Azure Information Protection のデータ保護に関してよく寄せられる質問Frequently asked questions about data protection in Azure Information Protection

*適用対象: Azure Information ProtectionOffice 365**Applies to: Azure Information Protection, Office 365*

*関連: AIP のラベル付けクライアントと従来のクライアントです。*Relevant for: AIP unified labeling client and classic client. 詳細については、「 クラシッククライアントの faq」も参照してください。 *For more information, see also the FAQs for the classic client only.*

注意

統一された効率的なカスタマー エクスペリエンスを提供するため、Azure portal の Azure Information Protection のクラシック クライアントラベル管理 は、2021 年 3 月 31 日 をもって 非推奨 になります。To provide a unified and streamlined customer experience, Azure Information Protection classic client and Label Management in the Azure Portal are being deprecated as of March 31, 2021. このタイムフレームにより、現在のすべての Azure Information Protection のお客様は、Microsoft Information Protection 統合ラベル付けプラットフォームを使用する統一されたラベル付けソリューションに移行できます。This time-frame allows all current Azure Information Protection customers to transition to our unified labeling solution using the Microsoft Information Protection Unified Labeling platform. 詳細については、公式な非推奨の通知をご覧ください。Learn more in the official deprecation notice.

Azure Information Protection のデータ保護サービス、Azure Rights Management に関して質問がありますか。Have a question about the data protection service, Azure Rights Management, from Azure Information Protection? ここで回答を探してみてください。See if it's answered here.

ファイルを Azure Rights Management で保護するには、クラウドに置いておく必要があるのでしょうか。Do files have to be in the cloud to be protected by Azure Rights Management?

よくある誤解ですが、そのようなことはありません。No, this is a common misconception. Azure Rights Management サービス (と Microsoft) では、情報保護の一環としてユーザーのデータを閲覧したり、保存したりすることはありません。The Azure Rights Management service (and Microsoft) does not see or store your data as part of the information protection process. ユーザーが保護した情報は、ユーザーが Azure に明示的に保存したり、Azure に情報を保存する別のクラウド サービスを使用しない限り、Azure に送信されたり保存されたりすることはありません。Information that you protect is never sent to or stored in Azure unless you explicitly store it in Azure or use another cloud service that stores it in Azure.

詳細については、「Azure RMS のしくみ」を参照してください 。内部 設置型で格納され、オンプレミスに格納されている secret cola 式が Azure Rights Management サービスによって保護されていても、オンプレミスのままになっていることを理解するためのものです。For more information, see How does Azure RMS work? Under the hood to understand how a secret cola formula that is created and stored on-premises is protected by the Azure Rights Management service but remains on-premises.

他の Microsoft クラウドサービスでの Azure Rights Management の暗号化と暗号化の違いは何ですか。What's the difference between Azure Rights Management encryption and encryption in other Microsoft cloud services?

Microsoft はさまざまなシナリオでのデータ保護に合わせて多数の暗号化技術を提供していますが、多くの場合はデータ保護のシナリオが相互補完的です。Microsoft provides multiple encryption technologies that enable you to protect your data for different, and often complementary scenarios. たとえば、Microsoft 365 に格納されているデータの保存データの暗号化は、Microsoft 365 によって提供されますが、Azure Information Protection の Azure Rights Management サービスはデータを独立して暗号化し、そのデータがどこに置かれているかまたは送信方法に関係なく保護されるようにします。For example, while Microsoft 365 offers encryption at-rest for data stored in Microsoft 365, the Azure Rights Management service from Azure Information Protection independently encrypts your data so that it is protected regardless of where it is located or how it is transmitted.

これらの暗号化技術は互いに補完するものであり、使用するには各技術を個別に有効にして構成する必要があります。These encryption technologies are complementary and using them requires enabling and configuring them independently. このときに、暗号化のキーを独自に用意するという選択が可能な場合があり、このようなシナリオは "BYOK" (Bring Your Own Key) とも呼ばれます。When you do so, you might have the option to bring your own key for the encryption, a scenario also known as "BYOK." 暗号化技術の 1 つについて BYOK を有効にしても、それ以外の技術に影響することはありません。Enabling BYOK for one of these technologies does not affect the others. たとえば、BYOK を Azure Information Protection に使用し、それ以外の暗号化技術には使用しないことも、その逆も可能です。For example, you can use BYOK for Azure Information Protection and not use BYOK for other encryption technologies, and vice versa. 使用されるキーが暗号化技術ごとに異なるか同一であるかは、管理者が各サービスの暗号化オプションをどのように構成するかによって決まります。The keys used by these different technologies might be the same or different, depending on how you configure the encryption options for each service.

現在、Exchange Online で BYOK を使用できますか。Can I now use BYOK with Exchange Online?

はい。 Azure Information Protection の上に構築された新しい Microsoft 365 メッセージの暗号化機能のセットアップに関するページの手順に従って、Exchange ONLINE で byok を使用できるようになりました。Yes, you can now use BYOK with Exchange Online when you follow the instructions in Set up new Microsoft 365 Message Encryption capabilities built on top of Azure Information Protection. これらの手順に従うことで、新しい Office 365 Message Encryption と、Azure Information Protection での BYOK の使用をサポートする Exchange Online の新しい機能を使用できるようになります。These instructions enable the new capabilities in Exchange Online that support using BYOK for Azure Information Protection, as well as the new Office 365 Message Encryption.

この変更の詳細については、Office 365 Message Encryption と新しい機能に関するブログのお知らせを参照してください。For more information about this change, see the blog announcement: Office 365 Message Encryption with the new capabilities

Azure RMS と統合するサード パーティのソリューションに関する情報はどこで入手できますか。Where can I find information about third-party solutions that integrate with Azure RMS?

既に多くのソフトウェア ベンダーが、Azure Rights Management と統合するソリューションを持っているか、そのソリューションを実装中であり、そのようなベンダーが増え続けています。Many software vendors already have solutions or are implementing solutions that integrate with Azure Rights Management—and the list is growing rapidly. 対応アプリケーションの一覧を確認し、Twitter のMicrosoft Mobility@MSFTMobility から最新の更新プログラムを入手すると便利な場合があります。You might find it useful to check the RMS-enlightened applications lists and get the latest updates from Microsoft Mobility@MSFTMobility on Twitter. Azure Information Protection Yammer サイトでは、特定の統合に関する質問を投稿できます。You can and post any specific integration questions on the Azure Information Protection Yammer site.

RMS コネクタには管理パックまたは同様の監視メカニズムがありますか。Is there a management pack or similar monitoring mechanism for the RMS connector?

Rights Management コネクタは、情報、警告、およびエラーメッセージをイベントログに記録しますが、これらのイベントの監視を含む管理パックはありません。Although the Rights Management connector logs information, warning, and error messages to the event log, there isn't a management pack that includes monitoring for these events. イベントとその説明の一覧および対処に役立つ詳細な情報については、「Azure Rights Management コネクタを監視する」を参照してください。However, the list of events and their descriptions, with more information to help you take corrective action is documented in Monitor the Azure Rights Management connector.

Azure Portal では、新しいカスタム テンプレートをどのように作成しますか。How do I create a new custom template in the Azure portal?

カスタム テンプレートは、Azure Portal に移動しています。Azure Portal では、引き続きカスタム テンプレートをテンプレートとして管理したり、ラベルに変換したりすることができます。Custom templates have moved to the Azure portal where you can continue to manage them as templates, or convert them to labels. 新しいテンプレートを作成するには、新しいラベルを作成し、Azure RMS 用のデータ保護設定を構成します。To create a new template, create a new label and configure the data protection settings for Azure RMS. それによって、内部的には新しいテンプレートが作成され、Rights Management テンプレートと統合されるサービスとアプリケーションがアクセスできるようになります。Under the covers, this creates a new template that can then be accessed by services and applications that integrate with Rights Management templates.

Azure Portal のテンプレートの詳細については、「Azure Information Protection のテンプレートを構成して管理する」を参照してください。For more information about templates in the Azure portal, see Configuring and managing templates for Azure Information Protection.

保護されているドキュメントに対して、使用権限の変更またはユーザーの追加を行いたいのですが、ドキュメントを再保護する必要がありますか。I've protected a document and now want to change the usage rights or add users—do I need to reprotect the document?

ドキュメントがラベルまたはテンプレートを使用して保護されている場合、ドキュメントを再保護する必要はありません。If the document was protected by using a label or template, there's no need to reprotect the document. 使用権限に変更を加えるか、新しいグループ (またはユーザー) を追加することによって、ラベルまたはテンプレートを変更した後、変更内容を保存します。Modify the label or template by making your changes to the usage rights or add new groups (or users), and then save these changes:

  • 変更する前にユーザーがドキュメントにアクセスしていない場合、ユーザーがドキュメントを開くとすぐに変更が有効になります。When a user hasn't accessed the document before you made the changes, the changes take effect as soon as the user opens the document.

  • ユーザーが既にドキュメントにアクセスしている場合は、ユーザーの使用ライセンスの有効期限が過ぎた時点で変更が有効になります。When a user has already accessed the document, these changes take effect when their use license expires. 使用ライセンスの有効期限が切れるまで待てない場合にのみ、ドキュメントを再保護します。Reprotect the document only if you cannot wait for the use license to expire. 再保護を行うと、実際にはドキュメントの新しいバージョンが作成されるため、ユーザーの使用ライセンスも新しくなります。Reprotecting effectively creates a new version of the document, and therefore a new use license for the user.

あるいは、必要なアクセス許可に対して既にグループを構成している場合、グループのメンバーシップを変更してユーザーの追加または除外を行うことができます。ラベルまたはテンプレートの変更は必要ありません。Alternatively, if you have already configured a group for the required permissions, you can change the group membership to include or exclude users and there is no need to change the label or template. グループ メンバーシップが Azure Rights Management サービスによってキャッシュに入れられるため、変更が反映されるまでにわずかな遅延が生じる可能性があります。There might be a small delay before the changes take effect because group membership is cached by the Azure Rights Management service.

カスタム アクセス許可を使用してドキュメントが保護されている場合は、既存のドキュメントのアクセス許可を変更できません。If the document was protected by using custom permissions, you cannot change the permissions for the existing document. ドキュメントを再度保護し、この新しいバージョンのドキュメントに必要なすべてのユーザーとすべての使用権限を指定する必要があります。You must protect the document again and specify all the users and all the usage rights that are required for this new version of the document. 保護されたドキュメントを再保護するには、"フル コントロール" 使用権限が必要です。To reprotect a protected document, you must have the Full Control usage right.

ヒント: ドキュメントがテンプレートで保護されているのか、カスタム アクセス許可を使用して保護されているのかを確認するには、Get-AIPFileStatus PowerShell コマンドレットを使用します。Tip: To check whether a document was protected by a template or by using custom permission, use the Get-AIPFileStatus PowerShell cmdlet. カスタム アクセス許可の場合、[制限されたアクセス] のテンプレートの説明と、Get-RMSTemplate を実行した場合には表示されない一意のテンプレート ID が常に表示されます。You always see a template description of Restricted Access for custom permissions, with a unique template ID that is not displayed when you run Get-RMSTemplate.

一部のユーザーは Exchange Online に登録され、他のユーザーは Exchange Server に登録されている、Exchange のハイブリッド デプロイ構成は、Azure RMS でサポートされていますか。I have a hybrid deployment of Exchange with some users on Exchange Online and others on Exchange Server—is this supported by Azure RMS?

はい、サポートされています。また、2 つの Exchange デプロイメント間でシームレスに電子メールと添付ファイルを保護し、保護された電子メールと添付ファイルを使用できることがメリットです。Absolutely, and the nice thing is, users are able to seamlessly protect and consume protected emails and attachments across the two Exchange deployments. この構成の場合、Azure RMS をアクティブにし、IRM for Exchange Online を有効にします。次に、RMS コネクタをデプロイして、Exchange Server 用に構成します。For this configuration, activate Azure RMS and enable IRM for Exchange Online, then deploy and configure the RMS connector for Exchange Server.

運用環境にこの保護を利用すると、会社の環境が Azure RMS に固定されたり、Azure RMS で保護したコンテンツにアクセスできなくなる危険性が生じたりしますか。If I use this protection for my production environment, is my company then locked into the solution or risk losing access to content that we protected with Azure RMS?

いいえ。データを常に制御することができます。また、Azure Rights Management サービスの使用を停止したとしても、継続してデータにアクセスすることができます。No, you always remain in control of your data and can continue to access it, even if you decide to no longer use the Azure Rights Management service. 詳細については、「 Azure Rights Management の使用停止と非アクティブ化」を参照してください。For more information, see Decommissioning and deactivating Azure Rights Management.

Azure RMS を使用してコンテンツを保護するユーザーを制御できますか。Can I control which of my users can use Azure RMS to protect content?

はい。Azure Rights Management サービスには、このシナリオのためのユーザー オンボーディング コントロールがあります。Yes, the Azure Rights Management service has user onboarding controls for this scenario. 詳細については、「 Azure Information Protection からの保護サービスのアクティブ化」の記事の「段階的な展開のオンボードコントロールの構成」セクションを参照してください。For more information, see the Configuring onboarding controls for a phased deployment section in the Activating the protection service from Azure Information Protection article.

保護されたドキュメントをユーザーが特定の組織と共有しないようにすることはできますか。Can I prevent users from sharing protected documents with specific organizations?

データ保護に Azure Rights Management サービスを使用する最大の利点の 1 つは、Azure AD が認証を自動的に処理するため、各パートナー組織に対して明示的な信頼を構成することなく、企業間のコラボレーションをサポートできることです。One of the biggest benefits of using the Azure Rights Management service for data protection is that it supports business-to-business collaboration without you having to configure explicit trusts for each partner organization, because Azure AD takes care of the authentication for you.

ユーザーが特定の組織とドキュメントを安全に共有することを防止するような管理オプションはありません。There is no administration option to prevent users from securely sharing documents with specific organizations. たとえば、信頼されていない組織や、競合が発生している組織をブロックするとします。For example, you want to block an organization that you don't trust or that has a competing business. Azure Rights Management サービスが保護されたドキュメントをこれらの組織のユーザーに送信できないようにすることは意味がありません。これは、ユーザーがドキュメントを保護されていない状態で共有するためです。このシナリオでは、おそらく最後に実行しようとしている可能性があります。Preventing the Azure Rights Management service from sending protected documents to users in these organizations wouldn't make sense because your users would then share their documents unprotected, which is probably the last thing you want to happen in this scenario. たとえば、社外秘ドキュメントを共有しているユーザーを特定することはできません。このような組織では、ドキュメント (または電子メール) が Azure Rights Management サービスによって保護されている場合に実行できます。For example, you wouldn't be able to identify who is sharing company-confidential documents with which users in these organizations, which you can do when the document (or email) is protected by the Azure Rights Management service.

保護されたドキュメントを社外のユーザーと共有する場合、そのユーザーはどのようにして認証されますか。When I share a protected document with somebody outside my company, how does that user get authenticated?

既定では、Azure Rights Management サービスは、ユーザー認証に Azure Active Directory アカウントと関連付けられた電子メール アドレスを使用します。これにより、管理者にとって企業間のコラボレーションがシームレスになります。By default, the Azure Rights Management service uses an Azure Active Directory account and an associated email address for user authentication, which makes business-to-business collaboration seamless for administrators. 他の組織で Azure サービスを使用する場合は、アカウントがオンプレミスで作成、管理されてから Azure に同期される場合でも、ユーザーは既に Azure Active Directory にアカウントを持っています。If the other organization uses Azure services, users already have accounts in Azure Active Directory, even if these accounts are created and managed on-premises and then synchronized to Azure. 組織に Microsoft 365 がある場合、このサービスでは、ユーザーアカウントに Azure Active Directory も使用します。If the organization has Microsoft 365, under the covers, this service also uses Azure Active Directory for the user accounts. ユーザーの組織が Azure に管理アカウントを持っていない場合、ユーザーは個人用 RMSにサインアップできます。これにより、管理されていない azure テナントとそのユーザーのアカウントを持つ組織のディレクトリが作成され、そのユーザー (およびその後のユーザー) が azure Rights Management サービスに対して認証できるようになります。If the user's organization doesn't have managed accounts in Azure, users can sign up for RMS for individuals, which creates an unmanaged Azure tenant and directory for the organization with an account for the user, so that this user (and subsequent users) can then be authenticated for the Azure Rights Management service.

このようなアカウントの認証方法は、他の組織の管理者が Azure Active Directory アカウントを構成している方法によって異なります。The authentication method for these accounts can vary, depending on how the administrator in the other organization has configured the Azure Active Directory accounts. たとえば、これらのアカウント用に作成したパスワード、フェデレーション、Active Directory Domain Services で作成した後 Azure Active Directory に同期したパスワードを使用できます。For example, they could use passwords that were created for these accounts, federation, or passwords that were created in Active Directory Domain Services and then synchronized to Azure Active Directory.

その他の認証方法:Other authentication methods:

  • Azure AD のアカウントを持っていないユーザー宛ての Office ドキュメントが添付されている電子メールを保護する場合、認証方法が異なります。If you protect an email with an Office document attachment to a user who doesn't have an account in Azure AD, the authentication method changes. Azure Rights Management サービスは、Gmail など、いくつかの一般的なソーシャル ID プロバイダーと統合されます。The Azure Rights Management service is federated with some popular social identity providers, such as Gmail. ユーザーの電子メール プロバイダーがサポートされている場合、ユーザーはそのサービスにサインインでき、電子メール プロバイダーによって認証が行われます。If the user's email provider is supported, the user can sign in to that service and their email provider is responsible for authenticating them. ユーザーの電子メール プロバイダーがサポートされていない場合、または任意の設定として、ユーザーはワンタイム パスコードを申請できます。このパスコードでユーザーは認証を行い、保護されたドキュメントを含む電子メールを Web ブラウザーで表示することができます。If the user's email provider is not supported, or as a preference, the user can apply for a one-time passcode that authenticates them and displays the email with the protected document in a web browser.

  • Azure Information Protection では、サポートされているアプリケーションの Microsoft アカウントを使用できます。Azure Information Protection can use Microsoft accounts for supported applications. 現在、Microsoft アカウントが認証に使用されている場合、アプリケーションによっては、保護されたコンテンツを開けない場合があます。Currently, not all applications can open protected content when a Microsoft account is used for authentication. 詳細情報More information

社外のユーザーをカスタム テンプレートに追加できますか。Can I add external users (people from outside my company) to custom templates?

はい。Yes. Azure Portal で構成できる保護設定では、組織の外部のユーザーとグループに (別組織の全ユーザーに対しても) アクセス許可を追加することができます。The protection settings that you can configure in the Azure portal let you add permissions to users and groups from outside your organization, and even all users in another organization. これについては、必要に応じて「Azure Information Protection を使用したセキュアなドキュメント コラボレーション」をご覧ください。You might find it useful to reference the step-by-step example, Secure document collaboration by using Azure Information Protection.

Azure Information Protection ラベルがある場合は、最初にカスタム テンプレートをラベルに変換してから、Azure Potal でこれらの保護設定を構成する必要があります。Note that if you have Azure Information Protection labels, you must first convert your custom template to a label before you can configure these protection settings in the Azure portal. 詳細については、「Azure Information Protection のテンプレートを構成して管理する」を参照してください。For more information, see Configuring and managing templates for Azure Information Protection.

または、PowerShell を使用して、カスタム テンプレート (およびラベル) に外部ユーザーを追加できます。Alternatively, you can add external users to custom templates (and labels) by using PowerShell. この構成には、テンプレートを更新するために使用する権限定義オブジェクトを使用する必要があります。This configuration requires you to use a rights definition object that you use to update your template:

  1. AipServiceRightsDefinitionコマンドレットを使用して変数を作成することにより、権限定義オブジェクトで外部電子メールアドレスとその権限を指定します。Specify the external email addresses and their rights in a rights definition object, by using the New-AipServiceRightsDefinition cmdlet to create a variable.

  2. RightsDefinition パラメーターにこの変数を指定します。これには、 Set AipServiceTemplateProperty コマンドレットを使用します。Supply this variable to the RightsDefinition parameter with the Set-AipServiceTemplateProperty cmdlet.

    ユーザーを既存のテンプレートに追加する場合、新しいユーザーだけでなく、テンプレート内の既存のユーザーにも、権限定義オブジェクトを定義する必要があります。When you add users to an existing template, you must define rights definition objects for the existing users in the templates, in addition to the new users. このシナリオでは、コマンドレットの「」セクションにある「Example 3: Add new users and rights to a custom template (例 3: カスタム テンプレートへの新しいユーザーと権利の追加)」が役に立ちます。For this scenario, you might find helpful Example 3: Add new users and rights to a custom template from the Examples section for the cmdlet.

Azure RMS では、どの種類のグループを使用できますか。What type of groups can I use with Azure RMS?

ほとんどのシナリオでは、電子メール アドレスを持つ、Azure AD の任意の種類のグループを使用できます。For most scenarios, you can use any group type in Azure AD that has an email address. この一般則は、使用権限を割り当てる際には常に適用できますが、Azure Rights Management サービスを管理する場合にはいくつかの例外があります。This rule of thumb always applies when you assign usage rights but there are some exceptions for administering the Azure Rights Management service. 詳細については、「グループ アカウントに関する Azure Information Protection の要件」を参照してください。For more information, see Azure Information Protection requirements for group accounts.

保護されたメールを Gmail または Hotmail のアカウントに送信するにはどうすればよいですか。How do I send a protected email to a Gmail or Hotmail account?

Exchange Online と Azure Rights Management サービスを使用する場合は、保護メッセージとしてユーザーに電子メールを送信するだけです。When you use Exchange Online and the Azure Rights Management service, you just send the email to the user as a protected message. たとえば、Outlook on the Web のコマンド バーにある新しい [保護] ボタンを選択するか、Outlook の [転送不可] ボタンまたはメニュー オプションを選択できます。For example, you can select the new Protect button in the command bar in Outlook on the Web, use the Outlook Do Not Forward button or menu option. または、Azure Information Protection ラベルを選択して、自動的に転送不可を適用し、電子メールを分類することができます。Or, you can select an Azure Information Protection label that automatically applies Do Not Forward for you, and classifies the email.

受信者には Gmail、Yahoo、または Microsoft アカウントにサインインするためのオプションが表示され、保護された電子メールを読むことができます。The recipient sees an option to sign in to their Gmail, Yahoo, or Microsoft account, and then they can read the protected email. また、ブラウザーで電子メールを読むためのワンタイム パスコードのオプションを選択することもできます。Alternatively, they can choose the option for a one-time passcode to read the email in a browser.

このシナリオをサポートするには、Exchange Online を Azure Rights Management サービスおよび Office 365 Message Encryption の新しい機能で使用できるようにする必要があります。To support this scenario, Exchange Online must be enabled for the Azure Rights Management service and the new capabilities in Office 365 Message Encryption. この構成の詳細については、「Exchange Online: IRM 構成」を参照してください。For more information about this configuration, see Exchange Online: IRM Configuration.

すべてのデバイスですべての電子メール アカウントをサポートする新機能の詳細については、ブログの投稿「Announcing new capabilities available in Office 365 Message Encryption (Office 365 Message Encryption で使用できる新機能のお知らせ)」を参照してください。For more information about the new capabilities that include supporting all email accounts on all devices, see the following blog post: Announcing new capabilities available in Office 365 Message Encryption.

Azure RMS では、どのデバイスとファイルの種類がサポートされていますか。What devices and which file types are supported by Azure RMS?

Azure Rights Management サービスをサポートしているデバイスの一覧については、「Azure Rights Management データ保護をサポートするクライアント デバイス」を参照してください。For a list of devices that support the Azure Rights Management service, see Client devices that support Azure Rights Management data protection. サポートされているデバイスによっては、一部の Rights Management 機能が現在サポートされていないため、 RMS 対応のアプリケーションの表も確認してください。Because not all supported devices can currently support all Rights Management capabilities, be sure to also check the tables for RMS-enlighted applications.

Azure Rights Management サービスはあらゆる種類のファイルに対応しています。The Azure Rights Management service can support all file types. テキスト、イメージ、Microsoft Office (Word、Excel、PowerPoint) ファイル、.pdf ファイル、他のいくつかのアプリケーションのファイルの種類については、Azure Rights Management は暗号化と権限の適用 (アクセス許可) の両方を含むネイティブな保護を提供します。For text, image, Microsoft Office (Word, Excel, PowerPoint) files, .pdf files, and some other application file types, Azure Rights Management provides native protection that includes both encryption and enforcement of rights (permissions). 他のすべてのアプリケーションとファイルの種類については、ファイルのカプセル化と、ユーザーにファイルを開く権限があるかどうかを確認する認証という一般的な保護機能が提供されます。For all other applications and file types, generic protection provides file encapsulation and authentication to verify if a user is authorized to open the file.

Azure Rights Management でネイティブでサポートされているファイル名拡張子の一覧については、「Azure Information Protection クライアントでサポートされるファイルの種類」を参照してください。For a list of file name extensions that are natively supported by Azure Rights Management, see File types supported by the Azure Information Protection client. 一覧に含まれていないファイル名拡張子は、汎用的な保護をこれらのファイルに自動的に適用する Azure Information Protection クライアントを使用することによってサポートされます。File name extensions not listed are supported by using the Azure Information Protection client that automatically applies generic protection to these files.

RMS で保護されている Office ドキュメントを開いた場合、関連付けられている一時ファイルも RMS で保護されますか。When I open an RMS-protected Office document, does the associated temporary file become RMS-protected as well?

いいえ。No. このシナリオでは、関連付けられた一時ファイルには元のドキュメントのデータは含まれませんが、ファイルが開いている間はユーザーが入力したもののみが含まれます。In this scenario, the associated temporary file doesn't contain data from the original document but instead, only what the user enters while the file is open. 元のファイルとは異なり、一時ファイルは明らかに共有用に設計されておらず、BitLocker や EFS などのローカル セキュリティ コントロールによって保護され、デバイス上に残ります。Unlike the original file, the temporary file is obviously not designed for sharing and would remain on the device, protected by local security controls, such as BitLocker and EFS.

探している機能は、SharePoint で保護されたライブラリでは動作しないようです。機能のサポートは予定されていますか?A feature I am looking for doesn't seem to work with SharePoint protected libraries—is support for my feature planned?

現在、Microsoft SharePoint では、IRM で保護されたライブラリを使用して、Rights Management テンプレート、ドキュメント追跡、およびその他の機能をサポートしていないドキュメントをサポートしています。Currently, Microsoft SharePoint supports RMS-protected documents by using IRM protected libraries, which do not support Rights Management templates, document tracking, and some other capabilities. 詳細については、「 Office アプリケーションおよびサービス」の「 sharepoint の Microsoft 365 と sharepoint Server 」セクションを参照してください。For more information, see the SharePoint in Microsoft 365 and SharePoint Server section in the Office applications and services article.

まだサポートされていない機能に関する情報については、Enterprise Mobility and Security チーム ブログのお知らせに注意していてください。If you are interested in a specific capability that isn't yet supported, be sure to keep an eye on announcements on the Enterprise Mobility and Security Blog.

SharePoint で1つのドライブを構成して、ユーザーが社内および社外のユーザーとファイルを安全に共有できるようにするには、操作方法ますか。How do I configure One Drive in SharePoint, so that users can safely share their files with people inside and outside the company?

既定では、Microsoft 365 管理者として構成されていません。ユーザーが実行します。By default, as a Microsoft 365 administrator, you don't configure this; users do.

SharePoint サイト管理者が所有する SharePoint ライブラリの IRM を有効にして構成するのと同じように、OneDrive は、ユーザーが自分の OneDrive ライブラリに対して IRM を有効にして構成するように設計されています。Just as a SharePoint site administrator enables and configures IRM for a SharePoint library that they own, OneDrive is designed for users to enable and configure IRM for their own OneDrive library. ただし、PowerShell を使用して、ユーザーに代わってこの処理を行うことができます。However, by using PowerShell, you can do this for them. 手順については、「 Microsoft 365 の SharePoint と OneDrive: IRM の構成」を参照してください。For instructions, see SharePoint in Microsoft 365 and OneDrive: IRM Configuration.

正常にデプロイするためのヒントやコツはありますか。Do you have any tips or tricks for a successful deployment?

これまでに多数のデプロイをサポートし、顧客、パートナー、コンサルタント、サポート エンジニアから話を聞いてきた経験から言える一番のヒントは、シンプルなポリシーを設計してデプロイすること です。After overseeing many deployments and listening to our customers, partners, consultants, and support engineers – one of the biggest tips we can pass on from experience: Design and deploy simple policies.

Azure Information Protection では、他のユーザーと情報を安全に共有できるため、データ保護の範囲を詳細に指定することができます。Because Azure Information Protection supports sharing securely with anyone, you can afford to be ambitious with your data protection reach. 使用権限の制限の構成は慎重に行ってください。But be conservative when you configure rights usage restrictions. 多くの組織にとって、業務上最も重要な利点は、組織内のユーザーのアクセス許可を制限して、データ漏えいを防止できることです。For many organizations, the biggest business impact comes from preventing data leakage by restricting access to people in your organization. もちろん、印刷や編集などを防ぐ必要がある場合に比べて、はるかに詳細な情報を得ることができます。ただし、高レベルのセキュリティが本当に必要なドキュメントについては、例外としてより細かい制限を設け、1日に制限の厳しい使用権限を実装するのではなく、より段階的なアプローチを計画することをお勧めします。Of course, you can get much more granular than that if you need to – prevent people from printing, editing etc. But keep the more granular restrictions as the exception for documents that really need high-level security, and don't implement these more restrictive usage rights on day one, but plan for a more phased approach.

退職した従業員が保護していたファイルにアクセスするには、どうすればよいですか。How do we regain access to files that were protected by an employee who has now left the organization?

スーパー ユーザー機能を使用してください。この機能により、テナントで保護されているすべてのドキュメントと電子メールに対して承認されたユーザーにフル コントロール使用権限が与えられます。Use the super user feature, which grants the Full Control usage rights to authorized users for all documents and emails that are protected by your tenant. スーパー ユーザーは常にこの保護されたコンテンツを読み取ることができ、必要に応じて、保護を解除したり、別のユーザーのために再度保護したりすることができます。Super users can always read this protected content, and if necessary, remove the protection or reprotect it for different users. また必要であれば、スーパー ユーザー機能を使用して、権限を持つサービスによるファイルのインデックス化と検査を許可することができます。This same feature lets authorized services index and inspect files, as needed.

コンテンツが SharePoint または OneDrive に保存されている場合、管理者は SensitivityLabelEncryptedFile コマンドレットを実行して、秘密度ラベルと暗号化の両方を削除できます。If your content is stored in SharePoint or OneDrive, admins can run the Unlock-SensitivityLabelEncryptedFile cmdlet, to remove both the sensitivity label and the encryption. 詳細については、Microsoft 365 のドキュメントを参照してください。For more information, see the Microsoft 365 documentation.

Rights Management は画面キャプチャを防止できますか。Can Rights Management prevent screen captures?

コピー 使用権限を付与しないことにより、Rights Management は、windows プラットフォーム (windows 7、Windows 8.1、Windows 10、および windows 10 Mobile) で一般的に使用されるさまざまな画面キャプチャツールから画面キャプチャを防ぐことができます。By not granting the Copy usage right, Rights Management can prevent screen captures from many of the commonly used screen capture tools on Windows platforms (Windows 7, Windows 8.1, Windows 10, and Windows 10 Mobile). ただし、iOS、Mac、および Android デバイスでは、画面キャプチャを禁止するアプリは許可されていません。However, iOS, Mac,and Android devices do not allow any app to prevent screen captures. さらに、すべてのデバイス上のブラウザーは画面キャプチャを防止することができません。In addition, browsers on any device cannot prevent screen captures. ブラウザーでは、web 用に Outlook と Office を使用します。Browser use includes Outlook on the web and Office for the web.

画面のキャプチャを禁止しておくと、不注意や不測の出来事により機密性の高い情報が漏洩してしまう事態を避けることができます。Preventing screen captures can help to avoid accidental or negligent disclosure of confidential or sensitive information. ただし、画面に表示されるデータをユーザーが共有する方法は多数あります。スクリーンショットを撮影する方法は、1つの方法にすぎません。But there are many ways that a user can share data that is displayed on a screen, and taking a screenshot is only one method. たとえば、表示される情報を共有しようとするユーザーは、カメラ付き携帯電話を使用して写真を撮影したり、データを再入力したり、単に口頭で他者に伝達することができます。For example, a user intent on sharing displayed information can take a picture of it using their camera phone, retype the data, or simply verbally relay it to somebody.

このように、あらゆるプラットフォームとソフトウェアが Rights Management API をサポートし、かつ画面キャプチャをブロックできたとしても、テクノロジだけでデータの漏洩を防ぐことができるわけではありません。As these examples demonstrate, even if all platforms and all software supported the Rights Management APIs to block screen captures, technology alone cannot always prevent users from sharing data that they should not. Rights Management は、承認および使用ポリシーを使用して重要なデータを保護するために役立つものの、このエンタープライズ権限管理ソリューションは、他の管理手段と共に使用する必要があります。Rights Management can help to safeguard your important data by using authorization and usage policies, but this enterprise rights management solution should be used with other controls. たとえば、物理的なセキュリティを実装したり、組織のデータへのアクセスが承認されているユーザーを慎重に検査および監視したり、どのようなデータを共有してはならないかを理解できるようにユーザーの教育に投資したりすることです。For example, implement physical security, carefully screen and monitor people who have authorized access to your organization's data, and invest in user education so users understand what data should not be shared.

ユーザーが [転送不可] を使用して電子メールを保護するのと、転送権限のないテンプレートを使用するのとでは、どのような違いがありますか。What's the difference between a user protecting an email with Do Not Forward and a template that doesn't include the Forward right?

名前や外観に反して、[転送不可] は転送権限の反対ではなく、テンプレートでもありません。Despite its name and appearance, Do Not Forward is not the opposite of the Forward right, or a template. 実際には、電子メールの転送を制限するだけでなく、メールボックス以外のメールのコピー、印刷、保存を制限する権限のセットです。It is actually a set of rights that include restricting copying, printing, and saving the email outside the mailbox, in addition to restricting the forwarding of emails. 権限は、選択された受信者に基づき、ユーザーに動的に適用されます。管理者によって静的に割り当てられるものではありません。The rights are dynamically applied to users via the chosen recipients, and not statically assigned by the administrator. 詳細については、「 Azure Information Protection の使用権限を構成する」の「電子メールの [転送不可] オプション」セクションを参照してください。For more information, see the Do Not Forward option for emails section in Configuring usage rights for Azure Information Protection.