管理者ガイド: Azure Information Protection 統合クライアントでの PowerShell の使用Admin Guide: Using PowerShell with the Azure Information Protection unified client

適用対象: Azure Information Protection、windows 10、Windows 8.1、windows 8、WINDOWS 7 SP1、windows server 2019、windows server 2016、windows Server 2012 R2、windows server 2012、windows Server 2008 r2Applies to: Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows 7 with SP1, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2

手順: Windows 用の統一されたラベル付けクライアント Azure Information ProtectionInstructions for: Azure Information Protection unified labeling client for Windows

Azure Information Protection 統合ラベル付けクライアントをインストールすると、PowerShell コマンドが自動的にインストールされます。When you install the Azure Information Protection unified labeling client, PowerShell commands are automatically installed. 自動化のためのスクリプトに追加できるコマンドを実行することでクライアントを管理できます。This lets you manage the client by running commands that you can put into scripts for automation.

コマンドレットは、ラベル付け用のコマンドレットを持つ PowerShell モジュールAzureinformationprotectionと共にインストールされます。The cmdlets are installed with the PowerShell module AzureInformationProtection, which has cmdlets for labeling. たとえば、次のようになります。For example:

ラベル付けコマンドレットLabeling cmdlet 使用例Example usage
Get-AIPFileStatusGet-AIPFileStatus 共有フォルダーで、すべてのファイルを特定のラベルで識別します。For a shared folder, identify all files with a specific label.
Set-AIPFileClassificationSet-AIPFileClassification 共有フォルダーで、ファイルの内容を検査したあと、指定した条件に基づいて、ラベル付けされていないファイルに自動的にラベルを付与します。For a shared folder, inspect the file contents and then automatically label unlabeled files, according to the conditions that you have specified.
Set-AIPFileLabelSet-AIPFileLabel 共有フォルダーで、ラベルが付いていないすべてのファイルに指定したラベルを適用します。For a shared folder, apply a specified label to all files that do not have a label.
Set-AIPAuthenticationSet-AIPAuthentication スケジュールに基づいて実行されるスクリプトを利用するなど、非対話式にファイルにラベルを付けます。Label files non-interactively, for example by using a script that runs on a schedule.

ヒント

260 文字よりも長いパスとともにコマンドレットを使用するには、Windows 10 バージョン 1607 以降で利用できる次のグループ ポリシー設定を使用します。To use cmdlets with path lengths greater than 260 characters, use the following group policy setting that is available starting Windows 10, version 1607:
ローカルコンピューターポリシー > コンピューターの構成 > 管理用テンプレートすべての > 設定 > Win32 の長いパスを有効にするLocal Computer Policy > Computer Configuration > Administrative Templates > All Settings > Enable Win32 long paths

Windows Server 2016 の場合、Windows 10 用の最新の管理用テンプレート (.admx) をインストールすれば、同じグループ ポリシー設定を使用できます。For Windows Server 2016, you can use the same group policy setting when you install the latest Administrative Templates (.admx) for Windows 10.

詳しくは、Windows 10 開発者向けドキュメントの「Maximum Path Length Limitation (パスの最大長の制限)」をご覧ください。For more information, see the Maximum Path Length Limitation section from the Windows 10 developer documentation.

このモジュールは、 \ProgramFiles (x86)\Microsoft Azure Information Protection にインストールされ、このフォルダーを PSModulePath システム変数に追加します。This module installs in \ProgramFiles (x86)\Microsoft Azure Information Protection and adds this folder to the PSModulePath system variable. このモジュールの .dll の名前は AIP.dll です。The .dll for this module is named AIP.dll.

重要

AzureInformationProtection モジュールは、ラベルまたはラベルポリシーの詳細設定の構成をサポートしていません。The AzureInformationProtection module doesn't support configuring advanced settings for labels or label policies. これらの設定には、Office 365 セキュリティ/コンプライアンスセンター PowerShell が必要です。For these settings, you need the Office 365 Security & Compliance Center PowerShell. 詳細については、「 Azure Information Protection の統合ラベル付けクライアントのカスタム構成」を参照してください。For more information, see Custom configurations for the Azure Information Protection unified labeling client.

AzureInformationProtection モジュールを使用するための前提条件Prerequisites for using the AzureInformationProtection module

AzureInformationProtection モジュールをインストールするための前提条件に加えて、Azure Information Protection のラベル付けコマンドレットを使用する場合は、次のような追加の前提条件があります。In addition to the prerequisites for installing the AzureInformationProtection module, there are additional prerequisites for when you use the labeling cmdlets for Azure Information Protection:

  1. Azure Rights Management サービスをアクティブ化する必要があります。The Azure Rights Management service must be activated.

  2. 自分のアカウントを使って他のユーザーのファイルから保護を削除するには:To remove protection from files for others using your own account:

    • 組織のスーパー ユーザー機能を有効にし、自分のアカウントを Azure Rights Management のスーパー ユーザーとして構成する必要があります。The super user feature must be enabled for your organization and your account must be configured to be a super user for Azure Rights Management.

前提条件 1: Azure Rights Management サービスをアクティブ化する必要があるPrerequisite 1: The Azure Rights Management service must be activated

Azure Information Protection テナントがアクティブ化されていない場合は、「Azure Information Protection からの保護サービスのアクティブ化」の手順を参照してください。If your Azure Information Protection tenant is not activated, see the instructions for [Activating the protection service from Azure Information Protection.

前提条件 2: 自分のアカウントを使って他のユーザーのファイルから保護を削除するにはPrerequisite 2: To remove protection from files for others using your own account

他のユーザーのファイルから保護を削除する一般的なシナリオには、データの探索またはデータの回復が含まれます。Typical scenarios for removing protection from files for others include data discovery or data recovery. ラベルを使って保護を適用している場合は、保護を適用しない新しいラベルを設定することによって、またはラベルを削除することによって保護を削除できます。If you are using labels to apply the protection, you could remove the protection by setting a new label that doesn't apply protection or by removing the label.

ファイルから保護を削除するには、Rights Management の使用権限を持っているか、スーパー ユーザーである必要があります。You must have a Rights Management usage right to remove protection from files, or be a super user. データの探索またはデータの回復には、スーパー ユーザー機能が通常使われます。For data discovery or data recovery, the super user feature is typically used. この機能を有効にし、アカウントをスーパーユーザーに構成するには、「 Azure Information Protection および探索サービスまたはデータ回復用のスーパーユーザーの構成」を参照してください。To enable this feature and configure your account to be a super user, see Configuring super users for Azure Information Protection and discovery services or data recovery.

非対話形式でファイルに Azure Information Protection のラベル付けをする方法How to label files non-interactively for Azure Information Protection

Set-AIPAuthentication コマンドレットを利用し、ラベル付けコマンドレットを非対話式に実行できます。You can run the labeling cmdlets non-interactively by using the Set-AIPAuthentication cmdlet.

既定では、ラベル付けのコマンドレットを実行するとき、対話型 PowerShell セッション内のユーザー コンテキストでコマンドは動作します。By default, when you run the cmdlets for labeling, the commands run in your own user context in an interactive PowerShell session. これらを無人で実行するには、対話形式でサインインできる Windows アカウントを使用し、委任されたアクセスに使用される Azure AD のアカウントを使用します。To run them unattended, use a Windows account that can sign in interactively, and use an account in Azure AD that will be used for delegated access. 管理を容易にするために、Active Directory から Azure AD に同期される1つのアカウントを使用します。For ease of administration, use a single account that's synchronized from Active Directory to Azure AD.

また、Azure AD からアクセストークンを要求する必要もあります。これにより、委任されたユーザーが Azure Information Protection に対して認証するための資格情報を設定して格納します。You also need to request an access token from Azure AD, which sets and stores credentials for the delegated user to authenticate to Azure Information Protection.

AIPAuthentication コマンドレットを実行しているコンピューターは、Office 365 セキュリティ/コンプライアンスセンターなどのラベル付け管理センターを使用して、委任されたユーザーアカウントに割り当てられているラベルを持つラベルポリシーをダウンロードします。The computer running the AIPAuthentication cmdlet downloads the label policies with labels that are assigned to the delegated user account by using your labeling management center, such as the Office 365 Security & Compliance Center.

注意

異なるユーザーにラベルポリシーを使用する場合は、すべてのラベルを発行する新しいラベルポリシーを作成し、この委任されたユーザーアカウントのみにポリシーを発行する必要がある場合があります。If you use label policies for different users, you might need to create a new label policy that publishes all your labels, and publish the policy to just this delegated user account.

Azure AD のトークンの有効期限が切れた場合、新しいトークンを取得するには、もう一度コマンドレットを実行する必要があります。When the token in Azure AD expires, you must run the cmdlet again to acquire a new token. アクセストークンは、1年間、2年間、または期限切れにならないように Azure AD で構成できます。You can configure the access token in Azure AD for one year, two years, or to never expire. 次のセクションで説明するように、Set-AIPAuthentication のパラメーターは、Azure AD のアプリ登録プロセスの値を使用します。The parameters for Set-AIPAuthentication use values from an app registration process in Azure AD, as described in the next section.

委任されたユーザーアカウントの場合:For the delegated user account:

  • このアカウントにラベルポリシーが割り当てられていること、および使用する公開されたラベルがポリシーに含まれていることを確認してください。Make sure that you have a label policy assigned to this account and that the policy contains the published labels you want to use.

  • このアカウントでコンテンツの暗号化を解除する必要がある場合 (たとえば、ファイルを再保護し、他のユーザーが保護しているファイルを検査する場合) は、Azure Information Protection のスーパーユーザーにして、スーパーユーザー機能が有効になっていることを確認してください。If this account needs to decrypt content, for example, to reprotect files and inspect files that others have protected, make it a super user for Azure Information Protection and make sure the super user feature is enabled.

  • 段階的展開のオンボードコントロールを実装している場合は、構成したオンボードコントロールにこのアカウントが含まれていることを確認してください。If you have implemented onboarding controls for a phased deployment, make sure that this account is included in your onboarding controls you've configured.

Set-AIPAuthentication 用の Azure AD アプリケーションを作成し、構成するにはTo create and configure the Azure AD applications for Set-AIPAuthentication

重要

ここでは、統一されたラベル付けクライアントの現在の一般公開バージョンについて説明します。また、このクライアントのプレビューバージョンのスキャナーにも適用します。These instructions are for the current general availability version of the unified labeling client and also apply to the preview version of the scanner for this client.

設定-AIPAuthentication では、 AppIdappsecretパラメーターのアプリ登録が必要です。Set-AIPAuthentication requires an app registration for the AppId and AppSecret parameters. 以前のバージョンのクライアントからアップグレードし、以前のwebappidパラメーターとのアプリケーション登録を作成した場合は、統合されたラベル付けクライアントでは動作しません。If you upgraded from a previous version of the client and created an app registration for the previous WebAppId and NativeAppId parameters, they won't work with the unified labeling client. 次のように、新しいアプリの登録を作成する必要があります。You must create a new app registration as follows:

  1. 新しいブラウザー ウィンドウで、Azure Portal にサインインします。In a new browser window, sign in the Azure portal.

  2. Azure Information Protection で使用する Azure AD テナントについては、 > Azure Active Directoryに移動して > アプリの登録管理します。For the Azure AD tenant that you use with Azure Information Protection, navigate to Azure Active Directory > Manage > App registrations.

  3. [+ 新規登録] を選択します。Select + New registration. [アプリケーションの登録] ウィンドウで、次の値を指定し、 [登録] をクリックします。On the Register an application pane, specify the following values, and then click Register:

    • 名前: AIP-DelegatedUserName: AIP-DelegatedUser

      必要に応じて、別の名前を指定することもできます。If you prefer, specify a different name. 名前は、テナントごとに一意である必要があります。It must be unique per tenant.

    • サポートされているアカウントの種類:この組織ディレクトリ内のアカウントのみSupported account types: Accounts in this organizational directory only

    • リダイレクト URI (省略可能) : Webおよび https://localhostRedirect URI (optional): Web and https://localhost

  4. [AIP-DelegatedUser] ウィンドウで、アプリケーション (クライアント) IDの値をコピーします。On the AIP-DelegatedUser pane, copy the value for the Application (client) ID. 値は、77c3c1c3-abf9-404e-8b2b-4652836c8c66の例のようになります。The value looks similar to the following example: 77c3c1c3-abf9-404e-8b2b-4652836c8c66. この値は、Set-AIPAuthentication コマンドレットを実行するときにAppIdパラメーターに使用されます。This value is used for the AppId parameter when you run the Set-AIPAuthentication cmdlet. 後で参照するために値を貼り付けて保存します。Paste and save the value for later reference.

  5. サイドバーで、[ > 証明書 & シークレット管理する] を選択します。From the sidebar, select Manage > Certificates & secrets.

  6. [AIP-DelegatedUser & シークレット] ウィンドウの [クライアントシークレット] セクションで、 [+ 新しいクライアントシークレット] を選択します。On the AIP-DelegatedUser - Certificates & secrets pane, in the Client secrets section, select + New client secret.

  7. [クライアントシークレットの追加] で、次のように指定し、 [追加] を選択します。For Add a client secret, specify the following, and then select Add:

    • 説明: Azure Information Protection unified labeling clientDescription: Azure Information Protection unified labeling client
    • 有効期限: 選択した期間 (1 年、2年間、または無期限) を指定しますExpires: Specify your choice of duration (1 year, 2 years, or never expires)
  8. [AIP-DelegatedUser & シークレット] ウィンドウに戻り、 [クライアントシークレット] セクションで、の文字列をコピーします。Back on the AIP-DelegatedUser - Certificates & secrets pane, in the Client secrets section, copy the string for the VALUE. この文字列は次の例のようになります。 OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4This string looks similar to the following example: OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4. すべての文字がコピーされるようにするには、クリップボードにコピーするアイコンを選択します。To make sure you copy all the characters, select the icon to Copy to clipboard.

    この文字列は再び表示されることがなく、取得することもできないため、保存しておくことが重要です。It's important that you save this string because it is not displayed again and it cannot be retrieved. 使用する機密情報と同様に、保存した値を安全に保存し、アクセスを制限します。As with any sensitive information that you use, store the saved value securely and restrict access to it.

  9. サイドバーで、[ Manage > API permissions] を選択します。From the sidebar, select Manage > API permissions.

  10. [AIP-DelegatedUser のアクセス許可] ウィンドウで、 [+ アクセス許可の追加] を選択します。On the AIP-DelegatedUser - API permissions pane, select + Add a permission.

  11. [Api のアクセス許可の要求] ウィンドウで、 [Microsoft api] タブが表示されていることを確認し、 [Azure Rights Management Services] を選択します。On the Request API permissions pane, make sure that you're on the Microsoft APIs tab, and select Azure Rights Management Services. アプリケーションで必要なアクセス許可の種類を確認するメッセージが表示されたら、 [アプリケーションのアクセス許可] を選択します。When you're prompted for the type of permissions that your application requires, select Application permissions.

  12. [アクセス許可] で、[コンテンツ] を展開し、次の内容を選択します。For Select permissions, expand Content and select the following:

    • DelegatedReaderContent.DelegatedReader
    • DelegatedWriterContent.DelegatedWriter
  13. [アクセス許可の追加] を選択します。Select Add permissions.

  14. [AIP-DelegatedUser のアクセス許可] ウィンドウに戻り、 [+ アクセス許可をもう一度追加する] を選択します。Back on the AIP-DelegatedUser - API permissions pane, select + Add a permission again.

  15. [AIP のアクセス許可の要求] ウィンドウで、組織が使用する [api] を選択し、 [Microsoft Information Protection Sync Service] を検索します。On the Request AIP permissions pane, select APIs my organization uses, and search for Microsoft Information Protection Sync Service.

  16. [API のアクセス許可の要求] ウィンドウで、アプリケーションの [アクセス許可] を選択します。On the Request API permissions pane, select Application permissions.

  17. [アクセス許可] で、 [UnifiedPolicy] を展開し、次のように選択します。For Select permissions, expand UnifiedPolicy and select the following:

    • UnifiedPolicyUnifiedPolicy.Tenant.Read
  18. [アクセス許可の追加] を選択します。Select Add permissions.

  19. [AIP-DelegatedUser のアクセス許可] ウィンドウに戻り、[ *テナント>名*の <に管理者の同意を付与する] を選択し、確認プロンプトで [はい] を選択します。Back on the AIP-DelegatedUser - API permissions pane, select Grant admin consent for <your tenant name> and select Yes for the confirmation prompt.

    API のアクセス許可は次のようになります。Your API permissions should look like the following:

    Azure AD で登録されているアプリの API アクセス許可

これで、シークレットを使用したこのアプリの登録が完了しました。次に、パラメーター AppIdappsecretを使用して、 Set-aipauthenticationを実行する準備ができました。Now you've completed the registration of this app with a secret, you're ready to run Set-AIPAuthentication with the parameters AppId, and AppSecret. また、テナント ID も必要になります。Additionally, you'll need your tenant ID.

ヒント

Azure portal: Azure Active Directory ** > > ** プロパティ > Directory IDを使用して、テナント ID を簡単にコピーできます。You can quickly copy your tenant ID by using Azure portal: Azure Active Directory > Manage > Properties > Directory ID.

  1. [管理者として実行] オプションを使用して Windows PowerShell を開きます。Open Windows PowerShell with the Run as administrator option.

  2. PowerShell セッションで、非対話形式で実行される Windows ユーザーアカウントの資格情報を格納する変数を作成します。In your PowerShell session, create a variable to store the credentials of the Windows user account that will run non-interactively. たとえば、スキャナー用のサービスアカウントを作成した場合は、次のようになります。For example, if you created a service account for the scanner:

     $pscreds = Get-Credential "CONTOSO\srv-scanner"
    

    このアカウントのパスワードを入力するように求められます。You're prompted for this account's password.

  3. OnBeHalfOfパラメーターを指定して、Set-AIPAuthentication コマンドレットを実行します。これには、作成した変数の値を指定します。Run the Set-AIPAuthentication cmdlet, with the OnBeHalfOf parameter, specifying as its value the variable that you just created. また、アプリの登録値、テナント ID、および Azure AD で委任されたユーザーアカウントの名前を指定します。Also specify your app registration values, your tenant ID, and the name of the delegated user account in Azure AD. たとえば、次のようになります。For example:

     Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds
    

注意

コンピューターがインターネットにアクセスできない場合は、Azure AD でアプリを作成し、Set-AIPAuthentication を実行する必要はありません。If the computer cannot have internet access, there's no need to create the app in Azure AD and run Set-AIPAuthentication. 代わりに、切断されたコンピューターの指示に従います。Instead, follow the instructions for disconnected computers.

次のステップNext steps

PowerShell セッションでコマンドレットのヘルプを表示するには、「Get-Help <cmdlet name> -online」と入力します。For cmdlet help when you are in a PowerShell session, type Get-Help <cmdlet name> -online. たとえば、次のようになります。For example:

Get-Help Set-AIPFileLabel -online

Azure Information Protection クライアントのサポートに必要な詳細については、以下をご覧ください。See the following for additional information that you might need to support the Azure Information Protection client: