Azure Rights Management とはWhat is Azure Rights Management?

*適用対象: Azure Information ProtectionOffice 365**Applies to: Azure Information Protection, Office 365*

*関連する内容: AIP の統合ラベル付けクライアントとクラシック クライアント。**Relevant for: AIP unified labeling client and classic client.*

注意

統一された効率的なカスタマー エクスペリエンスを提供するため、Azure portal の Azure Information Protection のクラシック クライアントラベル管理 は、2021 年 3 月 31 日 をもって 非推奨 になります。To provide a unified and streamlined customer experience, Azure Information Protection classic client and Label Management in the Azure Portal are being deprecated as of March 31, 2021. このタイムフレームにより、現在のすべての Azure Information Protection のお客様は、Microsoft Information Protection 統合ラベル付けプラットフォームを使用する統一されたラベル付けソリューションに移行できます。This time-frame allows all current Azure Information Protection customers to transition to our unified labeling solution using the Microsoft Information Protection Unified Labeling platform. 詳細については、公式な非推奨の通知をご覧ください。Learn more in the official deprecation notice.

Azure Rights Management (Azure RMS) とは、Azure Information Protection が使用する保護テクノロジです。Azure Rights Management (Azure RMS) is the protection technology used by Azure Information Protection.

Azure RMS はクラウドベースの保護サービスであり、暗号化、ID、承認のポリシーを使用して、携帯電話、タブレット、PC などの複数のデバイスでファイルやメールを保護できます。Azure RMS is a cloud-based protection service that uses encryption, identity, and authorization policies to help secure files and emails across multiple devices, including phones, tablets, and PCs. 保護の設定は、組織の境界から外に出たときでもデータと共に保持されるので、組織の内と外の両方でコンテンツの保護が維持されます。Protection settings remain with your data, even when it leaves your organization's boundaries, keeping your content protected both within and outside your organization.

次の図は、Azure RMS により Microsoft 365 およびオンプレミスのサーバーとサービスに対して保護がどのように提供されるのかを示したものです。The following image shows how Azure RMS provides protection for Microsoft 365, as well as on-premises servers and services. また、保護は Windows、macOS、iOS、Android を実行する一般的なエンドユーザー デバイスによってもサポートされます。Protection is also supported by popular end-user devices running Windows, macOS, iOS, and Android.

Azure RMS のしくみ

Azure RMS は、Microsoft 365 サブスクリプションまたは Azure Information Protection 用のサブスクリプションで使用します。Use Azure RMS with Microsoft 365 subscriptions or subscriptions for Azure Information Protection. 個々のサブスクリプションの種類とサポートされている機能の詳細については、「Azure Information Protection の価格」サイトを参照してください。For more information about individual subscription types and supported features, see the Azure Information Protection pricing site.

Azure RMS のサンプル ユース ケースSample Azure RMS use case

従業員は、ドキュメントをパートナー企業にメールで送信したり、クラウド ドライブに保存したりすることがあります。Employees might email a document to a partner company, or save a document to their cloud drive.

Azure RMS の永続的な保護を使用すると、会社のデータを保護するのに役立ち、法令遵守、法的証拠開示要件、または情報管理のベスト プラクティスのために法的に要求される場合もあります。Using Azure RMS's persistent protection helps secure company data, and may also be legally required for compliance, legal discovery requirements, or best practices for information management.

Azure RMS を使用すると、承認されたユーザーおよび検索やインデックス作成などのサービスが、保護されているデータの読み取りと検査を引き続き実行できることが保証されます。Azure RMS ensures that authorized people and services, such as search and indexing, can continue to read and inspect the protected data.

承認されたユーザーとサービスに対して継続的なアクセスを保証することは ("データに対する推論" とも呼ばれます)、組織のデータの制御を維持するうえで重要な要素です。Ensuring ongoing access for authorized people and services, also known as "reasoning over data", is a crucial element in maintaining control of your organization's data. ピアツーピアの暗号化を使用する他の情報保護ソリューションでは、このような機能を簡単に実現できない場合があります。This capability may not be easily accomplished with other information protection solutions that use peer-to-peer encryption.

Azure Rights Management が解決するビジネス上の問題Business problems solved by Azure Rights Management

次の一覧と表を使用して、文書や電子メールの保護に関して組織が抱えるビジネス上の要件や問題、および Azure Rights Management テクノロジでそのニーズに対処する方法を確認してください。Use the following lists and tables to identify business requirements or problems that your organization might have in protecting documents and emails, and how the Azure Rights Management technology can address your needs.

ヒント

オンプレミス版の Rights Management である Active Directory Rights Management サービス (AD RMS) の知識がある場合は、「Azure Rights Management と AD RMS を比較する」の比較表も参照してください。If you are familiar with the on-premises version of Rights Management, Active Directory Rights Management Services (AD RMS), you might be interested in the comparison table from Comparing Azure Rights Management and AD RMS.

保護機能Protection features

機能Feature 説明Description
複数のファイルの種類を保護するProtect multiple file types Rights Management の初期の実装では、Rights Management の組み込みの保護を使用して、Office ファイルのみを保護できました。In early implementations of Rights Management, only Office files could be protected, using built-in Rights Management protection.

Azure Information Protection では、サポートされるファイルの種類が追加されています。Azure Information Protection provides support for additional file types. 詳しくは、サポートされるファイルの種類に関する記事を参照してください。For more information, see Supported file types.
あらゆる場所のファイルを保護するProtect files anywhere. ファイルが保護されると、クラウド ストレージ サービスなど、IT の制御下にないストレージにファイルが保存またはコピーされる場合でも、その保護は維持されます。When a file is protected, the protection stays with the file, even if it is saved or copied to storage that is not under the control of IT, such as a cloud storage service.

コラボレーション機能Collaboration features

機能Feature 説明Description
情報を安全に共有するSafely share information 保護されたファイルは、メールへの添付や SharePoint サイトへのリンクなど、他のユーザーと安全に共有できます。Protected files are safe to share with others, such as an attachment to an email or a link to a SharePoint site.

機密情報がメール メッセージ内にある場合は、メールを保護するか、または Outlook の [転送不可] オプションを使用します。If the sensitive information is within an email message, protect the email, or use the Do Not Forward option from Outlook.
企業間のコラボレーションをサポートするSupport for business-to-business collaboration Azure Rights Management はクラウド サービスであるため、保護されたコンテンツを他の組織と共有する前に、信頼関係を明示的に構成する必要がありません。Because Azure Rights Management is a cloud service, there’s no need to explicitly configure trusts with other organizations before you can share protected content with them.

Microsoft 365 または Azure AD ディレクトリを既に導入している他の組織とのコラボレーションは、自動的にサポートされます。Collaboration with other organizations that already have a Microsoft 365 or an Azure AD directory is automatically supported.

Microsoft 365 または Azure AD ディレクトリを導入していない組織の場合は、ユーザーは無料の個人用 RMS サブスクリプションにサインアップするか、サポートされているアプリケーションの Microsoft アカウントを使用することができます。For organizations without Microsoft 365 or an Azure AD directory, users can sign up for the free RMS for individuals subscription, or use a Microsoft account for supported applications.

ヒント

メール メッセージ全体を保護するのではなく、保護されたファイルを添付すると、メールのテキストを暗号化されていない状態にしておくことができます。Attaching protected files, rather than protecting an entire email message, enables you to keep the email text un-encrypted.

たとえば、メールが組織外に送信される場合、初回使用時の指示を含めることができます。For example, you may want to include instructions for first-time use if the email is being sent outside your organization. 保護されたファイルを添付した場合、基本的な指示はだれでも読むことができますが、メールまたはドキュメントが他の人に転送されたとしても、承認されているユーザーだけがドキュメントを開くことができます。If you attach a protected file, the basic instructions can be read by anyone, but only authorized users will be able to open the document, even if the email or document is forwarded to other people.

プラットフォーム サポート機能Platform support features

Azure RMS により、次のような広範なプラットフォームとアプリケーションがサポートされます。Azure RMS supports a broad range of platforms and applications, including:

機能Feature 説明Description
一般的に使用されるデバイスCommonly used devices
Windows コンピューターだけではありませんnot just Windows computers
次のようなクライアント デバイス:Client devices include:

- Windows コンピューターと携帯電話- Windows computers and phones
- Mac コンピューター- Mac computers
- iOS タブレットと携帯電話- iOS tablets and phones
- Android タブレットと携帯電話- Android tablets and phones
オンプレミスのサービスOn-premises services Azure Rights Management は、Office 365 とシームレスに連携するだけでなく、RMS コネクタをデプロイして、次のオンプレミス サービスでも使用しますIn addition to working seamlessly with Office 365, use Azure Rights Management with the following on-premises services when you deploy the RMS connector:

- Exchange Server- Exchange Server
- SharePoint Server- SharePoint Server
- ファイル分類インフラストラクチャを実行する Windows Server- Windows Server running File Classification Infrastructure
アプリケーションの拡張性Application extensibility Azure Rights Management は Microsoft Office のアプリケーションやサービスと緊密に統合されており、Azure Information Protection クライアントを使うことで、他のアプリケーションにもサポートを広げることができます。Azure Rights Management has tight integration with Microsoft Office applications and services, and extends support for other applications by using the Azure Information Protection client.

Microsoft Information Protection SDK により、Azure Information Protection をサポートするカスタム アプリケーションを作成するための API が社内開発者やソフトウェア ベンダーに提供されます。The Microsoft Information Protection SDK provide your internal developers and software vendors with APIs to write custom applications that support Azure Information Protection.

詳しくは、「Rights Management API をサポートするその他のアプリケーション」をご覧ください。For more information, see Other applications that support the Rights Management APIs.

インフラストラクチャ機能Infrastructure features

Azure RMS により、IT 部門とインフラストラクチャ組織をサポートするための次の機能が提供されます。Azure RMS provides the following features to support IT departments and infrastructure organizations:

注意

組織では常に、以前に Azure Rights Management によって保護されていたコンテンツへのアクセスを失わずに、Azure Rights Management サービスの使用を停止できます。Organizations always have the choice to stop using the Azure Rights Management service without losing access to content that was previously protected by Azure Rights Management.

詳細については、Azure Rights Management の使用停止と非アクティブ化に関する記事を参照してください。For more information, see Decommissioning and deactivating Azure Rights Management.

シンプルで柔軟なポリシーを作成するCreate simple and flexible policies

カスタマイズされた保護テンプレートを使用すると、管理者はポリシーを簡単に適用でき、ユーザーは適切なレベルの保護を各ドキュメントに適用してアクセスを組織内のユーザーに制限できます。Customized protection templates provide a quick and easy solution for administrators to apply policies, and for users to apply the correct level of protection for each document and restrict access to people inside your organization.

たとえば、全社的戦略が記載された書類を全従業員が共有する場合、社内の全従業員に読み取り専用ポリシーを適用します。For example, for a company-wide strategy paper to be shared with all employees, apply a read-only policy to all internal employees. 財務報告など、より機密性の高いドキュメントについては、アクセスを経営幹部にのみ制限します。For a more sensitive document, such as a financial report, restrict access to executives only.

ラベル付け管理センターでラベル付けポリシーを構成します。Configure your labeling policies in your labeling admin center:

簡単なアクティブ化Easy activation

新しいサブスクリプションの場合は、自動的にアクティブ化されます。For new subscriptions, activation is automatic. 既存のサブスクリプションの場合、Rights Management サービスをアクティブ化するために必要なのは、管理ポータルでの数回のクリック、または 2 つの PowerShell コマンドだけです。For existing subscriptions, activating the Rights Management service requires just a couple of clicks in your management portal, or two PowerShell commands.

監査と監視のサービスAuditing and monitoring services

保護されたファイルが組織外部に出た後も、ファイルの使用状況を監査および監視しますAudit and monitor usage of your protected files, even after these files leave your organization’s boundaries.

たとえば、Contoso 社の従業員が Fabrikam 社の 3 人のユーザーと共同プロジェクトで作業している場合、Fabrikam 社のパートナーに対して、保護されていて "読み取り専用" に制限されたドキュメントを送信することがあります。For example, if a Contoso, Ltd employee works on a joint project with three people from Fabrikam, Inc, they might send their Fabrikam partners a document that's protected and restricted to read-only.

Azure RMS の監査機能は次の情報を提供できます。Azure RMS auditing can provide the following information:

  • Fabrikam のパートナーはドキュメントを開いたかどうか、それはいつか。Whether the Fabrikam partners opened the document, and when.

  • 指定されていなかった他のユーザーがドキュメントを開こうとしたかどうか、そして失敗したかどうか。Whether other people, who were not specified, attempted, and failed to open the document. これは、メールが転送された場合、または共有の場所に保存された場合に発生する可能性があります。This might happen if the email was forwarded on, or saved to a shared location.

注意

クラシック クライアント ユーザーのみの場合、ドキュメント追跡サイトを使うと、ユーザーや管理者は、保護されたドキュメントを追跡したり、必要な場合は、アクセスを取り消したりすることができます。For classic client users only, the document tracking site lets users and administrators track, and if necessary, revoke access to protected documents.

組織全体でスケーリングする能力Ability to scale across your organization

Azure Rights Management はクラウド サービスとして動作し、Azure の柔軟性を活かしてスケールアップおよびスケールアウトするため、追加のオンプレミス サーバーをプロビジョニングまたはデプロイする必要がありません。Because Azure Rights Management runs as a cloud service with the Azure elasticity to scale up and out, you don’t have to provision or deploy additional on-premises servers.

IT によるデータの制御の維持Maintain IT control over data

組織は、次のような IT 管理機能を利用できます。Organizations can benefit from IT control features, such as:

機能Feature 説明Description
テナント キーの管理Tenant key management Bring Your Own Key (BYOK) や二重キー暗号化 (DKE) などのテナント キー管理ソリューションを使用します。Use tenant key management solutions, such as Bring Your Own Key (BYOK) or Double Key Encryption (DKE).

詳細については、以下を参照してください。For more information about, see:
- AIP テナント キーの計画と実装- Planning and implementing your AIP tenant key
- Microsoft 365 ドキュメントの DKE.- DKE in the Microsoft 365 documentation.
監査と使用状況のログAuditing and usage logging 監査と使用状況のログの機能を使用して、ビジネス分析情報の分析、悪用の監視、情報漏えいのフォレンジック分析を実行します。Use auditing and usage logging features to analyze for business insights, monitor for abuse, and perform forensic analysis for information leaks.
アクセスの委任Access delegation スーパー ユーザー機能でアクセスを委任し、退職者によって保護されたドキュメントであっても、IT 部門が保護されたコンテンツに常にアクセスできるようにします。Delegate access with the super user feature, ensuring that IT can always access protected content, even if a document was protected by an employee who then leaves the organization.
これに対し、ピア ツー ピアの暗号化ソリューションでは、企業データにアクセスできなくなるおそれがあります。In comparison, peer-to-peer encryption solutions risk losing access to company data.
Active Directory の同期Active Directory synchronization Azure AD Connect などのハイブリッド ID ソリューションを使用して、オンプレミスの Active Directory アカウントに対して共通の ID をサポートするために Azure RMS が必要とするディレクトリの属性のみを同期します。Synchronize just the directory attributes that Azure RMS needs to support a common identity for your on-premises Active Directory accounts, by using a hybrid identity solution, such as Azure AD Connect.
シングル サインオンSingle-sign on AD FS を使用して、パスワードをクラウドにレプリケートすることなくシングル サインオンを有効にします。Enable single-sign on without replicating passwords to the cloud, by using AD FS.
AD RMS からの移行Migration from AD RMS Active Directory Rights Management サービス (AD RMS) をデプロイした場合は、以前に AD RMS によって保護されていたデータへのアクセスを失わずに Azure Rights Management サービスに移行します。If you've deployed Active Directory Rights Management Services (AD RMS), migrate to the Azure Rights Management service without losing access to data that was previously protected by AD RMS.

セキュリティ、コンプライアンス、および規制の要件Security, compliance, and regulatory requirements

Azure Rights Management では、セキュリティ、コンプライアンス、規制に関する次の要件をサポートします。Azure Rights Management supports the following security, compliance, and regulatory requirements:

  • 業界標準の暗号化を使用し、FIPS 140-2 をサポートします。Use of industry-standard cryptography and supports FIPS 140-2. 詳細については、「Cryptographic controls used by Azure RMS: Algorithms and key lengths (Azure RMS で使用される暗号化の制御: アルゴリズムとキーの長さ)」を参照してください。For more information, see the Cryptographic controls used by Azure RMS: Algorithms and key lengths information.

  • nCipher nShield ハードウェア セキュリティ モジュール (HSM) をサポート し、テナント キーを Microsoft Azure データ センターに保存します。Support for nCipher nShield hardware security module (HSM) to store your tenant key in Microsoft Azure data centers.

    自社の地域でのみキーを使用できるように、Azure Rights Management では北米、EMEA (欧州、中東およびアフリカ)、およびアジアのデータ センターで独立したセキュリティ ワールドを使っています。Azure Rights Management uses separate security worlds for its data centers in North America, EMEA (Europe, Middle East and Africa), and Asia, so your keys can be used only in your region.

  • 以下の標準の証明書:Certification for the following standards:

    • ISO/IEC 27001:2013 (ISO/IEC 27018 を含む)ISO/IEC 27001:2013 (./includes ISO/IEC 27018)
    • SOC 2 SSAE 16/ISAE 3402 認証SOC 2 SSAE 16/ISAE 3402 attestations
    • HIPAA BAAHIPAA BAA
    • EU モデル条項EU Model Clause
    • Office 365 認証の Azure Active Directory の一部としての FedRAMP (HHS によって FedRAMP Agency Authority to Operate を発行)FedRAMP as part of Azure Active Directory in Office 365 certification, issued FedRAMP Agency Authority to Operate by HHS
    • PCI DSS レベル 1PCI DSS Level 1

外部の証明書の詳細については、「 Azure トラスト センター」を参照してください。For more information about these external certifications, see the Azure Trust Center.

次のステップNext steps

Azure Rights Management サービスの動作に関する技術的な詳細については、「Azure RMS の機能の詳細」をご覧ください。For more technical information about how the Azure Rights Management service works, see How does Azure RMS work?