Azure Information Protection のデータ保護に関してよく寄せられる質問Frequently asked questions about data protection in Azure Information Protection

適用対象: Azure Information ProtectionOffice 365Applies to: Azure Information Protection, Office 365

Azure Information Protection のデータ保護サービス、Azure Rights Management に関して質問がございますか。Have a question about the data protection service, Azure Rights Management, from Azure Information Protection? ここで回答を探してみてください。See if it's answered here.

ファイルを Azure Rights Management で保護するには、クラウドに置いておく必要があるのでしょうか。Do files have to be in the cloud to be protected by Azure Rights Management?

よくある誤解ですが、そのようなことはありません。No, this is a common misconception. Azure Rights Management サービス (と Microsoft) では、情報保護の一環としてユーザーのデータを閲覧したり、保存したりすることはありません。The Azure Rights Management service (and Microsoft) does not see or store your data as part of the information protection process. ユーザーが保護した情報は、ユーザーが Azure に明示的に保存したり、Azure に情報を保存する別のクラウド サービスを使用しない限り、Azure に送信されたり保存されたりすることはありません。Information that you protect is never sent to or stored in Azure unless you explicitly store it in Azure or use another cloud service that stores it in Azure.

詳細については、「Azure RMS のしくみ」を参照してください。内部設置型で格納され、オンプレミスに格納されている secret cola 式が Azure Rights Management サービスによって保護されていても、オンプレミスのままになっていることを理解するためのものです。For more information, see How does Azure RMS work? Under the hood to understand how a secret cola formula that is created and stored on-premises is protected by the Azure Rights Management service but remains on-premises.

Azure Rights Management 暗号化と Microsoft のその他のクラウド サービスでの暗号化の違いは何ですか。What’s the difference between Azure Rights Management encryption and encryption in other Microsoft cloud services?

Microsoft はさまざまなシナリオでのデータ保護に合わせて多数の暗号化技術を提供していますが、多くの場合はデータ保護のシナリオが相互補完的です。Microsoft provides multiple encryption technologies that enable you to protect your data for different, and often complementary scenarios. たとえば、Office 365 の暗号化は Office 365 に保存される静止状態のデータが対象ですが、Azure Information Protection の Azure Rights Management サービスは独立してユーザーのデータを暗号化するものであり、データは格納されている場所や伝送方法にかかわらず保護されます。For example, while Office 365 offers encryption at-rest for data stored in Office 365, the Azure Rights Management service from Azure Information Protection independently encrypts your data so that it is protected regardless of where it is located or how it is transmitted.

これらの暗号化技術は互いに補完するものであり、使用するには各技術を個別に有効化して構成する必要があります。These encryption technologies are complementary and using them requires enabling and configuring them independently. このときに、暗号化のキーを独自に用意するという選択が可能な場合があり、このようなシナリオは "BYOK" (Bring Your Own Key) とも呼ばれます。When you do so, you might have the option to bring your own key for the encryption, a scenario also known as "BYOK." 暗号化技術の 1 つについて BYOK を有効にしても、それ以外の技術に影響することはありません。Enabling BYOK for one of these technologies does not affect the others. たとえば、BYOK を Azure Information Protection に使用するが、それ以外の暗号化技術に対しては使用しないということも、その逆も可能です。For example, you can use BYOK for Azure Information Protection and not use BYOK for other encryption technologies, and vice versa. 使用されるキーが暗号化技術ごとに異なるか同一であるかは、管理者が各サービスの暗号化オプションをどのように構成するかによって決まります。The keys used by these different technologies might be the same or different, depending on how you configure the encryption options for each service.

BYOK と HYOK の違いは何ですか。また、どのような場合に使用すべきですか。What’s the difference between BYOK and HYOK and when should I use them?

Azure Information Protection において独自キーを持ち込む (BYOK) のは、Azure Rights Management 保護の独自キーをオンプレミスで作成する場合です。Bring your own key (BYOK) in the context of Azure Information Protection, is when you create your own key on-premises for Azure Rights Management protection. そのキーを Azure Key Vault のハードウェア セキュリティ モジュール (HSM) に転送し、そこでそのキーの所有と管理を続行します。You then transfer that key to a hardware security module (HSM) in Azure Key Vault where you continue to own and manage your key. これを行わない場合、Azure Rights Management 保護では Azure 内で自動的に作成、管理されるキーが使用されます。If you didn't do this, Azure Rights Management protection would use a key that is automatically created and managed for you in Azure. この既定の設定は、"顧客管理" ではなく "マイクロソフト管理" と呼ばれます (BYOK オプション)。This default configuration is referred to as "Microsoft-managed" rather than "customer-managed" (the BYOK option).

BYOK の詳細および組織でこのキー トポロジを選択すべきかについては、「Azure Information Protection テナント キーの計画と実装」を参照してください。For more information about BYOK and whether you should choose this key topology for your organization, see Planning and implementing your Azure Information Protection tenant key.

Azure Information Protection において独自キーを保持する (HYOK) 機能は、クラウドに格納されているキーで保護することができないドキュメントや電子メールのサブセットを持つような、少数の組織のためのものです。Hold your own key (HYOK) in the context of Azure Information Protection, is for a few organizations that have a subset of documents or emails that cannot be protected by a key that is stored in the cloud. こうした組織では、BYOK を使用してキーを作成し管理する場合でも、この制限が適用されます。For these organizations, this restriction applies even if they created the key and manage it, using BYOK. この制限は多くの場合、規制やコンプライアンス上の理由によるもので、HYOK 構成は "最高機密" 情報のみに適用されます。すなわち、組織外には決して共有されず、内部ネットワークのみで利用され、モバイル デバイスからアクセスする必要のない情報です。The restriction can often be because of regulatory or compliance reasons and the HYOK configuration should be applied to "Top Secret" information only, that will never be shared outside the organization, will only be consumed on the internal network, and does not need to be accessed from mobile devices.

これらの例外 (通常は、保護する必要のあるすべてのコンテンツの 10% 未満) については、組織は、オンプレミスのソリューションである Active Directory Rights Management サービスを使用して、オンプレミスのキーを作成することができます。For these exceptions (typically less than 10% of all the content that needs to be protected), organizations can use an on-premises solution, Active Directory Rights Management Services, to create the key that remains on-premises. このソリューションでは、コンピューターはクラウドから Azure Information Protection ポリシーを取得しますが、この識別されたコンテンツはオンプレミスのキーを使用して保護することができます。With this solution, computers get their Azure Information Protection policy from the cloud, but this identified content can be protected by using the on-premises key.

HYOK の詳細についてや、制限事項の正しい理解や使用するタイミングを確認するには、「AD RMS 保護の Hold Your Own Key (HYOK) の要件と制限事項」を参照してください。For more information about HYOK and to make sure that you understand its limitations and restrictions, and guidance when to use it, see Hold your own key (HYOK) requirements and restrictions for AD RMS protection.

現在、Exchange Online で BYOK を使用できますか?Can I now use BYOK with Exchange Online?

はい。「Set up new Office 365 Message Encryption capabilities built on top of Azure Information Protection」 (Azure Information Protection 上に構築される新しい Office 365 メッセージの暗号化機能の設定) の手順に従って、Exchange Online で BYOK を使用することができるようになりました。Yes, you can now use BYOK with Exchange Online when you follow the instructions in Set up new Office 365 Message Encryption capabilities built on top of Azure Information Protection. これらの手順に従うことで、新しい Office 365 メッセージの暗号化と、Azure Information Protection の BYOK の使用をサポートする新しい機能を Exchange Online で使用できるようになります。These instructions enable the new capabilities in Exchange Online that support using BYOK for Azure Information Protection, as well as the new Office 365 Message Encryption.

この変更の詳細については、Office 365 メッセージの暗号化と新しい機能に関するブログのお知らせを参照してください。For more information about this change, see the blog announcement: Office 365 Message Encryption with the new capabilities

Azure RMS と統合するサード パーティのソリューションに関する情報はどこで入手できますか?Where can I find information about third-party solutions that integrate with Azure RMS?

既に多くのソフトウェア ベンダーが、Azure Rights Management と統合するソリューションを持っているか、またはそのソリューションを実装しており、リストは急増し続けています。Many software vendors already have solutions or are implementing solutions that integrate with Azure Rights Management—and the list is growing rapidly. RMS 対応ソリューションの一覧に役立つ情報が掲載されています。また Twitter の Microsoft Mobility@MSFTMobility からも最新の情報を入手できます。You might find it useful to check the RMS-englightened solutions list and get the latest updates from Microsoft Mobility@MSFTMobility on Twitter. さらに、開発者ガイドを確認し、Azure Information Protection の Yammer サイトに特定の統合の質問を投稿します。Also check the developer's guide and post any specific integration questions on the Azure Information Protection Yammer site.

RMS コネクタには管理パックまたは同様の監視メカニズムがありますか?Is there a management pack or similar monitoring mechanism for the RMS connector?

Rights Management コネクタは情報、警告、およびエラー メッセージをイベント ログに記録しますが、これらのイベントの監視機能を備えた管理パックはありません。Although the Rights Management connector logs information, warning, and error messages to the event log, there isn’t a management pack that includes monitoring for these events. ただし、イベントの一覧とその説明および修正の実施に役立つ詳細な情報については、「Azure Rights Management コネクタを監視する」を参照してください。However, the list of events and their descriptions, with more information to help you take corrective action is documented in Monitor the Azure Rights Management connector.

Azure Portal で新しいカスタム テンプレートをどのように作成しますか?How do I create a new custom template in the Azure portal?

カスタム テンプレートは、Azure Portal に移動しています。Azure Portal では、引き続きカスタムテンプレートをテンプレートとして管理したり、ラベルに変換することができます。Custom templates have moved to the Azure portal where you can continue to manage them as templates, or convert them to labels. 新しいテンプレートを作成するには、新しいラベルを作成し、Azure RMS 用のデータ保護設定を構成します。To create a new template, create a new label and configure the data protection settings for Azure RMS. その処理の裏では、Rights Management テンプレートと統合されるサービスとアプリケーションが次からアクセスできるようになる新しいテンプレートが作成されます。Under the covers, this creates a new template that can then be accessed by services and applications that integrate with Rights Management templates.

Azure Portal のテンプレートの詳細については、「Azure Information Protection のテンプレートを構成して管理する」を参照してください。For more information about templates in the Azure portal, see Configuring and managing templates for Azure Information Protection.

保護されているドキュメントに対して、使用権限の変更またはユーザーの追加を行いたいのですが、ドキュメントを再保護する必要がありますか。I've protected a document and now want to change the usage rights or add users—do I need to reprotect the document?

ドキュメントがラベルまたはテンプレートを使用して保護されている場合、ドキュメントを再保護する必要はありません。If the document was protected by using a label or template, there's no need to reprotect the document. 使用権限に変更を加えるか、新しいグループ (またはユーザー) を追加することによって、ラベルまたはテンプレートを変更した後、変更内容を保存します。Modify the label or template by making your changes to the usage rights or add new groups (or users), and then save these changes:

  • 変更を加える前にユーザーがドキュメントにアクセスしていない場合、ユーザーがドキュメントを開くとすぐに変更が有効になります。When a user hasn't accessed the document before you made the changes, the changes take effect as soon as the user opens the document.

  • ユーザーが既にドキュメントにアクセスしている場合は、ユーザーの使用ライセンスの有効期限が過ぎた時点で変更が有効になります。When a user has already accessed the document, these changes take effect when their use license expires. 使用ライセンスの有効期限が切れるまで待てない場合にのみ、ドキュメントを再保護します。Reprotect the document only if you cannot wait for the use license to expire. 効果的に再保護を行うと、ドキュメントの新しいバージョンが作成され、ユーザーの使用ライセンスも新しくなります。Reprotecting effectively creates a new version of the document, and therefore a new use license for the user.

あるいは、必要なアクセス許可に対して既にグループを構成している場合、グループのメンバーシップを変更してユーザーの追加または除外を行うことができます。ラベルまたはテンプレートの変更は必要ありません。Alternatively, if you have already configured a group for the required permissions, you can change the group membership to include or exclude users and there is no need to change the label or template. Azure Rights Management サービスがグループ メンバーシップをキャッシュに入れるため、変更が反映されるまでわずかな遅延が生じる可能性があります。There might be a small delay before the changes take effect because group membership is cached by the Azure Rights Management service.

カスタム アクセス許可を使用してドキュメントが保護されている場合は、既存のドキュメントのアクセス許可を変更できません。If the document was protected by using custom permissions, you cannot change the permissions for the existing document. ドキュメントを再度保護し、この新しいバージョンのドキュメントに必要なすべてのユーザーとすべての使用権限を指定する必要があります。You must protect the document again and specify all the users and all the usage rights that are required for this new version of the document. 保護されたドキュメントを再保護するには、"フル コントロール" 使用権限が必要です。To reprotect a protected document, you must have the Full Control usage right.

ヒント: ドキュメントがテンプレートで保護されているのか、それともカスタム アクセス許可を使用して保護されているのかを確認するには、Get-AIPFileStatus PowerShell コマンドレットを使用してください。Tip: To check whether a document was protected by a template or by using custom permission, use the Get-AIPFileStatus PowerShell cmdlet. Get-RMSTemplate を実行したときに一意のテンプレート ID が表示されない場合は、カスタム アクセス許可の [制限されたアクセス] に関するテンプレートの説明を必ず確認してください。You always see a template description of Restricted Access for custom permissions, with a unique template ID that is not displayed when you run Get-RMSTemplate.

一部のユーザーが Exchange Online 上の Exchange に、他のユーザーが Exchange Server 上の Exchange に登録されているハイブリッド デプロイメント構成です。この構成は、Azure RMS でサポートされていますか。I have a hybrid deployment of Exchange with some users on Exchange Online and others on Exchange Server—is this supported by Azure RMS?

はい、サポートされています。また、2 つの Exchange デプロイメント間でシームレスに電子メールと添付ファイルを保護し、保護された電子メールと添付ファイルを使用できることがメリットです。Absolutely, and the nice thing is, users are able to seamlessly protect and consume protected emails and attachments across the two Exchange deployments. この構成の場合、Azure RMS をアクティブ化しIRM for Exchange Online を有効にしてRMS コネクタをデプロイして Exchange Server 用に構成します。For this configuration, activate Azure RMS and enable IRM for Exchange Online, then deploy and configure the RMS connector for Exchange Server.

運用環境にこの保護を利用すると、会社の環境がこのソリューションに固定されたり、Azure RMS で保護したコンテンツにアクセスできなくなる危険性が生じたりしますか。If I use this protection for my production environment, is my company then locked into the solution or risk losing access to content that we protected with Azure RMS?

いいえ。データを常に制御することができます。また、たとえ Azure Rights Management サービスの使用を停止したとしても、継続してデータにアクセスすることができます。No, you always remain in control of your data and can continue to access it, even if you decide to no longer use the Azure Rights Management service. 詳細については、「Azure Rights Management の使用停止と非アクティブ化」を参照してください。For more information, see Decommissioning and deactivating Azure Rights Management.

Azure RMS を使用してコンテンツを保護するユーザーを制御できますか。Can I control which of my users can use Azure RMS to protect content?

はい。Azure Rights Management サービスには、このシナリオのためのユーザー オンボーディング コントロールがあります。Yes, the Azure Rights Management service has user onboarding controls for this scenario. 詳細については、「 Azure Information Protection からの保護サービスのアクティブ化」の記事の「段階的な展開のオンボードコントロールの構成」セクションを参照してください。For more information, see the Configuring onboarding controls for a phased deployment section in the Activating the protection service from Azure Information Protection article.

ユーザーが、保護されたドキュメントを特定の組織と共有しないようにすることはできますか。Can I prevent users from sharing protected documents with specific organizations?

データ保護に Azure Rights Management サービスを使用する最大の利点の 1 つは、Azure AD が認証を自動的に処理するため、各パートナー組織に対して明示的な信頼を構成することなく、企業間のコラボレーションをサポートできることです。One of the biggest benefits of using the Azure Rights Management service for data protection is that it supports business-to-business collaboration without you having to configure explicit trusts for each partner organization, because Azure AD takes care of the authentication for you.

ユーザーが特定の組織とのドキュメントの安全な共有を防止するような管理オプションはありません。There is no administration option to prevent users from securely sharing documents with specific organizations. たとえば、信頼していない組織や、競合先の組織をブロックするとします。For example, you want to block an organization that you don’t trust or that has a competing business. Azure Rights Management サービスがこれらの組織のユーザーに保護されたドキュメントを送信しないようにしても意味がありません。その場合、ユーザーはドキュメントを保護されていないまま共有することになり、おそらくこれはこのシナリオにおいて最も望ましくない状況です。Preventing the Azure Rights Management service from sending protected documents to users in these organizations wouldn’t make sense because your users would then share their documents unprotected, which is probably the last thing you want to happen in this scenario. たとえば、これらの組織のユーザーと社外秘ドキュメントを共有しているユーザーを識別することはできませんが、ドキュメント (または電子メール) が Azure Rights Management サービスで保護されていれば、これが可能になります。For example, you wouldn’t be able to identify who is sharing company-confidential documents with which users in these organizations, which you can do when the document (or email) is protected by the Azure Rights Management service.

保護されたドキュメントを社外のユーザーと共有する場合、そのユーザーはどのようにして認証されますか。When I share a protected document with somebody outside my company, how does that user get authenticated?

既定では、Azure Rights Management サービスは、ユーザー認証に Azure Active Directory アカウントと関連付けられた電子メール アドレスを使用します。これにより、管理者にとって企業間のコラボレーションがシームレスになります。By default, the Azure Rights Management service uses an Azure Active Directory account and an associated email address for user authentication, which makes business-to-business collaboration seamless for administrators. 他の組織で Azure サービスを使用する場合は、アカウントがオンプレミスで作成、管理されてから Azure に同期される場合でも、ユーザーは既に Azure Active Directory にアカウントを持っています。If the other organization uses Azure services, users already have accounts in Azure Active Directory, even if these accounts are created and managed on-premises and then synchronized to Azure. 組織が内部的に Office 365 を所有している場合、このサービスはユーザー アカウント用に Azure Active Directory も使用します。If the organization has Office 365, under the covers, this service also uses Azure Active Directory for the user accounts. ユーザーの組織が Azure に管理アカウントを持っていない場合、ユーザーは個人向け RMS にサインアップできます。これは、アンマネージド Azure テナントと組織用のディレクトリをユーザー用のアカウントを使用して作成するため、このユーザー (およびそれ以降のユーザー) は Azure Rights Management サービスに対して認証されます。If the user’s organization doesn’t have managed accounts in Azure, users can sign up for RMS for individuals, which creates an unmanaged Azure tenant and directory for the organization with an account for the user, so that this user (and subsequent users) can then be authenticated for the Azure Rights Management service.

このようなアカウントの認証方法は、他の組織の管理者が Azure Active Directory アカウントを構成している方法によって異なります。The authentication method for these accounts can vary, depending on how the administrator in the other organization has configured the Azure Active Directory accounts. たとえば、これらのアカウント用に作成したパスワード、フェデレーション、Active Directory Domain Services で作成した後 Azure Active Directory に同期したパスワードを使用できます。For example, they could use passwords that were created for these accounts, federation, or passwords that were created in Active Directory Domain Services and then synchronized to Azure Active Directory.

その他の認証方法:Other authentication methods:

  • Azure AD のアカウントを持っていないユーザー宛の Office ドキュメントが添付されている電子メールを保護する場合、認証方法が異なります。If you protect an email with an Office document attachment to a user who doesn't have an account in Azure AD, the authentication method changes. Azure Rights Management サービスは、Gmail など、いくつかの一般的なソーシャル ID プロバイダーと統合されます。The Azure Rights Management service is federated with some popular social identity providers, such as Gmail. ユーザーの電子メール プロバイダーがサポートされている場合、ユーザーはそのサービスにサインインでき、電子メール プロバイダーによって認証が行われます。If the user's email provider is supported, the user can sign in to that service and their email provider is responsible for authenticating them. ユーザーの電子メール プロバイダーがサポートされていない場合、または基本設定として、ユーザーは認証を行い、Web ブラウザーで保護されたドキュメントを含む電子メールを表示するためのワンタイム パスワードを申請できます。If the user's email provider is not supported, or as a preference, the user can apply for a one-time passcode that authenticates them and displays the email with the protected document in a web browser.

  • Azure Information Protection では、サポートされているアプリケーションの Microsoft アカウントを使用できます。Azure Information Protection can use Microsoft accounts for supported applications. 現在、Microsoft アカウントが認証に使用されている場合、アプリケーションによっては、保護されたコンテンツを開けない場合があます。Currently, not all applications can open protected content when a Microsoft account is used for authentication. 詳細情報More information

社外のユーザーをカスタム テンプレートに追加できますか?Can I add external users (people from outside my company) to custom templates?

Yes. Azure Portal で構成できる保護設定では、組織の外部からユーザーとグループや、別組織の全ユーザーに対しても、アクセス許可を追加することができます。The protection settings that you can configure in the Azure portal let you add permissions to users and groups from outside your organization, and even all users in another organization. これについては、必要に応じて「Azure Information Protection を使用したセキュアなドキュメント コラボレーション」をご覧ください。You might find it useful to reference the step-by-step example, Secure document collaboration by using Azure Information Protection.

Azure Information Protection ラベルがある場合は、最初にカスタム テンプレートをラベルに変換してから、Azure Potal でこれらの保護設定を構成する必要があります。Note that if you have Azure Information Protection labels, you must first convert your custom template to a label before you can configure these protection settings in the Azure portal. 詳細については、「Azure Information Protection のテンプレートを構成して管理する」を参照してください。For more information, see Configuring and managing templates for Azure Information Protection.

または、PowerShell を使用して、カスタム テンプレート (およびラベル) に外部ユーザーを追加できます。Alternatively, you can add external users to custom templates (and labels) by using PowerShell. この構成では、テンプレートを更新するために使用する権限定義オブジェクトを使用する必要があります。This configuration requires you to use a rights definition object that you use to update your template:

  1. AipServiceRightsDefinitionコマンドレットを使用して変数を作成することにより、権限定義オブジェクトで外部電子メールアドレスとその権限を指定します。Specify the external email addresses and their rights in a rights definition object, by using the New-AipServiceRightsDefinition cmdlet to create a variable.

  2. RightsDefinition パラメーターにこの変数を指定します。これには、 Set AipServiceTemplatePropertyコマンドレットを使用します。Supply this variable to the RightsDefinition parameter with the Set-AipServiceTemplateProperty cmdlet.

    ユーザーを既存のテンプレートを追加するときに、新しいユーザーに加え、テンプレート内の既存のユーザーに対して、権限定義オブジェクトを定義する必要があります。When you add users to an existing template, you must define rights definition objects for the existing users in the templates, in addition to the new users. このシナリオでは、コマンドレットの「」セクションの「Example 3: Add new users and rights to a custom template」 (例 3: カスタム テンプレートへの新しいユーザーと権利の追加) が役に立ちます。For this scenario, you might find helpful Example 3: Add new users and rights to a custom template from the Examples section for the cmdlet.

Azure RMS では、どの種類のグループを使用できますか?What type of groups can I use with Azure RMS?

ほとんどのシナリオでは、電子メール アドレスを持つ、Azure AD 内の任意の種類のグループを使用できます。For most scenarios, you can use any group type in Azure AD that has an email address. この経験則は、使用権限を割り当てる際に常に適用されますが、Azure Rights Management サービスの管理の場合はいくつか例外があります。This rule of thumb always applies when you assign usage rights but there are some exceptions for administering the Azure Rights Management service. 詳細については、「グループ アカウントに関する Azure Information Protection の要件」を参照してください。For more information, see Azure Information Protection requirements for group accounts.

保護されたメールを Gmail または Hotmail のアカウントに送信するにはどうしますか。How do I send a protected email to a Gmail or Hotmail account?

Exchange Online と Azure Rights Management サービスを使用する場合は、保護メッセージとしてユーザーに電子メールを送信するだけです。When you use Exchange Online and the Azure Rights Management service, you just send the email to the user as a protected message. たとえば、Outlook on the Web のコマンド バーにある新しい [保護] ボタンを選択するか、Outlook の [転送不可] ボタンまたはメニュー オプションを選択できます。For example, you can select the new Protect button in the command bar in Outlook on the Web, use the Outlook Do Not Forward button or menu option. または、自動的に転送不可を適用する Azure Information Protection ラベルを選択して、電子メールを分類することができます。Or, you can select an Azure Information Protection label that automatically applies Do Not Forward for you, and classifies the email.

受信者には Gmail、Yahoo、または Microsoft アカウントにサインインするためのオプションが表示され、保護された電子メールを読むことができます。The recipient sees an option to sign in to their Gmail, Yahoo, or Microsoft account, and then they can read the protected email. また、ブラウザーで電子メールを読み取るためにワンタイム パスワードのオプションを選択することもできます。Alternatively, they can choose the option for a one-time passcode to read the email in a browser.

このシナリオをサポートするには、Exchange Online を Azure Rights Management サービスおよび Office 365 のメッセージの暗号化の新しい機能で使用できるようにする必要があります。To support this scenario, Exchange Online must be enabled for the Azure Rights Management service and the new capabilities in Office 365 Message Encryption. この構成の詳細については、「Exchange Online: IRM 構成」をご覧ください。For more information about this configuration, see Exchange Online: IRM Configuration.

すべてのデバイスですべての電子メール アカウントをサポートする新機能の詳細については、ブログの投稿「Announcing new capabilities available in Office 365 Message Encryption」 (Office 365 のメッセージの暗号化で使用できる新機能のお知らせ) を参照してください。For more information about the new capabilities that include supporting all email accounts on all devices, see the following blog post: Announcing new capabilities available in Office 365 Message Encryption.

Azure RMS でサポートされているデバイスとファイルの種類を教えてください。What devices and which file types are supported by Azure RMS?

Azure Rights Management サービスをサポートするデバイスの一覧については、「Azure Rights Management データ保護をサポートするクライアント デバイス」をご覧ください。For a list of devices that support the Azure Rights Management service, see Client devices that support Azure Rights Management data protection. サポートされているデバイスによっては一部の Rights Management 機能がサポートされていないため、RMS 対応のアプリケーションの表も確認してください。Because not all supported devices can currently support all Rights Management capabilities, be sure to also check the table for RMS-enlighted applications.

Azure Rights Management サービスはあらゆる種類のファイルに対応しています。The Azure Rights Management service can support all file types. テキスト、イメージ、Microsoft Office (Word、Excel、PowerPoint) ファイル、.pdf ファイル、他のいくつかのアプリケーションのファイルの種類については、Azure Rights Management は暗号化と権限の適用 (アクセス許可) の両方を含むネイティブな保護を提供します。For text, image, Microsoft Office (Word, Excel, PowerPoint) files, .pdf files, and some other application file types, Azure Rights Management provides native protection that includes both encryption and enforcement of rights (permissions). 他のすべてのアプリケーションとファイルの種類については、ファイルのカプセル化と、ユーザーにファイルを開く権限があるかどうかを確認する認証という一般的な保護機能が提供されます。For all other applications and file types, generic protection provides file encapsulation and authentication to verify if a user is authorized to open the file.

Azure Rights Management でネイティブでサポートされているファイル名拡張子の一覧については、「File types supported by the Azure Information Protection client」(Azure Information Protection クライアントでサポートされるファイルの種類) を参照してください。For a list of file name extensions that are natively supported by Azure Rights Management, see File types supported by the Azure Information Protection client. 一覧に含まれないファイル名拡張子は、汎用的な保護をこれらのファイルに自動的に適用する Azure Information Protection クライアントを使用することによってサポートされます。File name extensions not listed are supported by using the Azure Information Protection client that automatically applies generic protection to these files.

ドキュメントを保護および追跡するように Mac コンピューターを設定するにはどうすればよいのですか?How do I configure a Mac computer to protect and track documents?

まず、 https://admin.microsoft.com のソフトウェア インストール リンクから Office for Mac がインストールされていることを確認します。First, make sure that you have installed Office for Mac by using the software installation link from https://admin.microsoft.com. 手順については、「Office 365 または Office 2019 を PC または Mac にダウンロードしてインストールまたは再インストールします」を参照してください。For full instructions, see Download and install or reinstall Office 365 or Office 2019 on a PC or Mac.

Office 365 の職場または学校のアカウントを使用して、Outlook を開き、プロファイルを作成します。Open Outlook and create a profile by using your Office 365 work or school account. 次に新しいメッセージを作成し、次の操作を行って、Azure Rights Management サービスを使用してドキュメントや電子メールを保護できるように Office を構成します。Then, create a new message and do the following to configure Office so that it can protect documents and emails by using the Azure Rights Management service:

  1. 新規のメッセージで、 [オプション] タブで、 [アクセス許可] をクリックし、 [資格情報の確認] をクリックします。In the new message, on the Options tab, click Permissions, and then click Verify Credentials.

  2. 入力要求が表示されたら、Office 365 の職場または学校のアカウントの詳細をもう一度指定し、 [サインイン] を選択します。When prompted, specify your Office 365 work or school account details again, and select Sign in.

    これによって Azure Rights Management テンプレートがダウンロードされ、資格情報の確認が、無制限転送不可、およびユーザーのテナント用に公開されたすべての Azure Rights Management テンプレートを含むオプションで置換されます。This downloads the Azure Rights Management templates and Verify Credentials is now replaced with options that include No Restrictions, Do Not Forward, and any Azure Rights Management templates that are published for your tenant. この新しいメッセージを今すぐ取り消すことができます。You can now cancel this new message.

電子メール メッセージやドキュメントを保護するには、 [オプション] タブで、 [アクセス許可] をクリックして、電子メールやドキュメントを保護するオプションまたはテンプレートを選択します。To protect an email message or a document: On the Options tab, click Permissions and choose an option or template that protects your email or document.

ドキュメントを保護した後、ドキュメントを追跡するには、Azure Information Protection クライアントをインストールした Windows コンピューターから、Office アプリケーションまたはエクスプローラーを使用して、ドキュメントをドキュメント追跡サイトに登録します。To track a document after you have protected it: From a Windows computer that has the Azure Information Protection client installed, register the document with the document tracking site by using either an Office application or File Explorer. 手順については、ドキュメントの追跡と取り消しに関する記事を参照してください。For instructions, see Track and revoke your documents. Mac コンピューターからは、現在、Web ブラウザーを使用してドキュメント追跡サイト (https://track.azurerms.com) ) に移動し、このドキュメントを追跡して取り消すことができます。From your Mac computer, you can now use your web browser to go to the document tracking site (https://track.azurerms.com) to track and revoke this document.

RMS で保護されている Office ドキュメントを開いた場合、関連付けられた一時ファイルも RMS で保護されたものになりますか。When I open an RMS-protected Office document, does the associated temporary file become RMS-protected as well?

いいえ。No. このシナリオでは、関連付けられている一時ファイルには元のドキュメントのデータは含まれず、ユーザーがファイルを開いているときに入力したもののみが含まれます。In this scenario, the associated temporary file doesn’t contain data from the original document but instead, only what the user enters while the file is open. 元のファイルとは異なり、一時ファイルは明らかに共有用に設計されておらず、BitLocker や EFS などのローカル セキュリティ コントロールによって保護されデバイス上に残ります。Unlike the original file, the temporary file is obviously not designed for sharing and would remain on the device, protected by local security controls, such as BitLocker and EFS.

必要な機能があるのですが、SharePoint で保護されたライブラリには使用できないようです。この機能のサポートは予定されていますか。A feature I am looking for doesn’t seem to work with SharePoint protected libraries—is support for my feature planned?

現在のところ、SharePoint は、IRM で保護されたライブラリを使用して、RMS で保護されたドキュメントをサポートしています。IRM で保護されたライブラリは、Rights Management テンプレートやドキュメントの追跡などの機能をサポートしていません。Currently, SharePoint supports RMS-protected documents by using IRM protected libraries, which do not support Rights Management templates, document tracking, and some other capabilities. 詳細については、記事「Office アプリケーションおよびサービス」の「SharePoint Online と SharePoint Server」セクションを参照してください。For more information, see the SharePoint Online and SharePoint Server section in the Office applications and services article.

まだサポートされていない機能に関する情報については、Enterprise Mobility and Security チーム ブログのお知らせに注意してください。If you are interested in a specific capability that isn't yet supported, be sure to keep an eye on announcements on the Enterprise Mobility and Security Blog.

ユーザーが社内や社外の人間とファイルを安全に共有できるように SharePoint Online で OneDrive for Business を構成するには、どうすればよいですか。How do I configure One Drive for Business in SharePoint Online, so that users can safely share their files with people inside and outside the company?

既定では、Office 365 管理者は構成しません。ユーザーが構成します。By default, as an Office 365 administrator, you don’t configure this; users do.

SharePoint サイト管理者が、所有する SharePoint ライブラリの IRM を有効にして構成するのと同じように、OneDrive for Business は、ユーザーが自身の OneDrive for Business ライブラリの IRM を有効にして構成するように設計されています。Just as a SharePoint site administrator enables and configures IRM for a SharePoint library that they own, OneDrive for Business is designed for users to enable and configure IRM for their own OneDrive for Business library. ただし、PowerShell を使用して、ユーザーに代わってこの処理を行うことができます。However, by using PowerShell, you can do this for them. 手順については、記事「Office 365: クライアントとオンライン サービスの構成」の「SharePoint Online と OneDrive for Business:IRM 構成」セクションをご覧ください。For instructions, see the SharePoint Online and OneDrive for Business: IRM Configuration section in the Office 365: Configuration for clients and online services article.

正常にデプロイするためのヒントやコツがあれば教えてください。Do you have any tips or tricks for a successful deployment?

これまでに多数のデプロイをサポートし、顧客、パートナー、コンサルタント、サポート エンジニアから話を聞いてきた経験から言える一番のヒントは、シンプルなポリシーを設計してデプロイすることです。After overseeing many deployments and listening to our customers, partners, consultants, and support engineers – one of the biggest tips we can pass on from experience: Design and deploy simple policies.

Azure Information Protection では、他のユーザーと情報を安全に共有できるため、データ保護の範囲を詳細に指定することができます。Because Azure Information Protection supports sharing securely with anyone, you can afford to be ambitious with your data protection reach. 使用権限の制限の構成は慎重に行ってください。But be conservative when you configure rights usage restrictions. 多くの組織にとって、業務上最も重要な利点は、組織内のユーザーのアクセス許可を制限して、データ漏えいを防止できることです。For many organizations, the biggest business impact comes from preventing data leakage by restricting access to people in your organization. もちろん、印刷や編集などを防ぐ必要がある場合に比べて、はるかに詳細な情報を得ることができます。ただし、高レベルのセキュリティが本当に必要なドキュメントについては、例外としてより細かい制限を設け、1日に制限の厳しい使用権限を実装するのではなく、より段階的なアプローチを計画することをお勧めします。Of course, you can get much more granular than that if you need to – prevent people from printing, editing etc. But keep the more granular restrictions as the exception for documents that really need high-level security, and don’t implement these more restrictive usage rights on day one, but plan for a more phased approach.

退職した従業員が保護していたファイルにアクセスするには、どうすればよいですか。How do we regain access to files that were protected by an employee who has now left the organization?

スーパー ユーザー機能を使用してください。この機能により、テナントで保護されているすべてのドキュメントと電子メールに対して承認されたユーザーにフル コントロール使用権限が与えられます。Use the super user feature, which grants the Full Control usage rights to authorized users for all documents and emails that are protected by your tenant. スーパー ユーザーは常にこの保護されたコンテンツを読み取ることができ、必要に応じて、保護を解除したり、別のユーザーのために再度保護したりすることができます。Super users can always read this protected content, and if necessary, remove the protection or reprotect it for different users. また必要に応じて、スーパー ユーザー機能を使用すると、権限を持つサービスのインデックス化とファイルの検証を行うことができます。This same feature lets authorized services index and inspect files, as needed.

ドキュメント追跡サイトで失効をテストすると、最大 30 日間はドキュメントにアクセスできるというメッセージが表示されます。この期間を構成することはできますか。When I test revocation in the document tracking site, I see a message that says people can still access the document for up to 30 days—is this time period configurable?

Yes. このメッセージは、その特定のファイルの使用ライセンスを反映します。This message reflects the use license for that specific file.

ファイルを取り消すと、そのアクションは、Azure Rights Management サービスにユーザーを認証する場合にのみ適用できます。If you revoke a file, that action can be enforced only when the user authenticates to the Azure Rights Management service. そのため、ファイルに 30 日間の使用ライセンス有効期間があり、ユーザーが既にそのドキュメントを開いている場合、ユーザーは引き続きその使用ライセンスの期間中はドキュメントにアクセスすることができます。So if a file has a use license validity period of 30 days and the user has already opened the document, that user continues to have access to the document for the duration of the use license. 使用ライセンスの期限が切れた後は、ドキュメントが取り消されているため、ユーザーのアクセスが拒否される時点で、ユーザーの再認証が必要になります。When the use license expires, the user must reauthenticate, at which point the user is denied access because the document is now revoked.

ドキュメントを保護したユーザーである Rights Management 発行者は、この取り消しから除外されており、常に自分のドキュメントにアクセスできます。The user who protected the document, the Rights Management issuer is exempt from this revocation and is always able to access their documents.

テナントに適用される使用ライセンスの有効期間の既定値は 30 日間です。ラベルまたはテンプレートで、この設定をより制限の厳しい値でオーバーライドできます。The default value for the use license validity period for a tenant is 30 days and this setting can be overridden by a more restrictive setting in a label or template. 使用ライセンスの詳細および使用ライセンスの構成方法については、Rights Management の使用ライセンスに関するページを参照してください。For more information about the use license and how to configure it, see the Rights Management use license documentation.

Rights Management は画面キャプチャを防止できますか。Can Rights Management prevent screen captures?

Windows プラットフォーム (Windows 7、Windows 8.1、Windows 10、Windows 10 Mobile) および Android で広く使われているさまざまな画面キャプチャ ツールについては、コピーの使用権限を付与しなければ、Rights Management で画面キャプチャを防止できます。By not granting the Copy usage right, Rights Management can prevent screen captures from many of the commonly used screen capture tools on Windows platforms (Windows 7, Windows 8.1, Windows 10, Windows 10 Mobile) and Android. ただし、iOS および Mac デバイスでは、いかなるアプリも画面キャプチャを防止することができません。However, iOS and Mac devices do not allow any app to prevent screen captures. さらに、すべてのデバイス上のブラウザーは画面キャプチャを防止することができません。In addition, browsers on any device cannot prevent screen captures. ブラウザーでは、web 用に Outlook と Office を使用します。Browser use includes Outlook on the web and Office for the web.

画面のキャプチャを禁止しておくと、不注意や不測の出来事により機密性の高い情報が漏洩してしまう事態を避けることができます。Preventing screen captures can help to avoid accidental or negligent disclosure of confidential or sensitive information. ただし、画面に表示されるデータをユーザーが共有する方法は多数あります。スクリーンショットを撮影する方法は、1つの方法にすぎません。But there are many ways that a user can share data that is displayed on a screen, and taking a screenshot is only one method. たとえば、表示される情報を共有しようとするユーザーは、カメラ付き携帯電話を使用して写真を撮影したり、データを再入力したり、単に口頭で他者に伝達することができます。For example, a user intent on sharing displayed information can take a picture of it using their camera phone, retype the data, or simply verbally relay it to somebody.

このように、あらゆるプラットフォームとソフトウェアが Rights Management API をサポートしており、かつ画面キャプチャをブロックできたとしても、テクノロジだけでデータの漏洩を防ぐことができるわけではありません。As these examples demonstrate, even if all platforms and all software supported the Rights Management APIs to block screen captures, technology alone cannot always prevent users from sharing data that they should not. Rights Management は、承認および使用ポリシーを使用して重要なデータを保護するのに役立つものの、このエンタープライズ権限管理ソリューションは、他の管理手段と共に使用する必要があります。Rights Management can help to safeguard your important data by using authorization and usage policies, but this enterprise rights management solution should be used with other controls. たとえば、物理的なセキュリティを実装したり、組織のデータへのアクセスが承認されているユーザーを慎重に検査および監視したり、共有してはならないデータを理解できるようにユーザーの教育に投資したりすることです。For example, implement physical security, carefully screen and monitor people who have authorized access to your organization's data, and invest in user education so users understand what data should not be shared.

電子メールをユーザー保護する方法として、[転送不可] と転送権限のないテンプレートにはどのような違いがありますか。What's the difference between a user protecting an email with Do Not Forward and a template that doesn't include the Forward right?

名前や外観に反して、 [転送不可] は転送権限の反対ではなく、テンプレートでもありません。Despite its name and appearance, Do Not Forward is not the opposite of the Forward right, or a template. 実際には、コピー、印刷、添付ファイルの保存の制限を含む権限の集まりであり、それらに加え、電子メールの転送が制限されます。It is actually a set of rights that include restricting copying, printing, and saving attachments, in addition to restricting the forwarding of emails. 権限は、選択した受信者に基づき、ユーザーに動的に適用されます。管理者によって静的に割り当てられるものではありません。The rights are dynamically applied to users via the chosen recipients, and not statically assigned by the administrator. 詳細については、「 Azure Information Protection の使用権限を構成する」の「電子メールの [転送不可] オプション」セクションを参照してください。For more information, see the Do Not Forward option for emails section in Configuring usage rights for Azure Information Protection.