秘密度ラベルを使用して暗号化を適用してコンテンツへのアクセスを制限するRestrict access to content by using sensitivity labels to apply encryption

セキュリティとコンプライアンスのための Microsoft 365 ライセンス ガイダンスMicrosoft 365 licensing guidance for security & compliance.

機密ラベルを作成するときに、そのラベルが適用されるコンテンツへのアクセスを制限できます。たとえば、機密ラベルに対応する暗号化の設定によって、次のようにコンテンツを保護できます。When you create a sensitivity label, you can restrict access to content that the label will be applied to. For example, with the encryption settings for a sensitivity label, you can protect content so that:

  • 組織内のユーザーのみが機密ドキュメントや電子メールを開けるようにする。Only users within your organization can open a confidential document or email.
  • 宣伝広告用のドキュメントや電子メールは、マーケティング部門のユーザーのみが編集および印刷できるようにして、その他の組織内のユーザーは閲覧のみできるようにする。Only users in the marketing department can edit and print the promotion announcement document or email, while all other users in your organization can only read it.
  • 内部の再編成に関するニュースが含まれている電子メールは、ユーザーが転送や情報のコピーをできないようにする。Users cannot forward an email or copy information from it that contains news about an internal reorganization.
  • ビジネス パートナーに送信する現行の価格リストは、指定した日付以降は開けないようにする。The current price list that is sent to business partners cannot be opened after a specified date.

ドキュメントや電子メールを暗号化するときには、次のようにしてコンテンツへのアクセスが制限されます。When a document or email is encrypted, access to the content is restricted, so that it:

  • 暗号化の解除は、ラベルの暗号化設定で許可されているユーザーのみが可能です。Can be decrypted only by users authorized by the label's encryption settings.
  • 暗号化は、ファイルの場所 (組織内外) を問わず、ファイル名が変更されていても維持されます。Remains encrypted no matter where it resides, inside or outside your organization, even if the file's renamed.
  • 保存中 (OneDrive アカウントなど) と転送中 (インターネットを行き来するメールなど) の両方で暗号化されています。Is encrypted both at rest (for example, in a OneDrive account) and in transit (for example, email as it traverses the internet).

最後に、管理者は、暗号化に適用する秘密度ラベルを構成するときに、次のいずれかを選択できます。Finally, as an admin, when you configure a sensitivity label to apply encryption, you can choose either to:

  • アクセス許可を割り当てます。これにより、どのユーザーがそのラベルのコンテンツにどのアクセス許可を取得するかを正確に決定します。Assign permissions now, so that you determine exactly which users get which permissions to content with that label.
  • ラベルをコンテンツに適用するときに、ユーザーがアクセス許可を割り当てる ことができます。Let users assign permissions when they apply the label to content. このようにして、組織内のユーザーに、共同作業を行って作業を完了するために必要な柔軟性を与えることができます。This way, you can allow people in your organization some flexibility that they might need to collaborate and get their work done.

暗号化の設定は、Microsoft 365 コンプライアンス センターで秘密度ラベルを作成するときに使用できます。The encryption settings are available when you create a sensitivity label in the Microsoft 365 compliance center. または以前のポータルであるセキュリティ/コンプライアンス センターを使用することもできます。You can also use the older portal, the Security & Compliance Center.

暗号化のしくみを理解するUnderstand how the encryption works

暗号化では、Azure Information Protection の Azure Rights Management サービス (Azure RMS) が使用されます。Encryption uses the Azure Rights Management service (Azure RMS) from Azure Information Protection. この保護ソリューションでは、暗号化ポリシー、ID ポリシー、および認識ポリシーが使用されます。This protection solution uses encryption, identity, and authorization policies. 詳細については、 Azure Information Protection ドキュメントの「Azure Rights Management とは」を参照してください。To learn more, see What is Azure Rights Management? from the Azure Information Protection documentation.

暗号化ソリューションを使用すると、スーパー ユーザー 機能により、認証されたユーザーとサービスが、組織のために暗号化されたデータの閲覧と検査を常に行えるようにできます。When you use this encryption solution, the super user feature ensures that authorized people and services can always read and inspect the data that has been encrypted for your organization. 必要に応じて、暗号化を削除または変更することができます。If necessary, the encryption can then be removed or changed. 詳細については、「Azure Information Protection および検索サービスまたはデータ回復用のスーパー ユーザーの構成」を参照してください。For more information, see Configuring super users for Azure Information Protection and discovery services or data recovery.

暗号化のラベルを構成する方法How to configure a label for encryption

  1. 一般的な手順に従って、機密度ラベルを作成または編集し、ラベルのスコープとして [ファイルとメール] が選択されていることを確認します。Follow the general instructions to create or edit a sensitivity label and make sure Files & emails is selected for the label's scope:

    ファイルとメールの機密度ラベルス コープ オプション

  2. 次に、[ファイルとメールの保護設定の選択] ページで、[ファイルとメールの暗号化] を選択していることを確認します。Then, on the Choose protection settings for files and emails page, make sure you select Encrypt files and emails

    ファイルとメールの機密度ラベル保護オプション

  3. ウィザードの [暗号化] ページで、次のいずれかのオプションを選択します。On the Encryption page of the wizard, select one of the following options:

    • ファイルが暗号化されている場合は暗号化を削除する: このシナリオの詳細については、「ラベルが適用された場合の既存の暗号化への影響」セクションを参照してください。Remove encryption if the file is encrypted: For more information about this scenario, see the What happens to existing encryption when a label's applied section. この設定により、ユーザーが十分な権限を持っていない場合に適用できない機密度ラベルが作成される可能性があることを理解することが重要です。It's important to understand that this setting can result in a sensitivity label that users might not be able to apply when they don't have sufficient permissions.

    • 暗号化設定の構成: 暗号化をオンにして、暗号化設定を表示します。Configure encryption settings: Turns on encryption and makes the encryption settings visible:

      暗号化用の秘密度ラベルのオプション

      これらの設定の手順は、次の「暗号化設定の構成」セクションにあります。Instructions for these settings are in the following Configure encryption settings section.

ラベルが適用された場合の既存の暗号化への影響What happens to existing encryption when a label's applied

暗号化されていないコンテンツに秘密度ラベルを適用する場合、選択可能な暗号化オプションを適用した場合の結果は、オプションの名前通りのものとなります。If a sensitivity label is applied to unencrypted content, the outcome of the encryption options you can select is self-explanatory. たとえば、[ファイルとメールを暗号化する] を選択しなかった場合、コンテンツは暗号化されません。For example, if you didn't select Encrypt files and emails, the content remains unencrypted.

ただし、コンテンツが既に暗号化されている場合があります。However, the content might be already encrypted. たとえば、別のユーザーにより次のようなアクセス許可などが適用されている場合があります。For example, another user might have applied:

  • ラベルにより求められた際にユーザーが定義したアクセス許可などのユーザー自身のアクセス許可、Azure Information Protection クライアントによるカスタムのアクセス許可、および Office アプリ内での アクセス制限 によるドキュメントの保護。Their own permissions, which include user-defined permissions when prompted by a label, custom permissions by the Azure Information Protection client, and the Restricted Access document protection from within an Office app.
  • ラベルとは別にコンテンツの暗号化を行う、Azure Rights Management の保護テンプレート。An Azure Rights Management protection template that encrypts the content independently from a label. このカテゴリには、権限の保護を使用して暗号化を適用する、メール フロー ルールが含まれます。This category includes mail flow rules that apply encryption by using rights protection.
  • 管理者によって割り当てられているアクセス許可を使用して暗号化を適用するラベル。A label that applies encryption with permissions assigned by the administrator.

そのコンテンツに秘密度ラベルが適用された際の既存の暗号への影響を次の表に示します:The following table identifies what happens to existing encryption when a sensitivity label is applied to that content:

暗号化: 選択されていないEncryption: Not selected 暗号化: 構成されているEncryption: Configured 暗号化: 削除Encryption: Remove
ユーザーによって指定されたアクセス許可Permissions specified by a user 元の暗号化が維持されますOriginal encryption is preserved 新しいラベルの暗号化が適用されますNew label encryption is applied 元の暗号化が削除されますOriginal encryption is removed
保護テンプレートProtection template 元の暗号化が維持されますOriginal encryption is preserved 新しいラベルの暗号化が適用されますNew label encryption is applied 元の暗号化が削除されますOriginal encryption is removed
管理者定義によるアクセス許可が適用されたラベルLabel with administator-defined permissions 元の暗号化が削除されますOriginal encryption is removed 新しいラベルの暗号化が適用されますNew label encryption is applied 元の暗号化が削除されますOriginal encryption is removed

新しいラベルの暗号化が適用された場合、または元の暗号化が削除された場合にそれが実際に実行されるのは、このアクションをサポートする次の使用権限または役割が、ラベルの適用を行うユーザーに付与されている場合のみです。Note that in the cases where the new label encryption is applied or the original encryption is removed, this happens only if the user applying the label has a usage right or role that supports this action:

ユーザーに上記のいずれかの権限または役割が付与されていない場合はラベルを適用することはできず、そのため元の暗号化が維持されます。If the user doesn't have one of these rights or roles, the label can't be applied and so the original encryption is preserved. ユーザーには次のメッセージが表示されます: You don't have permission to make this change to the sensitivity label. Please contact the content owner. (秘密度ラベルを変更するためのアクセス許可がありません。コンテンツの所有者に連絡してください。)The user sees the following message: You don't have permission to make this change to the sensitivity label. Please contact the content owner.

たとえば、メール メッセージに「転送不可」を適用するユーザーは、スレッドのラベルを付け直して暗号化を置き換えたり削除したりできます。これらのユーザーはすべてのメールの Rights Management 所有者であるためです。For example, the person who applies Do Not Forward to an email message can relabel the thread to replace the encryption or remove it, because they are the Rights Management owner for the email. ただし、スーパー ユーザーを除き、このメールの受信者はメールのラベルを付け直すことはできません。必要な使用権限が受信者に付与されていないためです。But with the exception of super users, recipients of this email can't relabel it because they don't have the required usage rights.

暗号化されたメール メッセージの添付ファイルEmail attachments for encrypted email messages

メール メッセージが何らかの方法で暗号化されている場合、そのメールに添付されている暗号化されていないドキュメントでは、自動的に同じ暗号化設定が継承されます。When an email message is encrypted by any method, any unencrypted Office documents that are attached to the email automatically inherit the same encryption settings.

既に暗号化されているドキュメントが添付ファイルとして追加された場合は常に、元の暗号化がそのドキュメントで維持されます。Documents that are already encrypted and then added as attachments always preserve their original encryption.

暗号化設定を構成するConfigure encryption settings

ウィザードの [暗号化] ページで [暗号化設定の構成] を選択して機密度ラベルを作成または編集する場合は、次のいずれかのオプションを選択します。When you select Configure encryption settings on the Encryption page of the wizard to create or edit a sensitivity label, choose one of the following options:

  • [Assign permissions now] (アクセス許可を今すぐ割り当てる): ラベルが適用されているコンテンツに対し、どのアクセス許可をどのユーザーに付与するかを正確に決められます。Assign permissions now, so that you can determine exactly which users get which permissions to content that has the label applied. 詳細については、次のセクション「アクセス許可を今すぐ割り当てる」を参照してください。For more information, see the next section Assign permissions now.
  • [Let users assign permissions] (アクセス許可の割り当てをユーザーに許可する): ユーザーがラベルをコンテンツに適用するときに、ユーザーがアクセス許可を割り当てることを許可します。Let users assign permissions when your users apply the label to content. このオプションを使用した場合、共同作業や業務を行う上で必要な柔軟性を組織内のユーザーに与えることができます。With this option, you can allow people in your organization some flexibility that they might need to collaborate and get their work done. 詳細については、このページのセクション「ユーザーがアクセス許可を割り当てる」を参照してください。For more information, see the Let users assign permissions section on this page.

たとえば、最も機密性の高いコンテンツに適用される「極秘」という名前の機密ラベルがある場合、そのコンテンツに対してどのタイプのアクセス許可を誰に付与するのかについて、この時点で決めることができます。For example, if you have a sensitivity label named Highly Confidential that will be applied to your most sensitive content, you might want to decide now who gets what type of permissions to that content.

一方、「業務契約」という名前の機密ラベルがあり、組織のワークフローの規定によりこのコンテンツに関して従業員と外部ユーザーの間でアドホック ベースで共同作業を行う必要がある場合は、従業員がラベルを割り当てる際に、アクセス許可を誰に付与するかを従業員が決定できるようにすることができます。Alternatively, if you have a sensitivity label named Business Contracts, and your organization's workflow requires that your people collaborate on this content with different people on an ad hoc basis, you might want to allow your users to decide who gets permissions when they assign the label. この柔軟性により、ユーザーの生産性が向上し、特定のシナリオに対処するために管理者に新しい機密度ラベルを更新または作成を要求することを減らすことができます。This flexibility both helps your users' productivity and reduces the requests for your admins to update or create new sensitivity labels to address specific scenarios.

[Choosing whether to assign permissions now] (アクセス許可を今すぐ割り当てる) または [Let users assign permissions] (アクセス許可の割り当てをユーザーに許可する) の選択:Choosing whether to assign permissions now or let users assign permissions:

ユーザーまたは管理者が定義したアクセス許可を追加するオプション

アクセス許可を今すぐ割り当てるAssign permissions now

以下のオプションを使用して、このラベルが適用されるメールやドキュメントにアクセスできるユーザーを制御します。以下の方法を使用できます。Use the following options to control who can access email or documents to which this label is applied. You can:

  • ラベル付けされたコンテンツへのアクセスに有効期限を設定します。 特定の日付または指定するラベル適用後の経過日数で有効期限が切れるようにします。期限が切れると、ユーザーはラベル付きのアイテムを開くことができなくなります。日付を指定した場合、現在のタイム ゾーンでその日付の午前 0 時に有効期限が切れます。(一部のメール クライアントでは、キャッシュの仕組みにより、有効期限が適用されず、有効期限を過ぎたメールが表示されることがある点に注意してください。)Allow access to labeled content to expire, either on a specific date or after a specific number of days after the label is applied. After this time, users won't be able to open the labeled item. If you specify a date, it is effective midnight on that date in your current time zone. (Note that some email clients might not enforce expiration and show emails past their expiration date, due to their caching mechanisms.)

  • オフライン アクセス を禁止、常に許可、または指定の日数 (ラベル適用後の経過日数) で許可します。オフライン アクセスを禁止または日数で制限すると、そのしきい値に達したときに、ユーザーは再認証される必要があり、ユーザーのアクセスがログに記録されます。詳細については、Rights Management 使用ライセンスに関する次のセクションを参照してください。Allow offline access never, always, or for a specific number of days after the label is applied. If you restrict offline access to never or a number of days, when that threshold is reached, users must be reauthenticated and their access is logged. For more information, see the next section on the Rights Management use license.

暗号化されたコンテンツに対するアクセス制御の設定:Settings for access control for encrypted content:

管理者が定義したアクセス許可の設定

オフライン アクセスのための Rights Management 使用ライセンスRights Management use license for offline access

ユーザーが Azure Rights Management サービスからの暗号化によって保護されているドキュメントまたはメールを開くと、そのコンテンツの Azure Rights Management 使用ライセンスがユーザーに付与されます。 この使用ライセンスは、ドキュメントまたは電子メールに対するユーザーの使用権と、コンテンツの暗号化に使用された暗号化キーを含む証明書です。 使用ライセンスには、有効期限が設定されている場合はその有効期限と、使用ライセンスの有効期間も含まれています。When a user opens a document or email that's been protected by encryption from the Azure Rights Management service, an Azure Rights Management use license for that content is granted to the user. This use license is a certificate that contains the user's usage rights for the document or email, and the encryption key that was used to encrypt the content. The use license also contains an expiration date if this has been set, and how long the use license is valid.

有効期限日が設定されていない場合、テナントに対する使用ライセンスの既定の有効期間は 30 日間です。使用ライセンスの有効期間中は、そのコンテンツに対してユーザーが再認証または再承認されることはありません。このプロセスにより、インターネット接続がない場合でも保護されたドキュメントまたはメールをユーザーは引き続き開くことができます。使用ライセンスの有効期間が切れた場合、保護されたドキュメントまたはメールにユーザーが次回アクセスした際に、ユーザーの再認証または再承認が必要になります。If no expiration date has been set, the default use license validity period for a tenant is 30 days. For the duration of the use license, the user is not reauthenticated or reauthorized for the content. This process lets the user continue to open the protected document or email without an internet connection. When the use license validity period expires, the next time the user accesses the protected document or email, the user must be reauthenticated and reauthorized.

再認証だけでなく、暗号化設定とユーザー グループ メンバーシップの再評価も実行されます。そのため、ユーザーが最後にコンテンツにアクセスした後で暗号化設定やグループ メンバーシップに変更が加えられていると、同じドキュメントや電子メールに対して異なるアクセス結果がユーザーに示されることがあります。In addition to reauthentication, the encryption settings and user group membership is reevaluated. This means that users could experience different access results for the same document or email if there are changes in the encryption settings or group membership from when they last accessed the content.

既定の 30 日の設定を変更する方法については、「Rights Management 使用ライセンス」を参照してください。To learn how to change the default 30-day setting, see Rights Management use license.

特定のユーザーまたはグループにアクセス許可を割り当てるAssign permissions to specific users or groups

特定のユーザーのみがラベル付きのコンテンツを操作できるよう、特定のユーザーのみにアクセス許可を付与することができます。You can grant permissions to specific people so that only they can interact with the labeled content:

  1. 最初に、ラベル付きコンテンツへのアクセス許可を割り当てるユーザーまたはグループを追加します。First, add users or groups that will be assigned permissions to the labeled content.

  2. 次に、これらのユーザーに付与するラベル付きコンテンツへのアクセス許可を選択します。Then, choose which permissions those users should have for the labeled content.

アクセス許可の割り当て:Assigning permissions:

ユーザーにアクセス許可を割り当てる際のオプション

ユーザーまたはグループの追加Add users or groups

アクセス許可を割り当てるときには、次の選択が可能です。When you assign permissions, you can choose:

  • 組織内のすべてのユーザー (すべてのテナント メンバー)。この設定ではゲスト アカウントが除外されます。Everyone in your organization (all tenant members). This setting excludes guest accounts.

  • すべての認証されたユーザー。Any authenticated users. 選択する前に、この設定の要件と制限事項を理解しておいてください。Make sure you understand the requirements and limitations of this setting before selecting it.

  • Azure AD で、特定のユーザーまたは電子メールが有効なセキュリティ グループ、配布グループ、または Microsoft 365 グループ (以前の Office 365 グループ)。Any specific user or email-enabled security group, distribution group, or Microsoft 365 group (formerly Office 365 group) in Azure AD. Microsoft 365 グループは、静的メンバーシップまたは動的メンバーシップを持つことができます。The Microsoft 365 group can have static or dynamic membership. このグループの種類は Azure AD に同期されていないため、また、メールが有効になっていないセキュリティグループを使用できないため、Exchange からの動的配布グループ を使用することはできません。Note that you can't use a dynamic distribution group from Exchange because this group type isn't synchronized to Azure AD, and you can't use a security group that isn't email-enabled.

  • 任意のメール アドレスまたはドメイン。Any email address or domain. この組織の任意のドメイン名を入力して、Azure AD を使用する別の組織のすべてのユーザーを指定するには、このオプションを使用します。Use this option to specify all users in another organization who uses Azure AD, by entering any domain name from that organization. gmail.comhotmail.comoutlook.com などのドメイン名を入力することにより、ソーシャル プロバイダーに対してこのオプションを使用することもできます。You can also use this option for social providers, by entering their domain name such as gmail.com, hotmail.com, or outlook.com.

    注意

    Azure AD を使用する組織のドメインを指定した場合、その特定のドメインへのアクセスを制限することはできません。If you specify a domain from an organization that uses Azure AD, you can't restrict access to that specific domain. 代わりに、Azure AD の検証済みドメインはすべて、指定したドメイン名を所有するテナントに自動的に含まれます。Instead, all verified domains in Azure AD are automatically included for the tenant that owns the domain name you specify.

組織内のすべてのユーザーとグループを選択するか、ディレクトリを参照する場合、ユーザーまたはグループにはメール アドレスが必要になります。When you choose all users and groups in your organization or browse the directory, the users or groups must have an email address.

ベスト プラクティスとして、ユーザーではなくグループを使用します。この方針により、シンプルな構成を維持できます。As a best practice, use groups rather than users. This strategy keeps your configuration simpler.

[Add any authenticated users] (すべての認証されたユーザーを追加) の要件と制限事項Requirements and limitations for "Add any authenticated users"

この設定では、ラベルによって暗号化されているコンテンツにアクセスできるユーザーは制限されませんが、コンテンツの暗号化は実行され、コンテンツの使用 (アクセス許可) およびコンテンツへのアクセス (有効期限とオフライン アクセス) を制限するオプションが提供されます。This setting doesn't restrict who can access the content that the label encrypts, while still encrypting the content and providing you with options to restrict how the content can be used (permissions), and accessed (expiry and offline access). ただし、暗号化されたコンテンツを開くために使用するアプリケーションでは、使用する認証方法がサポートされている必要があります。However, the application opening the encrypted content must be able to support the authentication being used. このため、Google などのフェデレーションされたソーシャル プロバイダーやワンタイム パスコード認証はメールに対してのみ動作し、動作するのは Exchange Online を使用した場合のみになります。For this reason, federated social providers such as Google, and onetime passcode authentication work for email only, and only when you use Exchange Online. Microsoft アカウントは、Office 365 アプリおよび Azure Information Protection ビューアーで使用できます。Microsoft accounts can be used with Office 365 apps and the Azure Information Protection viewer.

いずれの認証ユーザー設定の場合も、一般的なシナリオとして次のようなものがあります。Some typical scenarios for any authenticated users setting:

  • コンテンツの閲覧者は制限しないが、コンテンツの使用方法を制限したい。You don't mind who views the content, but you want to restrict how it is used. たとえば、コンテンツの編集、コピー、または印刷を制限したい場合がこれに該当します。For example, you don't want the content to be edited, copied, or printed.
  • コンテンツにアクセスするユーザーは制限しないが、コンテンツを開くユーザーを確認したい。You don't need to restrict who accesses the content, but you want to be able to confirm who opens it.
  • コンテンツの保存時と送信時の暗号化を要求する要件があるが、コンテンツに対するアクセス制御が必要ない場合。You have a requirement that the content must be encrypted at rest and in transit, but it doesn't require access controls.

アクセス許可の選択Choose permissions

該当するユーザーまたはグループに付与するアクセス許可を選択するときには、次のいずれかを選択できます。When you choose which permissions to allow for those users or groups, you can select either:

  • 既定の権限のグループ (「共同制作者」や「レビュー担当者」など) で事前定義されたアクセス許可レベルA predefined permissions level with a preset group of rights, such as Co-Author or Reviewer.
  • カスタムのアクセス許可。1 つ以上の使用権限を選択します。Custom permissions, where you choose one or more usage rights.

適切な許可の選択に役立つ詳細については、「使用権限と説明」を参照してください。For more information to help you select the appropriate permissions, see Usage rights and descriptions.

既定またはカスタムのアクセス許可を選択する際のオプション

同じラベルで異なるユーザーに異なるアクセス許可を付与できます。たとえば、次のスクリーンショットに示すように、単一のラベルで一部のユーザーを「レビュー担当者」として割り当てて、別のユーザーを「共同作成者」として割り当てることができます。Note that the same label can grant different permissions to different users. For example, a single label can assign some users as Reviewer and a different user as Co-author, as shown in the following screenshot.

これを行うには、ユーザーまたはグループを追加してアクセス許可を割り当て、その設定を保存します。その後で、この手順 (ユーザーの追加とアクセス許可の割り当て) を繰り返して、そのたびに保存します。この構成は、異なるユーザーに異なるアクセス許可を定義することが必要になるたびに実行できます。To do this, add users or groups, assign them permissions, and save those settings. Then repeat these steps, adding users and assigning them permissions, saving the settings each time. You can repeat this configuration as often as necessary, to define different permissions for different users.

異なるアクセス許可を持つ異なるユーザー

常にフル コントロールを持つ Rights Management 発行者 (機密ラベルを適用するユーザー)Rights Management issuer (user applying the sensitivity label) always has Full Control

秘密度ラベルの暗号化では、Azure Information Protection の Azure Rights Management サービスが使用されます。Encryption for a sensitivity label uses the Azure Rights Management service from Azure Information Protection. ドキュメントやメールを保護するためにユーザーが暗号化を使用して秘密度ラベルを適用すると、そのユーザーはそのコンテンツに対する Rights Management 発行者になります。When a user applies a sensitivity label to protect a document or email by using encryption, that user becomes the Rights Management issuer for that content.

Rights Management 発行者には、ドキュメントまたはメールに対するフル コントロールのアクセス許可が必ず付与されます。これに加え、次のことが可能になります。The Rights Management issuer is always granted Full Control permissions for the document or email, and in addition:

  • 暗号化設定に有効期が含まれている場合、Rights Management 発行者は期限を過ぎても引き続きドキュメントまたはメールを開いて編集できます。If the encryption settings include an expiration date, the Rights Management issuer can still open and edit the document or email after that date.
  • Rights Management 発行者は、常に、オフラインでドキュメントや電子メールにアクセスできます。The Rights Management issuer can always access the document or email offline.
  • Rights Management 発行者は、失効後のドキュメントも開くことができます。The Rights Management issuer can still open a document after it is revoked.

詳細については、「Rights Management 発行者と Rights Management 所有者」を参照してください。For more information, see Rights Management issuer and Rights Management owner.

二重キー暗号化Double Key Encryption

注意

この機能は現在、Azure Information Protection 統合ラベル付けクライアントでのみサポートされています。This feature is currently supported only by the Azure Information Protection unified labeling client.

このオプションは、二重キー暗号化サービスを構成していて、このラベルを適用するファイルにこの二重キー暗号化を使用する必要がある場合にのみ選択します。Select this option only after you have configured the Double Key Encryption service and you need to use this double key encryption for files that will have this label applied.

詳細、前提条件、構成手順については、「二重キー暗号化 (DKE)」を参照してください。For more information, prerequisites, and configuration instructions, see Double Key Encryption (DKE).

ユーザーがアクセス許可を割り当てるLet users assign permissions

重要

ラベル クライアントの中には、ユーザーに権限を割り当てさせてもらえるオプションが一部サポートされていないものがあります。詳細については、このセクションを確認してください。Not all labeling clients support all the options that let users assign their own permissions. Use this section to learn more.

これらのオプションを使用すると、ユーザーがコンテンツに機密度ラベルを手動で適用するときにアクセス許可を割り当てることができます。You can use the following options to let users assign permissions when they manually apply a sensitivity label to content:

  • Outlook では、ユーザーは選択した受信者に対して [転送不可] オプションまたは [暗号化のみ]と同等の制限を選択することができます。In Outlook, a user can select restrictions equivalent to the Do Not Forward option or Encrypt-only for their chosen recipients.

    [転送しない] オプションは、すべての電子メール クライアントでサポートされています。この場合、これらのクライアントは、最高のラベルをサポートしています。The Do Not Forward option is supported by all email clients that support sensitivity labels. ただし、 暗号化専用 オプションを検出性ラベル付きで適用する最新のリリースは、Azure Information Protection の統合ラベル クライアントではなく、組み込みのラベル機能でのみサポートされます。However, applying the Encrypt-Only option with a sensitivity label is a recent release that's supported only by built-in labeling and not the Azure Information Protection unified labeling client. この機能をサポートしないメール クライアントの場合、ラベルは表示されません。For email clients that don't support this capability, the label won't be visible.

    組み込みのラベルを使用して機密ラベル付きの [暗号化のみ] オプションの適用をサポートする Outlook アプリの最小バージョンを確認するには、「Outlookの機能テーブル」と「ユーザーが権限を割り当て可能 - 暗号化のみ」行を使用します。To check the minimum versions of Outlook apps that use built-in labeling to support applying the Encrypt-Only option with a sensitivity label, use the capabilities table for Outlook and the row Let users assign permissions: - Encrypt-Only.

  • Word、PowerPoint、Excel で、ユーザーは特定のユーザー、グループ、または組織に対して任意のアクセス許可を選択するよう求められます。In Word, PowerPoint, and Excel, a user is prompted to select their own permissions for specific users, groups, or organizations.

    このオプションは、Azure Information Protection 統合ラベル付けクライアントおよび組み込みラベルを使用一部のアプリでサポートされています。This option is supported by the Azure Information Protection unified labeling client and by some apps that use built-in labeling. この機能をサポートしないアプリの場合、ラベルがユーザーに対して表示されないか、一貫性のためにラベルが表示されますが、ユーザーに説明メッセージを使用して適用できません。For apps that don't support this capability, the label either won't be visible for users, or the label is visible for consistency but it can't be applied with an explanation message to users.

    このオプションをサポートする組み込みのラベルを使用するアプリを確認するには、Word、Excel、PowerPointの機能テーブルユーザーが権限を割り当て可能にする行 : - ユーザーにアクセスを確認しますTo check which apps that use built-in labeling support this option, use the capabilities table for Word, Excel, and PowerPoint and the row Let users assign permissions: - Prompt users.

選択するオプションがサポートされている場合に、秘密度ラベルがユーザーに表示されるどうかについて、次の表で確認できます。When the options are supported, use the following table to identify when users see the sensitivity label:

設定Setting ラベルを Outlook で表示Label visible in Outlook ラベルを Word、PowerPoint、Excel で表示Label visible in Word, Excel, PowerPoint
In Outlook, enforce restrictions with the Do Not Forward option または[暗号化のみ]オプションIn Outlook, enforce restrictions with the Do Not Forward or Encrypt-Only option 必要Yes いいえNo
In Word, PowerPoint, and Excel, prompt users to specify permissions (Word、PowerPoint、Excel で、アクセス許可の指定をユーザーに求める) In Word, PowerPoint, and Excel, prompt users to specify permissions いいえNo はいYes

両方の設定を選択すると、ラベルは Outlook と Word、Excel、PowerPoint の両方で表示されます。When both settings are selected, the label is therefore visible in both Outlook and in Word, Excel, and PowerPoint.

ユーザーがアクセス許可を割り当てなければならない機密度ラベルは、ユーザーが手動でコンテンツに適用できます。自動適用したり、推奨ラベルとして使用したりすることはできません。A sensitivity label that lets users assign permissions must be applied to content manually by users; it can't be auto-applied or used as a recommended label.

ユーザーが割り当てるアクセス許可の構成:Configuring the user-assigned permissions:

ユーザー定義のアクセス許可の暗号化設定

Outlook の制限Outlook restrictions

Outlook では、ユーザーがメッセージにアクセス許可を割り当てることができる機密度ラベルを適用する場合、 [転送不可] または [暗号化のみ] オプションを選択できます。In Outlook, when a user applies a sensitivity label that lets them assign permissions to a message, you can choose the Do Not Forward option or Encrypt-Only. メッセージの上部にラベル名と説明が表示されます。これは、コンテンツが保護されていることを示します。The user will see the label name and description at the top of the message, which indicates the content's being protected. Word、PowerPoint、Excel (次のセクション参照) とは異なり、ユーザーは特定のアクセス許可を選択するよう求められません。Unlike Word, PowerPoint, and Excel (see the next section), users aren't prompted to select specific permissions.

Outlook のメッセージに適用される機密度ラベル

これらのオプションのいずれかがメールに適用される場合、電子メールは暗号化され、受信者は認証を受ける必要があります。受信者には自動的に使用権限が制限されます。When either of these options are applied to an email, the email is encrypted and recipients must be authenticated. Then, the recipients automatically have restricted usage rights:

  • [転送不可]:受信者はそれを転送したり、印刷したり、コピーしたりすることができなくなります。Do Not Forward: Recipients cannot forward the email, print it, or copy from it. たとえば、Outlook クライアントでは、[転送] ボタン、[名前を付けて保存] および [印刷] メニュー オプションは使用できず、[宛先]、[CC]、または [BCC] ボックスで受信者を追加または変更することはできません。For example, in the Outlook client, the Forward button is not available, the Save As and Print menu options are not available, and you cannot add or change recipients in the To, Cc, or Bcc boxes.

    このオプションの機能の詳細については、メールで[転送しない] オプションを使ってを転送しないでくださいを参照してください。For more information about how this option works, see Do Not Forward option for emails.

  • 暗号化のみ使用: 受信者には、[名前を付けて保存]、[エクスポート]、および [フル コントロール] を除くすべての使用権があります。Encrypt-Only: Recipients have all usage rights except Save As, Export and Full Control. この利用権の組み合わせは、受信者に保護を解除できないという制限がないという意味です。This combination of usage rights means that the recipients have no restrictions except that they cannot remove the protection. たとえば、受信者はメールからコピーし、印刷して、転送することができます。For example, a recipient can copy from the email, print it, and forward it.

    このオプションの機能の詳細については、メールで[暗号化のみ] オプションを使ってを転送しないでくださいを参照してください。For more information about how this option works, see Encrypt-only option for emails.

メールに添付されている暗号化されていない Office ドキュメントでは、自動的に同じ制限が継承されます。Unencrypted Office documents that are attached to the email automatically inherit the same restrictions. [転送不可]のドキュメントに適用される使用権は、[コンテンツの編集]、[編集]、[保存]、[表示]、[開く]、[読み取り]、および [マクロの許可] です。For Do Not Forward, the usage rights applied to these documents are Edit Content, Edit; Save; View, Open, Read; and Allow Macros. ユーザーが添付ファイルに別の使用権を要求する場合、または添付ファイルがこの継承された保護をサポートする Office ドキュメントでない場合は、メールに添付する前にファイルを暗号化する必要があります。If the user wants different usage rights for an attachment, or the attachment is not an Office document that supports this inherited protection, the user needs to encrypt the file before attaching it to the email.

Word、PowerPoint、および Excel のアクセス許可Word, PowerPoint, and Excel permissions

Word、PowerPoint、および Excel では、ドキュメントにアクセス許可を割り当てることをユーザーに許可する秘密度ラベルをユーザーが適用しようとすると、暗号化に際しての対象ユーザーとアクセス許可を指定するよう求められます。In Word, PowerPoint, and Excel, when a user applies a sensitivity label that lets them assign permissions to a document, they are prompted to specify their choice of users and permissions when the encryption is applied.

たとえば、Azure Information Protection の統合ラベル付けクライアントでは次のことを行えます。For example, with the Azure Information Protection unified labeling client, users can:

  • ビューアー ([表示のみ] アクセス許可を割り当てる) または共同作成者 ([表示]、[編集]、[コピー]、および [印刷] アクセス許可を割り当てる) などのアクセス許可レベルを選択します。Select a permission level, such as Viewer (which assigns View Only permission) or Co-Author (which assigns View, Edit, Copy, and Print permissions).
  • ユーザー、グループ、または組織を選択します。Select users, groups, or organizations. これには、組織内外のユーザーが含まれます。This can include people both inside or outside your organizations.
  • 選択したユーザがコンテンツにアクセスできなくなる有効期限を設定します。Set an expiration date, after which the selected users cannot access the content. 詳細については、上記のセクション「オフライン アクセスのための Rights Management 使用ライセンス」を参照してください。For more information, see the above section Rights Management use license for offline access.

ユーザーがカスタムのアクセス許可で保護するためのオプション

組み込みのラベルの場合、ユーザーが次のオプションを選択すると同様のダイアログ ボックスが表示されます。For built-in labeling, users see the same dialog box if they select the following:

  • Windows: [ファイル] タブ > [情報] > [文書の保護] > [アクセスの制限] > [制限アクセス]Windows: File tab > Info > Protect Document > Restrict Access > Restricted Access

  • macOS: [校閲] タブ > [保護] > [アクセス許可] > [制限アクセス]macOS: Review tab > Protection > Permissions > Restricted Access

暗号化の設定の構成例Example configurations for the encryption settings

以下の各例では、「機密度ラベルを作成または編集する] が選択されているときに、ウィザードの [暗号化] ページから構成を行います。For each example that follows, do the configuration from the Encryption page of the wizard when Configure encryption settings is selected:

機密ラベル ウィザードで暗号化オプションを適用する

例 1: 暗号化されたメールを Gmail アカウントに送信するために [転送不可] を適用するラベルExample 1: Label that applies Do Not Forward to send an encrypted email to a Gmail account

このラベルは Outlook および Outlook on the web でのみ表示され、Exchange Online を使用する必要があります。This label displays only in Outlook and Outlook on the web, and you must use Exchange Online. Gmail アカウント (または組織外の他のメール アカウント) を使用しているユーザーに暗号化されたメールを送信する必要がある場合、このラベルを選択するようユーザーに指示します。Instruct users to select this label when they need to send an encrypted email to people using a Gmail account (or any other email account outside your organization).

ユーザーは、[宛先] ボックスに Gmail のメール アドレスを入力します。Your users type the Gmail email address in the To box. 次に、ラベルを選択すると、メールに [転送不可] オプションが自動的に追加されます。Then, they select the label and the Do Not Forward option is automatically added to the email. その結果、受信者は、[名前を付けて保存] オプションを使用してメールを転送、印刷、コピー、またはメールボックス外に保存することができなくなります。The result is that recipients cannot forward the email, or print it, copy from it, or save the email outside their mailbox by using the Save As option.

  1. [暗号化] ページで: [アクセス許可を今すぐ割り当てるか、それともユーザーに決定させますか?] で、[ラベルを適用するときに、ユーザーがアクセス許可を割り当てることができる] を選択します。On the Encryption page: For Assign permissions now or let users decide? select Let users assign permissions when they apply the label.

  2. [Outlook で、[転送不可] オプションと同等の制限を適用する] チェックボックスを選択します。Select the checkbox: In Outlook, enforce restrictions equivalent to the Do Not Forward option.

  3. [Word、PowerPoint、Excel で、ユーザーにアクセス許可を指定するように求める] が選択されている場合、チェックボックスをオフにします。If selected, clear the checkbox: In Word, PowerPoint, and Excel, prompt users to specify permissions.

  4. [次へ] を選択してウィザードを完了します。Select Next and complete the wizard.

例 2: 別の組織のすべてのユーザーを読み取り専用アクセス許可に制限するラベルExample 2: Label that restricts read-only permission to all users in another organization

このラベルは、非常に機密性の高いドキュメントを読み取り専用として共有するのに適しており、ドキュメントを表示するには常にインターネット接続が必要です。This label is suitable for sharing very sensitive documents as read-only, and the documents always require an internet connection to view them.

このラベルはメールには適していません。This label is not suitable for emails.

  1. [暗号化] ページで: [アクセス許可を今すぐ割り当てるか、それともユーザーに決定させますか?] で、[アクセス許可を今すぐ割り当てる] を選択します。On the Encryption page: For Assign permissions now or let users decide? select Assign permissions now.

  2. [オフライン アクセスの許可] で、[使用しない] を選択します。For Allow offline access, select Never.

  3. [アクセス許可の割り当て] を選択します。Select Assign permissions.

  4. [アクセス許可の割り当て] ウィンドウで、[特定のメール アドレスまたはドメインを追加] を選択します。On the Assign permissions pane, select Add specific email addresses or domains.

  5. テキスト ボックスに、他の組織のドメイン名を入力します (例: fabrikam.com)。In the text box, enter the name of a domain from the other organization, for example, fabrikam.com. 次に [追加] を選択します。Then select Add.

  6. [アクセス許可の選択] を選択します。Select Choose permissions.

  7. [アクセス許可の選択] ウィンドウで、ドロップダウン ボックスを選択し、[ビューアー] を選択し、[保存] を選択します。On the Choose permissions pane, select the dropdown box, select Viewer, and then select Save.

  8. [アクセス許可の割り当て] ウィンドウに戻り、[保存] を選択します。Back on the Assign Permissions pane, select Save.

  9. [暗号化] ページで、[次へ] を選択してウィザードを完了します。On the Encryption page, select Next and complete the wizard.

例 3: コンテンツを暗号化する既存のラベルに外部ユーザーを追加するExample 3: Add external users to an existing label that encrypts content

追加した新しいユーザーは、このラベルで既に保護されているドキュメントとメールを開くことができます。The new users that you add will be able open documents and emails that have already been protected with this label. これらのユーザーに付与するアクセス許可は、既存のユーザーが持つアクセス許可とは異なる場合があります。The permissions that you grant these users can be different from the permissions that the existing users have.

  1. [暗号化] ページで: [アクセス許可を今すぐ割り当てるか、それともユーザーに決定させますか?] で、[アクセス許可を今すぐ割り当てる] が選択されていることを確認します。On the Encryption page: For Assign permissions now or let users decide? make sure Assign permissions now is selected.

  2. [アクセス許可の割り当て] を選択します。Select Assign permissions.

  3. [アクセス許可の割り当て] ウィンドウで、[特定のメール アドレスまたはドメインを追加] を選択します。On the Assign permissions pane, select Add specific email addresses or domains.

  4. テキスト ボックスに、追加する最初のユーザー (またはグループ) のメール アドレスを入力し、[追加] を選択します。In the text box, enter the email address of the first user (or group) to add, and then select Add.

  5. [アクセス許可の選択] を選択します。Select Choose permissions.

  6. [アクセス許可の選択] ウィンドウで、このユーザー (またはグループ) のアクセス許可の選択し、[保存] を選択します。On the Choose permissions pane, select the permissions for this user (or group), and then select Save.

  7. [アクセス許可の割り当て] ウィンドウに戻り、このラベルに追加するユーザー (またはグループ) ごとに手順 3 から 6 を繰り返します。Back on the Assign Permissions pane, repeat steps 3 through 6 for each user (or group) that you want to add to this label. [保存] をクリックします。Then click Save.

  8. [暗号化] ページで、[次へ] を選択してウィザードを完了します。On the Encryption page, select Next and complete the wizard.

例 4: コンテンツを暗号化するが、誰がアクセスできるかについては制限をしないラベルExample 4: Label that encrypts content but doesn't restrict who can access it

この構成には、メールまたはドキュメントを暗号化するためにユーザー、グループ、またはドメインを指定する必要がないという利点があります。This configuration has the advantage that you don't need to specify users, groups, or domains to encrypt an email or document. コンテンツは引き続き暗号化され、使用権限、有効期限、オフライン アクセスを指定できます。The content will still be encrypted and you can still specify usage rights, an expiry date, and offline access.

保護されたドキュメントまたはメールを開くことができるユーザーを制限する必要がない場合にのみ、この構成を使用してください。Use this configuration only when you do not need to restrict who can open the protected document or email. この設定の詳細情報More information about this setting

  1. [暗号化] ページで: [アクセス許可を今すぐ割り当てるか、それともユーザーに決定させますか?] で、[アクセス許可を今すぐ割り当てる] が選択されていることを確認します。On the Encryption page: For Assign permissions now or let users decide? make sure Assign permissions now is selected.

  2. 必要に応じて、[コンテンツへのユーザー アクセスの有効期限] および [オフライン アクセスの許可] の設定を構成します。Configure settings for User access to content expires and Allow offline access as required.

  3. [アクセス許可の割り当て] を選択します。Select Assign permissions.

  4. [アクセス許可の割り当て] ウィンドウで、[すべての認証されたユーザーの追加] を選択します。On the Assign permissions pane, select Add any authenticated users.

    [ユーザーとグループ] については、自動的に追加された Authenticated Users を確認します。For Users and groups, you see Authenticated users automatically added. この値を削除することはできますが、変更はできません。削除すると、[すべての認証されたユーザーの追加] の選択がキャンセルされます。You can't change this value, only delete it, which cancels the Add any authenticated users selection.

  5. [アクセス許可の選択] を選択します。Select Choose permissions.

  6. [アクセス許可の選択] ウィンドウで、ドロップダウン ボックスを選択し、必要なアクセス許可の選択して [保存] を選択します。On the Choose permissions pane, select the dropdown box, select the permissions you want, and then select Save.

  7. [アクセス許可の割り当て] ウィンドウに戻り、[保存] を選択します。Back on the Assign Permissions pane, select Save.

  8. [暗号化] ページで、[次へ] を選択してウィザードを完了します。On the Encryption page, select Next and complete the wizard.

暗号化されたコンテンツに関する考慮事項Considerations for encrypted content

重要なドキュメントやメールを暗号化することにより、許可されたユーザーのみがそのデータにアクセスできるようになります。Encrypting your most sensitive documents and emails helps to ensure that only authorized people can access this data. ただし、考慮すべき点がいつくかあります。However, there are some considerations to take into account:

  • SharePoint および OneDrive で Office ファイルの秘密度ラベルを有効にする 機能が組織でまだ有効になっていない場合:If your organization hasn't enabled sensitivity labels for Office files in SharePoint and OneDrive:

    • 暗号化されたファイルに対して、検索、電子情報開示、Delve は動作しません。Search, eDiscovery, and Delve will not work for encrypted files.
    • DLP ポリシーは、これらの暗号化されたファイルのメタデータ (保持ラベルの情報など) に対しては機能しますが、これらのファイルのコンテンツ (ファイル内のクレジット カード番号など) に対しては機能しません。DLP policies work for the metadata of these encrypted files (including retention label information) but not the content of these files (such as credit card numbers within files).
    • ユーザーは、暗号化されたファイルを Web 用 Office で開くことはできません。Users can't open encrypted files using Office on the web. SharePoint および OneDrive 内の Office ファイルの秘密度ラベルが有効化されている場合、ユーザーは有効化されたファイルを Web 用 Office で開くことができますが、次のようないつくつかの制限があります: オンプレミス キー ("Hold Your Own Key" または HYOK と呼ばれます)を使用して適用された暗号化、二重キー暗号化、秘密度ラベルとは別に適用された暗号化。When sensitivity labels for Office files in SharePoint and OneDrive are enabled, users can use Office on the web to open encrypted files, with some limitations that include encryption that has been applied with an on-premises key (known as "hold your own key", or HYOK), double key encryption, and encryption that has been applied independently from a sensitivity label.
  • 暗号化されたドキュメントを組織外のユーザーと共有する場合は、ゲスト アカウントを作成し、条件付きアクセス ポリシーを変更する必要がある場合があります。If you share encrypted documents with people outside your organization, you might need to create guest accounts and modify Conditional Access policies. 詳細については、「外部ユーザーと暗号化されたドキュメントを共有する」を参照してください。For more information, see Sharing encrypted documents with external users.

  • 暗号化されたファイルを複数のユーザーが同時に編集するには、全員が Web 用 Office を使用する必要があります。For multiple users to edit an encrypted file at the same time, they must all be using Office for the web. この状況が当てはまらず、ファイルが既に開かれている場合、次のことが起こります。If this isn't the case, and the file is already open:

    • Office アプリ (Windows、Mac、Android、iOS)で、[使用中のファイル] メッセージがファイルをチェック アウトしているユーザーの名前とともにユーザーに表示されます。In Office apps (Windows, Mac, Android, and iOS), users see a File In Use message with the name of the person who has checked out the file. その場合、ユーザーは読み取り専用コピーの閲覧またはそのコピーの保存と編集を行うことが可能で、他のユーザーによるファイルの使用が終了したときに通知を受け取ることができます。They can then view a read-only copy or save and edit a copy of the file, and receive notification when the file is available.
    • Web 用 Office では、他のユーザーと同時にドキュメントを編集することはできないというメッセージがユーザーに表示されます。In Office for the web, users see an error message that they can't edit the document with other people. その場合は、[閲覧表示で開く] を選択できます。They can then select Open in Reading View.
  • Office アプリ (Windows、Mac、Android、iOS) の自動保存機能は、暗号化されたファイルに対しては無効になっています。The AutoSave functionality in Office apps (Windows, Mac, Android, and iOS) is disabled for encrypted files. 自動保存を有効にする前に削除する必要があるアクセスの制限がファイルに適用されているというメッセージがユーザーに表示されます。Users see a message that the file has restricted permissions that must be removed before AutoSave can be turned on.

  • 暗号化されたファイルは、Office アプリ (Windows、Mac、Android、iOS) で開くのに時間がかかる場合があります。Encrypted files might take longer to open in Office apps (Windows, Mac, Android, and iOS).

  • ドキュメントを SharePoint でチェックアウトするときに Office アプリを使用することによって、暗号化されたラベルが追加されれ、その後、ユーザーがチェックアウトを破棄すると、ドキュメントはラベル付きの暗号化されたままになります。If a label that applies encryption is added by using an Office app when the document is checked out in SharePoint, and the user then discards the checkout, the document remains labeled and encrypted.

  • 暗号化されたファイルに対する次の操作は Office アプリ (Windows、Mac、Android、iOS) ではサポートされておらず、問題が発生したことを示すエラー メッセージがユーザーに表示されます。ただし、SharePoint 機能を代替手段として使用できます。The following actions for encrypted files aren't supported from Office apps (Windows, Mac, Android, and iOS), and users see an error message that something went wrong. However, SharePoint functionality can be used as an alternative:

秘密度ラベルを使用して暗号化されたファイルでの共同作業環境を最適化するには、SharePoint および OndeDrive 内の Office ファイル用秘密度ラベルおよび Web 用 Office を使用することをお勧めします。For the best collaboration experience for files that are encrypted by a sensitivity label, we recommend you use sensitivity labels for Office files in SharePoint and OneDrive and Office for the web.

重要な前提条件Important prerequisites

暗号化を使用するには、構成作業をいくつか行う必要がある場合があります。Before you can use encryption, you might need to do some configuration tasks.

  • Azure Information Protection の保護を有効にするActivate protection from Azure Information Protection

    秘密度ラベルが暗号化を適用するには、Azure Information Protection の保護サービス (Azure Rights Management) をテナントに対して有効にする必要があります。 For sensitivity labels to apply encryption, the protection service (Azure Rights Management) from Azure Information Protection must be activated for your tenant. 新しいテナントの場合はこれが既定の設定になっていますが、サービスを手動で有効にする必要がある場合があります。In newer tenants, this is the default setting, but you might need to manually activate the service. 詳細については、「Azure Information Protection の保護サービスのアクティブ化」を参照してください。For more information, see Activating the protection service from Azure Information Protection.

  • Azure Information Protection 用に Exchange を構成するConfigure Exchange for Azure Information Protection

    ユーザーが Outlook で電子メールの暗号化のためにラベルを適用するまでは、Azure Information Protection 用に Exchange を構成する必要はありません。ただし、Exchange が Azure Information Protection 用に構成されるまで、Exchange には Azure Rights Management 保護の使用よる完全な機能が備わりません。Exchange does not have to be configured for Azure Information Protection before users can apply labels in Outlook to encrypt their emails. However, until Exchange is configured for Azure Information Protection, you do not get the full functionality of using Azure Rights Management protection with Exchange.

    たとえば、暗号化された電子メールを携帯電話や Outlook on the web で表示すること、暗号化された電子メールの検索用インデックスの作成、Rights Management 保護用に Exchange Online DLP を構成することなどは行えません。For example, users cannot view encrypted emails on mobile phones or with Outlook on the web, encrypted emails cannot be indexed for search, and you cannot configure Exchange Online DLP for Rights Management protection.

    このような追加のシナリオを Exchange でサポートする場合は、次の項目を参照してください。To ensure that Exchange can support these additional scenarios, see the following:

次の手順Next steps

ラベル付けおよび暗号化されたドキュメントを組織外の人々と共有する必要がありますか?Need to share your labeled and encrypted documents with people outside your organization? 暗号化されたドキュメントを外部ユーザーと共有する」を参照してください。See Sharing encrypted documents with external users.