Azure Information Protection クラシック クライアント管理者ガイド

エンタープライズ ネットワークで Azure Information Protection クライアントを担当している場合、または Azure Information Protection クライアント ユーザー ガイド に関するページに記載されていない詳細な技術情報が必要な場合は、このガイドの情報をご覧ください。

たとえば、次のように入力します。

• このクライアントのさまざまなコンポーネントについて知り、インストールする必要があるかどうかを理解する

• 前提条件、インストール オプションとパラメーター、検証チェックに関する情報を含む、ユーザー向けにクライアントをインストールする方法

• 通常レジストリの編集が必要なカスタムの構成に対応する方法

• クライアント ファイルと使用状況ログを検索する

• クライアントでサポートされているファイルの種類を識別する

• ユーザー用のドキュメント追跡サイトを構成して使用する

• クライアントで PowerShell を使用したコマンドラインでの制御

このドキュメントでわからない問題がある場合は、 Azure Information Protection についての Yammer サイトをご覧ください。

Azure Information Protection クライアントの技術的概要

Azure Information Protection クライアントには次のものが含まれます。

• Office アドイン。ユーザーが分類ラベルを選択するための Azure Information Protection バーと、追加オプションのためのリボンの [保護] ボタンをインストールします。 Outlook の場合、[転送不可] ボタンはリボンでも使用できます。

• エクスプローラー。ユーザーがファイルに分類ラベルと保護を適用するための右クリック オプション。

• 組み込みのアプリケーションで開くことができないときに、保護されたファイルを表示するビューアー。

• ファイルに対して分類ラベルと保護を適用および削除するための PowerShell モジュール。

  このモジュールには、Windows Server 上でサービスとして実行される Azure Information Protection スキャナーをインストールして構成するためのコマンドレットが含まれます。 このサービスを利用すると、ネットワーク共有や SharePoint Server ライブラリなど、データ ストアのファイルを検出、分類、保護できます。

• Azure Rights Management (Azure RMS) または Active Directory Rights Management サービス (AD RMS) と通信する Rights Management クライアント。

Azure Information Protection クライアントは、Azure サービス (Azure Information Protection とそのデータ保護サービス、Azure Rights Management) と併用すると最適です。 ただし、いくつか制限はありますが、オンプレミス バージョンの Rights Management である AD RMS でも使用できます。 Azure Information Protection と AD RMS でサポートされている機能の包括的な比較については、「Azure Information Protection と AD RMS の比較」をご覧ください。

AD RMS を所有していて、Azure Information Protection に移行する場合は、「AD RMS から Azure Information Protection に移行する」をご覧ください。

Azure Information Protection クライアントのデプロイが必要な場合

Microsoft 365 で秘密度ラベルを使用しておらず、代わりに Azure からダウンロードした Azure Information Protection ラベルを使用していて、次のいずれかが当てはまる場合は、Azure Information Protection クライアントをデプロイします。

• Office アプリケーション (Word、Excel、PowerPoint、Outlook) 内からラベルを選んで、ドキュメントとメール メッセージを分類 (および必要に応じて保護) したい。

• Office でサポートされているよりも多くのファイルの種類、複数選択、およびフォルダーをサポートするエクスプローラーを使って、ファイルを分類 (および必要に応じて保護) したい。

• PowerShell コマンドを使って、ドキュメントを分類 (および必要に応じて保護) するスクリプトを実行したい。

• オンプレミスで保存されているファイルを検出し、分類する (さらに、任意で保護する) サービスを実行することがあります。

• ファイルを表示する組み込みのアプリケーションがインストールされていないか、ドキュメントを開くことができない場合に、保護されているドキュメントを表示したい。

• エクスプローラーまたは PowerShell コマンドを使って、単にファイルを保護したい。

• ユーザーと管理者が保護されたドキュメントの追跡および取り消しを行えるようにしたい。

• データ回復のために一括してファイルやコンテナーから暗号化を解除 (保護解除) したい。

• Office 2010 を実行していて、Azure Rights Management サービスを使ってドキュメントとメール メッセージを保護したい。

  Office 2010 の延長サポートは、2020 年 10 月 13 日に終了したことに注意してください。 詳細については、「AIP と従来の Windows および Office バージョン」を参照してください。

下の画像では、Office アプリケーションの Azure Information Protection クライアント アドイン、組織の分類ラベル、リボンの新しい [保護] ボタンを確認できます。

Azure Information Protection クライアントのインストールとサポート

実行可能ファイルまたは Windows インストーラー ファイルを使用して、Azure Information Protection クライアントをインストールできます。 各選択肢の詳細については、「Install the Azure Information Protection client for users」 (ユーザー向けに Azure Information Protection クライアントをインストールする) を参照してください。

クライアントのインストールに関するサポート情報については、次のセクションを利用してください。

インストールのチェックとトラブルシューティング

クライアントがインストールされたら、[ヘルプとフィードバック] オプションで [Microsoft Azure Information Protection] ダイアログ ボックスを開きます。

• Office アプリケーションから、[ホーム] タブの [保護] グループで、[保護]、[ヘルプとフィードバック] の順に選択します。

• エクスプローラーから単一ファイル、複数ファイル、またはフォルダーを右クリックで選択し、[分類して保護する]、[ヘルプとフィードバック] の順に選択します。

[ヘルプとフィードバック] セクション

既定では、詳細を表示するリンクから Azure Information Protection の Web サイトに移動しますが、Azure Information Protection ポリシー内でポリシー設定の 1 つとしてカスタム URL の構成を行えます。

[問題の報告] リンクは、クライアントの詳細設定を指定した場合にのみ表示されます。 この設定を構成するときに、ヘルプ デスクの電子メール アドレスなどの HTTP リンクを指定します。

ログのエクスポートは、Azure Information Protection クライアントのログ ファイルの収集と添付を自動的に行うもので、Microsoft サポートから要求された場合にこれらのログ ファイルを送信します。 エンドユーザーがこのオプションを使用して、ヘルプ デスクにこれらのログ ファイルを送信することもできます。

[設定のリセット] を選択すると、ユーザーがサインアウトした状態になり、現在ダウンロードされている Azure Information Protection ポリシーが削除され、Azure Rights Management サービスのユーザー設定がリセットされます。

注意

クライアントに関して技術的な問題がある場合は、「サポート オプションとコミュニティ リソース」を参照してください。

[設定のリセット] オプションの詳細

• このオプションを使用するためにローカル管理者の権限は必要ありません。また、この操作はイベント ビューアーのログに記録されません。

• ファイルがロックされている場合を除き、この操作は、次の場所のすべてのファイルを削除します。 これらのファイルには、クライアント証明書、Rights Management テンプレート、Azure Information Protection ポリシーおよびキャッシュされたユーザーの資格情報が含まれます。 クライアント ログ ファイルは削除されません。

  • %LocalAppData%\Microsoft\DRM

  • %LocalAppData%\Microsoft\MSIPC

  • %LocalAppData%\Microsoft\MSIP\Policy.msip

  • %LocalAppData%\Microsoft\MSIP\TokenCache

• 次のレジストリ キーと設定が削除されます。 これらいずれかのレジストリ キーの設定にカスタムの値がある場合、クライアントをリセットした後に、設定を再構成する必要があります。

  通常、エンタープライズ ネットワークでは、グループ ポリシーをコンピューター上で更新するときに、これらの設定が自動的に再適用される場合、設定はグループ ポリシーを使用して構成されます。 ただし、スクリプトで一度構成されているか、手動で構成されている設定がある場合があります。 これらの場合、設定を再構成するには、追加の手順を行う必要があります。 たとえば、AD RMS から移行しても、内部ネットワーク上にまだサービス接続ポイントがあるため、Azure Information Protection へのリダイレクトの設定を構成するには、コンピューターでスクリプトが一度実行される場合があります。 クライアントをリセットした後、コンピューターでこのスクリプトをもう一度実行する必要があります。

  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\Common\Identity

  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\14.0\Common\DRM

  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\Common\DRM

  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Common\DRM

  • HKEY_CURRENT_USER\SOFTWARE\Classes\Local Settings\Software\Microsoft\MSIPC

• 現在サインインしているユーザーは、サインアウトします。

クライアント ステータス セクション

接続の値を使って、表示されているユーザー名が Azure Information Protection 認証に使用されるアカウントを識別するか確認します。 このユーザー名は、Microsoft 365 または Azure Active Directory に使用しているアカウントに一致する必要があります。 また、アカウントも、Azure Information Protection 用に構成されたテナントに属している必要があります。

表示されているユーザーとは別のユーザーでサインインする必要がある場合は、別のユーザーでのサインインに関するページのカスタマイズをご覧ください。

[前回の接続] には、クライアントが組織の Azure Information Protection サービスに前回接続した時刻が表示されます。 この情報と [<日時> に Information Protection ポリシーがインストールされました] を使用して、Azure Information Protection ポリシーが最後にインストールまたは更新された日時を確認できます。 クライアントはサービスへの接続時に、現在のポリシーからの変更を見つけると最新のポリシーを自動的にダウンロードし、24 時間ごとに確認を行います。 表示された時刻以降にポリシーを変更している場合は、Office アプリケーションを閉じて再度開きます。

このクライアントには Office Professional Plus 用のライセンスがありませんというメッセージが表示された場合、Azure Information Protection クライアントはインストールされている Office のエディションが Rights Management による保護の適用をサポートしていないことを検出しています。 この検出が行われると、保護を適用するラベルは Azure Information Protection バーには表示されません。

[バージョン] 情報を使用して、どちらのバージョンのクライアントがインストールされているか確認します。 これが最新のリリース バージョンであるかどうか、対応する修正プログラム、および新機能を確認するには、[新機能] リンクをクリックして、クライアントの「リリース管理とサポート」を参照してください。

多言語のサポート

Azure Information Protection クライアントでは、Microsoft 365 でサポートされる言語と同じ言語がサポートされます。 これらの言語の一覧については、Office の「ご利用いただける国と地域」ページを参照してください。

これらの言語については、Azure Information Protection クライアントのメニュー オプション、ダイアログ ボックス、およびメッセージがユーザーの言語で表示されます。 言語を検出するインストーラーが 1 つあるため、他言語の Azure Information Protection クライアントをインストールするための追加の構成は必要ありません。

ただし、Azure Information Protection ポリシーでラベルを構成するときは、指定するラベルの名前と説明は自動的には翻訳されません。 2017 年 8 月 30 日以降、最新の既定のポリシーには一部の言語のサポートが含まれるようになりました。 ユーザーに希望する言語でラベルが表示されるようにするには、独自の翻訳を指定し、その翻訳を使用するように Azure Information Protection ポリシーを構成する必要があります。 詳細については、「Azure Information Protection で他の言語用ラベルを構成する方法」を参照してください。 視覚的なマーキングは翻訳されず、複数の言語をサポートしていません。

インストール後のタスク

Azure Information Protection クライアントをインストールしたら、各自のドキュメントや電子メールにラベルを付ける方法の手順と、特定のシナリオ用にどのラベルを選択するかについてのガイダンスを、必ずユーザーに提供してください。 たとえば、次のように入力します。

• オンライン ユーザーの手順: Azure Information Protection ユーザー ガイド

• カスタマイズ可能なユーザー ガイドをダウンロードする: Azure Information Protection エンド ユーザー導入ガイド

Azure Information Protection クライアントのアップグレードと保守

Azure Information Protection チームは、Azure Information Protection クライアントの新機能や機能修正を定期的に更新しています。 アナウンスは、チームの Yammer サイトに投稿されます。

Windows Update を使用する場合、Azure Information Protection クライアントによって、クライアントの一般公開バージョンが自動的にアップグレードされます。クライアントがインストールされた方法は関係ありません。 新しいクライアントのリリースは、リリースの数週間後にカタログに公開されます。

または、新しいリリースのインストールを使用してクライアントを手動でアップグレードすることもできます。 プレビュー バージョンをアップグレードするには、この方法を使用する必要があります。

手動でアップグレードし、かつインストール方法を変更する場合は、最初に以前のバージョンをアンインストールします。 たとえば、実行可能 (.exe) バージョンのクライアントから Windows インストーラ― (.msi) バージョンのクライアントに変更する場合です。 または、クライアントの以前のバージョンをインストールする必要がある場合です。 たとえば、テスト用に現在のプレビュー バージョンがインストールされていて、現在の一般公開バージョンに戻す必要がある場合です。

Azure Information Protection クライアントのサポート ポリシー、現在サポートされているバージョン、サポートされている各リリースに含まれる内容については、「リリース管理とサポート」を参照してください。

Azure Information Protection スキャナーのアップグレード

スキャナーを 1.48.204.0 より前の一般提供バージョンから現在のバージョンのスキャナーにアップグレードするには、次の手順のようにします。

スキャナーを現在のバージョンにアップグレードするには

重要

アップグレード パスを円滑にするために、スキャナーをアップグレードする最初の手順として、スキャナーを実行するコンピューターに Azure Information Protection クライアントをインストールしないでください。 代わりに、次のアップグレード手順を使用します。

バージョン 1.48.204.0 以降では、以前のバージョンからのアップグレード プロセスにより、スキャナーが自動的に変更され、Azure portal から構成設定が取得されます。 さらに、スキーマがスキャナーの構成データベース用に更新され、このデータベースの名前も AzInfoProtection から次のように変更されます。

• 独自のプロファイル名を指定しない場合、構成データベースの名前が AIPScanner_<コンピューター名> に変更されます。

• 独自のプロファイル名を指定すると、構成データベースの名前が AIPScanner_<プロファイル名> に変更されます。

別の順序でスキャナーをアップグレードすることもできますが、次の手順をお勧めします。

1. Azure portal を使用して、スキャナーの設定とデータ リポジトリ、およびそれに必要なすべての設定を含む新しいスキャナー プロファイルを作成します。 このステップについては、スキャナーのデプロイ手順の「Azure portal でスキャナーを構成する」をご覧ください。

   スキャナーを実行するコンピューターがインターネットから切断されている場合でも、この手順を実行する必要があります。 次に、Azure portal 上で [エクスポート] オプションを使用して、スキャナー プロファイルをファイルにエクスポートします。

2. スキャナーのコンピューター上で、スキャナー サービス Azure Information Protection Scanner を停止します。

3. 現在の一般提供 (GA) バージョンをインストールして、Azure Information Protection クライアントをアップグレードします。

4. PowerShell セッションで、手順 1 で指定したのと同じプロファイル名を指定して Update-AIPScanner コマンドを実行します。 例: Update-AIPScanner –Profile Europe

5. スキャナーが切断されたコンピューター上で実行されている場合のみ: ここで Import-AIPScannerConfiguration を実行し、エクスポートされた設定を含んでいるファイルを指定します。

6. Information Protection Scanner サービス Azure Information Protection Scanner を再起動します。

これで、「Azure Information Protection スキャナーをデプロイして、ファイルを自動的に分類して保護する」の手順の残りを使用でき、スキャナーをインストールするステップは省略します。 スキャナーは既にインストールされているので、もう一度インストールする理由はありません。

推奨される手順と異なる順序でのアップグレード

Update-AIPScanner コマンドを実行する前に Azure portal 上でスキャナーを構成しない場合、アップグレード プロセス用に指定する、スキャナーの構成設定を識別するプロファイル名がありません。

このシナリオでは、Azure portal 上でスキャナーを構成するときに、Update-AIPScanner コマンドの実行時に使用したのとまったく同じプロファイル名を指定する必要があります。 名前が一致しない場合、スキャナーは設定に対して構成されません。

ヒント

この正しく構成されていないスキャナーを識別するには、Azure portal 上で [Azure Information Protection - ノード] ペインを使用します。

インターネットに接続されているスキャナーの場合、コンピューター名が Azure Information Protection クライアントの GA バージョン番号と共に表示されますが、プロファイル名は表示されません。 バージョン番号が 1.41.51.0 のスキャナーの場合のみ、このペインにプロファイル名が表示されません。

Update-AIPScanner コマンドの実行時にプロファイル名を指定しなかった場合、コンピューター名を使用してスキャナーのプロファイル名が自動的に作成されます。

別の SQL Server インスタンスへのスキャナー構成データベースの移動

現在の GA バージョンでは、アップグレード コマンドを実行した後にスキャナーの構成データベースを新しい SQL Server インスタンスに移動しようとすると既知の問題が発生します。

GA バージョンのスキャナー構成データベースを移動する必要があることがわかっている場合は、次の操作を行います。

1. Uninstall-AIPScanner を使用して、スキャナーをアンインストールします。

2. 現在の GA バージョンの Azure Information Protection クライアントにまだアップグレードしていない場合は、この時点でアップグレードします。

3. Install-AIPScanner を使用し、新しい SQL Server インスタンスとプロファイル名を指定してスキャナーをインストールします。

4. 省略可能: スキャナーですべてのファイルが再スキャンされないようにするには、ScannerFiles テーブルをエクスポートし、新しいデータベースにインポートします。

Azure Information Protection クライアントのアンインストール

クライアントは、以下のいずれかの方法でアンインストールできます。

• コントロール パネルを使って、プログラムをアンインストールします。[Microsoft Azure Information Protection]>[アンインストール] をクリックします。

• 実行可能ファイル (例: AzInfoProtection.exe) を再実行し、[セットアップの変更] ページの [アンインストール] をクリックします。

• /uninstall を付けて実行可能ファイルを実行します。 例: AzInfoProtection.exe /uninstall

次のステップ

クライアントをインストールする方法については、「Install the Azure Information Protection client for users」 (ユーザー向けに Azure Information Protection クライアントをインストールする) を参照してください。

クライアントを既にインストールしている場合、このクライアントのサポートに必要な追加情報を以下の記事でご覧ください。

• カスタマイズ

• クライアントのファイルと使用状況ログ

• ドキュメント追跡

• サポートされるファイルの種類

• PowerShell コマンド