Azure Information Protection の要件Requirements for Azure Information Protection

適用対象: Azure Information ProtectionOffice 365Applies to: Azure Information Protection, Office 365

組織の Azure Information Protection をデプロイする前に、次の前提条件が満たされていることを確認します。Before you deploy Azure Information Protection for your organization, make sure that you have the following prerequisites.

Azure Information Protection のサブスクリプションSubscription for Azure Information Protection

分類、ラベル付け、保護の場合: Azure Information Protection プランを取得する必要があります。For classification, labeling, and protection: You must have an Azure Information Protection plan.

保護のみの場合: Azure Information Protection を含む Office 365 プランを取得する必要があります。For protection-only: You must have an Office 365 plan that includes Azure Information Protection.

使用する Azure Information Protection 機能を含むサブスクリプションを組織が所有していることを確認するには、「Azure Information Protection の価格」ページの機能一覧をご覧ください。To make sure that your organization's subscription includes the Azure Information Protection features that you want to use, review the feature list from the Azure Information Protection pricing page.

ライセンスについて質問がある場合は、ライセンスについてのよく寄せられる質問に目を通してください。If you have questions about licensing, read through the frequently asked questions for licensing.

ヒント

保護された電子メールを個人用の電子メール アドレスに送信するために、お使いの Office 365 プランまたは Exchange Online スタンドアロン プランで Office 365 Message Encryption の新機能をサポートしているかどうかを確認する必要がありますか?Looking to see if your Office 365 plan or Exchange Online standalone plan supports the new capabilities from Office 365 Message Encryption, to send protected emails to personal email addresses? たとえば、Gmail、Yahoo、Microsoft などです。For example, Gmail, Yahoo, and Microsoft. 次のリソースを参照してください。Check the following resources:

サブスクリプションまたはライセンスに関するご質問は、このページでは投稿しないでください。If you have questions about subscriptions or licensing, do not post them on this page. 代わりに、ライセンスについてのよく寄せられる質問で回答されているかどうかを確認してください。Instead, see if they are answered in the frequently asked questions for licensing. ここにご質問に対する回答がない場合は、Microsoft のアカウント マネージャーまたは Microsoft サポートにお問い合わせください。If your question is not answered there, contact your Microsoft Account Manager or Microsoft Support.

Azure Active DirectoryAzure Active Directory

組織には Azure Information Protection のユーザー認証と承認をサポートするための Azure Active Directory (Azure AD) が必要です。Your organization must have an Azure Active Directory (Azure AD) to support user authentication and authorization for Azure Information Protection. また、内部設置型ディレクトリ (AD DS) のユーザー アカウントを使用する場合は、ディレクトリ統合も構成する必要があります。In addition, if you want to use your user accounts from your on-premises directory (AD DS), you must also configure directory integration.

Azure Information Protection ではシングル サインオン (SSO) がサポートされます。したがって、ユーザーが資格情報の入力を繰り返し求められることはありません。Single sign-on (SSO) is supported for Azure Information Protection, so that users are not repeatedly prompted for their credentials. フェデレーションに別のベンダーのソリューションを使用する場合は、そのベンダーで Azure AD 向けの構成方法を確認します。If you use another vendor solution for federation, check with that vendor how to configure it for Azure AD. WS-Trust は、これらのソリューションでシングル サインオンをサポートするための、一般的な要件です。WS-Trust is a common requirement for these solutions to support single sign-on.

必要なクライアント ソフトウェアと正しく構成された MFA サポート インフラストラクチャがある場合は、Azure Information Protection で多要素認証 (MFA) がサポートされます。Multi-factor authentication (MFA) is supported with Azure Information Protection when you have the required client software and correctly configured MFA supporting infrastructure.

条件付きアクセスは、Azure Information Protection によって保護されているドキュメントのプレビューでサポートされます。Conditional access is supported in preview for documents protected by Azure Information Protection. 詳細については、次の FAQ を参照してください: 条件付きアクセスに利用できるクラウド アプリとして Azure Information Protection が一覧に記載されています。これはどのように動作しますか。For more information, see the following FAQ: I see Azure Information Protection is listed as an available cloud app for conditional access—how does this work?

認証要件の詳細については、「Azure Information Protection の Azure Active Directory の要件」をご覧ください。For more information about authentication requirements, see Azure Active Directory requirements for Azure Information Protection.

承認用のユーザーとグループ アカウントの要件の詳細については、「Azure Information Protection 向けのユーザーとグループの準備」をご覧ください。For more information about the requirements for user and group accounts for authorization, see Preparing users and groups for Azure Information Protection.

クライアント デバイスClient devices

ユーザーは Azure Information Protection をサポートするオペレーティング システムを実行するクライアント デバイス (コンピューターまたはモバイル デバイス) を所有している必要があります。Users must have client devices (computer or mobile device) that run an operating system that supports Azure Information Protection.

次のデバイスでは、Azure Information Protection 統合されたラベル付けクライアントと Azure Information Protection クライアントがサポートされています。The following devices support the Azure Information Protection unified labeling client, and the Azure Information Protection client. どちらのクライアントも、ユーザーがドキュメントや電子メールを分類してラベルを付けることができます。Both clients let users classify and label their documents and emails:

  • Windows 10 (x86、x64)Windows 10 (x86, x64)

    • Windows 10 RS4 Build 以降では、手書きはサポートされていません。No support for handwriting in the Windows 10 RS4 build and later.
  • Windows 8.1 (x86、x64)Windows 8.1 (x86, x64)

  • Windows 8 (x86、x64)Windows 8 (x86, x64)

  • Windows 7 Service Pack 1 (x86、x64)Windows 7 Service Pack 1 (x86, x64)

  • Windows Server 2019Windows Server 2019

  • Windows Server 2016Windows Server 2016

  • Windows Server 2012 R2 および Windows Server 2012Windows Server 2012 R2 and Windows Server 2012

  • Windows Server 2008 R2Windows Server 2008 R2

クライアントを物理コンピューターにインストールするだけでなく、仮想マシンにインストールすることもできます。In addition to installing the client on physical computers, you can also install it on virtual machines. 仮想デスクトップソリューションのソフトウェアベンダーに、Azure Information Protection 統合ラベルクライアントまたは Azure Information Protection クライアントの実行に必要な追加の構成があるかどうかを確認します。Check whether the software vendor for the virtual desktop solution has additional configuration that might be required to run the Azure Information Protection unified labeling client or the Azure Information Protection client. たとえば、Citrix ソリューションの場合、Office のCitrix アプリケーションプログラミングインターフェイス (API) フック(winword.exe、excel.exe、outlook.exe、powerpnt.exe) と、統合された Azure Information Protection の実行可能ファイルを無効にする必要がある場合があります。クライアントまたは Azure Information Protection クライアント (msip .exe、msip) にラベルを付ける。For example, for Citrix solutions, you might need to disable Citrix Application Programming Interface (API) hooks for Office (winword.exe, excel.exe, outlook.exe, powerpnt.exe) and the executable for the Azure Information Protection unified labeling client or Azure Information Protection client (msip.app.exe, msip.viewer.exe).

表示されるサーバーのバージョン:For the listed server versions:

  • リモートデスクトップサービスでは、Azure Information Protection クライアントがサポートされています。The Azure Information Protection clients are supported for Remote Desktop Services. リモートデスクトップサービスで Azure Information Protection クライアントを使用しているときにユーザープロファイルを削除する場合は、 %Appdata%\Microsoft\Protectフォルダーを削除しないでください。If you delete user profiles when you use the Azure Information Protection clients with Remote Desktop Services, do not delete the %Appdata%\Microsoft\Protect folder.

  • Server Core と Nano Server はサポートされていません。Server Core and Nano Server are not supported.

Azure Information Protection クライアントが Azure Rights Management サービスを使用してデータを保護する場合、Azure Rights Management サービスをサポートする同じデバイスでデータを使用できます。When the Azure Information Protection clients protect the data by using the Azure Rights Management service, the data can be consumed by the same devices that support the Azure Rights Management service.

Azure Information Protection クライアントには、それぞれの管理者ガイドに記載されている追加の前提条件があります。The Azure Information Protection clients have additional prerequisites that are listed in their respective admin guides:

  • Azure Information Protection 統合ラベル付けクライアント:前提条件Azure Information Protection unified labeling client: Prerequisites

  • Azure Information Protection クライアント:前提条件Azure Information Protection client: Prerequisites

[アプリケーション]Applications

Azure Information Protection クライアントは、次のいずれかの Office エディションの Office アプリケーションWordExcelPowerPointOutlookを使用して、ドキュメントや電子メールにラベルを付けて保護することができます。The Azure Information Protection clients can label and protect documents and emails by using the Office applications Word, Excel, PowerPoint, and Outlook from any of the following Office editions:

  • ユーザーに Azure Rights Management (別名: Azure Information Protection for Office 365) のライセンスが割り当てられている場合は、Office 365 Business または Microsoft 365 Business の最小バージョン 1805、ビルド 9330.2078 の Office アプリOffice apps minimum version 1805, build 9330.2078 from Office 365 Business or Microsoft 365 Business when the user is assigned a license for Azure Rights Management (also known as Azure Information Protection for Office 365)

  • Office 365 ProPlusOffice 365 ProPlus

  • Office Professional Plus 2019Office Professional Plus 2019

  • Office Professional Plus 2016Office Professional Plus 2016

  • Office Professional Plus 2013 Service Pack 1Office Professional Plus 2013 with Service Pack 1

  • Office Professional Plus 2010 Service Pack 2Office Professional Plus 2010 with Service Pack 2

Office の他のエディションは、Rights Management サービスを使用してドキュメントや電子メールを保護できません。Other editions of Office cannot protect documents and emails by using a Rights Management service. これらのエディションの場合、Azure Information Protection は分類についてのみサポートされます。For these editions, Azure Information Protection is supported for classification only. そのため、保護を適用するラベルは、Office リボンの Azure Information Protection バー、または [保護] ボタン (クラシッククライアント) または [秘密度] ボタン (統合ラベル付けクライアント) では表示されません。Consequently, labels that apply protection do not display to users on the Azure Information Protection bar or from the Protect button (classic client) or Sensitivity button (unified labeling client) on the Office ribbon.

保護サービスをサポートする Office のエディションについては、「Azure Rights Management データ保護をサポートするアプリケーション」を参照してください。For information about which Office editions support the protection service, see Applications that support Azure Rights Management data protection.

サポートされていない Office の機能Office features and capabilities not supported

  • Azure Information Protection クライアント (従来のクライアントおよび統合ラベル付けクライアント) では、同じコンピューター上で複数のバージョンの Office をサポートしたり、Office のユーザーアカウントを切り替えたりすることはできません。The Azure Information Protection clients (classic client and unified labeling client) do not support multiple versions of Office on the same computer, or switching user accounts in Office.

  • Officeメールのマージ機能は、Azure Information Protection 機能ではサポートされていません。The Office mail merge feature is not supported with any Azure Information Protection feature.

ファイアウォールとネットワーク インフラストラクチャFirewalls and network infrastructure

特定の接続を許可するように構成されたファイアウォール、または同様の中間ネットワーク デバイスがある場合、ネットワーク接続の要件は、Office の記事「Office 365 URL および IP アドレス範囲」に記載されています。If you have a firewall or similar intervening network devices that are configured to allow specific connections, the network connectivity requirements are included in the Office article, Office 365 URLs and IP address ranges. Microsoft 365 Common および Office Online」セクションをご覧ください。See the Microsoft 365 Common and Office Online section.

Office の記事の情報に加えて、Azure Information Protection に固有の要件は以下のとおりです。In addition to the information in the Office article, specific to Azure Information Protection:

  • ラベルとラベルポリシーをダウンロードするための統一されたラベル付けクライアントの場合:URL * . protection.outlook.comを HTTPS 経由で許可します。For the unified labeling client to download labels and label policies: Allow the URL *.protection.outlook.com over HTTPS.

  • 認証が必要な Web プロキシを使用している場合には、ユーザーの Active Directory ログオン資格情報による統合 Windows 認証を使用するようにプロキシを構成する必要があります。If you use a web proxy that requires authentication, you must configure it to use integrated Windows authentication with the user's Active Directory logon credentials.

  • aadrm.com URL への TLS クライアント/サービス間接続を終了しないでください (たとえばパケット レベルの検査を行うために)。Do not terminate the TLS client-to-service connection (for example, to do packet-level inspection) to the aadrm.com URL. 終了すると、RMS クライアントが使用している証明書のピン留めが解除されます。この証明書とは、Azure Rights Management サービスとの通信を保護するために、Microsoft が管理する CA とともに使用されているものです。Doing so breaks the certificate pinning that RMS clients use with Microsoft-managed CAs to help secure their communication with the Azure Rights Management service.

    次の PowerShell コマンドを使用して、Azure Rights Management サービスに到達する前にクライアント接続が終了しているかどうかを判断できます。You can use the following PowerShell commands to help you determine whether your client connection is terminated before it reaches the Azure Rights Management service:

      $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
      $request.GetResponse()
      $request.ServicePoint.Certificate.Issuer
    

    結果には、発行元の CA が Microsoft CA からのものであることCN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=USが示されます。たとえば、のようになります。The result should show that the issuing CA is from a Microsoft CA, for example: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US. 発行元 CA の名前が Microsoft からのものではない場合、セキュリティで保護されたクライアントとサービス間の接続が終了し、ファイアウォールで再構成が必要になる可能性が非常に高くなります。If you see an issuing CA name that is not from Microsoft, it is very likely your secure client-to-service connection is being terminated and needs reconfiguration on your firewall.

オンプレミス サーバーOn-premises servers

オンプレミス サーバーで Azure Information Protection から Azure Rights Management サービスを使用する必要がある場合、次の製品がサポートされます。If you want to use the Azure Rights Management service from Azure Information Protection with on-premises servers, the following products are supported:

  • Exchange ServerExchange Server

  • SharePoint ServerSharePoint Server

  • ファイル分類インフラストラクチャをサポートする Windows Server ファイル サーバーWindows Server file servers that support File Classification Infrastructure

このシナリオに関する追加の要件については、「Azure Rights Management データ保護をサポートするオンプレミス サーバー」をご覧ください。For information about the additional requirements for this scenario, see On-premises servers that support Azure Rights Management data protection.

AD RMS と Azure RMS の共存Coexistence of AD RMS with Azure RMS

次のデプロイ シナリオは、Azure Information Protection を使った HYOK 保護 ("Hold Your Own Key" 構成) 用に AD RMS を 使用している場合を除き、サポートされません。The following deployment scenario is not supported unless you are using AD RMS for HYOK protection with Azure Information Protection (the "hold your own key" configuration):

AD RMS から Azure Information Protection への移行、および Azure Information Protection から AD RMS への移行には、サポートされている移行パスがあります。There is a supported migration path from AD RMS to Azure Information Protection, and from Azure Information Protection to AD RMS. Azure Information Protection をデプロイした後で、このクラウド サービスを使用したくなくなった場合は、「Azure Information Protection の使用停止と非アクティブ化」をご覧ください。If you deploy Azure Information Protection and then decide that you no longer want to use this cloud service, see Decommissioning and deactivating Azure Information Protection.