Azure Information Protection を使用したセキュアなドキュメント コラボレーションの構成Configuring secure document collaboration by using Azure Information Protection

適用対象: Azure Information ProtectionOffice 365Applies to: Azure Information Protection, Office 365

Azure Information Protection では、承認済みユーザーのコラボレーション機能を損なうことなく、ドキュメントを保護できます。When you use Azure Information Protection, you can protect your documents without sacrificing collaboration for authorized users. 1 人のユーザーが作成し、表示や編集の権限を他のユーザーと共有するドキュメントの多くは、Word、Excel、PowerPoint の Office ドキュメントになります。The majority of documents that one user creates and then shares with others to view and edit will be Office documents from Word, Excel, and PowerPoint. これらのドキュメントでは、保護機能がネイティブにサポートされます。つまり、認証と暗号化の機能だけでなく、より詳細に制御するための制限付き権限もサポートされます。These documents support native protection, which means that in addition to the protection features of authorization and encryption, they also support restricted permission for more fine-grained control.

これらの権限は使用権限と呼ばれ、表示、編集、印刷などの権限があります。These permissions are called usage rights, and include permissions such as view, edit, print. ドキュメントを保護する際に使用権限を個別に定義することもできますし、使用権限のグループ (権限レベル) を定義することもできます。You can define individual usage rights when a document is protected, or you can define a grouping of usage rights, called permission levels. 権限レベルを使用すると、よく使われる使用権限を簡単に選択することができます (たとえば、レビュー担当者や共同作成者など)。Permission levels make it easier to select usage rights that are typically used together, for example, Reviewer and Co-Author. 使用権限とアクセス許可レベルの詳細については、「 Azure Information Protection の使用権限の構成」を参照してください。For more information about usage rights and permission levels, see Configuring usage rights for Azure Information Protection.

これらの権限を構成する際には、その対象となるユーザーを指定できます。When you configure these permissions, you can specify which users they are for:

  • お客様の組織か、Azure Active Directory を使用している別の組織内のユーザーの場合: で Azure AD ユーザー アカウント、Azure AD グループ、またはその組織内のすべてのユーザーを指定できます。For users in your own organization or another organization that uses Azure Active Directory: You can specify Azure AD user accounts, Azure AD groups, or all users in that organization.

  • Azure Active Directory アカウントを持っていないユーザーの場合: Microsoft アカウントで使用される電子メール アドレスを指定します。For users who do not have an Azure Active Directory account: Specify an email address that will be used with a Microsoft account. 既存のアカウントを使用することもできますし、保護されたドキュメントを開くときにアカウントを作成することもできます。This account can already exist, or users can create it at the time they open the protected document.

    Microsoft アカウントを使ってドキュメントを開くには、Office 365 アプリ (クイック実行) を使用する必要があります。To open documents with a Microsoft account, users must use Office 365 apps (Click-to-Run). 他のエディションやバージョンの Office では、Office の保護されたドキュメントを Microsoft アカウントで開く機能は、まだサポートされていません。Other Office editions and versions do not yet support opening Office protected documents with a Microsoft account.

  • 認証されたユーザーの場合: 認証されたユーザーであれば保護されたドキュメントへのアクセスを制御する必要がない場合、このオプションが適しています。For any authenticated user: This option is suitable for when you don't need to control who accesses the protected document, providing the user can be authenticated. 認証は、Azure AD、Microsoft アカウントの使用、コンテンツが Office 365 メッセージの暗号化の新機能で保護されている場合はフェデレーション ソーシャル プロバイダーやワンタイム パスコードなど、さまざまな方法で行われます。The authentication can be by Azure AD, by using a Microsoft account, or even a federated social provider or one-time passcode when the content is protected by the new capabilities of Office 365 Message Encryption.

管理者は、Azure Information Protection ラベルを構成して、権限と承認済みユーザーを適用できます。As an administrator, you can configure an Azure Information Protection label to apply the permissions and authorized users. この構成により、ユーザーや他の管理者は詳細を指定することなく、ラベルを適用するだけで正しい保護設定を簡単に適用できるようになります。This configuration makes it very easy for users and other administrators to apply the correct protection settings, because they simply apply the label without having to specify any details. 次のセクションでは、ドキュメントを保護し、内部や外部のユーザーと安全にコラボレーションできるようにする方法について、例を使って説明します。The following sections provide an example walkthrough to protect a document that supports secure collaboration with internal and external users.

ラベルの構成例: 保護を適用して内部や外部とのコラボレーションを可能にするExample configuration for a label to apply protection to support internal and external collaboration

この例では、既存のラベルを構成して保護を適用し、組織内のユーザーが他のユーザーとドキュメントでコラボレーションできるようにする手順について説明します。コラボレーションに含めるのは、Office 365 または Azure AD を使用している他の組織内の全ユーザー、Office 365 または Azure AD を使用している他の組織内のグループ、および Azure AD のアカウントを持たずに Gmail のメール アドレスを使用しているユーザーです。This example walks through configuring an existing label to apply protection so that users from your organization can collaborate on documents with all users from another organization that has Office 365 or Azure AD, a group from a different organization that has Office 365 or Azure AD, and a user who doesn't have an account in Azure AD and instead will use their Gmail email address.

シナリオによって特定の相手に対するアクセスが制限されるため、認証されたユーザーの設定は含まれません。Because the scenario restricts access to specific people, it does not include the setting for any authenticated users. この設定でラベルを構成する方法の例としては、「例 5: コンテンツを暗号化するがアクセスを制限しないラベル」をご覧ください。For an example of how you can configure a label with this setting, see Example 5: Label that encrypts content but doesn't restrict who can access it.

  1. グローバル ポリシーまたはスコープ付きポリシーに含まれている既存のラベルを選択します。Select your label that's already in the global policy or a scoped policy. [保護] ウィンドウで、 [Azure (クラウドキー)] が選択されていることを確認します。On the Protection pane, make sure Azure (cloud key) is selected.

  2. [アクセス許可の設定] が選択されていることを確認し、 [アクセス許可の追加] を選択します。Make sure Set permissions is selected, and select Add permissions.

  3. [アクセス許可の追加] ウィンドウで次のようにします。On the Add permissions pane:

    • 内部グループ: [ディレクトリを参照] を選択し、グループを選択します (電子メールが有効になっている必要があります)。For your internal group: Select Browse directory to select the group, which must be email-enabled.

    • 第 1 外部組織内の全ユーザー: [詳細を入力] を選択し、組織のテナント内のドメイン名を入力しますFor all users in the first external organization: Select Enter details and type the name of a domain in the organization's tenant. (たとえば、fabrikam.com)。For example, fabrikam.com.

    • 第 2 外部組織内のグループ: [詳細を入力] タブで、組織のテナント内のグループの電子メール アドレスを入力します。For the group in the second external organization: Still on the Enter details tab, type the email address of the group in the organization's tenant. たとえば、 sales@contoso.comのように指定します。For example, sales@contoso.com.

    • Azure AD アカウントを持っていないユーザー: [詳細を入力] タブで、ユーザーの電子メール アドレスを入力します。For the user who doesn't have an Azure AD account: Still on the Enter details tab, type the user's email address. たとえば、 bengi.turan@gmail.comのように指定します。For example, bengi.turan@gmail.com.

  4. これらすべてのユーザーに同じ権限を付与するには、 [事前設定されたものの中からアクセス許可を選択する] で、 [共同所有者][共同作成者][レビュー担当者] 、または [カスタム] を選択し、付与する権限を選択します。To grant the same permissions to all these users: For Choose permissions from preset, select Co-Owner, Co-Author, Reviewer, or Custom to select the permissions that you want to grant.

    たとえば、構成後の権限は次のようになります。For example, your configured permissions might look similar to the following:

    セキュアなコラボレーションのための権限の構成

  5. [アクセス許可の追加] ウィンドウで [ OK] をクリックします。Click OK on the Add permissions pane.

  6. [保護] ウィンドウで、[ OK] をクリックします。On the Protection pane, click OK.

  7. [ラベル] ウィンドウで、 [保存] を選択します。On the Label pane, select Save.

セキュアなコラボレーションをサポートするラベルの適用Applying the label that supports secure collaboration

ラベルを構成したら、次に示す各種の方法でラベルをドキュメントに適用できます。Now that this label is configured, it can be applied to documents in a number of ways that include the following:

ラベルの適用方法Different ways to apply the label 説明を見るMore information
Office アプリケーションでのドキュメント作成時に、手動でラベルを選択する。A user manually selects the label when the document is created in their Office application. Office リボンの [保護] ボタンか、Azure Information Protection バーからラベルを選択します。Users select the label from the Protect button on the Office ribbon, or from the Azure Information Protection bar.
新規ドキュメントの保存時に、ラベルを選択するように求められる。Users are prompted to select a label when a new document is saved. [すべてのドキュメントとメールにラベルを付ける] という Azure Information Protection ポリシー設定を構成した場合です。You've configured the Azure Information Protection policy setting named All documents and emails must have a label.
電子メールによってドキュメントを共有し、Outlook でラベルを手動で選択する。A user shares the document by email and manually selects the label in Outlook. Office リボンの [保護] ボタン (または Azure Information Protection バー) からラベルを選択すると、添付されたドキュメントが同じ設定で自動的に保護されます。Users select the label from the Protect button on the Office ribbon, or from the Azure Information Protection bar, and the attached document is automatically protected with the same settings.
管理者が PowerShell を使用してドキュメントにラベルを適用する。An administrator applies the label to the document by using PowerShell. Set-AIPFileLabel コマンドレットを使用して、特定のドキュメントや、フォルダー内のすべてのドキュメントにラベルを適用します。Use the Set-AIPFileLabel cmdlet to apply the label to a specific document or all documents in a folder.
自動分類を適用するようにラベルを構成する (これは、Azure Information Protection スキャナーまたは PowerShell を使用して適用できるようになりました)。You have additionally configured the label to apply automatic classification that can now be applied by using the Azure Information Protection scanner, or PowerShell. Azure Information Protection 用の自動および推奨分類の条件を構成する方法」をご覧ください。See How to configure conditions for automatic and recommended classification for Azure Information Protection.

このチュートリアルを完了するには、Office アプリケーションでドキュメントを作成する際に手動でラベルを適用します。To complete this walkthrough, manually apply the label when you create the document in your Office application:

  1. クライアント コンピューターで、Office アプリケーションが既に開いている場合は、まずアプリケーションを終了し、再度起動して、新たに構成されたラベルを含む最新のポリシー変更を取得します。On a client computer, if you already have your Office application open, first close and reopen it to get the latest policy changes that include your newly configured label.

  2. ドキュメントにラベルを適用し、保存します。Apply the label to a document, and save it.

保護されたドキュメントを電子メールに添付して共有し、ドキュメントの編集を許可する相手にそれを送信します。Share the protected document by attaching it to an email, and send it to the people you authorized to edit the document.

保護されたドキュメントを開いて編集するOpening and editing the protected document

承認済みのユーザーがドキュメントを編集用に開くと、ドキュメントが開く際、権限が制限されていることを知らせる情報バナーが表示されます。When users that you authorized open the document for editing, the document opens with an information banner that informs them that permissions are restricted. たとえば、次のようになります。For example:

Azure Information Protection の権限に関する情報バナーの例

[アクセス許可​​の表示] ボタン選択すると、 自分の持っている権限が表示されます。If they select the View Permission button, they see the permissions that they have. 次の例の場合、ユーザーはドキュメントの表示と編集を行うことができます。In the following example, the user can view and edit the document:

Azure Information Protection の権限に関するダイアログ ボックスの例

注: Azure Information Protection を使用している外部ユーザーによってドキュメントが開かれた場合、Office アプリケーションでは、そのドキュメントの分類ラベルの視覚的なマーキングは残りますが、ラベルは表示されません。Note: If the document is opened by external users who are also using Azure Information Protection, the Office application does not display your classification label for the document, although any visual markings from the label remain. 代わりに、外部ユーザーはそれぞれの組織の分類法に沿って各自のラベルを適用できます。Instead, external users can apply their own label in line with their organization's classification taxonomy. 外部ユーザーが編集したドキュメントを送り返してきた場合、Office でドキュメントを再び開くと元の分類ラベルが表示されます。If these external users then send back the edited document to you, Office displays your original classification label when you reopen the document.

保護されたドキュメントが開く前に、次のいずれかの認証フローが発生します。Before the protected document opens, one of the following authentication flows happen:

  • Azure AD アカウントを持っているユーザーの場合は、Azure AD の資格情報を使用して Azure AD から認証されると、ドキュメントが開きます。For the users who have an Azure AD account, they use their Azure AD credentials to be authenticated by Azure AD, and the document opens.

  • Azure AD アカウントを持っていないユーザーの場合、ドキュメントを開く権限があるアカウントで Office にサインインしていない場合は、 [アカウント] ページが表示されます。For the user who doesn't have an Azure AD account, if they are not signed in to Office with an account that has permissions to open the document, they see the Accounts page.

    [アカウント] ページで、 [アカウントを追加] をクリックします。On the Accounts page, select Add Account:

    Microsoft アカウントを追加して保護されたドキュメント開く

    [サインイン] ページで、 [アカウントを作成しましょう] を選択し、On the Sign in page, select Create one! プロンプトに従って、権限の付与に使用された電子メール アドレスで新しい Microsoft アカウントを作成します。and follow the prompts to create a new Microsoft account with the email address that was used to grant the permissions:

    Microsoft アカウントを作成して保護されたドキュメント開く

    新しい Microsoft アカウントが作成されると、ローカル アカウントがその新しい Microsoft アカウントに切り替わり、ユーザーがドキュメントを開けるようになります。When the new Microsoft account is created, the local account switches to this new Microsoft account and the user can then open the document.

保護されたドキュメントを開く際のサポートされているシナリオSupported scenarios for opening protected documents

次の表は、保護されたドキュメントの表示と編集のためにサポートされている認証方法をまとめたものです。The following table summaries the different authentication methods that are supported for viewing and editing protected documents.

さらに、次のシナリオではドキュメントの表示がサポートされます。In addition, the following scenarios support viewing documents:

  • Windows、iOS、Android 用の Azure Information Protection ビューアーでは、Microsoft アカウントを使用することでファイルを表示用に開くことができます。The Azure Information Protection viewer for Windows, and for iOS and Android can open files by using a Microsoft account.

  • Exchange Online と Office 365 メッセージの暗号化の新機能を使用した認証のためにソーシャル プロバイダーとワンタイム パスコードが使用されている場合、ブラウザーで保護された添付ファイルを開くことができます。A browser can open protected attachments when social providers and one-time passcodes are used for authentication with Exchange Online and the new capabilities from Office 365 Message Encryption.

ドキュメントの表示と編集のためのプラットフォーム:Platforms for viewing and editing documents:
Word、Excel、PowerPointWord, Excel, PowerPoint
認証方法:Authentication method:
Azure ADAzure AD
認証方法:Authentication method:
Microsoft アカウントMicrosoft account
WindowsWindows はい [1]Yes [1] はい [2]Yes [2]
[iOS]iOS はい [1]Yes [1] [いいえ]No
AndroidAndroid はい [1]Yes [1] [いいえ]No
MacOSMacOS はい [1]Yes [1] [いいえ]No
脚注 1:Footnote 1

ユーザー アカウント、電子メールが有効なグループ、すべてのメンバーがサポートされています。Supports user accounts, email-enabled groups, all members. ユーザー アカウント、および電子メールが有効なグループには、ゲスト アカウントが含まれる場合があります。User accounts and email-enabled groups can include guest accounts. すべてのメンバーには、ゲスト アカウントは含まれません。All members exclude guest accounts.

脚注 2Footnote 2

現在サポートされているのは、Office 365 アプリ (クイック実行) だけです。Currently supported by Office 365 apps (Click-to-Run) only.

次のステップNext steps

一般的なシナリオで保護を適用するためのラベルについては、他の構成例をご覧ください。See other example configurations for labels to apply protection for common scenarios. この記事には、保護設定に関する詳細も含まれています。This article also contains more details about the protection settings.

ラベルについて構成できるその他のオプションや設定について詳しくは、Azure Information Protection ポリシーの構成に関する記事をご覧ください。For more information about the other options and settings that you can configure for your label, see Configuring Azure Information Protection policy.

この記事で構成されているラベルでは、同じ名前の保護テンプレートも作成されます。The label that was configured in this article also creates a protection template by the same name. ご使用のアプリケーションやサービスが Azure Information Protection の保護テンプレートと統合されている場合は、このテンプレートを適用できますIf you have applications and services that integrate with protection templates from Azure Information Protection, they can apply this template. (たとえば、DLP ソリューションやメール フロー ルール)。For example, DLP solutions and mail flow rules. Web 上の Outlook では、Azure Information Protection のグローバル ポリシーからの保護テンプレートが自動的に表示されます。Outlook on the web automatically displays protection templates from the Azure Information Protection global policy.