Azure Information Protection に関してよく寄せられる質問Frequently asked questions for Azure Information Protection

適用対象: Azure Information ProtectionOffice 365Applies to: Azure Information Protection, Office 365

Azure Information Protection、または Azure Rights Management サービス (Azure RMS) に関して質問がございますか。Have a question about Azure Information Protection, or about the Azure Rights Management service (Azure RMS)? ここで回答を探してみてください。See if it's answered here.

これらの FAQ ページは定期的に更新されます。新しい情報は Azure Information Protection 技術ブログ上の月次のドキュメント更新発表に一覧表示されます。These FAQ pages are updated regularly, with new additions listed in the monthly documentation update announcements on the Azure Information Protection technical blog.

Azure Information Protection と Microsoft Information Protection の違いは何ですか。What's the difference between Azure Information Protection and Microsoft Information Protection?

Azure Information Protection とは異なり、Microsoft Information Protection は購入できるサブスクリプションや製品ではありません。Unlike Azure Information Protection, Microsoft Information Protection isn't a subscription or product that you can buy. そうではなく、これは組織の機密情報を保護するのに役立つ製品および統合された機能のフレームワークです。Instead, it's a framework for products and integrated capabilities that help you protect your organization's sensitive information:

  • このフレームワークに含まれる個々の製品には、Azure Information Protection、Office 365 Information Protection (たとえば Office 365 DLP)、Windows Information Protection、Microsoft Cloud App Security などがあります。Individual products in this framework include Azure Information Protection, Office 365 Information Protection (for example, Office 365 DLP), Windows Information Protection, and Microsoft Cloud App Security.

  • このフレームワークに含まれる統合された機能としては、統合ラベルの管理、Office アプリに組み込みのエンド ユーザーのラベル付けエクスペリエンス、Windows で統合ラベルを使用したりデータに保護を適用したりする機能、Microsoft Information Protection SDK、ラベル付けされた PDF と保護された PDF を表示する Adobe Acrobat Reader の新機能などがあります。The integrated capabilities in this framework include unified label management, end-user labeling experiences built into Office apps, the ability for Windows to understand unified labels and apply protection to data, the Microsoft Information Protection SDK, and new functionality in Adobe Acrobat Reader to view labeled and protected PDFs.

詳細については、「Announcing availability of information protection capabilities to help protect your sensitive data」(機密データを保護するために使用できる情報保護機能の発表) をご覧ください。For more information, see Announcing availability of information protection capabilities to help protect your sensitive data.

Azure Information Protection のラベルと Office 365 のラベルにはどのような違いがありますか。What’s the difference between labels in Azure Information Protection and labels in Office 365?

当初は、Office 365 には保有期間ラベルのみがあり、ドキュメントおよび電子メールのコンテンツが Office 365 サービス内にある場合に、それらを分類して監査および保持することができました。Originally, Office 365 had just retention labels that let you classify documents and emails for auditing and retention when that content is in Office 365 services. これに対して、Azure Information Protection のラベルでは、ドキュメントおよび電子メールがオンプレミスのものであるかクラウド内のものであるかに関係なく、ドキュメントと電子メールに対して一貫性のある分類および保護ポリシーを適用できます。In comparison, Azure Information Protection labels let you apply a consistent classification and protection policy for documents and emails whether they are on-premises or in the cloud.

州オーランドの Microsoft Ignite 2018 で発表された管理センターの1つで、リテンション期間のラベルに加えて、機密ラベルを作成して構成できるようになりました。 Office 365 セキュリティ/コンプライアンスセンター、Microsoft 365 Security Centerまたは Microsoft 365 コンプライアンスセンター。Announced at Microsoft Ignite 2018 in Orlando, you now have an option to create and configure sensitivity labels in addition to retention labels in one of the admin centers: The Office 365 Security & Compliance Center, the Microsoft 365 security center, or the Microsoft 365 compliance center. Office アプリでは、既存の Azure Information Protection ラベルを新しい統合ラベルストアに移行して、機密ラベルとして使用することができます。You can migrate your existing Azure Information Protection labels to the new unified labeling store, to be used as sensitivity labels with Office apps.

統合ラベル付けの管理と各ラベルのサポート方法について詳しくは、ブログ記事「Announcing availability of information protection capabilities to help protect your sensitive data」 (機密データの保護に役立つ情報保護機能の可用性の発表) をご覧ください。For more information about unified labeling management and how these labels will be supported, see the blog post, Announcing availability of information protection capabilities to help protect your sensitive data.

既存のラベルの移行の詳細については、「 Azure Information Protection ラベルを統合秘密度ラベルに移行する方法」を参照してください。For more information about migrating your existing labels, see How to migrate Azure Information Protection labels to unified sensitivity labels.

テナントが統一されたラベル付けプラットフォームにあるかどうかを確認する方法はありますかHow can I determine if my tenant is on the unified labeling platform?

テナントが統一されたラベル付けプラットフォームにある場合、統一ラベル付けをサポートするクライアントとサービスは、秘密度ラベルを使用できます。When your tenant is on the unified labeling platform, sensitivity labels can be used by clients and services that support unified labeling. 2019年6月以降に Azure Information Protection のサブスクリプションを取得した場合、テナントは自動的に統合されたラベル付けプラットフォームになり、それ以上の操作は必要ありません。If you obtained your subscription for Azure Information Protection in June 2019 or later, your tenant is automatically on the unified labeling platform and no further action is needed. また、ユーザーが Azure Information Protection ラベルを移行したため、テナントがこのプラットフォーム上に存在する場合もあります。Your tenant might also be on this platform because somebody migrated your Azure Information Protection labels.

状態を確認するには、Azure portal で Azure Information Protectionにアクセスして > の統合されたラベルを管理 > 、統合ラベルの状態を表示します。To check the status, in the Azure portal, go to Azure Information Protection > Manage > Unified labeling, and view the status of Unified labeling:

Azure Information Protection クライアントと Azure Information Protection の統一されたラベル付けクライアントの違いは何ですか。What's the difference between the Azure Information Protection client and the Azure Information Protection unified labeling client?

Azure Information Protection クライアント (クラシック) は、ファイルと電子メールを分類して保護するための新しいサービスとして Azure Information Protection が最初に発表されたため、利用可能になりました。The Azure Information Protection client (classic) has been available since Azure Information Protection was first announced as a new service for classifying and protecting files and emails. このクライアントは、Azure からラベルとポリシー設定をダウンロードし、Azure portal から Azure Information Protection ポリシーを構成します。This client downloads labels and policy settings from Azure, and you configure the Azure Information Protection policy from the Azure portal. 詳細については、「 Azure Information Protection ポリシーの概要」を参照してください。For more information, see Overview of the Azure Information Protection policy.

Azure Information Protection の統一されたラベル付けクライアントは、複数のアプリケーションやサービスがサポートする、統一されたラベル付けストアをサポートするために、より新しい追加機能です。The Azure Information Protection unified labeling client is a more recent addition, to support the unified labeling store that multiple applications and services support. このクライアントは、Office 365 セキュリティ/コンプライアンスセンター、Microsoft 365 Security center、および Microsoft 365 コンプライアンスセンターの管理センターから、機密ラベルとポリシー設定をダウンロードします。This client downloads sensitivity labels and policy settings from the following admin centers: The Office 365 Security & Compliance Center, the Microsoft 365 security center, and the Microsoft 365 compliance center. 詳細については、「秘密度ラベルの概要」を参照してください。For more information, see Overview of sensitivity labels.

使用するクライアントがわからない場合は、「使用する Azure Information Protection クライアントを選択する」を参照してください。If you're not sure which client to use, see Choose which Azure Information Protection client to use.

インストールしたクライアントを特定するIdentify which client you have installed

両方のクライアントがインストールされると、 Azure Information Protectionが表示されます。Both clients, when they are installed, display Azure Information Protection. インストールしたクライアントを識別できるように、 [ヘルプとフィードバック] オプションを使用して [Microsoft Azure Information Protection] ダイアログボックスを開きます。To help you identify which client you have installed, use the Help and feedback option to open the Microsoft Azure Information Protection dialog box:

  • エクスプローラーから単一ファイル、複数ファイル、またはフォルダーを右クリックで選択し、 [分類して保護する][ヘルプとフィードバック] の順に選択します。From File Explorer: Right-select a file, files, or folder, select Classify and protect, and then select Help and Feedback.

  • Office アプリケーションから: [保護] ボタン (クラシッククライアント) または [秘密度] ボタン (統一されたラベル付けクライアント) から、 [ヘルプとフィードバック] を選択します。From an Office application: From the Protect button (the classic client) or Sensitivity button (unified labeling client), select Help and Feedback.

表示されたバージョン番号を使用して、クライアントを識別します。Use the Version number displayed to identify the client:

  • バージョン1(たとえば、 1.53.10.0) は、Azure Information Protection クライアント (クラシック) を識別します。A version 1, for example, 1.53.10.0, identifies the Azure Information Protection client (classic).

  • バージョン2(たとえば、 2.2.14.0) は、Azure Information Protection 統合されたラベル付けクライアントを識別します。A version 2, for example, 2.2.14.0, identifies the Azure Information Protection unified labeling client.

ラベルを移行するのに最適なタイミングWhen is the right time to migrate my labels?

Azure portal のラベルを移行するオプションが一般に利用できるようになったので、移行をアクティブ化することをお勧めします。これにより、ラベルを、統一されたラベル付けをサポートするクライアントとサービスの秘密ラベルとして使用できるようになります。Now that the option to migrate labels in the Azure portal is in general availability, we recommend you activate the migration so that you can use your labels as sensitivity labels with clients and services that support unified labeling.

詳細および手順については、「 Azure Information Protection ラベルを統合秘密度ラベルに移行する方法」を参照してください。For more information and instructions, see How to migrate Azure Information Protection labels to unified sensitivity labels.

ラベルを移行した後に使用する管理ポータルはどれですか。After I've migrated my labels, which management portal do I use?

Azure portal でラベルを移行した場合:After you've migrated your labels in the Azure portal:

  • クライアントとサービスを統一したラベルを作成している場合は、管理センター (Office 365 セキュリティ/コンプライアンスセンター、Microsoft 365 Security center、または Microsoft 365 コンプライアンスセンター) のいずれかにアクセスして、これらのラベルを公開し、ポリシーを構成します。設定。If you have unified labeling clients and services, go to one of the admin centers (Office 365 Security & Compliance Center, Microsoft 365 security center, or Microsoft 365 compliance center) to publish these labels, and to configure their policy settings. 転送されるラベル変更には、いずれかの管理センターを使用します。For label changes going forward, use one of these admin centers. 統合ラベル付けのクライアントは、これらの管理センターからラベルとポリシー設定をダウンロードします。Unified labeling clients download the labels and policy settings from these admin centers.

  • Azure Information Protection クライアント (クラシック)を使用している場合は、引き続き Azure portal を使用してラベルとポリシー設定を編集します。If you have the Azure Information Protection client (classic), continue to use the Azure portal to edit your labels and policy settings. クラシッククライアントは、Azure からラベルとポリシー設定を引き続きダウンロードします。The classic client continues to download labels and policy settings from Azure.

  • 統一されたラベル付けクライアント従来のクライアントの両方がある場合は、管理センターまたは Azure portal を使用してラベルを変更できます。If you have both unified labeling clients and classic clients, you can use the admin centers or the Azure portal to make label changes. ただし、クラシッククライアントで管理センターで行ったラベルの変更を取得するには、Azure portal の [Azure Information Protection 統合ラベル] ウィンドウにある Azure portal: [発行] オプションを使用する必要があります。However, for the classic clients to pick up the label changes that you make in the admin centers, you must return to the Azure portal: Use the Publish option from the Azure Information Protection - Unified labeling pane in the Azure portal.

中央レポート機能スキャナーには、引き続き Azure portal を使用します。Continue to use the Azure portal for central reporting and the scanner.

Azure Information Protection と Azure Rights Management の違いは何ですか。What's the difference between Azure Information Protection and Azure Rights Management?

Azure Information Protection では、組織の文書や電子メールを分類、ラベル付け、保護できます。Azure Information Protection provides classification, labeling, and protection for an organization's documents and emails. 保護テクノロジでは、Azure Information Protection のコンポーネントになった、Azure Rights Management サービスが利用されます。The protection technology uses the Azure Rights Management service; now a component of Azure Information Protection.

Azure Information Protection の id 管理の役割は何ですか。What's the role of identity management for Azure Information Protection?

Azure Information Protection で保護されたコンテンツにアクセスするには、有効なユーザー名とパスワードが必要です。A user must have a valid user name and password to access content that is protected by Azure Information Protection. Azure Information Protection でデータを保護するしくみについての詳細は、「データのセキュリティ保護における Azure Information Protection の役割」をご覧ください。To read more about how Azure Information Protection helps to secure your data, see The role of Azure Information Protection in securing data.

Azure Information Protection にはどのようなサブスクリプションが必要ですか。どのような機能が含まれていますか。What subscription do I need for Azure Information Protection and what features are included?

Azure Information Protection の価格」ページのサブスクリプション情報と機能一覧を参照してください。See the subscription information and feature list on the Azure Information Protection pricing page.

Azure Rights Management データ保護を含む Office 365 サブスクリプションをお持ちの場合は、Azure Information Protection ライセンス データシートをダウンロードしてください。If you have an Office 365 subscription that includes Azure Rights Management data protection, download the Azure Information Protection licensing datasheet.

ライセンスについてまだご質問がありますか。Still have questions about licensing? ライセンスについてよく寄せられる質問のセクションで回答されているかどうかを確認してください。See if they are answered in the frequently asked questions for licensing section.

Azure Information Protection client は分類とラベル付けを含むサブスクリプション用のみでしょうか。Is the Azure Information Protection client only for subscriptions that include classification and labeling?

いいえ。No. Azure Information Protection クライアント (クラシック) は、データを保護するために Azure Rights Management サービスだけを含むサブスクリプションでも使用できます。The Azure Information Protection client (classic) can also be used with subscriptions that include just the Azure Rights Management service to protect data.

クラシッククライアントがインストールされていて、Azure Information Protection ポリシーがない場合、このクライアントは自動的に保護のみモードで動作します。When the classic client is installed and it doesn't have an Azure Information Protection policy, this client automatically operates in protection-only mode. このモードでは、ユーザーは Rights Management テンプレートとカスタム アクセス許可に簡単に適用できます。In this mode, users can easily apply Rights Management templates and custom permissions. 分類とラベル付けを含むサブスクリプションを後で購入した場合、Azure Information Protection ポリシーをダウンロードする際に、クライアントは自動的に標準モードへと切り替わります。If you later purchase a subscription that does include classification and labeling, the client automatically switches to standard mode when it downloads the Azure Information Protection policy.

Azure Information Protection を構成するにはグローバル管理者である必要がありますか、または他の管理者に委任できますか?Do you need to be a global admin to configure Azure Information Protection, or can I delegate to other administrators?

Office 365 テナントまたは Azure AD テナントのグローバル管理者は、Azure Information Protection のすべての管理タスクを実行できます。Global administrators for an Office 365 tenant or Azure AD tenant can obviously run all administrative tasks for Azure Information Protection. ただし、管理アクセス許可を他のユーザーに割り当てる場合は、次のオプションがあります。However, if you want to assign administrative permissions to other users, you have the following options:

  • Azure Information Protection 管理者: この Azure Active Directory 管理者ロールを使用すると、管理者は Azure Information Protection を構成できますが、他のサービスは構成できません。Azure Information Protection administrator: This Azure Active Directory administrator role lets an administrator configure Azure Information Protection but not other services. この役割を持つ管理者は、Azure Rights Management 保護サービスのアクティブ化と非アクティブ化、保護設定とラベルの構成、Azure Information Protection ポリシーの構成を行うことができます。An administrator with this role can activate and deactivate the Azure Rights Management protection service, configure protection settings and labels, and configure the Azure Information Protection policy. さらに、この役割を持つ管理者は、 Azure Information Protection クライアントおよびaipservice モジュールから、すべての PowerShell コマンドレットを実行できます。In addition, an administrator with this role can run all the PowerShell cmdlets for the Azure Information Protection client and from the AIPService module. ただし、このロールは、ユーザーのドキュメントの追跡と取り消しをサポートしていません。However, this role doesn't support tracking and revoking documents for users.

    注意

    テナントが統一されたラベル付けプラットフォームにある場合、このロールは Azure portal ではサポートされません。This role is not supported in the Azure portal if your tenant is on the unified labeling platform.

    ユーザーに管理者ロールを割り当てるには、「Azure Active Directory でユーザーを管理者ロールに割り当てる」を参照してください。To assign a user to this administrative role, see Assign a user to administrator roles in Azure Active Directory.

  • コンプライアンス管理者またはコンプライアンスデータ管理者: これらの Azure Active Directory 管理者ロールでは、管理者が Azure Information Protection を構成できます。これには、Azure の権限のアクティブ化と非アクティブ化が含まれます。管理保護サービス、保護設定とラベルの構成、および Azure Information Protection ポリシーの構成を行います。Compliance administrator or Compliance data administrator: These Azure Active Directory administrator roles let an administrator configure Azure Information Protection, which includes activate and deactivate the Azure Rights Management protection service, configure protection settings and labels, and configure the Azure Information Protection policy. さらに、これらのロールのいずれかを持つ管理者は、 Azure Information Protection クライアントおよびaipservice モジュールのすべての PowerShell コマンドレットを実行できます。In addition, an administrator with either of these roles can run all the PowerShell cmdlets for the Azure Information Protection client and from the AIPService module. ただし、これらのロールでは、ユーザーのドキュメントの追跡と取り消しはサポートされていません。However, these roles don't support tracking and revoking documents for users.

    これらのいずれかの管理者ロールにユーザーを割り当てるには、「 Azure Active Directory で管理者ロールにユーザーを割り当てる」を参照してください。To assign a user to one of these administrative roles, see Assign a user to administrator roles in Azure Active Directory. これらのロールが割り当てられているユーザーの他のアクセス許可については、Azure Active Directory のドキュメントの「利用可能な役割」セクションを参照してください。To see what other permissions a user with these roles have, see the Available roles section from the Azure Active Directory documentation.

  • セキュリティ閲覧者またはグローバルリーダー: Azure Information Protection analyticsのみ。Security reader or Global reader: For Azure Information Protection analytics only. この Azure Active Directory の管理者ロールを持っている管理者は、ご自身のラベルの使用方法を確認したり、ラベル付きのドキュメントやメールに対するユーザー アクセスや、各分類への変更を監視したり、保護する必要がある機密情報を含んでいるドキュメントを識別したりできます。This Azure Active Directory administrator role lets an administrator view how your labels are being used, monitor user access to labeled documents and emails, and any changes to their classification, and can identify documents that contain sensitive information that must be protected. この機能は Azure Monitor を使用するため、サポートRBAC ロールも必要です。Because this feature uses Azure Monitor, you must also have a supporting RBAC role.

    注意

    テナントが統一されたラベル付けプラットフォーム上にある場合、グローバル閲覧者ロールはサポートされません。The Global reader role is not supported if your tenant is on the unified labeling platform.

  • セキュリティ管理者: 管理者は、この Azure Active Directory 管理者ロールを使用して、他の Azure サービスの一部を構成するだけでなく、Azure portal の Azure Information Protection を構成することができます。Security administrator: This Azure Active Directory administrator role lets an administrator configure Azure Information Protection in the Azure portal, in addition to configuring some aspects of other Azure services. このロールの管理者は、 AIPService モジュールから PowerShell コマンドレットを実行したり、ユーザーのドキュメントを追跡したり取り消したりすることはできません。An administrator with this role cannot run any of the PowerShell cmdlets from the AIPService module, or track and revoke documents for users.

    ユーザーに管理者ロールを割り当てるには、「Azure Active Directory でユーザーを管理者ロールに割り当てる」を参照してください。To assign a user to this administrative role, see Assign a user to administrator roles in Azure Active Directory. この役割のユーザーが持つその他のアクセス許可を確認するには、Azure Active Directory ドキュメントの「使用可能なロール」セクションを参照してください。To see what other permissions a user with this role has, see the Available roles section from the Azure Active Directory documentation.

  • Azure Rights Management全体管理者とコネクタ管理者: これらの azure Rights Management 管理者ロールについては、最初にaipservice モジュールからすべての PowerShell コマンドレットを実行するアクセス許可がユーザーに付与されます。他のクラウドサービスのグローバル管理者になる必要はありません。2つ目のロールは、Rights Management (RMS) コネクタのみを実行するアクセス許可を付与します。Azure Rights Management Global Administrator and Connector Administrator: For these Azure Rights Management administrator roles, the first grants users permissions to run all PowerShell cmdlets from the AIPService module without making them a global administrator for other cloud services, and the second role grants permissions to run only the Rights Management (RMS) connector. これらの管理者ロールは、管理コンソールにアクセス許可を付与したり、ユーザーのドキュメントを追跡したり取り消したりすることはありません。Neither of these administrative roles grant permissions to management consoles or tracking and revoking documents for users.

    これらの管理者ロールのいずれかを割り当てるには、AIPService PowerShell コマンドレットを使用します。To assign either of these administrative roles, use the AIPService PowerShell cmdlet, Add-AipServiceRoleBasedAdministrator.

注意事項:Some things to note:

  • Microsoft アカウントは、一覧表示されているいずれかの管理者ロールにアカウントが割り当てられている場合でも、Azure Information Protection の代理管理ではサポートされません。Microsoft accounts are not supported for delegated administration of Azure Information Protection, even if these accounts are assigned to one of the administrative roles listed.

  • オンボーディング コントロールを構成してある場合は、RMS コネクタを除き、Azure Information Protection を管理する機能に影響はありません。If you have configured onboarding controls, this configuration does not affect the ability to administer Azure Information Protection, except the RMS connector. たとえば、コンテンツを保護する機能を "IT department" グループに制限するようにオンボーディング コントロールが構成されている場合、RMS コネクタのインストールと構成に使用するアカウントは、そのグループのメンバーである必要があります。For example, if you have configured onboarding controls such that the ability to protect content is restricted to the “IT department” group, the account that you use to install and configure the RMS connector must be a member of that group.

  • 管理者ロールが割り当てられているユーザーは、Azure Information Protection によって保護されたドキュメントやメールから保護を自動的に削除することはできません。Users who are assigned an administrative role cannot automatically remove protection from documents or emails that were protected by Azure Information Protection. スーパー ユーザーを割り当てられたユーザーだけが、スーパー ユーザー機能が有効になっているときにのみ、この操作を行うことができます。Only users who are assigned super users can do this, and when the super user feature is enabled. ただし、Azure Information Protection への管理アクセス許可を割り当てたすべてのユーザーが、各自のアカウントなど、ユーザーにスーパー ユーザーを割り当てることができます。However, any user that you assign administrative permissions to Azure Information Protection can assign users as super users, including their own account. また、スーパー ユーザー機能を有効にすることもできます。They can also enable the super user feature. これらのアクションは、管理者ログに記録されます。These actions are recorded in an administrator log. 詳細については、「 Azure Information Protection および探索サービスまたはデータ回復用のスーパーユーザーの構成」のセキュリティのベストプラクティスに関するセクションを参照してください。For more information, see the security best practices section in Configuring super users for Azure Information Protection and discovery services or data recovery.

  • Azure Information Protection ラベルを統合ラベルストアに移行する場合は、「移行に関するドキュメント: 統一されたラベル付けプラットフォームをサポートする管理者ロール」の「」のセクションを必ず参照してください。If you are migrating your Azure Information Protection labels to the unified labeling store, be sure to read the following section from the label migration documentation: Administrative roles that support the unified labeling platform.

Azure Information Protection はオンプレミスおよびハイブリッドのシナリオをサポートしますか?Does Azure Information Protection support on-premises and hybrid scenarios?

Yes. Azure Information Protection はクラウドベースのソリューションですが、クラウドだけでなく、オンプレミスに保存されているドキュメントや電子メールの分類、ラベル付け、および保護が可能です。Although Azure Information Protection is a cloud-based solution, it can classify, label, and protect documents and emails that are stored on-premises, as well as in the cloud.

Exchange Server、SharePoint Server、および Windows ファイル サーバーがある場合は、これらのオンプレミス サーバーで Azure Rights Management サービスを使用して電子メールやドキュメントを保護できるように、Rights Management コネクタをデプロイすることができます。If you have Exchange Server, SharePoint Server, and Windows file servers, you can deploy the Rights Management connector so that these on-premises servers can use the Azure Rights Management service to protect your emails and documents. また、Active Directory ドメイン コントローラーを Azure AD と同期し、連携することで、たとえば Azure AD Connect を使用して、よりシームレスな認証方法をユーザーに提供できます。You can also synchronize and federate your Active Directory domain controllers with Azure AD for a more seamless authentication experience for users, for example, by using Azure AD Connect.

必要に応じて、Azure Rights Management サービスで XrML 証明書の生成と管理が自動的に行われるので、オンプレミスの PKI は使用されません。The Azure Rights Management service automatically generates and manages XrML certificates as required, so it doesn’t use an on-premises PKI. Azure Rights Management での証明書の使用方法については、記事「Azure RMS の機能の詳細」の「Azure RMS の動作のチュートリアル:初めての使用、コンテンツ保護、コンテンツ消費」セクションを参照してください。For more information about how Azure Rights Management uses certificates, see the Walkthrough of how Azure RMS works: First use, content protection, content consumption section in the How does Azure RMS work? article.

Azure Information Protection ではどのようなデータの種類を分類し、保護できますか?What types of data can Azure Information Protection classify and protect?

Azure Information Protection では、メール メッセージやドキュメントがオンプレミスまたはクラウドのどちらに配置されていても、それらを分類し、管理することができます。Azure Information Protection can classify and protect email messages and documents, whether they are located on-premises or in the cloud. これらのドキュメントには、Word ドキュメント、Excel スプレッドシート、PowerPoint プレゼンテーション、PDF ドキュメント、テキストベースのファイル、および画像ファイルが含まれます。These documents include Word documents, Excel spreadsheets, PowerPoint presentations, PDF documents, text-based files, and image files. サポートされるドキュメントの種類の一覧については、管理者ガイドのサポートされているファイルの種類の一覧を参照してください。For a list of the document types supported, see the list of file types supported in the admin guide.

Azure Information Protection では、データベースファイル、予定表アイテム、Yammer の投稿、Sway コンテンツ、OneNote ノートブックなどの構造化データを分類して保護することはできません。Azure Information Protection cannot classify and protect structured data such as database files, calendar items, Yammer posts, Sway content, and OneNote notebooks.

新しく発表されたプレビュー: Power BI では、機密ラベルを使用した分類がサポートされるようになり、次のファイル形式 (.pdf、.xls、.ppt) にエクスポートされたデータに、これらのラベルからの保護を適用できます。Newly announced in preview: Power BI now supports classification by using sensitivity labels and can apply protection from those labels to data that is exported to the following file formats: .pdf, .xls, and .ppt. 詳細については、「 Power BI でのデータ保護 (プレビュー)」を参照してください。For more information, see Data protection in Power BI (preview).

条件付きアクセスに利用できるクラウド アプリとして Azure Information Protection が一覧に記載されています。これはどのように動作しますか。I see Azure Information Protection is listed as an available cloud app for conditional access—how does this work?

はい。プレビュー オファリングとして、Azure Information Protection に Azure AD 条件付きアクセスを構成できるようになりました。Yes, as a preview offering, you can now configure Azure AD conditional access for Azure Information Protection.

Azure Information Protection で保護されているドキュメントをユーザーが開くとき、標準的な条件付きアクセス コントロールに基づき、管理者は自分のテナントでユーザーをブロックするか、アクセス許可を与えることができるようになりました。When a user opens a document that is protected by Azure Information Protection, administrators can now block or grant access to users in their tenant, based on the standard conditional access controls. 最も一般的に要求される条件の 1 つが多要素認証 (MFA) を要求することです。Requiring multi-factor authentication (MFA) is one of the most commonly requested conditions. もう 1 つは、デバイスが Intune ポリシーに準拠する必要があるということです (たとえば、モバイル デバイスがパスワード要件やオペレーティング システムの最小バージョンを満たすようにする)。また、コンピューターはドメインに参加する必要があります。Another one is that devices must be compliant with your Intune policies so that for example, mobile devices meet your password requirements and a minimum operating system version, and computers must be domain-joined.

チュートリアル形式の例が必要であれば、ブログ投稿の「Conditional Access policies for Azure Information Protection」 (Azure Information Protection の条件付きアクセス ポリシー) を参照してください。For more information and some walk-through examples, see the following blog post: Conditional Access policies for Azure Information Protection.

追加情報:Additional information:

  • Windows コンピューターの場合: 現行プレビュー リリースの場合、ユーザー環境が初期化 (このプロセスはブートストラップとも呼ばれています) されたときに Azure Information Protection の条件付きアクセス ポリシーが評価され、その後、30 日おきに評価されます。For Windows computers: For the current preview release, the conditional access policies for Azure Information Protection are evaluated when the user environment is initialized (this process is also known as bootstrapping), and then every 30 days.

  • 条件付きアクセス ポリシーの評価頻度を微調整することもできます。You might want to fine-tune how often your conditional access policies get evaluated. この微調整は、トークンの有効期間を構成することで実行できます。You can do this by configuring the token lifetime. 詳細については、「Azure Active Directory における構成可能なトークンの有効期間」を参照してください。For more information, see Configurable token lifetimes in Azure Active Directory.

  • 条件付きアクセスポリシーに管理者アカウントを追加しないことをお勧めします。これらのアカウントは、Azure portal の [Azure Information Protection] ウィンドウにアクセスできないためです。We recommend that you do not add administrator accounts to your conditional access policies because these accounts will not be able to access the Azure Information Protection pane in the Azure portal.

  • 他の組織とのコラボレーション (B2B) のための条件付きアクセス ポリシーで MFA を使用する場合は、Azure AD B2B コラボレーションを使用して、他の組織と共有するユーザーのためのゲスト アカウントを作成する必要があります。If you use MFA in your conditional access policies for collaborating with other organizations (B2B), you must use Azure AD B2B collaboration and create guest accounts for the users you want to share with in the other organization.

  • 2018 年 12 月の Azure AD プレビュー リリースでは、ユーザーが保護されたドキュメントを初めて開く前に、ユーザーに使用条件への同意を求めることができるようになりました。With the Azure AD December 2018 preview release, you can now prompt users to accept a terms of use before they open a protected document for the first time. 詳細については、次のブログ投稿のお知らせを参照してください。条件付きアクセスでの Azure AD の使用条件の更新For more information, see the following blog post announcement: Updates to Azure AD Terms of Use functionality within conditional access

  • 多くのクラウド アプリで条件付きアクセスを使用する場合、選択対象の一覧に Microsoft Azure Information Protection が表示されないことがあります。If you use many cloud apps for conditional access, you might not see Microsoft Azure Information Protection displayed in the list to select. その場合、一覧の上にある検索ボックスを使用します。In this case, use the search box at the top of the list. 「Microsoft Azure Information Protection」と入力し、利用可能アプリを絞り込みます。Start typing "Microsoft Azure Information Protection" to filter the available apps. サポートされているサブスクリプションがある場合、選択対象として Microsoft Azure Information Protection が表示されます。Providing you have a supported subscription, you'll then see Microsoft Azure Information Protection to select.

Azure Information Protection が Microsoft Graph Security のセキュリティ プロバイダーとして記載されています。これはどのように動作しますか? また、どのようなアラートを受信できますか?I see Azure Information Protection is listed as a security provider for Microsoft Graph Security—how does this work and what alerts will I receive?

はい。公共プレビュー サービスとして、Azure Information Protection の異常なデータ アクセスに対するアラートを受信できるようになりました。Yes, as a public preview offering, you can now receive an alert for Azure Information Protection anomalous data access. Azure Information Protection によって保護されているデータに対する異常なアクセスの試行があると、このアラートがトリガーされます。This alert is triggered when there are unusual attempts to access data that is protected by Azure Information Protection. たとえば、異常に大量のデータへのアクセス、不自然な時間帯でのアクセス、または不明な場所からのアクセスなどです。For example, accessing an unusually high volume of data, at an unusual time of day, or access from an unknown location.

このようなアラートは、データ関連の高度な攻撃や、環境内部の脅威を検出するのに役立ちます。Such alerts can help you to detect advanced data-related attacks and insider threats in your environment. これらのアラートでは、保護されたデータにアクセスするユーザーの動作をプロファイルするために機械学習が使用されます。These alerts use machine learning to profile the behavior of users who access your protected data.

Azure Information Protection のアラートにアクセスするには、Microsoft Graph Security API を使用します。または、Azure Monitor を使用して、Splunk や IBM Qradar などの SIEM ソリューションにアラートをストリームすることができます。The Azure Information Protection alerts can be accessed by using the Microsoft Graph Security API, or you can stream alerts to SIEM solutions, such as Splunk and IBM Qradar, by using Azure Monitor.

Microsoft Graph Security API について詳しくは、「Microsoft Graph Security API の概要」をご覧ください。For more information about the Microsoft Graph Security API, see Microsoft Graph Security API overview.

Windows Server FCI と Azure Information Protection スキャナーの違いWhat’s the difference between Windows Server FCI and the Azure Information Protection scanner?

Rights Management コネクタ (Office ドキュメントのみ) や PowerShell スクリプト (すべてのファイルの種類) を使用してドキュメントを分類して保護するために、これまでは Windows Server ファイル分類インフラストラクチャが選択されてきました。Windows Server File Classification Infrastructure has historically been an option to classify documents and then protect them by using the Rights Management connector (Office documents only) or a PowerShell script (all file types).

これからは、Azure Information Protection スキャナーの使用をお勧めします。We now recommend you use the Azure Information Protection scanner. スキャナーは Azure Information Protection クライアントと Azure Information Protection ポリシーを使用して、ドキュメント (すべてのファイルの種類) にラベルを付けるため、これらのドキュメントは分類され、必要に応じて保護されます。The scanner uses the Azure Information Protection client and your Azure Information Protection policy to label documents (all file types) so that these documents are then classified and optionally, protected.

この 2 つのトポロジの主な違いを次に示します。The main differences between these two solutions:

Windows Server FCIWindows Server FCI Azure Information Protection スキャナーAzure Information Protection scanner
サポートされるデータ ストア:Supported data stores:

- Windows Server のローカル フォルダー- Local folders on Windows Server
サポートされるデータ ストア:Supported data stores:

- Windows Server のローカル フォルダー- Local folders on Windows Server

- Windows ファイル共有とネットワーク接続ストレージ- Windows file shares and network-attached storage

- SharePoint Server 2016 と SharePoint Server 2013。- SharePoint Server 2016 and SharePoint Server 2013. このバージョンの SharePoint の延長サポートが含まれるお客様向けに SharePoint Server 2010 もサポートされています。SharePoint Server 2010 is also supported for customers who have extended support for this version of SharePoint.
操作モード:Operational mode:

- リアルタイム- Real time
操作モード:Operational mode:

- 体系的にデータ ストアをクロールします。このサイクルは 1 回のみまたは繰り返し実行できます- Systematically crawls the data stores and this cycle can run once, or repeatedly
ファイルの種類ごとのサポート:Support for file types:

- すべてのファイルの種類が既定で保護されます- All file types are protected by default

- レジストリを編集することで、特定のファイルの種類を保護から除外できます- Specific file types can be excluded from protection by editing the registry
ファイルの種類ごとのサポート:Support for file types:

- Office ファイルの種類と PDF ドキュメントは既定で保護されます- Office file types and PDF documents are protected by default

- レジストリを編集することで、保護に含めるファイルの種類を追加できます- Additional file types can be included for protection by editing the registry

ローカルフォルダーまたはネットワーク共有で保護されているファイルのRights Management 所有者の設定には違いがあります。There is a difference in setting the Rights Management owner for files that are protected on a local folder or network share. 既定では、どちらのソリューションでも、Rights Management の所有者は、ファイルを保護するアカウントに設定されますが、この設定をオーバーライドすることができます。By default, for both solutions, the Rights Management owner is set to the account that protects the file but you can override this setting:

  • Windows Server FCI の場合: すべてのファイルに対して単一アカウントとなるように Rights Management 所有者を設定したり、各ファイルの Rights Management 所有者を動的に設定したりすることができます。For Windows Server FCI: You can set the Rights Management owner to be a single account for all files, or dynamically set the Rights Management owner for each file. Rights Management 所有者を動的に設定するには、 -OwnerMail [ソース ファイルの所有者の電子メール] パラメーターと値を使用します。To dynamically set the Rights Management owner, use the -OwnerMail [Source File Owner Email] parameter and value. この構成では、ファイルの所有者プロパティのユーザー アカウント名を使用して、Active Directory からユーザーのメール アドレスを取得します。This configuration retrieves the user's email address from Active Directory by using the user account name in the file's Owner property.

  • Azure Information Protection スキャナーの場合: 新しく保護されたファイルの場合、Rights Management 所有者を、指定したデータストアのすべてのファイルに対して1つのアカウントに設定できますが、各ファイルに対して Rights Management 所有者を動的に設定することはできません。For the Azure Information Protection scanner: For newly protected files, you can set the Rights Management owner to be a single account for all files on a specified data store, but you cannot dynamically set the Rights Management owner for each file. 以前から保護されていたファイルについては、Rights Management 所有者は変更されません。The Rights Management owner is not changed for previously protected files. 新しく保護されるファイルに対してアカウントを設定するには、スキャナー プロファイルで -Default owner 設定を指定します。To set the account for newly protected files, specify the -Default owner setting in the scanner profile.

スキャナーで SharePoint サイトおよびライブラリのファイルを保護する場合、Rights Management 所有者は SharePoint エディターの値を使用して、ファイルごとに動的に設定されます。When the scanner protects files on SharePoint sites and libraries, the Rights Management owner is dynamically set for each file by using the SharePoint Editor value.

新しいリリースが Azure Information Protection ですぐに利用できるようになると聞きました。いつリリースされますか?I’ve heard a new release is going to be available soon, for Azure Information Protection—when will it be released?

技術文書には今後のリリースに関する情報は含まれません。The technical documentation does not contain information about upcoming releases. この種類の情報については、 Microsoft 365 ロードマップを使用して、 Enterprise Mobility + Security ブログを確認してください。For this type of information, use the Microsoft 365 Roadmap, check the Enterprise Mobility + Security Blog.

自分の国に Azure Information Protection は適していますか?Is Azure Information Protection suitable for my country?

国によって、さまざまな要件と規制があります。Different countries have different requirements and regulations. 組織のこの質問に対する回答は、国ごとの適合性に関する記事が役立ちます。To help you answer this question for your organization, see Suitability for different countries.

Azure Information Protection は GDPR にどのように役立ちますか?How can Azure Information Protection help with GDPR?

一般データ保護規則 (GDPR) に準拠するために Azure Information Protection がどのように役立つかを確認するには、ブログ投稿「Microsoft 365 provides an information protection strategy to help with the GDPR」(Microsoft 365 が GDPR で役立つ情報保護戦略を提供) のお知らせとビデオをご覧ください。To see how Azure Information Protection can help you meet the General Data Protection Regulation (GDPR), see the following blog post announcement, with video: Microsoft 365 provides an information protection strategy to help with the GDPR.

Azure Information Protection のコンプライアンスとサポート情報」を参照してください。See Compliance and supporting information for Azure Information Protection.

Azure Information Protection の問題を報告またはフィードバックを送信するにはどうすればよいですか。How can I report a problem or send feedback for Azure Information Protection?

テクニカル サポートの場合は、標準のサポート チャネルを使用するか、Microsoft サポートに問い合わせてください。For technical support, use your standard support channels or contact Microsoft Support.

Azure Information Protection の Yammer サイトで Azure Information Protection チームと情報交換することもできます。We also invite you to engage with our engineering team, on their Azure Information Protection Yammer site.

質問がここに含まれていない場合は、どうすればよいですかWhat do I do if my question isn’t here?

最初に、分類、ラベル付け、データ保護に関する次の FAQ を確認してください。First, review the following frequently asked questions that are specific to classification and labeling, or specific to data protection. Azure Rights Management サービス (Azure RMS) は、Azure Information Protection のデータ保護テクノロジを提供します。The Azure Rights Management service (Azure RMS) provides the data protection technology for Azure Information Protection. Azure RMS は分類およびラベル付けと併用するか、単体で使用できます。Azure RMS can be used with classification and labeling, or by itself.

回答が得られない場合、「Azure Information Protection の情報とサポート」に一覧表示されているリンクとリソースを使用します。If you question isn't answered, use the links and resources listed in Information and support for Azure Information Protection.

さらに、エンドユーザー向けの FAQ が用意されています。In addition, there are FAQs designed for end users: