Azure Information Protection とはWhat is Azure Information Protection?

適用対象:Azure Information ProtectionApplies to: Azure Information Protection

Azure Information Protection (AIP とも呼ばれます) は、ラベルを適用することで組織がドキュメントや電子メールを分類したり、必要に応じて保護したりするのに役立つクラウドベースのソリューションです。Azure Information Protection (sometimes referred to as AIP) is a cloud-based solution that helps an organization to classify and optionally, protect its documents and emails by applying labels. ラベルの適用は、ルールや条件を定義する管理者が自動で実行するか、ユーザーが手動で実行するか、その組み合わせ (ユーザーにレコメンデーションが提示される) で実行します。Labels can be applied automatically by administrators who define rules and conditions, manually by users, or a combination where users are given recommendations.

ユーザーのコンピューターで動作する Azure Information Protection の例を、次の図に示します。The following picture shows an example of Azure Information Protection in action on a user's computer. 管理者は、機密データを検出するルールを使用してラベルを構成しました。この例ではクレジット カード情報が使用されます。The administrator has configured a label with rules that detect sensitive data and in our example, this is credit card information. ユーザーがクレジット カード番号を含む Word ドキュメントを保存すると、管理者が構成したラベルを推奨するカスタム ツールヒントが表示されます。When a user saves a Word document that contains a credit card number, she sees a custom tooltip that recommends the label that the administrator has configured. このラベルによってドキュメントが分類され、保護されます。This label classifies the document and protects it.

Azure Information Protection による推奨分類の例

Azure Information Protection クライアント (クラシック) からのスクリーンショットScreenshot from the Azure Information Protection client (classic)

コンテンツを分類し (オプションで保護すると)、それを追跡したり、その用途を管理できるようになります。After your content is classified (and optionally protected), you can then track and control how it is used. データのフローを分析してビジネスに関する洞察を得たり、危険な動作を検出し修正措置を取ったり、文書へのアクセスを追跡したり、データの漏えいや誤用を防ぐことができます。You can analyze data flows to gain insight into your business, detect risky behaviors and take corrective measures, track access to documents, prevent data leakage or misuse, and so on.

ラベルによる分類のしくみHow labels apply classification

Azure Information Protection のラベルは、文書と電子メールを分類するために使用します。You use Azure Information Protection labels to apply classification to documents and emails. これを行うと、データの保存場所やデータの共有者に関係なく分類を識別できるようになります。When you do this, the classification is identifiable regardless of where the data is stored or with whom it’s shared. ラベルには、ヘッダー、フッター、透かしなどの視覚的なマーキングを含めることができます。The labels can include visual markings such as a header, footer, or watermark. メタデータはクリア テキストでファイルと電子メール ヘッダーに追加されます。Metadata is added to files and email headers in clear text. クリア テキストなので、データ損失防止ソリューションなど、その他のサービスが分類を識別して適切なアクションを取ることができます。The clear text ensures that other services, such as data loss prevention solutions, can identify the classification and take appropriate action.

たとえば、次の電子メール メッセージは "一般" と分類されています。For example, the following email message has been classified as "General". ラベルでは、フッター "秘密度:一般" がメール メッセージに追加されました。The label has added a footer of "Sensitivity: General" to the email message. このフッターは、組織外に送信すべきではない一般的なビジネス データ用を示す、すべての受信者向けのビジュアル インジケーターです。This footer is a visual indicator for all recipients that it's intended for general business data that should not be sent outside the organization. このラベルは、電子メール サービスがこの値を調べて監査エントリを作成したり、組織外への送信を回避したりできるように、電子メールのヘッダーに埋め込まれます。The label is embedded in the email headers so that email services can inspect this value and could create an audit entry or prevent it from being sent outside the organization.

Azure Information Protection の分類を示す電子メール フッターおよびヘッダーの例

Azure Information Protection クライアント (クラシック) からのスクリーンショットScreenshot from the Azure Information Protection client (classic)

データ保護のしくみHow data is protected

保護テクノロジには Azure Rights Management (しばしば Azure RMS と略される) が使用されています。The protection technology uses Azure Rights Management (often abbreviated to Azure RMS). このテクノロジは、Microsoft の他のクラウド サービスやアプリケーション (Office 365 や Azure Active Directory など) にも統合されています。This technology is integrated with other Microsoft cloud services and applications, such as Office 365 and Azure Active Directory. また、独自の基幹業務アプリケーションや情報ベンダーの情報保護ソリューションで使用できます。アプリケーションやソリューションは、オンプレミスまたはクラウドのどちらにあってもかまいません。It can also be used with your own line-of-business applications and information protection solutions from software vendors, whether these applications and solutions are on-premises, or in the cloud.

この保護テクノロジでは、暗号化、ID、および承認ポリシーが使用されます。This protection technology uses encryption, identity, and authorization policies. 文書や電子メールが Rights Management で保護されている場合、適用されるラベルの場合と同様に、どこに保存されているか (組織、ネットワーク、ファイル サーバー、アプリケーションの内部または外部) にかかわらず、適用される保護は維持されます。Similarly to the labels that are applied, protection that is applied by using Rights Management stays with the documents and emails, independently of the location—inside or outside your organization, networks, file servers, and applications. この情報保護ソリューションならば、データが他者と共有されているときでも、所有者がデータの制御を維持できます。This information protection solution keeps you in control of your data, even when it is shared with other people.

たとえば、組織内のユーザーのみがアクセスできるようにレポート文書や売上予測のスプレッドシートを構成したり、その文書の編集の許可を制御したり、読み取り専用に制限したり、印刷できないよう制御することもできます。For example, you can configure a report document or sales forecast spreadsheet so that it can be accessed only by people in your organization, and control whether that document can be edited, or restricted to read-only, or prevent it from being printed. 電子メールについても同様に構成することができます。さらに、電子メールを転送不可に設定したり、[全員に返信] オプションを使用不可に設定したりできます。You can configure emails similarly, and also prevent them from being forwarded or prevent the use of the Reply All option.

これらの保護設定は、ラベルの構成に含めることができます。そのため、ユーザーはラベルを適用するだけで、ドキュメントとメールの両方を分類できます。These protection settings can be part of your label configuration, so that users both classify and protect documents and emails simply by applying a label. ただし、保護をサポートするアプリケーションとサービスから同じ保護設定を使用することもできますが、ラベルを付けることはできません。However, the same protection settings can also be used by applications and services that support protection, but not labeling. これらのアプリケーションとサービスでは、保護設定は "Rights Management テンプレート" として使用できるようになります。For these applications and services, the protection settings become available as Rights Management templates.

Rights Management テンプレートRights Management templates

Azure Rights Management サービスを有効にするとすぐに、組織内のユーザーがデータにアクセスすることを制限する 2 つの既定のテンプレートが使用可能になります。As soon as the Azure Rights Management service is activated, two default templates are available for you that restrict data access to users within your organization. これらのテンプレートでは、即座に組織からのデータの漏えいを防止できます。You can use these templates to immediately help prevent data leaking from your organization. これらの既定のテンプレートを補うこともできます。その場合、より厳しい制御を適用する独自の保護設定を構成します。You can also supplement these default templates by configuring your own protection settings that apply more restrictive controls.

保護設定を含む Azure Information Protection のラベルを作成すると、その処理の裏では、このアクションによって対応する Rights Management テンプレートが作成されます。When you create a label for Azure Information Protection that includes protection settings, under the covers, this action creates a corresponding Rights Management template. さらに、そのテンプレートは、Azure Rights Management をサポートするアプリケーションとサービスで使用できます。You can then additionally use that template with applications and services that support Azure Rights Management.

たとえば、Exchange 管理センターから、これらのテンプレートを使用するように、Exchange Online メール フロー ルールを構成できます。For example, from the Exchange admin center, you can configure Exchange Online mail flow rules to use these templates:

Exchange Online のテンプレートを選択する場合の例

Azure Rights Management での保護の詳細については、「Azure Rights Management とは」を参照してください。For more information about Azure Rights Management protection, see What is Azure Rights Management?

ドキュメントおよび電子メール用のエンドユーザー ワークフローとの統合Integration with end-user workflows for documents and emails

Azure Information Protection は、Azure Information Protection クライアントがインストールされている場合、エンド ユーザーの既存のワークフローと統合されます。Azure Information Protection integrates with end users' existing workflows when the Azure Information Protection client is installed. このクライアントは、Office アプリケーションに、Word にこのバーを表示した最初の図のように Information Protection バーをインストールします。This client installs the Information Protection bar to Office applications, which we saw in the first picture that showed this bar in Word. 同じ Information Protection バーが Excel、PowerPoint、および Outlook に追加されます。The same Information Protection bar is added to Excel, PowerPoint, and Outlook. 次に例を示します。For example:

Excel の Azure Information Protection バーの例

Azure Information Protection 統合ラベル付けクライアントからのスクリーンショットScreenshot from the Azure Information Protection unified labeling client

エンド ユーザーはこの Information Protection バーを使用して、正しい分類のラベルを簡単に選択できるようになります。This Information Protection bar makes it easy for end users to select labels for the correct classification. 必要に応じて、ラベルを自動的に適用してユーザーの推測を排除したり、組織のポリシーに準拠したりすることもできます。If required, labels can also be applied automatically to remove the guesswork for users, or to comply with your organization's policies.

追加のファイルの種類を分類して保護し、複数のファイルを一度にサポートするには、次のようにして、エクスプローラーからファイルまたはフォルダーを右クリックします。To classify and protect additional file types, and to support multiple files at once, users can right-click files or a folder from Windows File Explorer:

Azure Information Protection を使用する場合のファイル エクスプローラーの右クリック オプション [分類して保護する]

エクスプローラーから [分類して保護する] メニュー オプションを選択すると、Office デスクトップ アプリで Information Protection バーを使用する場合と同じように、ラベルを選択することができます。When users select the Classify and protect menu option from File Explorer, they can then select a label similarly to how they use the Information Protection bar in their Office desktop apps. 必要に応じて、独自のカスタム アクセス許可を設定することもできます。They can also set their own custom permissions, if required.

パワー ユーザー (および管理者) は、PowerShell コマンドを使用すれば、複数のファイルの分類と保護をより効率的に管理して設定できることに気付くかもしれません。Power users (and administrators) might find using PowerShell commands more efficient for managing and setting classification and protection for multiple files. これらのアクションを行う PowerShell コマンドは、クライアントと共に自動的に含まれますが、PowerShell モジュールを個別にインストールすることもできます。The PowerShell commands to do these actions are automatically included with the client, although you can also install the PowerShell module separately.

ドキュメントが保護されたら、ユーザーと管理者はドキュメント追跡サイトを使用して、これらのドキュメントに誰がいつアクセスしているかを監視することができます。After a document has been protected, users and administrators can use a document tracking site to monitor who is accessing these documents and when. 不正使用が疑われる場合は、これらのドキュメントに対するアクセスを取り消すこともできます。If they suspect misuse, they can also revoke access to these documents:

ドキュメント追跡サイトの [アクセスの取り消し] アイコン

電子メールにおける追加の統合Additional integration for email

Exchange Online で Azure Information Protection を使用する場合は、追加の利点を得られます:保護されたメールを任意のユーザーに送信し、そのユーザーが任意のデバイス上でそのメールを読み取れるようにすることができます。When you use Azure Information Protection with Exchange Online, you get an additional benefit: The ability to send protected emails to any user, with the assurance that they can read it on any device.

たとえば、ユーザーが機密情報を、GmailHotmail、またはMicrosoft アカウントを使用している個人用メール アドレスに送信する必要があるとします。For example, users need to send sensitive information to personal email addresses that use a Gmail, Hotmail, or a Microsoft account. または、Office 365 用のアカウントまたは Azure AD 内のアカウントを持っていないユーザーに機密情報を送信する必要があるとします。Or, to users who don't have an account in Office 365 or Azure AD. これらの電子メールは、保存時または送信中に暗号化し、本来の受信者のみが読み取ることができるようにする必要があります。These emails should be encrypted at rest and in transit, and be read only by the original recipients.

このシナリオには、Office 365 Message Encryption の新機能が必要です。This scenario requires the new capabilities from Office 365 Message Encryption. 保護された電子メールを自分のネイティブ電子メール クライアントで開くことはできない受信者の場合は、ワンタイム パスコードを使用することでブラウザー内で機密情報を閲覧することができます。If the recipients cannot open the protected email in their native email client, they can use a one-time passcode to read the sensitive information in a browser.

たとえば、Gmail ユーザーには、電子メール メッセージに次の内容が表示されます。For example, a Gmail user sees the following in an email message:

OME と AIP の Gmail 受信者エクスペリエンス

電子メールを送信するユーザーにとって、ワークフローは、所属する組織内のユーザーに保護された電子メールを送信する場合と変わりありません。For the users sending the email, their workflow is no different from sending a protected email to a user in their own organization. たとえば、ユーザーは Azure Information Protection クライアントによって Outlook のリボンに追加される [転送不可] ボタンを選択することができます。For example, they can select the Do Not Forward button that the Azure Information Protection client can add to the Outlook ribbon. または、ユーザーが選択したラベルに [転送不可] 機能を統合することができます。これにより、電子メールは分類され保護されます。Or, this Do Not Forward functionality can be integrated into a label that users select, so that the email is classified as well as protected. 次に例を示します。For example:

[転送不可] として構成されたラベルを選択

Azure Information Protection 統合ラベル付けクライアントからのスクリーンショットScreenshot from the Azure Information Protection unified labeling client

または、権利保護を適用するメール フロー ルールを使用して、ユーザーを自動的に保護することができます。Alternatively, you can automatically provide the protection for users, by using mail flow rules that apply rights protection.

そのようなルールを適用した電子メールに Office ドキュメントを添付した場合、そのドキュメントも自動的に保護されます。When you attach Office documents to these emails, these documents are automatically protected as well.

既存のドキュメントの分類と保護Classifying and protecting existing documents

ドキュメントと電子メールは、最初に作成したときにラベル付けすることが理想的です。Ideally, documents and emails are labeled when they are first created. しかし、データ ストアには既存のドキュメントが多数ある場合があり、これらのドキュメントも分類して保護する必要があります。But you likely have many existing documents in data stores and want to classify and protect these documents as well. これらのデータ ストアは、オンプレミスか、またはクラウド内にある場合があります。These data stores could be on-premises or in the cloud.

オンプレミスのデータ ストアの場合、Azure Information Protection スキャナーを使用して、ローカル フォルダー、ネットワーク共有、SharePoint Server のサイトとライブラリにあるドキュメントの検出、分類、保護を行います。For your on-premises data stores, use the Azure Information Protection scanner to discover, classify, and protect documents on local folders, network shares, and SharePoint Server sites and libraries. スキャナーは、Windows Server 上のサービスとして実行されます。The scanner runs as a service on Windows Server. ポリシー内の同じ規則を使用して、機密データを検出し、ドキュメントに特定のラベルを適用することができます。You can use the same rules in the policy to detect sensitive information and apply specific labels to documents. または、ファイルの内容を検査せずに、データ リポジトリ内のすべてのドキュメントに既定のラベルを適用できます。Or you can apply a default label to all documents in a data repository without inspecting the file contents. また、スキャナーを報告モードのみで使用して、所持していたことを知らなかった機密情報を発見することもできます。You can also use the scanner in reporting mode only, to help you discover sensitive information that you might not know you had.

スキャナーのデプロイと使用方法については、「Azure Information Protection スキャナーをデプロイして、ファイルを自動的に分類して保護する」をご覧ください。For more information about deploying and using the scanner, see Deploying the Azure Information Protection scanner to automatically classify and protect files.

クラウドのデータ ストアの場合、Microsoft Cloud App Security を使用して、Box、SharePoint Online、OneDrive for Business 内にあるドキュメントにラベルを適用します。For your cloud data stores, use Microsoft Cloud App Security to apply your labels to documents in Box, SharePoint Online, and OneDrive for Business. 詳細については、「Azure Information Protection 分類ラベルを自動的に適用する」と「Azure Information Protection の統合」をご覧ください。For more information, see Automatically apply Azure Information Protection classification labels and Azure Information Protection integration.

Microsoft 365 のラベル付けに関する最新の更新Latest labeling updates for Microsoft 365

あらゆる場所にある機密情報の検出、分類、保護、および監視に Azure Information Protection が役立つしくみについて、最新情報をご覧ください:See the latest information about how Azure Information Protection helps you to discover, classify, protect, and monitor your sensitive information, wherever it lives:

Azure Information Protection の参考資料Resources for Azure Information Protection

その他のリソース: Azure Information Protection の情報とサポートAdditional resources: Information and support for Azure Information Protection

Microsoft IgniteMicrosoft Ignite

Microsoft Ignite 2019 オーランドは大成功でした。Microsoft Ignite 2019 in Orlando was a great success! そこでは、最新の更新プログラムと機能強化を含む Azure Information Protection に関する有益な情報が多数提供されました。There was lots of good information about Azure Information Protection with the latest updates and improvements. ご参加いただけなかった場合でも、後から視聴できるようにセッションが録画されています。If you couldn't join us, sessions are recorded for viewing later.

お勧めする上位 5 つのセッションについて、次の一覧をご覧ください。See the following list for our top five sessions that we recommend:

最新のブログ投稿: 機密データがある場所を把握し、Microsoft 365 でインテリジェントに保護するLatest blog post: Understand where your sensitive data is located and intelligently protect it with Microsoft 365

次の手順Next steps

クイック スタートチュートリアルを参照すれば、Azure Information Protection をご自分で構成および確認できます。Configure and see Azure Information Protection for yourself, with our quickstarts and tutorials. また、このサービスを組織向けにデプロイする準備ができている場合は、攻略ガイドを参照してください。Or, if you're ready to deploy this service for your organization, head over to the how-to guides.