Azure Information Protection 向けのユーザーとグループの準備Preparing users and groups for Azure Information Protection

*適用対象: Azure Information ProtectionOffice 365**Applies to: Azure Information Protection, Office 365*

*関連する内容:AIP の統合ラベル付けクライアントとクラシック クライアント**Relevant for: AIP unified labeling client and classic client*

組織に Azure Information Protection を展開する前に、組織のテナントに対し、Azure AD にユーザーとグループのアカウントが用意されていることを確認してください。Before you deploy Azure Information Protection for your organization, make sure that you have accounts for users and groups in Azure AD for your organization's tenant.

ユーザーとグループのアカウントは次のようなさまざまな方法で作成できます。There are different ways to create these accounts for users and groups, which include:

  • Microsoft 365 管理センターでユーザーを作成し、Exchange Online 管理センターでグループを作成します。You create the users in the Microsoft 365 admin center, and the groups in the Exchange Online admin center.

  • Azure Portal でユーザーとグループを作成します。You create the users and groups in the Azure portal.

  • Azure AD PowerShell と Exchange Online のコマンドレットを利用し、ユーザーとグループを作成します。You create the users and group by using Azure AD PowerShell and Exchange Online cmdlets.

  • オンプレミスの Active Directory でユーザーとグループを作成し、それを Azure AD に同期します。You create the users and groups in your on-premises Active Directory and synchronize them to Azure AD.

  • 別のディレクトリでユーザーとグループを作成し、それを Azure AD に同期します。You create the users and groups in another directory and synchronize them to Azure AD.

この一覧にある最初の 3 つのメソッドを使用してユーザーとグループを作成する場合 (1 つの例外を除く)、それらは自動的に Azure AD に作成され、Azure Information Protection でこれらのアカウントを直接使用できます。When you create users and groups by using the first three methods from this list, with one exception, they are automatically created in Azure AD, and Azure Information Protection can use these accounts directly. ただし、多くの企業ネットワークではオンプレミスのディレクトリを利用し、ユーザーとグループを作成し、管理しています。However, many enterprise networks use an on-premises directory to create and manage users and groups. Azure Information Protection はそのようなアカウントを直接利用できません。Azure AD に同期させる必要があります。Azure Information Protection cannot use these accounts directly; you must synchronize them to Azure AD.

前の段落で言及されている例外は、Exchange Online 用に作成できる動的配布リストです。The exception referred to in the previous paragraph is dynamic distribution lists that you can create for Exchange Online. 静的な配布リストとは異なり、これらのグループは Azure AD にレプリケートされないため、Azure Information Protection では使用できません。Unlike static distribution lists, these groups are not replicated to Azure AD and so cannot be used by Azure Information Protection.

Azure Information Protection でのユーザーとグループの利用方法How users and groups are used by Azure Information Protection

Azure Information Protection でユーザーとグループを使用するための 3 つのシナリオ:There are three scenarios for using users and groups with Azure Information Protection:

ラベルを文書やメールに適用できるように Azure Information Protection ポリシーを構成するとき、ラベルをユーザーに割り当てるFor assigning labels to users when you configure the Azure Information Protection policy so that labels can be applied to documents and emails. 管理者だけがこれらのユーザーとグループを選択できます。Only administrators can select these users and groups:

  • 既定の Azure Information Protection ポリシーがテナントの Azure AD のすべてのユーザーに自動的に割り当てられます。The default Azure Information Protection policy is automatically assigned to all users in your tenant's Azure AD. ただし、スコープ付きポリシーを利用し、指定のユーザーまたはグループに追加ラベルを割り当てることもできます。However, you can also assign additional labels to specified users or groups by using scoped policies.

使用権限とアクセス制御を割り当て、Azure Rights Management サービスを構成する場合。For assigning usage rights and access controls when you use the Azure Rights Management service to protect documents and emails. 管理者とユーザーはこれらのユーザーとグループを選択できます。Administrators and users can select these users and groups:

  • 使用権限では、ユーザーが文書やメールを開くことができるかが決められ、その利用方法が決められます。Usage rights determine whether a user can open a document or email and how they can use it. たとえば、読み取り専用か、読み取りと印刷か、読み取りと編集などです。For example, whether they can only read it, or read and print it, or read and edit it.

  • アクセス制御には有効期限が含まれ、アクセスにはインターネットへの接続が必要かどうかが表示されます。Access controls include an expiry date and whether a connection to the internet is required for access.

特定のシナリオをサポートするように Azure Rights Management サービスを構成する。そのため、管理者のみがこれらのグループを選択できます。For configuring the Azure Rights Management service to support specific scenarios, and therefore only administrators select these groups. たとえば、次を構成します。Examples include configuring the following:

  • スーパー ユーザー。電子情報開示やデータ復旧に必要であれば、指名されたサービスまたはユーザーが暗号化されているコンテンツを開くことができます。Super users, so that designated services or people can open encrypted content if required for eDiscovery or data recovery.

  • Azure Rights Management サービスの委任管理。Delegated administration of the Azure Rights Management service.

  • 段階的デプロイをサポートするオンボード コントロール。Onboarding controls to support a phased deployment.

Azure Information Protection の要件Azure Information Protection requirements for user accounts

ラベルを割り当てる:For assigning labels:

  • Azure AD のすべてのユーザー アカウントを利用して、追加ラベルをユーザーに割り当てるスコープ付きポリシーを構成できます。All user accounts in Azure AD can be used to configure scoped policies that assign additional labels to users.

使用権限とアクセス制御を割り当て、Azure Rights Management サービスを構成する:For assigning usage rights and access controls, and configuring the Azure Rights Management service:

  • ユーザーに権限を与えるために、Azure AD では、proxyAddressesuserPrincipalName という 2 つの属性が利用されます。To authorize users, two attributes in Azure AD are used: proxyAddresses and userPrincipalName.

  • Azure AD proxyAddresses 属性は、あるアカウントのすべてのメール アドレスを保存します。さまざまな方法で反映できます。The Azure AD proxyAddresses attribute stores all email addresses for an account and can be populated in different ways. たとえば、Exchange Online メールボックスを持つ Microsoft 365 のユーザーには、この属性に格納されている電子メールアドレスが自動的に設定されます。For example, a user in Microsoft 365 that has an Exchange Online mailbox automatically has an email address that is stored in this attribute. Microsoft 365 ユーザーの代替電子メールアドレスを割り当てると、その電子メールアドレスもこの属性に保存されます。If you assign an alternative email address for a Microsoft 365 user, it is also saved in this attribute. オンプレミス アカウントから同期しているメール アドレスでも反映できます。It can also be populated by the email addresses that are synchronized from on-premises accounts.

    Azure Information Protection は、ドメインがテナントに追加されていれば ("検証済みドメイン")、この Azure AD proxyAddresses 属性のあらゆる値を利用できます。Azure Information Protection can use any value in this Azure AD proxyAddresses attribute, providing the domain has been added to your tenant (a "verified domain"). ドメイン検証の詳細については、次をご覧ください。For more information about verifying domains:

  • Azure AD userPrincipalName 属性は、テナントのアカウントの Azure AD proxyAddresses 属性に値がないときにのみ利用されます。The Azure AD userPrincipalName attribute is used only when an account in your tenant doesn't have values in the Azure AD proxyAddresses attribute. たとえば、Azure portal でユーザーを作成したり、メールボックスを持たない Microsoft 365 のユーザーを作成したりすることができます。For example, you create a user in the Azure portal, or create a user for Microsoft 365 that doesn't have a mailbox.

使用権限とアクセス制御を外部ユーザーに割り当てるAssigning usage rights and access controls to external users

自分のテナントのユーザーに Azure AD proxyAddresses と Azure AD userPrincipalName を使用するだけでなく、Azure Information Protection ではまた、同じようにこれらの属性を利用し、別のテナントからのユーザーに権限を与えます。In addition to using the Azure AD proxyAddresses and Azure AD userPrincipalName for users in your tenant, Azure Information Protection also uses these attributes in the same way to authorize users from another tenant.

その他の承認方法:Other authorization methods:

  • Azure AD に含まれていない電子メール アドレスの場合、Microsoft アカウントで認証されていれば、Azure Information Protection でそれらを承認できます。For email addresses that are not in Azure AD, Azure Information Protection can authorize these when they are authenticated with a Microsoft account. ただし、Microsoft アカウントが認証に使用されている場合、アプリケーションによっては、保護されたコンテンツを開けない場合があます。However, not all applications can open protected content when a Microsoft account is used for authentication. 詳細情報More information

  • Azure AD にアカウントを持たないユーザーに新しい機能を備えた Office 365 Message Encryption を利用してメールを送信するとき、まずそのユーザーが認証されます。その際、フェデレーションとソーシャル ID プロバイダーを利用するか、ワンタイム パスコードを利用します。When an email is sent by using Office 365 Message Encryption with new capabilities to a user who doesn't have an account in Azure AD, the user is first authenticated by using federation with a social identity provider or by using a one-time passcode. その後、保護されたメールに指定されているメール アドレスを利用し、ユーザーに権限を与えます。Then the email address specified in the protected email is used to authorize the user.

グループ アカウントの Azure Information Protection 要件Azure Information Protection requirements for group accounts

ラベルを割り当てる:For assigning labels:

  • 追加ラベルをグループ メンバーに割り当てるスコープ付きポリシーを構成するには、ユーザーのテナントに対してドメインが検証されているメール アドレスが与えられたあらゆる種類の Azure AD グループを利用できます。To configure scoped policies that assign additional labels to group members, you can use any type of group in Azure AD that has an email address that contains a verified domain for the user's tenant. メール アドレスが与えられているグループはしばしば、メールが有効なグループと呼ばれています。A group that has an email address is often referred to as a mail-enabled group.

    たとえば、メールが有効なセキュリティグループ、静的な配布グループ、および Microsoft 365 グループを使用できます。For example, you can use a mail-enabled security group, a static distribution group, and a Microsoft 365 group. セキュリティ グループ (動的または静的) は利用できません。この種類のグループにはメール アドレスが与えられていないためです。You cannot use a security group (dynamic or static) because this group type doesn't have an email address. Exchange Online からの動的配布リストも使用できません。このグループは Azure AD にレプリケートされないためです。You also cannot use a dynamic distribution list from Exchange Online because this group isn't replicated to Azure AD.

使用権限とアクセス制御を割り当てる:For assigning usage rights and access controls:

  • ユーザーのテナントに対してドメインが検証されているメール アドレスが与えられたあらゆる種類の Azure AD グループを利用できます。You can use any type of group in Azure AD that has an email address that contains a verified domain for the user's tenant. メール アドレスが与えられているグループはしばしば、メールが有効なグループと呼ばれています。A group that has an email address is often referred to as a mail-enabled group.

Azure Rights Management サービスを構成する:For configuring the Azure Rights Management service:

  • テナントでドメインが検証されているメール アドレスが与えられたあらゆる種類の Azure AD グループを利用できるが、例外が 1 つあります。You can use any type of group in Azure AD that has an email address from a verified domain in your tenant, with one exception. その例外は、グループを利用するためにオンボード コントロールを構成するが、そのグループは自分のテナントの Azure AD セキュリティ グループにする必要があるときです。That exception is when you configure onboarding controls to use a group, which must be a security group in Azure AD for your tenant.

  • Azure Rights Management サービスの委任管理については、テナントでドメインが検証されているあらゆる Azure AD グループを利用できます (メール アドレスの有無は関係ありません)。You can use any group in Azure AD (with or without an email address) from a verified domain in your tenant for delegated administration of the Azure Rights Management service.

使用権限とアクセス制御を外部グループに割り当てるAssigning usage rights and access controls to external groups

自分のテナントのグループに Azure AD proxyAddresses を使用するだけでなく、Azure Information Protection ではまた、同じようにこれらの属性を利用し、別のテナントからのグループに権限を与えます。In addition to using the Azure AD proxyAddresses for groups in your tenant, Azure Information Protection also uses this attribute in the same way to authorize groups from another tenant.

Azure Information Protection にオンプレミス Active Directory アカウントを利用するUsing accounts from Active Directory on-premises for Azure Information Protection

オンプレミスで管理しているアカウントに Azure Information Protection で使用したいアカウントがあれば、それを Azure AD と同期する必要があります。If you have accounts that are managed on-premises that you want to use with Azure Information Protection, you must synchronize these to Azure AD. デプロイを簡単にするために、Azure AD Connect の利用をお勧めします。For ease of deployment, we recommend that you use Azure AD Connect. ただし、同じ結果が得られるあらゆるディレクトリ同期方法を利用できます。However, you can use any directory synchronization method that achieves the same result.

アカウントを同期するとき、すべての属性を同期する必要はありません。When you synchronize your accounts, you do not need to synchronize all attributes. 同期が必要な属性の一覧については、Azure Active Directory 文書の Azure RMS セクションをご覧ください。For a list of the attributes that must be synchronized, see the Azure RMS section from the Azure Active Directory documentation.

Azure Rights Management の属性一覧から、ユーザーの場合、mailproxyAddressesuserPrincipalName のオンプレミス AD 属性が同期に必要になることがわかります。From the attributes list for Azure Rights Management, you see that for users, the on-premises AD attributes of mail, proxyAddresses, and userPrincipalName are required for synchronization. mailproxyAddresses の値が Azure AD proxyAddresses 属性と同期します。Values for mail and proxyAddresses are synchronized to the Azure AD proxyAddresses attribute. 詳細については、「Azure AD に proxyAddresses 属性を反映する方法」を参照してください。For more information, see How the proxyAddresses attribute is populated in Azure AD

Azure Information Protection のためにユーザーとグループが用意されていることを確認するConfirming your users and groups are prepared for Azure Information Protection

Azure AD PowerShell を利用し、ユーザーとグループを Azure Information Protection で利用できることを確認できます。You can use Azure AD PowerShell to confirm that users and groups can be used with Azure Information Protection. また、PowerShell を利用し、承認に利用できる値を確認できます。You can also use PowerShell to confirm the values that can be used to authorize them.

たとえば、PowerShell セッションで Azure Active Directory 向け V1 PowerShell モジュール、MSOnline を利用し、最初にサービスに接続し、グローバル管理者の資格情報を入力します。For example, using the V1 PowerShell module for Azure Active Directory, MSOnline, in a PowerShell session, first connect to the service and supply your global admin credentials:


注: このコマンドでうまくいかない場合、Install-Module MSOnline を実行して MSOnline モジュールをインストールできます。Note: If this command doesn't work, you can run Install-Module MSOnline to install the MSOnline module.

次に、値が切り詰められないように PowerShell セッションを設定します。Next, configure your PowerShell session so that it doesn't truncate the values:

$Formatenumerationlimit =-1

ユーザー アカウントが Azure Information Protection で使えることを確認するConfirm user accounts are ready for Azure Information Protection

ユーザー アカウントを確認するには、次のコマンドを実行します。To confirm the user accounts, run the following command:

Get-Msoluser | select DisplayName, UserPrincipalName, ProxyAddresses

最初に、Azure Information Protection で使用するユーザーが表示されていることを確認します。Your first check is to make sure that the users you want to use with Azure Information Protection are displayed.

次に、ProxyAddresses 列にデータが入力されているかどうかを確認します。Then check whether the ProxyAddresses column is populated. 入力されている場合、Azure Information Protection でこの列のメール値を利用し、ユーザーに権限を付与できます。If it is, the email values in this column can be used to authorize the user for Azure Information Protection.

ProxyAddresses 列にデータが入力されていない場合、UserPrincipalName is の値を利用してユーザーに Azure Rights Management サービスの権限が与えられます。If the ProxyAddresses column is not populated, the value in the UserPrincipalName is used to authorize the user for the Azure Rights Management service.

以下に例を示します。For example:

表示名Display Name UserPrincipalNameUserPrincipalName ProxyAddressesProxyAddresses
Jagannath ReddyJagannath Reddy {}
Ankur RoyAnkur Roy {, smtp:}{, smtp:}

次の点に注意してください。In this example:

  • Jagannath reddy Reddy のユーザーアカウントは、によって承認され ます。The user account for Jagannath Reddy will be authorized by

  • Ankur Roy のユーザーアカウントは、およびを使用して承認できますが、は許可され ません ankurroy@contoso.comThe user account for Ankur Roy can be authorized by using and, but not

ほとんどの場合、UserPrincipalName の値が ProxyAddresses フィールドの値の 1 つと一致します。In most cases, the value for UserPrincipalName matches one of the values in the ProxyAddresses field. これは推奨構成ですが、メール アドレスに合わせて UPN を変更できない場合、次の手順を行う必要があります。This is the recommended configuration but if you cannot change your UPN to match the email address, you must take the following steps:

  1. UPN 値のドメイン名が自分の Azure AD テナントに対して検証済みのドメインであれば、Azure AD のもう 1 つのメール アドレスとして UPN 値を追加します。それにより、UPN 値を利用し、Azure Information Protection の権限をユーザー アカウントに付与できます。If the domain name in the UPN value is a verified domain for your Azure AD tenant, add the UPN value as another email address in Azure AD so that the UPN value can now be used to authorize the user account for Azure Information Protection.

    UPN 値のドメイン名が自分のテナントで検証されているドメインではない場合、Azure Information Protection で使用できません。If the domain name in the UPN value is not a verified domain for your tenant, it cannot be used with Azure Information Protection. ただし、グループのメール アドレスで検証済みのドメイン名が使用されていれば、ユーザーにグループのメンバーとして承認できます。However, the user can still be authorized as a member of a group when the group email address uses a verified domain name.

  2. UPN がルーティング可能でない場合 (など ankurroy@contoso.local ) は、ユーザーの代替ログイン ID を構成し、この代替ログインを使用して Office にサインインする方法を指示します。If the UPN is not routable (for example, ankurroy@contoso.local), configure alternate login ID for users and instruct them how to sign in to Office by using this alternate login. Office のレジストリ キーを設定する必要もあります。You must also set a registry key for Office.

    詳細については、「 代替ログイン ID と Office アプリケーションの構成」を参照して、 SharePoint、OneDrive、および Lync Online への資格情報を定期的に確認してください。For more information, see Configuring Alternate Login ID and Office applications periodically prompt for credentials to SharePoint, OneDrive, and Lync Online.


Export-Csv コマンドレットを利用し、結果をスプレッドシートにエクスポートできます。検索やインポートのための一括編集などで管理が簡単になります。You can use the Export-Csv cmdlet to export the results to a spreadsheet for easier management, such as searching and bulk-editing for import.

例: Get-MsolGroup | select DisplayName, ProxyAddresses | Export-Csv -Path UserAccounts.csvFor example: Get-MsolGroup | select DisplayName, ProxyAddresses | Export-Csv -Path UserAccounts.csv

グループ アカウントが Azure Information Protection で使えることを確認するConfirm group accounts are ready for Azure Information Protection

グループ アカウントを確認するには、次のコマンドを使用します。To confirm group accounts, use the following command:

Get-MsolGroup | select DisplayName, ProxyAddresses

Azure Information Protection で使用するグループが表示されていることを確認します。Make sure that the groups you want to use with Azure Information Protection are displayed. 表示されているグループについては、ProxyAddresses 列のメール アドレスを利用し、Azure Rights Management サービスのためにグループ メンバーに承認できます。For the groups displayed, the email addresses in the ProxyAddresses column can be used to authorize the group members for the Azure Rights Management service.

次に、Azure Information Protection で使用するユーザー (または、その他のグループ) がグループに含まれていることを確認します。Then check that the groups contain the users (or other groups) that you want to use for Azure Information Protection. PowerShell を利用してこれを実行できます (Get-MsolGroupMember など)。あるいは、管理ポータルを利用できます。You can use PowerShell to do this (for example, Get-MsolGroupMember), or use your management portal.

セキュリティ グループを利用する 2 つの Azure Rights Management サービス構成シナリオについては、次の PowerShell コマンドを利用し、それらのグループの識別に利用できるオブジェクト ID と表示名を見つけることができます。For the two Azure Rights Management service configuration scenarios that use security groups, you can use the following PowerShell command to find the object ID and display name that can be used to identify these groups. Azure Portal を利用してこれらのグループを見つけ、オブジェクト ID と表示名の値をコピーすることもできます。You can also use the Azure portal to find these groups and copy the values for the object ID and the display name:

Get-MsolGroup | where {$_.GroupType -eq "Security"}

メール アドレスが変更された場合の Azure Information Protection の考慮事項Considerations for Azure Information Protection if email addresses change

ユーザーまたはグループのメール アドレスを変更する場合、使用していないメール アドレスを第 2 メール アドレス (プロキシ アドレス、エイリアス、代替メール アドレスと呼ばれることもあります) としてユーザーまたはグループに追加することをお勧めします。If you change the email address of a user or group, we recommend that you add the old email address as a second email address (also known as a proxy address, alias, or alternate email address) to the user or group. この作業を行う場合、使用していないメール アドレスは Azure AD proxyAddresses 属性に追加されます。When you do this, the old email address is added to the Azure AD proxyAddresses attribute. このようにアカウントを管理することで、使用していないメール アドレスが使われていたときに保存された使用権限やその他の構成もビジネスで引き続き利用できます。This account administration ensures business continuity for any usage rights or other configurations there were saved when the old email address was in use.

使用していないメール アドレスを第 2 メール アドレスにしない場合、新しいメール アドレスが与えられたユーザーまたはグループは、使用していないメール アドレスで以前に保護した文書やメールに対するアクセスを拒否されることがあります。If you cannot do this, the user or group with the new email address risks being denied access to documents and emails that were previously protected with the old email address. その場合、保護設定を改めて行い、新しいメール アドレスを保存する必要があります。In this case, you must repeat the protection configuration to save the new email address. たとえば、ユーザーまたはグループにテンプレートまたはラベルの使用権限が与えられた場合、そのテンプレートまたはラベルを編集し、使用していないメール アドレスに与えたものと同じ使用権限を付けて新しいメール アドレスを指定します。For example, if the user or group was granted usage rights in templates or labels, edit those templates or labels and specify the new email address with same usage rights as you granted to the old email address.

グループの場合、そのメール アドレスを変更することはまれです。個々のユーザーではなく、グループに使用権限を割り当てた場合、ユーザーのメール アドレスを変更しても特別な対処は必要ありません。Note that it's rare for a group to change its email address and if you assign usage rights to a group rather to than individual users, it doesn't matter if the user's email address changes. このシナリオでは、使用権限が個々のユーザーのメール アドレスではなく、グループのメール アドレスに割り当てられます。In this scenario, the usage rights are assigned to the group email address and not individual user email addresses. これは、文書やメールを保護する使用権限を管理者が設定するとき、最も頻繁に採用される (そして推奨される) 手法です。This is the most likely (and recommended) method for an administrator to configure usage rights that protect documents and emails. ただし、ユーザーが個々のユーザーに独自のアクセス許可を割り当てることの方がより一般的です。However, users might more typically assign custom permissions for individual users. あるユーザー アカウントまたはグループがアクセス付与に使われているかどうかは常に確認できるわけではないため、使用していないメール アドレスを第 2 メール アドレスとして常に追加しておくと安心です。Because you cannot always know whether a user account or group has been used to grant access, it's safest to always add the old email address as a second email address.

Azure Information Protection のグループ メンバーシップ キャッシュGroup membership caching by Azure Information Protection

パフォーマンス上の理由から、Azure Information Protection はグループ メンバーシップをキャッシュします。For performance reasons, Azure Information Protection caches group membership. つまり、Azure AD でグループ メンバーシップを変更すると、そのグループが Azure Information Protection で使用されているとき、反映に最大 3 時間かかることがあります。この時間は変更される場合があります。This means that any changes to group membership in Azure AD can take up to three hours to take effect when these groups are used by Azure Information Protection and this time period is subject to change.

使用権限を与えたり、Azure Rights Management サービスを構成したりするためにグループを使用するときに、あるいはスコープ付きポリシーを構成するときに変更やテストを行う場合、この遅延を必ず考慮してください。Remember to factor this delay into any changes or testing that you do when you use groups for granting usage rights or configuring the Azure Rights Management service, or when you configure scoped policies.

次のステップNext steps

ユーザーとグループを Azure Information Protection に使用できることと、ドキュメントと電子メールの保護を開始する準備ができたことを確認したら、Azure Rights Management サービスをアクティブにする必要があるかどうかを確認します。When you have confirmed that your users and groups can be used with Azure Information Protection and you are ready to start protecting documents and emails, check whether you need to activate the Azure Rights Management service. 組織のドキュメントと電子メールを保護するには、このサービスをアクティブにする必要があります。This service must be activated before you can protect your organization's documents and emails:

  • 2018 年 2 月以降: Azure Rights Management または Azure Information Protection を含むサブスクリプションを今月以降に取得した場合は、サービスが自動的にアクティブ化されます。Beginning with February 2018: If your subscription that includes Azure Rights Management or Azure Information Protection was obtained during or after this month, the service is automatically activated for you.

  • 2018 年 2 月より前にサブスクリプションを取得した場合: 自分でサービスをアクティブにする必要があります。If your subscription was obtained before February 2018: You must activate the service yourself.

アクティベーションの状態の確認など、詳細については、「 Azure Information Protection からの保護サービスのアクティブ化」を参照してください。For more information, which includes checking the activation status, see Activating the protection service from Azure Information Protection.