チュートリアル:Azure Information Protection ポリシーの設定を構成して新しいラベルを作成する

  • [アーティクル]

このチュートリアルでは、以下を実行する方法について説明します。

  • ポリシー設定を構成する
  • 新しいラベルの作成
  • 視覚的なマーキング、推奨される分類、および保護用のラベルを構成する
  • 設定とラベルの動作を確認する

この構成を行うと、ユーザーは新しいドキュメントまたは電子メールを作成するときに既定のラベルが適用されることを確認できます。 ただし、クレジット カード情報が検出された場合は、新しいラベルを適用するように求められます。 新しいラベルが適用されると、コンテンツは、対応するフッターと透かしと共に再分類され、保護されます。

このチュートリアルを完了するための所要時間は約 15 分です。

AIP クラシック クライアントをデプロイするには、サポート チケットを作成してダウンロードへのアクセスを取得します。

前提条件

このチュートリアルを完了するための必要条件を次に示します。

  1. Azure Information Protection プラン 2 を含むサブスクリプション。

    Azure Information Protection プラン 2 を含むサブスクリプションを持っていない場合は、組織用の無料アカウントを作成できます。

  2. Azure portal に [Azure Information Protection] ペインが追加され、保護サービスがアクティブ化されており、Azure Information Protection のグローバル ポリシーに 1 つ以上のラベルが公開されている。

    これらの手順については、「クイック スタート:Azure portal で Azure Information Protection の使用を開始する」を参照してください。

  3. ご利用の Windows コンピューター (Windows 7 Service Pack 1 以降) にインストールされている Azure Information Protection クラシック クライアント。

  4. 次のいずれかのカテゴリから Office アプリにサインインしている。

    • Office アプリ。更新チャネルによる Microsoft 365 アプリにサポートされている表に記載されているバージョンについては、ユーザーに Azure Rights Management (Azure Information Protection for Office 365 ともいう) のライセンスが割り当てられている場合は、Microsoft 365 Apps for Business または Microsoft 365 Business Premium の Office アプリの最小バージョン 1805、ビルド 9330.2078

    • Microsoft 365 Apps for enterprise

    • Office Professional Plus 2019

    • Office Professional Plus 2016

    • Office Professional Plus 2013 Service Pack 1

    • Office Professional Plus 2010 Service Pack 2

ヒント

Azure Information Protection を使用するための必要条件の完全な一覧については、「Azure Information Protection の要件」をご覧ください。

では、始めましょう。 「Azure Information Protection ポリシーを編集する」に進みます。

Azure Information Protection ポリシーを編集する

Azure portal を使用して、最初にいくつかのポリシー設定を変更した後、新しいラベルを作成します。

ポリシー設定を編集する

  1. 新しいブラウザー ウィンドウを開き、全体管理者として Azure portal にサインインします。次に、 [Azure Information Protection] に移動します。

    たとえば、リソース、サービス、ドキュメントの検索ボックスで次のようにします: 「Information」と入力し、 [Azure Information Protection] を選択します。

    グローバル管理者でない場合は、次のリンクを使用して別のロールにします:「Azure portal にサインインする

  2. [分類]>[ポリシー]>[グローバル] を選択して、 [ポリシー:グローバル] ペインを開きます。

  3. [表示する設定を構成して、Information Protection のエンド ユーザーに適用する] セクションで、ラベルの後にポリシー設定があるのを見つけます。

    設定が現在どのように構成されているかをメモしておきます。 具体的には、 [既定のラベルの選択] 設定と [分類ラベルを低くする、ラベルを削除する、保護を削除する場合、ユーザーは理由を提供する必要があります] 設定です。 次に例を示します。

    Azure Information Protection tutorial - policy settings to change

    チュートリアルの後半でこれらのポリシー設定を使用し、その動作を確認します。

  4. [既定のラベルを選択] に対して、いずれかのラベル ( [全般] など) を選択します。

    [全般] ラベルは、Azure Information Protection によって自動的に作成される既定のラベルの 1 つです。 この手順は、Azure portal に Azure Information Protection を追加するクイック スタートの「ラベルの作成と公開」セクションで説明されています。

  5. [分類ラベルを低くする、ラベルを削除する、保護を削除する場合、ユーザーは理由を提供する必要があります] オプションが [オン] になっていない場合は、 [オン] に設定します。

  6. さらに、 [Office アプリの Information Protection バーを表示します][オン] になっていることを確認します。

  7. [保存] を選択し (この [ポリシー:グローバル] ペイン上)、操作を確認するメッセージが表示されたら [OK] を選択します。 このペインを閉じます。

保護用の新しいラベル、視覚的なマーカー、および分類を求めるための条件を作成する

ここでは、社外秘に新しいサブラベルを作成します。

  1. [分類]>[ラベル] メニュー オプションから: [社外秘] ラベルを右クリックし、 [サブラベルの追加] を選択します。

    [社外秘] という名前のラベルがない場合は、代わりに別のラベルを選択するか新しいラベルを作成しても、わずかな違いでチュートリアルを続行することができます。

  2. [サブラベル] ペインで、 [財務] のラベル名を指定し、従業員のみに制限される財務情報が含まれる機密データという説明を追加します。

    このテキストは、選択したラベルがどのような使用目的であるかを示しており、ユーザーに対してはツールヒントとして表示され、ユーザーがどのラベルを選択するかを決定するのに役立ちます。

  3. [このラベルを含むドキュメントやメールに対するアクセス許可の設定] に対して、 [保護] を選択します。これにより、 [保護] オプションを選択することで自動的に [保護] ペインが開きます。

    Configuring an Azure Information Protection label for protection

  4. [保護] ペインで、 [Azure (クラウド キー)] が選択されていることを確認します。 このオプションが選択されていると、Azure Rights Management サービスによって文書と電子メールが保護されます。 また、 [アクセス許可の設定] オプションが選択されていることを確認します。 次に、 [アクセス許可の追加] を選択します。

  5. [アクセス許可の追加] ペインで、[<組織名> の追加 - すべてのメンバー] を選択します。 たとえば、組織名が VanArsdel Ltd の場合、次のようなオプションが表示されます。

    Granting all members protection permissions for an Azure Information Protection label

    このオプションは、アクセス許可を付与できる組織内のすべてのユーザーを自動的に選択します。 ただし、他のオプションでテナントからグループまたはユーザーを検索して参照することができます。 または、 [詳細の入力] オプションを選択すると、個別のメール アドレスや、別の組織のすべてのユーザーも指定することができます。

  6. アクセス許可に対し、プリセット オプションから [レビュー担当者] を選択します。 このアクセス許可レベルが全部のアクセス許可ではなく一部のアクセス許可を自動的に付与することがわかります。

    Granting Co-Author protection permissions for an Azure Information Protection label

    [カスタム] オプションを使って、異なるアクセス許可レベルを選択したり、個々の使用権限を指定したりできます。 ただし、このチュートリアルでは、 [レビュー担当者] オプションのままにします。 後で別のアクセス許可を調べて、指定したユーザーが保護されたドキュメントまたはメールでできることを制限する方法を確認してください。

  7. [OK] をクリックして [アクセス許可の追加] ペインを閉じると、 [保護] ペインが構成を反映するように更新されます。 次に例を示します。

    Protection pane showing the permissions configuration for an Azure Information Protection label

    [アクセス許可の追加] を選択すると、このアクションによって [アクセス許可の追加] ペインが再び開き、さらにユーザーを追加して、別のアクセス許可を付与できます。 たとえば、特定のグループに表示アクセスだけを付与します。 このチュートリアルでは、すべてのユーザーに 1 つのアクセス許可セットのままにします。

  8. コンテンツの有効期限とオフライン アクセスを確認して既定値のままにし、 [OK] をクリックして保存して、 [保護] ペインを閉じます。

  9. [サブラベル] ペインに戻り、 [視覚的なマーキングの設定] セクションを見つけます。

    [このラベルが付いたドキュメントにはフッターをつける] 設定で、 [オン] をクリックし、 [テキスト] ボックスに「Classified as Confidential」と入力します。

    [Documents with this label have a watermark] (このラベルのあるドキュメントに透かしを付ける) 設定では、 [On] (オン) をクリックし、 [Text] (テキスト) ボックスに組織の名前を入力します。 たとえば、「VanArsdel, Ltd」と入力します。

    これらの視覚的なマーカーの外観を変更できますが、ここでは設定は既定値のままにしておきます。

  10. [Configure conditions for automatically applying this label] (このラベルに自動的に適用する条件を構成する) セクションを見つけます。

    [新しい条件の追加] をクリックし、 [条件] ペインで次のように選択します。

    a. [条件のタイプを選択] :既定値の [情報の種類] のままにします。

    b. [業種の選択] :既定値の [すべて] のままにします。

    c. [情報の種類を選択] 検索ボックス:「クレジット カード番号」と入力します。 検索結果から [クレジット カード番号] を選択します。

    d. [Minimum number of occurrences]\(最小出現回数\) :既定値の 1 のままにしておきます。

    e. [Count occurrences with unique values only]\(一意の値のみを持つ出現回数のカウント\) :既定値の [Off] (オフ) のままにしておきます。

    Azure Information Protection tutorial - configure credit card condition

    [保存] をクリックして [サブラベル] ペインに戻ります。

  11. [サブラベル] ウィンドウでは、以下のように、[条件名][クレジット カード番号] と表示され、[出現回数]1 が設定されています。

    Azure Information Protection tutorial - summary of credit card condition

  12. [このラベルの適用方法を選択] :既定値の [推奨] のままにします。既定のポリシー ヒントは変更しないでください。

  13. [管理者向けのメモを追加します] ボックスに、「For testing purposes only」(テスト目的のみ) と入力します。

  14. [サブラベル] ペインで [保存] をクリックします。 確認するメッセージが表示されたら、 [OK] をクリックします。 新しいラベルが作成され、保存されますが、まだポリシーには追加されていません。

  15. [分類]>[ポリシー] メニュー オプションから: [グローバル] をもう一度選択し、ラベルの横にある [ラベルの追加または削除] リンクを選択します。

  16. [ポリシー: ラベルの追加または削除] ペインから、作成したラベルを選択し、 [財務] というサブラベルを選択して [OK] をクリックします。

  17. [ポリシー: グローバル] ペインにグローバル ポリシーの新しいサブラベルが表示されます。このサブラベルは、視覚的なマーキングと保護のために構成されています。 次に例を示します。

    Azure Information Protection tutorial - new sublabel

    設定が既定のラベルと理由に関しても構成されていることが確認できます。

    Azure Information Protection tutorial - settings configured

  18. [保存] をクリックします (この [ポリシー:グローバル] ペイン上)。 この操作を確認するメッセージが表示されたら、 [OK] をクリックします。

Azure portal を閉じても、または開いたままでこのチュートリアルを完了した後にその他の構成オプションを試してみてもかまいません。

変更の結果を試す準備が整いました。

分類、ラベル付け、保護の動作を確認する

ポリシーに加えた変更と新しく作成したラベルは、Word、Excel、PowerPoint、および Outlook に適用されます。 ただしこのチュートリアルでは、Word を使用してそれらの動作を確認します。

Word で新しいドキュメントを開きます。 Azure Information Protection クライアントがインストールされているため、次のように表示されます。

Azure Information Protection tutorial - client installed

  • [ホーム] タブの [保護] グループと [保護] ボタン。

    [保護]>[ヘルプとフィードバック] の順にクリックして、 [Microsoft Azure Information Protection] ダイアログ ボックスでクライアントのステータスを確認します。 [接続ユーザー] とユーザー名が表示されているはずです。 さらに、最終接続日時と Information Protection ポリシーのダウンロード日時も表示されているはずです。 表示されているユーザー名がテナントの正しいものであることを確認します。

  • リボンの下の新しい Information Protection バー。 [秘密度] というタイトルと、Azure Portal で確認したラベルが表示されます。

既定のラベルを手動で変更するには

  1. Information Protection バーの最後のラベルを選択すると、次のように、表示されるサブラベルが示されます。

    Azure Information Protection tutorial - see sublabels

  2. これらのサブラベルのいずれかを選択すると、バーには他のラベルは表示されなくなり、このドキュメントに対して選択したラベルが表示されるようになります。 [秘密度] の値が変わってラベル名とサブラベル名が表示され、それに応じて、次のようにラベルの色も変わります。 次に例を示します。

    Azure Information Protection tutorial - sublabel selected

  3. Information Protection バーで、現在選択しているラベルの値の横にある [ラベルの編集] アイコンをクリックします。

    Azure Information Protection tutorial - Edit Label icon

    この操作によって、使用できるラベルが再び表示されます。

  4. 最初のラベルの [個人] を選択します。 このドキュメントに対して、前に選択したラベルよりも低い分類のラベルを選択したため、次のように分類レベルを下げる理由の入力を求められます。

    Azure Information Protection tutorial - prompt to confirm why lowering

    [The previous label no longer applies] (前のラベルが適合しなくなった) を選択して、 [確認] をクリックします。 [秘密度] の値が [個人] に変わり、他のラベルは再び非表示になります。

分類を完全に削除するには

  1. Information Protection バーで、 [ラベルの編集] アイコンを再度クリックします。 ここでは、いずれかのラベルを選択するのではなく、 [ラベルの削除] アイコンをクリックします。

    Azure Information Protection tutorial - Delete Icon

  2. プロンプトが表示されたら、"このドキュメントでは分類は不要" などと入力し、 [確認] をクリックします。

    [秘密度] の値が [未設定] に変わります。ポリシー設定として既定のラベルを設定していない場合も、最初は新しいドキュメントでこのように表示されます。

ラベル付けの推奨プロンプトと自動保護を確認するには

  1. Word 文書で、有効なクレジット カード番号 (例:4242-4242-4242-4242) を入力します。

  2. 任意のファイル名でローカルにドキュメントを保存します。

  3. クレジット カード番号が検出されたときの保護用に構成したラベルを適用するためのプロンプトが表示されます。 推奨事項に同意しない場合は、ポリシー設定によって、 [無視] を選択して拒否できます。 推奨事項を表示するが、ユーザーが設定をオーバーライドできるようにすることは、自動分類を使用する場合の誤検知を削減するのに役立ちます。 このチュートリアルでは、 [今すぐ変更] をクリックします。

    Azure Information Protection tutorial - recommend prompt

    構成済みのラベルが文書に適用されていることが表示されるようになった (たとえば、社外秘\財務) ことに加えて、ページ全体に組織名の透かしが表示され、社外秘として分類というフッターも適用されます。

    また、文書はこのラベルに指定したアクセス許可で保護されます。 文書が保護されていることは、 [ファイル] タブをクリックして [文書の保護] の情報を見ると確認できます。 文書が社外秘\財務およびラベルの説明によって保護されていることがわかります。

    ラベルの保護構成のため、従業員のみが文書を開くことができ、一部のアクションは従業員に対して制限されます。 たとえば、印刷およびコンテンツのコピーと抽出のアクセス許可がないため、文書を印刷したりコピーしたりすることはできません。 このような制限は、データの損失を防ぐのに役立ちます。 ドキュメントの所有者は、ドキュメントを印刷したりコピーしたりできます。 ただし、組織内の他のユーザーに電子メールでドキュメントを送信しても、他のユーザーはこれらの操作を実行できません。

  4. もうこのドキュメントを閉じてもかまいません。

リソースをクリーンアップする

このチュートリアルで行った変更を保持したくない場合は、次の操作を行います。

  1. [分類]>[ポリシー]>[グローバル] を選択して、 [ポリシー:グローバル] ペインを開きます。

  2. ポリシー設定をメモしておいた元の値に戻した後、 [保存] を選択します。

  3. [分類]>[ラベル] メニュー オプションから: [Azure Information Protection - ラベル] ペインで、作成した [財務] ラベルのコンテキスト メニュー [...] を選択します。

  4. [このラベルを削除] を選択し、確認を求められたら [OK] を選択します。

Word を再起動してこれらの変更をダウンロードします。

次のステップ

Azure Information Protection ポリシーの編集について詳しくは、「Azure Information Protection ポリシーの構成」をご覧ください。

ラベル付けアクティビティのログが記録されている場所について詳しくは、「Azure Information Protection クライアントの使用状況ログ」をご覧ください。