Azure Information Protection の要件Azure Information Protection requirements

****適用対象** : Azure Information ProtectionOffice 365****Applies to**: Azure Information Protection, Office 365

*関連する内容: AIP の統合ラベル付けクライアントと AIP のクラシック クライアント。**Relevant for: AIP unified labeling client and AIP classic client.*

注意

統一された効率的なカスタマー エクスペリエンスを提供するため、Azure portal の Azure Information Protection のクラシック クライアントラベル管理 は、2021 年 3 月 31 日 をもって 非推奨 になります。To provide a unified and streamlined customer experience, the Azure Information Protection classic client and Label Management in the Azure Portal are deprecated as of March 31, 2021. クラシック クライアントは構成どおりに動作しますが、今後のサポートは提供されず、メンテナンス バージョンがクラシック クライアントにリリースされなくなります。While the classic client continues to work as configured, no further support is provided, and maintenance versions will no longer be released for the classic client.

統一されたラベル付けに移行し、統一されたラベル付けクライアントにアップグレードすることをお勧めします。We recommend that you migrate to unified labeling and upgrade to the unified labeling client. 詳細については、最新の非推奨に関するブログを参照してください。Learn more in our recent deprecation blog.

Azure Information Protection をデプロイする前に、システムが次の前提条件を満たしていることを確認してください。Before deploying Azure Information Protection, ensure that your system meets the following prerequisites:

Azure Information Protection のサブスクリプションSubscription for Azure Information Protection

使用する Azure Information Protection の機能に応じて、次のいずれかを持っている必要があります。You must have one of the following, depending on the Azure Information Protection features you'll be using:

使用する Azure Information Protection 機能がサブスクリプションに含まれていることを確認するには、「Azure Information Protection の価格」で機能の一覧をチェックしてください。To verify that your subscription includes the Azure Information Protection features you want to use, check the feature list at Azure Information Protection pricing.

ライセンスについて質問がある場合は、ライセンスについてのよく寄せられる質問に目を通してください。If you have questions about licensing, read through the frequently asked questions for licensing.

ヒント

保護された電子メールを個人用のメール アドレスに送信するために、お使いのプランで Office 365 Message Encryption の新機能がサポートされているかどうかを確認する必要がありますか?Looking to see if your plan supports the new capabilities from Office 365 Message Encryption, to send protected emails to personal email addresses? たとえば、Gmail、Yahoo、Microsoft などです。For example, Gmail, Yahoo, and Microsoft. 次のリソースを参照してください。Check the following resources:

サブスクリプションまたはライセンスに関するご質問は、このページでは投稿しないでください。If you have questions about subscriptions or licensing, do not post them on this page. 代わりに、ライセンスについてのよく寄せられる質問で回答されているかどうかを確認してください。Instead, see if they are answered in the frequently asked questions for licensing. ここにご質問に対する回答がない場合は、Microsoft のアカウント マネージャーまたは Microsoft サポートにお問い合わせください。If your question is not answered there, contact your Microsoft Account Manager or Microsoft Support.

Azure Active DirectoryAzure Active Directory

Azure Information Protection の認証と承認をサポートするには、Azure Active Directory (AD) が必要です。To support authentication and authorization for Azure Information Protection, you must have an Azure Active Directory (AD). オンプレミスのディレクトリ (AD DS) のユーザー アカウントを使用する場合は、ディレクトリ統合も構成する必要があります。To use user accounts from your on-premises directory (AD DS), you must also configure directory integration.

  • Azure Information Protection では シングル サインオン (SSO) がサポートされているため、ユーザーが資格情報の入力を繰り返し求められることはありません。Single sign-on (SSO) is supported for Azure Information Protection so that users are not repeatedly prompted for their credentials. フェデレーションに別のベンダーのソリューションを使用する場合は、そのベンダーで Azure AD 向けの構成方法を確認します。If you use another vendor solution for federation, check with that vendor for how to configure it for Azure AD. WS-Trust は、これらのソリューションでシングル サインオンをサポートするための、一般的な要件です。WS-Trust is a common requirement for these solutions to support single sign-on.

  • Azure Information Protection で 多要素認証 (MFA) がサポートされるのは、必要なクライアント ソフトウェアと正しく構成された MFA 対応インフラストラクチャがある場合です。Multi-factor authentication (MFA) is supported with Azure Information Protection when you have the required client software and have correctly configured the MFA-supporting infrastructure.

条件付きアクセスは、Azure Information Protection によって保護されているドキュメントのプレビューでサポートされます。Conditional access is supported in preview for documents protected by Azure Information Protection. 詳細については、次をご覧ください。条件付きアクセスに利用できるクラウド アプリとして Azure Information Protection が一覧に記載されています。これはどのように動作しますか。For more information, see: I see Azure Information Protection is listed as an available cloud app for conditional access—how does this work?

証明書ベースまたは多要素認証を使用する場合や、UPN 値がユーザーのメール アドレスと一致しない場合など、特定のシナリオには追加の前提条件が必要です。Additional prerequisites are required for specific scenarios, such as when using certificate-based or multi-factor authentication, or when UPN values don't match user email addresses.

   詳細については、次を参照してください。For more information, see:

クライアント デバイスClient devices

ユーザーのコンピューターまたはモバイル デバイスでは、Azure Information Protection をサポートしているオペレーティング システムを実行する必要があります。User computers or mobile devices must run on an operating system that supports Azure Information Protection.

クライアント デバイスでサポートされるオペレーティング システムSupported operating systems for client devices

Windows 用の Azure Information Protection クライアントは、次のオペレーティング システムでサポートされています。The Azure Information Protection clients for Windows are supported are the following operating systems:

  • Windows 10 (x86、x64)。Windows 10 (x86, x64). Windows 10 RS4 ビルド以降では、手書きはサポートされていません。Handwriting is not supported in the Windows 10 RS4 build and later.

  • Windows 8.1 (x86、x64)Windows 8.1 (x86, x64)

  • Windows 8 (x86、x64)Windows 8 (x86, x64)

  • Windows Server 2019Windows Server 2019

  • Windows Server 2016Windows Server 2016

  • Windows Server 2012 R2 および Windows Server 2012Windows Server 2012 R2 and Windows Server 2012

以前のバージョンの Windows におけるサポートについて詳しくは、お使いの Microsoft アカウントまたはサポート担当者にお問い合わせください。For details about support in earlier versions of Windows, contact your Microsoft account or support representative.

注意

Azure Information Protection クライアントで Azure Rights Management サービスを使用してデータを保護する場合、Azure Rights Management サービスをサポートする同じデバイスからデータを使用できます。When the Azure Information Protection clients protect the data by using the Azure Rights Management service, the data can be consumed by the same devices that support the Azure Rights Management service.

ARM64ARM64

現在、ARM64 はサポートされて いませんARM64 is not currently supported.

仮想マシンVirtual machines

仮想マシンを使用する場合は、お使いの仮想デスクトップ ソリューションのソフトウェア ベンダーに Azure Information Protection 統合ラベル付けまたは Azure Information Protection クライアントの実行に必要な追加の構成があるかどうかを確認します。If you're working with virtual machines, check whether the software vendor for your virtual desktop solution as additional configurations required for running the Azure Information Protection unified labeling or the Azure Information Protection client.

たとえば、Citrix ソリューションでは、Office、Azure Information Protection 統合ラベル付けクライアント、または Azure Information Protection クライアントのために Citrix アプリケーション プログラミング インターフェイス (API) フックを無効にすることが必要になる場合があります。For example, for Citrix solutions, you might need to disable Citrix Application Programming Interface (API) hooks for Office, the Azure Information Protection unified labeling client, or the Azure Information Protection client.

これらのアプリケーションでは、それぞれ次のファイルが使用されます: winword.exeexcel.exeoutlook.exepowerpnt.exemsip.app.exemsip.viewer.exeThese applications use the following files, respectively: winword.exe, excel.exe, outlook.exe, powerpnt.exe, msip.app.exe, msip.viewer.exe

サーバー サポートServer support

上記の各サーバー バージョンでは、リモート デスクトップ サービスについて Azure Information Protection クライアントがサポートされています。For each of the server versions listed above, Azure Information Protection clients are supported for Remote Desktop Services.

Azure Information Protection クライアントとリモート デスクトップ サービスを使用しているときに、ユーザー プロファイルを削除する場合は、 %Appdata%\Microsoft\Protect フォルダーを削除しないでください。If you delete user profiles when you use the Azure Information Protection clients with Remote Desktop Services, do not delete the %Appdata%\Microsoft\Protect folder.

また、Server Core と Nano Server はサポートされていません。Additionally, Server Core and Nano Server are not supported.

クライアントごとの追加要件Additional requirements per client

各 Azure Information Protection クライアントには追加の要件があります。Each Azure Information Protection client has additional requirements. 詳細については、次の情報を参照してください。For details, see:

アプリケーションApplications

Azure Information Protection クライアントでは、次のいずれかの Office エディションの Microsoft WordExcelPowerPointOutlook を使用して、ドキュメントと電子メールにラベルを付け、保護することができます。The Azure Information Protection clients can label and protect documents and emails by using Microsoft Word, Excel, PowerPoint, and Outlook from any of the following Office editions:

  • Office アプリ更新チャネルによる Microsoft 365 アプリにサポートされている表に記載されているバージョンについては、ユーザーに Azure Rights Management (Azure Information Protection for Office 365 ともいう) のライセンスが割り当てられている場合は、Microsoft 365 Apps for Business または Microsoft 365 Business Premium の Office アプリの最小バージョン 1805、ビルド 9330.2078Office apps, for the versions listed in the table of supported versions for Microsoft 365 Apps by update channel, from Microsoft 365 Apps for Business or Microsoft 365 Business Premium, when the user is assigned a license for Azure Rights Management (also known as Azure Information Protection for Office 365)

  • Microsoft 365 Apps for EnterpriseMicrosoft 365 Apps for Enterprise

  • Office Professional Plus 2019Office Professional Plus 2019

  • Office Professional Plus 2016Office Professional Plus 2016

  • Office Professional Plus 2013 Service Pack 1Office Professional Plus 2013 with Service Pack 1

  • Office Professional Plus 2010 Service Pack 2Office Professional Plus 2010 with Service Pack 2

Office の他のエディションは、Rights Management サービスを使用してドキュメントや電子メールを保護できません。Other editions of Office cannot protect documents and emails by using a Rights Management service. これらのエディションでは、Azure Information Protection は分類のみのサポートで、保護を適用するラベルはユーザーに表示されません。For these editions, Azure Information Protection is supported for classification only, and labels that apply protection are not displayed for users.

ラベルは、Office ドキュメントの上部に表示されるバーに表示されます。統合ラベル付けクライアントの [検出感度] ボタンまたはクラシック クライアントの [保護] ボタンからアクセスできます。Labels are displayed in a bar displayed at the top of the Office document, accessible from the Sensitivity button in the unified labeling client, or the Protect button in the classic client.

詳細については、「Azure Rights Management データ保護をサポートするアプリケーション」をご覧ください。For more information, see Applications that support Azure Rights Management data protection.

重要

Office 2010 の延長サポートは、2020 年 10 月 13 日に終了しました。Office 2010 extended support ended on October 13, 2020. 詳細については、「AIP と従来の Windows および Office バージョン」を参照してください。For more information, see AIP and legacy Windows and Office versions.

サポートされていない Office の特徴と機能Office features and capabilities not supported

  • Windows 用の Azure Information Protection クライアントでは、同じコンピューター上で複数のバージョンの Office を使用したり、Office のユーザー アカウントを切り替えたりすることはサポートされていません。The Azure Information Protection clients for Windows do not support multiple versions of Office on the same computer, or switching user accounts in Office.

  • Office の差し込み印刷機能は、どの Azure Information Protection 機能でもサポートされていません。The Office mail merge feature is not supported with any Azure Information Protection feature.

ファイアウォールとネットワーク インフラストラクチャFirewalls and network infrastructure

特定の接続を許可するように構成されたファイアウォール、または同様の中間ネットワーク デバイスがある場合、ネットワーク接続の要件は次の Office に関する記事に記載されています:「Microsoft 365 Common および Office Online」。If you have a firewalls or similar intervening network devices that are configured to allow specific connections, the network connectivity requirements are listed in this Office article: Microsoft 365 Common and Office Online.

Azure Information Protection には、次の追加要件があります。Azure Information Protection has the following additional requirements:

  • 統合ラベル付けクライアントUnified labeling client. ラベルとラベル ポリシーをダウンロードするには、HTTPS で次の URL を許可してください: *.protection.outlook.comTo download labels and label policies, allow the following URL over HTTPS: *.protection.outlook.com

  • Web プロキシWeb proxies. 認証が必要な Web プロキシを使用している場合には、ユーザーの Active Directory サインイン資格情報による統合 Windows 認証を使用するようにプロキシを構成する必要があります。If you use a web proxy that requires authentication, you must configure the proxy to use integrated Windows authentication with the user's Active Directory sign in credentials.

    プロキシを使用してトークンを取得するときに Proxy.pac ファイルをサポートするには、次の新しいレジストリ キーを追加します。To support Proxy.pac files when using a proxy to acquire a token, add the following new registry key:

    • パス: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\Path: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\
    • キー: UseDefaultCredentialsInProxyKey: UseDefaultCredentialsInProxy
    • : DWORDType: DWORD
    • : 1Value: 1
  • TLS クライアント/サービス間接続TLS client-to-service connections. aadrm.com URL への TLS クライアント/サービス間接続を終了しないでください (たとえば、パケット レベルの検査を実行するためなど)。Do not terminate any TLS client-to-service connections, for example to perform packet-level inspection, to the aadrm.com URL. この操作によって、RMS クライアントが使用している証明書のピン留めが解除されます。この証明書とは、Azure Rights Management サービスとの通信を保護するために、Microsoft が管理する CA と共に使用されているものです。Doing so breaks the certificate pinning that RMS clients use with Microsoft-managed CAs to help secure their communication with the Azure Rights Management service.

    クライアント接続が Azure Rights Management サービスに到達する前に終了しているかどうかを確認するには、次の PowerShell コマンドを使用します。To determine whether your client connection is terminated before it reaches the Azure Rights Management service, use the following PowerShell commands:

    $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
    $request.GetResponse()
    $request.ServicePoint.Certificate.Issuer
    

    結果には、発行元の CA が Microsoft CA からのものであることが示されます (例: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US)。The result should show that the issuing CA is from a Microsoft CA, for example: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US.

    発行元の CA 名が Microsoft からのものでない場合、クライアントとサービス間のセキュリティで保護された接続は終了しており、ファイアウォール上で再構成する必要がある可能性があります。If you see an issuing CA name that is not from Microsoft, it is likely that your secure client-to-service connection is being terminated and needs reconfiguration on your firewall.

  • TLS バージョン 1.2 以降 (統合ラベル付けクライアントのみ)。TLS version 1.2 or higher (unified labeling client only). 暗号として安全なプロトコルを使用し、Microsoft のセキュリティ ガイドラインに準拠するには、統合ラベル付けクライアントでバージョン 1.2 以降の TLS を使用する必要があります。The unified labeling client requires a TLS version of 1.2 or higher to ensure the use of cryptographically secure protocols and align with Microsoft security guidelines.

  • Microsoft 365 Enhanced Configuration Service (ECS)Microsoft 365 Enhanced Configuration Service (ECS). AIP は、Microsoft 365 Enhanced Configuration Service (ECS) である config.edge.skype.com URL にアクセスできる必要があります。AIP must have access to the config.edge.skype.com URL, which is a Microsoft 365 Enhanced Configuration Service (ECS).

    ECS は、AIP を再デプロイする必要なく、AIP インストールを再構成する機能を Microsoft に提供します。ECS provides Microsoft the ability to reconfigure AIP installations without the need for you to redeploy AIP. これは、機能または更新プログラムの段階的なロールアウトを制御するために使用されます。また、ロールアウトの影響は、収集される診断データから監視されます。It’s used to control the gradual rollout of features or updates, while the impact of the rollout is monitored from diagnostic data being collected.

    ECS は、機能または更新プログラムにより、セキュリティまたはパフォーマンスの問題を軽減するためにも使用されます。ECS is also used to mitigate security or performance issues with a feature or update. ECS では、適切なイベントが収集されるように、診断データに関連する構成の変更もサポートされています。ECS also supports configuration changes related to diagnostic data, to help ensure that the appropriate events are being collected.

    config.edge.skype.com URL を制限すると、エラーを軽減する Microsoft の機能に影響を与える可能性があります。また、プレビュー機能をテストする機能に影響を与える可能性もあります。Limiting the config.edge.skype.com URL may affect Microsoft’s ability to mitigate errors and may affect your ability to test preview features.

    詳細については、「Office の重要なサービス - Office のデプロイ」を参照してください。For more information, see Essential services for Office - Deploy Office.

  • 監査ログの URL ネットワーク接続Audit logging URL network connectivity. AIP は、AIP 監査ログをサポートするために、次の URL にアクセスできる必要があります。AIP must be able to access the following URLs in order to support AIP audit logs:

    • https://*.events.data.microsoft.com
    • https://*.aria.microsoft.com (Android デバイス データのみ)https://*.aria.microsoft.com (Android device data only)

    詳細については、「AIP レポートの前提条件」をご覧ください。For more information, see Prerequisites for AIP reporting.

AD RMS と Azure RMS の共存Coexistence of AD RMS with Azure RMS

同じ組織内の同じユーザーがコンテンツを保護できるように、同じ組織内で AD RMS と Azure RMS をサイド バイ サイドで使用することは、AD RMS で、Azure Information Protection での HYOK (Hold Your Own Key) 保護に対して のみ サポートされています。Using AD RMS and Azure RMS side by side, in the same organization, to protect content by the same user in the same organization, is only supported in AD RMS for HYOK (hold your own key) protection with Azure Information Protection.

このシナリオは、移行中にはサポート "されません"。This scenario is not supported during migration. サポートされている移行パスは次のとおりです。Supported migration paths include:

ヒント

Azure Information Protection をデプロイした後で、このクラウド サービスを使用したくなくなった場合は、「Azure Information Protection の使用停止と非アクティブ化」をご覧ください。If you deploy Azure Information Protection and then decide that you no longer want to use this cloud service, see Decommissioning and deactivating Azure Information Protection.

同じ組織内で両方のサービスがアクティブになっている他の移行以外のシナリオについては、その一方のみを使用して特定のユーザーがコンテンツを保護できるように、両方のサービスを構成する必要があります。For other, non-migration scenarios, where both services are active in the same organization, both services must be configured so that only one of them allows any given user to protect content. このようなシナリオは次のように構成します。Configure such scenarios as follows:

  • AD RMS から Azure RMS への移行にリダイレクトを使用しますUse redirections for an AD RMS to Azure RMS migration

  • 同時に複数のユーザーに対して両方のサービスをアクティブにする必要がある場合は、サービス側の構成を使用して排他性を適用します。If both services must be active for different users at the same time, use service-side configurations to enforce exclusivity. クラウド サービスで Azure RMS オンボード制御を使用し、発行 URL の ACL を使用して AD RMS の 読み取り専用 モードを設定します。Use the Azure RMS onboarding controls in the cloud service, and an ACL on the Publish URL to set Read-Only mode for AD RMS.

サービス タグService Tags

Azure エンドポイントと NSG を使用している場合は、次のサービス タグについて、すべてのポートへのアクセスを許可してください。If you are using an Azure endpoint and an NSG, make sure to allow access to all ports for the following Service Tags:

  • AzureInformationProtectionAzureInformationProtection
  • AzureActiveDirectoryAzureActiveDirectory
  • AzureFrontDoor.FrontendAzureFrontDoor.Frontend

さらに、この場合、Azure Information Protection サービスは、次の IP アドレスおよびポートにも依存します。Additionally, in this case, the Azure Information Protection service also depends on the following IP addresses and port:

  • 13.107.9.19813.107.9.198
  • 13.107.6.19813.107.6.198
  • 2620:1ec:4::1982620:1ec:4::198
  • 2620:1ec:a92::1982620:1ec:a92::198
  • 13.107.6.18113.107.6.181
  • 13.107.9.18113.107.9.181
  • ポート 443 (HTTPS トラフィック用)Port 443, for HTTPS traffic

これらの特定の IP アドレスへの (またこのポート経由での) 発信アクセスを許可する規則を作成してください。Make sure to create rules that allow outbound access to these specific IP addresses, and via this port.

Azure Rights Management データ保護でサポートされているオンプレミス サーバーSupported on-premises servers for Azure Rights Management data protection

Azure Rights Management コネクタを使用すると、次のオンプレミス サーバーは Azure Information Protection でサポートされます。The following on-premises servers are supported with Azure Information Protection when you use the Azure Rights Management connector.

このコネクタは、Office ドキュメントや電子メールを保護するために Azure Information Protection によって使用される Azure Rights Management サービスとオンプレミス サーバーの間の通信インターフェイスおよびリレーとして機能します。This connector acts as a communications interface, and relays between on-premises servers and the Azure Rights Management service, which is used by Azure Information Protection to protect Office documents and emails.

このコネクタを使用するには、Active Directory フォレストと Azure Active Directory とのディレクトリ同期を構成する必要があります。To use this connector, you must configure directory synchronization between your Active Directory forests and Azure Active Directory.

サポートされているサーバーは次のとおりです。Supported servers include:

サーバーの種類Server type サポートされているバージョンSupported versions
Exchange ServerExchange Server - Exchange Server 2016- Exchange Server 2016
- Exchange Server 2013- Exchange Server 2013
- Exchange Server 2010- Exchange Server 2010
Office SharePoint ServerOffice SharePoint Server - Office SharePoint Server 2016- Office SharePoint Server 2016
- Office SharePoint Server 2013- Office SharePoint Server 2013
- Office SharePoint Server 2010- Office SharePoint Server 2010
Windows Server を実行し、ファイル分類インフラストラクチャ (FCI) を使用するファイル サーバーFile servers that run Windows Server and use File Classification Infrastructure (FCI) - Windows Server 2016- Windows Server 2016
- Windows Server 2012 R2- Windows Server 2012 R2
- Windows Server 2012- Windows Server 2012

詳細については、「Azure Rights Management コネクタをデプロイする」を参照してください。For more information, see Deploying the Azure Rights Management connector.

Azure Rights Management でサポートされているオペレーティング システムSupported operating systems for Azure Rights Management

次のオペレーティング システムでは、AIP のデータ保護を提供する Azure Rights Management サービスがサポートされています。The following operating systems support the Azure Rights Management service, which provides data protection for AIP:

OSOS サポートされているバージョンSupported versions
Windows コンピューターWindows computers - Windows 7 (x86、x64)- Windows 7 (x86, x64)
- Windows 8 (x86、x64)- Windows 8 (x86, x64)
- Windows 8.1 (x86、x64)- Windows 8.1 (x86, x64)
- Windows 10 (x86、x64)- Windows 10 (x86, x64)
macOSmacOS macOS 10.8 (Mountain Lion) 以降Minimum version of macOS 10.8 (Mountain Lion)
Android 端末およびタブレットAndroid phones and tablets Android 6.0 以降Minimum version of Android 6.0
iPhone と iPadiPhone and iPad iOS 11.0 以降Minimum version of iOS 11.0
Windows Phone およびタブレットWindows phones and tablets Windows 10 MobileWindows 10 Mobile

次のステップNext steps

AIP の要件をすべて確認し、システムが準拠していることを確認したら、「Azure Information Protection 向けのユーザーとグループの準備」に進みます。Once you've reviewed all AIP requirements and confirmed that your system complies, continue with Preparing users and groups for Azure Information Protection.