Azure Information Protection 向けのユーザーとグループの準備Preparing users and groups for Azure Information Protection

適用対象: Azure Information ProtectionOffice 365Applies to: Azure Information Protection, Office 365

組織の Azure Information Protection を展開する前に、組織のテナントの Azure AD にユーザーとグループのアカウントがあることを確認します。Before you deploy Azure Information Protection for your organization, make sure that you have accounts for users and groups in Azure AD for your organization's tenant.

ユーザーとグループ用にこれらのアカウントを作成する方法は、次を含めさまざまにあります。There are different ways to create these accounts for users and groups, which include:

  • Microsoft 365 管理センターでユーザーを作成し、Exchange Online 管理センターでグループを作成します。You create the users in the Microsoft 365 admin center, and the groups in the Exchange Online admin center.

  • Azure Portal で、ユーザーとグループを作成します。You create the users and groups in the Azure portal.

  • Azure AD PowerShell と Exchange Online コマンドレットを使用して、ユーザーとグループを作成します。You create the users and group by using Azure AD PowerShell and Exchange Online cmdlets.

  • オンプレミスの Active Directory にユーザーとグループを作成し、それらを Azure AD と同期させます。You create the users and groups in your on-premises Active Directory and synchronize them to Azure AD.

  • 別のディレクトリにユーザーとグループを作成し、それらを Azure AD と同期させます。You create the users and groups in another directory and synchronize them to Azure AD.

この一覧にある最初の 3 つのメソッドを使用してユーザーとグループを作成する場合 (1 つの例外を除く)、それらは自動的に Azure AD に作成され、Azure Information Protection でこれらのアカウントを直接使用できます。When you create users and groups by using the first three methods from this list, with one exception, they are automatically created in Azure AD, and Azure Information Protection can use these accounts directly. ただし、多くの企業ネットワークでは、オンプレミスのディレクトリを使用してユーザーとグループを作成および管理します。However, many enterprise networks use an on-premises directory to create and manage users and groups. Azure Information Protection では、これらのアカウントを直接使用できません。Azure AD に同期する必要があります。Azure Information Protection cannot use these accounts directly; you must synchronize them to Azure AD.

前の段落で言及されている例外は、Exchange Online 用に作成できる動的配布リストです。The exception referred to in the previous paragraph is dynamic distribution lists that you can create for Exchange Online. 静的な配布リストとは異なり、これらのグループは Azure AD にレプリケートされないため、Azure Information Protection では使用できません。Unlike static distribution lists, these groups are not replicated to Azure AD and so cannot be used by Azure Information Protection.

Azure Information Protection によるユーザーとグループの使用方法How users and groups are used by Azure Information Protection

Azure Information Protection でユーザーとグループを使用するシナリオは 3 通りあります。There are three scenarios for using users and groups with Azure Information Protection:

ラベルをユーザーに割り当てる場合: Azure Information Protection ポリシーを構成するときに、ラベルをドキュメントや電子メールに適用できるようにします。For assigning labels to users when you configure the Azure Information Protection policy so that labels can be applied to documents and emails. 管理者のみがこれらのユーザーとグループを選択できます。Only administrators can select these users and groups:

  • 既定の Azure Information Protection ポリシーは、テナントの Azure AD にあるすべてのユーザーに対して自動的に割り当てられます。The default Azure Information Protection policy is automatically assigned to all users in your tenant's Azure AD. ただし、スコープを持つポリシーを使用して、指定したユーザーまたはグループに追加のラベルを割り当てることもできます。However, you can also assign additional labels to specified users or groups by using scoped policies.

使用権限とアクセス制御を割り当てる場合: Azure Rights Management サービスを使用してドキュメントと電子メールを保護します。For assigning usage rights and access controls when you use the Azure Rights Management service to protect documents and emails. 管理者とユーザーが、これらのユーザーとグループを選択できます。Administrators and users can select these users and groups:

  • 使用権限は、ドキュメントや電子メールをユーザーが開くことができるかと、その使用方法を決定します。Usage rights determine whether a user can open a document or email and how they can use it. たとえば、読み取り専用、読み取りと印刷、または読み取りと編集などができます。For example, whether they can only read it, or read and print it, or read and edit it.

  • アクセス制御には有効期限が含まれ、アクセスにはインターネットへの接続が必要かどうかが表示されます。Access controls include an expiry date and whether a connection to the internet is required for access.

Azure Rights Management サービスを構成する場合: 特定のシナリオをサポートするためであり、したがって、管理者のみがこれらのグループを選択します。For configuring the Azure Rights Management service to support specific scenarios, and therefore only administrators select these groups. たとえば、次のような構成の例があります。Examples include configuring the following:

  • スーパー ユーザー。eDiscovery またはデータ回復で必要な場合に、指定されたサービスまたはユーザーが暗号化されたコンテンツを開くことができるようにします。Super users, so that designated services or people can open encrypted content if required for eDiscovery or data recovery.

  • Azure Rights Management サービスの代理管理。Delegated administration of the Azure Rights Management service.

  • 段階的デプロイをサポートするオンボーディング コントロール。Onboarding controls to support a phased deployment.

ユーザー アカウントに関する Azure Information Protection の要件Azure Information Protection requirements for user accounts

ラベルを割り当てる場合:For assigning labels:

  • Azure AD にあるすべてのユーザー アカウントは、追加のラベルをユーザーに割り当てるスコープ ポリシーを構成するために使用できます。All user accounts in Azure AD can be used to configure scoped policies that assign additional labels to users.

使用権限とアクセス制御を割り当て、Azure Rights Management サービスを構成する場合:For assigning usage rights and access controls, and configuring the Azure Rights Management service:

  • ユーザーを承認するために Azure AD 内の 2 つの属性、proxyAddressesuserPrincipalName が使用されます。To authorize users, two attributes in Azure AD are used: proxyAddresses and userPrincipalName.

  • Azure AD proxyAddresses 属性は、単一アカウントのすべての電子メール アドレスを格納するために使用され、さまざまな方法でデータを設定できます。The Azure AD proxyAddresses attribute stores all email addresses for an account and can be populated in different ways. たとえば、Exchange Online メールボックスを持つ Office 365 内のユーザーであれば、この属性に格納されている電子メール アドレスを自動的に持つことになります。For example, a user in Office 365 that has an Exchange Online mailbox automatically has an email address that is stored in this attribute. 代替電子メール アドレスを Office 365 ユーザーに割り当てると、それもこの属性に保存されます。If you assign an alternative email address for an Office 365 user, it is also saved in this attribute. オンプレミスのアカウントから同期する電子メール アドレスでも設定できます。It can also be populated by the email addresses that are synchronized from on-premises accounts.

    ドメインがテナントに追加されている場合 ("確認済みドメイン")、Azure Information Protection では Azure AD proxyAddresses 属性にある任意の値を使用できます。Azure Information Protection can use any value in this Azure AD proxyAddresses attribute, providing the domain has been added to your tenant (a "verified domain"). ドメインの確認の詳細については、以下の項目をご覧ください。For more information about verifying domains:

  • Azure AD userPrincipalName 属性は、テナントにあるアカウントに対する値が Azure AD proxyAddresses 属性にない場合にのみ使用されます。The Azure AD userPrincipalName attribute is used only when an account in your tenant doesn't have values in the Azure AD proxyAddresses attribute. たとえば、Azure Portal でユーザーを作成するか、メールボックスのない Office 365 のユーザーを作成する場合です。For example, you create a user in the Azure portal, or create a user for Office 365 that doesn't have a mailbox.

使用権限とアクセス制御を外部ユーザーに割り当てるAssigning usage rights and access controls to external users

Azure Information Protection では、テナント内のユーザー用に Azure AD proxyAddresses と Azure AD userPrincipalName を使用することに加え、別のテナントのユーザーを承認するためにもこれらの属性を同様に使用します。In addition to using the Azure AD proxyAddresses and Azure AD userPrincipalName for users in your tenant, Azure Information Protection also uses these attributes in the same way to authorize users from another tenant.

その他の承認方法:Other authorization methods:

  • Azure AD に含まれていない電子メール アドレスの場合、Microsoft アカウントで認証されていれば、Azure Information Protection でそれらを承認できます。For email addresses that are not in Azure AD, Azure Information Protection can authorize these when they are authenticated with a Microsoft account. ただし、Microsoft アカウントが認証に使用されている場合、アプリケーションによっては、保護されたコンテンツを開けない場合があます。However, not all applications can open protected content when a Microsoft account is used for authentication. 詳細情報More information

  • Office 365 Message Encryption と新機能を利用し、Azure AD にアカウントを持っていないユーザーにメールを送信すると、ソーシャル ID プロバイダーとのフェデレーションかワンタイム パスコードにより最初にユーザーが認証されます。When an email is sent by using Office 365 Message Encryption with new capabilities to a user who doesn't have an account in Azure AD, the user is first authenticated by using federation with a social identity provider or by using a one-time passcode. 保護されているメールに指定されているメール アドレスがユーザーの認証に使用されます。Then the email address specified in the protected email is used to authorize the user.

グループ アカウントに関する Azure Information Protection の要件Azure Information Protection requirements for group accounts

ラベルを割り当てる場合:For assigning labels:

  • 追加のラベルをグループ メンバーに割り当てるスコープ ポリシーを構成するために、ユーザーのテナントの確認済みドメインを含む電子メール アドレスを持つ任意の種類のグループを Azure AD で使用することができます。To configure scoped policies that assign additional labels to group members, you can use any type of group in Azure AD that has an email address that contains a verified domain for the user's tenant. 電子メール アドレスを持つグループを、メールが有効なグループと呼ぶことがあります。A group that has an email address is often referred to as a mail-enabled group.

    たとえば、メールが有効なセキュリティ グループ、静的な配布グループ、Office 365 グループを使用できます。For example, you can use a mail-enabled security group, a static distribution group, and an Office 365 group. セキュリティ グループ (動的または静的) は、電子メール アドレスを持っていない種類のグループであるため使用できません。You cannot use a security group (dynamic or static) because this group type doesn't have an email address. Exchange Online からの動的配布リストも使用できません。このグループは Azure AD にレプリケートされないためです。You also cannot use a dynamic distribution list from Exchange Online because this group isn't replicated to Azure AD.

使用権限とアクセス制御を割り当てる場合:For assigning usage rights and access controls:

  • Azure AD にある任意の種類のグループを使用できます。Azure AD には、ユーザーのテナントに対する確認済みのドメインを含む電子メール アドレスがあります。You can use any type of group in Azure AD that has an email address that contains a verified domain for the user's tenant. 電子メール アドレスを持つグループを、メールが有効なグループと呼ぶことがあります。A group that has an email address is often referred to as a mail-enabled group.

Azure Rights Management サービスを構成する場合:For configuring the Azure Rights Management service:

  • テナント内の確認済みドメインの電子メール アドレスを持つ、Azure AD にある任意の種類のグループを使用できますが、例外が 1 つあります。You can use any type of group in Azure AD that has an email address from a verified domain in your tenant, with one exception. その例外とは、グループを使用するためのオンボーディング コントロールを構成する場合です。この場合は、テナントの Azure AD 内のセキュリティ グループである必要があります。That exception is when you configure onboarding controls to use a group, which must be a security group in Azure AD for your tenant.

  • テナント内の確認済みドメインに属している、Azure AD にある任意のグループ (電子メール アドレスの有無を問わない) を、Azure Rights Management サービスの代理管理に使用できます。You can use any group in Azure AD (with or without an email address) from a verified domain in your tenant for delegated administration of the Azure Rights Management service.

使用権限とアクセス制御を外部グループに割り当てるAssigning usage rights and access controls to external groups

Azure Information Protection では、テナント内のグループ用に Azure AD proxyAddresses を使用することに加え、別のテナントのグループを承認するためにもこの属性を同様に使用します。In addition to using the Azure AD proxyAddresses for groups in your tenant, Azure Information Protection also uses this attribute in the same way to authorize groups from another tenant.

オンプレミスの Active Directory からのアカウントを Azure Information Protection 用に使用するUsing accounts from Active Directory on-premises for Azure Information Protection

オンプレミスで管理されているアカウントがあり、Azure Information Protection でこのアカウントを使用したい場合は、このアカウントを Azure AD と同期する必要があります。If you have accounts that are managed on-premises that you want to use with Azure Information Protection, you must synchronize these to Azure AD. 展開を容易にするために、Azure AD Connect を使用することお勧めします。For ease of deployment, we recommend that you use Azure AD Connect. ただし、任意のディレクトリ同期方式を使用して同じ結果を達成できます。However, you can use any directory synchronization method that achieves the same result.

アカウントを同期するとき、すべての属性を同期する必要はありません。When you synchronize your accounts, you do not need to synchronize all attributes. 同期する必要がある属性の一覧については、Azure Active Directory のドキュメントの Azure RMS に関するセクションをご覧ください。For a list of the attributes that must be synchronized, see the Azure RMS section from the Azure Active Directory documentation.

Azure Rights Management 用の属性の一覧を見ると、ユーザーの場合は、オンプレミス AD 属性のうち、mailproxyAddressesuserPrincipalName が同期用に必要であることがわかります。From the attributes list for Azure Rights Management, you see that for users, the on-premises AD attributes of mail, proxyAddresses, and userPrincipalName are required for synchronization. mailproxyAddresses の値が、Azure AD proxyAddresses 属性に同期されます。Values for mail and proxyAddresses are synchronized to the Azure AD proxyAddresses attribute. 詳細については、「Azure AD に proxyAddresses 属性を反映する方法」をご覧ください。For more information, see How the proxyAddresses attribute is populated in Azure AD

ユーザーとグループが Azure Information Protection 用に準備されたことを確認するConfirming your users and groups are prepared for Azure Information Protection

Azure AD PowerShell を使用して、ユーザーとグループを Azure Information Protection に使用できることを確認できます。You can use Azure AD PowerShell to confirm that users and groups can be used with Azure Information Protection. PowerShell を使用して、それらを承認するために使用できる値を確認できます。You can also use PowerShell to confirm the values that can be used to authorize them.

たとえば、Azure Active Directory の V1 PowerShell モジュール、MSOnline を使用して、PowerShell セッションで、まず、サービスに接続し、グローバル管理者の資格情報を指定します。For example, using the V1 PowerShell module for Azure Active Directory, MSOnline, in a PowerShell session, first connect to the service and supply your global admin credentials:

Connect-MsolService

注: このコマンドが機能しない場合は、Install-Module MSOnline を実行して MSOnline モジュールをインストールできます。Note: If this command doesn't work, you can run Install-Module MSOnline to install the MSOnline module.

次に、PowerShell セッションを構成して、値を切り捨てないようにします。Next, configure your PowerShell session so that it doesn't truncate the values:

$Formatenumerationlimit =-1

ユーザー アカウントが Azure Information Protection の準備ができていることを確認するConfirm user accounts are ready for Azure Information Protection

ユーザー アカウントを確認するには、次のコマンドを実行します。To confirm the user accounts, run the following command:

Get-Msoluser | select DisplayName, UserPrincipalName, ProxyAddresses

まず、Azure Information Protection で使用したいユーザーが表示されることを確認します。Your first check is to make sure that the users you want to use with Azure Information Protection are displayed.

次に、ProxyAddresses 列が設定されているかどうかをチェックします。Then check whether the ProxyAddresses column is populated. 設定されている場合は、Azure Information Protection のユーザーを承認するためにこの列の電子メールの値を使用できます。If it is, the email values in this column can be used to authorize the user for Azure Information Protection.

ProxyAddresses 列が設定されていない場合は、UserPrincipalName の値が Azure Rights Management サービスのユーザーを承認するために使用されます。If the ProxyAddresses column is not populated, the value in the UserPrincipalName is used to authorize the user for the Azure Rights Management service.

たとえば、次のようになります。For example:

表示名Display Name UserPrincipalNameUserPrincipalName ProxyAddressesProxyAddresses
Jagannath ReddyJagannath Reddy jagannathreddy@contoso.com {}
Ankur RoyAnkur Roy ankurroy@contoso.com {SMTP:ankur.roy@contoso.com, smtp: ankur.roy@onmicrosoft.contoso.com}{SMTP:ankur.roy@contoso.com, smtp: ankur.roy@onmicrosoft.contoso.com}

この例では:In this example:

  • Jagannath Reddy のユーザー アカウントは jagannathreddy@contoso.com によって承認されることになります。The user account for Jagannath Reddy will be authorized by jagannathreddy@contoso.com.

  • Ankur Roy のユーザー アカウントは、ankur.roy@contoso.comankur.roy@onmicrosoft.contoso.com を使用して承認できますが、ankurroy@contoso.com では承認できません。The user account for Ankur Roy can be authorized by using ankur.roy@contoso.com and ankur.roy@onmicrosoft.contoso.com, but not ankurroy@contoso.com.

通常、UserPrincipalName の値は、ProxyAddresses フィールドにあるいずれかの値と一致します。In most cases, the value for UserPrincipalName matches one of the values in the ProxyAddresses field. これは、お勧めの構成ですが、電子メール アドレスと一致するように UPN を変更できない場合は、次の手順を実行する必要があります。This is the recommended configuration but if you cannot change your UPN to match the email address, you must take the following steps:

  1. UPN 値内のドメイン名が Azure AD テナントの確認済みドメインの場合は、Azure AD 内の別の電子メール アドレスとして UPN 値を追加することで、UPN 値を Azure Information Protection のユーザー アカウントの承認に使用できるようにします。If the domain name in the UPN value is a verified domain for your Azure AD tenant, add the UPN value as another email address in Azure AD so that the UPN value can now be used to authorize the user account for Azure Information Protection.

    UPN 値内のドメイン名がテナントの確認済みドメインでない場合は、Azure Information Protection で使用できません。If the domain name in the UPN value is not a verified domain for your tenant, it cannot be used with Azure Information Protection. ただし、グループ電子メール アドレスが検証済みドメイン名を使用している場合、このユーザーはグループのメンバーとしてまだ承認できます。However, the user can still be authorized as a member of a group when the group email address uses a verified domain name.

  2. UPN がルーティングできない場合は (たとえば、ankurroy@contoso.local)、ユーザーの代替ログイン ID を構成し、この代替ログインを使用して Office にサインインする方法をユーザーに指示してください。If the UPN is not routable (for example, ankurroy@contoso.local), configure alternate login ID for users and instruct them how to sign in to Office by using this alternate login. Office のレジストリ キーを設定する必要もあります。You must also set a registry key for Office.

    詳細については、「代替ログイン ID を構成する」と「Office applications periodically prompt for credentials to SharePoint Online, OneDrive, and Lync Online (Office アプリケーションは SharePoint のオンライン、OneDrive、 Lync オンラインの資格情報を定期的に要求する)」をご覧ください。For more information, see Configuring Alternate Login ID and Office applications periodically prompt for credentials to SharePoint Online, OneDrive, and Lync Online.

ヒント

Export-Csv コマンドレットを使用すると、結果をスプレッド シートにエクスポートでき、インポートの検索や一括編集などの管理が容易になります。You can use the Export-Csv cmdlet to export the results to a spreadsheet for easier management, such as searching and bulk-editing for import.

たとえば次のようになります。Get-MsolGroup | select DisplayName, ProxyAddresses | Export-Csv -Path UserAccounts.csvFor example: Get-MsolGroup | select DisplayName, ProxyAddresses | Export-Csv -Path UserAccounts.csv

グループ アカウントが Azure Information Protection の準備ができていることを確認するConfirm group accounts are ready for Azure Information Protection

グループ アカウントを確認するには、次のコマンドを使用します。To confirm group accounts, use the following command:

Get-MsolGroup | select DisplayName, ProxyAddresses

Azure Information Protection で使用したいグループが表示されることを確認します。Make sure that the groups you want to use with Azure Information Protection are displayed. 表示されるグループでは、ProxyAddresses 列内の電子メール アドレスを使用して、グループ メンバーを Azure Rights Management サービスに対して承認できます。For the groups displayed, the email addresses in the ProxyAddresses column can be used to authorize the group members for the Azure Rights Management service.

次に、Azure Information Protection 用に使用したいユーザー (またはその他のグループ) がこのグループに含まれていることを確認します。Then check that the groups contain the users (or other groups) that you want to use for Azure Information Protection. これを行うには、PowerShell を使用するか (たとえば、 Get-MsolGroupMember)、または管理ポータルを使用できます。You can use PowerShell to do this (for example, Get-MsolGroupMember), or use your management portal.

セキュリティ グループを使用する 2 つの Azure Rights Management サービスの構成シナリオでは、次の PowerShell コマンドを使用してオブジェクト ID を検索し、これらのグループを識別するために使用できる名前を表示できます。For the two Azure Rights Management service configuration scenarios that use security groups, you can use the following PowerShell command to find the object ID and display name that can be used to identify these groups. Azure Portal を使用してこれらのグループを検索し、オブジェクト ID と表示名の値をコピーすることもできます。You can also use the Azure portal to find these groups and copy the values for the object ID and the display name:

Get-MsolGroup | where {$_.GroupType -eq "Security"}

電子メール アドレスが変更される場合の Azure Information Protection に関する考慮事項Considerations for Azure Information Protection if email addresses change

ユーザーまたはグループの電子メール アドレスを変更する場合は、ユーザーまたはグループに 2 つ目の電子メール アドレス (プロキシ アドレス、エイリアス、または代替電子メール アドレスとも呼ぶ) として、古い電子メール アドレスを追加することをお勧めします。If you change the email address of a user or group, we recommend that you add the old email address as a second email address (also known as a proxy address, alias, or alternate email address) to the user or group. これを行うと、古い電子メール アドレスは、Azure AD proxyAddresses 属性に追加されます。When you do this, the old email address is added to the Azure AD proxyAddresses attribute. このアカウントの管理によって、任意の使用権限や、古い電子メール アドレスが使用されていたときに保存されその他の構成のビジネス継続性が確保されます。This account administration ensures business continuity for any usage rights or other configurations there were saved when the old email address was in use.

これを実施できない場合、新しい電子メール アドレスを使用するユーザーまたはグループは、古いメール アドレスを使用して、以前保護されていたドキュメントと電子メールへのアクセスが拒否されるリスクを負います。If you cannot do this, the user or group with the new email address risks being denied access to documents and emails that were previously protected with the old email address. この場合は、保護構成を繰り返して、新しいメール アドレスを保存する必要があります。In this case, you must repeat the protection configuration to save the new email address. たとえば、ユーザーまたはグループがテンプレートまたはラベルの使用権限を付与されている場合、これらのテンプレートまたはラベルを編集するか、古いメール アドレスに付与したのと同じ使用権限を使って新しいメール アドレスを指定します。For example, if the user or group was granted usage rights in templates or labels, edit those templates or labels and specify the new email address with same usage rights as you granted to the old email address.

グループの電子メール アドレスを変更することはまれであり、個々のユーザーではなくグループに使用権限を割り当てれば、ユーザーの電子メール アドレスが変更されても問題になりません。Note that it's rare for a group to change its email address and if you assign usage rights to a group rather to than individual users, it doesn't matter if the user's email address changes. このシナリオでは、使用権限は、グループの電子メール アドレスに割り当てられており、個々のユーザー電子メール アドレスにではありません。In this scenario, the usage rights are assigned to the group email address and not individual user email addresses. これは、管理者がドキュメントと電子メールを保護する使用権限を構成するための最も可能性のある (およびお勧めの) 方式です。This is the most likely (and recommended) method for an administrator to configure usage rights that protect documents and emails. ただし、ユーザーは個々のユーザーのカスタム アクセス許可を割り当てることのほうが一般的です。However, users might more typically assign custom permissions for individual users. アクセスを許可するためにユーザー アカウントとグループのいずれが使用されているのかを常時把握することはできないため、古い電子メール アドレスを 2 つ目の電子メール アドレスとして常に追加することが最も安全な方法です。Because you cannot always know whether a user account or group has been used to grant access, it's safest to always add the old email address as a second email address.

Azure Information Protection によるグループ メンバーシップのキャッシュGroup membership caching by Azure Information Protection

パフォーマンス上の理由により、Azure Information Protection ではグループ メンバーシップをキャッシュします。For performance reasons, Azure Information Protection caches group membership. つまり、これらのグループが Azure Information Protection によって使用される場合に Azure AD 内でグループ メンバーシップの変更内容が有効になるまで最長で 3 時間かかることがあり、この期間は変わる可能性があるということです。This means that any changes to group membership in Azure AD can take up to three hours to take effect when these groups are used by Azure Information Protection and this time period is subject to change.

使用権限の割り当てまたは Azure Rights Management サービスの構成を行うためにグループを使用する場合、またはスコープ付きポリシーを構成する場合は、すべての変更や、実行するテストで、この遅延を考慮してください。Remember to factor this delay into any changes or testing that you do when you use groups for granting usage rights or configuring the Azure Rights Management service, or when you configure scoped policies.

次のステップNext steps

ユーザーとグループを Azure Information Protection に使用できることと、ドキュメントと電子メールの保護を開始する準備ができたことを確認したら、Azure Rights Management サービスをアクティブにする必要があるかどうかを確認します。When you have confirmed that your users and groups can be used with Azure Information Protection and you are ready to start protecting documents and emails, check whether you need to activate the Azure Rights Management service. 組織のドキュメントと電子メールを保護するには、このサービスをアクティブにする必要があります。This service must be activated before you can protect your organization's documents and emails:

  • 2018 年 2 月以降: Azure Rights Management または Azure Information Protection を含むサブスクリプションを今月以降に取得した場合は、サービスが自動的にアクティブ化されます。Beginning with February 2018: If your subscription that includes Azure Rights Management or Azure Information Protection was obtained during or after this month, the service is automatically activated for you.

  • 2018 年 2 月より前にサブスクリプションを取得した場合: 自分でサービスをアクティブにする必要があります。If your subscription was obtained before February 2018: You must activate the service yourself.

アクティベーションの状態の確認など、詳細については、「 Azure Information Protection からの保護サービスのアクティブ化」を参照してください。For more information, which includes checking the activation status, see Activating the protection service from Azure Information Protection.