Azure Information Protection Premium Government のサービスの説明

注意

統一された合理化されたカスタマー エクスペリエンスを提供するために 、Azure PortalAzure Information Protection クラシック クライアントとラベル管理は、2021 年 9 月 31 日の GCC、GCC-H、DoD のお客様では非推奨とされます。

クラシック クライアントは正式に廃止され、2022 年 3 月 31 日に機能を停止します。

すべての現在Azure Information Protectionクラシック クライアントのお客様は、統合ラベル付Microsoft Information Protectionプラットフォームに移行し、統合ラベルけクライアントにアップグレードする必要があります。 詳細については、移行に関する ブログを参照してください

このサービスの説明の使用方法

Azure Information Protection統合ラベル付けは、GCC、GCC DoD のお客様が使用できます。

Azure Information Protection プレミアム Government サービスの説明は、GCC High および DoD 環境でのオファリングの概要として機能するように設計され、Azure Information Protection プレミアム 商用オファリングと比較した機能のバリエーションに対応します。

GCC Azure Information Protection および GCC High のお客様向け Azure Information Protection の詳細については、米国政府向け EMS オファーと相互運用性に関するMicrosoft 365参照してください

Azure Information Protection プレミアムおよびサード パーティのサービス

一Azure Information Protection プレミアムサービスでは、サードパーティ製のアプリケーションとサービスをシームレスに使用できます。

これらのサード パーティのアプリケーションとサービスには、Azure Information Protection プレミアム インフラストラクチャの外部にあるサードパーティ システム上で組織の顧客コンテンツを格納、送信、処理する必要があります。したがって、コンプライアンスとデータ保護のコミットメントの対象となされない場合があります。

組織に対するこれらのサービスの適切な使用を評価する際には、サード パーティによって提供されるプライバシーとコンプライアンスに関する声明を確認してください。

Premium 商用サービスAzure Information Protectionと同じ

Azure Information Protection プレミアム GCC High/DoD と商用オファリングの間の既知の既存のギャップに関する情報については、「Azure Information Protection の米国政府機関のお客様向けクラウド機能の可用性」を参照してください

GCC High および DoD のお客様向け Azure Information Protection の構成

次の構成の詳細は、統合ラベル付けソリューションAzure Information Protection含め、GCC High および DoD のお客様向けのすべてのソリューションに関連しています。

重要

2020 年 7 月の更新プログラムの現在、Azure Information Protection 統合ラベル付けソリューションのすべての新しい GCC High のお客様は、[全般] メニューと [スキャナー] メニュー機能の両方を利用できます。

テナントの Rights Management を有効にする

暗号化が正しく機能するには、テナントに対して Rights Management サービスを有効にする必要があります。

  • Rights Management サービスが有効かどうかを確認します
    • 管理者として PowerShell を起動します
    • AADRM モジュールがインストールされていない場合、Install-Module aadrm を実行します
    • Connect-aadrmservice -environmentname azureusgovernment を使用してサービスに接続します
    • (Get-AadrmConfiguration).FunctionalState を実行し、状態が Enabled かどうかを確認します
  • 機能の状態が Disabled の場合は、Enable-Aadrm を実行します

暗号化の DNS 構成 (Windows)

暗号化が正しく機能するには、Office クライアント アプリケーションがサービスの GCC、GCC High/DoD インスタンスに接続し、そこからブートストラップする必要があります。 クライアント アプリケーションを適切なサービス インスタンスにリダイレクトするには、テナント管理者は、クライアント URL に関する情報を使用して DNS SRV レコードを構成Azure RMSがあります。 DNS SRV レコードがない場合、クライアント アプリケーションは既定でパブリック クラウド インスタンスへの接続を試み、失敗します。

また、ユーザーは、onmicrosoft ユーザー名 (例: ) ではなく、テナント所有ドメイン (例: ) に基づいてユーザー名を使用してログインします joe@contoso.us joe@contoso.onmicrosoft.us 。 ユーザー名のドメイン名は、適切なサービス インスタンスへの DNS リダイレクト用に使用されます。

  • Rights Management サービス ID の取得
    • 管理者として PowerShell を起動します
    • AADRM モジュールがインストールされていない場合は、 を実行します。 Install-Module aadrm
    • Connect-aadrmservice -environmentname azureusgovernment を使用してサービスに接続します
    • (Get-aadrmconfiguration).RightsManagementServiceId を実行して、Rights Management サービス ID を取得します
  • DNS プロバイダーにサインインし、ドメインの DNS 設定に移動して新しい SRV レコードを追加します
    • サービス = _rmsredir
    • プロトコル = _http
    • 名前 = _tcp
    • ターゲット = [GUID].rms.aadrm.us (GUID は Rights Management サービス ID)
    • ポート = 80
    • 優先度、重量、秒数、TTL = 既定値
  • Azure portal でカスタム ドメインをテナントと関連付けます。 カスタム ドメインを関連付ける場合、DNS にエントリが追加されます。このエントリは、値を追加した後に確認するために数分かかる場合があります。
  • 対応するグローバル管理者資格情報Office管理センターにサインインし、ユーザー作成用のドメイン (例: contoso.us) を追加します。 検証プロセスで若干の DNS 変更が必要になる場合があります。 検証が完了したら、ユーザーを作成できるようになります。

暗号化用の DNS 構成 (Mac、iOS、Android)

  • DNS プロバイダーにサインインし、ドメインの DNS 設定に移動して新しい SRV レコードを追加します
    • サービス = _rmsdisco
    • プロトコル = _http
    • 名前 = _tcp
    • ターゲット = api.aadrm.us
    • ポート = 80
    • 優先度、重量、秒数、TTL = 既定値

ラベルの移行

GCC DoD のお客様は、PowerShell を使用して既存のすべてのラベルを移行する必要があります。 従来の AIP 移行方法は 、GCC DoD のお客様には適用できません。

New-Label コマンドレットを使用して、既存の秘密度ラベルを移行します。 移行を開始する 前に 、Security & Compliance Center を使用してコマンドレットに接続して実行する手順に従ってください。

既存の感度ラベルに暗号化がある場合の移行の例:

New-Label -Name 'aipscopetest' -Tooltip 'aipscopetest' -Comment 'admin notes' -DisplayName 'aipscopetest' -Identity 'b342447b-eab9-ea11-8360-001a7dda7113' -EncryptionEnabled $true -EncryptionProtectionType 'template' -EncryptionTemplateId 'a32027d7-ea77-4ba8-b2a9-7101a4e44d89' -EncryptionAipTemplateScopes "['allcompany@labelaction.onmicrosoft.com','admin@labelaction.onmicrosoft.com']"

AIP アプリの構成

Azure Information Protection クライアントを使用する場合は、次のいずれかのレジストリ キーを構成して、AIP アプリを Windows 上の適切なソブリン クラウドにポイントする必要があります。 セットアップに適切な値を使用してください。

統合ラベル付けクライアントの AIP アプリ構成

関連: AIP 統合ラベル付けクライアントのみ

レジストリ ノード HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
名前 CloudEnvType
Value 0 = 商用 (既定値)
1 = GCC
2 = GCC High
3 = DoD
種類 REG_DWORD

注意

  • このレジストリ キーが空、正しくない、または欠落している場合、動作は既定値 (0 = 商用) に戻ります。
  • キーが空または正しくない場合は、印刷エラーもログに追加されます。
  • アンインストール後にレジストリ キーを削除しない。

クラシック クライアントの AIP アプリ構成

関連: AIP クラシック クライアントのみ

レジストリ ノード HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
名前 WebServiceUrl
[値] https://api.informationprotection.azure.us
Type REG_SZ (文字列)

ファイアウォールとネットワーク インフラストラクチャ

特定の接続を許可するように構成されたファイアウォールまたは同様の介入ネットワーク デバイスがある場合は、次の設定を使用して、接続の通信を円滑Azure Information Protection。

  • TLS クライアント間接続: rms.aadrm.us URL への TLS クライアント間接続を終了しません (パケット レベルの検査を実行する場合など)。

    次の PowerShell コマンドを使用すると、クライアント接続が Azure Rights Management サービスに到達する前にクライアント接続が終了するかどうかを判断できます。

    $request = [System.Net.HttpWebRequest]::Create("https://admin.aadrm.us/admin/admin.svc")
    $request.GetResponse()
    $request.ServicePoint.Certificate.Issuer
    

    結果には、発行元の CA が Microsoft CA からのものであることが示されます (例: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US)。 発行元の CA 名が Microsoft からではない場合は、セキュリティで保護されたクライアントからサービスへの接続が終了され、ファイアウォールで再構成する必要がある可能性があります。

  • ラベルとラベル****ポリシー のダウンロード (AIP クラシック クライアントのみ) : Azure Information Protection クラシック クライアントがラベルとラベル ポリシーをダウンロードするには、URL api.informationprotection.azure.us HTTPS 経由で許可します。

詳細については、次を参照してください。

サービス タグ

次のサービス タグのすべてのポートへのアクセスを許可 してください。

  • AzureInformationProtection
  • AzureActiveDirectory
  • AzureFrontDoor.Frontend