管理者ガイド: Azure Information Protection クライアントでの PowerShell の使用Admin Guide: Using PowerShell with the Azure Information Protection client

適用対象: Active Directory Rights Management サービス、 Azure Information Protection、windows 10、Windows 8.1、windows 8、WINDOWS 7 SP1、windows server 2019、windows server 2016、windows Server 2012 R2、windows server 2012、windows Server 2008 r2Applies to: Active Directory Rights Management Services, Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows 7 with SP1, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2

手順: Windows 用の Azure Information Protection クライアントInstructions for: Azure Information Protection client for Windows

Azure Information Protection クライアントをインストールすると、PowerShell コマンドが自動的にインストールされます。When you install the Azure Information Protection client, PowerShell commands are automatically installed. 自動化のためのスクリプトに追加できるコマンドを実行することでクライアントを管理できます。This lets you manage the client by running commands that you can put into scripts for automation.

コマンドレットは PowerShell モジュール AzureInformationProtection と共にインストールされます。The cmdlets are installed with the PowerShell module AzureInformationProtection. このモジュールには、(サポートされなくなった) RMS 保護ツールの Rights Management コマンドレットがすべて含まれます。This module includes all the Rights Management cmdlets from the RMS Protection Tool (no longer supported). ラベル付けに Azure Information Protection を利用するコマンドレットもあります。There are also cmdlets that use Azure Information Protection for labeling. たとえば、次のようになります。For example:

ラベル付けコマンドレットLabeling cmdlet 使用例Example usage
Get-AIPFileStatusGet-AIPFileStatus 共有フォルダーで、すべてのファイルを特定のラベルで識別します。For a shared folder, identify all files with a specific label.
Set-AIPFileClassificationSet-AIPFileClassification 共有フォルダーで、ファイルの内容を検査したあと、指定した条件に基づいて、ラベル付けされていないファイルに自動的にラベルを付与します。For a shared folder, inspect the file contents and then automatically label unlabeled files, according to the conditions that you have specified.
Set-AIPFileLabelSet-AIPFileLabel 共有フォルダーで、ラベルが付いていないすべてのファイルに指定したラベルを適用します。For a shared folder, apply a specified label to all files that do not have a label.
Set-AIPAuthenticationSet-AIPAuthentication スケジュールに基づいて実行されるスクリプトを利用するなど、非対話式にファイルにラベルを付けます。Label files non-interactively, for example by using a script that runs on a schedule.

ヒント

260 文字よりも長いパスとともにコマンドレットを使用するには、Windows 10 バージョン 1607 以降で利用できる次のグループ ポリシー設定を使用します。To use cmdlets with path lengths greater than 260 characters, use the following group policy setting that is available starting Windows 10, version 1607:
ローカルコンピューターポリシー > コンピューターの構成 > 管理用テンプレートすべての > 設定 > Win32 の長いパスを有効にするLocal Computer Policy > Computer Configuration > Administrative Templates > All Settings > Enable Win32 long paths

Windows Server 2016 の場合、Windows 10 用の最新の管理用テンプレート (.admx) をインストールすれば、同じグループ ポリシー設定を使用できます。For Windows Server 2016, you can use the same group policy setting when you install the latest Administrative Templates (.admx) for Windows 10.

詳しくは、Windows 10 開発者向けドキュメントの「Maximum Path Length Limitation (パスの最大長の制限)」をご覧ください。For more information, see the Maximum Path Length Limitation section from the Windows 10 developer documentation.

Azure Information Protection スキャナーでは AzureInformationProtection モジュールのコマンドレットを使用して、Windows Server にサービスをインストールし、構成します。The Azure Information Protection scanner uses cmdlets from the AzureInformationProtection module to install and configure a service on Windows Server. このスキャナーでは、データ ストアのファイルを検出、分類、保護できます。This scanner then lets you discover, classify, and protect files on data stores.

すべてのコマンドレットと対応するヘルプの一覧については、「AzureInformationProtection Module」 (AzureInformationProtection モジュール) を参照してください。For a list of all the cmdlets and their corresponding help, see AzureInformationProtection Module. PowerShell セッション内で、「Get-Help <cmdlet name> -online」と入力すると、最新のヘルプが表示されます。Within a PowerShell session, type Get-Help <cmdlet name> -online to see the latest help.

このモジュールは、 \ProgramFiles (x86)\Microsoft Azure Information Protection にインストールされ、このフォルダーを PSModulePath システム変数に追加します。This module installs in \ProgramFiles (x86)\Microsoft Azure Information Protection and adds this folder to the PSModulePath system variable. このモジュールの .dll の名前は AIP.dll です。The .dll for this module is named AIP.dll.

現時点では、モジュールをインストールするときに使うユーザーと、同じコンピューターでコマンドレットを実行するときに使うユーザーが異なる場合は、最初に Import-Module AzureInformationProtection コマンドを実行する必要があります。Currently, if you install the module as one user and run the cmdlets on the same computer as another user, you must first run the Import-Module AzureInformationProtection command. このシナリオでは、コマンドレットを初めて実行するときに、モジュールは自動的に読み込まれません。In this scenario, the module doesn't autoload when you first run a cmdlet.

AzureInformationProtection モジュールの現在のリリースには、以下の制限があります。The current release of the AzureInformationProtection module has the following limitations:

  • Outlook 個人フォルダー (.pst ファイル) の保護を解除することはできますが、現在は、この PowerShell モジュールを使ってこれらのファイルまたは他のコンテナー ファイルをネイティブに保護することはできません。You can unprotect Outlook personal folders (.pst files), but you cannot currently natively protect these files or other container files by using this PowerShell module.

  • Outlook の保護された電子メール メッセージ (.rpmsg ファイル) が Outlook 個人フォルダー (.pst) 内にある場合は、メッセージの保護を解除できますが、個人フォルダー外にある場合は .rpmsg ファイルの保護を解除できません。You can unprotect Outlook protected email messages (.rpmsg files) when they are in an Outlook personal folder (.pst), but you cannot unprotect .rpmsg files outside a personal folder.

これらのコマンドレットを使い始める前に、デプロイに対応する追加の前提条件と手順を参照してください。Before you start to use these cmdlets, see the additional prerequisites and instructions that corresponds to your deployment:

  • Azure Information Protection と Azure Rights Management サービスAzure Information Protection and Azure Rights Management service

    • 分類のみ、または Rights Management 保護で分類を使っている場合に適用: Azure Information Protection を含むサブスクリプションがある場合 (例: Enterprise Mobility + Security)。Applicable if you use classification-only or classification with Rights Management protection: You have a subscription that includes Azure Information Protection (for example, Enterprise Mobility + Security).
    • Azure Rights Management サービスで保護のみを使っている場合に適用: Azure Rights Management サービスを含むサブスクリプションがある場合 (例: Office 365 E3、Office 365 E5)。Applicable if you use protection-only with the Azure Rights Management service: You have a subscription that includes the Azure Rights Management service (for example, Office 365 E3 and Office 365 E5).
  • Active Directory Rights Management サービスActive Directory Rights Management Services

    • オンプレミス バージョンの Azure Rights Management で保護のみを使っている場合に適用: Active Directory Rights Management サービス (AD RMS)。Applicable if you use protection-only with the on-premises version of Azure Rights Management; Active Directory Rights Management Services (AD RMS).

Azure Information Protection と Azure Rights Management サービスAzure Information Protection and Azure Rights Management service

組織が分類と保護に Azure Information Protection を使用しているとき、あるいはデータ保護に Azure Rights Management サービスを使用しているとき、PowerShell コマンドを使い始める前にこのセクションをお読みください。Read this section before you start using the PowerShell commands when your organization uses Azure Information Protection for classification and protection, or just the Azure Rights Management service for data protection.

必要条件Prerequisites

AzureInformationProtection モジュールのインストールに関する前提条件に加えて、Azure Information Protection ラベル付けと Azure Rights Management データ保護サービスに関する追加の前提条件があります。In addition to the prerequisites for installing the AzureInformationProtection module, there are additional prerequisites for Azure Information Protection labeling and the Azure Rights Management data protection service:

  1. Azure Rights Management サービスをアクティブ化する必要があります。The Azure Rights Management service must be activated.

  2. 自分のアカウントを使って他のユーザーのファイルから保護を削除するには:To remove protection from files for others using your own account:

    • 組織のスーパー ユーザー機能を有効にし、自分のアカウントを Azure Rights Management のスーパー ユーザーとして構成する必要があります。The super user feature must be enabled for your organization and your account must be configured to be a super user for Azure Rights Management.
  3. ユーザー操作なしにファイルを直接保護または保護解除するには:To directly protect or unprotect files without user interaction:

    • サービス プリンシパル アカウントを作成し、Set-RMSServerAuthentication を実行して、このサービス プリンシパルを Azure Rights Management のスーパー ユーザーにします。Create a service principal account, run Set-RMSServerAuthentication, and consider making this service principal a super user for Azure Rights Management.
  4. 北米以外のリージョンの場合:For regions outside North America:

    • サービス検出のレジストリを編集します。Edit the registry for service discovery.

前提条件 1: Azure Rights Management サービスをアクティブ化する必要があるPrerequisite 1: The Azure Rights Management service must be activated

この前提条件は、ラベルを使ってデータ保護を適用する場合、または Azure Rights Management サービスに直接接続してデータ保護を適用する場合に適用されます。This prerequisite applies whether you apply the data protection by using labels or by directly connecting to the Azure Rights Management service to apply the data protection.

Azure Information Protection テナントがアクティブ化されていない場合は、 Azure Information Protection から保護サービスをアクティブ化するための手順を参照してください。If your Azure Information Protection tenant is not activated, see the instructions for Activating the protection service from Azure Information Protection.

前提条件 2: 自分のアカウントを使って他のユーザーのファイルから保護を削除するにはPrerequisite 2: To remove protection from files for others using your own account

他のユーザーのファイルから保護を削除する一般的なシナリオには、データの探索またはデータの回復が含まれます。Typical scenarios for removing protection from files for others include data discovery or data recovery. ラベルを使って保護を適用している場合は、保護を適用しない新しいラベルを設定することによって、またはラベルを削除することによって保護を削除できます。If you are using labels to apply the protection, you could remove the protection by setting a new label that doesn't apply protection or by removing the label. ただし、Azure Rights Management サービスに直接接続して保護を削除することもできます。But you will more likely connect directly to the Azure Rights Management service to remove the protection.

ファイルから保護を削除するには、Rights Management の使用権限を持っているか、スーパー ユーザーである必要があります。You must have a Rights Management usage right to remove protection from files, or be a super user. データの探索またはデータの回復には、スーパー ユーザー機能が通常使われます。For data discovery or data recovery, the super user feature is typically used. この機能を有効にし、アカウントをスーパー ユーザーとして構成するには、「Azure Rights Management および探索サービスまたはデータの回復用のスーパー ユーザーの構成」をご覧ください。To enable this feature and configure your account to be a super user, see Configuring super users for Azure Rights Management and Discovery Services or Data Recovery.

前提条件 3: ユーザー操作なしにファイルを保護または保護解除するにはPrerequisite 3: To protect or unprotect files without user interaction

非対話形式で Azure Rights Management サービスに直接接続し、ファイルを保護または保護解除できます。You can connect directly to the Azure Rights Management service non-interactively to protect or unprotect files.

サービス プリンシパル アカウントを使って、非対話形式で Azure Rights Management サービスに接続する必要があります。それには、Set-RMSServerAuthentication コマンドレットを使います。You must use a service principal account to connect to the Azure Rights Management service non-interactively, which you do by using the Set-RMSServerAuthentication cmdlet. Azure Rights Management サービスに直接接続するコマンドレットを実行する Windows PowerShell セッションごとに、これを行う必要があります。You must do this for each Windows PowerShell session that runs cmdlets that directly connect to the Azure Rights Management service. このコマンドレットを実行する前に、次の 3 つの識別子があることを確認します。Before you run this cmdlet, you must have these three identifiers:

  • BposTenantIdBposTenantId

  • AppPrincipalIdAppPrincipalId

  • 対称キーSymmetric Key

次の PowerShell コマンドとコメント付き手順を利用し、識別子の値を自動的に取得し、Set-RMSServerAuthentication コマンドレットを実行できます。You can use the following PowerShell commands and commented instructions to automatically get the values for the identifiers and run the Set-RMSServerAuthentication cmdlet. あるいは、値を手動で取得し、指定できます。Or, you can manually get and specify the values.

値を自動で取得し、Set-RMSServerAuthentication を実行するには:To automatically get the values and run Set-RMSServerAuthentication:

# Make sure that you have the AIPService and MSOnline modules installed

$ServicePrincipalName="<new service principal name>"
Connect-AipService
$bposTenantID=(Get-AipServiceConfiguration).BPOSId
Disconnect-AipService
Connect-MsolService
New-MsolServicePrincipal -DisplayName $ServicePrincipalName

# Copy the value of the generated symmetric key

$symmetricKey="<value from the display of the New-MsolServicePrincipal command>"
$appPrincipalID=(Get-MsolServicePrincipal | Where { $_.DisplayName -eq $ServicePrincipalName }).AppPrincipalId
Set-RMSServerAuthentication -Key $symmetricKey -AppPrincipalId $appPrincipalID -BposTenantId $bposTenantID

次のセクションでは、値を手動で取得し、指定する方法について説明します。それぞれの値について詳しく説明します。The next sections explain how to manually get and specify these values, with more information about each one.

BposTenantId を取得するにはTo get the BposTenantId

Azure RMS Windows PowerShell モジュールから AipServiceConfiguration コマンドレットを実行します。Run the Get-AipServiceConfiguration cmdlet from the Azure RMS Windows PowerShell module:

  1. このモジュールがコンピューターにまだインストールされていない場合は、「 AIPService PowerShell モジュールのインストール」を参照してください。If this module is not already installed on your computer, see Installing the AIPService PowerShell module.

  2. [管理者として実行] オプションを使って、Windows PowerShell を起動します。Start Windows PowerShell with the Run as Administrator option.

  3. Connect-AipService コマンドレットを使って、Azure Rights Management サービスに接続します。Use the Connect-AipService cmdlet to connect to the Azure Rights Management service:

     Connect-AipService
    

    プロンプトが表示されたら、Azure Information Protection テナント管理者資格情報を入力します。When prompted, enter your Azure Information Protection tenant administrator credentials. 通常、Azure Active Directory または Office 365 のグローバル管理者であるアカウントを使用します。Typically, you use an account that is a global administrator for Azure Active Directory or Office 365.

  4. Get-AipServiceConfiguration を実行して、BPOSId の値をコピーします。Run Get-AipServiceConfiguration and make a copy of the BPOSId value.

    AipServiceConfiguration からの出力の例を次に示します。An example of output from Get-AipServiceConfiguration:

         BPOSId                                   : 23976bc6-dcd4-4173-9d96-dad1f48efd42
    
         RightsManagement ServiceId               : 1a302373-f233-440600909-4cdf305e2e76
    
         LicensingIntranetDistributionPointUrl    : https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/licensing
    
         LicensingExtranetDistributionPointUrl    : https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/licensing
    
         CertificationIntranetDistributionPointUrl: https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/certification
    
         CertificationExtranetDistributionPointUrl: https://1s302373-f233-4406-9090-4cdf305e2e76.rms.na.aadrm.com/_wmcs/certification
    
  5. サービスから切断します。Disconnect from the service:

     Disconnect-AipService
    
AppPrincipalId と対称キーを取得するにはTo get the AppPrincipalId and Symmetric Key

Azure Active Directory の MSOnline PowerShell モジュールから New-MsolServicePrincipal コマンドレットを実行し、次の手順に従うことで、新しいサービス プリンシパルを作成します。Create a new service principal by running the New-MsolServicePrincipal cmdlet from the MSOnline PowerShell module for Azure Active Directory and use the following instructions.

重要

新しい Azure AD PowerShell コマンドレット、New-AzureADServicePrincipal を使用してこのサービス プリンシパルを作成しないでください。Do not use the newer Azure AD PowerShell cmdlet, New-AzureADServicePrincipal, to create this service principal. Azure Rights Management サービスでは、New-AzureADServicePrincipal をサポートしていません。The Azure Rights Management service does not support New-AzureADServicePrincipal.

  1. MSOnline モジュールがまだコンピューターにインストールされていない場合は、Install-Module MSOnline を実行します。If the MSOnline module is not already installed on your computer, run Install-Module MSOnline.

  2. [管理者として実行] オプションを使って、Windows PowerShell を起動します。Start Windows PowerShell with the Run as Administrator option.

  3. Connect-MsolService コマンドレットを使って、Azure AD に接続します。Use the Connect-MsolService cmdlet to connect to Azure AD:

     Connect-MsolService
    

    プロンプトが表示されたら、Azure AD のテナント管理者の資格情報を入力します (通常は、Azure Active Directory または Office 365 のグローバル管理者であるアカウントを使います)。When prompted, enter your Azure AD tenant administrator credentials (typically, you use an account that is a global administrator for Azure Active Directory or Office 365).

  4. New-MsolServicePrincipal コマンドレットを実行して、新しいサービス プリンシパルを作成します。Run the New-MsolServicePrincipal cmdlet to create a new service principal:

     New-MsolServicePrincipal
    

    プロンプトが表示されたら、Azure Rights Management サービスに接続してファイルの保護と保護解除を行うアカウントであることが後に分かるように、サービス プリンシパルの表示名を入力します。When prompted, enter your choice of a display name for this service principal that helps you to identify its purpose later as an account for you to connect to the Azure Rights Management service so that you can protect and unprotect files.

    New-MsolServicePrincipal の出力例を次に示します。An example of the output of New-MsolServicePrincipal:

     Supply values for the following parameters:
    
     DisplayName: AzureRMSProtectionServicePrincipal
     The following symmetric key was created as one was not supplied
     zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=
    
     Display Name: AzureRMSProtectionServicePrincipal
     ServicePrincipalNames: (b5e3f7g1-b5c2-4c96-a594-a0807f65bba4)
     ObjectId: 23720996-593c-4122-bfc7-1abb5a0b5109
     AppPrincialId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4
     TrustedForDelegation: False
     AccountEnabled: True
     Addresses: ()
     KeyType: Symmetric
     KeyId: 8ef61651-ca11-48ea-a350-25834a1ba17c
     StartDate: 3/7/2014 4:43:59 AM
     EndDate: 3/7/2014 4:43:59 AM
     Usage: Verify
    
  5. この出力から、対称キーと AppPrincialId を書き写しておきます。From this output, make a note of the symmetric key and the AppPrincialId.

    今、この対称キーをコピーしておくことが重要です。It is important that you make a copy of this symmetric key, now. このキーは後で取得できません。Azure Rights Management サービスで認証するときにキーがわからなければ、新しいサービス プリンシパルを作成する必要があります。You cannot retrieve this key later, so if you do not know it when you next need to authenticate to the Azure Rights Management service, you will have to create a new service principal.

以上の手順と例から、Set-RMSServerAuthentication の実行に必要な 3 つの識別子が得られます。From these instructions and our examples, we have the three identifiers required to run Set-RMSServerAuthentication:

  • テナント Id: 23976bc6-dcd4-4173-9d96-dad1f48efd42Tenant Id: 23976bc6-dcd4-4173-9d96-dad1f48efd42

  • 対称キー: zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=Symmetric key: zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=

  • AppPrincipalId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4AppPrincipalId: b5e3f76a-b5c2-4c96-a594-a0807f65bba4

ここで使うコマンドの例は、次のようになります。Our example command would then look like the following:

Set-RMSServerAuthentication -Key zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA=-AppPrincipalId b5e3f76a-b5c2-4c96-a594-a0807f65bba4-BposTenantId 23976bc6-dcd4-4173-9d96-dad1f48efd42

前のコマンドのように、単一のコマンドで値を指定できます。これは、非対話的に実行するスクリプトの場合と同じです。As shown in the previous command, you can supply the values with a single command, which you would do in a script to run non-interactively. ただし、テストが目的の場合は、単に Set-RMSServerAuthentication と入力し、プロンプトに 1 つずつ値を入力してもかまいません。But for testing purposes, you can just type Set-RMSServerAuthentication, and supply the values one-by-one when prompted. コマンドが完了すると、クライアントは "サーバー モード" で動作するようになります。これは、スクリプトや Windows Server ファイル分類インフラストラクチャなどの非対話型の使用に適しています。When the command completes, the client is now operating in "server mode", which is suitable for non-interactive use such as scripts and Windows Server File Classification Infrastructure.

このサービス プリンシパル アカウントをスーパー ユーザーにすることを検討します。このサービス プリンシパル アカウントでいつでも他のユーザーのファイルの保護を解除できるように、スーパー ユーザーとして構成できます。Consider making this service principal account a super user: To ensure that this service principal account can always unprotect files for others, it can be configured to be a super user. 標準ユーザーアカウントをスーパーユーザーとして構成するのと同様に、 AipServiceSuperUserコマンドレットを Azure RMS 使用しますが、 ServicePrincipalIdパラメーターには AppPrincipalId の値を指定します。In the same way as you configure a standard user account to be a super user, you use the same Azure RMS cmdlet, Add-AipServiceSuperUser, but specify the ServicePrincipalId parameter with your AppPrincipalId value.

スーパーユーザーの詳細については、「 Azure Information Protection および探索サービスまたはデータ回復用のスーパーユーザーの構成」を参照してください。For more information about super users, see Configuring super users for Azure Information Protection and discovery services or data recovery.

注意

自分のアカウントを使って Azure Rights Management サービスへの認証を行う場合は、ファイルを保護または保護解除する前、またはテンプレートを取得する前に、Set-RMSServerAuthentication を実行する必要はありません。To use your own account to authenticate to the Azure Rights Management service, there's no need to run Set-RMSServerAuthentication before you protect or unprotect files, or get templates.

前提条件 4: 北米以外のリージョンの場合Prerequisite 4: For regions outside North America

サービス プリンシパル アカウントを使用して、Azure 北米リージョン以外でファイルを保護し、テンプレートをダウンロードする場合は、レジストリを次のように編集する必要があります。When you use a service principal account to protect files and download templates outside the Azure North America region, you must edit the registry:

  1. AipServiceConfiguration コマンドレットをもう一度実行し、 CertificationExtranetDistributionPointUrlLicensingExtranetDistributionPointUrlの値をメモしておきます。Run the Get-AipServiceConfiguration cmdlet again, and make a note of the values for CertificationExtranetDistributionPointUrl and LicensingExtranetDistributionPointUrl.

  2. AzureInformationProtection コマンドレットを実行する各コンピューターで、レジストリ エディターを開きます。On each computer where you will run the AzureInformationProtection cmdlets, open the registry editor.

  3. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation のパスに移動します。Navigate to the following path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation.

    MSIPC キーまたは ServiceLocation キーがない場合は、それらを作成します。If you do not see the MSIPC key or ServiceLocation key, create them.

  4. ServiceLocation キーに対し、EnterpriseCertification および EnterprisePublishing という名前の 2 つのキーを作成します (存在しない場合)。For the ServiceLocation key, create two keys if they do not exist, named EnterpriseCertification and EnterprisePublishing.

    キーに自動作成される文字列値については、"(Default)" の名前を変更せず、文字列を編集して値データを設定してください。For the string value that's automatically created for these keys, do not change the Name of "(Default)", but edit the string to set the Value data:

    • EnterpriseCertification には、CertificationExtranetDistributionPointUrl の値を貼り付けます。For EnterpriseCertification, paste your CertificationExtranetDistributionPointUrl value.

    • EnterprisePublishing には、LicensingExtranetDistributionPointUrl の値を貼り付けます。For EnterprisePublishing, paste your LicensingExtranetDistributionPointUrl value.

      たとえば、EnterpriseCertification のレジストリ エントリは次のようになります。For example, your registry entry for EnterpriseCertification should look similar to the following:

      北米以外の地域に関して、Azure Information Protection PowerShell モジュールのレジストリを編集する

  5. レジストリ エディターを閉じます。Close the registry editor. コンピューターを再起動する必要はありません。There is no need to restart your computer. ただし、自分のユーザー アカウントではなくサービス プリンシパル アカウントを使っている場合は、このレジストリの編集を行った後で、Set-RMSServerAuthentication コマンドを実行する必要があります。However, if you are using a service principal account rather than your own user account, you must run the Set-RMSServerAuthentication command after making this registry edit.

Azure Information Protection および Azure Rights Management サービスのコマンドレットを使うシナリオの例Example scenarios for using the cmdlets for Azure Information protection and the Azure Rights Management service

必要なコマンドレットは2つだけなので、ラベルを使用してファイルを分類および保護する方が効率的です。これは、単独または一緒に実行することができます。 Get AIPFileStatusset-aipfilelabelです。It's more efficient to use labels to classify and protect files, because there are just two cmdlets that you need, which can be run by themselves or together: Get-AIPFileStatus and Set-AIPFileLabel. 詳細と例については、これら両方のコマンドレットのヘルプを使ってください。Use the help for both these cmdlets for more information and examples.

ただし、Azure Rights Management サービスに直接接続してファイルを保護または保護解除するには、通常、次に説明するように一連のコマンドレットを実行する必要があります。However, to protect or unprotect files by directly connecting to the Azure Rights Management service, you must typically run a series of cmdlets as described next.

最初に、自分のアカウントではなくサービス プリンシパル アカウントを使って Azure Rights Management サービスの認証を行う場合は、PowerShell セッションで次のように入力します。First, if you need to authenticate to the Azure Rights Management service with a service principal account rather than use your own account, in a PowerShell session, type:

Set-RMSServerAuthentication

メッセージが表示されたら、「前提条件 3: ユーザーの介入なしにファイルを保護または保護解除するには」で説明されているように、3 つの識別子を入力します。When prompted, enter the three identifiers as described in Prerequisite 3: To protect or unprotect files without user interaction.

ファイルを保護するには、Rights Management テンプレートをお使いのコンピューターにダウンロードして、使用するものとそれに対応する ID 番号を確認する必要があります。Before you can protect files, you must download the Rights Management templates to your computer and identify which one to use and its corresponding ID number. 出力から、テンプレート ID をコピーできます。From the output, you can then copy the template ID:

Get-RMSTemplate

出力は次のようになります。Your output might look similar to the following:

TemplateId        : {82bf3474-6efe-4fa1-8827-d1bd93339119}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content cannot be modified.
Name              : Contoso, Ltd - Confidential View Only
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True

TemplateId        : {e6ee2481-26b9-45e5-b34a-f744eacd53b0}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content can be modified but cannot be copied and printed.
Name              : Contoso, Ltd - Confidential
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True
FromTemplate      : True

Set-RMSServerAuthentication コマンドを実行しなかった場合は、自分のユーザー アカウントを使用して Azure Rights Management サービスの認証を行うことに注意してください。Note that if you didn't run the Set-RMSServerAuthentication command, you are authenticated to the Azure Rights Management service by using your own user account. ドメインに参加しているコンピューターの場合は、現在の資格情報が常に自動的に使用されます。If you are on a domain-joined computer, your current credentials are always used automatically. ワークグループ コンピューターの場合は、Azure へのサインインを求められ、これらの資格情報は後続のコマンドのためにキャッシュされます。If you are on a workgroup computer, you are prompted to sign in to Azure, and these credentials are then cached for subsequent commands. このシナリオでは、後で別のユーザーとしてサインインする必要がある場合は、Clear-RMSAuthentication コマンドレットを使います。In this scenario, if you later need to sign in as a different user, use the Clear-RMSAuthentication cmdlet.

テンプレート ID がわかったので、Protect-RMSFile コマンドレットでそれを使って、フォルダー内の 1 つのファイルまたはすべてのファイルを保護できます。Now you know the template ID, you can use it with the Protect-RMSFile cmdlet to protect a single file or all files in a folder. たとえば、1 つのファイルだけを保護し、元のファイルを上書きする場合は、"Contoso, Ltd - Confidential" テンプレートを使います。For example, if you want to protect a single file only and overwrite the original, by using the "Contoso, Ltd - Confidential" template:

Protect-RMSFile -File C:\Test.docx -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

出力は次のようになります。Your output might look similar to the following:

InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test.docx

フォルダー内のすべてのファイルを保護するには、 -Folder パラメーターにドライブ文字とパスまたは UNC パスを指定して実行します。To protect all files in a folder, use the -Folder parameter with a drive letter and path, or UNC path. たとえば、次のようになります。For example:

Protect-RMSFile -Folder \Server1\Documents -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

出力は次のようになります。Your output might look similar to the following:

InputFile                          EncryptedFile
---------                          -------------
\Server1\Documents\Test1.docx     \Server1\Documents\Test1.docx
\Server1\Documents\Test2.docx     \Server1\Documents\Test2.docx
\Server1\Documents\Test3.docx     \Server1\Documents\Test3.docx
\Server1\Documents\Test4.docx     \Server1\Documents\Test4.docx

保護を適用した後でファイル名拡張子が変わっていない場合は、いつでも Get-RMSFileStatus コマンドレットを使って、ファイルが保護されているかどうかを確認できます。When the file name extension does not change after the protection is applied, you can always use the Get-RMSFileStatus cmdlet later to check whether the file is protected. たとえば、次のようになります。For example:

Get-RMSFileStatus -File \Server1\Documents\Test1.docx

出力は次のようになります。Your output might look similar to the following:

FileName                              Status
--------                              ------
\Server1\Documents\Test1.docx         Protected

ファイルの保護を解除するには、ファイルを保護したときから所有者または抽出の権限を持っている必要があります。To unprotect a file, you must have Owner or Extract rights from when the file was protected. あるいは、スーパー ユーザーとしてコマンドレットを実行する必要があります。Or, you must run the cmdlets as a super user. その後、Unprotect コマンドレットを使います。Then, use the Unprotect cmdlet. たとえば、次のようになります。For example:

Unprotect-RMSFile C:\test.docx -InPlace

出力は次のようになります。Your output might look similar to the following:

InputFile                             DecryptedFile
---------                             -------------
C:\Test.docx                          C:\Test.docx

Rights Management テンプレートが変更された場合は、もう一度 Get-RMSTemplate -force でダウンロードしてください。Note that if the Rights Management templates are changed, you must download them again with Get-RMSTemplate -force.

Active Directory Rights Management ServicesActive Directory Rights Management Services

Active Directory Rights Management サービスだけを使っている場合は、PowerShell コマンドを使ってファイルを保護または保護解除する前に、このセクションをお読みください。Read this section before you start using the PowerShell commands to protect or unprotect files when your organization uses just Active Directory Rights Management Services.

必要条件Prerequisites

AzureInformationProtection モジュールをインストールするための前提条件に加えて、ファイルの保護と保護解除に使用するアカウントには、ServerCertification.asmx にアクセスする読み取り許可と実行許可を与える必要があります。In addition to the prerequisites for installing the AzureInformationProtection module, the account used to protect or unprotect files must have Read and Execute permissions to access ServerCertification.asmx:

  1. AD RMS サーバーにログオンします。Log on to an AD RMS server.

  2. [スタート] ボタンをクリックし、 [コンピューター] をクリックします。Click Start, and then click Computer.

  3. エクスプローラーで、%systemdrive%\Initpub\wwwroot_wmsc\Certification に移動します。In File Explorer, navigate to %systemdrive%\Initpub\wwwroot_wmsc\Certification.

  4. ServerCertification.asmx を右クリックし、 [プロパティ] をクリックします。Right-click ServerCertification.asmx, then click Properties.

  5. [ServerCertification.asmx のプロパティ] ダイアログ ボックスで、 [セキュリティ] タブをクリックします。In the ServerCertification.asmx Properties dialog box, click the Security tab.

  6. [続行] または [編集] ボタンをクリックします。Click the Continue button or the Edit button.

  7. [ServerCertification.asmx のアクセス許可] ダイアログ ボックスで、 [追加] をクリックします。In the Permissions for ServerCertification.asmx dialog box, click Add.

  8. アカウント名を追加します。Add your account name. 他の AD RMS 管理者やサービス アカウントもこれらのコマンドレットを使ってファイルを保護し、保護解除する場合、そのアカウントも追加します。If other AD RMS administrators or service accounts will also use these cmdlets to protect and unprotect files, add those accounts as well.

    非対話式でファイルを保護または保護解除する場合、関連するコンピューター アカウントやアカウントを追加します。To protect or unprotect files non-interactively, add the relevant computer account or accounts. たとえば、ファイル分類インフラストラクチャに対して構成されてあり、PowerShell スクリプトでファイルを保護する Windows Server コンピューターのコンピューター アカウントを追加します。For example, add the computer account of the Windows Server computer that is configured for File Classification Infrastructure and will use a PowerShell script to protect files.

  9. [許可] 列で、 [読み取りと実行] および [読み取り] チェック ボックスがオンになっていることを確認します。In the Allow column, make sure that the Read and Execute, and the Read checkboxes are selected.

10. [OK] を 2 回クリックします。10.Click OK twice.

Active Directory Rights Management サービスにコマンドレットを使うシナリオの例Example scenarios for using the cmdlets for Active Directory Rights Management Services

権利ポリシー テンプレートを使ってフォルダー内のすべてのファイルを保護するか、1 つのファイルの保護を解除するのが、これらのコマンドレットの一般的なシナリオです。A typical scenario for these cmdlets is to protect all files in a folder by using a rights policy template, or to unprotect a file.

最初に、AD RMS のデプロイが複数ある場合は、AD RMS サーバーの名前が必要になります。Get-RMSServer コマンドレットを使用することで、使用可能なサーバーの一覧が表示されます。First, if you have more than one deployment of AD RMS, you need the names of your AD RMS servers, which you do by using the Get-RMSServer cmdlet to display a list of available servers:

Get-RMSServer

出力は次のようになります。Your output might look similar to the following:

Number of RMS Servers that can provide templates: 2 
ConnectionInfo             DisplayName          AllowFromScratch
--------------             -------------        ----------------
Microsoft.InformationAnd…  RmsContoso                       True
Microsoft.InformationAnd…  RmsFabrikam                      True

ファイルを保護するには、先に、RMS テンプレートを取得して使うものを確認し、それに対応する ID 番号の一覧を確認する必要があります。Before you can protect files, you need to get a list of RMS templates to identify which one to use and its corresponding ID number. AD RMS のデプロイが複数ある場合のみ、RMS サーバーも指定する必要があります。Only when you have more than one AD RMS deployment do you need to specify the RMS server as well.

出力から、テンプレート ID をコピーできます。From the output, you can then copy the template ID:

Get-RMSTemplate -RMSServer RmsContoso

出力は次のようになります。Your output might look similar to the following:

TemplateId        : {82bf3474-6efe-4fa1-8827-d1bd93339119}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content cannot be modified.
Name              : Contoso, Ltd - Confidential View Only
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True


TemplateId        : {e6ee2481-26b9-45e5-b34a-f744eacd53b0}
CultureInfo       : en-US
Description       : This content is proprietary information intended for internal users only. This content can be modified but cannot be copied and printed.
Name              : Contoso, Ltd - Confidential
IssuerDisplayName : Contoso, Ltd
FromTemplate      : True
FromTemplate      : True

テンプレート ID がわかったので、Protect-RMSFile コマンドレットでそれを使って、フォルダー内の 1 つのファイルまたはすべてのファイルを保護できます。Now you know the template ID, you can use it with the Protect-RMSFile cmdlet to protect a single file or all files in a folder. たとえば、1 つのファイルだけを保護し、元のファイルを置き換える場合は、"Contoso, Ltd - Confidential" テンプレートを使います。For example, if you want to protect a single file only and replace the original, by using the "Contoso, Ltd - Confidential" template:

Protect-RMSFile -File C:\Test.docx -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

出力は次のようになります。Your output might look similar to the following:

InputFile             EncryptedFile
---------             -------------
C:\Test.docx          C:\Test.docx   

フォルダー内のすべてのファイルを保護するには、-Folder パラメーターにドライブ文字とパスまたは UNC パスを指定して実行します。To protect all files in a folder, use the -Folder parameter with a drive letter and path, or UNC path. たとえば、次のようになります。For example:

Protect-RMSFile -Folder \\Server1\Documents -InPlace -TemplateId e6ee2481-26b9-45e5-b34a-f744eacd53b0

出力は次のようになります。Your output might look similar to the following:

InputFile                          EncryptedFile
---------                          -------------
\\Server1\Documents\Test1.docx     \\Server1\Documents\Test1.docx   
\\Server1\Documents\Test2.docx     \\Server1\Documents\Test2.docx   
\\Server1\Documents\Test3.docx     \\Server1\Documents\Test3.docx   
\\Server1\Documents\Test4.docx     \\Server1\Documents\Test4.docx   

保護を適用した後でファイル名拡張子が変わっていない場合は、いつでも Get-RMSFileStatus コマンドレットを使って、ファイルが保護されているかどうかを確認できます。When the file name extension does not change after protection is applied, you can always use the Get-RMSFileStatus cmdlet later to check whether the file is protected. たとえば、次のようになります。For example:

Get-RMSFileStatus -File \\Server1\Documents\Test1.docx

出力は次のようになります。Your output might look similar to the following:

FileName                              Status
--------                              ------
\\Server1\Documents\Test1.docx        Protected

ファイルの保護を解除するには、ファイルを保護したときから所有者または抽出の使用権限を持っているか、AD RMS のスーパー ユーザーである必要があります。To unprotect a file, you must have Owner or Extract usage rights from when the file was protected, or be super user for AD RMS. その後、Unprotect コマンドレットを使います。Then, use the Unprotect cmdlet. たとえば、次のようになります。For example:

Unprotect-RMSFile C:\test.docx -InPlace

出力は次のようになります。Your output might look similar to the following:

InputFile                             DecryptedFile
---------                             -------------
C:\Test.docx                          C:\Test.docx

非対話形式でファイルに Azure Information Protection のラベル付けをする方法How to label files non-interactively for Azure Information Protection

Set-AIPAuthentication コマンドレットを利用し、ラベル付けコマンドレットを非対話式に実行できます。You can run the labeling cmdlets non-interactively by using the Set-AIPAuthentication cmdlet. Azure Information Protection スキャナーには、非対話型操作も必要です。Non-interactive operation is also required for the Azure Information Protection scanner.

既定では、ラベル付けのコマンドレットを実行するとき、対話型 PowerShell セッション内のユーザー コンテキストでコマンドは動作します。By default, when you run the cmdlets for labeling, the commands run in your own user context in an interactive PowerShell session. 自動実行するには、そのための新しい Azure AD ユーザー アカウントを作成します。To run them unattended, create a new Azure AD user account for this purpose. 次に、ユーザーのコンテキストで Set-AIPAuthentication コマンドレットを実行し、Azure AD のアクセス トークンを使用して資格情報を設定し、格納します。Then, in the context of that user, run the Set-AIPAuthentication cmdlet to set and store credentials by using an access token from Azure AD. 次に、このユーザー アカウントは、Azure Rights Management サービスに認証され、ブートストラップされます。This user account is then authenticated and bootstrapped for the Azure Rights Management service. このアカウントは、Azure Information Protection ポリシーと、ラベルが使用する Rights Management テンプレートをダウンロードします。The account downloads the Azure Information Protection policy and any Rights Management templates that the labels use.

注意

スコープ付きポリシーを使用する場合は、このアカウントをスコープ付きポリシーに追加しなければならない場合があります。If you use scoped policies, remember that you might need to add this account to your scoped policies.

このコマンドレットを初めて実行する際は、Azure Information Protection へのサインインを求められます。The first time you run this cmdlet, you are prompted to sign in for Azure Information Protection. 自動実行ユーザー用に作成したユーザー アカウント名とパスワードを指定します。Specify the user account name and password that you created for the unattended user. これ以降、このアカウントでは、認証トークンの有効期限が切れるまで、ラベル付けのコマンドレットを非対話形式で実行できます。After that, this account can then run the labeling cmdlets non-interactively until the authentication token expires.

この初回でユーザー アカウントが対話式サインインできるようにするには、アカウントにローカル ログオン権限を与える必要があります。For the user account to be able to sign in interactively this first time, the account must have the Log on locally right. この権限はユーザー アカウントの標準ですが、会社のポリシーによっては、サービス アカウントに対してこの構成を禁止することがあります。This right is standard for user accounts but your company policies might prohibit this configuration for service accounts. 禁止される場合、Token パラメーターを指定して Set-AIPAuthentication を実行できます。サインイン プロンプトなしで認証が完了します。If that's the case, you can run Set-AIPAuthentication with the Token parameter so that authentication completes without the sign-in prompt. スケジュールされたタスクとしてこのコマンドを実行し、バッチ ジョブとしてログオンという低い権限をアカウントに与えることができます。You can run this command as a scheduled task and grant the account the lower right of Log on as batch job. 詳細については、後続のセクションを参照してください。For more information, see the following sections.

トークンが期限切れになったら、コマンドレットを再度実行して新しいトークンを取得します。When the token expires, run the cmdlet again to acquire a new token.

パラメーターを指定せずにこのコマンドレットを実行すると、アカウントは 90 日間またはパスワードの有効期限が切れるまで有効なアクセス トークンを取得します。If you run this cmdlet without parameters, the account acquires an access token that is valid for 90 days or until your password expires.

アクセス トークンの有効期限を制御するには、パラメーターを指定してこのコマンドレットを実行します。To control when the access token expires, run this cmdlet with parameters. これにより、1 年間有効、2 年間有効、または期限なしのアクセス トークンを構成できます。This lets you configure the access token for one year, two years, or to never expire. この構成には、2 つのアプリケーション、すなわち Web アプリ/API アプリケーションとネイティブ アプリケーションを Azure Active Directory に登録する必要があります。This configuration requires you to have two applications registered in Azure Active Directory: A Web app / API application and a native application. このコマンドレットのパラメーターには、これらのアプリケーションからの値を使用します。The parameters for this cmdlet use values from these applications.

このコマンドレットを実行した後は、作成したユーザー アカウントのコンテキストでラベル付けコマンドレットを実行できます。After you have run this cmdlet, you can run the labeling cmdlets in the context of the user account that you created.

Set-AIPAuthentication 用の Azure AD アプリケーションを作成し、構成するにはTo create and configure the Azure AD applications for Set-AIPAuthentication

  1. 新しいブラウザー ウィンドウで、Azure Portal にサインインします。In a new browser window, sign in the Azure portal.

  2. Azure Information Protection で使用する Azure AD テナントについては、 > Azure Active Directoryに移動して > アプリの登録管理します。For the Azure AD tenant that you use with Azure Information Protection, navigate to Azure Active Directory > Manage > App registrations.

  3. [+ 新規登録] を選択して、Web アプリ/API アプリケーションを作成します。Select + New registration, to create your Web app /API application. [アプリケーションの登録] ウィンドウで、次の値を指定し、 [登録] をクリックします。On the Register an application pane, specify the following values, and then click Register:

    • 名前: AIPOnBehalfOfName: AIPOnBehalfOf

      必要に応じて、別の名前を指定することもできます。If you prefer, specify a different name. 名前は、テナントごとに一意である必要があります。It must be unique per tenant.

    • サポートされているアカウントの種類:この組織ディレクトリ内のアカウントのみSupported account types: Accounts in this organizational directory only

    • リダイレクト URI (省略可能) : Webおよび http://localhostRedirect URI (optional): Web and http://localhost

  4. [Aiponbehalfof] ウィンドウで、アプリケーション (クライアント) IDの値をコピーします。On the AIPOnBehalfOf pane, copy the value for the Application (client) ID. 値は、57c3c1c3-abf9-404e-8b2b-4652836c8c66の例のようになります。The value looks similar to the following example: 57c3c1c3-abf9-404e-8b2b-4652836c8c66. この値は、Set AIPAuthentication コマンドレットを実行するときにWebappidパラメーターに使用されます。This value is used for the WebAppId parameter when you run the Set-AIPAuthentication cmdlet. 後で参照するために値を貼り付けて保存します。Paste and save the value for later reference.

  5. [Aiponbehalfof] ウィンドウで、 [管理] メニューから [認証] を選択します。Still on the AIPOnBehalfOf pane, from the Manage menu, select Authentication.

  6. [Aiponbehalfof-Authentication] ウィンドウの [詳細設定] セクションで、 [ID トークン] チェックボックスをオンにして、 [保存] を選択します。On the AIPOnBehalfOf - Authentication pane, in the Advanced settings section, select the ID tokens checkbox, and then select Save.

  7. [Aiponbehalfof-Authentication] ウィンドウで、 [管理] メニューから [証明書 & シークレット] を選択します。Still on the AIPOnBehalfOf - Authentication pane, from the Manage menu, select Certificates & secrets.

  8. [証明書 & シークレット] ウィンドウの [クライアントシークレット] セクションで、 [+ 新しいクライアントシークレット] を選択します。On the AIPOnBehalfOf - Certificates & secrets pane, in the Client secrets section, select + New client secret.

  9. [クライアントシークレットの追加] で、次のように指定し、 [追加] を選択します。For Add a client secret, specify the following, and then select Add:

    • 説明: Azure Information Protection clientDescription: Azure Information Protection client
    • 有効期限: 選択した期間 (1 年、2年間、または無期限) を指定しますExpires: Specify your choice of duration (1 year, 2 years, or never expires)
  10. [Aiponbehalfof-Certificates & シークレット] ウィンドウに戻り、 [クライアントシークレット] セクションで、の文字列をコピーします。Back on the AIPOnBehalfOf - Certificates & secrets pane, in the Client secrets section, copy the string for the VALUE. この文字列は次の例のようになります。 +LBkMvddz?WrlNCK5v0e6_=meM59sSAnThis string looks similar to the following example: +LBkMvddz?WrlNCK5v0e6_=meM59sSAn. すべての文字がコピーされるようにするには、クリップボードにコピーするアイコンを選択します。To make sure you copy all the characters, select the icon to Copy to clipboard.

    この文字列は再び表示されることがなく、取得することもできないため、保存しておくことが重要です。It's important that you save this string because it is not displayed again and it cannot be retrieved. 使用する機密情報と同様に、保存した値を安全に保存し、アクセスを制限します。As with any sensitive information that you use, store the saved value securely and restrict access to it.

  11. [Aiponbehalfof-Certificates & シークレット] ウィンドウで、 [管理] メニューから [API の公開] を選択します。Still on the AIPOnBehalfOf - Certificates & secrets pane, from the Manage menu, select Expose an API.

  12. [Aiponbehalfof-api の公開] ウィンドウで、 [アプリケーション id uri] オプションに [設定] を選択し、 [アプリケーション id uri] の値で [api][http] に変更します。On the AIPOnBehalfOf - Expose an API pane, select Set for the Application ID URI option, and in the Application ID URI value, change api to http. この文字列は次の例のようになります。 http://d244e75e-870b-4491-b70d-65534953099eThis string looks similar to the following example: http://d244e75e-870b-4491-b70d-65534953099e.

    [保存] を選択します。Select Save.

  13. Aiponbehalfof-[API の公開] ウィンドウに戻り、 [+ スコープの追加] を選択します。Back on the AIPOnBehalfOf - Expose an API pane, select + Add a scope.

  14. [スコープの追加] ウィンドウで、推奨される文字列を例として使用して、次のように指定し、 [スコープの追加] を選択します。On the Add a scope pane, specify the following, using the suggested strings as examples, and then select Add scope:

    • スコープ名: user-impersonationScope name: user-impersonation
    • 同意できるユーザー:管理者とユーザーWho can consent?: Admins and users
    • 管理者の同意表示名: Access Azure Information Protection scannerAdmin consent display name: Access Azure Information Protection scanner
    • 管理者の同意の説明: Allow the application to access the scanner for the signed-in userAdmin consent description: Allow the application to access the scanner for the signed-in user
    • ユーザーの同意表示名: Access Azure Information Protection scannerUser consent display name: Access Azure Information Protection scanner
    • ユーザーの同意の説明: Allow the application to access the scanner for the signed-in userUser consent description: Allow the application to access the scanner for the signed-in user
    • 状態:有効(既定値)State: Enabled (the default)
  15. Aiponbehalfof-[API の公開] ウィンドウに戻り、このペインを閉じます。Back on the AIPOnBehalfOf - Expose an API pane, close this pane.

  16. [アプリの登録] ウィンドウで、 [+ 新しいアプリケーションの登録] を選択し、ネイティブアプリケーションを作成します。On the App registrations pane, select + New application registration to now create your native application.

  17. [アプリケーションの登録] ウィンドウで、次の設定を指定し、 [登録] を選択します。On the Register an application pane, specify the following settings, and then select Register:

    • 名前: AIPClientName: AIPClient
    • サポートされているアカウントの種類:この組織ディレクトリ内のアカウントのみSupported account types: Accounts in this organizational directory only
    • リダイレクト URI (省略可能) :パブリッククライアント (モバイル & デスクトップ)http://localhostRedirect URI (optional): Public client (mobile & desktop) and http://localhost
  18. [Aipclient] ウィンドウで、アプリケーション (クライアント) IDの値をコピーします。On the AIPClient pane, copy the value of the Application (client) ID. 値は、8ef1c873-9869-4bb1-9c11-8313f9d7f76fの例のようになります。The value looks similar to the following example: 8ef1c873-9869-4bb1-9c11-8313f9d7f76f.

    この値は、Set-AIPAuthentication コマンドレットを実行するときに、パラメーターに使用されます。This value is used for the NativeAppId parameter when you run the Set-AIPAuthentication cmdlet. 後で参照するために値を貼り付けて保存します。Paste and save the value for later reference.

  19. [Aipclient] ウィンドウで、 [管理] メニューから [認証] を選択します。Still on the AIPClient pane, from the Manage menu, select Authentication.

  20. [Aipclient-Authentication] ウィンドウで、次のように指定し、 [保存] を選択します。On the AIPClient - Authentication pane, specify the following, and then select Save:

    • [詳細設定] セクションで、 [ID トークン] を選択します。In the Advanced settings section, select ID tokens.
    • [既定のクライアントの種類] セクションで、[はい] を選択します。In the Default client type section, select Yes.
  21. [Aipclient-Authentication] ウィンドウで、 [管理] メニューから [API のアクセス許可] を選択します。Still on the AIPClient - Authentication pane, from the Manage menu, select API permissions.

  22. [Aipclient-アクセス許可] ウィンドウで、 [+ アクセス許可の追加] を選択します。On the AIPClient - permissions pane, select + Add a permission.

  23. [Api のアクセス許可の要求] ウィンドウで、 [マイ api] を選択します。On the Request API permissions pane, select My APIs.

  24. [API の選択] セクションで [apionbehalfof] を選択し、アクセス許可として [ユーザー偽装] のチェックボックスをオンにします。In the Select an API section, select APIOnBehalfOf, then select the checkbox for user-impersonation, as the permission. [アクセス許可の追加] を選択します。Select Add permissions.

  25. API の [アクセス許可] ウィンドウに戻り、 [許可の同意] セクションで、[ *テナント>名*の <に管理者の同意を付与する] を選択し、確認プロンプトで [はい] を選択します。Back on the API permissions pane, in the Grant consent section, select Grant admin consent for <your tenant name> and select Yes for the confirmation prompt.

2 つのアプリの構成を完了し、パラメーターとして WebAppIdWebAppKeyNativeAppId を指定して Set-AIPAuthentication を実行するために必要な値を取得しました。You've now completed the configuration of the two apps and you have the values that you need to run Set-AIPAuthentication with the parameters WebAppId, WebAppKey and NativeAppId. 例を次に示します。From our examples:

Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "+LBkMvddz?WrlNCK5v0e6_=meM59sSAn" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f"

アカウントで非対話式で文書にラベルを付け、保護するという状況でこのコマンドを実行します。Run this command in the context of the account that will label and protect the documents non-interactively. たとえば、PowerShell スクリプトのユーザー アカウントやサービス アカウントで Azure Information Protection スキャナーを実行します。For example, a user account for your PowerShell scripts or the service account to run the Azure Information Protection scanner.

このコマンドを初めて実行するとき、サインインが求められます。それにより、アカウントのアクセス トークンが作成され、%localappdata%\Microsoft\MSIP に安全に保管されます。When you run this command for the first time, you are prompted to sign in, which creates and securely stores the access token for your account in %localappdata%\Microsoft\MSIP. この初回サインイン後、コンピューターで非対話式でファイルにラベルを付け、保護できます。After this initial sign-in, you can label and protect files non-interactively on the computer. ただし、サービス アカウントを利用してファイルにラベルを付け、保護するとき、そのサービス アカウントで対話式サインインができない場合、次のセクションの指示に従ってください。トークンを利用して認証できるようになります。However, if you use a service account to label and protect files, and this service account cannot sign in interactively, use the instructions in the following section so that the service account can authenticate by using a token.

Set-AIPAuthentication の Token パラメーターを指定し、使用するSpecify and use the Token parameter for Set-AIPAuthentication

次の追加の手順と指示に従うと、ファイルにラベルを付け、保護するアカウントの初回対話式サインインを回避できます。Use the following additional steps and instructions to avoid the initial interactive sign-in for an account that labels and protects files. 通常、この追加手順は、アカウントにローカルでログオンする権限を与えられないが、バッチ ジョブとしてログオン権限が与えられている場合にのみ必要です。Typically, these additional steps are required only if this account cannot be granted the Log on locally right but is granted the Log on as a batch job right. たとえば、Azure Information Protection スキャナーを実行するサービス アカウントなどがこれに該当します。For example, this might be the case for your service account that runs the Azure Information Protection scanner.

大まかな手順:High-level steps:

  1. ローカル コンピューターで PowerShell スクリプトを作成します。Create a PowerShell script on your local computer.

  2. Set-AIPAuthentication を実行してアクセス トークンを取得し、それをクリップボードにコピーします。Run Set-AIPAuthentication to get an access token and copy it to the clipboard.

  3. PowerShell スクリプトを修正し、トークンを追加します。Modify the PowerShell script to include the token.

  4. サービス アカウントでファイルにラベルを付け、保護するという状況で PowerShell スクリプトを実行するタスクを作成します。Create a task that runs the PowerShell script in the context of the service account that will label and protect files.

  5. サービス アカウントのトークンが保存されていることを確認し、PowerShell スクリプトを削除します。Confirm that the token is saved for the service account, and delete the PowerShell script.

手順 1: ローカル コンピューターで PowerShell スクリプトを作成します。Step 1: Create a PowerShell script on your local computer

  1. コンピューターで、Aipauthentication.ps1 という名前の新しい PowerShell スクリプトを作成します。On your computer, create a new PowerShell script named Aipauthentication.ps1.

  2. 次のコマンドをコピーし、このスクリプトに貼り付けます。Copy and paste the following command into this script:

      Set-AIPAuthentication -WebAppId <ID of the "Web app / API" application> -WebAppKey <key value generated in the "Web app / API" application> -NativeAppId <ID of the "Native" application > -Token <token value>
    
  3. 先のセクションの指示に従ってこのコマンドを修正します。WebAppIdWebAppkeyNativeAppId パラメーターに独自の値を指定してください。Using the instructions in the preceding section, modify this command by specifying your own values for the WebAppId, WebAppkey, and NativeAppId parameters. 今回は Token パラメーターの値を指定しません。これは後で指定します。At this time, you do not have the value for the Token parameter, which you specify later.

    たとえば次のようになります。Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f -Token <token value>For example: Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f -Token <token value>

手順 2: Set-AIPAuthentication を実行してアクセス トークンを取得し、それをクリップボードにコピーします。Step 2: Run Set-AIPAuthentication to get an access token and copy it to the clipboard

  1. Windows PowerShell セッションを開始します。Open a Windows PowerShell session.

  2. スクリプトに指定したものと同じ値を利用し、次のコマンドを実行します。Using the same values as you specified in the script, run the following command:

     (Set-AIPAuthentication -WebAppId <ID of the "Web app / API" application>  -WebAppKey <key value generated in the "Web app / API" application> -NativeAppId <ID of the "Native" application >).token | clip
    

    たとえば次のようになります。(Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f").token | clipFor example: (Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "sc9qxh4lmv31GbIBCy36TxEEuM1VmKex5sAdBzABH+M=" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f").token | clip

手順 3: PowerShell スクリプトを修正し、トークンを指定します。Step 3: Modify the PowerShell script to supply the token

  1. PowerShell スクリプトで、クリップボードから文字列を貼り付け、ファイルを保存してトークン値を指定します。In your PowerShell script, specify the token value by pasting the string from the clipboard, and save the file.

  2. スクリプトに署名します。Sign the script. スクリプトに署名 (セキュリティを強化) しない場合は、ラベル付けコマンドを実行するコンピューターで Windows PowerShell を構成する必要があります。If you do not sign the script (more secure), you must configure Windows PowerShell on the computer that will run the labeling commands. たとえば、 [管理者として実行] オプションを使用して Windows PowerShell セッションを実行し、Set-ExecutionPolicy RemoteSigned と入力します。For example, run a Windows PowerShell session with the Run as Administrator option, and type: Set-ExecutionPolicy RemoteSigned. ただし、この構成を使用すると、署名されていないすべてのスクリプトは、このコンピューターに保存されている場合に実行できます (セキュリティは低下)。However, this configuration lets all unsigned scripts run when they are stored on this computer (less secure).

    Windows PowerShell スクリプトへの署名の詳細については、PowerShell のドキュメント ライブラリの「 about_Signing 」を参照してください。For more information about signing Windows PowerShell scripts, see about_Signing in the PowerShell documentation library.

  3. ファイルにラベルを付けて保護するコンピューターにこの PowerShell スクリプトをコピーし、自分のコンピューターのオリジナルを削除します。Copy this PowerShell script to the computer that will label and protect files, and delete the original on your computer. たとえば、PowerShell スクリプトを Windows Server コンピューターの C:\Scripts\Aipauthentication.ps1 にコピーします。For example, you copy the PowerShell script to C:\Scripts\Aipauthentication.ps1 on a Windows Server computer.

手順 4: PowerShell スクリプトを実行するタスクを作成します。Step 4: Create a task that runs the PowerShell script

  1. ファイルにラベルを付けて保護するサービス アカウントにバッチ ジョブとしてログオン権限が与えられていることを確認します。Make sure that the service account that will label and protect files has the Log on as a batch job right.

  2. ファイルにラベルを付けて保護するコンピューターで、Task Scheduler を起動し、新しいタスクを作成します。On the computer that will label and protect files, open Task Scheduler and create a new task. ファイルにラベルを付けて保護するサービス アカウントとして実行するようにこのタスクを構成し、 [アクション] に次の値を構成します。Configure this task to run as the service account that will label and protect files, and then configure the following values for the Actions:

    • アクション: Start a programAction: Start a program

    • プログラム/スクリプト: Powershell.exeProgram/script: Powershell.exe

    • 引数の追加 (省略可能) : -NoProfile -WindowStyle Hidden -command "&{C:\Scripts\Aipauthentication.ps1}"Add arguments (optional): -NoProfile -WindowStyle Hidden -command "&{C:\Scripts\Aipauthentication.ps1}"

      引数の行については、例と異なるようであれば、独自のパスとファイル名を指定します。For the argument line, specify your own path and file name, if these are different from the example.

  3. このタスクを手動で実行します。Manually run this task.

手順 5: トークンが保存されていることを確認し、PowerShell スクリプトを削除します。Step 5: Confirm that the token is saved and delete the PowerShell script

  1. サービス アカウント プロファイルの %localappdata%\Microsoft\MSIP フォルダーにトークンが保存されていることを確認します。Confirm that the token is now stored in the %localappdata%\Microsoft\MSIP folder for the service account profile. この値はサービス アカウントによって保護されます。This value is protected by the service account.

  2. トークン値が含まれている PowerShell スクリプトを削除します (たとえば、Aipauthentication.ps1)。Delete the PowerShell script that contains the token value (for example, Aipauthentication.ps1).

    必要に応じて、タスクを削除します。Optionally, delete the task. トークンの有効期限が切れた場合、この過程を繰り返す必要があります。その場合、構成したタスクを残しておくと便利です。新しい PowerShell スクリプトを新しいトークン値で上書きコピーするとき、すぐに再実行できます。If your token expires, you must repeat this process, in which case it might be more convenient to leave the configured task so that it's ready to rerun when you copy over the new PowerShell script with the new token value.

次のステップNext steps

PowerShell セッションでコマンドレットのヘルプを表示するには Get-Help <cmdlet name> cmdlet と入力します。また、最新情報を参照するには -online パラメーターを使用します。For cmdlet help when you are in a PowerShell session, type Get-Help <cmdlet name> cmdlet, and use the -online parameter to read the most up-to-date information. たとえば、次のようになります。For example:

Get-Help Get-RMSTemplate -online

Azure Information Protection クライアントのサポートに必要な詳細については、以下をご覧ください。See the following for additional information that you might need to support the Azure Information Protection client: