Azure Active Directory Rights Management の概要What is Azure Rights Management?

適用対象: Azure Information ProtectionOffice 365Applies to: Azure Information Protection, Office 365

Azure Rights Management (多くの場合は Azure RMS に省略して表現) とは、Azure Information Protection が使用する保護テクノロジです。Azure Rights Management (often abbreviated to Azure RMS) is the protection technology used by Azure Information Protection.

このクラウドベースの保護サービスでは、暗号化、ID、承認のポリシーを使用して、ファイルや電子メールを保護します。また、多数のデバイス (携帯電話、タブレット、および PC) で使用できます。This cloud-based protection service uses encryption, identity, and authorization policies to help secure your files and email, and it works across multiple devices—phones, tablets, and PCs. データが組織の外に出ても継続的に保護されるので、情報を組織の内外で保護できます。Information can be protected both within your organization and outside your organization because that protection remains with the data, even when it leaves your organization’s boundaries.

たとえば、ドキュメントはパートナー企業に電子メールで送信されたり、クラウド ドライブに保存されたりします。As an example, employees might email a document to a partner company, or save a document to their cloud drive. Azure RMS が提供する持続的な保護により、企業データがセキュリティで保護されるだけでなく、法定コンプライアンス、法的証拠開示要件、または一般的な情報管理の効率化が促進されます。The persistent protection that Azure RMS provides not only helps to secure your company data, but might also be legally mandated for compliance, legal discovery requirements, or simply for good information management practices.

ただし、承認された人間やサービス (検索やインデックス作成など) は、保護されたデータの読み取りと検査を続行できます。But importantly, authorized people and services (such as search and indexing) can continue to read and inspect the protected data. ピアツーピアの暗号化を使用する他の情報保護ソリューションでは、このような機能を簡単に達成できません。This capability is not easily accomplished with other information protection solutions that use peer-to-peer encryption. この機能は "データに対する推論" と呼ばれ、組織のデータの管理を維持する上で重要な要素です。You might have heard this capability referred to as "reasoning over data" and it is a crucial element in maintaining control of your organization’s data.

次の図では、このサービスがオンプレミスのサーバーやサービスに加えて、Office 365 にどのように保護ソリューションを提供するのかを示します。The following picture shows how this service offers a protection solution for Office 365, as well as for on-premises servers and services. また、エンド ユーザーの間でよく使用される Windows、macOS、iOS、Android を実行するデバイスでも保護がサポートされます。You also see that protection is supported by the popular end-user devices that run Windows, macOS, iOS, and Android.

Azure RMS のしくみ

この保護は、Office 365 サブスクリプションでの使用に加えて、Azure Information Protection のサブスクリプションでも使用することができます。You can use this protection with Office 365 subscriptions as well as with subscriptions for Azure Information Protection. ここでは、使用できるサブスクリプションと Azure Information Protection サイトでサポートされる機能の詳細情報についても説明します。You can find more information about the available subscriptions and which features they support on the Azure Information Protection site.

Azure Rights Management が解決するビジネス上の問題Business problems solved by Azure Rights Management

次の表は、文書や電子メールの保護で組織が抱えるビジネス上の要件や問題、および Azure Rights Management テクノロジでのその対処方法に関する説明です。Use the following table to identify business requirements or problems that your organization might have for protecting documents and emails, and how the Azure Rights Management technology can address these.

要件または問題Requirement or problem Azure RMS による解決方法Solved by Azure RMS
複数のファイルの種類を保護するProtect multiple file types √ 初期の Rights Management の実装では、Rights Management のネイティブな保護を使って、Office ファイルのみを保護できました。√ In early implementations of Rights Management, only Office files could be protected, using native Rights Management protection. 現在の汎用的な保護は、さらに多くのファイルの種類がサポートされることを意味します。汎用的な保護は、Rights Management 共有アプリケーションによって最初に提供され、現在は Azure Information Protection クライアントによって提供されています。Now, generic protection that was first offered by the Rights Management sharing application and now by the Azure Information Protection client means that more file types are supported.
あらゆる場所のファイルを保護するProtect files anywhere √ ファイルが保護されると、クラウド ストレージ サービスなど、IT の制御下にないストレージにファイルが保存またはコピーされる場合でも、その保護は維持されます。√ When a file is protected, the protection stays with the file, even if it is saved or copied to storage that is not under the control of IT, such as a cloud storage service.
情報を安全に共有するSafely share information √ 保護されたファイルは、他のユーザーと安全に共有できます√ When a file is protected, it is safe to share with others. (例: メールの添付ファイル、SharePoint サイトへのリンク)。For example, an attachment to an email or a link to a SharePoint site. 機密情報がメール メッセージ内にある場合は、メールを保護するか、または単に Outlook の [転送不可] オプションを使うことができます。If the sensitive information is within an email message, you can protect the email or simply use the Do Not Forward option from Outlook.

メール メッセージ全体を保護するのではなく、保護されたファイルを添付する利点は、メールのテキストが暗号化されないため、組織外にメールを送る場合に、初めて使うときの説明をメールに含めることができることです。The benefit of attaching a protected file rather than protecting the whole email message is that the email text is not encrypted, so you can include instructions for first-time use if the email is being sent outside your organization. 説明を読むことは誰でもできますが、添付されたドキュメントは保護されているので、メールまたはドキュメントが他の人に転送されたとしても、承認されているユーザーだけがドキュメントを開くことができます。Anybody can read the instructions but because the attached document is protected, only authorized users will be able to open the document, even if the email or document is forwarded to other people.
監査と監視Auditing and monitoring √ 保護されたファイルが組織外部に出た後も、ファイルの使用状況を監査および監視できます。√ You can audit and monitor usage of your protected files, even after these files leave your organization’s boundaries.

たとえば、Contoso, Ltd の社員がFabrikam, Inc. の 3 人の社員と共同プロジェクトに携わっていて、読み取り専用の保護ドキュメントをこの 3 人に電子メールで送信するものとします。For example, you work for Contoso, Ltd. You are working on a joint project with three people from Fabrikam, Inc. You email these three people a document that you protect and restrict to read-only. Azure Rights Management の監査機能では次の情報を提供できます。Azure Rights Management auditing can provide the following information:

- Fabrikam 社内の指定されたユーザーがドキュメントを開いたかどうか、および開いた日時。- Whether the people you specified in Fabrikam opened the document, and when.

- ドキュメントが転送されたり他のユーザーがアクセスできる共有場所に保存されたりして、指定外のユーザーがドキュメントを開こうとしたかどうか (試みは失敗します)。- Whether other people that you didn’t specify attempted (and failed) to open the document—perhaps because it was forwarded or saved to a shared location that others could access.

- 指定されたユーザーがドキュメントを印刷または変更しようとしたかどうか (試みは失敗します)。- Whether any of the specified people tried (and failed) to print or change the document.

さらに、ドキュメント追跡サイトを使うと、ユーザーや管理者は、保護されたドキュメントを追跡でき、必要な場合は、ドキュメントへのアクセスを取り消すことができます。In addition, the document tracking site lets users and administrators track, and if necessary, revoke access to protected documents.
Windows コンピューターに限らず、広く使われているデバイスをサポートするSupport for commonly used devices, not just Windows computers √ サポートされるデバイスには次のものが含まれます。√ Supported devices include:

- Windows コンピューターと携帯電話- Windows computers and phones

- Mac コンピューター- Mac computers

- iOS タブレットと携帯電話- iOS tablets and phones

- Android タブレットと携帯電話- Android tablets and phones
企業間のコラボレーションをサポートするSupport for business-to-business collaboration √ Azure Rights Management はクラウド サービスであるため、保護されたコンテンツを他の組織と共有する前に、信頼関係を明示的に構成する必要がありません。√ Because Azure Rights Management is a cloud service, there’s no need to explicitly configure trusts with other organizations before you can share protected content with them. 相手組織が Office 365 または Azure AD ディレクトリを既に導入している場合、組織間のコラボレーションは自動的にサポートされます。If they already have an Office 365 or an Azure AD directory, collaboration across organizations is automatically supported. そうでない場合、ユーザーは無料の個人向け RMS サブスクリプションにサインアップするか、Azure Information Protection への認証をサポートしているアプリケーション用に Microsoft アカウントを使用することができます。If they do not, users can sign up for the free RMS for individuals subscription, or use a Microsoft account for applications that support this authentication for Azure Information Protection.
オンプレミスのサービスや Office 365 をサポートするSupport for on-premises services, as well as Office 365 √  Azure Rights Management は、Office 365 とシームレスに連携するだけでなく、RMS コネクタをデプロイすると、次のオンプレミス サービスで使うこともできます。√  In addition to working seamlessly with Office 365, you can also use Azure Rights Management with the following on-premises services when you deploy the RMS connector:

- Exchange Server- Exchange Server

- SharePoint Server- SharePoint Server

- ファイル分類インフラストラクチャを実行する Windows Server- Windows Server running File Classification Infrastructure
簡単なアクティブ化Easy activation √ 新しいサブスクリプションの場合は、自動的にアクティブ化されます。√ For new subscriptions, activation is automatic. 既存のサブスクリプションの場合、Rights Management サービスをアクティブ化するには、管理ポータルで数回クリックするだけです。For existing subscriptions, activating the Rights Management service requires just a couple of clicks in your management portal. または、コマンド ラインで管理する方がよければ、2 つの PowerShell コマンドだけで済みます。Or, if you prefer command-line control, just two PowerShell commands.
必要に応じて組織全体でスケーリングする能力Ability to scale across your organization, as needed √ Azure Rights Management はクラウド サービスとして動作し、Azure の柔軟性を活かしてスケールアップおよびスケールアウトするため、追加のオンプレミス サーバーをプロビジョニングまたはデプロイする必要がありません。√ Because Azure Rights Management runs as a cloud service with the Azure elasticity to scale up and out, you don’t have to provision or deploy additional on-premises servers.
シンプルで柔軟なポリシーを作成する能力Ability to create simple and flexible policies √ カスタム保護テンプレートを使用すると、管理者はポリシーを簡単に適用でき、ユーザーは適切なレベルの保護を各ドキュメントに適用してアクセスを組織内のユーザーに制限できます。√ Customized protection templates provide a quick and easy solution for administrators to apply policies, and for users to apply the correct level of protection for each document and restrict access to people inside your organization.

たとえば、全社的戦略が記載された書類を全従業員が共有する場合、社内の全従業員に読み取り専用ポリシーを適用することが考えられます。For example, for a company-wide strategy paper to be shared with all employees, you could apply a read-only policy to all internal employees. また、財務報告など、より機密性の高いドキュメントについては、アクセスを経営幹部にのみ制限することが考えられます。Then, for a more sensitive document, such as a financial report, you could restrict access to executives only.
広範なアプリケーションのサポートBroad application support √ Azure Rights Management は Microsoft Office のアプリケーションやサービスと緊密に統合されており、Azure Information Protection クライアントを使うことで、他のアプリケーションにもサポートを広げることができます。√ Azure Rights Management has tight integration with Microsoft Office applications and services, and extends support for other applications by using the Azure Information Protection client.

√ Azure Information Protection SDK では、Azure Information Protection をサポートするカスタム アプリケーションを作成するための API を社内開発者やソフトウェア ベンダーに提供します。√ The Azure Information Protection SDKs provide your internal developers and software vendors with APIs to write custom applications that support Azure Information Protection.

詳しくは、「Rights Management API をサポートするその他のアプリケーション」をご覧ください。For more information, see Other applications that support the Rights Management APIs.
IT 部門がデータの制御を維持する必要があるIT must maintain control of data √ 組織では独自のテナント キーを管理し、"Bring Your Own Key" (BYOK) ソリューションを利用し、ハードウェア セキュリティ モジュール (HSM) にテナント キーを保存することを選択できます。√ Organizations can choose to manage their own tenant key and use the “Bring Your Own Key” (BYOK) solution and store their tenant key in Hardware Security Modules (HSMs).

√ 監査と使用状況の記録に対応しています。分析してビジネスに必要な洞察に活用したり、誤用を監視したり、(情報の漏えいが発生した場合) 裁判分析を実行したりできます。√ Support for auditing and usage logging so that you can analyze for business insights, monitor for abuse, and (if you have an information leak) perform forensic analysis.

√ スーパー ユーザー機能を利用した委任アクセスにより、退職者によって保護されたドキュメントであっても、IT 部門は保護されたコンテンツに常にアクセスできます。√ Delegated access by using the super user feature ensures that IT can always access protected content, even if a document was protected by an employee who then leaves the organization. これに対し、ピア ツー ピアの暗号化ソリューションでは、企業データにアクセスできなくなるおそれがあります。In comparison, peer-to-peer encryption solutions risk losing access to company data.

√ Azure AD Connect などのハイブリッド ID ソリューションを使用して、オンプレミスの Active Directory アカウントに対して共通の ID をサポートするために Azure RMS が必要とするディレクトリの属性のみを同期します。√ Synchronize just the directory attributes that Azure RMS needs to support a common identity for your on-premises Active Directory accounts, by using a hybrid identity solution, such as Azure AD Connect.

√ AD FS を使用して、パスワードをクラウドにレプリケートすることなくシングル サインオンを有効にします。√ Enable single-sign on without replicating passwords to the cloud, by using AD FS.

√ 組織では常に、以前に Azure Rights Management によって保護されていたコンテンツへのアクセスを失わずに、Azure Rights Management サービスの使用を停止できます。√ Organizations always have the choice to stop using the Azure Rights Management service without losing access to content that was previously protected by Azure Rights Management. 使用停止オプションの詳細については、「Azure Rights Management の使用停止と非アクティブ化」を参照してください。For information about decommissioning options, see Decommissioning and deactivating Azure Rights Management. さらに、Active Directory Rights Management サービス (AD RMS) をデプロイした組織は、以前に AD RMS によって保護されていたデータへのアクセスを失わずに Azure Rights Management サービスに移行できます。In addition, organizations who have deployed Active Directory Rights Management Services (AD RMS) can migrate to the Azure Rights Management service without losing access to data that was previously protected by AD RMS.

ヒント

オンプレミス版の Rights Management である Active Directory Rights Management サービス (AD RMS) の知識がある場合は、「Azure Rights Management と AD RMS を比較する」の比較表も参照してください。If you are familiar with the on-premises version of Rights Management, Active Directory Rights Management Services (AD RMS), you might be interested in the comparison table from Comparing Azure Rights Management and AD RMS.

セキュリティ、コンプライアンス、および規制の要件Security, compliance, and regulatory requirements

Azure Rights Management は、次のセキュリティ、コンプライアンス、および規制の要件をサポートしています。Azure Rights Management supports the following security, compliance, and regulatory requirements:

√ 業界標準の暗号化を使用し、FIPS 140-2 をサポートします。√ Use of industry-standard cryptography and supports FIPS 140-2. 詳細については、「Azure RMS で使用される暗号化の制御: アルゴリズムとキーの長さ」の情報を参照してください。For more information, see the Cryptographic controls used by Azure RMS: Algorithms and key lengths information.

テナントキーを Microsoft Azure データセンターに格納するための nCipher nShield ハードウェアセキュリティモジュール (HSM) のサポートを√。√ Support for nCipher nShield hardware security module (HSM) to store your tenant key in Microsoft Azure data centers. 自社の地域でのみキーを使用できるように、Azure Rights Management では北米、EMEA (ヨーロッパ、中東、およびアフリカ)、およびアジアのデータ センターで独立したセキュリティ ワールドを使っています。Azure Rights Management uses separate security worlds for its data centers in North America, EMEA (Europe, Middle East and Africa), and Asia, so your keys can be used only in your region.

√ 次の認定を受けています。√ Certified for the following:

  • ISO/IEC 27001:2013 (ISO/IEC 27018 を含む)ISO/IEC 27001:2013 (./includes ISO/IEC 27018)

  • SOC 2 SSAE 16/ISAE 3402 認証SOC 2 SSAE 16/ISAE 3402 attestations

  • HIPAA BAAHIPAA BAA

  • EU モデル条項EU Model Clause

  • Office 365 認証の Azure Active Directory の一部としての FedRAMP (HHS によって FedRAMP Agency Authority to Operate を発行)FedRAMP as part of Azure Active Directory in Office 365 certification, issued FedRAMP Agency Authority to Operate by HHS

  • PCI DSS レベル 1PCI DSS Level 1

外部の証明書の詳細については、「 Azure トラスト センター」を参照してください。For more information about these external certifications, see the Azure Trust Center.

次の手順Next steps

Azure Rights Management サービスの動作に関する技術的な詳細については、「Azure RMS の機能の詳細」をご覧ください。For more technical information about how the Azure Rights Management service works, see How does Azure RMS work?