管理者ガイド: Azure Information Protection 統合されたラベル付けクライアントのカスタム構成Admin Guide: Custom configurations for the Azure Information Protection unified labeling client

適用対象: Azure Information Protection、windows 10、Windows 8.1、windows 8、WINDOWS 7 SP1、windows server 2019、windows server 2016、windows Server 2012 R2、windows server 2012、windows Server 2008 r2Applies to: Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows 7 with SP1, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2

手順: Windows 用の統一されたラベル付けクライアント Azure Information ProtectionInstructions for: Azure Information Protection unified labeling client for Windows

Azure Information Protection の統一されたラベル付けクライアントを管理するときに、特定のシナリオまたはユーザーのサブセットに必要となる可能性がある詳細な構成については、次の情報を参照してください。Use the following information for advanced configurations that you might need for specific scenarios or a subset of users when you manage the Azure Information Protection unified labeling client.

これらの設定を行うには、レジストリを編集するか、詳細設定を指定する必要があります。These settings require editing the registry or specifying advanced settings. 詳細設定では、 Office 365 セキュリティ/コンプライアンスセンター PowerShellを使用します。The advanced settings use Office 365 Security & Compliance Center PowerShell.

Office 365 セキュリティ/コンプライアンスセンター PowerShell を使用してクライアントの詳細設定を構成する方法How to configure advanced settings for the client by using Office 365 Security & Compliance Center PowerShell

PowerShell セキュリティ/コンプライアンスセンター Office 365 を使用すると、ラベルポリシーとラベルのカスタマイズをサポートする詳細設定を構成できます。When you use Office 365 Security & Compliance Center PowerShell, you can configure advanced settings that support customizations for label policies and labels. たとえば、次のようになります。For example:

  • Office アプリの Information Protection バーを表示する設定は、ラベルポリシーの詳細設定です。The setting to display the Information Protection bar in Office apps is a label policy advanced setting.
  • ラベルの色を指定する設定は、ラベルの詳細設定です。The setting to specify a label color is a label advanced setting.

どちらの場合も、 PowerShell セキュリティ/コンプライアンスセンター Office 365 に接続した後で、ポリシーまたはラベルの id (名前または GUID) を使用して [設定] パラメーターを指定し、ハッシュテーブルでキーと値のペアを指定します。In both cases, after you connect to Office 365 Security & Compliance Center PowerShell, specify the AdvancedSettings parameter with the identity (name or GUID) of the policy or label, and specify key/value pairs in a hash table. 次の構文を使用します。Use the following syntax:

ラベルポリシー設定の場合、単一の文字列値:For a label policy setting, single string value:

Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key="value1,value2"}

ラベルポリシー設定の場合は、同じキーに対して複数の文字列値を指定します。For label policy settings, multiple string values for the same key:

Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}

ラベル設定の場合、単一の文字列値:For a label setting, single string value:

Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key="value1,value2"}

ラベル設定の場合は、同じキーに対して複数の文字列値を指定します。For label settings, multiple string values for the same key:

Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}

詳細設定を削除するには、同じ構文を使用しますが、null 文字列値を指定します。To remove an advanced setting, use the same syntax but specify a null string value.

詳細設定の設定例Examples for setting advanced settings

例 1: 1 つの文字列値のラベルポリシーの詳細設定を設定します。Example 1: Set a label policy advanced setting for a single string value:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}

例 2: 1 つの文字列値に対して、ラベルの詳細設定を設定します。Example 2: Set a label advanced setting for a single string value:

Set-Label -Identity Internal -AdvancedSettings @{smimesign="true"}

例 3: 複数の文字列値に対して、ラベルの詳細設定を設定します。Example 3: Set a label advanced setting for multiple string values:

Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}

例 4: null 文字列値を指定して、ラベルポリシーの詳細設定を削除します。Example 4: Remove a label policy advanced setting by specifying a null string value:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions=""}

ラベルポリシーまたはラベルの id の指定Specifying the identity for the label policy or label

ラベルポリシーを管理する管理センターには、ポリシー名が1つだけ表示されるため、PowerShell idパラメーターにラベルポリシー名を指定するのは簡単です。Specifying the label policy name for the PowerShell Identity parameter is straightforward because you see only one policy name in the admin center where you manage your label policies. ただし、ラベルの場合、管理センターには名前表示名の両方が表示されます。However, for labels, you see both a Name and Display name in the admin centers. 場合によっては、両方の値が同じになりますが、異なっていてもかまいません。In some cases, the value for both will be the same but they can be different:

  • Nameはラベルの元の名前であり、すべてのラベルで一意です。Name is the original name of the label and it is unique across all your labels. 作成したラベルの名前を変更しても、この値は変わりません。If you change the name of your label after it is created, this value remains the same. Azure Information Protection から移行されたラベルの場合、Azure portal のラベルのラベル ID が表示されることがあります。For labels that have been migrated from Azure Information Protection, you might see the label ID of the label from the Azure portal.

  • [表示名] はユーザーに表示されるラベルの名前であり、すべてのラベルで一意である必要はありません。Display name is the name of the label that users see and it doesn't have to be unique across all your labels. たとえば、"社外秘" と表示されている すべての従業員をサブラベル、他のすべての従業員にサブラベルを持つユーザーがいるとします。For example, users see one All Employees sublabel for the Confidential label, and another All Employees sublabel for the Highly Confidential label. これらのサブラベルの両方に同じ名前が表示されますが、ラベルは同じではなく、設定も異なります。These sublabels both display the same name, but are not the same label and have different settings.

ラベルの詳細設定を構成するには、 [名前] の値を使用します。For configuring your label advanced settings, use the Name value. たとえば、次の図でラベルを識別するには、-Identity "All Company" と指定します。For example, to identify the label in the following picture, you would specify -Identity "All Company":

秘密度ラベルを識別するには、' 表示名 ' ではなく ' Name ' を使用してください

ラベル GUID を指定する場合、ラベルを管理する管理センターにはこの値が表示されません。If you prefer to specify the label GUID, this value is not displayed in the admin center where you manage your labels. ただし、次の Office 365 セキュリティ/コンプライアンスセンター PowerShell コマンドを使用して、この値を見つけることができます。However, you can use the following Office 365 Security & Compliance Center PowerShell command to find this value:

Get-Label | Format-Table -Property DisplayName, Name, Guid

優先順位-競合する設定の解決方法Order of precedence - how conflicting settings are resolved

機密ラベルを管理する管理センターの1つを使用して、次のラベルポリシー設定を構成できます。Using one of the admin centers where you manage your sensitivity labels, you can configure the following label policy settings:

  • このラベルを既定でドキュメントと電子メールに適用するApply this label by default to documents and emails

  • ユーザーはラベルまたは下位分類ラベルを削除する理由を指定する必要がありますUsers must provide justification to remove a label or lower classification label

  • ユーザーに電子メールまたはドキュメントへのラベルの適用を要求するRequire users to apply a label to their email or document

  • カスタムヘルプページへのリンクをユーザーに提供するProvide users with a link to a custom help page

1人のユーザーに対して複数のラベルポリシーが構成されており、それぞれが異なるポリシー設定を持っている場合は、管理センターのポリシーの順序に従って、最後のポリシー設定が適用されます。When more than one label policy is configured for a user, each with potentially different policy settings, the last policy setting is applied according to the order of the policies in the admin center. 詳細については、「ラベルポリシーの優先度 (順序の問題)」を参照してください。For more information, see Label policy priority (order matters)

[詳細設定] ラベルは同じロジックに従います。ラベルが複数のラベルポリシーにあり、そのラベルに詳細設定がある場合、管理センターのポリシーの順序に従って、最後の詳細設定が適用されます。Label advanced settings follow the same logic for precedence: When a label is in multiple label policies and that label has advanced settings, the last advanced setting is applied according to the order of the policies in the admin center.

ラベルポリシーの詳細設定は、逆の順序で適用されます。1つの例外として、管理センターのポリシーの順序に従って、最初のポリシーの詳細設定が適用されます。Label policy advanced settings are applied in the reverse order: With one exception, the advanced settings from the first policy are applied, according to the order of the policies in the admin center. 例外は、Outlook に別の既定のラベルを設定する、 Outlookdefaultlabelの詳細設定です。The exception is the advanced setting OutlookDefaultLabel, which sets a different default label for Outlook. このラベルポリシーの詳細設定のみの場合、最後の設定は管理センターのポリシーの順序に従って適用されます。For this label policy advanced setting only, the last setting is applied according to the order of the policies in the admin center.

ラベルポリシーの使用可能な詳細設定Available advanced settings for label policies

新しい-labelpolicy設定-labelpolicyを指定して、 advanced settingsパラメーターを使用します。Use the AdvancedSettings parameter with New-LabelPolicy and Set-LabelPolicy.

設定Setting シナリオと手順Scenario and instructions
AttachmentActionAttachmentAction 添付ファイルのある電子メール メッセージの場合、その添付ファイルの最上位の分類と一致するラベルを適用しますFor email messages with attachments, apply a label that matches the highest classification of those attachments
AttachmentActionTipAttachmentActionTip 添付ファイルのある電子メール メッセージの場合、その添付ファイルの最上位の分類と一致するラベルを適用しますFor email messages with attachments, apply a label that matches the highest classification of those attachments
DisableMandatoryInOutlookDisableMandatoryInOutlook 必須ラベルから Outlook メッセージを除外するExempt Outlook messages from mandatory labeling
EnableAuditEnableAudit Azure Information Protection analytics への監査データの送信を無効にするDisable sending audit data to Azure Information Protection analytics
EnableCustomPermissionsEnableCustomPermissions エクスプローラーでカスタムアクセス許可を無効にするDisable custom permissions in File Explorer
EnableCustomPermissionsForCustomProtectedFilesEnableCustomPermissionsForCustomProtectedFiles カスタム アクセス許可で保護されているファイルについて、ファイル エクスプローラーでカスタム アクセス許可を常にユーザーに表示するFor files protected with custom permissions, always display custom permissions to users in File Explorer
EnableLabelByMailHeaderEnableLabelByMailHeader Secure Islands からのラベルの移行と、その他のラベル付けのソリューションMigrate labels from Secure Islands and other labeling solutions
EnableLabelBySharePointPropertiesEnableLabelBySharePointProperties Secure Islands からのラベルの移行と、その他のラベル付けのソリューションMigrate labels from Secure Islands and other labeling solutions
HideBarByDefault デフォルト)HideBarByDefault Office アプリの Information Protection バーを表示しますDisplay the Information Protection bar in Office apps
LogMatchedContentLogMatchedContent 情報の種類の一致を Azure Information Protection analytics に送信するSend information type matches to Azure Information Protection analytics
OutlookBlockTrustedDomainsOutlookBlockTrustedDomains Outlook で、送信される電子メールに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装するImplement pop-up messages in Outlook that warn, justify, or block emails being sent
OutlookBlockUntrustedCollaborationLabelOutlookBlockUntrustedCollaborationLabel Outlook で、送信される電子メールに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装するImplement pop-up messages in Outlook that warn, justify, or block emails being sent
OutlookDefaultLabelOutlookDefaultLabel Outlook に別の既定ラベルを設定するSet a different default label for Outlook
Outlookジャスト IfytrusteddomainsOutlookJustifyTrustedDomains Outlook で、送信される電子メールに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装するImplement pop-up messages in Outlook that warn, justify, or block emails being sent
OutlookJustifyUntrustedCollaborationLabelOutlookJustifyUntrustedCollaborationLabel Outlook で、送信される電子メールに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装するImplement pop-up messages in Outlook that warn, justify, or block emails being sent
OutlookRecommendationEnabledOutlookRecommendationEnabled Outlook で推奨分類を有効にするEnable recommended classification in Outlook
OutlookOverrideUnlabeledCollaborationExtensionsOutlookOverrideUnlabeledCollaborationExtensions Outlook で、送信される電子メールに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装するImplement pop-up messages in Outlook that warn, justify, or block emails being sent
OutlookUnlabeledCollaborationActionOverrideMailBodyBehaviorOutlookUnlabeledCollaborationActionOverrideMailBodyBehavior Outlook で、送信される電子メールに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装するImplement pop-up messages in Outlook that warn, justify, or block emails being sent
OutlookWarnTrustedDomainsOutlookWarnTrustedDomains Outlook で、送信される電子メールに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装するImplement pop-up messages in Outlook that warn, justify, or block emails being sent
OutlookWarnUntrustedCollaborationLabelOutlookWarnUntrustedCollaborationLabel Outlook で、送信される電子メールに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装するImplement pop-up messages in Outlook that warn, justify, or block emails being sent
PFileSupportedExtensionsPFileSupportedExtensions 保護するファイルの種類を変更するChange which file types to protect
PostponeMandatoryBeforeSavePostponeMandatoryBeforeSave 必須のラベル付けを使用するときにドキュメントの "後で" を削除するRemove "Not now" for documents when you use mandatory labeling
RemoveExternalContentMarkingInAppRemoveExternalContentMarkingInApp 他のラベル付けソリューションからヘッダーとフッターを削除するRemove headers and footers from other labeling solutions
ReportAnIssueLinkReportAnIssueLink ユーザーの "問題の報告" を追加するAdd "Report an Issue" for users
Runauditinformationタイプの検出RunAuditInformationTypesDiscovery ドキュメント内の検出された機密情報の Azure Information Protection analytics への送信を無効にするDisable sending discovered sensitive information in documents to Azure Information Protection analytics

"Global" という名前のラベルポリシーに対してラベルポリシー設定が有効であることを確認する PowerShell コマンドの例を次に示します。Example PowerShell command to check your label policy settings in effect for a label policy named "Global":

(Get-LabelPolicy -Identity Global).settings

ラベルに使用できる詳細設定Available advanced settings for labels

新しいラベルセットラベルを使用して、 advanced settingsパラメーターを使用します。Use the AdvancedSettings parameter with New-Label and Set-Label.

設定Setting シナリオと手順Scenario and instructions
color ラベルの色を指定しますSpecify a color for the label
customPropertiesByLabelcustomPropertiesByLabel ラベルが適用されたときにカスタムプロパティを適用するApply a custom property when a label is applied
DefaultSubLabelIdDefaultSubLabelId 親ラベルに既定のサブラベルを指定するSpecify a default sublabel for a parent label
labelByCustomPropertieslabelByCustomProperties Secure Islands からのラベルの移行と、その他のラベル付けのソリューションMigrate labels from Secure Islands and other labeling solutions
SMimeEncryptSMimeEncrypt ラベルを構成して Outlook で S/MIME 保護を適用するConfigure a label to apply S/MIME protection in Outlook
SMimeSignSMimeSign ラベルを構成して Outlook で S/MIME 保護を適用するConfigure a label to apply S/MIME protection in Outlook

"Public" という名前のラベルに対して有効なラベル設定を確認する PowerShell コマンドの例を次に示します。Example PowerShell command to check your label settings in effect for a label named "Public":

(Get-Label -Identity Public).settings

Display the Information Protection bar in Office apps(Office アプリの Information Protection バーを表示する)Display the Information Protection bar in Office apps

この構成では、Office 365 セキュリティ/コンプライアンスセンター PowerShell を使用して構成する必要があるポリシーの詳細設定を使用します。This configuration uses a policy advanced setting that you must configure by using Office 365 Security & Compliance Center PowerShell.

既定では、ユーザーは、 [秘密度] ボタンから [バーの表示] オプションを選択して、Office アプリの Information Protection バーを表示する必要があります。By default, users must select the Show Bar option from the Sensitivity button to display the Information Protection bar in Office apps. Hidebarbydefault デフォルトキーを使用して、値をFalseに設定すると、ユーザーがバーまたはボタンからラベルを選択できるように、このバーが自動的に表示されます。Use the HideBarByDefault key and set the value to False to automatically display this bar for users so that they can select labels from either the bar or the button.

選択したラベルポリシーについて、次の文字列を指定します。For the selected label policy, specify the following strings:

  • キー: Hidebarbydefault デフォルトKey: HideBarByDefault

  • 値: FalseValue: False

PowerShell コマンドの例: ラベルポリシーの名前は "Global" です。Example PowerShell command, where your label policy is named "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{HideBarByDefault="False"}

必須ラベルから Outlook メッセージを除外するExempt Outlook messages from mandatory labeling

この構成では、Office 365 セキュリティ/コンプライアンスセンター PowerShell を使用して構成する必要があるポリシーの詳細設定を使用します。This configuration uses a policy advanced setting that you must configure by using Office 365 Security & Compliance Center PowerShell.

既定では、すべてのドキュメントのラベルポリシー設定を有効にし、電子メールにラベルを付ける必要がある場合、保存されているすべてのドキュメントと送信された電子メールにラベルが適用されている必要があります。By default, when you enable the label policy setting of All documents and emails must have a label, all saved documents and sent emails must have a label applied. 次の詳細設定を構成すると、ポリシー設定は Office ドキュメントにのみ適用され、Outlook メッセージには適用されません。When you configure the following advanced setting, the policy setting applies only to Office documents and not to Outlook messages.

選択したラベルポリシーについて、次の文字列を指定します。For the selected label policy, specify the following strings:

  • キー: DisableMandatoryInOutlookKey: DisableMandatoryInOutlook

  • 値: TrueValue: True

PowerShell コマンドの例: ラベルポリシーの名前は "Global" です。Example PowerShell command, where your label policy is named "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{DisableMandatoryInOutlook="True"}

この構成では、Office 365 セキュリティ/コンプライアンスセンター PowerShell を使用して構成する必要があるポリシーの詳細設定を使用します。This configuration uses a policy advanced setting that you must configure by using Office 365 Security & Compliance Center PowerShell.

推奨分類のラベルを設定すると、Word、Excel、PowerPoint では、推奨ラベルを受け入れるか、却下するように求められます。When you configure a label for recommended classification, users are prompted to accept or dismiss the recommended label in Word, Excel, and PowerPoint. また、このラベル推奨が Outlook でも表示されます。This setting extends this label recommendation to also display in Outlook.

選択したラベルポリシーについて、次の文字列を指定します。For the selected label policy, specify the following strings:

  • キー: OutlookRecommendationEnabledKey: OutlookRecommendationEnabled

  • 値: TrueValue: True

PowerShell コマンドの例: ラベルポリシーの名前は "Global" です。Example PowerShell command, where your label policy is named "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookRecommendationEnabled="True"}

Outlook に別の既定ラベルを設定しますSet a different default label for Outlook

この構成では、Office 365 セキュリティ/コンプライアンスセンター PowerShell を使用して構成する必要があるポリシーの詳細設定を使用します。This configuration uses a policy advanced setting that you must configure by using Office 365 Security & Compliance Center PowerShell.

この設定を構成すると、Outlook では、 [既定でドキュメントと電子メールにこのラベルを適用する] オプションのポリシー設定として構成されている既定のラベルが適用されません。When you configure this setting, Outlook doesn't apply the default label that is configured as a policy setting for the option Apply this label by default to documents and emails. 別の既定のラベルを適用できるか、ラベルがありません。Instead, Outlook can apply a different default label, or no label.

選択したラベルポリシーについて、次の文字列を指定します。For the selected label policy, specify the following strings:

  • キー: OutlookDefaultLabelKey: OutlookDefaultLabel

  • 値: <ラベル GUID> またはNoneValue: <label GUID> or None

PowerShell コマンドの例: ラベルポリシーの名前は "Global" です。Example PowerShell command, where your label policy is named "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookDefaultLabel="None"}

保護するファイルの種類を変更するChange which file types to protect

この構成では、Office 365 セキュリティ/コンプライアンスセンター PowerShell を使用して構成する必要があるポリシーの詳細設定を使用します。This configuration uses a policy advanced setting that you must configure by using Office 365 Security & Compliance Center PowerShell.

既定では、Azure Information Protection の統一されたラベル付けクライアントは、すべてのファイルの種類を保護します。クライアントのスキャナーは、Office のファイルの種類と PDF ファイルのみを保護します。By default, the Azure Information Protection unified labeling client protects all file types, and the scanner from the client protects only Office file types and PDF files.

次のように指定すると、選択したラベルポリシーの既定の動作を変更できます。You can change this default behavior for a selected label policy, by specifying the following:

  • キー: PFileSupportedExtensionsKey: PFileSupportedExtensions

  • 値: Value:

次の表を使用して、指定する文字列値を指定します。Use the following table to identify the string value to specify:

文字列値String value クライアントClient スキャナーScanner
* 既定値: すべてのファイルの種類に保護を適用します。Default value: Apply protection to all file types すべてのファイルの種類に保護を適用するApply protection to all file types
<null 値 ><null value> Office ファイルの種類と PDF ファイルに保護を適用するApply protection to Office file types and PDF files 既定値: Office ファイルの種類と PDF ファイルに保護を適用するDefault value: Apply protection to Office file types and PDF files
Convertto-html (".jpg", ".png")ConvertTo-Json(".jpg", ".png") Office のファイルの種類と PDF ファイルに加えて、指定したファイル名拡張子に保護を適用します。In addition to Office file types and PDF files, apply protection to the specified file name extensions Office のファイルの種類と PDF ファイルに加えて、指定したファイル名拡張子に保護を適用します。In addition to Office file types and PDF files, apply protection to the specified file name extensions

例 1: Office ファイルの種類と PDF ファイルのみを保護する統合クライアント用の PowerShell コマンド。ラベルポリシーには "Client" という名前が付けられています。Example 1: PowerShell command for the unified client to protect only Office file types and PDF files, where your label policy is named "Client":

Set-LabelPolicy -Identity Client -AdvancedSettings @{PFileSupportedExtensions=""}

例 2: すべてのファイルの種類を保護するためのスキャナーの PowerShell コマンド: ラベルポリシーに "Scanner" という名前を付けます。Example 2: PowerShell command for the scanner to protect all file types, where your label policy is named "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

例 3: スキャナーの PowerShell コマンドを使用して、Office ファイルと PDF ファイルに加え、.txt ファイルと .csv ファイルを保護します。ここで、ラベルポリシーには "Scanner" という名前を付けます。Example 3: PowerShell command for the scanner to protect .txt files and .csv files in addition to Office files and PDF files, where your label policy is named "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".txt", ".csv")}

この設定では、保護するファイルの種類を変更できますが、既定の保護レベルをネイティブから汎用に変更することはできません。With this setting, you can change which file types are protected but you cannot change the default protection level from native to generic. たとえば、統一されたラベル付けクライアントを実行しているユーザーに対しては、既定の設定を変更して、Office ファイルと PDF ファイルのみをすべてのファイルの種類ではなく保護するようにすることができます。For example, for users running the unified labeling client, you can change the default setting so that only Office files and PDF files are protected instead of all file types. ただし、これらのファイルの種類は、pfile ファイル名拡張子で汎用的に保護されるように変更することはできません。But you cannot change these file types to be generically protected with a .pfile file name extension.

必須のラベル付けを使用するときにドキュメントの "後で" を削除するRemove "Not now" for documents when you use mandatory labeling

この構成では、Office 365 セキュリティ/コンプライアンスセンター PowerShell を使用して構成する必要があるポリシーの詳細設定を使用します。This configuration uses a policy advanced setting that you must configure by using Office 365 Security & Compliance Center PowerShell.

すべてのドキュメントにラベルポリシー設定を使用し、電子メールにラベルを付ける必要がある場合、ユーザーは Office ドキュメントを最初に保存するときにラベルを選択し、電子メールを送信するように求められます。When you use the label policy setting of All documents and emails must have a label, users are prompted to select a label when they first save an Office document and when they send an email. ドキュメントの場合、ユーザーは [後で] を選択して一時的にメッセージを無視し、ラベルを選んで、ドキュメントに戻ることができます。For documents, users can select Not now to temporarily dismiss the prompt to select a label and return to the document. ただし、ラベルを付けないと、保したドキュメントを閉じることはできません。However, they cannot close the saved document without labeling it.

この設定を構成すると、 [後で] オプションが削除され、ユーザーはドキュメントを初めて保存するときにラベルを選択する必要があります。When you configure this setting, it removes the Not now option so that users must select a label when the document is first saved.

選択したラベルポリシーについて、次の文字列を指定します。For the selected label policy, specify the following strings:

  • キー: PostponeMandatoryBeforeSaveKey: PostponeMandatoryBeforeSave

  • 値: FalseValue: False

PowerShell コマンドの例: ラベルポリシーの名前は "Global" です。Example PowerShell command, where your label policy is named "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{PostponeMandatoryBeforeSave="False"}

他のラベル付けソリューションからヘッダーとフッターを削除するRemove headers and footers from other labeling solutions

この構成では、Office 365 セキュリティ/コンプライアンスセンター PowerShell を使用して構成する必要があるポリシーの詳細設定を使用します。This configuration uses policy advanced settings that you must configure by using Office 365 Security & Compliance Center PowerShell.

この設定では、その視覚的マーキングが別のラベル付けソリューションによって適用されている場合に、テキスト ベースのヘッダーまたはフッターをドキュメントから削除したり置き換えたりできるようになります。The settings let you remove or replace text-based headers or footers from documents when those visual markings have been applied by another labeling solution. たとえば、古いフッターには、新しいラベル名とその独自のフッターを使用するために、機密ラベルに移行した古いラベルの名前が含まれています。For example, the old footer contains the name of an old label that you have now migrated to sensitivity labels to use a new label name and its own footer.

統一されたラベル付けクライアントがポリシーでこの構成を取得すると、Office アプリでドキュメントを開いたときに古いヘッダーとフッターが削除されるか、またはドキュメントに機密ラベルが適用されます。When the unified labeling client gets this configuration in its policy, the old headers and footers are removed or replaced when the document is opened in the Office app and any sensitivity label is applied to the document.

この構成は Outlook ではサポートされていません。そのため、この構成を Word、Excel、PowerPoint で使用すると、ユーザーのこれらのアプリのパフォーマンスに悪影響が生じる場合があります。This configuration is not supported for Outlook, and be aware that when you use it with Word, Excel, and PowerPoint, it can negatively affect the performance of these apps for users. この構成ではアプリケーションごとの設定を定義することができます。たとえば、Word 文書のヘッダーとフッターのテキストは検索し、Excel のスプレッドシートや PowerPoint のプレゼンテーションのテキストは検索しないようにできます。The configuration lets you define settings per application, for example, search for text in the headers and footers of Word documents but not Excel spreadsheets or PowerPoint presentations.

パターンマッチングはユーザーのパフォーマンスに影響するため、Office アプリケーションの種類 (WOrd、EXセル、 Powerpoint) は、検索する必要があるものだけに制限することをお勧めします。Because the pattern matching affects the performance for users, we recommend that you limit the Office application types (Word, EXcel, PowerPoint) to just those that need to be searched.

選択したラベルポリシーについて、次の文字列を指定します。For the selected label policy, specify the following strings:

  • キー: RemoveExternalContentMarkingInAppKey: RemoveExternalContentMarkingInApp

  • 値: <Office アプリケーションの種類 WXP>Value: <Office application types WXP>

例:Examples:

  • Word 文書のみを検索するには、W を指定します。To search Word documents only, specify W.

  • Word 文書と PowerPoint プレゼンテーションを検索するには、WP を指定します。To search Word documents and PowerPoint presentations, specify WP.

PowerShell コマンドの例: ラベルポリシーの名前は "Global" です。Example PowerShell command, where your label policy is named "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInApp="WX"}

この後、ヘッダーまたはフッターの内容と、その削除または置換方法を指定したりするために、少なくとも 1 つのより詳細なクライアント設定 ExternalContentMarkingToRemove が必要です。You then need at least one more advanced client setting, ExternalContentMarkingToRemove, to specify the contents of the header or footer, and how to remove or replace them.

ExternalContentMarkingToRemove を構成する方法How to configure ExternalContentMarkingToRemove

ExternalContentMarkingToRemove キーに文字列値を指定するときには、正規表現を使用する 3 つのオプションがあります。When you specify the string value for the ExternalContentMarkingToRemove key, you have three options that use regular expressions:

  • ヘッダーまたはフッターのすべてを削除する部分一致。Partial match to remove everything in the header or footer.

    例: ヘッダーまたはフッターに文字列 TEXT TO REMOVE が含まれている場合。Example: Headers or footers contain the string TEXT TO REMOVE. これらのヘッダーまたはフッターを完全に削除したいとします。You want to completely remove these headers or footers. *TEXT* を指定します。You specify the value: *TEXT*.

  • ヘッダーまたはフッターの特定の単語のみを削除する完全一致。Complete match to remove just specific words in the header or footer.

    例: ヘッダーまたはフッターに文字列 TEXT TO REMOVE が含まれている場合。Example: Headers or footers contain the string TEXT TO REMOVE. 単語 TEXT のみを削除し、ヘッダーまたはフッター文字列は TO REMOVE として残したいとします。You want to remove the word TEXT only, which leaves the header or footer string as TO REMOVE. TEXT を指定します。You specify the value: TEXT.

  • ヘッダーまたはフッターのすべてを削除する完全一致。Complete match to remove everything in the header or footer.

    例: ヘッダーまたはフッターに文字列 TEXT TO REMOVE が含まれている場合。Example: Headers or footers have the string TEXT TO REMOVE. 正確にこの文字列が含まれているヘッダーまたはフッターを削除したいとします。You want to remove headers or footers that have exactly this string. ^TEXT TO REMOVE$ を指定します。You specify the value: ^TEXT TO REMOVE$.

指定した文字列のパターン マッチングでは大文字と小文字が区別されます。The pattern matching for the string that you specify is case-insensitive. 文字列の最大長は 255 文字です。The maximum string length is 255 characters.

一部のドキュメントには非表示の文字やさまざまな種類のスペースやタブが含まれているため、語句や文に指定した文字列が検出されない可能性があります。Because some documents might include invisible characters or different kinds of spaces or tabs, the string that you specify for a phrase or sentence might not be detected. 値には、できるだけ単独の特徴的な単語を指定し、運用環境に展開する前に結果をテストしてください。Whenever possible, specify a single distinguishing word for the value and be sure to test the results before you deploy in production.

同じラベルポリシーについて、次の文字列を指定します。For the same label policy, specify the following strings:

  • キー: ExternalContentMarkingToRemoveKey: ExternalContentMarkingToRemove

  • 値: <正規表現として定義された、マッチングする文字列>Value: <string to match, defined as regular expression>

PowerShell コマンドの例: ラベルポリシーの名前は "Global" です。Example PowerShell command, where your label policy is named "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove="*TEXT*"}

複数行のヘッダーまたはフッターMultiline headers or footers

ヘッダーまたはフッターのテキストが複数行にわたる場合は、行ごとにキーと値を作成します。If a header or footer text is more than a single line, create a key and value for each line. たとえば、2 行にわたる次のフッターがあるとします。For example, you have the following footer with two lines:

ファイルは社外秘として分類The file is classified as Confidential

ラベルは手動で適用Label applied manually

この複数行のフッターを削除するには、同じラベルポリシーに対して次の2つのエントリを作成します。To remove this multiline footer, you create the following two entries for the same label policy:

  • キー: ExternalContentMarkingToRemoveKey: ExternalContentMarkingToRemove

  • キーの値 1: *社外秘*Key Value 1: *Confidential*

  • キーの値 2: *ラベルの適用*Key Value 2: *Label applied*

PowerShell コマンドの例: ラベルポリシーの名前は "Global" です。Example PowerShell command, where your label policy is named "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove="*Confidential*,*Label applied*"}

PowerPoint 用の最適化Optimization for PowerPoint

PowerPoint では、フッターが図形として実装されます。Footers in PowerPoint are implemented as shapes. 指定したテキストのうち、ヘッダーまたはフッターでない図形が削除されるのを防ぐには、PowerPointShapeNameToRemove という名前の、追加のクライアントの詳細設定を使用します。To avoid removing shapes that contain the text that you have specified but are not headers or footers, use an additional advanced client setting named PowerPointShapeNameToRemove. また、すべての図形のテキストのチェックはリソースを消費するプロセスであるため、この設定を使用して回避することをお勧めします。We also recommend using this setting to avoid checking the text in all shapes, which is a resource-intensive process.

この追加のクライアントの詳細設定を指定せず、PowerPoint が RemoveExternalContentMarkingInApp キーの値に含まれている場合、ExternalContentMarkingToRemove で指定したテキストがすべての図形でチェックされます。If you do not specify this additional advanced client setting, and PowerPoint is included in the RemoveExternalContentMarkingInApp key value, all shapes will be checked for the text that you specify in the ExternalContentMarkingToRemove value.

ヘッダーまたはフッターとして使用している図形の名前を検索するには:To find the name of the shape that you're using as a header or footer:

  1. PowerPoint の選択ウィンドウを表示し、 [書式] タブ > [配置] グループ > [選択ウィンドウ] の順に選択します。In PowerPoint, display the Selection pane: Format tab > Arrange group > Selection Pane.

  2. ヘッダーまたはフッターを含むスライド上の図形を選択します。Select the shape on the slide that contains your header or footer. 選択した図形の名前が、選択ウィンドウで強調表示されます。The name of the selected shape is now highlighted in the Selection pane.

図形の名前を使用して、PowerPointShapeNameToRemove キーの文字列値を指定します。Use the name of the shape to specify a string value for the PowerPointShapeNameToRemove key.

例: 図形の名前は fc です。Example: The shape name is fc. この名前の図形を削除するには、値 fc を指定します。To remove the shape with this name, you specify the value: fc.

  • キー: PowerPointShapeNameToRemoveKey: PowerPointShapeNameToRemove

  • 値: <PowerPoint の図形の名前>Value: <PowerPoint shape name>

PowerShell コマンドの例: ラベルポリシーの名前は "Global" です。Example PowerShell command, where your label policy is named "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}

複数の PowerPoint 図形を削除する場合は、削除する図形の数を指定します。When you have more than one PowerPoint shape to remove, specify as many values as you have shapes to remove.

既定では、マスター スライドのヘッダーとフッターのみがチェックされます。By default, only the Master slides are checked for headers and footers. この検索の対象をすべてのスライドに広げるには、RemoveExternalContentMarkingInAllSlides という名前の、追加のクライアントの詳細設定を使用します。ただし、このプロセスはリソースをより多く消費します。To extend this search to all slides, which is a much more resource-intensive process, use an additional advanced client setting named RemoveExternalContentMarkingInAllSlides:

  • キー: RemoveExternalContentMarkingInAllSlidesKey: RemoveExternalContentMarkingInAllSlides

  • 値: TrueValue: True

PowerShell コマンドの例: ラベルポリシーの名前は "Global" です。Example PowerShell command, where your label policy is named "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInAllSlides="True"}

エクスプローラーでカスタムアクセス許可を無効にするDisable custom permissions in File Explorer

この構成では、Office 365 セキュリティ/コンプライアンスセンター PowerShell を使用して構成する必要があるポリシーの詳細設定を使用します。This configuration uses a policy advanced setting that you must configure by using Office 365 Security & Compliance Center PowerShell.

既定では、ユーザーはエクスプローラーで右クリックして [分類と保護] を選択すると、 [カスタムアクセス許可で保護] する というオプションが表示されます。By default, users see an option named Protect with custom permissions when they right-click in File Explorer and choose Classify and protect. このオプションを使用すると、ラベルの構成に含まれている可能性のある保護設定を上書きできる、独自の保護設定を設定できます。This option lets them set their own protection settings that can override any protection settings that you might have included with a label configuration. ユーザーには、保護を削除するオプションも表示されます。Users can also see an option to remove protection. この設定を構成すると、ユーザーにはこれらのオプションが表示されません。When you configure this setting, users do not see these options.

この詳細設定を構成するには、選択したラベルポリシーに対して次の文字列を入力します。To configure this advanced setting, enter the following strings for the selected label policy:

  • キー: EnableCustomPermissionsKey: EnableCustomPermissions

  • 値: FalseValue: False

PowerShell コマンドの例: ラベルポリシーの名前は "Global" です。Example PowerShell command, where your label policy is named "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}

カスタム アクセス許可で保護されているファイルについて、ファイル エクスプローラーでカスタム アクセス許可を常にユーザーに表示するFor files protected with custom permissions, always display custom permissions to users in File Explorer

この構成では、Office 365 セキュリティ/コンプライアンスセンター PowerShell を使用して構成する必要があるポリシーの詳細設定を使用します。This configuration uses a policy advanced setting that you must configure by using Office 365 Security & Compliance Center PowerShell.

エクスプローラーでカスタムアクセス許可を無効にするように [高度なクライアント] 設定を構成した場合、既定では、ユーザーは保護されたドキュメントで既に設定されているカスタムアクセス許可を表示または変更できません。When you configure the advanced client setting to disable custom permissions in File Explorer, by default, users are not able to see or change custom permissions that are already set in a protected document.

ただし、このシナリオでは、ユーザーがエクスプローラーを使用してファイルを右クリックして、保護されたドキュメントのカスタムアクセス許可を表示および変更できるように、さらに詳細なクライアント設定を指定することもできます。However, there's another advanced client setting that you can specify so that in this scenario, users can see and change custom permissions for a protected document when they use File Explorer and right-click the file.

この詳細設定を構成するには、選択したラベルポリシーに対して次の文字列を入力します。To configure this advanced setting, enter the following strings for the selected label policy:

  • キー: EnableCustomPermissionsForCustomProtectedFilesKey: EnableCustomPermissionsForCustomProtectedFiles

  • 値: TrueValue: True

PowerShell コマンドの例:Example PowerShell command:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissionsForCustomProtectedFiles="True"}

添付ファイル付きの電子メール メッセージの場合、添付ファイルの最上位の分類に一致するラベルを適用しますFor email messages with attachments, apply a label that matches the highest classification of those attachments

この構成では、Office 365 セキュリティ/コンプライアンスセンター PowerShell を使用して構成する必要があるポリシーの詳細設定を使用します。This configuration uses policy advanced settings that you must configure by using Office 365 Security & Compliance Center PowerShell.

この設定は、ユーザーがラベル付きドキュメントを電子メールに添付するときに、電子メールメッセージ自体にラベルを付けない場合に使用します。This setting is for when users attach labeled documents to an email, and do not label the email message itself. このシナリオでは、添付ファイルに適用される分類ラベルに基づいて、ラベルが自動的に選択されます。In this scenario, a label is automatically selected for them, based on the classification labels that are applied to the attachments. 最高の分類ラベルが選択されます。The highest classification label is selected.

添付ファイルは物理ファイルである必要があり、ファイルへのリンク (たとえば、SharePoint または OneDrive for Business 上のファイルへのリンク) はできません。The attachment must be a physical file, and cannot be a link to a file (for example, a link to a file on SharePoint or OneDrive for Business).

この設定を [推奨] に構成すると、ユーザーは、カスタマイズ可能なツールヒントを使用して、選択したラベルを電子メールメッセージに適用するように求められます。You can configure this setting to Recommended, so that users are prompted to apply the selected label to their email message, with a customizable tooltip. ユーザーは、推奨設定を受け入れるか、通知を閉じます。Users can accept the recommendation or dismiss it. または、この設定を [自動] に構成できます。選択したラベルは自動的に適用されますが、ユーザーは電子メールを送信する前に、ラベルを削除したり、別のラベルを選択したりできます。Or, you can configure this setting to Automatic, where the selected label is automatically applied but users can remove the label or select a different label before sending the email.

注: 最高の分類ラベルを持つ添付ファイルが、ユーザー定義のアクセス許可の設定で保護するように構成されている場合:Note: When the attachment with the highest classification label is configured for protection with the setting of user-defined permissions:

  • ラベルのユーザー定義のアクセス許可に Outlook ([転送不可]) が含まれている場合、そのラベルが選択され、電子メールに [転送防止] が適用されません。When the label's user-defined permissions include Outlook (Do Not Forward), that label is selected and Do Not Forward protection is applied to the email.
  • ラベルのユーザー定義アクセス許可が Word、Excel、PowerPoint、およびエクスプローラー専用の場合、そのラベルは電子メールメッセージには適用されず、保護もされません。When the label's user-defined permissions are just for Word, Excel, PowerPoint, and File Explorer, that label is not applied to the email message, and neither is protection.

この詳細設定を構成するには、選択したラベルポリシーに対して次の文字列を入力します。To configure this advanced setting, enter the following strings for the selected label policy:

  • キー 1: AttachmentactionKey 1: AttachmentAction

  • キー値 1:推奨または自動Key Value 1: Recommended or Automatic

  • キー 2: AttachmentactiontipKey 2: AttachmentActionTip

  • キー値 2: "< カスタマイズされたツールヒント >"Key Value 2: "<customized tooltip>"

カスタマイズしたツールヒントでは、単一の言語のみがサポートされます。The customized tooltip supports a single language only.

PowerShell コマンドの例: ラベルポリシーの名前は "Global" です。Example PowerShell command, where your label policy is named "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{AttachmentAction="Automatic"}

ユーザー向けの "問題の報告" を追加するAdd "Report an Issue" for users

この構成では、Office 365 セキュリティ/コンプライアンスセンター PowerShell を使用して構成する必要があるポリシーの詳細設定を使用します。This configuration uses a policy advanced setting that you must configure by using Office 365 Security & Compliance Center PowerShell.

次のクライアントの詳細設定を指定すると、ユーザーに、 [ヘルプとフィードバック] クライアント ダイアログ ボックスから選択できる [問題の報告] オプションが表示されます。When you specify the following advanced client setting, users see a Report an Issue option that they can select from the Help and Feedback client dialog box. リンクの HTTP 文字列を指定します。Specify an HTTP string for the link. たとえば、ユーザーが問題を報告するための、カスタマイズされた独自の Web ページや、ヘルプ デスクに送信される電子メール アドレスです。For example, a customized web page that you have for users to report issues, or an email address that goes to your help desk.

この詳細設定を構成するには、選択したラベルポリシーに対して次の文字列を入力します。To configure this advanced setting, enter the following strings for the selected label policy:

  • キー: ReportAnIssueLinkKey: ReportAnIssueLink

  • 値: <HTTP string>Value: <HTTP string>

Web サイトの値の例: https://support.contoso.comExample value for a website: https://support.contoso.com

メール アドレスの値の例: mailto:helpdesk@contoso.comExample value for an email address: mailto:helpdesk@contoso.com

PowerShell コマンドの例: ラベルポリシーの名前は "Global" です。Example PowerShell command, where your label policy is named "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{ReportAnIssueLink="mailto:helpdesk@contoso.com"}

Outlook で、送信される電子メールに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装するImplement pop-up messages in Outlook that warn, justify, or block emails being sent

この構成では、Office 365 セキュリティ/コンプライアンスセンター PowerShell を使用して構成する必要があるポリシーの詳細設定を使用します。This configuration uses policy advanced settings that you must configure by using Office 365 Security & Compliance Center PowerShell.

次のクライアント詳細設定を作成して構成すると、Outlook でユーザーに対してポップアップ メッセージが表示されます。これにより、次のどちらかのシナリオで、電子メールを送信する前に警告したり、電子メールの送信理由の入力を求めたり、電子メールの送信を妨げることができます。When you create and configure the following advanced client settings, users see pop-up messages in Outlook that can warn them before sending an email, or ask them to provide justification why they are sending an email, or prevent them from sending an email for either of the following scenarios:

  • 電子メール、または電子メールの添付ファイルに特定のラベルが含まれる:Their email or attachment for the email has a specific label:

    • 添付ファイルはあらゆる種類のファイルである可能性があるThe attachment can be any file type
  • 電子メール、または電子メールの添付ファイルにラベルがない:Their email or attachment for the email doesn't have a label:

    • 添付ファイルは Office ドキュメントまたは PDF ドキュメントである可能性があるThe attachment can be an Office document or PDF document

これらの条件が満たされると、ユーザーには、次のいずれかの操作を含むポップアップメッセージが表示されます。When these conditions are met, the user sees a pop-up message with one of the following actions:

  • 警告: ユーザーは、確認して送信するか、キャンセルすることができます。Warn: The user can confirm and send, or cancel.

  • [ジャスティファイ] : ユーザーに対して理由 (定義済みオプションまたは自由形式) の入力を求められます。Justify: The user is prompted for justification (predefined options or free-form). その後、ユーザーは電子メールを送信またはキャンセルできます。The user can then send or cancel the email. 理由のテキストは、他のシステムで読み取ることができるように電子メールの X ヘッダーに書き込まれます。The justification text is written to the email x-header, so that it can be read by other systems. たとえば、データ損失防止 (DLP) サービスです。For example, data loss prevention (DLP) services.

  • ブロック: 条件が残っている間、ユーザーは電子メールを送信できません。Block: The user is prevented from sending the email while the condition remains. メッセージには、ユーザーが問題に対処できるように、電子メールをブロックする理由が含まれます。The message includes the reason for blocking the email, so the user can address the problem. たとえば、特定の受信者を削除する、電子メールにラベルを付けるなどです。For example, remove specific recipients, or label the email.

ポップアップメッセージが特定のラベルに対して実行されている場合は、ドメイン名を使用して受信者の例外を構成できます。When the popup-messages are for a specific label, you can configure exceptions for recipients by domain name.

ヒント

これらの設定を構成する方法のチュートリアルの例については、ビデオAzure Information Protection Outlook のポップアップ構成を参照してください。See the video Azure Information Protection Outlook Popup Configuration for a walkthrough example of how to configure these settings.

特定のラベルに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装するには:To implement the warn, justify, or block pop-up messages for specific labels:

選択したポリシーについて、次のキーを使用して次の詳細設定を1つ以上作成します。For the selected policy, create one or more of the following advanced settings with the following keys. 値には、1つまたは複数のラベルを Guid で指定し、それぞれをコンマで区切って指定します。For the values, specify one or more labels by their GUIDs, each one separated by a comma.

複数のラベルの Guid の値の例 (コンマ区切り文字列): dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813fExample value for multiple label GUIDs as a comma-separated string: dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813f

  • 警告メッセージ:Warn messages:

    • キー: OutlookWarnUntrustedCollaborationLabelKey: OutlookWarnUntrustedCollaborationLabel

    • 値: <ラベル guid、コンマ区切り>Value: <label GUIDs, comma-separated>

  • 理由の入力メッセージ:Justification messages:

    • キー: OutlookJustifyUntrustedCollaborationLabelKey: OutlookJustifyUntrustedCollaborationLabel

    • 値: <ラベル guid、コンマ区切り>Value: <label GUIDs, comma-separated>

  • ブロック メッセージ:Block messages:

    • キー: OutlookBlockUntrustedCollaborationLabelKey: OutlookBlockUntrustedCollaborationLabel

    • 値: <ラベル guid、コンマ区切り>Value: <label GUIDs, comma-separated>

PowerShell コマンドの例: ラベルポリシーの名前は "Global" です。Example PowerShell command, where your label policy is named "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookWarnUntrustedCollaborationLabel="8faca7b8-8d20-48a3-8ea2-0f96310a848e,b6d21387-5d34-4dc8-90ae-049453cec5cf,bb48a6cb-44a8-49c3-9102-2d2b017dcead,74591a94-1e0e-4b5d-b947-62b70fc0f53a,6c375a97-2b9b-4ccd-9c5b-e24e4fd67f73"}

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyUntrustedCollaborationLabel="dc284177-b2ac-4c96-8d78-e3e1e960318f,d8bb73c3-399d-41c2-a08a-6f0642766e31,750e87d4-0e91-4367-be44-c9c24c9103b4,32133e19-ccbd-4ff1-9254-3a6464bf89fd,74348570-5f32-4df9-8a6b-e6259b74085b,3e8d34df-e004-45b5-ae3d-efdc4731df24"}

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockUntrustedCollaborationLabel="0eb351a6-0c2d-4c1d-a5f6-caa80c9bdeec,40e82af6-5dad-45ea-9c6a-6fe6d4f1626b"}

特定のラベル用に構成されたポップアップメッセージのドメイン名を除外するにはTo exempt domain names for pop-up messages configured for specific labels

これらのポップアップメッセージで指定したラベルについては、特定のドメイン名を除外して、そのドメイン名が電子メールアドレスに含まれている受信者のメッセージがユーザーに表示されないようにすることができます。For the labels that you've specified with these pop-up messages, you can exempt specific domain names so that users do not see the messages for recipients who have that domain name included in their email address. この場合、電子メールは中断なく送信されます。In this case, the emails are sent without interruption. 複数のドメインを指定するには、ドメインをコンマで区切って 1 つの文字列として追加します。To specify multiple domains, add them as a single string, separated by commas.

一般的な構成では、組織の外部の受信者、または組織の承認済みのパートナーではない受信者についてのみ、ポップアップ メッセージが表示されます。A typical configuration is to display the pop-up messages only for recipients who are external to your organization or who aren't authorized partners for your organization. この場合は、お客様の組織およびパートナーによって使用されるすべての電子メール ドメインを指定します。In this case, you specify all the email domains that are used by your organization and by your partners.

同じラベルポリシーについて、次の高度なクライアント設定を作成し、値として1つ以上のドメインをコンマで区切って指定します。For the same label policy, create the following advanced client settings and for the value, specify one or more domains, each one separated by a comma.

コンマ区切り文字列としての複数のドメインの値の例: contoso.com,fabrikam.com,litware.comExample value for multiple domains as a comma-separated string: contoso.com,fabrikam.com,litware.com

  • 警告メッセージ:Warn messages:

    • キー: OutlookWarnTrustedDomainsKey: OutlookWarnTrustedDomains

    • 値: < コンマ区切りのドメイン名 >Value: < domain names, comma separated**>**

  • 理由の入力メッセージ:Justification messages:

    • キー: Outlookジャスト IfytrusteddomainsKey: OutlookJustifyTrustedDomains

    • 値: < コンマ区切りのドメイン名 >Value: < domain names, comma separated**>**

  • ブロック メッセージ:Block messages:

    • キー: OutlookblocktrusteddomainsKey: OutlookBlockTrustedDomains

    • 値: < コンマ区切りのドメイン名 >Value: < domain names, comma separated**>**

たとえば、 [社外秘 \ すべての従業員] ラベルに対してOutlookBlockUntrustedCollaborationLabelアドバンストクライアント設定を指定したとします。For example, you have specified the OutlookBlockUntrustedCollaborationLabel advanced client setting for the Confidential \ All Employees label. ここで、 Outlookジャスト Ifytrusteddomainscontoso.comの追加のアドバンストクライアント設定を指定します。You now specify the additional advanced client setting of OutlookJustifyTrustedDomains and contoso.com. その結果、ユーザーは、"社外秘 \ すべての従業員" というラベルが付いたときに john@sales.contoso.com に電子メールを送信できますが、Gmail アカウントに同じラベルの電子メールを送信することは禁止されます。As a result, a user can send an email to john@sales.contoso.com when it is labeled Confidential \ All Employees but will be blocked from sending an email with the same label to a Gmail account.

PowerShell コマンドの例: ラベルポリシーの名前は "Global" です。Example PowerShell commands, where your label policy is named "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockTrustedDomains="gmail.com"}

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyTrustedDomains="contoso.com,fabrikam.com,litware.com"}

ラベルのない電子メールまたは添付ファイルに対する警告、理由の入力、またはブロックのためのポップアップ メッセージを実装するには:To implement the warn, justify, or block pop-up messages for emails or attachments that don't have a label:

同じラベルポリシーについて、次のいずれかの値を使用して次のアドバンストクライアント設定を作成します。For the same label policy, create the following advanced client setting with one of the following values:

  • 警告メッセージ:Warn messages:

    • キー: OutlookUnlabeledCollaborationActionKey: OutlookUnlabeledCollaborationAction

    • 値: WarnValue: Warn

  • 理由の入力メッセージ:Justification messages:

    • キー: OutlookUnlabeledCollaborationActionKey: OutlookUnlabeledCollaborationAction

    • 値:均等配置Value: Justify

  • ブロック メッセージ:Block messages:

    • キー: OutlookUnlabeledCollaborationActionKey: OutlookUnlabeledCollaborationAction

    • 値:ブロックValue: Block

  • これらのメッセージをオフにする:Turn off these messages:

    • キー: OutlookUnlabeledCollaborationActionKey: OutlookUnlabeledCollaborationAction

    • 値:オフValue: Off

PowerShell コマンドの例: ラベルポリシーの名前は "Global" です。Example PowerShell command, where your label policy is named "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationAction="Warn"}

ラベルのない電子メールの添付ファイルのポップアップメッセージに対して、警告、配置、またはブロックを行うための特定のファイル名拡張子を定義するにはTo define specific file name extensions for the warn, justify, or block pop-up messages for email attachments that don't have a label

既定では、すべての Office ドキュメントおよび PDF ドキュメントに対して、ポップアップメッセージの警告、位置揃え、またはブロックが適用されます。By default, the warn, justify, or block pop-up messages apply to all Office documents and PDF documents. この一覧を調整するには、[警告]、[メッセージを表示する]、または [ブロックするメッセージ] に、追加の詳細設定とファイル名拡張子のコンマ区切りの一覧を表示するファイル名拡張子を指定します。You can refine this list by specifying which file name extensions should display the warn, justify, or block messages with an additional advanced setting and a comma-separated list of file name extensions.

コンマ区切りの文字列として定義する複数のファイル名拡張子の値の例: .XLSX,.XLSM,.XLS,.XLTX,.XLTM,.DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTMExample value for multiple file name extensions to define as a comma-separated string: .XLSX,.XLSM,.XLS,.XLTX,.XLTM,.DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTM

この例では、ラベル付けされていない PDF ドキュメントは、ポップアップメッセージの警告、配置、またはブロックにはなりません。In this example, an unlabeled PDF document will not result in warn, justify, or block pop-up messages.

同じラベルポリシーについて、次の文字列を入力します。For the same label policy, enter the following strings:

  • キー: OutlookOverrideUnlabeledCollaborationExtensionsKey: OutlookOverrideUnlabeledCollaborationExtensions

  • 値: < 個のメッセージを表示するファイル名拡張子、コンマ区切り >Value: < file name extensions to display messages, comma separated**>**

PowerShell コマンドの例: ラベルポリシーの名前は "Global" です。Example PowerShell command, where your label policy is named "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookOverrideUnlabeledCollaborationExtensions=".PPTX,.PPTM,.PPT,.PPTX,.PPTM"}

添付ファイルのない電子メールメッセージに対して別のアクションを指定するにはTo specify a different action for email messages without attachments

既定では、ポップアップメッセージを表示するために OutlookUnlabeledCollaborationAction に指定する値は、ラベルのない電子メールまたは添付ファイルに適用されます。By default, the value that you specify for OutlookUnlabeledCollaborationAction to warn, justify, or block pop-up messages applies to emails or attachments that don't have a label. 添付ファイルのない電子メールメッセージに対して、別の詳細設定を指定することで、この構成を調整できます。You can refine this configuration by specifying another advanced setting for email messages that don't have attachments.

次のいずれかの値を使用して、次のクライアント詳細設定を作成します。Create the following advanced client setting with one of the following values:

  • 警告メッセージ:Warn messages:

    • キー: OutlookUnlabeledCollaborationActionOverrideMailBodyBehaviorKey: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

    • 値: WarnValue: Warn

  • 理由の入力メッセージ:Justification messages:

    • キー: OutlookUnlabeledCollaborationActionOverrideMailBodyBehaviorKey: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

    • 値:均等配置Value: Justify

  • ブロック メッセージ:Block messages:

    • キー: OutlookUnlabeledCollaborationActionOverrideMailBodyBehaviorKey: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

    • 値:ブロックValue: Block

  • これらのメッセージをオフにする:Turn off these messages:

    • キー: OutlookUnlabeledCollaborationActionOverrideMailBodyBehaviorKey: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

    • 値:オフValue: Off

このクライアント設定を指定しない場合は、OutlookUnlabeledCollaborationAction に指定した値が、添付ファイルのない電子メールメッセージと、添付ファイルを含むラベルなしの電子メールメッセージに使用されます。If you don't specify this client setting, the value that you specify for OutlookUnlabeledCollaborationAction is used for unlabeled email messages without attachments as well as unlabeled email messages with attachments.

PowerShell コマンドの例: ラベルポリシーの名前は "Global" です。Example PowerShell command, where your label policy is named "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior="Warn"}

Azure Information Protection analytics への監査データの送信を無効にするDisable sending audit data to Azure Information Protection analytics

この構成では、Office 365 セキュリティ/コンプライアンスセンター PowerShell を使用して構成する必要があるポリシーの詳細設定を使用します。This configuration uses a policy advanced setting that you must configure by using Office 365 Security & Compliance Center PowerShell.

Azure Information Protection 統合されたラベル付けクライアントは、中央レポートをサポートします。既定では、は監査データをAzure Information Protection analyticsに送信します。The Azure Information Protection unified labeling client supports central reporting and by default, sends its audit data to Azure Information Protection analytics. 送信および保存される情報の詳細については、中央レポートのドキュメントの「収集して Microsoft に送信する情報」セクションを参照してください。For more information about what information is sent and stored, see the Information collected and sent to Microsoft section from the central reporting documentation.

この動作を変更して、この情報が統合ラベルクライアントによって送信されないようにするには、選択したラベルポリシーに対して次の文字列を入力します。To change this behavior so that this information is not sent by the unified labeling client, enter the following strings for the selected label policy:

  • キー: EnableauditKey: EnableAudit

  • 値: FalseValue: False

PowerShell コマンドの例: ラベルポリシーの名前は "Global" です。Example PowerShell command, where your label policy is named "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableAudit="False"}

ドキュメント内の検出された機密情報の Azure Information Protection analytics への送信を無効にするDisable sending discovered sensitive information in documents to Azure Information Protection analytics

この構成では、Office 365 セキュリティ/コンプライアンスセンター PowerShell を使用して構成する必要があるポリシーの詳細設定を使用します。This configuration uses a policy advanced setting that you must configure by using Office 365 Security & Compliance Center PowerShell.

Azure Information Protection 統合されたラベル付けクライアントが Office アプリで使用されると、ドキュメントが最初に保存されたときに、その情報を検索します。When the Azure Information Protection unified labeling client is used in Office apps, it looks for sensitive information in documents when they are first saved. Enableaudit詳細設定をFalseに設定していない場合、定義済みのカスタムの機密情報の種類がすべてAzure Information Protection analyticsに送信されます。Providing the EnableAudit advanced setting is not set to False, any predefined and custom sensitive information types found are then sent to Azure Information Protection analytics.

この動作を変更して、統一されたラベル付けクライアントによって検出された機密情報の種類が送信されないようにするには、選択したラベルポリシーに対して次の文字列を入力します。To change this behavior so that sensitive information types found by the unified labeling client are not sent, enter the following strings for the selected label policy:

  • キー: Runauditinformationタイプ検出Key: RunAuditInformationTypesDiscovery

  • 値: FalseValue: False

この高度なクライアント設定を設定した場合でも、クライアントから監査情報を送信できますが、ユーザーがラベル付きコンテンツにアクセスした場合、情報はレポートに限定されます。If you set this advanced client setting, auditing information can still be sent from the client, but the information is limited to reporting when a user has accessed labeled content.

たとえば、次のようになります。For example:

  • この設定を使用すると、社外秘 \ Salesというラベルが付けられたユーザーによってアクセスされたことを確認できます。With this setting, you can see that a user accessed Financial.docx that is labeled Confidential \ Sales.

  • この設定を行わないと、".docx" に6個のクレジットカード番号が含まれていることがわかります。Without this setting, you can see that Financial.docx contains 6 credit card numbers.

PowerShell コマンドの例: ラベルポリシーの名前は "Global" です。Example PowerShell command, where your label policy is named "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{RunAuditInformationTypesDiscovery="False"}

情報の種類の一致を Azure Information Protection analytics に送信するSend information type matches to Azure Information Protection analytics

この構成では、Office 365 セキュリティ/コンプライアンスセンター PowerShell を使用して構成する必要があるポリシーの詳細設定を使用します。This configuration uses a policy advanced setting that you must configure by using Office 365 Security & Compliance Center PowerShell.

既定では、統一されたラベル付けクライアントは、機密情報の種類のコンテンツの一致をAzure Information Protection analyticsに送信しません。By default, the unified labeling client does not send content matches for sensitive info types to Azure Information Protection analytics. 送信できるこの追加情報の詳細については、中央レポートのドキュメントの「詳細な分析のためのコンテンツの一致」を参照してください。For more information about this additional information that can be sent, see the Content matches for deeper analysis section from the central reporting documentation.

機密情報の種類が送信されたときにコンテンツの一致を送信するには、ラベルポリシーで次のアドバンストクライアント設定を作成します。To send content matches when sensitive information types are sent, create the following advanced client setting in a label policy:

  • キー: LogmatchedcontentKey: LogMatchedContent

  • 値: TrueValue: True

PowerShell コマンドの例: ラベルポリシーの名前は "Global" です。Example PowerShell command, where your label policy is named "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{LogMatchedContent="True"}

Secure Islands からのラベルの移行と、その他のラベル付けのソリューションMigrate labels from Secure Islands and other labeling solutions

この構成では、Office 365 セキュリティ/コンプライアンスセンター PowerShell を使用して構成する必要があるラベルの詳細設定を使用します。This configuration uses a label advanced setting that you must configure by using Office 365 Security & Compliance Center PowerShell.

この構成は、ファイル名拡張子が ppdf の保護された PDF ファイルと互換性がありません。This configuration is not compatible with protected PDF files that have a .ppdf file name extension. これらのファイルは、エクスプローラーまたは PowerShell を使用してクライアントで開くことはできません。These files cannot be opened by the client using File Explorer or PowerShell.

保護された島々でラベル付けされている Office ドキュメントの場合、定義したマッピングを使用して、これらのドキュメントのラベルを機密ラベルにすることができます。For Office documents that are labeled by Secure Islands, you can relabel these documents with a sensitivity label by using a mapping that you define. また、この方法を使用して、他のソリューションからのラベルを、そのラベルが Office ドキュメントにある場合は再利用することができます。You also use this method to reuse labels from other solutions when their labels are on Office documents.

この構成オプションの結果として、次のように、Azure Information Protection 統合ラベル付けクライアントによって新しい感度ラベルが適用されます。As a result of this configuration option, the new sensitivity label is applied by the Azure Information Protection unified labeling client as follows:

  • Office ドキュメントの場合: デスクトップアプリでドキュメントを開くと、新しい秘密度ラベルが設定済みとして表示され、ドキュメントの保存時に適用されます。For Office documents: When the document is opened in the desktop app, the new sensitivity label is shown as set and is applied when the document is saved.

  • PowerShell の場合: set-aipfilelabelAIPFileClassificiationで新しい秘密度ラベルを適用できます。For PowerShell: Set-AIPFileLabel and Set-AIPFileClassificiation can apply the new sensitivity label.

  • エクスプローラーの場合: [Azure Information Protection] ダイアログボックスで、新しい秘密度ラベルが表示されますが、設定されていません。For File Explorer: In the Azure Information Protection dialog box, the new sensitivity label is shown but isn't set.

この構成では、古いラベルにマップする各機密ラベルに対して、 labelByCustomPropertiesという名前の高度な設定を指定する必要があります。This configuration requires you to specify an advanced setting named labelByCustomProperties for each sensitivity label that you want to map to the old label. 次に、各エントリに対して、次の構文を使用して値を設定します。Then for each entry, set the value by using the following syntax:

[migration rule name],[Secure Islands custom property name],[Secure Islands metadata Regex value]

任意の移行規則名を指定します。Specify your choice of a migration rule name. 前のラベル付けソリューションからの1つ以上のラベルを機密ラベルにマップする方法を特定するのに役立つわかりやすい名前を使用します。Use a descriptive name that helps you to identify how one or more labels from your previous labeling solution should be mapped to sensitivity label.

この設定では、ドキュメントから元のラベルが削除されたり、元のラベルが適用された可能性がある視覚的マーキングが削除されたりすることはありません。Note that this setting does not remove the original label from the document or any visual markings in the document that the original label might have applied. ヘッダーとフッターを削除するには、前のセクション「他のラベル付けソリューションからヘッダーとフッターを削除する」を参照してください。To remove headers and footers, see the earlier section, Remove headers and footers from other labeling solutions.

例1: 同じラベル名の 1 対 1 のマッピングExample 1: One-to-one mapping of the same label name

要件: "社外秘" というセキュリティ保護された島ラベルを持つドキュメントは、Azure Information Protection によって "社外秘" というラベルが付けられます。Requirement: Documents that have a Secure Islands label of "Confidential" should be relabeled as "Confidential" by Azure Information Protection.

この例では:In this example:

  • Secure Islands のラベルは、Confidential という名前が付けられ、Classification という名前のカスタム プロパティに保存されます。The Secure Islands label is named Confidential and stored in the custom property named Classification.

詳細設定:The advanced setting:

  • キー: labelByCustomPropertiesKey: labelByCustomProperties

  • 値:セキュリティ保護された諸島ラベルは社外秘、分類、社外秘Value: Secure Islands label is Confidential,Classification,Confidential

たとえば、"Confidential" というラベルが付いた PowerShell コマンドの例を次に示します。Example PowerShell command, where your label is named "Confidential":

Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Confidential,Classification,Confidential"}

例 2: 異なるラベル名の 1 対 1 のマッピングExample 2: One-to-one mapping for a different label name

要件: セキュリティで保護されたアイランドによって "機微な" というラベルが付けられたドキュメントは、Azure Information Protection によって "機密性の高い" というラベルに再設定するRequirement: Documents labeled as "Sensitive" by Secure Islands should be relabeled as "Highly Confidential" by Azure Information Protection.

この例では:In this example:

  • Secure Islands のラベルは Sensitive という名前が付けられ、Classification という名前のカスタム プロパティに保存されます。The Secure Islands label is named Sensitive and stored in the custom property named Classification.

詳細設定:The advanced setting:

  • キー: labelByCustomPropertiesKey: labelByCustomProperties

  • 値:セキュリティ保護された諸島ラベルは機密、分類、機密Value: Secure Islands label is Sensitive,Classification,Sensitive

PowerShell コマンドの例。ラベルの名前は「非常に機密性の高い」です。Example PowerShell command, where your label is named "Highly Confidential":

Set-Label -Identity "Highly Confidential" -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Sensitive,Classification,Sensitive"}

例 3: ラベル名の多対一のマッピングExample 3: Many-to-one mapping of label names

要件: "Internal" という語を含む2つのセキュリティ保護された島々ラベルがあり、これらのセキュリティ保護された島々ラベルのいずれかを持つドキュメントを、Azure Information Protection の統合ラベル付けクライアントによって "全般" というラベルに書き換えます。Requirement: You have two Secure Islands labels that include the word "Internal" and you want documents that have either of these Secure Islands labels to be relabeled as "General" by the Azure Information Protection unified labeling client.

この例では:In this example:

  • Secure Islands のラベルには、Internal という単語が含まれ、Classification という名前のカスタム プロパティに保存されます。The Secure Islands labels include the word Internal and are stored in the custom property named Classification.

クライアントの詳細設定:The advanced client setting:

  • キー: labelByCustomPropertiesKey: labelByCustomProperties

  • 値:セキュリティで保護された諸島ラベルに内部、分類、および * の内部が含まれています。 *Value: Secure Islands label contains Internal,Classification,.*Internal.*

たとえば、"General" というラベルが付いた PowerShell コマンドの例を次に示します。Example PowerShell command, where your label is named "General":

Set-Label -Identity General -AdvancedSettings @{labelByCustomProperties="Secure Islands label contains Internal,Classification,.*Internal.*"}

例 4: 同じラベルに対して複数のルールを使用するExample 4: Multiple rules for the same label

同じラベルに対して複数のルールが必要な場合は、同じキーに対して複数の文字列値を定義します。When you need multiple rules for the same label, define multiple string values for the same key.

この例では、"Confidential" と "Secret" という名前のセキュリティ保護された諸島ラベルが "分類" という名前のカスタムプロパティに格納されていて、Azure Information Protection 統合ラベル付けクライアントに "" という名前の秘密度ラベルを適用します。社外秘 ":In this example, the Secure Islands labels named "Confidential" and "Secret" are stored in the custom property named Classification, and you want the Azure Information Protection unified labeling client to apply the sensitivity label named "Confidential":

Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}

ラベルの移行ルールを電子メールに拡張するExtend your label migration rules to emails

追加のラベルポリシーの詳細設定を指定することにより、Office ドキュメントに加えて、Outlook 電子メールで labelByCustomProperties の詳細設定を使用できます。You can use your labelByCustomProperties advanced settings with Outlook emails in addition to Office documents by specifying an additional label policy advanced setting. ただし、この設定は Outlook のパフォーマンスには既知の悪影響を与えます。そのため、この追加設定は、ビジネス要件を十分に設定している場合にのみ構成します。また、その他のラベル付けソリューション。However, this setting has a known negative impact on the performance of Outlook, so configure this additional setting only when you have a strong business requirement for it and remember to set it to a null string value when you have completed the migration from the other labeling solution.

この詳細設定を構成するには、選択したラベルポリシーに対して次の文字列を入力します。To configure this advanced setting, enter the following strings for the selected label policy:

  • キー: EnableLabelByMailHeaderKey: EnableLabelByMailHeader

  • 値: TrueValue: True

PowerShell コマンドの例: ラベルポリシーの名前は "Global" です。Example PowerShell command, where your label policy is named "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelByMailHeader="True"}

ラベルの移行ルールを SharePoint プロパティに拡張するExtend your label migration rules to SharePoint properties

ユーザーに列として公開される SharePoint プロパティで labelByCustomProperties の詳細設定を使用できます。You can use your labelByCustomProperties advanced settings with SharePoint properties that you might expose as columns to users.

この設定は、Word、Excel、PowerPoint を使用する場合にサポートされます。This setting is supported when you use Word, Excel, and PowerPoint.

この詳細設定を構成するには、選択したラベルポリシーに対して次の文字列を入力します。To configure this advanced setting, enter the following strings for the selected label policy:

  • キー: EnableLabelBySharePointPropertiesKey: EnableLabelBySharePointProperties

  • 値: TrueValue: True

PowerShell コマンドの例: ラベルポリシーの名前は "Global" です。Example PowerShell command, where your label policy is named "Global":

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelBySharePointProperties="True"}

ラベルが適用されたときにカスタムプロパティを適用するApply a custom property when a label is applied

この構成では、Office 365 セキュリティ/コンプライアンスセンター PowerShell を使用して構成する必要があるラベルの詳細設定を使用します。This configuration uses a label advanced setting that you must configure by using Office 365 Security & Compliance Center PowerShell.

機密ラベルによって適用されるメタデータに加えて、1つまたは複数のカスタムプロパティをドキュメントまたは電子メールメッセージに適用する場合は、いくつかのシナリオが考えられます。There might be some scenarios when you want to apply one or more custom properties to a document or email message in addition to the metadata that's applied by a sensitivity label.

たとえば、次のようになります。For example:

  • セキュリティで保護された島など、別のラベル付けソリューションから移行しています。You are in the process of migrating from another labeling solution, such as Secure Islands. 移行中の相互運用性を確保するために、機密ラベルを使用して、他のラベル付けソリューションで使用されるカスタムプロパティを適用することもできます。For interoperability during the migration, you want sensitivity labels to also apply a custom property that is used by the other labeling solution.

  • コンテンツ管理システム (SharePoint や別のベンダーのドキュメント管理ソリューションなど) の場合は、ラベルの値が異なる一貫したカスタムプロパティ名と、ラベル GUID ではなくユーザーフレンドリ名を使用します。For your content management system (such as SharePoint or a document management solution from another vendor) you want to use a consistent custom property name with different values for the labels, and with user-friendly names instead of the label GUID.

Azure Information Protection 統合ラベル付けクライアントを使用してユーザーにラベルを付ける Office ドキュメントおよび Outlook 電子メールの場合は、定義した1つまたは複数のカスタムプロパティを追加できます。For Office documents and Outlook emails that users label by using the Azure Information Protection unified labeling client, you can add one or more custom properties that you define. また、この方法を使用すると、統合されたラベル付けクライアントに対して、このカスタムプロパティを他のソリューションからラベルとして表示することもできます。You can also use this method for the unified labeling client to display a custom property as a label from other solutions for content that isn't yet labeled by the unified labeling client.

この構成オプションの結果として、次のように、Azure Information Protection 統合ラベル付けクライアントによって追加のカスタムプロパティが適用されます。As a result of this configuration option, any additional custom properties are applied by the Azure Information Protection unified labeling client as follows:

  • Office ドキュメントの場合: デスクトップアプリでドキュメントにラベルが付けられている場合、ドキュメントの保存時に追加のカスタムプロパティが適用されます。For Office documents: When the document is labeled in the desktop app, the additional custom properties are applied when the document is saved.

  • Outlook 電子メールの場合: 電子メールメッセージが Outlook でラベル付けされている場合、電子メールが送信されるときに、追加のプロパティが x ヘッダーに適用されます。For Outlook emails: When the email message is labeled in Outlook, the additional properties are applied to the x-header when the email is sent.

  • PowerShell の場合: set-aipfilelabelAIPFileClassificiationは、ドキュメントにラベルを付けて保存するときに、追加のカスタムプロパティを適用します。For PowerShell: Set-AIPFileLabel and Set-AIPFileClassificiation applies the additional custom properties when the document is labeled and saved. -AIPFileStatusは、秘密度ラベルが適用されていない場合に、マップされたラベルとしてカスタムプロパティを表示します。Get-AIPFileStatus displays custom properties as the mapped label if a sensitivity label isn't applied.

  • エクスプローラーの場合: ユーザーがファイルを右クリックしてラベルを適用すると、カスタムプロパティが適用されます。For File Explorer: When the user right-clicks the file and applies the label, the custom properties are applied.

この構成では、追加のカスタムプロパティを適用する各機密ラベルに対して、 Custompropertiesbylabelという名前の詳細設定を指定する必要があります。This configuration requires you to specify an advanced setting named customPropertiesByLabel for each sensitivity label that you want to apply the additional custom properties. 次に、各エントリに対して、次の構文を使用して値を設定します。Then for each entry, set the value by using the following syntax:

[custom property name],[custom property value]

例 1: ラベルに対して1つのカスタムプロパティを追加するExample 1: Add a single custom property for a label

要件: Azure Information Protection の統一されたラベル付けクライアントによって "Confidential" というラベルが付けられているドキュメントには、"Secret" という値を持つ "分類" という名前の追加のカスタムプロパティが必要です。Requirement: Documents that are labeled as "Confidential" by the Azure Information Protection unified labeling client should have the additional custom property named "Classification" with the value of "Secret".

この例では:In this example:

  • 秘密度ラベルはConfidentialという名前で、 Secretという値を持つ分類という名前のカスタムプロパティを作成します。The sensitivity label is named Confidential and creates a custom property named Classification with the value of Secret.

詳細設定:The advanced setting:

  • キー: CustompropertiesbylabelKey: customPropertiesByLabel

  • 値:分類、シークレットValue: Classification,Secret

たとえば、"Confidential" というラベルが付いた PowerShell コマンドの例を次に示します。Example PowerShell command, where your label is named "Confidential":

Set-Label -Identity Confidential -AdvancedSettings @{customPropertiesByLabel="Classification,Secret"}

例 2: ラベルに対して複数のカスタムプロパティを追加するExample 2: Add multiple custom properties for a label

同じラベルに複数のカスタムプロパティを追加するには、同じキーに対して複数の文字列値を定義する必要があります。To add more than one custom property for the same label, you need to define multiple string values for the same key.

例として、ラベルに "General" という名前が付けられていて、 generalという値を持つ分類 という名前のカスタムプロパティを1つ追加します。:Example PowerShell command, where your label is named "General" and you want to add one custom property named Classification with the value of General and a second custom property named Sensitivity with the value of Internal:

Set-Label -Identity General -AdvancedSettings @{customPropertiesByLabel=ConvertTo-Json("Classification,General", "Sensitivity,Internal")}

ラベルを構成して Outlook で S/MIME 保護を適用するConfigure a label to apply S/MIME protection in Outlook

この構成では、Office 365 セキュリティ/コンプライアンスセンター PowerShell を使用して構成する必要があるラベルの詳細設定を使用します。This configuration uses label advanced settings that you must configure by using Office 365 Security & Compliance Center PowerShell.

これらの設定は、動作中のS/MIME 展開があり、Azure Information Protection からの Rights Management 保護ではなく、電子メールに対してこの保護方法を自動的に適用するラベルが必要な場合にのみ使用してください。Use these settings only when you have a working S/MIME deployment and want a label to automatically apply this protection method for emails rather than Rights Management protection from Azure Information Protection. 結果として得られる保護は、ユーザーが Outlook から手動で S/MIME オプションを選択した場合と同じものです。The resulting protection is the same as when a user manually selects S/MIME options from Outlook.

S/MIME デジタル署名の詳細設定を構成するには、選択したラベルに次の文字列を入力します。To configure an advanced setting for an S/MIME digital signature, enter the following strings for the selected label:

  • キー: SMimeSignKey: SMimeSign

  • 値: TrueValue: True

S/MIME 暗号化の詳細設定を構成するには、選択したラベルに次の文字列を入力します。To configure an advanced setting for S/MIME encryption, enter the following strings for the selected label:

  • キー: SMimeEncryptKey: SMimeEncrypt

  • 値: TrueValue: True

指定したラベルが暗号化用に構成されている場合、Azure Information Protection の統合ラベル付けクライアントでは、S/MIME 保護は Outlook でのみ Rights Management の保護を置き換えます。If the label you specify is configured for encryption, for the Azure Information Protection unified labeling client, S/MIME protection replaces the Rights Management protection only in Outlook. 統一されたラベル付けクライアントの一般公開バージョンでは、管理センターのラベルに指定された暗号化設定が引き続き使用されます。The general availability version of the unified labeling client continues to use the encryption settings specified for the label in the admin center. ラベルが組み込まれている Office アプリでは、S/MIME 保護は適用されませんが、代わりに [転送不可] 保護が適用されます。For Office apps with built-in labeling, these do not apply the S/MIME protection but instead, apply Do Not Forward protection.

Outlook でのみラベルを表示する場合は、 outlook の電子メールメッセージのみに暗号化を適用するようにラベルを構成します。If you want the label to be visible in Outlook only, configure the label to apply encryption to Only email messages in Outlook.

たとえば、"受信者のみ" というラベルが付いた PowerShell コマンドの例を次に示します。Example PowerShell commands, where your label is named "Recipients Only":

Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeSign="True"}

Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeEncrypt="True"}

親ラベルに既定のサブラベルを指定するSpecify a default sublabel for a parent label

この構成では、Office 365 セキュリティ/コンプライアンスセンター PowerShell を使用して構成する必要があるラベルの詳細設定を使用します。This configuration uses a label advanced setting that you must configure by using Office 365 Security & Compliance Center PowerShell.

ラベルにサブラベルを追加すると、ユーザーはドキュメントまたは電子メールに親ラベルを適用できなくなります。When you add a sublabel to a label, users can no longer apply the parent label to a document or email. 既定では、ユーザーは親ラベルを選択して、適用できるサブラベルを確認してから、サブラベルのいずれかを選択します。By default, users select the parent label to see the sublabels that they can apply, and then select one of those sublabels. この詳細設定を構成した場合、ユーザーが親ラベルを選択すると、サブラベルが自動的に選択されて適用されます。If you configure this advanced setting, when users select the parent label, a sublabel is automatically selected and applied for them:

  • キー: DefaultSubLabelIdKey: DefaultSubLabelId

  • 値: <sublabel GUID >Value: <sublabel GUID>

たとえば、親ラベルの名前が "Confidential" で、"All Employees" サブラベルの GUID が8faca7b8-8d20-48a3-8ea2-0f96310a848e である PowerShell コマンドの例を次に示します。Example PowerShell command, where your parent label is named "Confidential" and the "All Employees" sublabel has a GUID of 8faca7b8-8d20-48a3-8ea2-0f96310a848e:

Set-Label -Identity "Confidential" -AdvancedSettings @{DefaultSubLabelId="8faca7b8-8d20-48a3-8ea2-0f96310a848e"}

ラベルの色を指定しますSpecify a color for the label

この構成では、Office 365 セキュリティ/コンプライアンスセンター PowerShell を使用して構成する必要があるラベルの詳細設定を使用します。This configuration uses label advanced settings that you must configure by using Office 365 Security & Compliance Center PowerShell.

この詳細設定を使用して、ラベルの色を設定します。Use this advanced setting to set a color for a label. 色を指定するには、色の赤、緑、および青 (RGB) コンポーネントの16進数の16進コードを入力します。To specify the color, enter a hex triplet code for the red, green, and blue (RGB) components of the color. たとえば、#40e0d0 は水色の RGB 16 進値です。For example, #40e0d0 is the RGB hex value for turquoise.

これらのコードの参照が必要な場合は、MSDN web ドキュメントの< 色 >のページにある便利な表を参照してください。また、これらのコードは、画像を編集できる多くのアプリケーションでも見つかります。If you need a reference for these codes, you'll find a helpful table from the <color> page from the MSDN web docs. You also find these codes in many applications that let you edit pictures. たとえば、Microsoft ペイントでは、パレットからカスタム色を選択できます。RGB 値が自動的に表示されるので、それをコピーできます。For example, Microsoft Paint lets you choose a custom color from a palette and the RGB values are automatically displayed, which you can then copy.

ラベルの色の詳細設定を構成するには、選択したラベルに次の文字列を入力します。To configure the advanced setting for a label's color, enter the following strings for the selected label:

  • キー: colorKey: color

  • 値: <RGB の16進値 >Value: <RGB hex value>

PowerShell コマンドの例: ラベルの名前は "Public" です。Example PowerShell command, where your label is named "Public":

Set-Label -Identity Public -AdvancedSettings @{color="#40e0d0"}

別のユーザーでのサイン インSign in as a different user

運用環境では、ユーザーが Azure Information Protection 統合されたラベル付けクライアントを使用している場合、通常は別のユーザーとしてサインインする必要はありません。In a production environment, users wouldn't usually need to sign in as a different user when they are using the Azure Information Protection unified labeling client. ただし管理者の場合は、テスト段階のときに別ユーザーとしてサインインする必要がある場合があります。However, as an administrator, you might need to sign in as a different user during a testing phase.

現在サインインしているアカウントは、Microsoft Azure Information Protection ダイアログボックスを使用して確認できます。 Office アプリケーションを開き、ホーム タブで 秘密度 ボタンを選択し、ヘルプとフィードバックYou can verify which account you're currently signed in as by using the Microsoft Azure Information Protection dialog box: Open an Office application and on the Home tab, select the Sensitivity button, and then select Help and feedback. アカウント名が [クライアント ステータス] セクションに表示されます。Your account name is displayed in the Client status section.

表示されるサインイン アカウントのドメイン名も必ず確認してください。Be sure to also check the domain name of the signed in account that's displayed. 正しいアカウントでサインインしていてもドメインが間違っている、という状況は気付きにくいものです。It can be easy to miss that you're signed in with the right account name but wrong domain. 間違ったアカウントを使用すると、ラベルのダウンロードに失敗したり、予期したラベルや動作が表示されないことがあります。A symptom of using the wrong account includes failing to download the labels, or not seeing the labels or behavior that you expect.

別のユーザーでサイン インする方法は以下の通りです。To sign in as a different user:

  1. %localappdata%\Microsoft\MSIP に移動し、TokenCache ファイルを削除します。Navigate to %localappdata%\Microsoft\MSIP and delete the TokenCache file.

  2. 開いている Office アプリケーションがあれば再起動し、別のユーザー アカウントでサインインします。Restart any open Office applications and sign in with your different user account. Azure Information Protection サービスにサインインするためのプロンプトが Office アプリケーションに表示されない場合は、 [Microsoft Azure Information Protection] ダイアログボックスに戻り、更新された [クライアントステータス] セクションから [サインイン] を選択します。If you do not see a prompt in your Office application to sign in to the Azure Information Protection service, return to the Microsoft Azure Information Protection dialog box and select Sign in from the updated Client status section.

さらに、本サービスには以下の規定が適用されます。Additionally:

  • これらの手順を完了した後も、Azure Information Protection 統合されたラベル付けクライアントが古いアカウントでサインインしている場合は、Internet Explorer からすべての cookie を削除してから、手順 1. と 2. を繰り返します。If the Azure Information Protection unified labeling client is still signed in with the old account after completing these steps, delete all cookies from Internet Explorer, and then repeat steps 1 and 2.

  • シングル サインオンを使用する場合は、トークン ファイルを削除した後に Windows からサインアウトし、別のユーザー アカウントでサインインする必要があります。If you are using single sign-on, you must sign out from Windows and sign in with your different user account after deleting the token file. Azure Information Protection 統合されたラベル付けクライアントは、現在サインインしているユーザーアカウントを使用して自動的に認証します。The Azure Information Protection unified labeling client then automatically authenticates by using your currently signed in user account.

  • このソリューションでは、同じテナントから別ユーザーとしてサインインする操作がサポートされています。This solution is supported for signing in as another user from the same tenant. 別のテナントから別のユーザーとしてサインインする操作はサポートされていません。It is not supported for signing in as another user from a different tenant. 複数のテナントがある Azure Information Protection をテストするには、異なるコンピューターを使用します。To test Azure Information Protection with multiple tenants, use different computers.

  • [ヘルプとフィードバック][設定のリセット] オプションを使用すると、Office 365 セキュリティ/コンプライアンスセンター、Microsoft 365 セキュリティセンター、また Microsoft 365 はから、現在ダウンロードされているラベルとポリシー設定をサインアウトしたり、削除したりできます。コンプライアンスセンター。You can use the Reset settings option from Help and Feedback to sign out and delete the currently downloaded labels and policy settings from the Office 365 Security & Compliance Center, the Microsoft 365 Security center, or the Microsoft 365 Compliance center.

切断されたコンピューターのサポートSupport for disconnected computers

重要

切断されたコンピューターは、ファイルエクスプローラー、PowerShell、およびスキャナーのラベル付けのシナリオでのみサポートされます。Disconnected computers are supported for the following labeling scenarios only: File Explorer, PowerShell, and the scanner. Office アプリでドキュメントにラベルを付けるには、インターネットに接続している必要があります。To label documents in your Office apps, you must have connectivity to the internet.

既定では、Azure Information Protection の統一されたラベル付けクライアントは、インターネットへの接続を自動的に試みて、ラベル付け管理センターからラベルとラベルポリシー設定をダウンロードします。 Office 365 セキュリティ/コンプライアンスセンター、Microsoft 365 security center、または Microsoft 365 コンプライアンスセンター。By default, the Azure Information Protection unified labeling client automatically tries to connect to the internet to download the labels and label policy settings from your labeling management center: The Office 365 Security & Compliance Center, the Microsoft 365 security center, or the Microsoft 365 compliance center. 一定期間インターネットに接続できないコンピューターがある場合は、統一されたラベル付けクライアントのポリシーを手動で管理するファイルをエクスポートしてコピーできます。If you have computers that cannot connect to the internet for a period of time, you can export and copy files that manually manages the policy for the unified labeling client.

マニュアルInstructions:

  1. 切断されたコンピューターで使用するラベルおよびポリシー設定をダウンロードするために使用する Azure AD でユーザーアカウントを選択または作成します。Choose or create a user account in Azure AD that you will use to download labels and policy settings that you want to use on your disconnected computer.

  2. このアカウントの追加のラベルポリシー設定として、 enableaudit詳細設定を使用してAzure Information Protection analytics への監査データの送信を無効にします。As an additional label policy setting for this account, disable sending audit data to Azure Information Protection analytics by using the EnableAudit advanced setting.

    切断されたコンピューターがインターネットに接続している場合は、手順1のユーザー名を含む Azure Information Protection analytics にログ情報を送信するので、この手順をお勧めします。We recommend this step because if the disconnected computer does have periodic internet connectivity, it will send logging information to Azure Information Protection analytics that includes the user name from step 1. このユーザーアカウントは、切断されたコンピューターで使用しているローカルアカウントとは異なる場合があります。That user account might be different from the local account you're using on the disconnected computer.

  3. 統一されたラベル付けクライアントがインストールされ、手順1のユーザーアカウントでサインインしているインターネット接続があるコンピューターから、ラベルとポリシー設定をダウンロードします。From a computer with internet connectivity that has the unified labeling client installed and signed in with the user account from step 1, download the labels and policy settings.

  4. このコンピューターから、ログファイルをエクスポートします。From this computer, export the log files.

    たとえば、 export-Aiの gsコマンドレットを実行するか、クライアントの [ヘルプとフィードバック] ダイアログボックスの [ログのエクスポート] オプションを使用します。For example, run the Export-AIPLogs cmdlet, or use the Export Logs option from the client's Help and Feedback dialog box.

    ログファイルは、1つの圧縮ファイルとしてエクスポートされます。The log files are exported as a single compressed file.

  5. 圧縮ファイルを開き、MSIP フォルダーから、.xml ファイル名拡張子を持つファイルをコピーします。Open the compressed file, and from the MSIP folder, copy any files that have a .xml file name extension.

  6. これらのファイルを、切断されたコンピューターの %localappdata%\Microsoft\MSIPフォルダーに貼り付けます。Paste these files into the %localappdata%\Microsoft\MSIP folder on the disconnected computer.

  7. 選択したユーザーアカウントが通常インターネットに接続している場合は、 enableaudit値をTrueに設定して、監査データの送信を再度有効にします。If your chosen user account is one that usually connects to the internet, enable sending audit data again, by setting the EnableAudit value to True.

  8. 切断されたコンピューターがファイルを保護する、ファイルを再保護する、ファイルから保護を削除する、または保護されたファイルを検査するために、 DelegatedUserパラメーターを指定してSet-aipauthenticationコマンドレットを実行し、手順 1. でユーザーコンテキストを設定するユーザーアカウント。For the disconnected computer to protect files, reprotect files, remove protection from files, or to inspect protected files: On the disconnected computer, run the Set-AIPAuthentication cmdlet with the DelegatedUser parameter and specify the user account from step 1 to set the user context. たとえば、次のようになります。For example:

     Set-AIPAuthentication -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser offlineuser@contoso.com
    

このコンピューターのユーザーが [ヘルプとフィードバック] から [設定のリセット] オプションを選択した場合、この操作によってポリシーファイルが削除され、クライアントがファイルを手動で置き換えるか、クライアントがインターネットに接続するまでクライアントが動作しないことに注意してください。ファイルをダウンロードします。Be aware that if a user on this computer selects the Reset Settings option from Help and feedback, this action deletes the policy files and renders the client inoperable until you manually replace the files or the client connects to the internet and downloads the files.

切断されたコンピューターが Azure Information Protection スキャナーを実行している場合は、追加の構成手順を実行する必要があります。If your disconnected computer is running the Azure Information Protection scanner, there are additional configuration steps you must take. 詳細については、「制限: スキャナーサーバーがスキャナーの展開手順からインターネットに接続できない」を参照してください。For more information, see Restriction: The scanner server cannot have internet connectivity from the scanner deployment instructions.

ローカルのログ記録レベルを変更するChange the local logging level

既定では Azure Information Protection 統合されたラベル付けクライアントは、クライアントログファイルを %localappdata%\Microsoft\MSIPフォルダーに書き込みます。By default, the Azure Information Protection unified labeling client writes client log files to the %localappdata%\Microsoft\MSIP folder. これらのファイルは、Microsoft サポートによるトラブルシューティングを目的としています。These files are intended for troubleshooting by Microsoft Support.

これらのファイルのログ記録レベルを変更するには、レジストリで次の値の名前を探し、値のデータを必要なログ記録レベルに設定します。To change the logging level for these files, locate the following value name in the registry and set the value data to the required logging level:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\LogLevelHKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\LogLevel

ログ記録レベルに次の値のいずれかを設定します。Set the logging level to one of the following values:

  • オフ: ローカルログはありません。Off: No local logging.

  • エラー: エラーのみ。Error: Errors only.

  • 警告: エラーと警告。Warn: Errors and warnings.

  • Info: 最小ログ記録。イベント id が含まれません (スキャナーの既定の設定)。Info: Minimum logging, which includes no event IDs (the default setting for the scanner).

  • デバッグ: 完全な情報。Debug: Full information.

  • トレース: 詳細なログ記録 (クライアントの既定の設定)。Trace: Detailed logging (the default setting for clients).

このレジストリ設定では、中央レポートの Azure Information Protection に送信される情報は変更されません。This registry setting does not change the information that's sent to Azure Information Protection for central reporting.

次のステップNext steps

Azure Information Protection 統合されたラベル付けクライアントをカスタマイズしたので、このクライアントのサポートに必要な追加情報については、次のリソースを参照してください。Now that you've customized the Azure Information Protection unified labeling client, see the following resources for additional information that you might need to support this client: