管理者ガイド: Azure Information Protection クライアントのカスタム構成Admin Guide: Custom configurations for the Azure Information Protection client

適用対象:Active Directory Rights Management サービス、Azure Information Protection、Windows 10、Windows 8.1、Windows 8、Windows 7 SP1、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2Applies to: Active Directory Rights Management Services, Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows 7 with SP1, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2

以下の情報を使用して、詳細構成を行います。これらの構成は、Azure Information Protection クライアントを管理する際に、特定のシナリオまたはユーザーのサブセットで必要となる場合があります。Use the following information for advanced configurations that you might need for specific scenarios or a subset of users when you manage the Azure Information Protection client.

これらの設定には、レジストリの編集が必要なものや、Azure Portal で構成する必要のある詳細設定を使用するものなどがあります。設定はこの後にクライアントに公開され、ダウンロードされます。Some of these settings require editing the registry and some use advanced settings that you must configure in the Azure portal, and then publish for clients to download.

ポータルでクライアントの詳細構成設定を構成する方法How to configure advanced client configuration settings in the portal

  1. まだサインインしていない場合は、新しいブラウザーのウィンドウで Azure Portal にサインインして、[Azure Information Protection] ブレードに移動します。If you haven't already done so, in a new browser window, sign in to the Azure portal, and then navigate to the Azure Information Protection blade.

  2. [分類] > [ラベル] メニュー オプションから、[ポリシー] を選択します。From the Classifications > Labels menu option: Select Policies.

  3. [Azure Information Protection - ポリシー] ブレードで、詳細設定を含めるために、ポリシーの横にあるコンテキスト メニュー [...] を選択します。On the Azure Information Protection - Policies blade, select the context menu (...) next to the policy to contain the advanced settings. 次に [詳細設定] を選択します。Then select Advanced settings.

    スコープ付きポリシーだけでなく、グローバル ポリシーの詳細設定も構成できます。You can configure advanced settings for the Global policy, as well as for scoped policies.

  4. [詳細設定] ブレードで、詳細設定の名前と値を入力し、[保存して閉じる] を選択します。On the Advanced settings blade, type the advanced setting name and value, and then select Save and close.

  5. このポリシーのユーザーが開いていたすべての Office アプリケーションを再起動するようにしてください。Make sure that users for this policy restart any Office applications that they had open.

  6. 設定が不要になり、既定の動作に戻す場合は、[詳細設定] ブレードで、不要になった設定の横にあるコンテキスト メニュー (...) を選択し、[削除] を選びます。If you no longer need the setting and want to revert to the default behavior: On the Advanced settings blade, select the context menu (...) next to the setting you no longer need, and then select Delete. 次に、[保存して閉じる] をクリックします。Then click Save and close.

使用可能なクライアントの詳細設定Available advanced client settings

設定Setting シナリオと手順Scenario and instructions
DisableDNFDisableDNF Outlook の [転送不可] ボタンを表示または非表示にするHide or show the Do Not Forward button in Outlook
CompareSubLabelsInAttachmentActionCompareSubLabelsInAttachmentAction サブラベルの順序のサポートを有効にするEnable order support for sublabels
EnableBarHidingEnableBarHiding Azure Information Protection バーを完全に非表示にするPermanently hide the Azure Information Protection bar
EnableCustomPermissionsEnableCustomPermissions ユーザーに対してカスタムのアクセス許可オプションを利用可能または利用不可にするMake the custom permissions options available or unavailable to users
EnableCustomPermissionsForCustomProtectedFilesEnableCustomPermissionsForCustomProtectedFiles カスタム アクセス許可で保護されているファイルについて、ファイル エクスプローラーでカスタム アクセス許可を常にユーザーに表示するFor files protected with custom permissions, always display custom permissions to users in File Explorer
EnablePDFv2ProtectionEnablePDFv2Protection PDF 暗号化の ISO 標準を使用して PDF ファイルを保護しないDon't protect PDF files by using the ISO standard for PDF encryption
LabelbyCustomPropertyLabelbyCustomProperty Secure Islands からのラベルの移行と、その他のラベル付けのソリューションMigrate labels from Secure Islands and other labeling solutions
LabelToSMIMELabelToSMIME ラベルを構成して Outlook で S/MIME 保護を適用するConfigure a label to apply S/MIME protection in Outlook
LogLevelLogLevel ローカルのログ記録レベルを変更するChange the local logging level
LogMatchedContentLogMatchedContent ユーザーのサブセットに対して送信情報の種類の一致を無効にするDisable sending information type matches for a subset of users
OutlookBlockUntrustedCollaborationLabelOutlookBlockUntrustedCollaborationLabel Outlook で、送信される電子メールに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装するImplement pop-up messages in Outlook that warn, justify, or block emails being sent
OutlookCollaborationTrustedDomainsOutlookCollaborationTrustedDomains Outlook で、送信される電子メールに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装するImplement pop-up messages in Outlook that warn, justify, or block emails being sent
OutlookDefaultLabelOutlookDefaultLabel Outlook に別の既定ラベルを設定するSet a different default label for Outlook
OutlookJustifyUntrustedCollaborationLabelOutlookJustifyUntrustedCollaborationLabel Outlook で、送信される電子メールに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装するImplement pop-up messages in Outlook that warn, justify, or block emails being sent
OutlookRecommendationEnabledOutlookRecommendationEnabled Outlook で推奨分類を有効にするEnable recommended classification in Outlook
OutlookWarnUntrustedCollaborationLabelOutlookWarnUntrustedCollaborationLabel Outlook で、送信される電子メールに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装するImplement pop-up messages in Outlook that warn, justify, or block emails being sent
PostponeMandatoryBeforeSavePostponeMandatoryBeforeSave 必須のラベル付けを使用するときにドキュメントの "後で" を削除するRemove "Not now" for documents when you use mandatory labeling
ProcessUsingLowIntegrityProcessUsingLowIntegrity スキャナーの低整合性レベルを無効にするDisable the low integrity level for the scanner
PullPolicyPullPolicy 切断されたコンピューターのサポートSupport for disconnected computers
RemoveExternalContentMarkingInAppRemoveExternalContentMarkingInApp 他のラベル付けソリューションからヘッダーとフッターを削除するRemove headers and footers from other labeling solutions
ReportAnIssueLinkReportAnIssueLink ユーザーの "問題の報告" を追加するAdd "Report an Issue" for users
RunAuditInformationTypeDiscoveryRunAuditInformationTypeDiscovery ドキュメント内の機密情報を検出する Azure Information Protection 分析を有効にするEnable Azure Information Protection analytics to discover sensitive information in documents
RunPolicyInBackgroundRunPolicyInBackground バックグラウンドでの分類の継続的実行をオンにするTurn on classification to run continuously in the background
ScannerConcurrencyLevelScannerConcurrencyLevel スキャナーで使用されるスレッドの数を制限するLimit the number of threads used by the scanner
SyncPropertyNameSyncPropertyName 既存のカスタム プロパティを使用して Office ドキュメントにラベルを付けるLabel an Office document by using an existing custom property
SyncPropertyStateSyncPropertyState 既存のカスタム プロパティを使用して Office ドキュメントにラベルを付けるLabel an Office document by using an existing custom property

AD RMS 専用コンピューターのサインイン プロンプトが表示されないようにするPrevent sign-in prompts for AD RMS only computers

既定では、Azure Information Protection クライアントは Azure Information Protection サービスへ自動的に接続しようとします。By default, the Azure Information Protection client automatically tries to connect to the Azure Information Protection service. AD RMS とのみ通信するコンピューターの場合、この構成では不必要なサインイン プロンプトがユーザーに表示されます。For computers that only communicate with AD RMS, this configuration can result in a sign-in prompt for users that is not necessary. レジストリを編集し、このサインイン プロンプトが表示されないようにすることができます。You can prevent this sign-in prompt by editing the registry.

  • 次の値の名前を検索し、値データを 0 に設定します。Locate the following value name, and then set the value data to 0:

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownloadHKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload

この設定に関係なく、Azure Information Protection クライアントは引き続き標準 RMS サービス検索プロセスに従い、その AD RMS クラスターを検出します。Regardless of this setting, the Azure Information Protection client still follows the standard RMS service discovery process to find its AD RMS cluster.

別のユーザーでのサイン インSign in as a different user

通常、運用環境では、Azure Information Protection クライアントを使用しているときに別のユーザーとしてサインインする必要はありません。In a production environment, users wouldn't usually need to sign in as a different user when they are using the Azure Information Protection client. ただし管理者の場合は、テスト段階のときに別ユーザーとしてサインインする必要がある場合があります。However, as an administrator, you might need to sign in as a different user during a testing phase.

[Microsoft Azure Information Protection] ダイアログ ボックスを使用して、現在サインインしているアカウントを確認することができます。Office アプリケーションを開き、[ホーム] タブの保護グループで、[保護][ヘルプとフィードバック] の順にクリックします。You can verify which account you're currently signed in as by using the Microsoft Azure Information Protection dialog box: Open an Office application and on the Home tab, in the Protection group, click Protect, and then click Help and feedback. アカウント名が [クライアント ステータス] セクションに表示されます。Your account name is displayed in the Client status section.

表示されるサインイン アカウントのドメイン名も必ず確認してください。Be sure to also check the domain name of the signed in account that's displayed. 正しいアカウントでサインインしていてもドメインが間違っている、という状況は気付きにくいものです。It can be easy to miss that you're signed in with the right account name but wrong domain. 適切ではないアカウントが使用された場合は、Azure Information Protection ポリシーのダウンロードが失敗することや、目的のラベルや機能が表示されないことがあります。A symptom of using the wrong account includes failing to download the Azure Information Protection policy, or not seeing the labels or behavior that you expect.

別のユーザーでサイン インする方法は以下の通りです。To sign in as a different user:

  1. %localappdata%\Microsoft\MSIP に移動し、TokenCache ファイルを削除します。Navigate to %localappdata%\Microsoft\MSIP and delete the TokenCache file.

  2. 開いている Office アプリケーションがあれば再起動し、別のユーザー アカウントでサインインします。Restart any open Office applications and sign in with your different user account. Azure Information Protection サービスにサインインするように求めるプロンプトが Office アプリケーションで表示されない場合、[Microsoft Azure Information Protection] ダイアログ ボックスに戻り、更新された [クライアント ステータス] セクションの [サインイン] をクリックします。If you do not see a prompt in your Office application to sign in to the Azure Information Protection service, return to the Microsoft Azure Information Protection dialog box and click Sign in from the updated Client status section.

補足:Additionally:

  • これらの手順を完了した後も Azure Information Protection クライアントがまだ古いアカウントを使用してサインインしている場合は、Internet Explorer からすべての cookie を削除してから、手順 1 と 2 をもう一度実行します。If the Azure Information Protection client is still signed in with the old account after completing these steps, delete all cookies from Internet Explorer, and then repeat steps 1 and 2.

  • シングル サインオンを使用する場合は、トークン ファイルを削除した後に Windows からサインアウトし、別のユーザー アカウントでサインインする必要があります。If you are using single sign-on, you must sign out from Windows and sign in with your different user account after deleting the token file. Azure Information Protection クライアントは、現在サインインしているユーザーアカウントを使用して、自動的に認証を行います。The Azure Information Protection client then automatically authenticates by using your currently signed in user account.

  • このソリューションでは、同じテナントから別ユーザーとしてサインインする操作がサポートされています。This solution is supported for signing in as another user from the same tenant. 別のテナントから別のユーザーとしてサインインする操作はサポートされていません。It is not supported for signing in as another user from a different tenant. 複数のテナントがある Azure Information Protection をテストするには、異なるコンピューターを使用します。To test Azure Information Protection with multiple tenants, use different computers.

  • [ヘルプとフィードバック][設定のリセット] オプションからサインアウトし、現在ダウンロードされている Azure Information Protection ポリシーを削除できます。You can use the Reset settings option from Help and Feedback to sign out and delete the currently downloaded Azure Information Protection policy.

組織が種類の異なるライセンスを保有している場合の保護のみモードの適用Enforce protection-only mode when your organization has a mix of licenses

組織が Azure Information Protection のライセンスを保有せず、データ保護のために Azure Rights Management サービスを含む Office 365 のライセンスを保有している場合、Azure Information Protection クライアント (Windows 用) は自動的に保護のみモードで実行されます。If your organization does not have any licenses for Azure Information Protection, but does have licenses for Office 365 that include the Azure Rights Management service for protecting data, the Azure Information Protection client for Windows automatically runs in protection-only mode.

ただし、組織が Azure Information Protection のサブスクリプションを保有している場合は、既定で、すべての Windows コンピューターで Azure Information Protection ポリシーをダウンロードできます。However, if your organization has a subscription for Azure Information Protection, by default all Windows computers can download the Azure Information Protection policy. Azure Information Protection クライアントはライセンスのチェックと適用を行いません。The Azure Information Protection client does not do license checking and enforcement.

Azure Information Protection のライセンスを保有せず、Azure Rights Management サービスを含む Office 365 のライセンスを保有しているユーザーがいる場合には、対象ユーザーのコンピューター上のレジストリを編集して、ライセンス付与されていない Azure Information Protection の分類とラベル付け機能が実行されないようにします。If you have some users who do not have a license for Azure Information Protection but do have a license for Office 365 that includes the Azure Rights Management service, edit the registry on these users' computers to prevent users from running the unlicensed classification and labeling features from Azure Information Protection.

次の値の名前を検索し、値を 0 に設定します。Locate the following value name and set the value data to 0:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownloadHKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload

また、これらのコンピューターの %LocalAppData%\Microsoft\MSIP フォルダーに、Policy.msip という名前のファイルがないことを確認します。In addition, check that these computers do not have a file named Policy.msip in the %LocalAppData%\Microsoft\MSIP folder. このファイルが存在する場合は、削除します。If this file exists, delete it. このファイルには Azure Information Protection ポリシーが含まれており、レジストリを編集する前、または Azure Information Protection クライアントをデモ オプションを使用してインストールした場合に、ダウンロードされた可能性があります。This file contains the Azure Information Protection policy and might have downloaded before you edited the registry, or if the Azure Information Protection client was installed with the demo option.

ユーザー向けの "問題の報告" を追加するAdd "Report an Issue" for users

この構成では、Azure Portal で構成する必要のあるクライアントの詳細設定を使用します。This configuration uses an advanced client setting that you must configure in the Azure portal.

次のクライアントの詳細設定を指定すると、ユーザーに、[ヘルプとフィードバック] クライアント ダイアログ ボックスから選択できる [問題の報告] オプションが表示されます。When you specify the following advanced client setting, users see a Report an Issue option that they can select from the Help and Feedback client dialog box. リンクの HTTP 文字列を指定します。Specify an HTTP string for the link. たとえば、ユーザーが問題を報告するための、カスタマイズされた独自の Web ページや、ヘルプ デスクに送信される電子メール アドレスです。For example, a customized web page that you have for users to report issues, or an email address that goes to your help desk.

この詳細設定を構成するには、次の文字列を入力します。To configure this advanced setting, enter the following strings:

  • キー:ReportAnIssueLinkKey: ReportAnIssueLink

  • 値:<HTTP 文字列>Value: <HTTP string>

Web サイトの値の例: https://support.contoso.comExample value for a website: https://support.contoso.com

メール アドレスの値の例: mailto:helpdesk@contoso.comExample value for an email address: mailto:helpdesk@contoso.com

エクスプローラーの [Hide the Classify and Protect](分類の非表示と保護) メニュー オプションHide the Classify and Protect menu option in Windows File Explorer

次の DWORD 値の名前を (任意の値と共に) 作成します。Create the following DWORD value name (with any value data):

HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisableHKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisable

切断されたコンピューターのサポートSupport for disconnected computers

既定では、Azure Information Protection クライアントは Azure Information Protection サービスへ自動的に接続し、Azure Information Protection の最新のポリシーのダウンロードを試みます。By default, the Azure Information Protection client automatically tries to connect to the Azure Information Protection service to download the latest Azure Information Protection policy. 一定期間インターネットに接続できないコンピューターがある場合は、レジストリを編集することでサービスに接続しようとしないように設定することができます。If you have computers that you know will not be able to connect to the Internet for a period of time, you can prevent the client from attempting to connect to the service by editing the registry.

インターネットに接続されていない場合、クライアントは、組織のクラウドベース キーを使用することによる保護 (または保護の削除) を適用できません。Note that without an Internet connection, the client cannot apply protection (or remove protection) by using your organization's cloud-based key. 代わりに、クライアントは、分類にのみ適用されるラベルの使用か、HYOK を使用する保護に制限されます。Instead, the client is limited to using labels that apply classification only, or protection that uses HYOK.

Azure Information Protection サービスへのサインイン プロンプトが表示されないようにするには、Azure portal で構成する必要があるクライアントの詳細設定を使い、コンピューターにポリシーをダウンロードします。You can prevent a sign-in prompt to the Azure Information Protection service by using an advanced client setting that you must configure in the Azure portal and then download the policy for computers. または、レジストリを編集してこのサインイン プロンプトが表示されないようにすることができます。Or, you can prevent this sign-in prompt by editing the registry.

  • クライアントの詳細設定を構成するには:To configure the advanced client setting:

    1. 次の文字列を入力します。Enter the following strings:

      • キー:PullPolicyKey: PullPolicy

      • 値:FalseValue: False

    2. この設定を含むポリシーをダウンロードし、後続の手順に従ってそれをコンピューターにインストールします。Download the policy with this setting and install it on computers by using the instructions that follow.

  • または、レジストリを編集するには:Alternatively, to edit the registry:

    • 次の値の名前を検索し、値データを 0 に設定します。Locate the following value name, and then set the value data to 0:

      HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownloadHKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload

クライアントは、%LocalAppData%\Microsoft\MSIP フォルダー内に、Policy.msip という名前の有効なポリシー ファイルを置く必要があります。The client must have a valid policy file named Policy.msip, in the %LocalAppData%\Microsoft\MSIP folder.

Azure portal からグローバル ポリシーまたはスコープ ポリシーをエクスポートし、エクスポートしたファイルをクライアントのコンピューターにコピーすることができます。You can export the global policy or a scoped policy from the Azure portal, and copy the exported file to the client computer. この方法を使用して、古いポリシー ファイルを最新のポリシーに置き換えることもできます。You can also use this method to replace an-out-of-date policy file with the latest policy. ただし、ポリシーのエクスポートでは、ユーザーが複数のスコープ ポリシーに属しているシナリオはサポートされません。However, exporting the policy does not support the scenario where a user belongs to more than one scoped policy. また、ユーザーが [ヘルプとフィードバック][設定のリセット] オプションを選択する場合、このアクションによってポリシー ファイルが削除され、ポリシー ファイルを手動で交換するか、クライアントがポリシーをダウンロードするためにサービスに接続するまで、クライアントは動作できなくなります。Also be aware that if users select the Reset Settings option from Help and feedback, this action deletes the policy file and renders the client inoperable until you manually replace the policy file or the client connects to the service to download the policy.

Azure Portal からポリシーをエクスポートすると、ポリシーの複数のバージョンを含む zip 形式のファイルがダウンロードされます。When you export the policy from the Azure portal, a zipped file is downloaded that contains multiple versions of the policy. ポリシーの各バージョンは、Azure Information Protection クライアントのさまざまなバージョンに対応しています。These policy versions correspond to different versions of the Azure Information Protection client:

  1. ファイルを解凍し、次の表を利用して必要なポリシー ファイルを特定します。Unzip the file and use the following table to identify which policy file you need.

    ファイル名File name 対応するクライアント バージョンCorresponding client version
    Policy1.1.msipPolicy1.1.msip バージョン 1.2version 1.2
    Policy1.2.msipPolicy1.2.msip バージョン 1.3 - 1.7version 1.3 - 1.7
    Policy1.3.msipPolicy1.3.msip バージョン 1.8 - 1.29version 1.8 - 1.29
    Policy1.4.msipPolicy1.4.msip バージョン 1.32 以降version 1.32 and later
  2. 特定したファイルの名前を Policy.msip に変更し、Azure Information Protection クライアントがインストールされているコンピューターの %LocalAppData%\Microsoft\MSIP フォルダーにコピーします。Rename the identified file to Policy.msip, and then copy it to the %LocalAppData%\Microsoft\MSIP folder on computers that have the Azure Information Protection client installed.

切断されたコンピューターでプレビュー バージョンの Azure Information Protection スキャナーが実行されている場合は、追加の構成手順を実行する必要があります。If your disconnected computer is running the preview version of the Azure Information Protection scanner, there are additional configuration steps you must take. 詳細については、「制限: スキャナー サーバーがインターネット接続できない」(スキャナーのデプロイ手順) をご覧ください。For more information, see Restriction: The scanner server cannot have Internet connectivity from the scanner deployment instructions.

Outlook の [転送不可] ボタンを表示または非表示にするHide or show the Do Not Forward button in Outlook

このオプションを構成するには、ポリシー設定[Add the Do Not Forward button to the Outlook ribbon](Outlook リボンに [転送不可] ボタンを追加する) を使用することをお勧めします。The recommended method to configure this option is by using the policy setting Add the Do Not Forward button to the Outlook ribbon. ただし、Azure Portal で構成するクライアントの詳細設定を使用して、このオプションを構成することもできます。However, you can also configure this option by using an advanced client setting that you configure in the Azure portal.

この設定を構成すると、Outlook のリボンの [転送不可] ボタンが表示または非表示になります。When you configure this setting, it hides or shows the Do Not Forward button on the ribbon in Outlook. この設定は、Office メニューからの [転送不可] オプションには影響しません。This setting has no effect on the Do Not Forward option from Office menus.

この詳細設定を構成するには、次の文字列を入力します。To configure this advanced setting, enter the following strings:

  • キー:DisableDNFKey: DisableDNF

  • 値:ボタンを非表示にするには True、ボタンを表示するには FalseValue: True to hide the button, or False to show the button

ユーザーに対してカスタムのアクセス許可オプションを利用可能または利用不可にするMake the custom permissions options available or unavailable to users

このオプションを構成するには、ポリシー設定[Make the custom permissions option available to users](ユーザーがカスタム アクセス許可オプションを使用できるようにする) を使用することをお勧めします。The recommended method to configure this option is by using the policy setting Make the custom permissions option available for users. ただし、Azure Portal で構成するクライアントの詳細設定を使用して、このオプションを構成することもできます。However, you can also configure this option by using an advanced client setting that you configure in the Azure portal.

この設定を構成して、ユーザーにポリシーを公開した場合、ユーザーが独自の保護設定を選択できるように、カスタムのアクセス許可オプションが表示されるか、または、確認メッセージが表示されない限り、ユーザーが独自の保護設定を選択できないように非表示になります。When you configure this setting and publish the policy for users, the custom permissions options become visible for users to select their own protection settings, or they are hidden so that users can't select their own protection settings unless prompted.

この詳細設定を構成するには、次の文字列を入力します。To configure this advanced setting, enter the following strings:

  • キー:EnableCustomPermissionsKey: EnableCustomPermissions

  • 値:カスタム アクセス許可オプションを表示する場合は True、このオプションを非表示にする場合は FalseValue: True to make the custom permissions option visible, or False to hide this option

カスタム アクセス許可で保護されているファイルについて、ファイル エクスプローラーでカスタム アクセス許可を常にユーザーに表示するFor files protected with custom permissions, always display custom permissions to users in File Explorer

この構成では、Azure Portal で構成する必要のあるクライアントの詳細設定を使用します。This configuration uses an advanced client setting that you must configure in the Azure portal. この設定はプレビュー段階であり、クライアントのプレビュー版が必要になります。This setting is in preview and requires the preview version of the client.

ポリシー設定[Make the custom permissions option available to users](ユーザーがカスタム アクセス許可オプションを使用できるようにする)、または前のセクションの同等のクライアント詳細設定を構成した場合、ユーザーは、保護されたドキュメントで既に設定されているカスタム アクセス許可を表示または変更できません。When you configure the policy setting Make the custom permissions option available for users or the equivalent advanced client setting in the previous section, users are not able to see or change custom permissions that are already set in a protected document.

このクライアント詳細設定を作成して構成した場合、ユーザーはファイル エクスプローラーを使用してファイルを右クリックすることで、保護されたドキュメントのカスタム アクセス許可を表示および変更できます。When you create and configure this advanced client setting, users can see and change custom permissions for a protected document when they use File Explorer, and right-click the file. Office リボンの [保護] ボタンからの [カスタム アクセス許可] オプションは、非表示のままです。The Custom Permissions option from the Protect button on the Office ribbon remains hidden.

この詳細設定を構成するには、次の文字列を入力します。To configure this advanced setting, enter the following strings:

  • キー:EnableCustomPermissionsForCustomProtectedFilesKey: EnableCustomPermissionsForCustomProtectedFiles

  • 値:TrueValue: True

Azure Information Protection バーを完全に非表示にするPermanently hide the Azure Information Protection bar

この構成では、Azure Portal で構成する必要のあるクライアントの詳細設定を使用します。This configuration uses an advanced client setting that you must configure in the Azure portal. これは、ポリシー設定[Display the Information Protection bar in Office apps](Office アプリで Information Protection バーを表示する)[オン] に設定している場合にのみ使用します。Use it only when the policy setting Display the Information Protection bar in Office apps is set to On.

既定では、ユーザーが [ホーム] タブ、[保護] グループ、[保護] ボタンから [バーの表示] オプションをクリアすると、その Office アプリに Information Protection バーが表示されなくなります。By default, if a user clears the Show Bar option from the Home tab, Protection group, Protect button, the Information Protection bar no longer displays in that Office app. ただし、バーは、次に Office アプリを開いたときに自動的に再表示されます。However, the bar automatically displays again the next time an Office app is opened.

ユーザーがバーを非表示にすることを選択した後に、自動的に再表示されることを防ぐには、このクライアント設定を使用します。To prevent the bar from displaying again automatically after a user has chosen to hide it, use this client setting. [このバーを閉じる] アイコンを使用してバーを閉じた場合、この設定は何も影響を与えません。This setting has no effect if the user closes the bar by using the Close this bar icon.

Azure Information Protection バーが非表示のままであっても、推奨の分類を構成している場合やドキュメントや電子メールにラベルを指定する必要がある場合、ユーザーは一時的に表示されるバーからラベルを選択できます。Even though the Azure Information Protection bar remains hidden, users can still select a label from a temporarily displayed bar if you have configured recommended classification, or when a document or email must have a label.

この詳細設定を構成するには、次の文字列を入力します。To configure this advanced setting, enter the following strings:

  • キー:EnableBarHidingKey: EnableBarHiding

  • 値:TrueValue: True

添付ファイルでサブラベルの順序のサポートを有効にするEnable order support for sublabels on attachments

この構成では、Azure Portal で構成する必要のあるクライアントの詳細設定を使用します。This configuration uses an advanced client setting that you must configure in the Azure portal.

サブラベルがあり、次のポリシー設定を構成している場合は、この設定を使います。Use this setting when you have sublabels and you have configured the following policy setting:

  • 添付ファイルのある電子メール メッセージの場合、その添付ファイルの最上位の分類と一致するラベルを適用しますFor email messages with attachments, apply a label that matches the highest classification of those attachments

次の文字列を構成します。Configure the following strings:

  • キー:CompareSubLabelsInAttachmentActionKey: CompareSubLabelsInAttachmentAction

  • 値:TrueValue: True

これを設定しない場合、最上位に分類されている親ラベルの最初のラベルが電子メールに適用されます。Without this setting, the first label that's found from the parent label with the highest classification is applied to the email.

この設定を使用して、最上位に分類されている親ラベルで順序が最後のサブラベルが電子メールに適用されます。With this setting, the sublabel that's ordered last from the parent label with the highest classification is applied to the email. このシナリオで適用されるラベルの順序を変更する必要がある場合は、「Azure Information Protection のラベルを削除または順序変更する方法」を参照してください。If you need to reorder your labels to apply the label that you want for this scenario, see How to delete or reorder a label for Azure Information Protection.

この構成では、Azure Portal で構成する必要のあるクライアントの詳細設定を使用します。This configuration uses an advanced client setting that you must configure in the Azure portal. この設定はプレビュー段階であり、変更される可能性があります。This setting is in preview and might change.

推奨分類のラベルを設定すると、Word、Excel、PowerPoint では、推奨ラベルを受け入れるか、却下するように求められます。When you configure a label for recommended classification, users are prompted to accept or dismiss the recommended label in Word, Excel, and PowerPoint. また、このラベル推奨が Outlook でも表示されます。This setting extends this label recommendation to also display in Outlook.

この詳細設定を構成するには、次の文字列を入力します。To configure this advanced setting, enter the following strings:

  • キー:OutlookRecommendationEnabledKey: OutlookRecommendationEnabled

  • 値:TrueValue: True

Outlook で、送信される電子メールに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装するImplement pop-up messages in Outlook that warn, justify, or block emails being sent

この構成では、Azure Portal で構成する必要のある、複数のクライアントの詳細設定を使用します。This configuration uses multiple advanced client settings that you must configure in the Azure portal. この設定はプレビュー段階であり、クライアントのプレビュー版が必要になります。This setting is in preview and requires the preview version of the client.

次のクライアント詳細設定を作成して構成すると、Outlook でユーザーに対してポップアップ メッセージが表示されます。これにより、次のどちらかのシナリオで、電子メールを送信する前に警告したり、電子メールの送信理由の入力を求めたり、電子メールの送信を妨げることができます。When you create and configure the following advanced client settings, users see pop-up messages in Outlook that can warn them before sending an email, or ask them to provide justification why they are sending an email, or prevent them from sending an email for either of the following scenarios:

  • 電子メール、または電子メールの添付ファイルに特定のラベルが含まれる:Their email or attachment for the email has a specific label:

    • 添付ファイルはあらゆる種類のファイルである可能性があるThe attachment can be any file type
  • 電子メール、または電子メールの添付ファイルにラベルがない:Their email or attachment for the email doesn't have a label:

    • 添付ファイルは Office ドキュメントまたは PDF ドキュメントである可能性があるThe attachment can be an Office document or PDF document

これらの条件が満たされ、指定した許可されるドメイン名の一覧に受信者の電子メール アドレスが含まれていない場合は、ユーザーに対して次のいずれかのアクションのポップアップ メッセージが表示されます。When these conditions are met and the recipient's email address is not included in a list of allowed domain names that you have specified, the user sees a pop-up messages with one of the following actions:

  • 警告: ユーザーは確認して電子メールを送信またはキャンセルできます。Warn: The user can confirm and send, or cancel.

  • 理由の入力:ユーザーは理由 (定義済みオプションまたは自由形式) の入力を求められます。Justify: The user is prompted for justification (predefined options or free-form). その後、ユーザーは電子メールを送信またはキャンセルできます。The user can then send or cancel the email. 理由のテキストは、他のシステムで読み取ることができるように電子メールの X ヘッダーに書き込まれます。The justification text is written to the email x-header, so that it can be read by other systems. たとえば、データ損失防止 (DLP) サービスです。For example, data loss prevention (DLP) services.

  • [ブロック]:条件が満たされている間、ユーザーは電子メールを送信できなくなります。Block: The user is prevented from sending the email while the condition remains. メッセージには、ユーザーが問題に対処できるように、電子メールをブロックする理由が含まれます。The message includes the reason for blocking the email, so the user can address the problem. たとえば、特定の受信者を削除する、電子メールにラベルを付けるなどです。For example, remove specific recipients, or label the email.

結果としてアクションは、ローカル Windows イベント ログの [アプリケーションとサービス ログ] > [Azure Information Protection] に記録されます。The resulting action is logged to the local Windows event log Applications and Services Logs > Azure Information Protection:

  • 警告メッセージ: 情報 ID 301Warn messages: Information ID 301

  • 理由メッセージ: 情報 ID 302Justify messages: Information ID 302

  • ブロック メッセージ: 情報 ID 303Block messages: Information ID 303

理由メッセージからのイベント エントリの例: Example event entry from a justify message:

Client Version: 1.48.1.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Price list.msg
Item Name: Price list
Process Name: OUTLOOK
Action: Justify
User Justification: My manager approved sharing of this content
Action Source: 
User Response: Confirmed

特定のラベルに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装するには:To implement the warn, justify, or block pop-up messages for specific labels:

特定のラベルに対するポップアップ メッセージを実装するには、それらのラベルのラベル ID が必要です。To implement the pop-up messages for specific labels, you must know the label ID for those labels. Azure Portal で Azure Information Protection ポリシーを表示または構成するとき、ラベル ID 値は [ラベル] ブレードに表示されます。The label ID value is displayed on the Label blade, when you view or configure the Azure Information Protection policy in the Azure portal. ファイルにラベルが適用されている場合、Get-AIPFileStatus PowerShell コマンドレットを実行してラベル ID (MainLabelId または SubLabelId) を特定することもできます。For files that have labels applied, you can also run the Get-AIPFileStatus PowerShell cmdlet to identify the label ID (MainLabelId or SubLabelId). ラベルにサブラベルがある場合、親ラベルではなく、サブラベルの ID だけを常に指定してください。When a label has sublabels, always specify the ID of just a sublabel and not the parent label.

次のキーを使用して、次の 1 つまたは複数のクライアント詳細設定を作成します。Create one or more of the following advanced client settings with the following keys. 値については、1 つまたは複数のラベルの ID をそれぞれコンマで区切って指定します。For the values, specify one or more labels by their IDs, each one separated by a comma.

コンマ区切り文字列としての複数のラベル ID の値の例: dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813fExample value for multiple label IDs as a comma-separated string: dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813f

  • 警告メッセージ: Warn messages:

    • キー:OutlookWarnUntrustedCollaborationLabelKey: OutlookWarnUntrustedCollaborationLabel

    • 値: <コンマ区切りのラベル ID>Value: <label IDs, comma-separated>

  • 理由の入力メッセージ: Justification messages:

    • キー:OutlookJustifyUntrustedCollaborationLabelKey: OutlookJustifyUntrustedCollaborationLabel

    • 値: <コンマ区切りのラベル ID>Value: <label IDs, comma-separated>

  • ブロック メッセージ: Block messages:

    • キー:OutlookBlockUntrustedCollaborationLabelKey: OutlookBlockUntrustedCollaborationLabel

    • 値: <コンマ区切りのラベル ID>Value: <label IDs, comma-separated>

ラベルのない電子メールまたは添付ファイルに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装するには:To implement the warn, justify, or block pop-up messages for emails or attachments that don't have a label:

次のいずれかの値を使用して、次のクライアント詳細設定を作成します。Create the following advanced client setting with one of the following values:

  • 警告メッセージ: Warn messages:

    • キー:OutlookUnlabeledCollaborationActionKey: OutlookUnlabeledCollaborationAction

    • 値:警告Value: Warn

  • 理由の入力メッセージ: Justification messages:

    • キー:OutlookUnlabeledCollaborationActionKey: OutlookUnlabeledCollaborationAction

    • 値:理由の入力Value: Justify

  • ブロック メッセージ: Block messages:

    • キー:OutlookUnlabeledCollaborationActionKey: OutlookUnlabeledCollaborationAction

    • 値:ブロックValue: Block

  • これらのメッセージをオフにする: Turn off these messages:

    • キー:OutlookUnlabeledCollaborationActionKey: OutlookUnlabeledCollaborationAction

    • 値:OffValue: Off

ポップアップ メッセージの対象外の受信者について、許可されるドメイン名を指定するにはTo specify the allowed domain names for recipients exempt from the pop-up messages

クライアント詳細設定でドメイン名を指定すると、電子メール アドレスにそのドメイン名が含まれる受信者については、ユーザーに対してポップアップ メッセージが表示されません。When you specify a domain name in an advanced client setting, users do not see the pop-up messages for recipients who have have that domain name included in their email address. この場合、電子メールは中断なく送信されます。In this case, the emails are sent without interruption. 複数のドメインを指定するには、ドメインをコンマで区切って 1 つの文字列として追加します。To specify multiple domains, add them as a single string, separated by commas.

一般的な構成では、組織の外部の受信者、または組織の承認済みのパートナーではない受信者についてのみ、ポップアップ メッセージが表示されます。A typical configuration is to display the pop-up messages only for recipients who are external to your organization or who aren't authorized partners for your organization. この場合は、お客様の組織およびパートナーによって使用されるすべての電子メール ドメインを指定します。In this case, you specify all the email domains that are used by your organization and by your partners.

次のクライアント詳細設定キーを作成します。Create the following advanced client setting key. 値については、1 つまたは複数のドメインをそれぞれコンマで区切って指定します。For the value, specify one or more domains, each one separated by a comma.

コンマ区切り文字列としての複数のドメインの値の例: contoso.com,fabrikam.com,litware.comExample value for multiple domains as a comma-separated string: contoso.com,fabrikam.com,litware.com

  • キー:OutlookCollaborationTrustedDomainsKey: OutlookCollaborationTrustedDomains

  • 値: < コンマ区切りのドメイン名**>Value: < domain names, comma separated>**

たとえば、ドメイン名 contoso.com を指定した場合、Outlook で john@sales.contoso.com に電子メールを送信する際に、ユーザーに対してポップアップ メッセージは表示されません。For example, if you specify the domain name of contoso.com, users do not see the pop-up messages in Outlook when they send an email to john@sales.contoso.com.

Outlook に別の既定ラベルを設定しますSet a different default label for Outlook

この構成では、Azure Portal で構成する必要のあるクライアントの詳細設定を使用します。This configuration uses an advanced client setting that you must configure in the Azure portal.

この設定を構成すると、Outlook では、Azure Information Protection ポリシーで [既定のラベルを選択] 設定に構成した既定のラベルが適用されません。When you configure this setting, Outlook doesn't apply the default label that is configured in the Azure Information Protection policy for the setting Select the default label. 別の既定のラベルを適用できるか、ラベルがありません。Instead, Outlook can apply a different default label, or no label.

別のラベルを適用するには、ラベル ID を指定する必要があります。To apply a different label, you must specify the label ID. Azure Portal で Azure Information Protection ポリシーを表示または構成するとき、ラベル ID 値は [ラベル] ブレードに表示されます。The label ID value is displayed on the Label blade, when you view or configure the Azure Information Protection policy in the Azure portal. ファイルにラベルが適用されている場合、Get-AIPFileStatus PowerShell コマンドレットを実行してラベル ID (MainLabelId または SubLabelId) を特定することもできます。For files that have labels applied, you can also run the Get-AIPFileStatus PowerShell cmdlet to identify the label ID (MainLabelId or SubLabelId). ラベルにサブラベルがある場合、親ラベルではなく、サブラベルの ID だけを常に指定してください。When a label has sublabels, always specify the ID of just a sublabel and not the parent label.

Outlook で既定のラベルが適用されないように、[なし] を指定します。So that Outlook doesn't apply the default label, specify None.

この詳細設定を構成するには、次の文字列を入力します。To configure this advanced setting, enter the following strings:

  • キー:OutlookDefaultLabelKey: OutlookDefaultLabel

  • 値: <ラベル ID> またはなしValue: <label ID> or None

ラベルを構成して Outlook で S/MIME 保護を適用するConfigure a label to apply S/MIME protection in Outlook

この構成では、Azure Portal で構成する必要のあるクライアントの詳細設定を使用します。This configuration uses an advanced client setting that you must configure in the Azure portal.

動作中の S/MIME の展開があり、Azure Information Protection の Rights Management 保護ではなくこの保護方法をラベルが電子メールに対して自動的に適用するようにしたい場合にのみ、この設定を使用します。Use this setting only when you have a working S/MIME deployment and want a label to automatically apply this protection method for emails rather than Rights Management protection from Azure Information Protection. 結果として得られる保護は、ユーザーが Outlook から手動で S/MIME オプションを選択した場合と同じものです。The resulting protection is the same as when a user manually selects S/MIME options from Outlook.

この構成では、S/MIME 保護を適用したい Azure Information Protection ラベルごとに、LabelToSMIME という名前のクライアントの詳細設定を指定する必要があります。This configuration requires you to specify an advanced client setting named LabelToSMIME for each Azure Information Protection label that you want to apply S/MIME protection. 次に、各エントリに対して、次の構文を使用して値を設定します。Then for each entry, set the value by using the following syntax:

[Azure Information Protection label ID];[S/MIME action]

Azure Portal で Azure Information Protection ポリシーを表示または構成するとき、ラベル ID 値は [ラベル] ブレードに表示されます。The label ID value is displayed on the Label blade, when you view or configure the Azure Information Protection policy in the Azure portal. サブラベルと共に S/MIME を使うには、親ラベルではなく、サブラベルの ID だけを常に指定します。To use S/MIME with a sublabel, always specify the ID of just the sublabel and not the parent label. サブラベルを指定する場合、親ラベルが同じスコープまたはグローバル ポリシー内にある必要があります。When you specify a sublabel, the parent label must be in the same scope, or in the global policy.

次のような S/MIME アクションが可能です。The S/MIME action can be:

  • Sign;Encrypt:デジタル署名と S/MIME 暗号化を適用するSign;Encrypt: To apply a digital signature and S/MIME encryption

  • Encrypt:S/MIME 暗号化のみを適用するEncrypt: To apply S/MIME encryption only

  • Sign:デジタル署名のみを適用するSign: To apply a digital signature only

dcf781ba-727f-4860-b3c1-73479e31912b のラベル ID の値の例:Example values for a label ID of dcf781ba-727f-4860-b3c1-73479e31912b:

  • デジタル署名と S/MIME 暗号化を適用する:To apply a digital signature and S/MIME encryption:

    dcf781ba-727f-4860-b3c1-73479e31912b;Sign;Encryptdcf781ba-727f-4860-b3c1-73479e31912b;Sign;Encrypt

  • S/MIME 暗号化のみを適用する:To apply S/MIME encryption only:

    dcf781ba-727f-4860-b3c1-73479e31912b;Encryptdcf781ba-727f-4860-b3c1-73479e31912b;Encrypt

  • デジタル署名のみを適用する:To apply a digital signature only:

    dcf781ba-727f-4860-b3c1-73479e31912b;Signdcf781ba-727f-4860-b3c1-73479e31912b;Sign

この構成の結果として、電子メール メッセージに向けてこのラベルを適用すると、ラベルの分類に加えて S/MIME 保護が電子メールに適用されます。As a result of this configuration, when the label is applied for an email message, S/MIME protection is applied to the email in addition to the label's classification.

指定するラベルが Azure portal で Rights Management の保護用に構成されている場合、S/MIME 保護は Outlook でのみ Rights Management の保護を置き換えます。If the label you specify is configured for Rights Management protection in the Azure portal, S/MIME protection replaces the Rights Management protection only in Outlook. ラベル付けをサポートしているその他のすべてのシナリオでは、Rights Management の保護が適用されます。For all other scenarios that support labeling, Rights Management protection will be applied.

ラベルが Outlook 内でのみ表示されるようにする必要がある場合は、ラベルを構成してユーザー定義の [転送不可] シングル アクションを適用します (「クイックスタート: ラベルを構成して、ユーザーが機密情報を含む電子メールを簡単に保護できるようにする」参照)。If you want the label to be visible in Outlook only, configure the label to apply the single user-defined action of Do Not Forward, as described in the Quickstart: Configure a label for users to easily protect emails that contain sensitive information.

必須のラベル付けを使用するときにドキュメントの "後で" を削除するRemove "Not now" for documents when you use mandatory labeling

この構成では、Azure Portal で構成する必要のあるクライアントの詳細設定を使用します。This configuration uses an advanced client setting that you must configure in the Azure portal.

[すべてのドキュメントとメールにラベルを付ける]ポリシー設定を使うと、ユーザーが Office ドキュメントを初めて保存するとき、およびメールを送信するときに、ラベルの選択を求めるメッセージが表示されます。When you use the policy setting of All documents and emails must have a label, users are prompted to select a label when they first save an Office document and when they send an email. ドキュメントの場合、ユーザーは [後で] を選択して一時的にメッセージを無視し、ラベルを選んで、ドキュメントに戻ることができます。For documents, users can select Not now to temporarily dismiss the prompt to select a label and return to the document. ただし、ラベルを付けないと、保したドキュメントを閉じることはできません。However, they cannot close the saved document without labeling it.

この設定を構成すると、[後で] オプションが削除され、ユーザーはドキュメントを初めて保存するときにラベルを選択する必要があります。When you configure this setting, it removes the Not now option so that users must select a label when the document is first saved.

この詳細設定を構成するには、次の文字列を入力します。To configure this advanced setting, enter the following strings:

  • キー:PostponeMandatoryBeforeSaveKey: PostponeMandatoryBeforeSave

  • 値:FalseValue: False

バックグラウンドでの分類の継続的実行をオンにするTurn on classification to run continuously in the background

この構成では、Azure Portal で構成する必要のあるクライアントの詳細設定を使用します。This configuration uses an advanced client setting that you must configure in the Azure portal. この設定はプレビュー段階であり、変更される可能性があります。This setting is in preview and might change.

この設定を構成すると、Azure Information Protection クライアントが推奨ラベルを自動的にドキュメントに適用する既定の動作が次のように変わります。When you configure this setting, it changes the default behavior of how the Azure Information Protection client applies automatic and recommended labels to documents:

  • Word、Excel、PowerPoint に対して、自動分類はバックグラウンドで継続的に実行されます。For Word, Excel, and PowerPoint, automatic classification runs continuously in the background.

この動作は Outlook でも変わりません。The behavior does not change for Outlook.

Azure Information Protection クライアントがユーザーによって指定された条件規則をドキュメントで定期的にチェックするとき、この動作は SharePoint Online に格納されるドキュメントに対する自動的で推奨される分類と保護を有効にします。When the Azure Information Protection client periodically checks documents for the condition rules that you specify, this behavior enables automatic and recommended classification and protection for documents that are stored in SharePoint Online. 条件規則が既に実行されているため、大きなファイルもすばやく保存されます。Large files also save more quickly because the condition rules have already run.

条件規則がユーザーの入力と同時にリアルタイムで実行されることはありません。The condition rules do not run in real time as a user types. ドキュメントが変更された場合、バックグラウンド タスクとして定期的に実行されます。Instead, they run periodically as a background task if the document is modified.

この詳細設定を構成するには、次の文字列を入力します。To configure this advanced setting, enter the following strings:

  • キー:RunPolicyInBackgroundKey: RunPolicyInBackground

  • 値:TrueValue: True

PDF 暗号化の ISO 標準を使用して PDF ファイルを保護しないDon't protect PDF files by using the ISO standard for PDF encryption

この構成では、Azure Portal で構成する必要のあるクライアントの詳細設定を使用します。This configuration uses an advanced client setting that you must configure in the Azure portal.

最新バージョンの Azure Information Protection クライアントを使用して PDF ファイルを保護する場合、得られるファイル名の拡張子は .pdf のままとなり、PDF 暗号化の ISO 標準に準拠します。When the latest version of the Azure Information Protection client protects a PDF file, the resulting file name extension remains as .pdf and adheres to the ISO standard for PDF encryption. この標準の詳細については、ISO 32000-1 から派生し、Adobe Systems Incorporated が発行したドキュメントのセクション「7.6 Encryption」(7.6 暗号化) を参照してください。For more information about this standard, see section 7.6 Encryption from the document that is derived from ISO 32000-1 and published by Adobe Systems Incorporated.

クライアントを、ファイル名拡張子 .ppdf を使って PDF ファイルを保護していた旧バージョンのクライアントの動作に戻す必要がある場合は、次の文字列を入力して以下の詳細設定を使います。If you need the client to revert to the behavior in older versions of the client that protected PDF files by using a .ppdf file name extension, use the following advanced setting by entering the following string:

  • キー:EnablePDFv2ProtectionKey: EnablePDFv2Protection

  • 値:FalseValue: False

たとえば、PDF 暗号化の ISO 標準をサポートしていない PDF リーダーを使用している場合は、すべてのユーザーに対してこの設定が必要です。For example, you might need this setting for all users if you use a PDF reader that doesn't support the ISO standard for PDF encryption. または、新しい形式をサポートする PDF リーダーを段階的に導入する場合は、一部のユーザーに対してその設定を構成する必要があります。Or, you might need to configure it for some users as you gradually phase in a change of PDF reader that supports the new format. この設定を使用する別の理由としては、署名された PDF ドキュメントに保護を追加することが必要な場合が挙げられます。Another potential reason to use this setting is if you need to add protection to signed PDF documents. 署名された PDF ドキュメントを .ppdf 形式を使用してさらに保護することができます。これは、この保護がファイルのラッパーとして実装されるために可能になります。Signed PDF documents can be additionally protected with the .ppdf format because this protection is implemented as a wrapper for the file.

Azure Information Protection スキャナーで新しい設定を使用するには、スキャナー サービスを再起動する必要があります。For the Azure Information Protection scanner to use the new setting, the scanner service must be restarted. また、スキャナーでは既定で PDF ドキュメントが保護されなくなります。In addition, the scanner will no longer protect PDF documents by default. EnablePDFv2Protection が False に設定されているときにスキャナーで PDF ドキュメントを保護する場合は、レジストリを編集する必要があります。If you want PDF documents to be protected by the scanner when EnablePDFv2Protection is set to False, you must edit the registry.

新しい PDF の暗号化について詳しくは、ブログ投稿「New support for PDF encryption with Microsoft Information Protection」 (Microsoft Information Protection での PDF の新しい暗号化のサポート) をご覧ください。For more information about the new PDF encryption, see the blog post New support for PDF encryption with Microsoft Information Protection.

PDF 暗号化の ISO 標準をサポートする PDF リーダー、および古い形式をサポートするリーダーの一覧については、「Supported PDF readers for Microsoft Information Protection」(Microsoft Information Protection でサポートされる PDF リーダー) を参照してください。For a list of PDF readers that support the ISO standard for PDF encryption, and readers that support older formats, see Supported PDF readers for Microsoft Information Protection.

既存の .ppdf ファイルを保護された .pdf ファイルに変換するにはTo convert existing .ppdf files to protected .pdf files

Azure Information Protection クライアントに新しい設定のクライアント ポリシーがダウンロードされると、既存の .ppdf ファイルを、PDF の暗号化に ISO 標準が使用された保護された .pdf ファイルに PowerShell コマンドを使用して変換することができます。When the Azure Information Protection client has downloaded the client policy with the new setting, you can use PowerShell commands to convert existing .ppdf files to protected .pdf files that use the ISO standard for PDF encryption.

ご自分で保護していないファイルに次の手順を行うには、Rights Management の使用権限を持っているか、スーパー ユーザーでないと、ファイルから保護を削除できません。To use the following instructions for files that you didn't protect yourself, you must have a Rights Management usage right to remove protection from files, or be a super user. スーパー ユーザーの機能を有効にし、アカウントをスーパー ユーザーとして構成するには、「Azure Rights Management および探索サービスまたはデータの回復用のスーパー ユーザーの構成」をご覧ください。To enable the super user feature and configure your account to be a super user, see Configuring super users for Azure Rights Management and Discovery Services or Data Recovery.

また、自分で保護していないファイルにこれらの手順を使用する場合、そのユーザーは RMS Issuer になります。In addition, when you use these instructions for files that you didn't protect yourself, you become the RMS Issuer. このシナリオでは、ドキュメントを最初に保護したユーザーは、それを追跡して取り消すことができなくなります。In this scenario, the user who originally protected the document can no longer track and revoke it. ユーザーが保護されている PDF 文書を追跡して取り消す必要がある場合、ファイル エクスプローラーの右クリックを使用して、ラベルを手動で削除して最適用するよう依頼します。If users need to track and revoke their protected PDF documents, ask them to manually remove and then reapply the label by using File Explorer, right-click.

PowerShell コマンドを使用して既存の .ppdf ファイルを保護された .pdf ファイルに変換するには、PDF の暗号化に ISO 標準を使用します。To use PowerShell commands to convert existing .ppdf files to protected .pdf files that use the ISO standard for PDF encryption:

  1. .ppdf ファイルに Get-AIPFileStatus を使用します。Use Get-AIPFileStatus with the .ppdf file. 次に例を示します。For example:

     Get-AIPFileStatus -Path \\Finance\Projectx\sales.ppdf
    
  2. 出力の次のパラメーター値のメモを取ります。From the output, take a note of the following parameter values:

    • 存在する場合、SubLabelId の値 (GUID)。The value (GUID) for SubLabelId, if there is one. この値が空の場合、サブラベルは使用されていないので、代わりに MainLabelId 値のメモを取ります。If this value is blank, a sublabel wasn't used, so note the value for MainLabelId instead.

      注: MainLabelId にも値がない場合、ファイルはレベル付けされていません。Note: If there is no value for MainLabelId either, the file isn't labeled. この場合は、手順 3 と 4 のコマンドではなく、Unprotect-RMSFile コマンドと Protect-RMSFile コマンドを使用します。In this case, you can use the Unprotect-RMSFile command and Protect-RMSFile command instead of the commands in step 3 and 4.

    • RMSTemplateId の値。The value for RMSTemplateId. この値が Restricted Access の場合、ユーザーはファイルを、ラベルに構成されている保護設定ではなく、カスタム アクセス許可を使用して保護しています。If this value is Restricted Access, a user has protected the file using custom permissions rather than the protection settings that are configured for the label. 続行すると、それらのカスタム設定はラベルの保護設定により上書きされます。If you continue, those custom permissions will be overwritten by the label's protection settings. 続行するか、ユーザー (RMSIssuer に表示される値) に対してラベルを削除し、元のカスタム アクセス許可と共にそれを再適用することを依頼するかどうかを決定します。Decide whether to continue or ask the user (value displayed for the RMSIssuer) to remove the label and reapply it, together with their original custom permissions.

  3. RemoveLabel パラメーターを使用し、Set-AIPFileLabel を使用して、ラベルを削除します。Remove the label by using Set-AIPFileLabel with the RemoveLabel parameter. [Users must provide justification to set a lower classification label, remove a label, or remove protection] (ユーザーは分類ラベルの秘密度を下げる、ラベルを削除する、または保護を解除するときにその理由を示す必要があります) のポリシー設定を使用している場合は、理由付きで [位置揃え] パラメーターも指定する必要があります。If you are using the policy setting of Users must provide justification to set a lower classification label, remove a label, or remove protection, you must also specify the Justification parameter with the reason. 次に例を示します。For example:

     Set-AIPFileLabel \\Finance\Projectx\sales.ppdf -RemoveLabel -JustificationMessage 'Removing .ppdf protection to replace with .pdf ISO standard'
    
  4. 手順 1 で指定したラベルの値を指定して、元のラベルを最適用します。Reapply the original label, by specifying the value for the label that you identified in step 1. 次に例を示します。For example:

     Set-AIPFileLabel \\Finance\Projectx\sales.pdf -LabelId d9f23ae3-1234-1234-1234-f515f824c57b
    

ファイルは .pdf ファイル名拡張子を維持しますが、以前と同様に分類され、PDF の暗号化のための ISO 標準を使用して保護されます。The file retains the .pdf file name extension but is classified as before, and it is protected by using the ISO standard for PDF encryption.

Secure Islands によって保護されたファイルのサポートSupport for files protected by Secure Islands

この構成オプションはプレビューの段階にあり、変更される可能性があります。This configuration option is in preview and is subject to change.

ドキュメントを保護するために Secure Islands を使用した場合、この保護の結果、テキスト ファイル、画像ファイル、一般的に保護対象となるファイルが保護される可能性があります。If you used Secure Islands to protect documents, you might have protected text and picture files, and generically protected files as a result of this protection. たとえば、ファイル名の拡張子が .ptxt、.pjpeg、または .pfile のファイルです。For example, files that have a file name extension of .ptxt, .pjpeg, or .pfile. 以下のようにレジストリを編集すると、Azure Information Protection はこれらのファイルを復号化できます。When you edit the registry as follows, Azure Information Protection can decrypt these files:

以下のように EnableIQPFormats という DWORD 値を次のレジストリ パスに追加し、値データを 1 に設定します。Add the following DWORD value of EnableIQPFormats to the following registry path, and set the value data to 1:

  • 64 ビット版の Windows の場合:HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPFor a 64-bit version of Windows: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP

  • 32 ビット版の Windows の場合:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPFor a 32-bit version of Windows: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIP

このレジストリ編集の結果、次のシナリオがサポートされます。As a result of this registry edit, the following scenarios are supported:

  • Azure Information Protection ビューアーは、これらの保護されたファイルを開くことができます。The Azure Information Protection viewer can open these protected files.

  • Azure Information Protection スキャナーは、これらのファイルに機密情報が含まれているかどうかを検査できます。The Azure Information Protection scanner can inspect these files for sensitive information.

  • エクスプローラー、PowerShell、Azure Information Protection スキャナーで、これらのファイルにラベルを付けることができます。File Explorer, PowerShell, and the Azure Information Protection scanner can label these files. その結果、Azure Information Protection の新しい保護を適用する Azure Information Protection ラベルや、Secure Islands から既存の保護を削除する Azure Information Protection ラベルを適用することができます。As a result, you can apply an Azure Information Protection label that applies new protection from Azure Information Protection, or that removes the existing protection from Secure Islands.

  • ラベル付け移行クライアントのカスタマイズを使用して、これらの保護されたファイルの Secure Islands ラベルを Azure Information Protection ラベルに自動的に変換することができます。You can use the labeling migration client customization to automatically convert the Secure Islands label on these protected files to an Azure Information Protection label.

Secure Islands からのラベルの移行と、その他のラベル付けのソリューションMigrate labels from Secure Islands and other labeling solutions

この構成では、Azure Portal で構成する必要のあるクライアントの詳細設定を使用します。This configuration uses an advanced client setting that you must configure in the Azure portal.

現在、この構成は、PDF 暗号化の ISO 標準を使用して PDF ファイルを保護する新しい既定の動作とは互換性がありません。This configuration is currently not compatible with the new default behavior that protects PDF files by using the ISO standard for PDF encryption. このシナリオでは、.ppdf ファイルをエクスプローラー、PowerShell、スキャナーで開くことはできません。In this scenario, .ppdf files cannot be opened by File Explorer, PowerShell, or the scanner. これを解決するには、クライアントの詳細設定を使用して、PDF 暗号化の ISO 標準を使用しないようにします。To resolve this, use the advanced client setting to don't use the ISO standard for PDF encryption.

Secure Islands によってラベル付けされた Office ドキュメントや PDF ドキュメントは、Azure Information Protection のラベルでラベル付けし直すことができます。そのためには、独自に定義したマッピングを使用します。For Office documents and PDF documents that are labeled by Secure Islands, you can relabel these documents with an Azure Information Protection label by using a mapping that you define. また、この方法を使用して、他のソリューションからのラベルを、そのラベルが Office ドキュメントにある場合は再利用することができます。You also use this method to reuse labels from other solutions when their labels are on Office documents.

注意

PDF および Office ドキュメント以外に、Secure Islands によって保護されているファイルがある場合、前のセクションで説明したようにレジストリを編集した後に再びラベルを付けることができます。If you have files other than PDF and Office documents that are protected by Secure Islands, these can be relabeled after you edit the registry as described in the preceding section.

この構成オプションの結果として、Azure Information Protection の新しいラベルは、Azure Information Protection クライアントによって次のように適用されます。As a result of this configuration option, the new Azure Information Protection label is applied by the Azure Information Protection client as follows:

  • Office ドキュメントの場合: デスクトップ アプリでドキュメントを開くと、Azure Information Protection の新しいラベルが設定されたことが表示され、ドキュメントを保存すると適用されます。For Office documents: When the document is opened in the desktop app, the new Azure Information Protection label is shown as set and is applied when the document is saved.

  • ファイル エクスプローラーの場合:[Azure Information Protection] ダイアログ ボックスで、Azure Information Protection の新しいラベルが設定されたことが表示され、ユーザーが [適用] を選択すると適用されます。For File Explorer: In the Azure Information Protection dialog box, the new Azure Information Protection label is shown as set and is applied when the user selects Apply. ユーザーが [キャンセル] を選択した場合、新しいラベルは適用されません。If the user selects Cancel, the new label is not applied.

  • PowerShell の場合: Set-AIPFileLabel によって、Azure Information Protection の新しいラベルが適用されます。For PowerShell: Set-AIPFileLabel applies the new Azure Information Protection label. Get-AIPFileStatus では、別の方法で設定されるまで、Azure Information Protection の新しいラベルは表示されません。Get-AIPFileStatus doesn't display the new Azure Information Protection label until it is set by another method.

  • Azure Information Protection スキャナー:Azure Information Protection の新しいラベルが設定され、このラベルが強制モードで適用される可能性がある場合、検出が報告されます。For the Azure Information Protection scanner: Discovery reports when the new Azure Information Protection label would be set and this label can be applied with the enforce mode.

この構成では、古いラベルにマッピングする Azure Information Protection のラベルごとに、LabelbyCustomProperty という名前のクライアントの詳細設定を指定する必要があります。This configuration requires you to specify an advanced client setting named LabelbyCustomProperty for each Azure Information Protection label that you want to map to the old label. 次に、各エントリに対して、次の構文を使用して値を設定します。Then for each entry, set the value by using the following syntax:

[Azure Information Protection label ID],[migration rule name],[Secure Islands custom property name],[Secure Islands metadata Regex value]

Azure Portal で Azure Information Protection ポリシーを表示または構成するとき、ラベル ID 値は [ラベル] ブレードに表示されます。The label ID value is displayed on the Label blade, when you view or configure the Azure Information Protection policy in the Azure portal. サブラベルを指定するには、親ラベルが同じスコープまたはグローバル ポリシー内にある必要があります。To specify a sublabel, the parent label must be in the same scope, or in the global policy.

任意の移行規則名を指定します。Specify your choice of a migration rule name. 以前のラベル付けソリューションから Azure Information Protection のラベルに、1 つまたは複数のラベルをマッピングする方法を特定するのに役立つ、わかりやすい名前を使用します。Use a descriptive name that helps you to identify how one or more labels from your previous labeling solution should be mapped to an Azure Information Protection label. 名前は、スキャナー レポートおよびイベント ビューアーに表示されます。The name displays in the scanner reports and in Event Viewer. この設定では、ドキュメントから元のラベルが削除されたり、元のラベルが適用された可能性がある視覚的マーキングが削除されたりすることはありません。Note that this setting does not remove the original label from the document or any visual markings in the document that the original label might have applied. ヘッダーおよびフッターを削除するには、次のセクションの「他のラベル付けソリューションからヘッダーとフッターを削除する」を参照してください。To remove headers and footers, see the next section, Remove headers and footers from other labeling solutions.

例 1:同じラベル名の 1 対 1 のマッピングExample 1: One-to-one mapping of the same label name

要件:Secure Islands の "Confidential" というラベルを持ったドキュメントは、Azure Information Protection の "Confidential" というラベルに変更されます。Requirement: Documents that have a Secure Islands label of "Confidential" should be relabeled as "Confidential" by Azure Information Protection.

この例では、次の点に注意してください。In this example:

  • 使用する Azure Information Protection のラベルは Confidential という名前が付けられ、ラベル ID は 1ace2cc3-14bc-4142-9125-bf946a70542c です。The Azure Information Protection label that you want to use is named Confidential and has a label ID of 1ace2cc3-14bc-4142-9125-bf946a70542c.

  • Secure Islands のラベルは、Confidential という名前が付けられ、Classification という名前のカスタム プロパティに保存されます。The Secure Islands label is named Confidential and stored in the custom property named Classification.

クライアントの詳細設定:The advanced client setting:

名前Name Value
LabelbyCustomPropertyLabelbyCustomProperty 1ace2cc3-14bc-4142-9125-bf946a70542c、"Secure Islands label is Confidential" (Secure Islands のラベルは Confidential です)、Classification、Confidential1ace2cc3-14bc-4142-9125-bf946a70542c,"Secure Islands label is Confidential",Classification,Confidential

例 2:異なるラベル名の 1 対 1 のマッピングExample 2: One-to-one mapping for a different label name

要件:Secure Islands によって "Sensitive" というラベルを付けられたドキュメントは、Azure Information Protection によって "Highly Confidential" というラベルに変更されます。Requirement: Documents labeled as "Sensitive" by Secure Islands should be relabeled as "Highly Confidential" by Azure Information Protection.

この例では、次の点に注意してください。In this example:

  • 使用する Azure Information Protection のラベルは Highly Confidential という名前が付けられ、ラベル ID は 3e9df74d-3168-48af-8b11-037e3021813f です。The Azure Information Protection label that you want to use is named Highly Confidential and has a label ID of 3e9df74d-3168-48af-8b11-037e3021813f.

  • Secure Islands のラベルは Sensitive という名前が付けられ、Classification という名前のカスタム プロパティに保存されます。The Secure Islands label is named Sensitive and stored in the custom property named Classification.

クライアントの詳細設定:The advanced client setting:

名前Name Value
LabelbyCustomPropertyLabelbyCustomProperty 3e9df74d-3168-48af-8b11-037e3021813f、"Secure Islands label is Sensitive" (Secure Islands のラベルは Sensitive です)、Classification、Sensitive3e9df74d-3168-48af-8b11-037e3021813f,"Secure Islands label is Sensitive",Classification,Sensitive

例 3:ラベル名の多対一のマッピングExample 3: Many-to-one mapping of label names

要件:"Internal" という単語を含む Secure Islands のラベルが 2 つあり、この Secure Islands のラベルのいずれかを含んでいるドキュメントを、Azure Information Protection によって "General" にラベル付けし直します。Requirement: You have two Secure Islands labels that include the word "Internal" and you want documents that have either of these Secure Islands labels to be relabeled as "General" by Azure Information Protection.

この例では、次の点に注意してください。In this example:

  • 使用する Azure Information Protection のラベルは General という名前が付けられ、ラベル ID は 2beb8fe7-8293-444c-9768-7fdc6f75014d です。The Azure Information Protection label that you want to use is named General and has a label ID of 2beb8fe7-8293-444c-9768-7fdc6f75014d.

  • Secure Islands のラベルには、Internal という単語が含まれ、Classification という名前のカスタム プロパティに保存されます。The Secure Islands labels include the word Internal and are stored in the custom property named Classification.

クライアントの詳細設定:The advanced client setting:

名前Name Value
LabelbyCustomPropertyLabelbyCustomProperty 2beb8fe7-8293-444c-9768-7fdc6f75014d、"Secure Islands label contains Internal" (Secure Islands のラベルに Internal が含まれます)、Classification、*Internal*2beb8fe7-8293-444c-9768-7fdc6f75014d,"Secure Islands label contains Internal",Classification,.*Internal.*

他のラベル付けソリューションからヘッダーとフッターを削除するRemove headers and footers from other labeling solutions

この構成では、Azure Portal で構成する必要のある、複数のクライアントの詳細設定を使用します。This configuration uses multiple advanced client settings that you must configure in the Azure portal. これらの設定はプレビュー段階であり、変更される可能性があります。These settings are in preview and might change.

この設定では、その視覚的マーキングが別のラベル付けソリューションによって適用されている場合に、テキスト ベースのヘッダーまたはフッターをドキュメントから削除したり置き換えたりできるようになります。The settings let you remove or replace text-based headers or footers from documents when those visual markings have been applied by another labeling solution. たとえば、古いフッターに古いラベルの名前が含まれていますが、これを新しいラベル名と独自のフッターで Azure Information Protection に移行したとします。For example, the old footer contains the name of an old label that you have now migrated to Azure Information Protection with a new label name and its own footer.

クライアントがそのポリシーにこの構成を使用すると、Office アプリでドキュメントが開き、いずれかの Azure Information Protection ラベルがドキュメントに適用されたときに、古いヘッダーとフッターが削除または置換されます。When the client gets this configuration in its policy, the old headers and footers are removed or replaced when the document is opened in the Office app and any Azure Information Protection label is applied to the document.

この構成は Outlook ではサポートされていません。そのため、この構成を Word、Excel、PowerPoint で使用すると、ユーザーのこれらのアプリのパフォーマンスに悪影響が生じる場合があります。This configuration is not supported for Outlook, and be aware that when you use it with Word, Excel, and PowerPoint, it can negatively affect the performance of these apps for users. この構成ではアプリケーションごとの設定を定義することができます。たとえば、Word 文書のヘッダーとフッターのテキストは検索し、Excel のスプレッドシートや PowerPoint のプレゼンテーションのテキストは検索しないようにできます。The configuration lets you define settings per application, for example, search for text in the headers and footers of Word documents but not Excel spreadsheets or PowerPoint presentations.

パターン マッチングはユーザーのパフォーマンスに影響するため、Office アプリケーションの種類 (Word、Excel、PowerPoint) は検索を必要とするもののみに制限することをお勧めします。Because the pattern matching affects the performance for users, we recommend that you limit the Office application types (Word, Excel, PowerPoint) to just those that need to be searched:

  • キー:RemoveExternalContentMarkingInAppKey: RemoveExternalContentMarkingInApp

  • 値:<Office アプリケーションの種類 WXP>Value: <Office application types WXP>

例:Examples:

  • Word 文書のみを検索するには、W を指定します。To search Word documents only, specify W.

  • Word 文書と PowerPoint プレゼンテーションを検索するには、WP を指定します。To search Word documents and PowerPoint presentations, specify WP.

この後、ヘッダーまたはフッターの内容と、その削除または置換方法を指定したりするために、少なくとも 1 つのより詳細なクライアント設定 ExternalContentMarkingToRemove が必要です。You then need at least one more advanced client setting, ExternalContentMarkingToRemove, to specify the contents of the header or footer, and how to remove or replace them.

ExternalContentMarkingToRemove を構成する方法How to configure ExternalContentMarkingToRemove

ExternalContentMarkingToRemove キーに文字列値を指定するときには、正規表現を使用する 3 つのオプションがあります。When you specify the string value for the ExternalContentMarkingToRemove key, you have three options that use regular expressions:

  • ヘッダーまたはフッターのすべてを削除する部分一致。Partial match to remove everything in the header or footer.

    例:ヘッダーまたはフッターに文字列 TEXT TO REMOVE が含まれている場合。Example: Headers or footers contain the string TEXT TO REMOVE. これらのヘッダーまたはフッターを完全に削除したいとします。You want to completely remove these headers or footers. *TEXT* を指定します。You specify the value: *TEXT*.

  • ヘッダーまたはフッターの特定の単語のみを削除する完全一致。Complete match to remove just specific words in the header or footer.

    例:ヘッダーまたはフッターに文字列 TEXT TO REMOVE が含まれている場合。Example: Headers or footers contain the string TEXT TO REMOVE. 単語 TEXT のみを削除し、ヘッダーまたはフッター文字列は TO REMOVE として残したいとします。You want to remove the word TEXT only, which leaves the header or footer string as TO REMOVE. TEXT を指定します。You specify the value: TEXT.

  • ヘッダーまたはフッターのすべてを削除する完全一致。Complete match to remove everything in the header or footer.

    例:ヘッダーまたはフッターに文字列 TEXT TO REMOVE が含まれている場合。Example: Headers or footers have the string TEXT TO REMOVE. 正確にこの文字列が含まれているヘッダーまたはフッターを削除したいとします。You want to remove headers or footers that have exactly this string. ^TEXT TO REMOVE$ を指定します。You specify the value: ^TEXT TO REMOVE$.

指定した文字列のパターン マッチングでは大文字と小文字が区別されます。The pattern matching for the string that you specify is case-insensitive. 文字列の最大長は 255 文字です。The maximum string length is 255 characters.

一部のドキュメントには非表示の文字やさまざまな種類のスペースやタブが含まれているため、語句や文に指定した文字列が検出されない可能性があります。Because some documents might include invisible characters or different kinds of spaces or tabs, the string that you specify for a phrase or sentence might not be detected. 値には、できるだけ単独の特徴的な単語を指定し、運用環境に展開する前に結果をテストしてください。Whenever possible, specify a single distinguishing word for the value and be sure to test the results before you deploy in production.

  • キー:ExternalContentMarkingToRemoveKey: ExternalContentMarkingToRemove

  • 値: <正規表現として定義された、マッチングする文字列>Value: <string to match, defined as regular expression>

複数行のヘッダーまたはフッターMultiline headers or footers

ヘッダーまたはフッターのテキストが複数行にわたる場合は、行ごとにキーと値を作成します。If a header or footer text is more than a single line, create a key and value for each line. たとえば、2 行にわたる次のフッターがあるとします。For example, you have the following footer with two lines:

ファイルは社外秘として分類The file is classified as Confidential

ラベルは手動で適用Label applied manually

この複数行のフッターを削除するには、次の 2 つのエントリを作成します。To remove this multiline footer, you create the following two entries:

  • キー 1: ExternalContentMarkingToRemoveKey 1: ExternalContentMarkingToRemove

  • キー値 1: *社外秘*Key Value 1: *Confidential*

  • キー 2: ExternalContentMarkingToRemoveKey 2: ExternalContentMarkingToRemove

  • キー値 2: *ラベルの適用*Key Value 2: *Label applied*

PowerPoint 用の最適化Optimization for PowerPoint

PowerPoint では、フッターが図形として実装されます。Footers in PowerPoint are implemented as shapes. 指定したテキストのうち、ヘッダーまたはフッターでない図形が削除されるのを防ぐには、PowerPointShapeNameToRemove という名前の、追加のクライアントの詳細設定を使用します。To avoid removing shapes that contain the text that you have specified but are not headers or footers, use an additional advanced client setting named PowerPointShapeNameToRemove. また、すべての図形のテキストのチェックはリソースを消費するプロセスであるため、この設定を使用して回避することをお勧めします。We also recommend using this setting to avoid checking the text in all shapes, which is a resource-intensive process.

この追加のクライアントの詳細設定を指定せず、PowerPoint が RemoveExternalContentMarkingInApp キーの値に含まれている場合、ExternalContentMarkingToRemove で指定したテキストがすべての図形でチェックされます。If you do not specify this additional advanced client setting, and PowerPoint is included in the RemoveExternalContentMarkingInApp key value, all shapes will be checked for the text that you specify in the ExternalContentMarkingToRemove value.

ヘッダーまたはフッターとして使用している図形の名前を検索するには:To find the name of the shape that you're using as a header or footer:

  1. PowerPoint で、[選択] ウィンドウを表示し、[書式] タブ > [配置] グループ > [選択ウィンドウ] の順に選択します。In PowerPoint, display the Selection pane: Format tab > Arrange group > Selection Pane.

  2. ヘッダーまたはフッターを含むスライド上の図形を選択します。Select the shape on the slide that contains your header or footer. 選択した図形の名前が、選択ウィンドウで強調表示されます。The name of the selected shape is now highlighted in the Selection pane.

図形の名前を使用して、PowerPointShapeNameToRemove キーの文字列値を指定します。Use the name of the shape to specify a string value for the PowerPointShapeNameToRemove key.

例:図形の名前は fc です。Example: The shape name is fc. この名前の図形を削除するには、値 fc を指定します。To remove the shape with this name, you specify the value: fc.

  • キー:PowerPointShapeNameToRemoveKey: PowerPointShapeNameToRemove

  • 値:<PowerPoint の図形の名前>Value: <PowerPoint shape name>

削除する PowerPoint の図形が複数ある場合は、削除する図形と同じ数だけ PowerPointShapeNameToRemove キーを作成します。When you have more than one PowerPoint shape to remove, create as many PowerPointShapeNameToRemove keys as you have shapes to remove. 各エントリに、削除する図形の名前を指定します。For each entry, specify the name of the shape to remove.

既定では、マスター スライドのヘッダーとフッターのみがチェックされます。By default, only the Master slides are checked for headers and footers. この検索の対象をすべてのスライドに広げるには、RemoveExternalContentMarkingInAllSlides という名前の、追加のクライアントの詳細設定を使用します。ただし、このプロセスはリソースをより多く消費します。To extend this search to all slides, which is a much more resource-intensive process, use an additional advanced client setting named RemoveExternalContentMarkingInAllSlides:

  • キー:RemoveExternalContentMarkingInAllSlidesKey: RemoveExternalContentMarkingInAllSlides

  • 値:TrueValue: True

既存のカスタム プロパティを使用して Office ドキュメントにラベルを付けるLabel an Office document by using an existing custom property

注意

この構成と、Secure Islands およびその他のラベル付けソリューションからラベルを移行するための構成を使用する場合は、ラベル付けの移行の設定が優先されます。If you use this configuration and the configuration to migrate labels from Secure Islands and other labeling solutions, the labeling migration setting takes precedence.

この構成では、Azure Portal で構成する必要のあるクライアントの詳細設定を使用します。This configuration uses an advanced client setting that you must configure in the Azure portal.

この設定を構成すると、既存のカスタム プロパティの値がいずれかのラベル名と一致するときに Office ドキュメントを分類する (さらに必要に応じて保護する) ことができます。When you configure this setting, you can classify (and optionally, protect) an Office document when it has an existing custom property with a value that matches one of your label names. このカスタム プロパティは、別の分類ソリューションから設定するか、または SharePoint によってプロパティとして設定することができます。This custom property can be set from another classification solution, or can be set as a property by SharePoint.

この構成の結果として、Azure Information Protection ラベルのないドキュメントが Office アプリのユーザーによって開かれて保存されると、ドキュメントが対応するプロパティ値と一致するようにラベル付けされます。As a result of this configuration, when a document without an Azure Information Protection label is opened and saved by a user in an Office app, the document is then labeled to match the corresponding property value.

この構成では、連動する 2 つの詳細設定を指定する必要があります。This configuration requires you to specify two advanced settings that work together. 1 つ目は SyncPropertyName で、他の分類ソリューションから設定されているカスタム プロパティ名、または SharePoint によって設定されるプロパティです。The first is named SyncPropertyName, which is the custom property name that has been set from the other classification solution, or a property that is set by SharePoint. 2 つ目は SyncPropertyState で、これは OneWay に設定する必要があります。The second is named SyncPropertyState and must be set to OneWay.

この詳細設定を構成するには、次の文字列を入力します。To configure this advanced setting, enter the following strings:

  • キー 1: SyncPropertyNameKey 1: SyncPropertyName

  • キー 1 の値: <プロパティ名>Key 1 Value: <property name>

  • キー 2: SyncPropertyStateKey 2: SyncPropertyState

  • キー 2 の値: OneWayKey 2 Value: OneWay

これらのキーと、1 つだけのカスタム プロパティに対応する値を使用します。Use these keys and corresponding values for only one custom property.

たとえば、[公開][全般][非常に機密性の高い社外秘] の値が考えられる、[分類] という名前の SharePoint 列があるとします。As an example, you have a SharePoint column named Classification that has possible values of Public, General, and Highly Confidential All Employees. ドキュメントは SharePoint に格納され、[分類] プロパティの一連の値として [公開][全般][非常に機密性の高い社外秘] を持ちます。Documents are stored in SharePoint and have Public, General, or Highly Confidential All Employees as values set for the Classification property.

Office ドキュメントにこれらの分類の値のいずれかのラベルを付けるには、[SyncPropertyName][公開] に、[SyncPropertyState][OneWay] に設定します。To label an Office document with one of these classification values, set SyncPropertyName to Classification, and SyncPropertyState to OneWay.

ここで、ユーザーがこれらの Office ドキュメントのいずれかを開いて保存するときに、Azure Information Protection ポリシーに [公開][全般]、または [非常に機密性の高い社外秘] の名前のラベルがあると、このいずれかにラベル付けされます。Now, when a user opens and saves one of these Office documents, it is labeled Public, General, or Highly Confidential \ All Employees if you have labels with these names in your Azure Information Protection policy. これらの名前のラベルがない場合、ドキュメントはラベル付けされないままです。If you do not have labels with these names, the document remains unlabeled.

ドキュメント内の機密情報を検出する Azure Information Protection の分析を有効にするEnable Azure Information Protection analytics to discover sensitive information in documents

この構成では、Azure portal で構成する必要のあるクライアントの詳細設定が使用され、Azure Information Protection クライアントの現在のプレビュー バージョンが必要です。This configuration uses an advanced client setting that you must configure in the Azure portal and requires the current preview version of the Azure Information Protection client.

Azure Information Protection 分析では、Azure Information Protection クライアントによって保存された文書で、内容に機密情報が含まれていている文書を検出して報告できます。Azure Information Protection analytics can discover and report documents saved by Azure Information Protection clients when that content contain sensitive information. 既定では、この情報は Azure Information Protection 分析には送信されません。By default, this information is not sent to Azure Information Protection analytics.

この動作を、この情報が送信されるように変更するには、次の文字列を入力します。To change this behavior so that this information is sent, enter the following strings:

  • キー:RunAuditInformationTypeDiscoveryKey: RunAuditInformationTypeDiscovery

  • 値:TrueValue: True

このクライアントの詳細設定を実行しなくても、Azure Information Protection クライアントから監査結果が送信されますが、情報は、ユーザーがラベル付けされたコンテンツにアクセスしたときの報告のみに限定されます。If you do not set this advanced client setting, audit results are still sent from the Azure Information Protection client but the information is limited to reporting when a user has accessed labeled content.

次に例を示します。For example:

  • これが設定されていない場合、Confidential \ Sales というラベル付きの Financial.docx にアクセスしたユーザーを確認できます。Without this setting, you can see that a user accessed Financial.docx that is labeled Confidential \ Sales.

  • これを設定した場合、Financial.docx に 6 つのクレジット カード番号が含まれていることを確認できます。With this setting, you can see that Financial.docx contains 6 credit card numbers.

ユーザーのサブセットに対して送信情報の種類の一致を無効にするDisable sending information type matches for a subset of users

この構成では、Azure portal で構成する必要のあるクライアントの詳細設定が使用され、Azure Information Protection クライアントの現在のプレビュー バージョンが必要です。This configuration uses an advanced client setting that you must configure in the Azure portal and requires the current preview version of the Azure Information Protection client.

機密情報の種類またはカスタム条件に対するコンテンツ一致を収集する [Azure Information Protection 分析] のチェック ボックスをオンにすると、既定で、すべてのユーザーによってこの情報が送信されます。When you select the checkbox for Azure Information Protection analytics that collects the content matches for your sensitive information types or your custom conditions, by default, this information is sent by all users. このデータを送信できないユーザーがいる場合は、それらのユーザーのスコープ付きポリシーで、次のようなクライアントの詳細設定を作成します。If you have some users who should not send this data, create the following advanced client setting in a scoped policy for these users:

  • キー:LogMatchedContentKey: LogMatchedContent

  • 値:無効化Value: Disable

スキャナーで使用されるスレッドの数を制限するLimit the number of threads used by the scanner

この構成では、Azure Portal で構成する必要のあるクライアントの詳細設定を使用します。This configuration uses an advanced client setting that you must configure in the Azure portal.

既定では、スキャナー サービスを実行しているコンピューター上の利用可能なプロセッサ リソースのすべてがスキャナーによって使われます。By default, the scanner uses all available processor resources on the computer running the scanner service. このサービスのスキャン中に CPU 使用量を制限する必要がある場合は、次の詳細設定を作成します。If you need to limit the CPU consumption while this service is scanning, create the following advanced setting.

値には、スキャナーが並列で実行できる同時スレッドの数を指定します。For the value, specify the number of concurrent threads that the scanner can run in parallel. スキャナーでは、それがスキャンするファイルごとに個別のスレッドが使われます。このため、この調整構成によって並列でスキャンできるファイルの数も定義されます。The scanner uses a separate thread for each file that it scans, so this throttling configuration also defines the number of files that can be scanned in parallel.

最初にテスト用の値を構成するときは、コアごとに 2 を指定してから、その結果を監視することをお勧めします。When you first configure the value for testing, we recommend you specify 2 per core, and then monitor the results. たとえば、4 コアのコンピューター上でスキャナーを実行する場合、最初は値を 8 に設定します。For example, if you run the scanner on a computer that has 4 cores, first set the value to 8. 必要な場合は、スキャナー コンピューターとスキャン速度に対してご自身が要求する結果のパフォーマンスに応じて、その数を増減させます。If necessary, increase or decrease that number, according to the resulting performance you require for the scanner computer and your scanning rates.

  • キー:ScannerConcurrencyLevelKey: ScannerConcurrencyLevel

  • 値: <同時スレッドの数>Value: <number of concurrent threads>

スキャナーの低整合性レベルを無効にするDisable the low integrity level for the scanner

この構成では、Azure Portal で構成する必要のあるクライアントの詳細設定を使用します。This configuration uses an advanced client setting that you must configure in the Azure portal.

既定では、Azure Information Protection スキャナーは低整合性レベルで実行されます。By default, the Azure Information Protection scanner runs with a low integrity level. この設定では、より高度なセキュリティ分離が提供されますが、パフォーマンスが低下します。This setting provides higher security isolation but at the cost of performance. 低整合性レベルは、特権を持ったアカウント (ローカル管理者アカウントなど) でスキャナーを実行する場合に適しています。この設定は、スキャナーを実行しているコンピューターを保護するのに役立ちます。A low integrity level is suitable if you run the scanner with an account that has privileged rights (such as a local administrator account) because this setting helps to protect the computer running the scanner.

ただし、スキャナーを実行するサービス アカウントに、スキャナーの前提条件のセクションで説明されている権限だけが付与されている場合、低整合性レベルは必要ありません。これはパフォーマンスに悪影響を及ぼすため、推奨されません。However, when the service account that runs the scanner has only the rights documented in the scanner prerequisites, the low integrity level is not necessary and is not recommended because it negatively affects performance.

Windows 整合性レベルについて詳しくは、「What is the Windows Integrity Mechanism?」(Windows 整合性メカニズムとは何ですか) をご覧ください。For more information about the Windows integrity levels, see What is the Windows Integrity Mechanism?

この高度な設定を構成し、Windows によって自動的に割り当てられた整合性レベルでスキャナーが実行される (標準ユーザー アカウントが中程度の整合性レベルで実行される) ようにするには、次の文字列を入力します。To configure this advanced setting so that the scanner runs with an integrity level that's automatically assigned by Windows (a standard user account runs with a medium integrity level), enter the following strings:

  • キー:ProcessUsingLowIntegrityKey: ProcessUsingLowIntegrity

  • 値:FalseValue: False

ローカルのログ記録レベルを変更するChange the local logging level

この構成では、Azure Portal で構成する必要のあるクライアントの詳細設定を使用します。This configuration uses an advanced client setting that you must configure in the Azure portal.

既定では、Azure Information Protection クライアントでは %localappdata%\Microsoft\MSIP フォルダーにクライアント ログ ファイルが書き込まれます。By default, the Azure Information Protection client writes client log files to the %localappdata%\Microsoft\MSIP folder. これらのファイルは、Microsoft サポートによるトラブルシューティングを目的としています。These files are intended for troubleshooting by Microsoft Support.

これらのファイルに対するログ記録レベルを変更するには、次のクライアントの詳細設定を構成します。To change the logging level for these files, configure the following advanced client setting:

  • キー:LogLevelKey: LogLevel

  • 値: <ログ記録レベル>Value: <logging level>

ログ記録レベルに次の値のいずれかを設定します。Set the logging level to one of the following values:

  • Off: ローカルのログ記録なし。Off: No local logging.

  • エラー:エラーのみ。Error: Errors only.

  • [情報]:最小のログ記録 (イベント ID は含まれません) (スキャナーの既定の設定)。Info: Minimum logging, which includes no event IDs (the default setting for the scanner).

  • [デバッグ]:完全な情報。Debug: Full information.

  • [トレース]:詳細なログ記録 (クライアントの既定の設定)。Trace: Detailed logging (the default setting for clients). スキャナーの場合、この設定はパフォーマンスに大きな影響を与えるため、スキャナーに対しては Microsoft サポートから要求された場合にのみ有効にする必要があります。For the scanner, this setting has a significant performance impact and should be enabled for the scanner only if requested by Microsoft Support. このレベルのログ記録をスキャナー用に設定するよう指示された場合は、関連ログの収集が完了したときに別の値に設定することを忘れないでください。If you are instructed to set this level of logging for the scanner, remember to set a different value when the relevant logs have been collected.

このクライアントの詳細設定によって、中央レポート機能のために Azure Information Protection に送信される情報が変更されたり、ローカルのイベント ログに書き込まれる情報が変更されたりすることはありません。This advanced client setting does not change the information that's sent to Azure Information Protection for central reporting, or change the information that's written to the local event log.

Exchange メッセージ分類との統合によるモバイル デバイスのラベル付けソリューションIntegration with Exchange message classification for a mobile device labeling solution

Outlook on the web では、Azure Information Protection の分類と保護の機能がまだネイティブでサポートされていませんが、ユーザーが Outlook on the web を使用する場合は、Exchange のメッセージ分類を使用して Azure Information Protection ラベルをモバイル ユーザーに拡張することができます。Although Outlook on the web doesn't yet natively support Azure Information Protection classification and protection, you can use Exchange message classification to extend your Azure Information Protection labels to your mobile users when they use Outlook on the web. Outlook Mobile では、Exchange のメッセージ分類がサポートされません。Outlook Mobile does not support Exchange message classification.

このソリューションを実現するには:To achieve this solution:

  1. New-MessageClassification Exchange PowerShell コマンドレットを使用して、Azure Information Protection ポリシーのラベル名にマップする名前プロパティでメッセージの分類を作成します。Use the New-MessageClassification Exchange PowerShell cmdlet to create message classifications with the Name property that maps to your label names in your Azure Information Protection policy.

  2. ラベルごとに Exchange メール フロー ルールを作成します。メッセージ プロパティに構成した分類が含まれる場合はルールを適用し、メッセージ プロパティを変更してメッセージ ヘッダーを設定します。Create an Exchange mail flow rule for each label: Apply the rule when the message properties include the classification that you configured, and modify the message properties to set a message header.

    メッセージ ヘッダーについては、Azure Information Protection ラベルを使って送信および分類した電子メールのインターネット ヘッダーを調べることによって、指定する情報を見つけることができます。For the message header, you find the information to specify by inspecting the Internet headers of an email that you sent and classified by using your Azure Information Protection label. ヘッダー msip_labels と、そのすぐあとに続く文字列 (セミコロンまでが対象) を探します。Look for the header msip_labels and the string that immediately follows, up to and including the semicolon. 次に例を示します。For example:

    msip_labels:MSIP_Label_0e421e6d-ea17-4fdb-8f01-93a3e71333b8_Enabled=True;msip_labels: MSIP_Label_0e421e6d-ea17-4fdb-8f01-93a3e71333b8_Enabled=True;

    ルール内のメッセージ ヘッダーの場合は、ヘッダーとして msip_labels を指定し、ヘッダー値としてこの文字列の残りの部分を指定します。Then, for the message header in the rule, specify msip_labels for the header, and the remainder of this string for the header value. 次に例を示します。For example:

    例: 特定の Azure Information Protection ラベルのメッセージ ヘッダーを設定する Exchange Online メール フロー ルール

    注: ラベルがサブラベルである場合は、ヘッダー値のサブラベルの前に、同じ形式を使って親ラベルも指定する必要があります。Note: When the label is a sublabel, you must also specify the parent label before the sublabel in the header value, using the same format. たとえば、サブラベルの GUID が 27efdf94-80a0-4d02-b88c-b615c12d69a9 である場合、値は MSIP_Label_ab70158b-bdcc-42a3-8493-2a80736e9cbd_Enabled=True;MSIP_Label_27efdf94-80a0-4d02-b88c-b615c12d69a9_Enabled=True; のようになります。For example, if your sublabel has a GUID of 27efdf94-80a0-4d02-b88c-b615c12d69a9, your value might look like the following: MSIP_Label_ab70158b-bdcc-42a3-8493-2a80736e9cbd_Enabled=True;MSIP_Label_27efdf94-80a0-4d02-b88c-b615c12d69a9_Enabled=True;

この構成のテストを行う前に、メール フロー ルールを作成または編集すると遅延 (たとえば、1 時間の遅延) がよく発生することを念頭においてください。Before you test this configuration, remember that there is often a delay when you create or edit mail flow rules (for example, wait an hour). このルールを有効にすると、ユーザーが Outlook on the web を使用したときに次のイベントが発生するようになります。When the rule is in effect, the following events now happen when users use Outlook on the web:

  • ユーザーが Exchange のメッセージ分類を選択して電子メールを送信します。Users select the Exchange message classification and send the email.

  • Exchange ルールにより Exchange の分類が検出され、ルールに従ってメッセージ ヘッダーが変更されて、Azure Information Protection の分類が追加されます。The Exchange rule detects the Exchange classification and accordingly modifies the message header to add the Azure Information Protection classification.

  • Azure Information Protection クライアントをインストール済みである内部受信者が Outlook で電子メールを表示すると、Azure Information Protection の割り当てられたラベルが表示されます。When internal recipients view the email in Outlook and they have the Azure Information Protection client installed, they see the Azure Information Protection label assigned.

Azure Information Protection ラベルで保護を適用する場合は、ルール構成にこの保護を追加します。メッセージ セキュリティを変更するオプションを選択し、権利保護を適用して、保護テンプレートまたは [転送不可] オプションを選択します。If your Azure Information Protection labels apply protection, add this protection to the rule configuration: Selecting the option to modify the message security, apply rights protection, and then select the protection template or Do Not Forward option.

また、メール フロー ルールを構成して、リバース マッピングを行うこともできます。You can also configure mail flow rules to do the reverse mapping. Azure Information Protection ラベルが検出された場合は、対応する Exchange メッセージの分類を設定します。When an Azure Information Protection label is detected, set a corresponding Exchange message classification:

  • Azure Information Protection のラベルごとに、msip_labels ヘッダーにラベル名 (General など) が含まれている場合に適用されるメール フロー ルールを作成し、このラベルにマッピングするメッセージ分類を適用します。For each Azure Information Protection label: Create a mail flow rule that is applied when the msip_labels header includes the name of your label (for example, General), and apply a message classification that maps to this label.

次の手順Next steps

これで Azure Information Protection クライアントのカスタマイズができました。次に、このクライアントのサポートに必要な追加情報を記載した以下の記事をご覧ください。Now that you've customized the Azure Information Protection client, see the following resources for additional information that you might need to support this client: