分類、ラベル付け、保護に関する AIP のデプロイ ロードマップ

Note

Microsoft Purview Information Protection をお探しですか? (以前の Microsoft Information Protection (MIP))

Azure Information Protection アドインは廃止され、Microsoft 365 アプリとサービスに組み込まれているラベルに置き換えられています。 詳細については、「他の Azure Information Protection コンポーネントのサポート状況」を参照してください。

新しい Microsoft Information Protection クライアント (アドインなし) は現在プレビュー段階であり、一般提供が予定されています。

データの分類、ラベル付け、保護を行う場合、組織に対して Azure Information Protection を準備、実装、管理するための推奨事項として、以下の手順を使用してください。

このロードマップは、サポート サブスクリプションをお持ちのお客様に推奨されます。 機密情報の検出や、分類を目的としたドキュメントと電子メールのラベル付けなどの機能が追加されています。

ラベルは、保護にも適用可能であるため、ユーザーが実行する手順を簡略化することができます。

ヒント

または、次のいずれかの記事を検索することもできます。

• データ保護のみの AIP ロードマップ
• Azure Information Protection を使用する一般的なシナリオに関する攻略ガイド
• Azure Information Protection リリース ロードマップ

デプロイ プロセス

次の手順を実行します。

1. サブスクリプションを確認し、ユーザー ライセンスを割り当てる
2. テナントでの Azure Information Protection の使用準備
3. 分類とラベル付けを構成して展開する
4. データ保護の準備をする
5. データ保護のためにラベルと設定、アプリケーション、サービスを構成する
6. データ保護ソリューションの使用と監視
7. 必要に応じたテナント アカウントの保護サービスの管理

ヒント

Azure Information Protection の保護機能を既に使用していますか？ これらの手順の多くを省略し、手順 3 と 5.1 だけ実行することもできます。

サブスクリプションを確認し、ユーザー ライセンスを割り当てる

必要な機能を含むサブスクリプションが組織にあることを確認します。 詳細については、セキュリティに関する Microsoft 365 ライセンス ガイダンス&コンプライアンスページを参照してください。

次に、ドキュメントや電子メールを分類、ラベル付け、保護する組織内の各ユーザーに、このサブスクリプションのライセンスを割り当てます。

重要

ユーザー ライセンスを無料の個人用 RMS サブスクリプションから手動で割り当てることや、このライセンスを組織の Azure Rights Management サービスの管理目的で使用することはしないでください。

これらのライセンスは、Microsoft 365 管理センターに Rights Management Adhoc として表示され、Azure AD PowerShell コマンドレット Get-MsolAccountSku を実行したときは RIGHTSMANAGEMENT_ADHOC となります。

詳細については、「個人用 RMS と Azure Information Protection」を参照してください。

Note

Azure AD および MSOnline PowerShell モジュールは、2024 年 3 月 30 日の時点で非推奨となります。 詳細については、非推奨の最新情報を参照してください。 この日以降、これらのモジュールのサポートは、Microsoft Graph PowerShell SDK への移行支援とセキュリティ修正プログラムに限定されます。 非推奨になるモジュールは、2025 年 3 月 30 日まで引き続き機能します。

Microsoft Entra ID (旧称 Azure AD) を使用するには、Microsoft Graph PowerShell に移行することをお勧めします。 移行に関する一般的な質問については、「移行に関する FAQ」を参照してください。 注: バージョン 1.0.x の MSOnline では、2024 年 6 月 30 日以降に中断が発生する可能性があります。

テナントでの Azure Information Protection の使用準備

Azure Information Protection の使用を開始する前に、AIP がユーザーの認証と承認に使用できるユーザー アカウントとグループが Microsoft 365 または Microsoft Entra ID にあることを確認してください。

必要に応じて、これらのアカウントとグループを作成するか、またはオンプレミスのディレクトリからそれらを同期します。

詳細については、「Azure Information Protection 向けのユーザーとグループの準備」を参照してください。

分類とラベル付けを構成して展開する

次の手順を実行します。

1. ファイルをスキャンする (省略可能ですが推奨)

   Azure Information Protection クライアントをデプロイし、スキャナーをインストールおよび実行してローカル データ ストアにどのような機密情報があるかを検出します。

   スキャナーが検索する情報は、分類の分類に役立ち、必要なラベル、保護する必要があるファイルに関する貴重な情報を提供します。

   スキャナー検出モードでは、ラベルの構成や分類は要求されません。そのため、デプロイのこの初期段階に適しています。 推奨または自動ラベル付けを構成するまで、このスキャナー構成を次のデプロイ手順と並行して使用することもできます。

2. 既定の AIP ポリシーをカスタマイズします。

   分類戦略がまだない場合は、データに必要なラベルを決定するための基礎として既定のポリシーを使用します。 これらのラベルを必要に応じてカスタマイズしてニーズに対応します。

   たとえば、次の詳細を使用してラベルを再構成できます。

   • ラベルは分類に関する決定事項をサポートするようにします。
   • ユーザーによる手動のラベル付け用のポリシーを構成する
   • 各シナリオでどのラベルを適用するかを説明するのに役立つユーザー ガイダンスを記述します。
   • 自動的に保護を適用するラベルで既定のポリシーが作成されている場合は、設定のテスト中、保護設定を一時的に削除するか、ラベルを無効化することができます。

   統合ラベル付けクライアントの機密ラベルとラベル付けポリシーは、Microsoft Purview コンプライアンス ポータルで構成されます。 詳細については、「秘密度ラベルの詳細」を参照してください。

3. ユーザー用にクライアントをデプロイする

   ポリシーを構成したら、ユーザー用に Azure Information Protection クライアントをデプロイします。 ユーザー トレーニングとラベルの選択に関する指示を提供します。

   詳細については、統合ラベル付けクライアント管理者ガイドを参照してください。

4. より高度な構成を導入する

   ユーザーがドキュメントや電子メールでラベルに慣れるまで待ちます。 準備ができたら、次のような高度な構成を導入します。

   • 既定のラベルを応用する
   • 下位分類レベルのラベルの選択やラベルの削除を行う場合に理由の入力をユーザーに求める
   • すべての文書や電子メールにラベルを付けるように要求する
   • ヘッダー、フッター、透かしをカスタマイズする
   • 推奨または自動ラベル付け

   詳細については、管理者ガイドのカスタム構成に関するページを参照してください。

   ヒント

   自動ラベル付け用のラベルを構成した後は、ローカル データ ストアで Azure Information Protection スキャナーを検索モードで再度実行して、ポリシーに適合させます。

   検出モードでスキャナーを実行すると、ファイルにどのラベルが適用されるかわかります。これにより、ラベルの構成を微調整でき、ファイルを一括で分類および保護するための準備が整います。

データ保護の準備をする

ユーザーがドキュメントや電子メールでのラベル付けに慣れたら、最も機密性の高いデータに対するデータ保護を導入します。

データ保護を準備するには、次の手順を実行します。

1. テナント キーの管理方法を決定する。

   Microsoft がテナント キー (既定) を管理するか、テナント キーを自分で生成して管理する (Bring Your Own Key または BYOK と呼ばれます) かを決定します。

   詳細情報および追加的なオンプレミス保護のオプションについては、「Azure Information Protection テナント キーを計画して実装する」を参照してください。

2. AIP 用 PowerShell をインストールする。

   インターネットにアクセスできる 1 つ以上のコンピューターに AIPService 向けの PowerShell モジュールをインストールします。 この手順は、今実行することも後で実行することもできます。

   詳細については、「AIPService PowerShell モジュールのインストール」を参照してください。

3. AD RMS のみ: キー、テンプレート、URL をクラウドに移行します。

   現在、AD RMS を使用している場合は、キー、テンプレート、URL をクラウドに移行する統合を実行します。

   詳細については、「AD RMS から Azure Information Protection への移行」を参照してください。

4. 保護をアクティブにする。

   ドキュメントとメールの保護を開始できるよう、保護サービスがアクティブになっていることを確認します。 複数の段階を経てデプロイする必要がある場合は、ユーザーによる保護の適用を制限するユーザー オンボーディング コントロールを構成します。

   詳細については、「Azure Information Protection からの保護サービスのアクティブ化」を参照してください。

5. 使用状況ログの記録を検討する (省略可能)。

   組織での保護サービスの使用方法を監視できるようにするための使用状況ログの記録を検討します。 この手順は、今実行することも後で実行することもできます。

   詳しくは、「Azure Information Protection から保護の使用状況のログを取得して分析する」をご覧ください。

データ保護のためにラベルと設定、アプリケーション、サービスを構成する

次の手順を実行します。

1. 保護を適用するようにラベルを更新する

   詳細については、「秘密度ラベルを使用してコンテンツへのアクセスを制限する」を参照してください。

   重要

   Exchange が Information Rights Management (IRM) 用に構成されていない場合でも、ユーザーは Outlook で Rights Management による保護を適用するラベルを適用できます。

   ただし、IRM または Microsoft 365 Message Encryption と新機能に適するように Exchange が構成されるまで、組織は Exchange で Azure Rights Management による保護を使用するすべての機能を利用できません。 この追加の構成は、次の一覧に含まれています (Exchange Online の場合は 2、Exchange オンプレミスの場合は 5)。

2. Office アプリケーションおよびサービスの構成

   Microsoft SharePoint または Exchange Online の Information Rights Management (IRM) 機能のために Office のアプリケーションとサービスを構成します。

   詳細については、「Azure Rights Management 用のアプリケーションの構成」を参照してください。

3. データ回復用のスーパー ユーザー機能の構成

   データ漏洩防止 (DLP) ソリューション、コンテンツ暗号化ゲートウェイ (CEG)、マルウェア対策製品などの既存の IT サービスが、Azure Information Protection によって保護されるファイルを検査する必要があるある場合、Azure Rights Management のスーパー ユーザーとなるようにサービス アカウントを構成します。

   詳細については、「Azure Information Protection および探索サービスまたはデータの回復用のスーパー ユーザーの構成」をご覧ください。

4. 既存のファイルを一括で分類して保護する

   オンプレミスのデータ ストアの場合は、ファイルに自動的に ラベルが付けることができるように、Azure Information Protection スキャナー を強制モードで実行します。

   PC 上のファイルに対しては、PowerShell コマンドレットを使用してファイルを分類して保護します。 詳しくは、Azure Information Protection 統合クライアントでの PowerShell の使用に関するページを参照してください。

   クラウドベースのデータ ストアの場合は、Microsoft Defender for Cloud Apps を使用します。

   ヒント

   既存のファイルを一括で分類して保護することは、クラウド アプリ セキュリティの主なユースケースの 1 つではありませんが、ドキュメントに記載されている回避策は、ファイルの分類と保護に役立つことがあります。

5. SharePoint Server 上の IRM で保護されたライブラリ用のコネクタと、Exchange オンプレミス用の IRM で保護された電子メールを展開する

   オンプレミスの SharePoint と Exchange があり、その Information Rights Management (IRM) 機能を使用する場合は、Rights Management コネクタをインストールして構成します。

   詳細については、「Microsoft Rights Management コネクタの展開」を参照してください。

データ保護ソリューションの使用と監視

これで、構成したラベルを組織がどのように使用しているかを監視して、機密情報を保護していることを確認する準備ができました。

詳細については、次のページを参照してください。

• Azure Information Protection の集中レポート - 現在プレビュー段階
• Azure Information Protection による保護の使用状況のログと分析

必要に応じたテナント アカウントの保護サービスの管理

保護サービスの使用を開始すると、管理上の変更のスクリプト作成や自動化に PowerShell が役立つ場合があります。 さらに、一部の高度な構成では、PowerShell が必要になることもあります。

詳細については、「PowerShell を使用して Azure Information Protection による保護を管理する」を参照してください。

次のステップ

Azure Information Protection をデプロイする際は、よく寄せられる質問や、既知の問題、その他のリソースに関する情報とサポートのページを確認すると、有益な情報が得られるかもしれません。