Office のアプリケーションとサービスが Azure Rights Management をサポートするしくみHow Office applications and services support Azure Rights Management

適用対象: Azure Information ProtectionOffice 365Applies to: Azure Information Protection, Office 365

エンド ユーザー Office アプリケーションと Office サービスで Azure Information Protection から Azure Rights Management サービスを使用し、組織のデータを保護できます。End-user Office applications and Office services can use the Azure Rights Management service from Azure Information Protection to help protect your organization’s data. これらの Office アプリケーションは Word、Excel、PowerPoint、および Outlook です。These Office applications are Word, Excel, PowerPoint, and Outlook. Office サービスは Exchange および SharePoint です。The Office services are Exchange and SharePoint. Azure Rights Management サービスをサポートする Office 構成では、多くの場合、IRM (Information Rights Management) という用語が使用されます。The Office configurations that support the Azure Rights Management service often use the term information rights management (IRM).

Office アプリケーション:Word、Excel、PowerPoint、OutlookOffice applications: Word, Excel, PowerPoint, Outlook

これらのアプリケーションは Azure Rights Management をネイティブでサポートし、ユーザーは保存済みのドキュメントまたは送信する電子メール メッセージに保護を適用できます。These applications natively support Azure Rights Management and let users apply protection to a saved document or to an email message to be sent. ユーザーはテンプレートを適用して保護を適用できます。Users can apply templates to apply the protection. あるいは、Word、Excel、PowerPoint の場合、アクセス、権限、使用制限にカスタマイズ設定を選択できます。Or, for Word, Excel, and PowerPoint, users can choose customized settings for access, rights, and usage restrictions.

たとえば、組織内の人だけがアクセスできるように Word 文書を設定できます。For example, users can configure a Word document so that it can be accessed only by people in your organization. あるいは、Excel スプレッドシートを編集可能にしたり、読み取り専用にしたり、印刷禁止にするかどうかを制御できます。Or, control whether an Excel spreadsheet can be edited, or restricted to read-only, or prevent it from being printed. 時間が重要なファイルの場合、ファイルにアクセスできなくなる有効期限を構成できます。For time-sensitive files, an expiration time can be configured for when the file can no longer be accessed. この構成はユーザーが直接行うか、保護テンプレートを適用して行うことができます。This configuration can be made directly by users or by applying a protection template. Outlook の場合、ユーザーは、 [転送不可] オプションを選択して、データの漏えいを防ぐこともできます。For Outlook, users can also choose the Do Not Forward option to help prevent data leakage.

Office アプリを構成する準備ができている場合は、「 office アプリ: クライアントの構成」を参照してください。If you are ready to configure Office apps see Office apps: Configuration for clients.

Exchange Online と Exchange ServerExchange Online and Exchange Server

Exchange Online または Exchange Server を使用すると、Azure Information Protection のオプションを構成できます。When you use Exchange Online or Exchange Server, you can configure options for Azure Information Protection. この構成では、Exchange は次の保護ソリューションを提供します。This configuration lets Exchange provide the following protection solutions:

  • Exchange ActiveSync IRM 。モバイル デバイスで、保護された電子メール メッセージを保護および使用することができます。Exchange ActiveSync IRM so that mobile devices can protect and consume protected email messages.

  • Outlook on the web の電子メール保護サポート。Outlook クライアントと同様に実装されます。Email protection support for Outlook on the web, which is implemented similarly to the Outlook client. この構成では、ユーザーは保護テンプレートまたはオプションを使用することでメール メッセージを保護できます。This configuration lets users protect email messages by using protection templates or options. ユーザーは、自分に送信された保護メールのメッセージを読み、利用できます。Users can read and use protected email messages that are sent to them.

  • Outlook クライアントの保護ルール。保護テンプレートおよびオプションが特定受信者のメール メッセージに自動的に適用されるように管理者が構成します。Protection rules for Outlook clients that an administrator configures to automatically apply protection templates and options to email messages for specified recipients. たとえば、社内電子メールが法務部門に送信されるときに、法務部門の所属者のみが読むことが可能で、ただし転送できないようにすることができます。For example, when internal emails are sent to your legal department, they can only be read by members of the legal department and cannot be forwarded. 送信前に電子メール メッセージに保護が適用されたことがユーザーに表示され、既定では、ユーザーは不要と判断した場合にこの保護を削除できます。Users see the protection applied to the email message before sending it, and by default, they can remove this protection if they decide it is not necessary. 電子メールは送信される前に暗号化されます。Emails are encrypted before they are sent. 詳細については、Exchange ライブラリの「 Outlook 保護ルール 」と「 Outlook 保護ルールの作成 」を参照してください。For more information, see Outlook Protection Rules and Create an Outlook Protection Rule in the Exchange library.

  • メール フロー ルール。保護テンプレートまたはオプションがメール メッセージに自動的に適用されるように管理者が構成します。Mail flow rules that an administrator configures to automatically apply protection templates or options to email messages. ルールの基盤は送信者、受信者、メッセージの件名、内容などのプロパティになります。These rules are based on properties such as sender, recipient, message subject, and content. ルールは概念上、保護ルールに似ていますが、ユーザーは保護を削除できません。これは、保護がクライアントではなく Exchange サービスによって設定されるためです。These rules are similar in concept to protection rules but don't allow users to remove the protection because the protection is set by the Exchange service rather than by the client. 保護がサービスによって設定されるので、ユーザーがどのようなデバイスまたはオペレーティング システムを使用していても関係ありません。Because protection is set by the service, it doesn't matter what device or what operating system the users have. 詳細については、Exchange オンプレミスに関する「Exchange Online のメール フロー ルール (トランスポート ルール)」および「トランスポート保護ルールを作成する」を参照してください。For more information, see Mail flow rules (transport rules) in Exchange Online and Create a Transport Protection Rule for Exchange on-premises.

  • データ損失防止 (DLP) ポリシー。このポリシーは、メール メッセージにフィルターを適用するための条件のセットを含み、機密コンテンツのデータの損失を防ぐために役立つ操作を実行します。Data loss prevention (DLP) policies that contain sets of conditions to filter email messages and take actions, to help prevent data loss for confidential or sensitive content. 指定できるアクションの 1 つは、保護テンプレートまたはオプションの 1 つを指定することで、保護として暗号化を適用することです。One of the actions that you can specify is to apply encryption as protection, by specifying one of the protection templates or options. ポリシーのヒントを使用すると、機密データが検出されたときに、保護の適用が必要な可能性があることをユーザーに警告できます。Policy Tips can be used when sensitive data is detected, to alert users that they might need to apply protection. 詳細については、Exchange Online ドキュメントの「データ損失防止」を参照してください。For more information, see Data loss prevention in the Exchange Online documentation.

  • Office 365 Message Encryption では、保護されているメール メッセージと保護されている Office ドキュメントを添付ファイルとして、あらゆるデバイスであらゆるメール アドレスに送信できます。Office 365 Message Encryption that supports sending a protected email message and protected Office documents as attachments to any email address on any device. Azure AD を使用しないユーザー アカウントの場合、インターネットがあれば、ソーシャル ID プロバイダーやワンタイム パスコードを利用できます。For user accounts that don't use Azure AD, a web experience supports social identity providers or a one-time passcode. 詳細については、Office 365 ドキュメントの「Set up new Office 365 Message Encryption capabilities built on top of Azure Information Protection」 (Azure Information Protection 上に構築される新しい Office 365 メッセージの暗号化機能の設定) を参照してください。For more information, see Set up new Office 365 Message Encryption capabilities built on top of Azure Information Protection from the Office 365 documentation. この構成に関連する追加情報については、「Office 365 Message Encryption」を参照してください。To help you find additional information that is related to this configuration, see Office 365 Message Encryption.

オンプレミスで Exchange を使用している場合、Azure Rights Management コネクタを展開し、IRM 機能と Azure Rights Management サービスを利用できます。If you use Exchange on-premises, you can use the IRM features with the Azure Rights Management service by deploying the Azure Rights Management connector. このコネクタはオンプレミス サーバーと Azure Rights Management サービスの間のリレーとして機能します。This connector acts as a relay between your on-premises servers and the Azure Rights Management service.

保護テンプレートの詳細については、「Azure Information Protection のテンプレートを構成して管理する」を参照してください。For more information about the protection templates, see Configuring and managing templates for Azure Information Protection.

メールを保護するためのメール オプションの詳細については、「電子メールの [転送不可] オプション」および「電子メールの暗号化のみオプション」を参照してください。For more information about the email options that you can use to protect emails, see Do Not Forward option for emails and Encrypt-Only option for emails.

メールの保護するために Exchange を構成する準備ができたら、次を参照します。If you're ready to configure Exchange to protect emails:

SharePoint Online と SharePoint ServerSharePoint Online and SharePoint Server

SharePoint Online または SharePoint Server を使用するとき、SharePoint IRM (Information Rights Management) でドキュメントを保護できます。When you use SharePoint Online or SharePoint Server, you can protect documents by using the SharePoint information rights management (IRM) feature. この機能では、管理者がリストやライブラリを保護できます。ユーザーが文書をチェックアウトしたときに、指定した情報保護ポリシーに従って許可されたユーザーのみがファイルを表示および使用できるようにダウンロードされたファイルが保護されます。This feature lets administrators protect lists or libraries so that when a user checks out a document, the downloaded file is protected so that only authorized people can view and use the file according to the information protection policies that you specify. たとえば、ファイルが読み取り専用のときに、テキストのコピーを無効にし、ローカル コピーの保存やファイルの印刷を防止することができます。For example, the file might be read-only, disable the copying of text, prevent saving a local copy, and prevent printing the file.

Word、PowerPoint、Excel、PDF ドキュメントがこの SharePoint IRM 保護に対応しています。Word, PowerPoint, Excel, and PDF documents support this SharePoint IRM protection. 既定では、保護はドキュメントをダウンロードした人に限定されます。By default, the protection is restricted to the person who downloads the document. この既定を変更するには、 [グループの保護を許可します] という名前の構成オプションを使用します。これは、指定したグループに保護を拡張します。You can change this default with a configuration option named Allow group protection, which extends the protection to a group that you specify. たとえば、ライブラリ内のドキュメントを編集するアクセス許可を持つグループを指定して、同じユーザーのグループが、どのユーザーがドキュメントをダウンロードしたかに関係なく、SharePoint の外部でドキュメントを編集できるようにすることができます。For example, you could specify a group that has permission to edit documents in the library so that the same group of users can edit the document outside SharePoint, regardless of which user downloaded the document. または、SharePoint でアクセス許可を付与されていないグループ内のユーザーが、SharePoint の外部でドキュメントにアクセスする必要がある場合に、このグループを指定できます。Or, you could specify a group that isn't granted permissions in SharePoint but users in this group need to access the document outside SharePoint. SharePoint のリストとライブラリについては、この保護は常にエンド ユーザーではなく管理者によって構成されます。For SharePoint lists and libraries, this protection is always configured by an administrator, never an end user. アクセス許可はサイト レベルで設定します。そのようなアクセス許可は、既定では、そのサイトのリストまたはライブラリにより継承されます。You set the permissions at the site level, and these permissions, by default, are inherited by any list or library in that site. SharePoint Online を使用する場合、ユーザーは OneDrive for Business ライブラリの IRM 保護も構成できます。If you use SharePoint Online, users can also configure their OneDrive for Business library for IRM protection.

さらに細かく制御するには、サイトのリストまたはライブラリを構成し、親からアクセス許可を継承することを停止できます。For more fine-grained control, you can configure a list or library in the site to stop inheriting permissions from its parent. その後、そのレベル (リストまたはライブラリ) で IRM アクセス許可を構成できます。構成後、アクセス許可は "固有のアクセス許可" と呼ばれます。You can then configure IRM permissions at that level (list or library) and they are then referred to as "unique permissions." ただし、アクセス許可は常にコンテナー レベルで設定されます。個々のファイルにアクセス許可を設定することはできません。However, permissions are always set at the container level; you cannot set permissions on individual files.

最初に SharePoint の IRM サービスを有効にする必要があります。The IRM service must first be enabled for SharePoint. 次に、ライブラリの IRM アクセス許可を指定します。Then, you specify IRM permissions for a library. SharePoint Online と OneDrive for Business の場合、ユーザーは OneDrive for Business ライブラリに対しても IRM アクセス許可を指定できます。For SharePoint Online and OneDrive for Business, users can also specify IRM permissions for their OneDrive for Business library. SharePoint は権限ポリシー テンプレートを使用しませんが、テンプレートに指定できるいくつかの設定と同じ設定を SharePoint の構成で選択できます。SharePoint does not use rights policy templates, although there are SharePoint configuration settings that you can select that match some settings that you can specify in the templates.

SharePoint Server を使用する場合、Azure Rights Management コネクタをデプロイすることでこの IRM 保護を使用できます。If you use SharePoint Server, you can use this IRM protection by deploying the Azure Rights Management connector. このコネクタはオンプレミス サーバーと Rights Management クラウド サービスの間のリレーとして機能します。This connector acts as a relay between your on-premises servers and the Rights Management cloud service. 詳細については、「Azure Rights Management コネクタをデプロイする」を参照してください。For more information, see Deploying the Azure Rights Management connector.

注意

SharePoint IRM を使用する場合、いくつかの制限があります。There are some limitations when you use SharePoint IRM:

  • Azure Portal で管理する既定のテンプレートまたはカスタム保護テンプレートを使用できません。You cannot use the default or custom protection templates that you manage in the Azure portal.

  • ファイル名拡張子が保護された PDF ファイルのための .ppdf であるファイルはサポートされていません。Files that have a .ppdf file name extension for protected PDF files are not supported. 保護された PDF ドキュメントの表示について詳しくは、「Microsoft Information Protection の保護された PDF リーダー」をご覧ください。For more information about viewing protected PDF documents, see Protected PDF readers for Microsoft Information Protection.

  • 複数のユーザーが同時にドキュメントを編集する共同編集はサポートされていません。Coauthoring, when more than one person edits a document at the same time, is not supported. IRM で保護されたライブラリ内のドキュメントを編集するには、まずドキュメントをチェック アウトしてダウンロードし、Office アプリケーションで編集する必要があります。To edit a document in an IRM-protected library, you must first check out the document and download it, and then edit it in your Office application. そのため、一度に編集できるのは 1 人のみです。Consequently, only one person can edit the document at a time.

IRM で保護されていないライブラリの場合、SharePoint または OneDrive にアップロードするファイルを保護すると、次のファイルは使用できません。共同作成、web 用 Office、検索、ドキュメントプレビュー、サムネイル、電子情報開示、データ損失防止 (DLP)).For libraries that are not IRM-protected, if you protect a file that you then upload to SharePoint or OneDrive, the following do not work with this file: Co-authoring, Office for the web, search, document preview, thumbnail, eDiscovery, and data loss prevention (DLP).

ヒント

SharePoint IRM を使用する代わりに、機密ラベルを使用して、 sharepoint と OneDrive (パブリックプレビュー) で暗号化を適用し、Office ファイルの機密ラベルを有効にすることを検討してください。Instead of using SharePoint IRM, consider using sensitivity labels that apply encryption and then enable sensitivity labels for Office files in SharePoint and OneDrive (public preview).

SharePoint IRM 保護を使用する場合、Azure Rights Management サービスは、ドキュメントが SharePoint からダウンロードされる際には使用制限およびデータ暗号化を適用し、ドキュメントが最初に SharePoint で作成される場合、またはライブラリにアップロードされる際には適用しません。When you use SharePoint IRM protection, the Azure Rights Management service applies usage restrictions and data encryption for documents when they are downloaded from SharePoint, and not when the document is first created in SharePoint or uploaded to the library. ドキュメントをダウンロードする前に保護する方法については、SharePoint ドキュメントの「OneDrive for Business および SharePoint Online のデータ暗号化」をご覧ください。For information about how documents are protected before they are downloaded, see Data Encryption in OneDrive for Business and SharePoint Online from the SharePoint documentation.

新しい投稿ではありませんが、「What’s New with Information Rights Management in SharePoint and SharePoint Online」 (SharePoint の Information Rights Management と SharePoint Online の新機能) という Office 365 ブログの投稿に追加情報があります。Although no longer new, the following post from the Office 365 blog has some additional information that you might find useful: What’s New with Information Rights Management in SharePoint and SharePoint Online

今後の変更については、「 SharePoint のセキュリティ、管理、および移行に対する更新」を参照してください。For changes that are coming, see Updates to SharePoint security, administration, and migration.

SharePoint の IRM を構成する用意ができている場合:If you are ready to configure SharePoint for IRM:

次のステップNext steps

Office 365 をお持ちの場合、「Office 365 のファイル保護ソリューション」をご覧になることをお勧めします。Office 365 のファイルを保護するための推奨機能を説明しています。If you have Office 365, you might be interested in reviewing File Protection Solutions in Office 365, which provides recommended capabilities for protecting files in Office 365.

他のアプリケーションおよびサービスで Azure Information Protection からの Azure Rights Management サービスをサポートする方法については、「アプリケーションによる Azure Rights Management サービスのサポート」をご覧ください。To see how other applications and services support the Azure Rights Management service from Azure Information Protection, see How applications support the Azure Rights Management service.

アプリケーションとサービスの構成など、デプロイを開始する用意ができたら、「Azure Information Protection デプロイ ロードマップ」を参照してください。If you are ready to start deployment, which includes configuring these applications and services, see the Azure Information Protection deployment roadmap.