Microsoft Information Protection (MIP) SDK のセットアップと構成Microsoft Information Protection (MIP) SDK setup and configuration

クイック スタートとチュートリアルの記事では、MIP SDK ライブラリと API を使用するアプリケーションのビルドを中心に説明しています。The Quickstart and Tutorial articles are centered around building applications that use the MIP SDK libraries and APIs. この記事では、SDK を使用するための準備として、Microsoft 365 サブスクリプションとクライアント ワークステーションをセットアップして構成する方法を示します。This article shows you how to set up and configure your Microsoft 365 subscription and client workstation, in preparation for using the SDK.


開始する前に、次のトピックを確認してください。Be sure to review the following topics before getting started:


ユーザーのプライバシーを保証するため、自動ログ記録を有効にする前には、同意を求める必要があります。To honor user privacy, you must ask the user to consent before enabling automatic logging. たとえば、Microsoft の標準のメッセージでは、ログ記録について次のように通知しています。The following example is a standard message Microsoft uses for logging notification:

エラーとパフォーマンス ログの記録を有効にすると、エラーとパフォーマンス データの Microsoft への送信に同意することになります。Microsoft はインターネット経由でエラーとパフォーマンス データ (以下 "データ") を収集します。Microsoft は、Microsoft 製品およびサービスの品質、セキュリティ、および整合性を向上するためにこのデータを使用します。たとえば、ユーザーが使用している機能、その機能の反応速度、デバイスのパフォーマンス、ユーザー インターフェイスの操作、製品の使用時に発生した問題など、パフォーマンスと信頼性を分析しています。データには、ユーザーが現在実行しているソフトウェアや IP アドレスなど、ソフトウェアの構成に関する情報も含まれます。By turning on Error and Performance Logging, you are agreeing to send Error and Performance Data to Microsoft. Microsoft will collect error and performance data over the internet (“Data”). Microsoft uses this Data to provide and improve the quality, security and integrity of Microsoft products and services. For example, we analyze performance and reliability, such as what features you use, how quickly the features respond, device performance, user interface interactions, and any problems you experience with the product. Data will also include information about the configuration of your software like the software you are currently running, and the IP address.

Office 365 サブスクリプションへのサインアップSign up for an Office 365 subscription

多くの SDK サンプルでは、Office 365 サブスクリプションへのアクセスが必要です。Many of the SDK samples require access to an Office 365 subscription. 次のサブスクリプションの種類のいずれかにサインアップしていることを確認します (まだ確認していない場合)。If you haven't already, be sure to sign up for one of the following subscription types:

名前Name サインアップSign-up
Office 365 Enterprise E3 評価版 (30 日間の無料評価版)Office 365 Enterprise E3 Trial (30-day free trial)
Office 365 Enterprise E3 または E5Office 365 Enterprise E3 or E5
Enterprise Mobility and Security E3 または E5Enterprise Mobility and Security E3 or E5
Azure Information Protection Premium P1 または P2Azure Information Protection Premium P1 or P2
Microsoft 365 E3、E5、または F1Microsoft 365 E3, E5, or F1

機密ラベルの構成Configure sensitivity labels

現在 Azure Information Protection を使用している場合は、ラベルを Office 365 セキュリティとコンプライアンス センターに移行する必要があります。If you're currently using Azure Information Protection, you must migrate your labels to Office 365 Security and Compliance Center. プロセスの詳細については、「How to migrate Azure Information Protection labels to the Office 365 Security & Compliance Center」 (Azure Information Protection ラベルを Office 365 セキュリティとコンプライアンス センターに移行する方法) を参照してください。For more information on the process, see How to migrate Azure Information Protection labels to the Office 365 Security & Compliance Center.

クライアント ワークステーションの構成Configure your client workstation

次に、クライアント コンピューターがセットアップされ、正しく構成されていることを確認するため、次の手順を完了します。Next, complete the following steps to ensure your client computer is set up and configured correctly.

  1. Windows 10 ワークステーションを使用している場合:If you're using a Windows 10 workstation:

    • Windows Update を使用して、ご使用のコンピューターを Windows 10 Fall Creators Update (バージョン 1709) 以降に更新します。Using Windows Update, update your machine to Windows 10 Fall Creators Update (version 1709) or later. 現在のバージョンを確認するには、次の手順を実行します。To verify your current version:

      • 左下にある Windows アイコンをクリックします。Click the Windows icon in the lower left.
      • 「PC 情報」と入力し、Enter キーを押します。Type "About your PC" and press the "Enter" key.
      • [Windows の仕様] まで下にスクロールして、 [バージョン] の下を確認します。Scroll down to Windows specifications and look under Version.
    • ご使用のワークステーションで [開発者モード] が有効になっていることを確認します。Ensure "Developer Mode" is enabled on your workstation:

      • 左下にある Windows アイコンをクリックします。Click the Windows icon in the lower left.
      • 「開発者向けの機能の使用」と入力して Enter キーを押すと、 [Use Developer Features](開発者向けの機能の使用) 項目が表示されます。Type "Use developer features" and press the "Enter" key, when you see the Use Developer Features item show.
      • [設定] ダイアログの [開発者向け] タブの [Use Developer Features](開発者向けの機能の使用) の下で、 [開発者モード] オプションを選択します。On the Settings dialog, For developers tab, under "Use developer features", select the Developer mode option.
      • [設定] ダイアログを閉じます。Close the Settings dialog.
  2. 次のワークロードとオプション コンポーネントを使用して、Visual Studio 2017 をインストールします。Install Visual Studio 2017, with the following workloads and optional components:

    • ユニバーサル Windows プラットフォーム開発 Windows ワークロード、および次のオプション コンポーネント:Universal Windows Platform development Windows workload, plus the following optional components:

      • C++ ユニバーサル Windows プラットフォーム ツールC++ Universal Windows Platform tools
      • Windows 10 SDK 10.0.16299.0 SDK 以降 (既定で含まれていない場合)Windows 10 SDK 10.0.16299.0 SDK or later, if not included by default
    • C++ によるデスクトップ開発 Windows ワークロード、および次のオプション コンポーネント:Desktop development with C++ Windows workload, plus the following optional components:

      • Windows 10 SDK 10.0.16299.0 SDK 以降 (既定で含まれていない場合)Windows 10 SDK 10.0.16299.0 SDK or later, if not included by default

      Visual Studio のセットアップVisual Studio setup

  3. ADAL.PS PowerShell モジュールをインストールします。Install the ADAL.PS PowerShell Module:

    • モジュールをインストールするには管理者権限が必要なため、最初に次のいずれかを行う必要があります。Because administrator rights are required to install modules, first you need to either:

      • 管理者権限を持つアカウントを使用してコンピューターにサインインする。sign in to your computer with an account that has Administrator rights.
      • 管理者特権を使用して Windows PowerShell セッションを実行する (管理者として実行)。run the Windows PowerShell session with elevated rights (Run as Administrator).
    • install-module -name コマンドレットを実行します。Then run the install-module -name cmdlet:

      PS C:\WINDOWS\system32> install-module -name
      Untrusted repository
      You are installing the modules from an untrusted repository. If you trust this repository, change its
      InstallationPolicy value by running the Set-PSRepository cmdlet. Are you sure you want to install the modules from
      [Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "N"): A
      PS C:\WINDOWS\system32>
  4. SDK ファイルをダウンロードする:Download SDK files:

    MIP SDK は、次のプラットフォームでサポートされています。ダウンロードはサポートされているプラットフォーム/言語ごとに行われます。The MIP SDK is supported on the following platforms, with separate downloads for each supported platform/language:

    オペレーティング システムOperating system バージョンVersions ダウンロードDownloads Notes
    UbuntuUbuntu 16.0416.04 C++ tar.gzC++ tar.gz
    UbuntuUbuntu 18.0418.04 C++ tar.gzC++ tar.gz
    Java (プレビュー) tar.gzJava (Preview) tar.gz
    .NET Core NuGet (プレビュー).NET Core NuGet (Preview)
    RedHat Enterprise LinuxRedHat Enterprise Linux 7 と devtoolset-77 with devtoolset-7 C++ tar.gzC++ tar.gz
    DebianDebian 99 C++ tar.gzC++ tar.gz
    macOSmacOS High Sierra 以降High Sierra and later C++ .zipC++ .zip Xcode の開発には 9.4.1 以上が必要です。Xcode development requires 9.4.1 or greater.
    WindowsWindows サポートされているすべてのバージョン、32/64 ビットAll supported versions, 32/64 bit C++/.NET Framework 4.6 .zipC++/.NET Framework 4.6 .zip
    C++/.NET NuGetC++/.NET NuGet
    Java (プレビュー) .zipJava (Preview) .zip
    AndroidAndroid 7.0 以降7.0 and later C++ .zipC++ .zip 保護/ポリシー API のみ。Protection and Policy APIs only.
    iOSiOS サポートされているすべてのバージョンAll supported versions C++ .zipC++ .zip 保護/ポリシー API のみ。Protection and Policy APIs only.

    Tar.gz/.Zip のダウンロードTar.gz/.Zip downloads

    Tar.gz と .Zip のダウンロードには、API ごとに圧縮されたファイルが 1 つ含まれています。Tar.gz and .Zip downloads contain compressed files, one for each API. 圧縮されたファイルは次のように命名されます。<API> = fileprotection、または upe。<OS> = the platform: mip_sdk_<API>_<OS> (or .tar.gz)The compressed files are named as follows, where <API> = file, protection, or upe, and <OS> = the platform: mip_sdk_<API>_<OS> (or .tar.gz). たとえば、Debian での保護 API のバイナリとヘッダーのファイルは次のようになります。mip_sdk_protection_debian9_1.0.0.0.tar.gzFor example, the file for protection API binaries and headers on Debian would be: mip_sdk_protection_debian9_1.0.0.0.tar.gz. 含まれているそれぞれの .tar.gz/.zip は次の 3 つのディレクトリに分かれています。Each contained .tar.gz/.zip is split into three directories:

    • Bins: 各プラットフォーム アーキテクチャのコンパイル済みバイナリ (該当する場合)。Bins: Compiled binaries for each platform architecture, where applicable.
    • Include: ヘッダー ファイル (C++)。Include: Header files (C++).
    • Samples: サンプル アプリケーションのソース コード。Samples: Source code for sample applications.

    NuGet パッケージNuGet packages

    Visual Studio の開発を行っている場合は、NuGet パッケージ マネージャー コンソールを使用して SDK をインストールすることもできます。If you're doing Visual Studio development, the SDK can be also installed via the NuGet Package Manager Console:

    Install-Package Microsoft.InformationProtection.File
    Install-Package Microsoft.InformationProtection.Policy
    Install-Package Microsoft.InformationProtection.Protection
  5. NuGet パッケージを使用していない場合、SDK のバイナリのパスを PATH 環境変数に追加します。If you're not using the NuGet package, add the paths of the SDK binaries to the PATH environment variable. PATH 変数は、実行時にクライアント アプリケーションによって依存バイナリ (DLL) が見つかるようにします (省略可能)。The PATH variable allows the dependent binaries (DLLs) to be found at runtime, by client applications (OPTIONAL):

    Windows 10 ワークステーションを使用している場合:If you're using a Windows 10 workstation:

    • 左下にある Windows アイコンをクリックします。Click the Windows icon in the lower left.

    • 「パス」と入力して Enter キーを押すと、 [Edit the system environment variables](システム環境変数の編集) 項目が表示されます。Type "Path" and press the "Enter" key, when you see the Edit the system environment variables item show.

    • [システムのプロパティ] ダイアログで、 [環境変数] をクリックします。On the System Properties dialog, click Environment Variables.

    • [環境変数] ダイアログの [User variables for <user>](<ユーザー> のユーザー変数) の下で [パス] 変数行をクリックして、 [編集] をクリックします。On the Environment Variables dialog, click the Path variable row under User variables for <user>, then click Edit....

    • [環境変数の編集] ダイアログで、新しい編集可能な行を作成する [新規] をクリックします。On the Edit environment variable dialog, click New, which creates a new editable row. file\bins\debug\amd64protection\bins\debug\amd64upe\bins\debug\amd64 の各サブディレクトリへの完全なパスを使用して、それぞれに新しい行を追加します。Using the full path to each of the file\bins\debug\amd64, protection\bins\debug\amd64, and upe\bins\debug\amd64 subdirectories, add a new row for each. SDK ディレクトリは <API>\bins\<target>\<platform> の形式で格納されます。The SDK directories are stored in a <API>\bins\<target>\<platform> format, where:

      • <API> = file, protection, upe<API> = file, protection, upe
      • <target> = debug, release<target> = debug, release
      • <platform> = amd64 (x64)、x86 など。<platform> = amd64 (x64), x86, etc.
    • パス 変数の更新が完了したら、 [OK] をクリックします。When finished updating the Path variable, click OK. [環境変数] ダイアログに戻ったら、 [OK] をクリックします。Then click OK when returned to the Environment Variables dialog.

  6. GitHub から SDK サンプルをダウンロードします (省略可能)。Download SDK samples from GitHub (OPTIONAL):

Azure Active Directory へのクライアント アプリケーションの登録Register a client application with Azure Active Directory

Microsoft 365 サブスクリプションのプロビジョニング プロセスの一環として、関連付けられた Azure Active Directory (Azure AD) テナントが作成されます。As part of the Microsoft 365 subscription provisioning process, an associated Azure Active Directory (Azure AD) tenant is created. Azure AD テナントでは、Microsoft 365 "ユーザー アカウント" と "アプリケーション アカウント" の ID とアクセス管理を提供します。The Azure AD tenant provides identity and access management for Microsoft 365 user accounts and application accounts. セキュリティで保護された API (MIP API など) へのアクセスを必要とするアプリケーションでは、アプリケーション アカウントが必要です。Applications that require access to secured APIs (such as MIP APIs), require an application account.

実行時の認証と承認では、アカウントの ID 情報から派生した セキュリティ プリンシパル によってアカウントが表されます。For authentication and authorization at runtime, accounts are represented by a security principal, which is derived from the account's identity information. アプリケーション アカウントを表すセキュリティ プリンシパルは、サービス プリンシパルと呼ばれます。Security principals that represent an application account are referred to as a service principal.

クイック スタートおよび MIP SDK のサンプルで使用するために Azure AD でアプリケーション アカウントを登録するには、次の手順を実行します。To register an application account in Azure AD for use with the Quickstarts and MIP SDK samples:


アカウント作成のために Azure AD テナントの管理にアクセスするには、サブスクリプションで "所有者" ロールのメンバーであるユーザー アカウントを使用して、Azure portal にサインインする必要があります。To access Azure AD tenant management for account creation, you'll need to sign in to the Azure portal with a user account that is a member of the "Owner" role on the subscription. テナントの構成によっては、アプリケーションを登録するには、"グローバル管理者" ディレクトリ ロールのメンバーである必要もあります。Depending on the configuration of your tenant, you may also need to be a member of the "Global Admininstrator" directory role to register an application. 制限付きのアカウントを使用してテストすることをお勧めします。We recommend testing with a restricted account. アカウントには、必要な SCC エンドポイントにアクセスするための適切な権限のみがあることを確認します。Be sure the account only has rights to access the necessary SCC endpoints. コマンドラインを通じて渡されたクリア テキスト パスワードは、ログ システムによって収集することができます。Cleartext passwords passed via commandline may be collected by logging systems.

  1. Register an app with Azure AD, Register a new application」(Azure AD によるアプリの登録、新しいアプリケーションの登録) のセクションに示されている手順を行います。Follow the steps in Register an app with Azure AD, Register a new application section. テスト目的のため、ガイドの手順を進めるときに、指定されたプロパティに次の値を使用します。For testing purposes, use the following values for the given properties as you go through the guide steps:

    • [サポートされているアカウントの種類] - [この組織ディレクトリのみに含まれるアカウント] を選択します。Supported Account Types - Select "Accounts in this organizational directory only."
    • [リダイレクト URI] - リダイレクト URI の種類を [パブリック クライアント (モバイルとデスクトップ)] に設定します。Redirect URI - Set the redirect URI type to "Public client (mobile & desktop)." アプリケーションで Microsoft 認証ライブラリ (MSAL) を使用している場合は、http://localhost を使用します。If your application is using the Microsoft Authentication Library (MSAL), use http://localhost. それ以外の場合は、<app-name>://authorize という形式のものを使用します。Otherwise, use something in the format <app-name>://authorize.
  2. 完了すると、新しいアプリケーションを登録するため、 [登録されているアプリ] ページに戻ります。When finished, you'll be returned to the Registered app page for your new application registration. [アプリケーション (クライアント) ID] フィールド内の GUID をコピーして保存します。これはクイック スタートで必要になります。Copy and save the GUID in the Application (client) ID field, as you will need it for the Quickstarts.

  3. 次に、 [API のアクセス許可] をクリックして、クライアントがアクセスする必要がある API とアクセス許可を追加します。Then click API permissions to add the APIs and permissions to which the client will need access. [アクセス許可の追加] をクリックして、[API アクセス許可の要求] ブレードを開きます。Click Add a permission to open the "Request API permissions" blade.

  4. 次に、実行時にアプリケーションで要求される MIP API とアクセス許可を追加します。Now you'll add the MIP APIs and permissions the application will require at runtime:

    • [API を選択します] ページで、Azure Rights Management サービス をクリックします。On the Select an API page, click Azure Rights Management Services.
    • Azure Rights Management サービス の API ページで、 [委任されたアクセス許可] をクリックします。On the Azure Rights Management Services API page, click Delegated permissions.
    • [アクセス許可の選択] セクションで、user_impersonation アクセス許可をオンにします。On the Select permissions section, check the user_impersonation permission. この権限により、アプリケーションがユーザーに代わって、保護されたコンテンツの作成やアクセスを行うことが可能になります。This right allows the application to create and access protected content on behalf of a user.
    • [アクセス許可の追加] をクリックして保存します。Click Add permissions to save.
  5. 手順 4 を繰り返しますが、今回は [API の選択] ページで API を検索する必要があります。Repeat step #4, but this time when you get to the Select an API page, you'll need to search for the API.

    • [API を選択します] ページで、 [所属する組織で使用している API] をクリックした後、検索ボックスに「Microsoft Information Protection 同期サービス」と入力して、それを選択します。On the Select an API page, click APIs my organization uses then in the search box type "Microsoft Information Protection Sync Service", and select it.
    • Microsoft Information Protection 同期サービス の API ページで、 [委任されたアクセス許可] をクリックします。On the Microsoft Information Protection Sync Service API page, click Delegated permissions.
    • [UnifiedPolicy] ノードを展開し、 [UnifiedPolicy.User.Read] をオンにします。Expand the UnifiedPolicy node and check UnifiedPolicy.User.Read
    • [アクセス許可の追加] をクリックして保存します。Click Add permissions to save.
  6. [API のアクセス許可] ページに戻ったら、 [(テナント名) に管理者の同意を与えます][はい] の順にクリックします。When you're back on the API permissions page, click Grant admin consent for (Tenant Name), then Yes. この手順により、指定されたアクセス許可で API にアクセスするための事前の同意が、この登録を使用してアプリケーションに与えられます。This step gives pre-consent to the application using this registration, to access the APIs under the specified permissions. グローバル管理者としてサインインした場合は、アプリケーションを実行しているテナント内のすべてのユーザーに対して同意が記録されます。それ以外の場合は、自分のユーザー アカウントにのみ同意が適用されます。If you signed in as a global administrator, consent is recorded for all users in the tenant that run the application; otherwise, it applies only to your user account.

完了すると、アプリケーションの登録と API のアクセス許可は、次の例のようになるはずです。When finished, application registration and API permissions should look similar to the following examples:

Azure AD アプリの登録 Azure AD アプリの API のアクセス許可Azure AD app registration Azure AD app API permissions

登録に API とアクセス許可を追加する方法の詳細については、「Configure a client application to access web APIs」(Web API にアクセスするためのクライアント アプリケーションを構成する) を参照してください。For more information on adding APIs and permissions to a registration, see Configure a client application to access web APIs. ここでは、クライアント アプリケーションで必要な API とアクセス許可の追加に関する情報が見つかります。Here you'll find information on adding the APIs and permissions needed by a client application.

Information Protection Integration Agreement (IPIA) を申請するRequest an Information Protection Integration Agreement (IPIA)

MIP を使用して開発したアプリケーションをリリースする前に、Microsoft との正式契約を申請して締結する必要があります。Before you can release an application developed with MIP, you must apply for and complete a formal agreement with Microsoft.

  1. 次の情報を記載した電子メールを に送信して、IPIA を入手します。Obtain your IPIA by sending an email to with the following information:

    件名: 会社名 の IPIA 申し込みSubject: Requesting IPIA for Company Name

    電子メールの本文に、次の情報を含めます。In the body of the email, include:

    • アプリケーションと製品名Application and product name
    • 要求者の氏名First and last name of the requester
    • 要求者の電子メール アドレスEmail address of the requester
  2. IPIA 申請が受信されると、(Word 文書形式の) フォームがお客様に送信されます。Upon receipt of your IPIA request, we'll send you a form (as a Word document). IPIA の使用条件を確認し、次の情報をフォームに入力して に返送します。Review the terms and conditions of the IPIA, and return the form to with the following information:

    • 会社の正式名称Legal name of the Company
    • 法人の都道府県または国State/Province (US/Canada) or Country of Incorporation
    • 会社の URLCompany URL
    • 連絡先の電子メール アドレスEmail address of the contact person
    • (省略可能) 会社の追加住所Additional addresses of the company (optional)
    • 会社のアプリケーションの名前Name of the Company Application
    • アプリケーションの簡単な説明Brief Description of the Application
    • Azure テナント IDAzure Tenant ID
    • アプリケーションの アプリ IDApp ID for the application
    • 緊急時の会社の連絡先、電子メール アドレス、および電話番号Company contacts, email, and phone for Critical Situation Correspondence
  3. フォームが受信されると、デジタル署名を行うための最終的な IPIA リンクがお客様に送信されます。When we receive your form, we'll send you the final IPIA link to digitally sign. お客様の署名後、適切な Microsoft 担当者が署名することで、契約が締結されます。After your signing, it will be signed by the appropriate Microsoft representative, completing the agreement.

既に署名済みの IPIA がある場合Already have a signed IPIA?

署名済みの IPIA が既に存在し、リリースするアプリケーション用に新しい アプリ ID を追加する場合は、電子メールに次の情報を記載して に送信します。If you already have a signed IPIA and want to add a new App ID for an application you are releasing, send an email to and provide us with the following information:

  • 会社のアプリケーションの名前Name of the Company Application
  • アプリケーションの簡単な説明Brief Description of the Application
  • Azure テナント ID (以前と同じ場合でも記載)Azure Tenant ID (even if the same one as before)
  • アプリケーションのアプリ IDApp ID for the application
  • 緊急時の会社の連絡先、電子メール アドレス、および電話番号Company contacts, email, and phone for Critical Situation Correspondence

電子メールの送信時には、受領の確認には最大で 72 時間かかることをご了承ください。Upon the sending of the email, allow up to 72 hours for an acknowledgment of the receipt.

アプリに必要なランタイムがあることを確認するEnsure your app has the required runtime


この手順は、Visual Studio のないマシンにアプリケーションをデプロイする場合や、Visual Studio のインストールに Visual C++ ランタイム コンポーネントが含まれていない場合にのみ必要です。This step is necessary only if deploying the application to a machine without Visual Studio, or if the Visual Studio installation lacks the Visual C++ Runtime components.

MIP SDK でビルドされたアプリケーションに Visual C++ 2015 または Visual C++ 2017 のランタイムがない場合は、インストールする必要があります。Applications built with the MIP SDK require the Visual C++ 2015 or Visual C++ 2017 runtime to be installed, if not already present.

これらは、アプリケーションがリリースとしてビルドされている場合にのみ機能します。These will only work if the application has been built as Release. アプリケーションがデバッグとしてビルドされている場合、Visual C++ ランタイム デバッグ DLL をアプリケーションに含めるか、マシンにインストールする必要があります。If the application is built as Debug, then the Visual C++ runtime debug DLLs must be included with the application or installed on the machine.

次のステップNext Steps