Protection is listed as an available cloud app for conditional access—how does this work?

はい。プレビュー オファリングとして、Azure Information Protection に Azure AD 条件付きアクセスを構成できるようになりました。Yes, as a preview offering, you can now configure Azure AD conditional access for Azure Information Protection.

Azure Information Protection で保護されているドキュメントをユーザーが開くとき、標準的な条件付きアクセス コントロールに基づき、管理者は自分のテナントでユーザーをブロックするか、アクセス許可を与えることができるようになりました。When a user opens a document that is protected by Azure Information Protection, administrators can now block or grant access to users in their tenant, based on the standard conditional access controls. 最も一般的に要求される条件の 1 つが多要素認証 (MFA) を要求することです。Requiring multi-factor authentication (MFA) is one of the most commonly requested conditions. もう 1 つは、デバイスが Intune ポリシーに準拠する必要があるということです (たとえば、モバイル デバイスがパスワード要件やオペレーティング システムの最小バージョンを満たすようにする)。また、コンピューターはドメインに参加する必要があります。Another one is that devices must be compliant with your Intune policies so that for example, mobile devices meet your password requirements and a minimum operating system version, and computers must be domain-joined.

チュートリアル形式の例が必要であれば、ブログ投稿の「Conditional Access policies for Azure Information Protection」 (Azure Information Protection の条件付きアクセス ポリシー) を参照してください。For more information and some walk-through examples, see the following blog post: Conditional Access policies for Azure Information Protection.

追加情報:Additional information:

トピックTopic 詳細Details
評価の頻度Evaluation frequency Windows コンピューターと現在のプレビューリリースでは、 ユーザー環境が初期化さ れると (このプロセスはブートストラップとも呼ばれます)、その後30日ごとに、Azure Information Protection の条件付きアクセスポリシーが評価されます。For Windows computers, and the current preview release, the conditional access policies for Azure Information Protection are evaluated when the user environment is initialized (this process is also known as bootstrapping), and then every 30 days.

条件付きアクセスポリシーが評価される頻度を微調整するには、 トークンの有効期間を構成します。To fine-tune how often your conditional access policies get evaluated, configure the token lifetime.
管理者アカウントAdministrator accounts 条件付きアクセスポリシーに管理者アカウントを追加しないことをお勧めします。これらのアカウントは、Azure portal の [Azure Information Protection] ウィンドウにアクセスできないためです。We recommend that you do not add administrator accounts to your conditional access policies because these accounts will not be able to access the Azure Information Protection pane in the Azure portal.
MFA と B2B コラボレーションMFA and B2B collaboration 他の組織とのコラボレーション (B2B) のための条件付きアクセス ポリシーで MFA を使用する場合は、Azure AD B2B コラボレーションを使用して、他の組織と共有するユーザーのためのゲスト アカウントを作成する必要があります。If you use MFA in your conditional access policies for collaborating with other organizations (B2B), you must use Azure AD B2B collaboration and create guest accounts for the users you want to share with in the other organization.
使用条件のプロンプトTerms of Use prompts Azure AD 12 月2018プレビューリリースでは、保護されたドキュメントを初めて開く前に、 使用条件に同意するようにユーザーに求める ことができるようになりました。With the Azure AD December 2018 preview release, you can now prompt users to accept a terms of use before they open a protected document for the first time.
クラウド アプリCloud apps 多くのクラウド アプリで条件付きアクセスを使用する場合、選択対象の一覧に Microsoft Azure Information Protection が表示されないことがあります。If you use many cloud apps for conditional access, you might not see Microsoft Azure Information Protection displayed in the list to select.

その場合、一覧の上にある検索ボックスを使用します。In this case, use the search box at the top of the list. 「Microsoft Azure Information Protection」と入力し、利用可能アプリを絞り込みます。Start typing "Microsoft Azure Information Protection" to filter the available apps. サポートされているサブスクリプションがある場合、選択対象として Microsoft Azure Information Protection が表示されます。Providing you have a supported subscription, you'll then see Microsoft Azure Information Protection to select.

注意

条件付きアクセスの Azure Information Protection サポートは、現在プレビューの段階です。The Azure Information Protection support for conditional access is currently in PREVIEW. Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。The Azure Preview Supplemental Terms include additional legal terms that apply to Azure features that are in beta, preview, or otherwise not yet released into general availability.

Azure Information Protection が Microsoft Graph Security のセキュリティ プロバイダーとして記載されています。これはどのように動作しますか? また、どのようなアラートを受信できますか?I see Azure Information Protection is listed as a security provider for Microsoft Graph Security—how does this work and what alerts will I receive?

はい。公共プレビュー サービスとして、Azure Information Protection の異常なデータ アクセス に対するアラートを受信できるようになりました。Yes, as a public preview offering, you can now receive an alert for Azure Information Protection anomalous data access. Azure Information Protection によって保護されているデータに対する異常なアクセスの試行があると、このアラートがトリガーされます。This alert is triggered when there are unusual attempts to access data that is protected by Azure Information Protection. たとえば、異常に大量のデータへのアクセス、不自然な時間帯でのアクセス、または不明な場所からのアクセスなどです。For example, accessing an unusually high volume of data, at an unusual time of day, or access from an unknown location.

このようなアラートは、データ関連の高度な攻撃や、環境内部の脅威を検出するのに役立ちます。Such alerts can help you to detect advanced data-related attacks and insider threats in your environment. これらのアラートでは、保護されたデータにアクセスするユーザーの動作をプロファイルするために機械学習が使用されます。These alerts use machine learning to profile the behavior of users who access your protected data.

Azure Information Protection のアラートにアクセスするには、Microsoft Graph Security API を使用します。または、Azure Monitor を使用して、Splunk や IBM Qradar などの SIEM ソリューションにアラートをストリームすることができます。The Azure Information Protection alerts can be accessed by using the Microsoft Graph Security API, or you can stream alerts to SIEM solutions, such as Splunk and IBM Qradar, by using Azure Monitor.

Microsoft Graph Security API について詳しくは、「Microsoft Graph Security API の概要」をご覧ください。For more information about the Microsoft Graph Security API, see Microsoft Graph Security API overview.

注意

Microsoft Graph セキュリティの Azure Information Protection サポートは、現在プレビューの段階です。The Azure Information Protection support for Microsoft Graph Security is currently in PREVIEW. Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。The Azure Preview Supplemental Terms include additional legal terms that apply to Azure features that are in beta, preview, or otherwise not yet released into general availability.

Windows Server FCI と Azure Information Protection スキャナーの違いは何ですか。What's the difference between Windows Server FCI and the Azure Information Protection scanner?

Rights Management コネクタ (Office ドキュメントのみ) や PowerShell スクリプト (すべてのファイルの種類) を使用してドキュメントを分類して保護するために、これまでは Windows Server ファイル分類インフラストラクチャが選択されてきました。Windows Server File Classification Infrastructure has historically been an option to classify documents and then protect them by using the Rights Management connector (Office documents only) or a PowerShell script (all file types).

これからは、Azure Information Protection スキャナーの使用をお勧めします。We now recommend you use the Azure Information Protection scanner. スキャナーは Azure Information Protection クライアントと Azure Information Protection ポリシーを使用して、ドキュメント (すべてのファイルの種類) にラベルを付けるため、これらのドキュメントは分類され、必要に応じて保護されます。The scanner uses the Azure Information Protection client and your Azure Information Protection policy to label documents (all file types) so that these documents are then classified and optionally, protected.

この 2 つのトポロジの主な違いを次に示します。The main differences between these two solutions:

Windows Server FCIWindows Server FCI Azure Information Protection スキャナーAzure Information Protection scanner
サポートされているデータ ストアSupported data stores Windows Server 上のローカルフォルダーLocal folders on Windows Server - Windows ファイル共有とネットワーク接続ストレージ- Windows file shares and network-attached storage

- SharePoint Server 2016 と SharePoint Server 2013。- SharePoint Server 2016 and SharePoint Server 2013. このバージョンの SharePoint の延長サポートが含まれるお客様向けに SharePoint Server 2010 もサポートされています。SharePoint Server 2010 is also supported for customers who have extended support for this version of SharePoint.
操作モードOperational mode リアルタイムReal time データストアを体系的に1回または繰り返しクロールするSystematically crawls the data stores once or repeatedly
サポートされるファイルの種類Supported file types - すべてのファイルの種類が既定で保護されます- All file types are protected by default

- レジストリを編集することで、特定のファイルの種類を保護から除外できます- Specific file types can be excluded from protection by editing the registry
ファイルの種類ごとのサポート:Support for file types:

- Office ファイルの種類と PDF ドキュメントは既定で保護されます- Office file types and PDF documents are protected by default

- レジストリを編集することで、保護に含めるファイルの種類を追加できます- Additional file types can be included for protection by editing the registry

Rights Management 所有者の設定Setting Rights Management owners

既定では、Windows Server FCI と Azure Information Protection スキャナーの両方について、 Rights Management 所有者 は、ファイルを保護するアカウントに設定されます。By default, for both Windows Server FCI and the Azure Information Protection scanner, the Rights Management owner is set to the account that protects the file.

既定の設定を次のようにオーバーライドします。Override the default settings as follows:

  • Windows Server FCI: すべてのファイルに対して1つのアカウントとして Rights Management 所有者を設定するか、または各ファイルの Rights Management 所有者を動的に設定します。Windows Server FCI: Set the Rights Management owner to be a single account for all files, or dynamically set the Rights Management owner for each file.

    Rights Management 所有者を動的に設定するには、-OwnerMail [ソース ファイルの所有者の電子メール] パラメーターと値を使用します。To dynamically set the Rights Management owner, use the -OwnerMail [Source File Owner Email] parameter and value. この構成では、ファイルの所有者プロパティのユーザー アカウント名を使用して、Active Directory からユーザーのメール アドレスを取得します。This configuration retrieves the user's email address from Active Directory by using the user account name in the file's Owner property.

  • Azure Information Protection スキャナー: 新しく保護されたファイルについては、スキャナープロファイルの 既定の所有者 設定を指定して、指定したデータストアのすべてのファイルに対して1つのアカウントに Rights Management 所有者を設定します。Azure Information Protection scanner: For newly protected files, set the Rights Management owner to be a single account for all files on a specified data store, by specifying the -Default owner setting in the scanner profile.

    各ファイルの Rights Management 所有者を動的に設定することはできません。また、Rights Management 所有者は、以前に保護されていたファイルに対して変更されません。Dynamically setting the Rights Management owner for each file is not supported, and the Rights Management owner is not changed for previously protected files.

    注意

    スキャナーで SharePoint サイトおよびライブラリのファイルを保護する場合、Rights Management 所有者は SharePoint エディターの値を使用して、ファイルごとに動的に設定されます。When the scanner protects files on SharePoint sites and libraries, the Rights Management owner is dynamically set for each file by using the SharePoint Editor value.

新しいリリースは、Azure Information Protection について間もなく提供される予定です。いつリリースされますか?I've heard a new release is going to be available soon, for Azure Information Protection—when will it be released?

技術文書には今後のリリースに関する情報は含まれません。The technical documentation does not contain information about upcoming releases. この種類の情報については、 Microsoft 365 ロードマップを使用して、 Enterprise Mobility + Security ブログを確認してください。For this type of information, use the Microsoft 365 Roadmap, check the Enterprise Mobility + Security Blog.

自分の国に Azure Information Protection は適していますか?Is Azure Information Protection suitable for my country?

国によって、さまざまな要件と規制があります。Different countries have different requirements and regulations. 組織のこの質問に対する回答は、国ごとの適合性に関する記事が役立ちます。To help you answer this question for your organization, see Suitability for different countries.

Azure Information Protection は GDPR にどのように役立ちますか?How can Azure Information Protection help with GDPR?

注意

個人データの表示または削除に関心がある場合は、Microsoft Compliance Manager および Microsoft 365 Enterprise コンプライアンス サイトの GDPR セクションで、Microsoft のガイダンスをご覧ください。If you’re interested in viewing or deleting personal data, please review Microsoft's guidance in the Microsoft Compliance Manager and in the GDPR section of the Microsoft 365 Enterprise Compliance site. GDPR に関する一般的な情報については、Service Trust Portal の GDPR セクションを参照してください。If you’re looking for general information about GDPR, see the GDPR section of the Service Trust portal.

Azure Information Protection のコンプライアンスとサポート情報」を参照してください。See Compliance and supporting information for Azure Information Protection.

Azure Information Protection の問題を報告またはフィードバックを送信するにはどうすればよいですか。How can I report a problem or send feedback for Azure Information Protection?

テクニカル サポートの場合は、標準のサポート チャネルを使用するか、Microsoft サポートに問い合わせてください。For technical support, use your standard support channels or contact Microsoft Support.

Azure Information Protection の Yammer サイトで Azure Information Protection チームと情報交換することもできます。We also invite you to engage with our engineering team, on their Azure Information Protection Yammer site.

質問がここにない場合はどうすればよいですか。What do I do if my question isn't here?

まず、分類とラベル付け、またはデータ保護に固有のよく寄せられる質問を確認してください。First, review the frequently asked questions listed below, which are specific to classification and labeling, or specific to data protection. Azure Rights Management サービス (Azure RMS)は、Azure Information Protection のデータ保護テクノロジを提供します。The Azure Rights Management service (Azure RMS) provides the data protection technology for Azure Information Protection. Azure RMS は分類およびラベル付けと併用するか、単体で使用できます。Azure RMS can be used with classification and labeling, or by itself.

質問に答えがない場合は、「 Azure Information Protection の情報とサポート」に記載されているリンクとリソースを参照してください。If your question isn't answered, see the links and resources listed in Information and support for Azure Information Protection.

さらに、エンドユーザー向けの FAQ が用意されています。In addition, there are FAQs designed for end users: