管理者ガイド: Azure Information Protection クライアントのカスタム構成Admin Guide: Custom configurations for the Azure Information Protection client

適用対象: Active Directory Rights Management サービス、 Azure Information Protection、windows 10、Windows 8.1、windows 8、WINDOWS 7 SP1、windows server 2019、windows server 2016、windows Server 2012 R2、windows server 2012、windows Server 2008 r2Applies to: Active Directory Rights Management Services, Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows 7 with SP1, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2

手順: Windows 用の Azure Information Protection クライアントInstructions for: Azure Information Protection client for Windows

以下の情報を使用して、詳細構成を行います。これらの構成は、Azure Information Protection クライアントを管理する際に、特定のシナリオまたはユーザーのサブセットで必要となる場合があります。Use the following information for advanced configurations that you might need for specific scenarios or a subset of users when you manage the Azure Information Protection client.

これらの設定には、レジストリの編集が必要なものや、Azure Portal で構成する必要のある詳細設定を使用するものなどがあります。設定はこの後にクライアントに公開され、ダウンロードされます。Some of these settings require editing the registry and some use advanced settings that you must configure in the Azure portal, and then publish for clients to download.

ポータルでクライアントの詳細構成設定を構成する方法How to configure advanced client configuration settings in the portal

  1. まだ行っていない場合は、新しいブラウザーウィンドウでAzure portal にサインインし、 Azure Information Protection ウィンドウに移動します。If you haven't already done so, in a new browser window, sign in to the Azure portal, and then navigate to the Azure Information Protection pane.

  2. [分類] > [ラベル] メニュー オプションから、 [ポリシー] を選択します。From the Classifications > Labels menu option: Select Policies.

  3. [Azure Information Protection-ポリシー] ウィンドウで、詳細設定を含めるポリシーの横にあるコンテキストメニュー ( ... ) を選択します。On the Azure Information Protection - Policies pane, select the context menu (...) next to the policy to contain the advanced settings. 次に [詳細設定] を選択します。Then select Advanced settings.

    スコープ付きポリシーだけでなく、グローバル ポリシーの詳細設定も構成できます。You can configure advanced settings for the Global policy, as well as for scoped policies.

  4. [詳細設定] ウィンドウで、詳細設定の名前と値を入力し、 [保存して閉じる] を選択します。On the Advanced settings pane, type the advanced setting name and value, and then select Save and close.

  5. このポリシーのユーザーが開いていたすべての Office アプリケーションを再起動するようにしてください。Make sure that users for this policy restart any Office applications that they had open.

  6. 設定が不要になり、既定の動作に戻す場合は、 [詳細設定] ウィンドウで、不要になった設定の横にあるコンテキストメニュー ( ... ) を選択し、 [削除] を選択します。If you no longer need the setting and want to revert to the default behavior: On the Advanced settings pane, select the context menu (...) next to the setting you no longer need, and then select Delete. 次に、 [保存して閉じる] をクリックします。Then click Save and close.

使用可能なクライアントの詳細設定Available advanced client settings

設定Setting シナリオと手順Scenario and instructions
DisableDNFDisableDNF Outlook の [転送不可] ボタンを表示または非表示にするHide or show the Do Not Forward button in Outlook
DisableMandatoryInOutlookDisableMandatoryInOutlook 必須ラベルから Outlook メッセージを除外するExempt Outlook messages from mandatory labeling
CompareSubLabelsInAttachmentActionCompareSubLabelsInAttachmentAction サブラベルの順序のサポートを有効にするEnable order support for sublabels
ContentExtractionTimeoutContentExtractionTimeout スキャナーのタイムアウト設定を変更するChange the timeout settings for the scanner
EnableBarHidingEnableBarHiding Azure Information Protection バーを完全に非表示にするPermanently hide the Azure Information Protection bar
EnableCustomPermissionsEnableCustomPermissions ユーザーに対してカスタムのアクセス許可オプションを利用可能または利用不可にするMake the custom permissions options available or unavailable to users
EnableCustomPermissionsForCustomProtectedFilesEnableCustomPermissionsForCustomProtectedFiles カスタム アクセス許可で保護されているファイルについて、ファイル エクスプローラーでカスタム アクセス許可を常にユーザーに表示するFor files protected with custom permissions, always display custom permissions to users in File Explorer
EnablePDFv2ProtectionEnablePDFv2Protection PDF 暗号化の ISO 標準を使用して PDF ファイルを保護しないDon't protect PDF files by using the ISO standard for PDF encryption
FileProcessingTimeoutFileProcessingTimeout スキャナーのタイムアウト設定を変更するChange the timeout settings for the scanner
LabelbyCustomPropertyLabelbyCustomProperty Secure Islands からのラベルの移行と、その他のラベル付けのソリューションMigrate labels from Secure Islands and other labeling solutions
LabelToSMIMELabelToSMIME ラベルを構成して Outlook で S/MIME 保護を適用するConfigure a label to apply S/MIME protection in Outlook
ログ レベルLogLevel ローカルのログ記録レベルを変更するChange the local logging level
LogMatchedContentLogMatchedContent ユーザーのサブセットに対して送信情報の種類の一致を無効にするDisable sending information type matches for a subset of users
OutlookBlockTrustedDomainsOutlookBlockTrustedDomains Outlook で、送信される電子メールに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装するImplement pop-up messages in Outlook that warn, justify, or block emails being sent
OutlookBlockUntrustedCollaborationLabelOutlookBlockUntrustedCollaborationLabel Outlook で、送信される電子メールに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装するImplement pop-up messages in Outlook that warn, justify, or block emails being sent
OutlookDefaultLabelOutlookDefaultLabel Outlook に別の既定ラベルを設定するSet a different default label for Outlook
Outlookジャスト IfytrusteddomainsOutlookJustifyTrustedDomains Outlook で、送信される電子メールに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装するImplement pop-up messages in Outlook that warn, justify, or block emails being sent
OutlookJustifyUntrustedCollaborationLabelOutlookJustifyUntrustedCollaborationLabel Outlook で、送信される電子メールに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装するImplement pop-up messages in Outlook that warn, justify, or block emails being sent
OutlookRecommendationEnabledOutlookRecommendationEnabled Outlook で推奨分類を有効にするEnable recommended classification in Outlook
OutlookOverrideUnlabeledCollaborationExtensionsOutlookOverrideUnlabeledCollaborationExtensions Outlook で、送信される電子メールに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装するImplement pop-up messages in Outlook that warn, justify, or block emails being sent
OutlookUnlabeledCollaborationActionOverrideMailBodyBehaviorOutlookUnlabeledCollaborationActionOverrideMailBodyBehavior Outlook で、送信される電子メールに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装するImplement pop-up messages in Outlook that warn, justify, or block emails being sent
OutlookWarnTrustedDomainsOutlookWarnTrustedDomains Outlook で、送信される電子メールに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装するImplement pop-up messages in Outlook that warn, justify, or block emails being sent
OutlookWarnUntrustedCollaborationLabelOutlookWarnUntrustedCollaborationLabel Outlook で、送信される電子メールに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装するImplement pop-up messages in Outlook that warn, justify, or block emails being sent
PostponeMandatoryBeforeSavePostponeMandatoryBeforeSave 必須のラベル付けを使用するときにドキュメントの "後で" を削除するRemove "Not now" for documents when you use mandatory labeling
ProcessUsingLowIntegrityProcessUsingLowIntegrity スキャナーの低整合性レベルを無効にするDisable the low integrity level for the scanner
PullPolicyPullPolicy 切断されたコンピューターのサポートSupport for disconnected computers
RemoveExternalContentMarkingInAppRemoveExternalContentMarkingInApp 他のラベル付けソリューションからヘッダーとフッターを削除するRemove headers and footers from other labeling solutions
ReportAnIssueLinkReportAnIssueLink ユーザーの "問題の報告" を追加するAdd "Report an Issue" for users
Runauditinformationタイプの検出RunAuditInformationTypesDiscovery ドキュメント内の検出された機密情報の Azure Information Protection analytics への送信を無効にするDisable sending discovered sensitive information in documents to Azure Information Protection analytics
RunPolicyInBackgroundRunPolicyInBackground バックグラウンドでの分類の継続的実行をオンにするTurn on classification to run continuously in the background
ScannerConcurrencyLevelScannerConcurrencyLevel スキャナーで使用されるスレッドの数を制限するLimit the number of threads used by the scanner
SyncPropertyNameSyncPropertyName 既存のカスタム プロパティを使用して Office ドキュメントにラベルを付けるLabel an Office document by using an existing custom property
SyncPropertyStateSyncPropertyState 既存のカスタム プロパティを使用して Office ドキュメントにラベルを付けるLabel an Office document by using an existing custom property

AD RMS 専用コンピューターのサインイン プロンプトが表示されないようにするPrevent sign-in prompts for AD RMS only computers

既定では、Azure Information Protection クライアントは Azure Information Protection サービスへ自動的に接続しようとします。By default, the Azure Information Protection client automatically tries to connect to the Azure Information Protection service. AD RMS とのみ通信するコンピューターの場合、この構成では不必要なサインイン プロンプトがユーザーに表示されます。For computers that only communicate with AD RMS, this configuration can result in a sign-in prompt for users that is not necessary. レジストリを編集し、このサインイン プロンプトが表示されないようにすることができます。You can prevent this sign-in prompt by editing the registry.

  • 次の値の名前を検索し、値データを 0 に設定します。Locate the following value name, and then set the value data to 0:

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownloadHKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload

この設定に関係なく、Azure Information Protection クライアントは引き続き標準 RMS サービス検索プロセスに従い、その AD RMS クラスターを検出します。Regardless of this setting, the Azure Information Protection client still follows the standard RMS service discovery process to find its AD RMS cluster.

別のユーザーでのサイン インSign in as a different user

通常、運用環境では、Azure Information Protection クライアントを使用しているときに別のユーザーとしてサインインする必要はありません。In a production environment, users wouldn't usually need to sign in as a different user when they are using the Azure Information Protection client. ただし管理者の場合は、テスト段階のときに別ユーザーとしてサインインする必要がある場合があります。However, as an administrator, you might need to sign in as a different user during a testing phase.

現在サインインしているアカウントを確認するには、 [Microsoft Azure Information Protection] ダイアログ ボックスを使用します。Office アプリケーションを開き、 [ホーム] タブの [保護] グループで、 [保護] をクリックし、 [ヘルプとフィードバック] をクリックします。You can verify which account you're currently signed in as by using the Microsoft Azure Information Protection dialog box: Open an Office application and on the Home tab, in the Protection group, click Protect, and then click Help and feedback. アカウント名が [クライアント ステータス] セクションに表示されます。Your account name is displayed in the Client status section.

表示されるサインイン アカウントのドメイン名も必ず確認してください。Be sure to also check the domain name of the signed in account that's displayed. 正しいアカウントでサインインしていてもドメインが間違っている、という状況は気付きにくいものです。It can be easy to miss that you're signed in with the right account name but wrong domain. 適切ではないアカウントが使用された場合は、Azure Information Protection ポリシーのダウンロードが失敗することや、目的のラベルや機能が表示されないことがあります。A symptom of using the wrong account includes failing to download the Azure Information Protection policy, or not seeing the labels or behavior that you expect.

別のユーザーでサイン インする方法は以下の通りです。To sign in as a different user:

  1. %localappdata%\Microsoft\MSIP に移動し、TokenCache ファイルを削除します。Navigate to %localappdata%\Microsoft\MSIP and delete the TokenCache file.

  2. 開いている Office アプリケーションがあれば再起動し、別のユーザー アカウントでサインインします。Restart any open Office applications and sign in with your different user account. Azure Information Protection サービスにサインインするように求めるプロンプトが Office アプリケーションで表示されない場合、 [Microsoft Azure Information Protection] ダイアログ ボックスに戻り、更新された [クライアント ステータス] セクションの [サインイン] をクリックします。If you do not see a prompt in your Office application to sign in to the Azure Information Protection service, return to the Microsoft Azure Information Protection dialog box and click Sign in from the updated Client status section.

さらに、本サービスには以下の規定が適用されます。Additionally:

  • これらの手順を完了した後も Azure Information Protection クライアントがまだ古いアカウントを使用してサインインしている場合は、Internet Explorer からすべての cookie を削除してから、手順 1 と 2 をもう一度実行します。If the Azure Information Protection client is still signed in with the old account after completing these steps, delete all cookies from Internet Explorer, and then repeat steps 1 and 2.

  • シングル サインオンを使用する場合は、トークン ファイルを削除した後に Windows からサインアウトし、別のユーザー アカウントでサインインする必要があります。If you are using single sign-on, you must sign out from Windows and sign in with your different user account after deleting the token file. Azure Information Protection クライアントは、現在サインインしているユーザーアカウントを使用して、自動的に認証を行います。The Azure Information Protection client then automatically authenticates by using your currently signed in user account.

  • このソリューションでは、同じテナントから別ユーザーとしてサインインする操作がサポートされています。This solution is supported for signing in as another user from the same tenant. 別のテナントから別のユーザーとしてサインインする操作はサポートされていません。It is not supported for signing in as another user from a different tenant. 複数のテナントがある Azure Information Protection をテストするには、異なるコンピューターを使用します。To test Azure Information Protection with multiple tenants, use different computers.

  • [ヘルプとフィードバック][設定のリセット] オプションからサインアウトし、現在ダウンロードされている Azure Information Protection ポリシーを削除できます。You can use the Reset settings option from Help and Feedback to sign out and delete the currently downloaded Azure Information Protection policy.

組織が種類の異なるライセンスを保有している場合の保護のみモードの適用Enforce protection-only mode when your organization has a mix of licenses

組織が Azure Information Protection のライセンスを保有せず、データ保護のために Azure Rights Management サービスを含む Office 365 のライセンスを保有している場合、Azure Information Protection クライアント (Windows 用) は自動的に保護のみモードで実行されます。If your organization does not have any licenses for Azure Information Protection, but does have licenses for Office 365 that include the Azure Rights Management service for protecting data, the Azure Information Protection client for Windows automatically runs in protection-only mode.

ただし、組織が Azure Information Protection のサブスクリプションを保有している場合は、既定で、すべての Windows コンピューターで Azure Information Protection ポリシーをダウンロードできます。However, if your organization has a subscription for Azure Information Protection, by default all Windows computers can download the Azure Information Protection policy. Azure Information Protection クライアントはライセンスのチェックと適用を行いません。The Azure Information Protection client does not do license checking and enforcement.

Azure Information Protection のライセンスを保有せず、Azure Rights Management サービスを含む Office 365 のライセンスを保有しているユーザーがいる場合には、対象ユーザーのコンピューター上のレジストリを編集して、ライセンス付与されていない Azure Information Protection の分類とラベル付け機能が実行されないようにします。If you have some users who do not have a license for Azure Information Protection but do have a license for Office 365 that includes the Azure Rights Management service, edit the registry on these users' computers to prevent users from running the unlicensed classification and labeling features from Azure Information Protection.

次の値の名前を検索し、値を 0 に設定します。Locate the following value name and set the value data to 0:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownloadHKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload

また、これらのコンピューターの %LocalAppData%\Microsoft\MSIP フォルダーに、Policy.msip という名前のファイルがないことを確認します。In addition, check that these computers do not have a file named Policy.msip in the %LocalAppData%\Microsoft\MSIP folder. このファイルが存在する場合は、削除します。If this file exists, delete it. このファイルには Azure Information Protection ポリシーが含まれており、レジストリを編集する前、または Azure Information Protection クライアントをデモ オプションを使用してインストールした場合に、ダウンロードされた可能性があります。This file contains the Azure Information Protection policy and might have downloaded before you edited the registry, or if the Azure Information Protection client was installed with the demo option.

ユーザー向けの "問題の報告" を追加するAdd "Report an Issue" for users

この構成では、Azure Portal で構成する必要のあるクライアントの詳細設定を使用します。This configuration uses an advanced client setting that you must configure in the Azure portal.

次のクライアントの詳細設定を指定すると、ユーザーに、 [ヘルプとフィードバック] クライアント ダイアログ ボックスから選択できる [問題の報告] オプションが表示されます。When you specify the following advanced client setting, users see a Report an Issue option that they can select from the Help and Feedback client dialog box. リンクの HTTP 文字列を指定します。Specify an HTTP string for the link. たとえば、ユーザーが問題を報告するための、カスタマイズされた独自の Web ページや、ヘルプ デスクに送信される電子メール アドレスです。For example, a customized web page that you have for users to report issues, or an email address that goes to your help desk.

この詳細設定を構成するには、次の文字列を入力します。To configure this advanced setting, enter the following strings:

  • キー: ReportAnIssueLinkKey: ReportAnIssueLink

  • 値: <HTTP string>Value: <HTTP string>

Web サイトの値の例: https://support.contoso.comExample value for a website: https://support.contoso.com

メール アドレスの値の例: mailto:helpdesk@contoso.comExample value for an email address: mailto:helpdesk@contoso.com

エクスプローラーの [Hide the Classify and Protect](分類の非表示と保護) メニュー オプションHide the Classify and Protect menu option in Windows File Explorer

次の DWORD 値の名前を (任意の値と共に) 作成します。Create the following DWORD value name (with any value data):

HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisableHKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisable

切断されたコンピューターのサポートSupport for disconnected computers

既定では、Azure Information Protection クライアントは Azure Information Protection サービスへ自動的に接続し、Azure Information Protection の最新のポリシーのダウンロードを試みます。By default, the Azure Information Protection client automatically tries to connect to the Azure Information Protection service to download the latest Azure Information Protection policy. コンピューターで一定期間インターネットに接続できないことがわかっている場合は、レジストリを編集して、クライアントがサービスに接続しないようにすることができます。If you have computers that you know will not be able to connect to the internet for a period of time, you can prevent the client from attempting to connect to the service by editing the registry.

インターネットに接続していない場合、クライアントは組織のクラウドベースのキーを使用して保護を適用 (または保護の削除) できないことに注意してください。Note that without an internet connection, the client cannot apply protection (or remove protection) by using your organization's cloud-based key. 代わりに、クライアントは、分類にのみ適用されるラベルの使用か、HYOK を使用する保護に制限されます。Instead, the client is limited to using labels that apply classification only, or protection that uses HYOK.

Azure Information Protection サービスへのサインイン プロンプトが表示されないようにするには、Azure portal で構成する必要があるクライアントの詳細設定を使い、コンピューターにポリシーをダウンロードします。You can prevent a sign-in prompt to the Azure Information Protection service by using an advanced client setting that you must configure in the Azure portal and then download the policy for computers. または、レジストリを編集してこのサインイン プロンプトが表示されないようにすることができます。Or, you can prevent this sign-in prompt by editing the registry.

  • クライアントの詳細設定を構成するには:To configure the advanced client setting:

    1. 次の文字列を入力します。Enter the following strings:

      • キー: PullPolicyKey: PullPolicy

      • 値: FalseValue: False

    2. この設定を含むポリシーをダウンロードし、後続の手順に従ってそれをコンピューターにインストールします。Download the policy with this setting and install it on computers by using the instructions that follow.

  • または、レジストリを編集するには:Alternatively, to edit the registry:

    • 次の値の名前を検索し、値データを 0 に設定します。Locate the following value name, and then set the value data to 0:

      HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownloadHKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload

クライアントは、 %LocalAppData%\Microsoft\MSIP フォルダー内に、Policy.msip という名前の有効なポリシー ファイルを置く必要があります。The client must have a valid policy file named Policy.msip, in the %LocalAppData%\Microsoft\MSIP folder.

Azure portal からグローバル ポリシーまたはスコープ ポリシーをエクスポートし、エクスポートしたファイルをクライアントのコンピューターにコピーすることができます。You can export the global policy or a scoped policy from the Azure portal, and copy the exported file to the client computer. この方法を使用して、古いポリシー ファイルを最新のポリシーに置き換えることもできます。You can also use this method to replace an-out-of-date policy file with the latest policy. ただし、ポリシーのエクスポートでは、ユーザーが複数のスコープ ポリシーに属しているシナリオはサポートされません。However, exporting the policy does not support the scenario where a user belongs to more than one scoped policy. また、ユーザーが [ヘルプとフィードバック][設定のリセット] オプションを選択する場合、このアクションによってポリシー ファイルが削除され、ポリシー ファイルを手動で交換するか、クライアントがポリシーをダウンロードするためにサービスに接続するまで、クライアントは動作できなくなります。Also be aware that if users select the Reset Settings option from Help and feedback, this action deletes the policy file and renders the client inoperable until you manually replace the policy file or the client connects to the service to download the policy.

Azure Portal からポリシーをエクスポートすると、ポリシーの複数のバージョンを含む zip 形式のファイルがダウンロードされます。When you export the policy from the Azure portal, a zipped file is downloaded that contains multiple versions of the policy. ポリシーの各バージョンは、Azure Information Protection クライアントのさまざまなバージョンに対応しています。These policy versions correspond to different versions of the Azure Information Protection client:

  1. ファイルを解凍し、次の表を利用して必要なポリシー ファイルを特定します。Unzip the file and use the following table to identify which policy file you need.

    [ファイル名]File name 対応するクライアント バージョンCorresponding client version
    Policy1.1.msipPolicy1.1.msip バージョン 1.2version 1.2
    Policy1.2.msipPolicy1.2.msip バージョン 1.3 - 1.7version 1.3 - 1.7
    Policy1.3.msipPolicy1.3.msip バージョン 1.8 - 1.29version 1.8 - 1.29
    Policy1.4.msipPolicy1.4.msip バージョン 1.32 以降version 1.32 and later
  2. 特定したファイルの名前を Policy.msip に変更し、Azure Information Protection クライアントがインストールされているコンピューターの %LocalAppData%\Microsoft\MSIP フォルダーにコピーします。Rename the identified file to Policy.msip, and then copy it to the %LocalAppData%\Microsoft\MSIP folder on computers that have the Azure Information Protection client installed.

接続が切断されたコンピューターが Azure Information Protection スキャナーの現在の GA バージョンを実行している場合は、追加の構成手順を実行する必要があります。If your disconnected computer is running the current GA version of the Azure Information Protection scanner, there are additional configuration steps you must take. 詳細については、「制限: スキャナーサーバーがスキャナーの展開手順からインターネットに接続できない」を参照してください。For more information, see Restriction: The scanner server cannot have internet connectivity from the scanner deployment instructions.

Outlook の [転送不可] ボタンを表示または非表示にするHide or show the Do Not Forward button in Outlook

このオプションを構成するには、ポリシー設定[Add the Do Not Forward button to the Outlook ribbon](Outlook リボンに [転送不可] ボタンを追加する) を使用することをお勧めします。The recommended method to configure this option is by using the policy setting Add the Do Not Forward button to the Outlook ribbon. ただし、Azure Portal で構成するクライアントの詳細設定を使用して、このオプションを構成することもできます。However, you can also configure this option by using an advanced client setting that you configure in the Azure portal.

この設定を構成すると、Outlook のリボンの [転送不可] ボタンが表示または非表示になります。When you configure this setting, it hides or shows the Do Not Forward button on the ribbon in Outlook. この設定は、Office メニューからの [転送不可] オプションには影響しません。This setting has no effect on the Do Not Forward option from Office menus.

この詳細設定を構成するには、次の文字列を入力します。To configure this advanced setting, enter the following strings:

  • キー: DisableDNFKey: DisableDNF

  • 値: ボタンを非表示にするには True、ボタンを表示するには FalseValue: True to hide the button, or False to show the button

ユーザーに対してカスタムのアクセス許可オプションを利用可能または利用不可にするMake the custom permissions options available or unavailable to users

このオプションを構成するには、ポリシー設定[Make the custom permissions option available to users](ユーザーがカスタム アクセス許可オプションを使用できるようにする) を使用することをお勧めします。The recommended method to configure this option is by using the policy setting Make the custom permissions option available for users. ただし、Azure Portal で構成するクライアントの詳細設定を使用して、このオプションを構成することもできます。However, you can also configure this option by using an advanced client setting that you configure in the Azure portal.

この設定を構成して、ユーザーにポリシーを公開した場合、ユーザーが独自の保護設定を選択できるように、カスタムのアクセス許可オプションが表示されるか、または、確認メッセージが表示されない限り、ユーザーが独自の保護設定を選択できないように非表示になります。When you configure this setting and publish the policy for users, the custom permissions options become visible for users to select their own protection settings, or they are hidden so that users can't select their own protection settings unless prompted.

この詳細設定を構成するには、次の文字列を入力します。To configure this advanced setting, enter the following strings:

  • キー: EnableCustomPermissionsKey: EnableCustomPermissions

  • 値: カスタム アクセス許可オプションを表示する場合は True、このオプションを非表示にする場合は FalseValue: True to make the custom permissions option visible, or False to hide this option

カスタム アクセス許可で保護されているファイルについて、ファイル エクスプローラーでカスタム アクセス許可を常にユーザーに表示するFor files protected with custom permissions, always display custom permissions to users in File Explorer

この構成では、Azure Portal で構成する必要のあるクライアントの詳細設定を使用します。This configuration uses an advanced client setting that you must configure in the Azure portal. この設定はプレビュー段階であり、変更される可能性があります。This setting is in preview and might change.

ポリシー設定[Make the custom permissions option available to users](ユーザーがカスタム アクセス許可オプションを使用できるようにする) 、または前のセクションの同等のクライアント詳細設定を構成した場合、ユーザーは、保護されたドキュメントで既に設定されているカスタム アクセス許可を表示または変更できません。When you configure the policy setting Make the custom permissions option available for users or the equivalent advanced client setting in the previous section, users are not able to see or change custom permissions that are already set in a protected document.

このクライアント詳細設定を作成して構成した場合、ユーザーはファイル エクスプローラーを使用してファイルを右クリックすることで、保護されたドキュメントのカスタム アクセス許可を表示および変更できます。When you create and configure this advanced client setting, users can see and change custom permissions for a protected document when they use File Explorer, and right-click the file. Office リボンの [保護] ボタンからの [カスタム アクセス許可] オプションは、非表示のままです。The Custom Permissions option from the Protect button on the Office ribbon remains hidden.

この詳細設定を構成するには、次の文字列を入力します。To configure this advanced setting, enter the following strings:

  • キー: EnableCustomPermissionsForCustomProtectedFilesKey: EnableCustomPermissionsForCustomProtectedFiles

  • 値: TrueValue: True

Azure Information Protection バーを完全に非表示にするPermanently hide the Azure Information Protection bar

この構成では、Azure Portal で構成する必要のあるクライアントの詳細設定を使用します。This configuration uses an advanced client setting that you must configure in the Azure portal. これは、ポリシー設定[Display the Information Protection bar in Office apps](Office アプリで Information Protection バーを表示する)[オン] に設定している場合にのみ使用します。Use it only when the policy setting Display the Information Protection bar in Office apps is set to On.

既定では、ユーザーが [ホーム] タブ、 [保護] グループ、 [保護] ボタンから [バーの表示] オプションをクリアすると、その Office アプリに Information Protection バーが表示されなくなります。By default, if a user clears the Show Bar option from the Home tab, Protection group, Protect button, the Information Protection bar no longer displays in that Office app. ただし、バーは、次に Office アプリを開いたときに自動的に再表示されます。However, the bar automatically displays again the next time an Office app is opened.

ユーザーがバーを非表示にすることを選択した後に、自動的に再表示されることを防ぐには、このクライアント設定を使用します。To prevent the bar from displaying again automatically after a user has chosen to hide it, use this client setting. [このバーを閉じる] アイコンを使用してバーを閉じた場合、この設定は何も影響を与えません。This setting has no effect if the user closes the bar by using the Close this bar icon.

Azure Information Protection バーが非表示のままであっても、推奨の分類を構成している場合やドキュメントや電子メールにラベルを指定する必要がある場合、ユーザーは一時的に表示されるバーからラベルを選択できます。Even though the Azure Information Protection bar remains hidden, users can still select a label from a temporarily displayed bar if you have configured recommended classification, or when a document or email must have a label.

この詳細設定を構成するには、次の文字列を入力します。To configure this advanced setting, enter the following strings:

  • キー: EnableBarHidingKey: EnableBarHiding

  • 値: TrueValue: True

添付ファイルでサブラベルの順序のサポートを有効にするEnable order support for sublabels on attachments

この構成では、Azure Portal で構成する必要のあるクライアントの詳細設定を使用します。This configuration uses an advanced client setting that you must configure in the Azure portal.

サブラベルがあり、次のポリシー設定を構成している場合は、この設定を使います。Use this setting when you have sublabels and you have configured the following policy setting:

  • 添付ファイルのある電子メール メッセージの場合、その添付ファイルの最上位の分類と一致するラベルを適用しますFor email messages with attachments, apply a label that matches the highest classification of those attachments

次の文字列を構成します。Configure the following strings:

  • キー: CompareSubLabelsInAttachmentActionKey: CompareSubLabelsInAttachmentAction

  • 値: TrueValue: True

これを設定しない場合、最上位に分類されている親ラベルの最初のラベルが電子メールに適用されます。Without this setting, the first label that's found from the parent label with the highest classification is applied to the email.

この設定を使用して、最上位に分類されている親ラベルで順序が最後のサブラベルが電子メールに適用されます。With this setting, the sublabel that's ordered last from the parent label with the highest classification is applied to the email. このシナリオで適用されるラベルの順序を変更する必要がある場合は、「Azure Information Protection のラベルを削除または順序変更する方法」を参照してください。If you need to reorder your labels to apply the label that you want for this scenario, see How to delete or reorder a label for Azure Information Protection.

必須ラベルから Outlook メッセージを除外するExempt Outlook messages from mandatory labeling

この構成では、Azure Portal で構成する必要のあるクライアントの詳細設定を使用します。This configuration uses an advanced client setting that you must configure in the Azure portal.

既定では、ポリシー設定を有効にすると、すべてのドキュメントと電子メールにラベルが設定され、保存されたすべてのドキュメントと送信された電子メールにラベルが適用されます。By default, when you enable the policy setting All documents and emails must have a label, all saved documents and sent emails must have a label applied. 次の詳細設定を構成すると、ポリシー設定は Office ドキュメントにのみ適用され、Outlook メッセージには適用されません。When you configure the following advanced setting, the policy setting applies only to Office documents and not to Outlook messages.

この詳細設定を構成するには、次の文字列を入力します。To configure this advanced setting, enter the following strings:

  • キー: DisableMandatoryInOutlookKey: DisableMandatoryInOutlook

  • 値: TrueValue: True

この構成では、Azure Portal で構成する必要のあるクライアントの詳細設定を使用します。This configuration uses an advanced client setting that you must configure in the Azure portal. この設定はプレビュー段階であり、変更される可能性があります。This setting is in preview and might change.

推奨分類のラベルを設定すると、Word、Excel、PowerPoint では、推奨ラベルを受け入れるか、却下するように求められます。When you configure a label for recommended classification, users are prompted to accept or dismiss the recommended label in Word, Excel, and PowerPoint. また、このラベル推奨が Outlook でも表示されます。This setting extends this label recommendation to also display in Outlook.

この詳細設定を構成するには、次の文字列を入力します。To configure this advanced setting, enter the following strings:

  • キー: OutlookRecommendationEnabledKey: OutlookRecommendationEnabled

  • 値: TrueValue: True

Outlook で、送信される電子メールに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装するImplement pop-up messages in Outlook that warn, justify, or block emails being sent

この構成では、Azure Portal で構成する必要のある、複数のクライアントの詳細設定を使用します。This configuration uses multiple advanced client settings that you must configure in the Azure portal.

次のクライアント詳細設定を作成して構成すると、Outlook でユーザーに対してポップアップ メッセージが表示されます。これにより、次のどちらかのシナリオで、電子メールを送信する前に警告したり、電子メールの送信理由の入力を求めたり、電子メールの送信を妨げることができます。When you create and configure the following advanced client settings, users see pop-up messages in Outlook that can warn them before sending an email, or ask them to provide justification why they are sending an email, or prevent them from sending an email for either of the following scenarios:

  • 電子メール、または電子メールの添付ファイルに特定のラベルが含まれる:Their email or attachment for the email has a specific label:

    • 添付ファイルはあらゆる種類のファイルである可能性があるThe attachment can be any file type
  • 電子メール、または電子メールの添付ファイルにラベルがない:Their email or attachment for the email doesn't have a label:

    • 添付ファイルは Office ドキュメントまたは PDF ドキュメントである可能性があるThe attachment can be an Office document or PDF document

これらの条件が満たされると、ユーザーには、次のいずれかの操作を含むポップアップメッセージが表示されます。When these conditions are met, the user sees a pop-up message with one of the following actions:

  • 警告: ユーザーは、確認して送信するか、キャンセルすることができます。Warn: The user can confirm and send, or cancel.

  • [ジャスティファイ] : ユーザーに対して理由 (定義済みオプションまたは自由形式) の入力を求められます。Justify: The user is prompted for justification (predefined options or free-form). その後、ユーザーは電子メールを送信またはキャンセルできます。The user can then send or cancel the email. 理由のテキストは、他のシステムで読み取ることができるように電子メールの X ヘッダーに書き込まれます。The justification text is written to the email x-header, so that it can be read by other systems. たとえば、データ損失防止 (DLP) サービスです。For example, data loss prevention (DLP) services.

  • ブロック: 条件が残っている間、ユーザーは電子メールを送信できません。Block: The user is prevented from sending the email while the condition remains. メッセージには、ユーザーが問題に対処できるように、電子メールをブロックする理由が含まれます。The message includes the reason for blocking the email, so the user can address the problem. たとえば、特定の受信者を削除する、電子メールにラベルを付けるなどです。For example, remove specific recipients, or label the email.

ポップアップメッセージが特定のラベルに対して実行されている場合は、ドメイン名を使用して受信者の例外を構成できます。When the popup-messages are for a specific label, you can configure exceptions for recipients by domain name.

ポップアップメッセージの結果の操作は、ローカルの Windows イベントログの [アプリケーションとサービスログ] > Azure Information Protectionに記録されます。The resulting actions from the pop-up messages are logged to the local Windows event log Applications and Services Logs > Azure Information Protection:

  • 警告メッセージ: 情報 ID 301Warn messages: Information ID 301

  • メッセージの配置: 情報 ID 302Justify messages: Information ID 302

  • ブロックメッセージ: 情報 ID 303Block messages: Information ID 303

理由メッセージからのイベント エントリの例:Example event entry from a justify message:

Client Version: 1.53.10.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Price list.msg
Item Name: Price list
Process Name: OUTLOOK
Action: Justify
User Justification: My manager approved sharing of this content
Action Source: 
User Response: Confirmed

以下のセクションでは、各アドバンストクライアント設定の構成手順について説明します。また、 Outlook を使用して情報の過剰な共有を制御するように Azure Information Protection を構成する方法についても説明します。The following sections contain configuration instructions for each advanced client setting, and you can see them in action for yourself with Tutorial: Configure Azure Information Protection to control oversharing of information using Outlook.

特定のラベルに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装するには:To implement the warn, justify, or block pop-up messages for specific labels:

特定のラベルに対するポップアップ メッセージを実装するには、それらのラベルのラベル ID が必要です。To implement the pop-up messages for specific labels, you must know the label ID for those labels. ラベル ID の値は、Azure portal で Azure Information Protection ポリシーを表示または構成するときに、ラベルウィンドウに表示されます。The label ID value is displayed on the Label pane, when you view or configure the Azure Information Protection policy in the Azure portal. ファイルにラベルが適用されている場合、Get-AIPFileStatus PowerShell コマンドレットを実行してラベル ID (MainLabelId または SubLabelId) を特定することもできます。For files that have labels applied, you can also run the Get-AIPFileStatus PowerShell cmdlet to identify the label ID (MainLabelId or SubLabelId). ラベルにサブラベルがある場合、親ラベルではなく、サブラベルの ID だけを常に指定してください。When a label has sublabels, always specify the ID of just a sublabel and not the parent label.

次のキーを使用して、次の 1 つまたは複数のクライアント詳細設定を作成します。Create one or more of the following advanced client settings with the following keys. 値については、1 つまたは複数のラベルの ID をそれぞれコンマで区切って指定します。For the values, specify one or more labels by their IDs, each one separated by a comma.

コンマ区切り文字列としての複数のラベル ID の値の例: dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813fExample value for multiple label IDs as a comma-separated string: dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813f

  • 警告メッセージ:Warn messages:

    • キー: OutlookWarnUntrustedCollaborationLabelKey: OutlookWarnUntrustedCollaborationLabel

    • 値: <コンマ区切りのラベル ID>Value: <label IDs, comma-separated>

  • 理由の入力メッセージ:Justification messages:

    • キー: OutlookJustifyUntrustedCollaborationLabelKey: OutlookJustifyUntrustedCollaborationLabel

    • 値: <コンマ区切りのラベル ID>Value: <label IDs, comma-separated>

  • ブロック メッセージ:Block messages:

    • キー: OutlookBlockUntrustedCollaborationLabelKey: OutlookBlockUntrustedCollaborationLabel

    • 値: <コンマ区切りのラベル ID>Value: <label IDs, comma-separated>

特定のラベル用に構成されたポップアップメッセージのドメイン名を除外するにはTo exempt domain names for pop-up messages configured for specific labels

これらのポップアップメッセージで指定したラベルについては、特定のドメイン名を除外して、そのドメイン名が電子メールアドレスに含まれている受信者のメッセージがユーザーに表示されないようにすることができます。For the labels that you've specified with these pop-up messages, you can exempt specific domain names so that users do not see the messages for recipients who have that domain name included in their email address. この場合、電子メールは中断なく送信されます。In this case, the emails are sent without interruption. 複数のドメインを指定するには、ドメインをコンマで区切って 1 つの文字列として追加します。To specify multiple domains, add them as a single string, separated by commas.

一般的な構成では、組織の外部の受信者、または組織の承認済みのパートナーではない受信者についてのみ、ポップアップ メッセージが表示されます。A typical configuration is to display the pop-up messages only for recipients who are external to your organization or who aren't authorized partners for your organization. この場合は、お客様の組織およびパートナーによって使用されるすべての電子メール ドメインを指定します。In this case, you specify all the email domains that are used by your organization and by your partners.

次のクライアントの詳細設定を作成し、値として1つ以上のドメインをコンマで区切って指定します。Create the following advanced client settings and for the value, specify one or more domains, each one separated by a comma.

コンマ区切り文字列としての複数のドメインの値の例: contoso.com,fabrikam.com,litware.comExample value for multiple domains as a comma-separated string: contoso.com,fabrikam.com,litware.com

  • 警告メッセージ:Warn messages:

    • キー: OutlookWarnTrustedDomainsKey: OutlookWarnTrustedDomains

    • 値: < コンマ区切りのドメイン名 >Value: < domain names, comma separated**>**

  • 理由の入力メッセージ:Justification messages:

    • キー: Outlookジャスト IfytrusteddomainsKey: OutlookJustifyTrustedDomains

    • 値: < コンマ区切りのドメイン名 >Value: < domain names, comma separated**>**

  • ブロック メッセージ:Block messages:

    • キー: OutlookblocktrusteddomainsKey: OutlookBlockTrustedDomains

    • 値: < コンマ区切りのドメイン名 >Value: < domain names, comma separated**>**

たとえば、 [社外秘 \ すべての従業員] ラベルに対してOutlookBlockUntrustedCollaborationLabelアドバンストクライアント設定を指定したとします。For example, you have specified the OutlookBlockUntrustedCollaborationLabel advanced client setting for the Confidential \ All Employees label. ここで、 Outlookblocktrusteddomainscontoso.comの追加のアドバンストクライアント設定を指定します。You now specify the additional advanced client setting of OutlookBlockTrustedDomains and contoso.com. その結果、ユーザーは、"社外秘 \ すべての従業員" というラベルが付いたときに john@sales.contoso.com に電子メールを送信できますが、Gmail アカウントに同じラベルの電子メールを送信することは禁止されます。As a result, a user can send an email to john@sales.contoso.com when it is labeled Confidential \ All Employees but will be blocked from sending an email with the same label to a Gmail account.

ラベルのない電子メールまたは添付ファイルに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装するには:To implement the warn, justify, or block pop-up messages for emails or attachments that don't have a label:

次のいずれかの値を使用して、次のクライアント詳細設定を作成します。Create the following advanced client setting with one of the following values:

  • 警告メッセージ:Warn messages:

    • キー: OutlookUnlabeledCollaborationActionKey: OutlookUnlabeledCollaborationAction

    • 値: WarnValue: Warn

  • 理由の入力メッセージ:Justification messages:

    • キー: OutlookUnlabeledCollaborationActionKey: OutlookUnlabeledCollaborationAction

    • 値:均等配置Value: Justify

  • ブロック メッセージ:Block messages:

    • キー: OutlookUnlabeledCollaborationActionKey: OutlookUnlabeledCollaborationAction

    • 値:ブロックValue: Block

  • これらのメッセージをオフにする:Turn off these messages:

    • キー: OutlookUnlabeledCollaborationActionKey: OutlookUnlabeledCollaborationAction

    • 値:オフValue: Off

ラベルのない電子メールの添付ファイルのポップアップメッセージに対して、警告、配置、またはブロックを行うための特定のファイル名拡張子を定義するにはTo define specific file name extensions for the warn, justify, or block pop-up messages for email attachments that don't have a label

既定では、すべての Office ドキュメントおよび PDF ドキュメントに対して、ポップアップメッセージの警告、位置揃え、またはブロックが適用されます。By default, the warn, justify, or block pop-up messages apply to all Office documents and PDF documents. この一覧を調整するには、追加のアドバンストクライアントプロパティとファイル名拡張子のコンマ区切りの一覧を使用して、メッセージを表示するファイル名拡張子を指定します。You can refine this list by specifying which file name extensions should display the warn, justify, or block messages with an additional advanced client property and a comma-separated list of file name extensions.

コンマ区切りの文字列として定義する複数のファイル名拡張子の値の例: .XLSX,.XLSM,.XLS,.XLTX,.XLTM,.DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTMExample value for multiple file name extensions to define as a comma-separated string: .XLSX,.XLSM,.XLS,.XLTX,.XLTM,.DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTM

この例では、ラベル付けされていない PDF ドキュメントは、ポップアップメッセージの警告、配置、またはブロックにはなりません。In this example, an unlabeled PDF document will not result in warn, justify, or block pop-up messages.

  • キー: OutlookOverrideUnlabeledCollaborationExtensionsKey: OutlookOverrideUnlabeledCollaborationExtensions

  • 値: < 個のメッセージを表示するファイル名拡張子、コンマ区切り >Value: < file name extensions to display messages, comma separated**>**

添付ファイルのない電子メールメッセージに対して別のアクションを指定するにはTo specify a different action for email messages without attachments

既定では、ポップアップメッセージを表示するために OutlookUnlabeledCollaborationAction に指定する値は、ラベルのない電子メールまたは添付ファイルに適用されます。By default, the value that you specify for OutlookUnlabeledCollaborationAction to warn, justify, or block pop-up messages applies to emails or attachments that don't have a label. この構成を調整するには、添付ファイルのない電子メールメッセージに対して、別のアドバンストクライアント設定を指定します。You can refine this configuration by specifying another advanced client setting for email messages that don't have attachments.

次のいずれかの値を使用して、次のクライアント詳細設定を作成します。Create the following advanced client setting with one of the following values:

  • 警告メッセージ:Warn messages:

    • キー: OutlookUnlabeledCollaborationActionOverrideMailBodyBehaviorKey: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

    • 値: WarnValue: Warn

  • 理由の入力メッセージ:Justification messages:

    • キー: OutlookUnlabeledCollaborationActionOverrideMailBodyBehaviorKey: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

    • 値:均等配置Value: Justify

  • ブロック メッセージ:Block messages:

    • キー: OutlookUnlabeledCollaborationActionOverrideMailBodyBehaviorKey: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

    • 値:ブロックValue: Block

  • これらのメッセージをオフにする:Turn off these messages:

    • キー: OutlookUnlabeledCollaborationActionOverrideMailBodyBehaviorKey: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

    • 値:オフValue: Off

このクライアント設定を指定しない場合は、OutlookUnlabeledCollaborationAction に指定した値が、添付ファイルのない電子メールメッセージと、添付ファイルを含むラベルなしの電子メールメッセージに使用されます。If you don't specify this client setting, the value that you specify for OutlookUnlabeledCollaborationAction is used for unlabeled email messages without attachments as well as unlabeled email messages with attachments.

Outlook に別の既定ラベルを設定しますSet a different default label for Outlook

この構成では、Azure Portal で構成する必要のあるクライアントの詳細設定を使用します。This configuration uses an advanced client setting that you must configure in the Azure portal.

この設定を構成すると、Outlook では、Azure Information Protection ポリシーで [既定のラベルを選択] 設定に構成した既定のラベルが適用されません。When you configure this setting, Outlook doesn't apply the default label that is configured in the Azure Information Protection policy for the setting Select the default label. 別の既定のラベルを適用できるか、ラベルがありません。Instead, Outlook can apply a different default label, or no label.

別のラベルを適用するには、ラベル ID を指定する必要があります。To apply a different label, you must specify the label ID. ラベル ID の値は、Azure portal で Azure Information Protection ポリシーを表示または構成するときに、ラベルウィンドウに表示されます。The label ID value is displayed on the Label pane, when you view or configure the Azure Information Protection policy in the Azure portal. ファイルにラベルが適用されている場合、Get-AIPFileStatus PowerShell コマンドレットを実行してラベル ID (MainLabelId または SubLabelId) を特定することもできます。For files that have labels applied, you can also run the Get-AIPFileStatus PowerShell cmdlet to identify the label ID (MainLabelId or SubLabelId). ラベルにサブラベルがある場合、親ラベルではなく、サブラベルの ID だけを常に指定してください。When a label has sublabels, always specify the ID of just a sublabel and not the parent label.

Outlook で既定のラベルが適用されないように、 [なし] を指定します。So that Outlook doesn't apply the default label, specify None.

この詳細設定を構成するには、次の文字列を入力します。To configure this advanced setting, enter the following strings:

  • キー: OutlookDefaultLabelKey: OutlookDefaultLabel

  • 値: <ラベル ID> またはなしValue: <label ID> or None

ラベルを構成して Outlook で S/MIME 保護を適用するConfigure a label to apply S/MIME protection in Outlook

この構成では、Azure Portal で構成する必要のあるクライアントの詳細設定を使用します。This configuration uses an advanced client setting that you must configure in the Azure portal.

動作中の S/MIME の展開があり、Azure Information Protection の Rights Management 保護ではなくこの保護方法をラベルが電子メールに対して自動的に適用するようにしたい場合にのみ、この設定を使用します。Use this setting only when you have a working S/MIME deployment and want a label to automatically apply this protection method for emails rather than Rights Management protection from Azure Information Protection. 結果として得られる保護は、ユーザーが Outlook から手動で S/MIME オプションを選択した場合と同じものです。The resulting protection is the same as when a user manually selects S/MIME options from Outlook.

この構成では、S/MIME 保護を適用したい Azure Information Protection ラベルごとに、LabelToSMIME という名前のクライアントの詳細設定を指定する必要があります。This configuration requires you to specify an advanced client setting named LabelToSMIME for each Azure Information Protection label that you want to apply S/MIME protection. 次に、各エントリに対して、次の構文を使用して値を設定します。Then for each entry, set the value by using the following syntax:

[Azure Information Protection label ID];[S/MIME action]

ラベル ID の値は、Azure portal で Azure Information Protection ポリシーを表示または構成するときに、ラベルウィンドウに表示されます。The label ID value is displayed on the Label pane, when you view or configure the Azure Information Protection policy in the Azure portal. サブラベルと共に S/MIME を使うには、親ラベルではなく、サブラベルの ID だけを常に指定します。To use S/MIME with a sublabel, always specify the ID of just the sublabel and not the parent label. サブラベルを指定する場合、親ラベルが同じスコープまたはグローバル ポリシー内にある必要があります。When you specify a sublabel, the parent label must be in the same scope, or in the global policy.

次のような S/MIME アクションが可能です。The S/MIME action can be:

  • Sign;Encrypt: デジタル署名と S/MIME 暗号化を適用するSign;Encrypt: To apply a digital signature and S/MIME encryption

  • Encrypt: S/MIME 暗号化のみを適用するEncrypt: To apply S/MIME encryption only

  • Sign: デジタル署名のみを適用するSign: To apply a digital signature only

dcf781ba-727f-4860-b3c1-73479e31912b のラベル ID の値の例:Example values for a label ID of dcf781ba-727f-4860-b3c1-73479e31912b:

  • デジタル署名と S/MIME 暗号化を適用する:To apply a digital signature and S/MIME encryption:

    dcf781ba-727f-4860-b3c1-73479e31912b;Sign;Encryptdcf781ba-727f-4860-b3c1-73479e31912b;Sign;Encrypt

  • S/MIME 暗号化のみを適用する:To apply S/MIME encryption only:

    dcf781ba-727f-4860-b3c1-73479e31912b;Encryptdcf781ba-727f-4860-b3c1-73479e31912b;Encrypt

  • デジタル署名のみを適用する:To apply a digital signature only:

    dcf781ba-727f-4860-b3c1-73479e31912b;Signdcf781ba-727f-4860-b3c1-73479e31912b;Sign

この構成の結果として、電子メール メッセージに向けてこのラベルを適用すると、ラベルの分類に加えて S/MIME 保護が電子メールに適用されます。As a result of this configuration, when the label is applied for an email message, S/MIME protection is applied to the email in addition to the label's classification.

指定するラベルが Azure portal で Rights Management の保護用に構成されている場合、S/MIME 保護は Outlook でのみ Rights Management の保護を置き換えます。If the label you specify is configured for Rights Management protection in the Azure portal, S/MIME protection replaces the Rights Management protection only in Outlook. ラベル付けをサポートしているその他のすべてのシナリオでは、Rights Management の保護が適用されます。For all other scenarios that support labeling, Rights Management protection will be applied.

ラベルが Outlook 内でのみ表示されるようにする必要がある場合は、「クイック スタート: ラベルを構成して、ユーザーが機密情報を含む電子メールを簡単に保護できるようにする」で説明されているように、ラベルを構成してユーザー定義の [転送不可] シングル アクションを適用します。If you want the label to be visible in Outlook only, configure the label to apply the single user-defined action of Do Not Forward, as described in the Quickstart: Configure a label for users to easily protect emails that contain sensitive information.

必須のラベル付けを使用するときにドキュメントの "後で" を削除するRemove "Not now" for documents when you use mandatory labeling

この構成では、Azure Portal で構成する必要のあるクライアントの詳細設定を使用します。This configuration uses an advanced client setting that you must configure in the Azure portal.

[すべてのドキュメントとメールにラベルを付ける]ポリシー設定を使うと、ユーザーが Office ドキュメントを初めて保存するとき、およびメールを送信するときに、ラベルの選択を求めるメッセージが表示されます。When you use the policy setting of All documents and emails must have a label, users are prompted to select a label when they first save an Office document and when they send an email. ドキュメントの場合、ユーザーは [後で] を選択して一時的にメッセージを無視し、ラベルを選んで、ドキュメントに戻ることができます。For documents, users can select Not now to temporarily dismiss the prompt to select a label and return to the document. ただし、ラベルを付けないと、保したドキュメントを閉じることはできません。However, they cannot close the saved document without labeling it.

この設定を構成すると、 [後で] オプションが削除され、ユーザーはドキュメントを初めて保存するときにラベルを選択する必要があります。When you configure this setting, it removes the Not now option so that users must select a label when the document is first saved.

この詳細設定を構成するには、次の文字列を入力します。To configure this advanced setting, enter the following strings:

  • キー: PostponeMandatoryBeforeSaveKey: PostponeMandatoryBeforeSave

  • 値: FalseValue: False

バックグラウンドでの分類の継続的実行をオンにするTurn on classification to run continuously in the background

この構成では、Azure Portal で構成する必要のあるクライアントの詳細設定を使用します。This configuration uses an advanced client setting that you must configure in the Azure portal. この設定はプレビュー段階であり、変更される可能性があります。This setting is in preview and might change.

この設定を構成すると、Azure Information Protection クライアントが推奨ラベルを自動的にドキュメントに適用する既定の動作が次のように変わります。When you configure this setting, it changes the default behavior of how the Azure Information Protection client applies automatic and recommended labels to documents:

  • Word、Excel、PowerPoint に対して、自動分類はバックグラウンドで継続的に実行されます。For Word, Excel, and PowerPoint, automatic classification runs continuously in the background.

この動作は Outlook でも変わりません。The behavior does not change for Outlook.

Azure Information Protection クライアントがユーザーによって指定された条件規則をドキュメントで定期的にチェックするとき、この動作は SharePoint Online に格納されるドキュメントに対する自動的で推奨される分類と保護を有効にします。When the Azure Information Protection client periodically checks documents for the condition rules that you specify, this behavior enables automatic and recommended classification and protection for documents that are stored in SharePoint Online. 条件規則が既に実行されているため、大きなファイルもすばやく保存されます。Large files also save more quickly because the condition rules have already run.

条件規則がユーザーの入力と同時にリアルタイムで実行されることはありません。The condition rules do not run in real time as a user types. ドキュメントが変更された場合、バックグラウンド タスクとして定期的に実行されます。Instead, they run periodically as a background task if the document is modified.

この詳細設定を構成するには、次の文字列を入力します。To configure this advanced setting, enter the following strings:

  • キー: RunPolicyInBackgroundKey: RunPolicyInBackground

  • 値: TrueValue: True

PDF 暗号化の ISO 標準を使用して PDF ファイルを保護しないDon't protect PDF files by using the ISO standard for PDF encryption

この構成では、Azure Portal で構成する必要のあるクライアントの詳細設定を使用します。This configuration uses an advanced client setting that you must configure in the Azure portal.

最新バージョンの Azure Information Protection クライアントを使用して PDF ファイルを保護する場合、得られるファイル名の拡張子は .pdf のままとなり、PDF 暗号化の ISO 標準に準拠します。When the latest version of the Azure Information Protection client protects a PDF file, the resulting file name extension remains as .pdf and adheres to the ISO standard for PDF encryption. この標準の詳細については、ISO 32000-1 から派生し、Adobe Systems Incorporated が発行したドキュメントのセクション「7.6 Encryption」(7.6 暗号化) を参照してください。For more information about this standard, see section 7.6 Encryption from the document that is derived from ISO 32000-1 and published by Adobe Systems Incorporated.

クライアントを、ファイル名拡張子 .ppdf を使って PDF ファイルを保護していた旧バージョンのクライアントの動作に戻す必要がある場合は、次の文字列を入力して以下の詳細設定を使います。If you need the client to revert to the behavior in older versions of the client that protected PDF files by using a .ppdf file name extension, use the following advanced setting by entering the following string:

  • キー: EnablePDFv2ProtectionKey: EnablePDFv2Protection

  • 値: FalseValue: False

たとえば、PDF 暗号化の ISO 標準をサポートしていない PDF リーダーを使用している場合は、すべてのユーザーに対してこの設定が必要です。For example, you might need this setting for all users if you use a PDF reader that doesn't support the ISO standard for PDF encryption. または、新しい形式をサポートする PDF リーダーを段階的に導入する場合は、一部のユーザーに対してその設定を構成する必要があります。Or, you might need to configure it for some users as you gradually phase in a change of PDF reader that supports the new format. この設定を使用する別の理由としては、署名された PDF ドキュメントに保護を追加することが必要な場合が挙げられます。Another potential reason to use this setting is if you need to add protection to signed PDF documents. 署名された PDF ドキュメントを .ppdf 形式を使用してさらに保護することができます。これは、この保護がファイルのラッパーとして実装されるために可能になります。Signed PDF documents can be additionally protected with the .ppdf format because this protection is implemented as a wrapper for the file.

Azure Information Protection スキャナーで新しい設定を使用するには、スキャナー サービスを再起動する必要があります。For the Azure Information Protection scanner to use the new setting, the scanner service must be restarted. また、スキャナーでは既定で PDF ドキュメントが保護されなくなります。In addition, the scanner will no longer protect PDF documents by default. EnablePDFv2Protection が False に設定されているときにスキャナーで PDF ドキュメントを保護する場合は、レジストリを編集する必要があります。If you want PDF documents to be protected by the scanner when EnablePDFv2Protection is set to False, you must edit the registry.

新しい PDF の暗号化について詳しくは、ブログ投稿「New support for PDF encryption with Microsoft Information Protection」 (Microsoft Information Protection での PDF の新しい暗号化のサポート) をご覧ください。For more information about the new PDF encryption, see the blog post New support for PDF encryption with Microsoft Information Protection.

PDF 暗号化の ISO 標準をサポートする PDF リーダー、および古い形式をサポートするリーダーの一覧については、「Supported PDF readers for Microsoft Information Protection」(Microsoft Information Protection でサポートされる PDF リーダー) を参照してください。For a list of PDF readers that support the ISO standard for PDF encryption, and readers that support older formats, see Supported PDF readers for Microsoft Information Protection.

既存の .ppdf ファイルを保護された .pdf ファイルに変換するにはTo convert existing .ppdf files to protected .pdf files

Azure Information Protection クライアントに新しい設定のクライアント ポリシーがダウンロードされると、既存の .ppdf ファイルを、PDF の暗号化に ISO 標準が使用された保護された .pdf ファイルに PowerShell コマンドを使用して変換することができます。When the Azure Information Protection client has downloaded the client policy with the new setting, you can use PowerShell commands to convert existing .ppdf files to protected .pdf files that use the ISO standard for PDF encryption.

ご自分で保護していないファイルに次の手順を行うには、Rights Management の使用権限を持っているか、スーパー ユーザーでないと、ファイルから保護を削除できません。To use the following instructions for files that you didn't protect yourself, you must have a Rights Management usage right to remove protection from files, or be a super user. スーパー ユーザーの機能を有効にし、アカウントをスーパー ユーザーとして構成するには、「Azure Rights Management および探索サービスまたはデータの回復用のスーパー ユーザーの構成」をご覧ください。To enable the super user feature and configure your account to be a super user, see Configuring super users for Azure Rights Management and Discovery Services or Data Recovery.

また、自分で保護していないファイルにこれらの手順を使用する場合、そのユーザーは RMS Issuer になります。In addition, when you use these instructions for files that you didn't protect yourself, you become the RMS Issuer. このシナリオでは、ドキュメントを最初に保護したユーザーは、それを追跡して取り消すことができなくなります。In this scenario, the user who originally protected the document can no longer track and revoke it. ユーザーが保護されている PDF 文書を追跡して取り消す必要がある場合、ファイル エクスプローラーの右クリックを使用して、ラベルを手動で削除して最適用するよう依頼します。If users need to track and revoke their protected PDF documents, ask them to manually remove and then reapply the label by using File Explorer, right-click.

PowerShell コマンドを使用して既存の .ppdf ファイルを保護された .pdf ファイルに変換するには、PDF の暗号化に ISO 標準を使用します。To use PowerShell commands to convert existing .ppdf files to protected .pdf files that use the ISO standard for PDF encryption:

  1. .ppdf ファイルに Get-AIPFileStatus を使用します。Use Get-AIPFileStatus with the .ppdf file. たとえば、次のようになります。For example:

     Get-AIPFileStatus -Path \\Finance\Projectx\sales.ppdf
    
  2. 出力の次のパラメーター値のメモを取ります。From the output, take a note of the following parameter values:

    • 存在する場合、SubLabelId の値 (GUID)。The value (GUID) for SubLabelId, if there is one. この値が空の場合、サブラベルは使用されていないので、代わりに MainLabelId 値のメモを取ります。If this value is blank, a sublabel wasn't used, so note the value for MainLabelId instead.

      注: MainLabelId にも値がない場合、ファイルはレベル付けされていません。Note: If there is no value for MainLabelId either, the file isn't labeled. この場合は、手順 3 と 4 のコマンドではなく、Unprotect-RMSFile コマンドと Protect-RMSFile コマンドを使用します。In this case, you can use the Unprotect-RMSFile command and Protect-RMSFile command instead of the commands in step 3 and 4.

    • RMSTemplateId の値。The value for RMSTemplateId. この値が Restricted Access の場合、ユーザーはファイルを、ラベルに構成されている保護設定ではなく、カスタム アクセス許可を使用して保護しています。If this value is Restricted Access, a user has protected the file using custom permissions rather than the protection settings that are configured for the label. 続行すると、それらのカスタム設定はラベルの保護設定により上書きされます。If you continue, those custom permissions will be overwritten by the label's protection settings. 続行するか、ユーザー (RMSIssuer に表示される値) に対してラベルを削除し、元のカスタム アクセス許可と共にそれを再適用することを依頼するかどうかを決定します。Decide whether to continue or ask the user (value displayed for the RMSIssuer) to remove the label and reapply it, together with their original custom permissions.

  3. RemoveLabel パラメーターを使用し、Set-AIPFileLabel を使用して、ラベルを削除します。Remove the label by using Set-AIPFileLabel with the RemoveLabel parameter. [Users must provide justification to set a lower classification label, remove a label, or remove protection] (ユーザーは分類ラベルの秘密度を下げる、ラベルを削除する、または保護を解除するときにその理由を示す必要があります) のポリシー設定を使用している場合は、理由付きで [位置揃え] パラメーターも指定する必要があります。If you are using the policy setting of Users must provide justification to set a lower classification label, remove a label, or remove protection, you must also specify the Justification parameter with the reason. たとえば、次のようになります。For example:

     Set-AIPFileLabel \\Finance\Projectx\sales.ppdf -RemoveLabel -JustificationMessage 'Removing .ppdf protection to replace with .pdf ISO standard'
    
  4. 手順 1 で指定したラベルの値を指定して、元のラベルを最適用します。Reapply the original label, by specifying the value for the label that you identified in step 1. たとえば、次のようになります。For example:

     Set-AIPFileLabel \\Finance\Projectx\sales.pdf -LabelId d9f23ae3-1234-1234-1234-f515f824c57b
    

ファイルは .pdf ファイル名拡張子を維持しますが、以前と同様に分類され、PDF の暗号化のための ISO 標準を使用して保護されます。The file retains the .pdf file name extension but is classified as before, and it is protected by using the ISO standard for PDF encryption.

Secure Islands によって保護されたファイルのサポートSupport for files protected by Secure Islands

この構成オプションはプレビュー段階であり、変更される可能性があります。This configuration option is in preview and might change.

ドキュメントを保護するために Secure Islands を使用した場合、この保護の結果、テキスト ファイル、画像ファイル、一般的に保護対象となるファイルが保護される可能性があります。If you used Secure Islands to protect documents, you might have protected text and picture files, and generically protected files as a result of this protection. たとえば、ファイル名の拡張子が .ptxt、.pjpeg、または .pfile のファイルです。For example, files that have a file name extension of .ptxt, .pjpeg, or .pfile. 以下のようにレジストリを編集すると、Azure Information Protection はこれらのファイルを復号化できます。When you edit the registry as follows, Azure Information Protection can decrypt these files:

以下のように EnableIQPFormats という DWORD 値を次のレジストリ パスに追加し、値データを 1 に設定します。Add the following DWORD value of EnableIQPFormats to the following registry path, and set the value data to 1:

  • 64 ビット版の Windows: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPFor a 64-bit version of Windows: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP

  • 32 ビット版の Windows: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPFor a 32-bit version of Windows: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIP

このレジストリ編集の結果、次のシナリオがサポートされます。As a result of this registry edit, the following scenarios are supported:

  • Azure Information Protection ビューアーは、これらの保護されたファイルを開くことができます。The Azure Information Protection viewer can open these protected files.

  • Azure Information Protection スキャナーは、これらのファイルに機密情報が含まれているかどうかを検査できます。The Azure Information Protection scanner can inspect these files for sensitive information.

  • エクスプローラー、PowerShell、Azure Information Protection スキャナーで、これらのファイルにラベルを付けることができます。File Explorer, PowerShell, and the Azure Information Protection scanner can label these files. その結果、Azure Information Protection の新しい保護を適用する Azure Information Protection ラベルや、Secure Islands から既存の保護を削除する Azure Information Protection ラベルを適用することができます。As a result, you can apply an Azure Information Protection label that applies new protection from Azure Information Protection, or that removes the existing protection from Secure Islands.

  • ラベル付け移行クライアントのカスタマイズを使用して、これらの保護されたファイルの Secure Islands ラベルを Azure Information Protection ラベルに自動的に変換することができます。You can use the labeling migration client customization to automatically convert the Secure Islands label on these protected files to an Azure Information Protection label.

Secure Islands からのラベルの移行と、その他のラベル付けのソリューションMigrate labels from Secure Islands and other labeling solutions

この構成では、Azure Portal で構成する必要のあるクライアントの詳細設定を使用します。This configuration uses an advanced client setting that you must configure in the Azure portal.

現在、この構成は、PDF 暗号化の ISO 標準を使用して PDF ファイルを保護する新しい既定の動作とは互換性がありません。This configuration is currently not compatible with the new default behavior that protects PDF files by using the ISO standard for PDF encryption. このシナリオでは、.ppdf ファイルをエクスプローラー、PowerShell、スキャナーで開くことはできません。In this scenario, .ppdf files cannot be opened by File Explorer, PowerShell, or the scanner. これを解決するには、クライアントの詳細設定を使用して、PDF 暗号化の ISO 標準を使用しないようにします。To resolve this, use the advanced client setting to don't use the ISO standard for PDF encryption.

Secure Islands によってラベル付けされた Office ドキュメントや PDF ドキュメントは、Azure Information Protection のラベルでラベル付けし直すことができます。そのためには、独自に定義したマッピングを使用します。For Office documents and PDF documents that are labeled by Secure Islands, you can relabel these documents with an Azure Information Protection label by using a mapping that you define. また、この方法を使用して、他のソリューションからのラベルを、そのラベルが Office ドキュメントにある場合は再利用することができます。You also use this method to reuse labels from other solutions when their labels are on Office documents.

注意

PDF および Office ドキュメント以外に、Secure Islands によって保護されているファイルがある場合、前のセクションで説明したようにレジストリを編集した後に再びラベルを付けることができます。If you have files other than PDF and Office documents that are protected by Secure Islands, these can be relabeled after you edit the registry as described in the preceding section.

この構成オプションの結果として、Azure Information Protection の新しいラベルは、Azure Information Protection クライアントによって次のように適用されます。As a result of this configuration option, the new Azure Information Protection label is applied by the Azure Information Protection client as follows:

  • Office ドキュメントの場合: デスクトップ アプリでドキュメントを開くと、Azure Information Protection の新しいラベルが設定されたことが表示され、ドキュメントを保存すると適用されます。For Office documents: When the document is opened in the desktop app, the new Azure Information Protection label is shown as set and is applied when the document is saved.

  • エクスプローラーの場合: [Azure Information Protection] ダイアログ ボックスで、Azure Information Protection の新しいラベルが設定されたことが表示され、ユーザーが [適用] を選択すると適用されます。For File Explorer: In the Azure Information Protection dialog box, the new Azure Information Protection label is shown as set and is applied when the user selects Apply. ユーザーが [キャンセル] を選択した場合、新しいラベルは適用されません。If the user selects Cancel, the new label is not applied.

  • PowerShell の場合: Set-AIPFileLabel によって、Azure Information Protection の新しいラベルが適用されます。For PowerShell: Set-AIPFileLabel applies the new Azure Information Protection label. Get-AIPFileStatus では、別の方法で設定されるまで、Azure Information Protection の新しいラベルは表示されません。Get-AIPFileStatus doesn't display the new Azure Information Protection label until it is set by another method.

  • Azure Information Protection スキャナーの場合: Azure Information Protection の新しいラベルが設定され、強制モードで適用される可能性がある場合、検出が報告されます。For the Azure Information Protection scanner: Discovery reports when the new Azure Information Protection label would be set and this label can be applied with the enforce mode.

この構成では、古いラベルにマッピングする Azure Information Protection のラベルごとに、LabelbyCustomProperty という名前のクライアントの詳細設定を指定する必要があります。This configuration requires you to specify an advanced client setting named LabelbyCustomProperty for each Azure Information Protection label that you want to map to the old label. 次に、各エントリに対して、次の構文を使用して値を設定します。Then for each entry, set the value by using the following syntax:

[Azure Information Protection label ID],[migration rule name],[Secure Islands custom property name],[Secure Islands metadata Regex value]

ラベル ID の値は、Azure portal で Azure Information Protection ポリシーを表示または構成するときに、ラベルウィンドウに表示されます。The label ID value is displayed on the Label pane, when you view or configure the Azure Information Protection policy in the Azure portal. サブラベルを指定するには、親ラベルが同じスコープまたはグローバル ポリシー内にある必要があります。To specify a sublabel, the parent label must be in the same scope, or in the global policy.

任意の移行規則名を指定します。Specify your choice of a migration rule name. 以前のラベル付けソリューションから Azure Information Protection のラベルに、1 つまたは複数のラベルをマッピングする方法を特定するのに役立つ、わかりやすい名前を使用します。Use a descriptive name that helps you to identify how one or more labels from your previous labeling solution should be mapped to an Azure Information Protection label. 名前は、スキャナー レポートおよびイベント ビューアーに表示されます。The name displays in the scanner reports and in Event Viewer. この設定では、ドキュメントから元のラベルが削除されたり、元のラベルが適用された可能性がある視覚的マーキングが削除されたりすることはありません。Note that this setting does not remove the original label from the document or any visual markings in the document that the original label might have applied. ヘッダーおよびフッターを削除するには、次のセクションの「他のラベル付けソリューションからヘッダーとフッターを削除する」を参照してください。To remove headers and footers, see the next section, Remove headers and footers from other labeling solutions.

例1: 同じラベル名の 1 対 1 のマッピングExample 1: One-to-one mapping of the same label name

要件: "社外秘" というセキュリティ保護された島ラベルを持つドキュメントは、Azure Information Protection によって "社外秘" というラベルが付けられます。Requirement: Documents that have a Secure Islands label of "Confidential" should be relabeled as "Confidential" by Azure Information Protection.

この例では:In this example:

  • 使用する Azure Information Protection のラベルは Confidential という名前が付けられ、ラベル ID は 1ace2cc3-14bc-4142-9125-bf946a70542c です。The Azure Information Protection label that you want to use is named Confidential and has a label ID of 1ace2cc3-14bc-4142-9125-bf946a70542c.

  • Secure Islands のラベルは、Confidential という名前が付けられ、Classification という名前のカスタム プロパティに保存されます。The Secure Islands label is named Confidential and stored in the custom property named Classification.

クライアントの詳細設定:The advanced client setting:

名前Name Value
LabelbyCustomPropertyLabelbyCustomProperty 1ace2cc3-14bc-4142-9125-bf946a70542c、"Secure Islands label is Confidential" (Secure Islands のラベルは Confidential です)、Classification、Confidential1ace2cc3-14bc-4142-9125-bf946a70542c,"Secure Islands label is Confidential",Classification,Confidential

例 2: 異なるラベル名の 1 対 1 のマッピングExample 2: One-to-one mapping for a different label name

要件: セキュリティで保護されたアイランドによって "機微な" というラベルが付けられたドキュメントは、Azure Information Protection によって "機密性の高い" というラベルに再設定するRequirement: Documents labeled as "Sensitive" by Secure Islands should be relabeled as "Highly Confidential" by Azure Information Protection.

この例では:In this example:

  • 使用する Azure Information Protection のラベルは Highly Confidential という名前が付けられ、ラベル ID は 3e9df74d-3168-48af-8b11-037e3021813f です。The Azure Information Protection label that you want to use is named Highly Confidential and has a label ID of 3e9df74d-3168-48af-8b11-037e3021813f.

  • Secure Islands のラベルは Sensitive という名前が付けられ、Classification という名前のカスタム プロパティに保存されます。The Secure Islands label is named Sensitive and stored in the custom property named Classification.

クライアントの詳細設定:The advanced client setting:

名前Name Value
LabelbyCustomPropertyLabelbyCustomProperty 3e9df74d-3168-48af-8b11-037e3021813f、"Secure Islands label is Sensitive" (Secure Islands のラベルは Sensitive です)、Classification、Sensitive3e9df74d-3168-48af-8b11-037e3021813f,"Secure Islands label is Sensitive",Classification,Sensitive

例 3: ラベル名の多対一のマッピングExample 3: Many-to-one mapping of label names

要件: "Internal" という語を含む2つのセキュリティ保護された島々ラベルがあり、これらのセキュリティ保護された島々ラベルのいずれかを持つドキュメントを、Azure Information Protection によって "General" というラベルに書き換えます。Requirement: You have two Secure Islands labels that include the word "Internal" and you want documents that have either of these Secure Islands labels to be relabeled as "General" by Azure Information Protection.

この例では:In this example:

  • 使用する Azure Information Protection のラベルは General という名前が付けられ、ラベル ID は 2beb8fe7-8293-444c-9768-7fdc6f75014d です。The Azure Information Protection label that you want to use is named General and has a label ID of 2beb8fe7-8293-444c-9768-7fdc6f75014d.

  • Secure Islands のラベルには、Internal という単語が含まれ、Classification という名前のカスタム プロパティに保存されます。The Secure Islands labels include the word Internal and are stored in the custom property named Classification.

クライアントの詳細設定:The advanced client setting:

名前Name Value
LabelbyCustomPropertyLabelbyCustomProperty 2beb8fe7-8293-444c-9768-7fdc6f75014d、"Secure Islands label contains Internal" (Secure Islands のラベルに Internal が含まれます)、Classification、*Internal*2beb8fe7-8293-444c-9768-7fdc6f75014d,"Secure Islands label contains Internal",Classification,.*Internal.*

他のラベル付けソリューションからヘッダーとフッターを削除するRemove headers and footers from other labeling solutions

この構成では、Azure Portal で構成する必要のある、複数のクライアントの詳細設定を使用します。This configuration uses multiple advanced client settings that you must configure in the Azure portal. これらの設定はプレビュー段階であり、変更される可能性があります。These settings are in preview and might change.

この設定では、その視覚的マーキングが別のラベル付けソリューションによって適用されている場合に、テキスト ベースのヘッダーまたはフッターをドキュメントから削除したり置き換えたりできるようになります。The settings let you remove or replace text-based headers or footers from documents when those visual markings have been applied by another labeling solution. たとえば、古いフッターに古いラベルの名前が含まれていますが、これを新しいラベル名と独自のフッターで Azure Information Protection に移行したとします。For example, the old footer contains the name of an old label that you have now migrated to Azure Information Protection with a new label name and its own footer.

クライアントがそのポリシーにこの構成を使用すると、Office アプリでドキュメントが開き、いずれかの Azure Information Protection ラベルがドキュメントに適用されたときに、古いヘッダーとフッターが削除または置換されます。When the client gets this configuration in its policy, the old headers and footers are removed or replaced when the document is opened in the Office app and any Azure Information Protection label is applied to the document.

この構成は Outlook ではサポートされていません。そのため、この構成を Word、Excel、PowerPoint で使用すると、ユーザーのこれらのアプリのパフォーマンスに悪影響が生じる場合があります。This configuration is not supported for Outlook, and be aware that when you use it with Word, Excel, and PowerPoint, it can negatively affect the performance of these apps for users. この構成ではアプリケーションごとの設定を定義することができます。たとえば、Word 文書のヘッダーとフッターのテキストは検索し、Excel のスプレッドシートや PowerPoint のプレゼンテーションのテキストは検索しないようにできます。The configuration lets you define settings per application, for example, search for text in the headers and footers of Word documents but not Excel spreadsheets or PowerPoint presentations.

パターンマッチングはユーザーのパフォーマンスに影響するため、Office アプリケーションの種類 (WOrd、EXセル、 Powerpoint) は、検索する必要があるもののみに制限することをお勧めします。Because the pattern matching affects the performance for users, we recommend that you limit the Office application types (Word, EXcel, PowerPoint) to just those that need to be searched:

  • キー: RemoveExternalContentMarkingInAppKey: RemoveExternalContentMarkingInApp

  • 値: <Office アプリケーションの種類 WXP>Value: <Office application types WXP>

例:Examples:

  • Word 文書のみを検索するには、W を指定します。To search Word documents only, specify W.

  • Word 文書と PowerPoint プレゼンテーションを検索するには、WP を指定します。To search Word documents and PowerPoint presentations, specify WP.

この後、ヘッダーまたはフッターの内容と、その削除または置換方法を指定したりするために、少なくとも 1 つのより詳細なクライアント設定 ExternalContentMarkingToRemove が必要です。You then need at least one more advanced client setting, ExternalContentMarkingToRemove, to specify the contents of the header or footer, and how to remove or replace them.

ExternalContentMarkingToRemove を構成する方法How to configure ExternalContentMarkingToRemove

ExternalContentMarkingToRemove キーに文字列値を指定するときには、正規表現を使用する 3 つのオプションがあります。When you specify the string value for the ExternalContentMarkingToRemove key, you have three options that use regular expressions:

  • ヘッダーまたはフッターのすべてを削除する部分一致。Partial match to remove everything in the header or footer.

    例: ヘッダーまたはフッターに文字列 TEXT TO REMOVE が含まれている場合。Example: Headers or footers contain the string TEXT TO REMOVE. これらのヘッダーまたはフッターを完全に削除したいとします。You want to completely remove these headers or footers. *TEXT* を指定します。You specify the value: *TEXT*.

  • ヘッダーまたはフッターの特定の単語のみを削除する完全一致。Complete match to remove just specific words in the header or footer.

    例: ヘッダーまたはフッターに文字列 TEXT TO REMOVE が含まれている場合。Example: Headers or footers contain the string TEXT TO REMOVE. 単語 TEXT のみを削除し、ヘッダーまたはフッター文字列は TO REMOVE として残したいとします。You want to remove the word TEXT only, which leaves the header or footer string as TO REMOVE. TEXT を指定します。You specify the value: TEXT.

  • ヘッダーまたはフッターのすべてを削除する完全一致。Complete match to remove everything in the header or footer.

    例: ヘッダーまたはフッターに文字列 TEXT TO REMOVE が含まれている場合。Example: Headers or footers have the string TEXT TO REMOVE. 正確にこの文字列が含まれているヘッダーまたはフッターを削除したいとします。You want to remove headers or footers that have exactly this string. ^TEXT TO REMOVE$ を指定します。You specify the value: ^TEXT TO REMOVE$.

指定した文字列のパターン マッチングでは大文字と小文字が区別されます。The pattern matching for the string that you specify is case-insensitive. 文字列の最大長は 255 文字です。The maximum string length is 255 characters.

一部のドキュメントには非表示の文字やさまざまな種類のスペースやタブが含まれているため、語句や文に指定した文字列が検出されない可能性があります。Because some documents might include invisible characters or different kinds of spaces or tabs, the string that you specify for a phrase or sentence might not be detected. 値には、できるだけ単独の特徴的な単語を指定し、運用環境に展開する前に結果をテストしてください。Whenever possible, specify a single distinguishing word for the value and be sure to test the results before you deploy in production.

  • キー: ExternalContentMarkingToRemoveKey: ExternalContentMarkingToRemove

  • 値: <正規表現として定義された、マッチングする文字列>Value: <string to match, defined as regular expression>

複数行のヘッダーまたはフッターMultiline headers or footers

ヘッダーまたはフッターのテキストが複数行にわたる場合は、行ごとにキーと値を作成します。If a header or footer text is more than a single line, create a key and value for each line. たとえば、2 行にわたる次のフッターがあるとします。For example, you have the following footer with two lines:

ファイルは社外秘として分類The file is classified as Confidential

ラベルは手動で適用Label applied manually

この複数行のフッターを削除するには、次の 2 つのエントリを作成します。To remove this multiline footer, you create the following two entries:

  • キー 1: ExternalContentMarkingToRemoveKey 1: ExternalContentMarkingToRemove

  • キーの値 1: *社外秘*Key Value 1: *Confidential*

  • キー 2: ExternalContentMarkingToRemoveKey 2: ExternalContentMarkingToRemove

  • キーの値 2: *ラベルの適用*Key Value 2: *Label applied*

PowerPoint 用の最適化Optimization for PowerPoint

PowerPoint では、フッターが図形として実装されます。Footers in PowerPoint are implemented as shapes. 指定したテキストのうち、ヘッダーまたはフッターでない図形が削除されるのを防ぐには、PowerPointShapeNameToRemove という名前の、追加のクライアントの詳細設定を使用します。To avoid removing shapes that contain the text that you have specified but are not headers or footers, use an additional advanced client setting named PowerPointShapeNameToRemove. また、すべての図形のテキストのチェックはリソースを消費するプロセスであるため、この設定を使用して回避することをお勧めします。We also recommend using this setting to avoid checking the text in all shapes, which is a resource-intensive process.

この追加のクライアントの詳細設定を指定せず、PowerPoint が RemoveExternalContentMarkingInApp キーの値に含まれている場合、ExternalContentMarkingToRemove で指定したテキストがすべての図形でチェックされます。If you do not specify this additional advanced client setting, and PowerPoint is included in the RemoveExternalContentMarkingInApp key value, all shapes will be checked for the text that you specify in the ExternalContentMarkingToRemove value.

ヘッダーまたはフッターとして使用している図形の名前を検索するには:To find the name of the shape that you're using as a header or footer:

  1. PowerPoint の選択ウィンドウを表示し、 [書式] タブ > [配置] グループ > [選択ウィンドウ] の順に選択します。In PowerPoint, display the Selection pane: Format tab > Arrange group > Selection Pane.

  2. ヘッダーまたはフッターを含むスライド上の図形を選択します。Select the shape on the slide that contains your header or footer. 選択した図形の名前が、選択ウィンドウで強調表示されます。The name of the selected shape is now highlighted in the Selection pane.

図形の名前を使用して、PowerPointShapeNameToRemove キーの文字列値を指定します。Use the name of the shape to specify a string value for the PowerPointShapeNameToRemove key.

例: 図形の名前は fc です。Example: The shape name is fc. この名前の図形を削除するには、値 fc を指定します。To remove the shape with this name, you specify the value: fc.

  • キー: PowerPointShapeNameToRemoveKey: PowerPointShapeNameToRemove

  • 値: <PowerPoint の図形の名前>Value: <PowerPoint shape name>

削除する PowerPoint の図形が複数ある場合は、削除する図形と同じ数だけ PowerPointShapeNameToRemove キーを作成します。When you have more than one PowerPoint shape to remove, create as many PowerPointShapeNameToRemove keys as you have shapes to remove. 各エントリに、削除する図形の名前を指定します。For each entry, specify the name of the shape to remove.

既定では、マスター スライドのヘッダーとフッターのみがチェックされます。By default, only the Master slides are checked for headers and footers. この検索の対象をすべてのスライドに広げるには、RemoveExternalContentMarkingInAllSlides という名前の、追加のクライアントの詳細設定を使用します。ただし、このプロセスはリソースをより多く消費します。To extend this search to all slides, which is a much more resource-intensive process, use an additional advanced client setting named RemoveExternalContentMarkingInAllSlides:

  • キー: RemoveExternalContentMarkingInAllSlidesKey: RemoveExternalContentMarkingInAllSlides

  • 値: TrueValue: True

既存のカスタム プロパティを使用して Office ドキュメントにラベルを付けるLabel an Office document by using an existing custom property

注意

この構成と、Secure Islands およびその他のラベル付けソリューションからラベルを移行するための構成を使用する場合は、ラベル付けの移行の設定が優先されます。If you use this configuration and the configuration to migrate labels from Secure Islands and other labeling solutions, the labeling migration setting takes precedence.

この構成では、Azure Portal で構成する必要のあるクライアントの詳細設定を使用します。This configuration uses an advanced client setting that you must configure in the Azure portal.

この設定を構成すると、既存のカスタム プロパティの値がいずれかのラベル名と一致するときに Office ドキュメントを分類する (さらに必要に応じて保護する) ことができます。When you configure this setting, you can classify (and optionally, protect) an Office document when it has an existing custom property with a value that matches one of your label names. このカスタム プロパティは、別の分類ソリューションから設定するか、または SharePoint によってプロパティとして設定することができます。This custom property can be set from another classification solution, or can be set as a property by SharePoint.

この構成の結果として、Azure Information Protection ラベルのないドキュメントが Office アプリのユーザーによって開かれて保存されると、ドキュメントが対応するプロパティ値と一致するようにラベル付けされます。As a result of this configuration, when a document without an Azure Information Protection label is opened and saved by a user in an Office app, the document is then labeled to match the corresponding property value.

この構成では、連動する 2 つの詳細設定を指定する必要があります。This configuration requires you to specify two advanced settings that work together. 1 つ目は SyncPropertyName で、他の分類ソリューションから設定されているカスタム プロパティ名、または SharePoint によって設定されるプロパティです。The first is named SyncPropertyName, which is the custom property name that has been set from the other classification solution, or a property that is set by SharePoint. 2 つ目は SyncPropertyState で、これは OneWay に設定する必要があります。The second is named SyncPropertyState and must be set to OneWay.

この詳細設定を構成するには、次の文字列を入力します。To configure this advanced setting, enter the following strings:

  • キー 1: SyncPropertyNameKey 1: SyncPropertyName

  • キー 1 の値: <プロパティ名>Key 1 Value: <property name>

  • キー 2: SyncPropertyNameKey 2: SyncPropertyState

  • キー 2 の値: OneWayKey 2 Value: OneWay

これらのキーと、1 つだけのカスタム プロパティに対応する値を使用します。Use these keys and corresponding values for only one custom property.

たとえば、 [公開][全般][非常に機密性の高い社外秘] の値が考えられる、 [分類] という名前の SharePoint 列があるとします。As an example, you have a SharePoint column named Classification that has possible values of Public, General, and Highly Confidential All Employees. ドキュメントは SharePoint に格納され、[分類] プロパティの一連の値として [公開][全般][非常に機密性の高い社外秘] を持ちます。Documents are stored in SharePoint and have Public, General, or Highly Confidential All Employees as values set for the Classification property.

Office ドキュメントにこれらの分類の値のいずれかのラベルを付けるには、 [SyncPropertyName][公開] に、 [SyncPropertyState][OneWay] に設定します。To label an Office document with one of these classification values, set SyncPropertyName to Classification, and SyncPropertyState to OneWay.

ここで、ユーザーがこれらの Office ドキュメントのいずれかを開いて保存するときに、Azure Information Protection ポリシーに [公開][全般] 、または [非常に機密性の高い社外秘] の名前のラベルがあると、このいずれかにラベル付けされます。Now, when a user opens and saves one of these Office documents, it is labeled Public, General, or Highly Confidential \ All Employees if you have labels with these names in your Azure Information Protection policy. これらの名前のラベルがない場合、ドキュメントはラベル付けされないままです。If you do not have labels with these names, the document remains unlabeled.

ドキュメント内の検出された機密情報の Azure Information Protection analytics への送信を無効にするDisable sending discovered sensitive information in documents to Azure Information Protection analytics

この構成では、Azure Portal で構成する必要のあるクライアントの詳細設定を使用します。This configuration uses an advanced client setting that you must configure in the Azure portal.

Office アプリで Azure Information Protection クライアントが使用されている場合は、ドキュメントが最初に保存されたときに、機密情報が検索されます。When the Azure Information Protection client is used in Office apps, it looks for sensitive information in documents when they are first saved. クライアントが監査情報を送信しないように構成されていない場合、検出された機密情報の種類 (定義済みまたはカスタム) はAzure Information Protection analyticsに送信されます。Providing the client isn't configured to not sent audit information, any sensitive information types found (predefined or custom) are then sent to Azure Information Protection analytics.

クライアントが監査情報を送信するかどうかを制御する構成は、 [監査データを Azure Information Protection log analytics に送信する]ポリシー設定です。The configuration that controls whether the client sends audit information is the policy setting of Send audit data to Azure Information Protection log analytics. このポリシー設定がオンの場合は、ラベル付け操作を含む監査情報を送信するが、クライアントが検出した機密情報の種類を送信しないようにするには、次の文字列を入力します。When this policy setting is On because you want to send audit information that includes labeling actions but you don't want to send sensitive information types found by the client, enter the following strings:

  • キー: Runauditinformationタイプ検出Key: RunAuditInformationTypesDiscovery

  • 値: FalseValue: False

この高度なクライアント設定を設定した場合でも、クライアントから監査情報を送信できますが、情報はラベル付けアクティビティに限定されます。If you set this advanced client setting, auditing information can still be sent from the client but the information is limited to labeling activity.

たとえば、次のようになります。For example:

  • この設定を使用すると、社外秘 \ Salesというラベルが付けられたユーザーによってアクセスされたことを確認できます。With this setting, you can see that a user accessed Financial.docx that is labeled Confidential \ Sales.

  • この設定を行わないと、".docx" に6個のクレジットカード番号が含まれていることがわかります。Without this setting, you can see that Financial.docx contains 6 credit card numbers.

    • また、機密性の高いデータに対してより深い分析を有効にすると、そのクレジットカード番号を確認することができます。If you also enable deeper analytics into your sensitive data, you will additionally be able to see what those credit card numbers are.

ユーザーのサブセットに対して送信情報の種類の一致を無効にするDisable sending information type matches for a subset of users

この構成では、Azure Portal で構成する必要のあるクライアントの詳細設定を使用します。This configuration uses an advanced client setting that you must configure in the Azure portal.

Azure Information Protection analyticsのチェックボックスをオンにすると、機微なデータに対してより深い分析が可能になり、機密情報の種類またはカスタム条件に一致する内容が収集されます。既定では、この情報は次のようになります。Azure Information Protection スキャナーを実行するサービスアカウントを含むすべてのユーザーによって送信されます。When you select the checkbox for Azure Information Protection analytics that enables deeper analytics into your sensitive data collects the content matches for your sensitive information types or your custom conditions, by default, this information is sent by all users, which includes service accounts that run the Azure Information Protection scanner. このデータを送信できないユーザーがいる場合は、それらのユーザーのスコープ付きポリシーで、次のようなクライアントの詳細設定を作成します。If you have some users who should not send this data, create the following advanced client setting in a scoped policy for these users:

  • キー: LogmatchedcontentKey: LogMatchedContent

  • 値: DisableValue: Disable

スキャナーで使用されるスレッドの数を制限するLimit the number of threads used by the scanner

この構成では、Azure Portal で構成する必要のあるクライアントの詳細設定を使用します。This configuration uses an advanced client setting that you must configure in the Azure portal.

既定では、スキャナー サービスを実行しているコンピューター上の利用可能なプロセッサ リソースのすべてがスキャナーによって使われます。By default, the scanner uses all available processor resources on the computer running the scanner service. このサービスのスキャン中に CPU 使用量を制限する必要がある場合は、次の詳細設定を作成します。If you need to limit the CPU consumption while this service is scanning, create the following advanced setting.

値には、スキャナーが並列で実行できる同時スレッドの数を指定します。For the value, specify the number of concurrent threads that the scanner can run in parallel. スキャナーでは、それがスキャンするファイルごとに個別のスレッドが使われます。このため、この調整構成によって並列でスキャンできるファイルの数も定義されます。The scanner uses a separate thread for each file that it scans, so this throttling configuration also defines the number of files that can be scanned in parallel.

最初にテスト用の値を構成するときは、コアごとに 2 を指定してから、その結果を監視することをお勧めします。When you first configure the value for testing, we recommend you specify 2 per core, and then monitor the results. たとえば、4 コアのコンピューター上でスキャナーを実行する場合、最初は値を 8 に設定します。For example, if you run the scanner on a computer that has 4 cores, first set the value to 8. 必要な場合は、スキャナー コンピューターとスキャン速度に対してご自身が要求する結果のパフォーマンスに応じて、その数を増減させます。If necessary, increase or decrease that number, according to the resulting performance you require for the scanner computer and your scanning rates.

  • キー: ScannerConcurrencyLevelKey: ScannerConcurrencyLevel

  • 値: <同時スレッドの数>Value: <number of concurrent threads>

スキャナーの低整合性レベルを無効にするDisable the low integrity level for the scanner

この構成では、Azure Portal で構成する必要のあるクライアントの詳細設定を使用します。This configuration uses an advanced client setting that you must configure in the Azure portal.

既定では、Azure Information Protection スキャナーは低整合性レベルで実行されます。By default, the Azure Information Protection scanner runs with a low integrity level. この設定では、より高度なセキュリティ分離が提供されますが、パフォーマンスが低下します。This setting provides higher security isolation but at the cost of performance. 低整合性レベルは、特権を持ったアカウント (ローカル管理者アカウントなど) でスキャナーを実行する場合に適しています。この設定は、スキャナーを実行しているコンピューターを保護するのに役立ちます。A low integrity level is suitable if you run the scanner with an account that has privileged rights (such as a local administrator account) because this setting helps to protect the computer running the scanner.

ただし、スキャナーを実行するサービス アカウントに、スキャナーの前提条件のセクションで説明されている権限だけが付与されている場合、低整合性レベルは必要ありません。これはパフォーマンスに悪影響を及ぼすため、推奨されません。However, when the service account that runs the scanner has only the rights documented in the scanner prerequisites, the low integrity level is not necessary and is not recommended because it negatively affects performance.

Windows 整合性レベルについて詳しくは、「What is the Windows Integrity Mechanism?」(Windows 整合性メカニズムとは何ですか) をご覧ください。For more information about the Windows integrity levels, see What is the Windows Integrity Mechanism?

この高度な設定を構成し、Windows によって自動的に割り当てられた整合性レベルでスキャナーが実行される (標準ユーザー アカウントが中程度の整合性レベルで実行される) ようにするには、次の文字列を入力します。To configure this advanced setting so that the scanner runs with an integrity level that's automatically assigned by Windows (a standard user account runs with a medium integrity level), enter the following strings:

  • キー: ProcessUsingLowIntegrityKey: ProcessUsingLowIntegrity

  • 値: FalseValue: False

スキャナーのタイムアウト設定を変更するChange the timeout settings for the scanner

この構成では、Azure portal で構成する必要のあるアドバンストクライアント設定を使用します。This configuration uses advanced client settings that you must configure in the Azure portal.

既定では、Azure Information Protection スキャナーのタイムアウト期間は 00:15:00 (15 分) に設定されており、機密情報の種類やカスタム条件用に構成した regex 式の各ファイルを検査します。By default, the Azure Information Protection scanner has a timeout period of 00:15:00 (15 minutes) to inspect each file for sensitive information types or the regex expressions that you've configured for custom conditions. このコンテンツ抽出プロセスのタイムアウト期間に達すると、タイムアウト前のすべての結果が返され、ファイルに対するさらなる検査が停止します。When the timeout period is reached for this content extraction process, any results before the timeout are returned and further inspection for the file stops. このシナリオでは、%localappdata% \ Microsoft\MSIP\Logs\MSIPScanner.iplog (複数のログがある場合は zip) に次のエラーメッセージが記録されます: getcontentparts が失敗しました。詳細については、操作が取り消されました。In this scenario, the following error message is logged in %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (zipped if there are multiple logs): GetContentParts failed with The operation was canceled in the details.

大きなファイルが原因でこのタイムアウトの問題が発生した場合は、コンテンツを完全に抽出するために、このタイムアウト期間を長くすることができます。If you experience this timeout problem because of large files, you can increase this timeout period for full content extraction:

  • キー: ContentextractiontimeoutKey: ContentExtractionTimeout

  • 値: < hh: min: sec >Value: <hh:min:sec>

ファイルの種類は、ファイルのスキャンにかかる時間に影響を与える可能性があります。The file type can influence how long it takes to scan a file. スキャン時間の例:Example scanning times:

  • 一般的な 100 MB の Word ファイル: 0.5 ~ 5 分A typical 100 MB Word file: 0.5-5 minutes

  • 一般的な 100 MB PDF ファイル: 5-20 分A typical 100 MB PDF file: 5-20 minutes

  • 一般的な 100 MB の Excel ファイル: 12-30 分A typical 100 MB Excel file: 12-30 minutes

ビデオファイルなど、非常に大きいファイルの種類によっては、スキャナープロファイルの [スキャンするファイルの種類] オプションにファイル名拡張子を追加して、スキャンから除外することを検討してください。For some file types that are very large, such as video files, consider excluding them from the scan by adding the file name extension to the File types to scan option in the scanner profile.

さらに、Azure Information Protection スキャナーでは、処理するファイルごとに 00:30:00 (30 分) のタイムアウト期間があります。In addition, the Azure Information Protection scanner has a timeout period of 00:30:00 (30 minutes) for each file that it processes. この値は、リポジトリからファイルを取得するためにかかる時間を考慮し、暗号化解除、検査、ラベル付け、および暗号化のためのコンテンツの抽出を含む操作のために、一時的にファイルをローカルに保存します。This value takes into account the time it can take to retrieve a file from a repository and temporarily save it locally for actions that can include decryption, content extraction for inspection, labeling, and encryption.

Azure Information Protection スキャナーは、1分間に数十から数百のファイルをスキャンできますが、非常に大きなファイルを持つデータリポジトリがある場合、スキャナーはこの既定のタイムアウト期間を超えることがあり、Azure portal は30後に停止するように見えます。~.Although the Azure Information Protection scanner can scan dozens to hundreds of files per minute, if you have a data repository that has a high number of very large files, the scanner can exceed this default timeout period and in the Azure portal, seem to stop after 30 minutes. このシナリオでは、次のエラーメッセージが%localappdata% \ Microsoft\MSIP\Logs\MSIPScanner.iplog (複数のログがある場合は zip) と、スキャナーの .csv ログファイル (操作が取り消されました) に記録されます。In this scenario, the following error message is logged in %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (zipped if there are multiple logs) and the scanner .csv log file: The operation was canceled.

既定では、4コアプロセッサを搭載したスキャナーには、スキャン用に16個のスレッドがあり、30分間に16の大きなファイルを検出する確率は、大きなファイルの比率によって異なります。A scanner with 4 core processors by default has 16 threads for scanning and the probability of encountering 16 large files in a 30 minute time period depends on the ratio of the large files. たとえば、スキャンレートが1分あたり200ファイルで、ファイルの1% が30分のタイムアウトを超えると、85% を超える可能性があります。これは、スキャナーで30分間のタイムアウト状況が発生する可能性があります。For example, if the scanning rate is 200 files per minute, and 1% of files exceed the 30 minute timeout, there is a probability of more than 85% that the scanner will encounter the 30 minute timeout situation. これらのタイムアウトによって、スキャン時間が長くなり、メモリ使用量が増加する可能性があります。These timeouts can result in longer scanning times and higher memory consumption.

このような状況では、スキャナーコンピューターにコアプロセッサを追加できない場合は、スキャン速度の向上とメモリ消費量の削減のためにタイムアウト期間を短縮することを検討してください。ただし、一部のファイルは除外されます。In this situation, if you cannot add more core processors to the scanner computer, consider decreasing the timeout period for better scanning rates and lower memory consumption, but with the acknowledgment that some files will be excluded. または、より正確なスキャン結果を得るために、タイムアウト期間を長くすることを検討してください。ただし、この構成では、スキャン速度が低下し、メモリ消費量が高くなる可能性があります。Alternatively, consider increasing the timeout period for more accurate scanning results but with the acknowledgment that this configuration will likely result in lower scanning rates and higher memory consumption.

ファイル処理のタイムアウト期間を変更するには、次の高度なクライアント設定を構成します。To change the timeout period for file processing, configure the following advanced client setting:

  • キー: FileprocessingtimeoutKey: FileProcessingTimeout

  • 値: < hh: min: sec >Value: <hh:min:sec>

ローカルのログ記録レベルを変更するChange the local logging level

この構成では、Azure Portal で構成する必要のあるクライアントの詳細設定を使用します。This configuration uses an advanced client setting that you must configure in the Azure portal.

既定では、Azure Information Protection クライアントでは %localappdata%\Microsoft\MSIP フォルダーにクライアント ログ ファイルが書き込まれます。By default, the Azure Information Protection client writes client log files to the %localappdata%\Microsoft\MSIP folder. これらのファイルは、Microsoft サポートによるトラブルシューティングを目的としています。These files are intended for troubleshooting by Microsoft Support.

これらのファイルに対するログ記録レベルを変更するには、次のクライアントの詳細設定を構成します。To change the logging level for these files, configure the following advanced client setting:

  • キー: LogLevelKey: LogLevel

  • 値: <ログ記録レベル>Value: <logging level>

ログ記録レベルに次の値のいずれかを設定します。Set the logging level to one of the following values:

  • オフ: ローカルログはありません。Off: No local logging.

  • エラー: エラーのみ。Error: Errors only.

  • Info: 最小ログ記録。イベント id が含まれません (スキャナーの既定の設定)。Info: Minimum logging, which includes no event IDs (the default setting for the scanner).

  • デバッグ: 完全な情報。Debug: Full information.

  • トレース: 詳細なログ記録 (クライアントの既定の設定)。Trace: Detailed logging (the default setting for clients). スキャナーの場合、この設定はパフォーマンスに大きな影響を与えるため、スキャナーに対しては Microsoft サポートから要求された場合にのみ有効にする必要があります。For the scanner, this setting has a significant performance impact and should be enabled for the scanner only if requested by Microsoft Support. このレベルのログ記録をスキャナー用に設定するよう指示された場合は、関連ログの収集が完了したときに別の値に設定することを忘れないでください。If you are instructed to set this level of logging for the scanner, remember to set a different value when the relevant logs have been collected.

このクライアントの詳細設定によって、中央レポート機能のために Azure Information Protection に送信される情報が変更されたり、ローカルのイベント ログに書き込まれる情報が変更されたりすることはありません。This advanced client setting does not change the information that's sent to Azure Information Protection for central reporting, or change the information that's written to the local event log.

Exchange メッセージ分類との統合によるモバイル デバイスのラベル付けソリューションIntegration with Exchange message classification for a mobile device labeling solution

Web 上の outlook では、Exchange Online のラベル付けがサポートされるようになりました。これは、Outlook で電子メールにラベルを付ける方法として推奨されています。Outlook on the web now supports built-in labeling for Exchange Online, which is the recommended method to label emails in Outlook on the web. ただし、Office 365 セキュリティ/コンプライアンスセンター、Microsoft 365 Security center、または Microsoft コンプライアンスセンターから公開されている機密ラベルをまだ使用していない場合は、Exchange メッセージ分類を使用して Azure の情報を拡張できます。モバイルユーザーが web 上で Outlook を使用する場合の保護ラベル。However, if you're not yet using sensitivity labels that are published from the Office 365 Security & Compliance Center, Microsoft 365 security center, or Microsoft compliance center, you can use Exchange message classification to extend Azure Information Protection labels to your mobile users when they use Outlook on the web. この方法は、Exchange Server にも使用できます。You can also use this method for Exchange Server.

Outlook Mobile では、Exchange のメッセージ分類がサポートされません。Outlook Mobile does not support Exchange message classification.

このソリューションを実現するには:To achieve this solution:

  1. New-MessageClassification Exchange PowerShell コマンドレットを使用して、Azure Information Protection ポリシーのラベル名にマップする名前プロパティでメッセージの分類を作成します。Use the New-MessageClassification Exchange PowerShell cmdlet to create message classifications with the Name property that maps to your label names in your Azure Information Protection policy.

  2. ラベルごとに Exchange メール フロー ルールを作成します。メッセージのプロパティに構成した分類が含まれる場合はルールを適用し、メッセージ プロパティを変更してメッセージ ヘッダーを設定します。Create an Exchange mail flow rule for each label: Apply the rule when the message properties include the classification that you configured, and modify the message properties to set a message header.

    メッセージヘッダーについては、Azure Information Protection ラベルを使用して送信および分類した電子メールのインターネットヘッダーを調べることによって、指定する情報を見つけることができます。For the message header, you find the information to specify by inspecting the internet headers of an email that you sent and classified by using your Azure Information Protection label. ヘッダー msip_labels と、そのすぐあとに続く文字列 (セミコロンまでが対象) を探します。Look for the header msip_labels and the string that immediately follows, up to and including the semicolon. たとえば、次のようになります。For example:

    msip_labels: MSIP_Label_0e421e6d-ea17-4fdb-8f01-93a3e71333b8_Enabled=True;msip_labels: MSIP_Label_0e421e6d-ea17-4fdb-8f01-93a3e71333b8_Enabled=True;

    ルール内のメッセージ ヘッダーの場合は、ヘッダーとして msip_labels を指定し、ヘッダー値としてこの文字列の残りの部分を指定します。Then, for the message header in the rule, specify msip_labels for the header, and the remainder of this string for the header value. たとえば、次のようになります。For example:

    例: 特定の Azure Information Protection ラベルのメッセージ ヘッダーを設定する Exchange Online メール フロー ルール

    注: ラベルがサブラベルである場合は、ヘッダー値のサブラベルの前に、同じ形式を使って親ラベルも指定する必要があります。Note: When the label is a sublabel, you must also specify the parent label before the sublabel in the header value, using the same format. たとえば、サブラベルの GUID が 27efdf94-80a0-4d02-b88c-b615c12d69a9 である場合、値は MSIP_Label_ab70158b-bdcc-42a3-8493-2a80736e9cbd_Enabled=True;MSIP_Label_27efdf94-80a0-4d02-b88c-b615c12d69a9_Enabled=True; のようになります。For example, if your sublabel has a GUID of 27efdf94-80a0-4d02-b88c-b615c12d69a9, your value might look like the following: MSIP_Label_ab70158b-bdcc-42a3-8493-2a80736e9cbd_Enabled=True;MSIP_Label_27efdf94-80a0-4d02-b88c-b615c12d69a9_Enabled=True;

この構成のテストを行う前に、メール フロー ルールを作成または編集すると遅延 (たとえば、1 時間の遅延) がよく発生することを念頭においてください。Before you test this configuration, remember that there is often a delay when you create or edit mail flow rules (for example, wait an hour). このルールを有効にすると、ユーザーが Outlook on the web を使用したときに次のイベントが発生するようになります。When the rule is in effect, the following events now happen when users use Outlook on the web:

  • ユーザーが Exchange のメッセージ分類を選択して電子メールを送信します。Users select the Exchange message classification and send the email.

  • Exchange ルールにより Exchange の分類が検出され、ルールに従ってメッセージ ヘッダーが変更されて、Azure Information Protection の分類が追加されます。The Exchange rule detects the Exchange classification and accordingly modifies the message header to add the Azure Information Protection classification.

  • Azure Information Protection クライアントをインストール済みである内部受信者が Outlook で電子メールを表示すると、Azure Information Protection の割り当てられたラベルが表示されます。When internal recipients view the email in Outlook and they have the Azure Information Protection client installed, they see the Azure Information Protection label assigned.

Azure Information Protection ラベルに保護が適用されている場合は、この保護をルールの構成に追加します。メッセージセキュリティを変更するオプションを選択し、権利保護を適用して、[保護] テンプレートまたは [転送不可] オプションを選択します。If your Azure Information Protection labels apply protection, add this protection to the rule configuration: Selecting the option to modify the message security, apply rights protection, and then select the protection template or Do Not Forward option.

また、メール フロー ルールを構成して、リバース マッピングを行うこともできます。You can also configure mail flow rules to do the reverse mapping. Azure Information Protection ラベルが検出された場合は、対応する Exchange メッセージの分類を設定します。When an Azure Information Protection label is detected, set a corresponding Exchange message classification:

  • Azure Information Protection のラベルごとに、msip_labels ヘッダーにラベル名 (General など) が含まれている場合に適用されるメール フロー ルールを作成し、このラベルにマッピングするメッセージ分類を適用します。For each Azure Information Protection label: Create a mail flow rule that is applied when the msip_labels header includes the name of your label (for example, General), and apply a message classification that maps to this label.

次のステップNext steps

これで Azure Information Protection クライアントのカスタマイズができました。次に、このクライアントのサポートに必要な追加情報を記載した以下の記事をご覧ください。Now that you've customized the Azure Information Protection client, see the following resources for additional information that you might need to support this client: