管理者ガイド: Azure Information Protection 統合クライアントでの PowerShell の使用Admin Guide: Using PowerShell with the Azure Information Protection unified client

*適用対象: Azure Information Protection、windows 10、Windows 8.1、Windows 8、Windows Server 2019、Windows Server 2016、windows Server 2012 R2、windows server 2012 **Applies to: Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012*

Windows 7 または Office 2010 を使用している場合は、「 AIP and Legacy Windows And office versions」を参照してください。If you have Windows 7 or Office 2010, see AIP and legacy Windows and Office versions.

*関連: Windows 用の統一されたラベル付けクライアント Azure Information Protectionます。*Relevant for: Azure Information Protection unified labeling client for Windows. 従来のクライアントについては、「 従来のクライアント管理者ガイド」を参照してください。For the classic client, see the classic client admin guide.*

Azure Information Protection 統合ラベル付けクライアントをインストールすると、PowerShell コマンドが Azureinformationprotection モジュールの一部として自動的にインストールされ、ラベル付け用のコマンドレットが使用されます。When you install the Azure Information Protection unified labeling client, PowerShell commands are automatically installed as part of the AzureInformationProtection module, with cmdlets for labeling.

Azureinformationprotection モジュールを使用すると、オートメーションスクリプトのコマンドを実行してクライアントを管理できます。The AzureInformationProtection module enables you to manage the client by running commands for automation scripts.

以下に例を示します。For example:

  • Get-AIPFileStatus: 指定したファイルまたはファイルの Azure Information Protection ラベルと保護情報を取得します。Get-AIPFileStatus: Gets the Azure Information Protection label and protection information for a specified file or files.
  • Set-aipfileclassification: ポリシーで構成されている条件に従って、ファイルをスキャンして、ファイルの Azure Information Protection ラベルを自動的に設定します。Set-AIPFileClassification: Scans a file to automatically set an Azure Information Protection label for a file, according to conditions that are configured in the policy.
  • Set-aipfilelabel: ファイルの Azure Information Protection ラベルを設定または削除し、ラベル構成またはカスタムアクセス許可に従って保護を設定または削除します。Set-AIPFileLabel: Sets or removes an Azure Information Protection label for a file, and sets or removes the protection according to the label configuration or custom permissions.
  • Set-AIPAuthentication: Azure Information Protection クライアントの認証資格情報を設定します。Set-AIPAuthentication: Sets the authentication credentials for the Azure Information Protection client.

Azureinformationprotection モジュールは、 \ProgramFiles (x86) \Microsoft Azure Information Protection フォルダーにインストールされた後、このフォルダーを PSModulePath システム変数に追加します。The AzureInformationProtection module is installed in the \ProgramFiles (x86)\Microsoft Azure Information Protection folder, and then adds this folder to the PSModulePath system variable. このモジュールの .dll の名前は AIP.dll です。The .dll for this module is named AIP.dll.

重要

Azureinformationprotection モジュールは、ラベルまたはラベルポリシーの詳細設定の構成をサポートしていません。The AzureInformationProtection module doesn't support configuring advanced settings for labels or label policies.

これらの設定には、Office 365 セキュリティ & コンプライアンスセンターの PowerShell が必要です。For these settings, you need the Office 365 Security & Compliance Center PowerShell. 詳細については、「 Azure Information Protection の統合ラベル付けクライアントのカスタム構成」を参照してください。For more information, see Custom configurations for the Azure Information Protection unified labeling client.

ヒント

260 文字よりも長いパスとともにコマンドレットを使用するには、Windows 10 バージョン 1607 以降で利用できる次のグループ ポリシー設定を使用します。To use cmdlets with path lengths greater than 260 characters, use the following group policy setting that is available starting Windows 10, version 1607:
ローカルコンピューターポリシー > コンピューターの構成 > 管理用テンプレート > すべての設定 > Win32 長いパスを有効にするLocal Computer Policy > Computer Configuration > Administrative Templates > All Settings > Enable Win32 long paths

Windows Server 2016 の場合、Windows 10 用の最新の管理用テンプレート (.admx) をインストールすれば、同じグループ ポリシー設定を使用できます。For Windows Server 2016, you can use the same group policy setting when you install the latest Administrative Templates (.admx) for Windows 10.

詳しくは、Windows 10 開発者向けドキュメントの「Maximum Path Length Limitation (パスの最大長の制限)」をご覧ください。For more information, see the Maximum Path Length Limitation section from the Windows 10 developer documentation.

AzureInformationProtection モジュールを使用するための前提条件Prerequisites for using the AzureInformationProtection module

Azureinformationprotection モジュールをインストールするための前提条件に加えて、Azure Information Protection のラベル付けコマンドレットを使用する場合は、次のような追加の前提条件があります。In addition to the prerequisites for installing the AzureInformationProtection module, there are extra prerequisites for when you use the labeling cmdlets for Azure Information Protection:

  • Azure Rights Management サービスをアクティブ化する必要があり ます。The Azure Rights Management service must be activated.

    Azure Information Protection テナントがアクティブ化されていない場合は、 Azure Information Protection から保護サービスをアクティブ化するための手順を参照してください。If your Azure Information Protection tenant is not activated, see the instructions for Activating the protection service from Azure Information Protection.

  • 自分のアカウントを使用して他のユーザーのファイルから保護を削除するに は:To remove protection from files for others using your own account:

    • スーパーユーザー機能が組織で有効になっている必要があります。The super user feature must be enabled for your organization.
    • アカウントは、Azure Rights Management のスーパーユーザーとして構成されている必要があります。Your account must be configured to be a super user for Azure Rights Management.

    たとえば、データの検出または回復のために、他のユーザーの保護を削除することができます。For example, you may want to remove protection for others for the sake of data discovery or recovery. ラベルを使用して保護を適用している場合は、保護を適用しない新しいラベルを設定することによって保護を削除できます。または、ラベルを削除することもできます。If you are using labels to apply protection, you can remove that protection by setting a new label that doesn't apply protection, or you can remove the label.

    保護を削除するには、 set-aipfilelabel コマンドレットと removeprotection パラメーターを使用します。To remove protection, use the Set-AIPFileLabel cmdlet with the RemoveProtection parameter. 保護の削除機能は既定で無効になっているため、まず、 LabelPolicy コマンドレットを使用して有効にする必要があります。The remove protection capability is disabled by default and must first be enabled using the Set-LabelPolicy cmdlet.

RMS と統合されたラベル付けコマンドレットのマッピングRMS to unified labeling cmdlet mapping

Azure RMS から移行した場合、RMS 関連のコマンドレットは、統合されたラベル付けで使用するために非推奨とされます。If you've migrated from Azure RMS, note that RMS-related cmdlets have been deprecated for use in unified labeling.

従来のコマンドレットの一部は、ラベル付けのための新しいコマンドレットに置き換えられました。Some of the legacy cmdlets have been replaced with new cmdlets for unified labeling. たとえば、 RMSProtectionLicense を RMS 保護と共に使用し、統合されたラベルに移行した場合は、代わりに 新しい-AIPCustomPermissions を使用します。For example, if you used New-RMSProtectionLicense with RMS protection and have migrated to unified labeling, use New-AIPCustomPermissions instead.

次の表は、RMS 関連のコマンドレットと、統合されたラベル付けに使用される更新されたコマンドレットを示しています。The following table maps RMS-related cmdlets with the updated cmdlets used for unified labeling:

RMS コマンドレットRMS cmdlet 統一されたラベル付けコマンドレットUnified labeling cmdlet
も get-rmsfilestatusGet-RMSFileStatus Get-AIPFileStatusGet-AIPFileStatus
RMSServerGet-RMSServer 統一されたラベル付けには関係ありません。Not relevant for unified labeling.
Set-rmsserverauthenticationGet-RMSServerAuthentication Set-AIPAuthenticationSet-AIPAuthentication
RMSAuthenticationClear-RMSAuthentication Set-AIPAuthenticationSet-AIPAuthentication
Set-RMSServerAuthenticationSet-RMSServerAuthentication Set-AIPAuthenticationSet-AIPAuthentication
Get-rmstemplateGet-RMSTemplate ラベルの統合には関係ありませんNot relevant for unified labeling
RMSProtectionLicenseNew-RMSProtectionLicense Custompermissions パラメーターを指定した 新しい-AIPCustomPermissionsおよび set-aipfilelabelNew-AIPCustomPermissions, and Set-AIPFileLabel, with the CustomPermissions parameter
保護-Protect-rmsfileProtect-RMSFile Removeprotection パラメーターを指定して set-aipfilelabel を設定するSet-AIPFileLabel, with the RemoveProtection parameter

非対話形式でファイルに Azure Information Protection のラベル付けをする方法How to label files non-interactively for Azure Information Protection

既定では、ラベル付けのコマンドレットを実行するとき、対話型 PowerShell セッション内のユーザー コンテキストでコマンドは動作します。By default, when you run the cmdlets for labeling, the commands run in your own user context in an interactive PowerShell session.

詳細については、次を参照してください。For more information, see:

注意

コンピューターがインターネットにアクセスできない場合は、Azure AD でアプリを作成し、 Set AIPAuthentication コマンドレットを実行する必要はありません。If the computer cannot have internet access, there's no need to create the app in Azure AD and run the Set-AIPAuthentication cmdlet. 代わりに、切断された コンピューターの指示に従います。Instead, follow the instructions for disconnected computers.

AIP ラベル付けコマンドレットを無人で実行するための前提条件Prerequisites for running AIP labeling cmdlets unattended

コマンドレットの Azure Information Protection を無人で実行するには、次のアクセスの詳細を使用します。To run Azure Information Protection labeling cmdlets unattended, use the following access details:

  • 対話形式でサインインできる Windows アカウントA Windows account that can sign in interactively.

  • 委任されたアクセスのための Azure AD アカウントAn Azure AD account, for delegated access. 管理を容易にするために、Active Directory から Azure AD に同期される1つのアカウントを使用します。For ease of administration, use a single account that's synchronized from Active Directory to Azure AD.

    委任されたユーザーアカウントの場合:For the delegated user account:

    要件Requirement 詳細Details
    ラベルポリシーLabel policy このアカウントにラベルポリシーが割り当てられていること、および使用する公開されたラベルがポリシーに含まれていることを確認してください。Make sure that you have a label policy assigned to this account and that the policy contains the published labels you want to use.

    異なるユーザーにラベルポリシーを使用する場合は、すべてのラベルを発行する新しいラベルポリシーを作成し、この委任されたユーザーアカウントのみにポリシーを発行する必要がある場合があります。If you use label policies for different users, you might need to create a new label policy that publishes all your labels, and publish the policy to just this delegated user account.
    コンテンツの復号化Decrypting content このアカウントでコンテンツの暗号化を解除する必要がある場合 (たとえば、ファイルを再保護し、他のユーザーが保護しているファイルを検査する場合) は、Azure Information Protection の スーパーユーザー にして、スーパーユーザー機能が有効になっていることを確認してください。If this account needs to decrypt content, for example, to reprotect files and inspect files that others have protected, make it a super user for Azure Information Protection and make sure the super user feature is enabled.
    オンボードコントロールOnboarding controls 段階的展開の オンボードコントロール を実装している場合は、構成したオンボードコントロールにこのアカウントが含まれていることを確認してください。If you have implemented onboarding controls for a phased deployment, make sure that this account is included in your onboarding controls you've configured.
  • Azure AD アクセストークン。 Azure Information Protection に対して認証するために、委任されたユーザーの資格情報を設定して格納します。An Azure AD access token, which sets and stores credentials for the delegated user to authenticate to Azure Information Protection. Azure AD のトークンの有効期限が切れた場合、新しいトークンを取得するには、もう一度コマンドレットを実行する必要があります。When the token in Azure AD expires, you must run the cmdlet again to acquire a new token.

    Set-AIPAuthentication のパラメーターは、Azure AD のアプリ登録プロセスの値を使用します。The parameters for Set-AIPAuthentication use values from an app registration process in Azure AD. 詳細については、「 Set-AIPAuthentication の Azure AD アプリケーションの作成と構成」を参照してください。For more information, see Create and configure Azure AD applications for Set-AIPAuthentication.

最初に Set-AIPAuthentication コマンドレットを実行して、ラベル付けのコマンドレットを非対話形式で実行します。Run the labeling cmdlets non-interactively by first running the Set-AIPAuthentication cmdlet.

Aipauthentication コマンドレットを実行しているコンピューターは、ラベル付け管理センター内の委任されたユーザーアカウントに割り当てられているラベル付けポリシーをダウンロードします (Microsoft 365 セキュリティ & コンプライアンスセンターなど)。The computer running the AIPAuthentication cmdlet downloads the labeling policy that's assigned to your delegated user account in your labeling management center, such as the Microsoft 365 Security & compliance center.

Set-AIPAuthentication 用の Azure AD アプリケーションの作成と構成Create and configure Azure AD applications for Set-AIPAuthentication

Set AIPAuthentication コマンドレットを使用するには、 AppIdappsecret パラメーターのアプリ登録が必要です。The Set-AIPAuthentication cmdlet requires an app registration for the AppId and AppSecret parameters.

クラシッククライアントから最近移行したユーザーに対して、以前の webappid パラメーターとのアプリケーション登録を作成 した ユーザーについては、統一されたラベル付けクライアント用の新しいアプリ登録を作成する必要があります。For users who've recently migrated from the classic client, and had created an app registration for the previous WebAppID and NativeAppId parameters, you'll need to create a new app registration for the unified labeling client.

統一されたラベル付けクライアント Set-AIPAuthentication コマンドレットの新しいアプリ登録を作成するには、次のように します。To create a new app registration for the unified labeling client Set-AIPAuthentication cmdlet:

  1. 新しいブラウザーウィンドウで、Azure Information Protection で使用する Azure AD テナントに Azure portal をサインインします。In a new browser window, sign in the Azure portal to the Azure AD tenant that you use with Azure Information Protection.

  2. [ > > アプリの登録 の管理] Azure Active Directory 移動し、[新しい登録] を選択します。Navigate to Azure Active Directory > Manage > App registrations, and select New registration.

  3. [ アプリケーションの登録 ] ウィンドウで、次の値を指定し、[ 登録] をクリックします。On the Register an application pane, specify the following values, and then click Register:

    オプションOption Value
    名前Name AIP-DelegatedUser
    必要に応じて別の名前を指定してください。Specify a different name as needed. 名前はテナントごとに一意である必要があります。The name must be unique per tenant.
    サポートされているアカウントの種類Supported account types [この組織のディレクトリ内のアカウントのみ] を選択します。Select Accounts in this organizational directory only.
    リダイレクト URI (省略可能)Redirect URI (optional) [ Web] を選択し、「」と入力し https://localhost ます。Select Web, and then enter https://localhost.
  4. [ AIP-DelegatedUser ] ウィンドウで、 アプリケーション (クライアント) ID の値をコピーします。On the AIP-DelegatedUser pane, copy the value for the Application (client) ID.

    値は次の例のように 77c3c1c3-abf9-404e-8b2b-4652836c8c66 なります。The value looks similar to the following example: 77c3c1c3-abf9-404e-8b2b-4652836c8c66.

    この値は、 Set-AIPAuthentication コマンドレット を実行するときに AppId パラメーターに使用されます。This value is used for the AppId parameter when you run the Set-AIPAuthentication cmdlet. 後で参照するために値を貼り付けて保存します。Paste and save the value for later reference.

  5. サイドバーで、[ > 証明書 & シークレット を管理する] を選択します。From the sidebar, select Manage > Certificates & secrets.

    次に、[ AIP-証明書 & シークレット ] ウィンドウの [ クライアントシークレット ] セクションで、[ 新しいクライアントシークレット] を選択します。Then, on the AIP-DelegatedUser - Certificates & secrets pane, in the Client secrets section, select New client secret.

  6. [ クライアントシークレットの追加] で、次のように指定し、[ 追加] を選択します。For Add a client secret, specify the following, and then select Add:

    フィールドField Value
    説明Description Azure Information Protection unified labeling client
    経過Expires 選択した期間 (1 年、2年間、または無期限) を指定しますSpecify your choice of duration (1 year, 2 years, or never expires)
  7. [ AIP-DelegatedUser & シークレット ] ウィンドウに戻り、[ クライアントシークレット ] セクションで、 の文字列をコピーします。Back on the AIP-DelegatedUser - Certificates & secrets pane, in the Client secrets section, copy the string for the VALUE.

    この文字列は次の例のように OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4 なります。This string looks similar to the following example: OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4.

    すべての文字がコピーされるようにするには、 クリップボードにコピー するアイコンを選択します。To make sure you copy all the characters, select the icon to Copy to clipboard.

    重要

    この文字列は再び表示されることがなく、取得することもできないため、保存しておくことが重要です。It's important that you save this string because it is not displayed again and it cannot be retrieved. 使用する機密情報と同様に、保存した値を安全に保存し、アクセスを制限します。As with any sensitive information that you use, store the saved value securely and restrict access to it.

  8. サイドバーで、[ > API のアクセス許可 の管理] を選択します。From the sidebar, select Manage > API permissions.

    [ AIP-DelegatedUser のアクセス許可 ] ウィンドウで、[ アクセス許可の追加] を選択します。On the AIP-DelegatedUser - API permissions pane, select Add a permission.

  9. [ Api のアクセス許可の要求 ] ウィンドウで、[ Microsoft api ] タブが表示されていることを確認し、[ Azure Rights Management Services] を選択します。On the Request API permissions pane, make sure that you're on the Microsoft APIs tab, and select Azure Rights Management Services.

    アプリケーションで必要なアクセス許可の種類を確認するメッセージが表示されたら、[ アプリケーションのアクセス許可] を選択します。When you're prompted for the type of permissions that your application requires, select Application permissions.

  10. [アクセス許可の選択] で、[コンテンツ] を展開し、次のものを選択して、[アクセス許可の追加] を選択します。For Select permissions, expand Content and select the following, and then select Add permissions.

    • DelegatedReaderContent.DelegatedReader
    • DelegatedWriterContent.DelegatedWriter
  11. [ AIP-DelegatedUser のアクセス許可 ] ウィンドウに戻り、[ アクセス許可の追加 ] をもう一度選択します。Back on the AIP-DelegatedUser - API permissions pane, select Add a permission again.

    [ AIP のアクセス許可の要求 ] ウィンドウで、[組織が使用する api] を選択し、[ Microsoft Information Protection Sync Service] を検索します。On the Request AIP permissions pane, select APIs my organization uses, and search for Microsoft Information Protection Sync Service.

  12. [ API のアクセス許可の要求 ] ウィンドウで、[アプリケーションの アクセス許可] を選択します。On the Request API permissions pane, select Application permissions.

    [アクセス許可] で、[ UnifiedPolicy] を展開し、[ UnifiedPolicy] を選択して、[アクセス許可の追加] を選択します。For Select permissions, expand UnifiedPolicy, select UnifiedPolicy.Tenant.Read, and then select Add permissions.

  13. [ AIP-DelegatedUser のアクセス許可] ウィンドウに戻り、[管理者の <your tenant name> 同意を付与する] を選択し、確認プロンプトで [はい] を選択します。Back on the AIP-DelegatedUser - API permissions pane, select Grant admin consent for <your tenant name> and select Yes for the confirmation prompt.

    API のアクセス許可は次の図のようになります。Your API permissions should look like the following image:

    Azure AD で登録されているアプリの API アクセス許可

これで、シークレットを使用したこのアプリの登録が完了しました。次に、パラメーター AppIdappsecret を使用して、 Set-aipauthenticationを実行する準備ができました。Now you've completed the registration of this app with a secret, you're ready to run Set-AIPAuthentication with the parameters AppId, and AppSecret. また、テナント ID も必要になります。Additionally, you'll need your tenant ID.

ヒント

Azure portal: Azure Active Directory > Manage > Properties > Directory id を使用して、テナント id を簡単にコピーできます。You can quickly copy your tenant ID by using Azure portal: Azure Active Directory > Manage > Properties > Directory ID.

Set-AIPAuthentication コマンドレットの実行Running the Set-AIPAuthentication cmdlet

  1. [ 管理者として実行] オプション を使用して Windows PowerShell を開きます。Open Windows PowerShell with the Run as administrator option.

  2. PowerShell セッションで、非対話形式で実行される Windows ユーザーアカウントの資格情報を格納する変数を作成します。In your PowerShell session, create a variable to store the credentials of the Windows user account that will run non-interactively. たとえば、スキャナー用のサービスアカウントを作成した場合は、次のようになります。For example, if you created a service account for the scanner:

    $pscreds = Get-Credential "CONTOSO\srv-scanner"
    

    このアカウントのパスワードを入力するように求められます。You're prompted for this account's password.

  3. OnBeHalfOf パラメーターを指定して、 Set-aipauthentication コマンドレットを実行します。これには、作成した変数の値を指定します。Run the Set-AIPAuthentication cmdlet, with the OnBeHalfOf parameter, specifying as its value the variable that you created.

    また、アプリの登録値、テナント ID、および Azure AD で委任されたユーザーアカウントの名前を指定します。Also specify your app registration values, your tenant ID, and the name of the delegated user account in Azure AD. 次に例を示します。For example:

    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds
    

次のステップNext steps

PowerShell セッションでコマンドレットのヘルプを表示するには、「」と入力 Get-Help <cmdlet name> -online します。For cmdlet help when you are in a PowerShell session, type Get-Help <cmdlet name> -online. 次に例を示します。For example:

Get-Help Set-AIPFileLabel -online

詳細については、次を参照してください。For more information, see: