新しい Message Encryption 機能を設定する

新しい Office 365 Message Encryption (OME) 機能では、保護されたメールを任意のデバイス上の誰とでも共有できます。 ユーザーは、Outlook.com、Gmail、およびその他のメール サービスを使用して、他の Microsoft 365 組織やサービスを使用していないユーザーと保護されたメッセージを交換できます。

組織で新しい OME 機能が使用できるようにするには、次の手順に従います。

Azure Rights Management が有効であることを確認する

新しい OME 機能は、Azure Rights Management Services (Azure RMS) の保護機能を活用します。Azure RMS は、Azure Information Protection が暗号化とアクセス制御を介して電子メールとドキュメントを保護するために使用するテクノロジーです。

新しい OME 機能を使用するための唯一の前提条件は、組織のテナントで Azure Rights Management を有効化する必要があることです。 その場合、Microsoft 365 は新しい OME 機能を自動的に有効化するため、何もする必要はありません。

Azure RMS は、ほとんどの対象プランでも自動的に有効化されるため、おそらくこの点についても何もする必要はありません。詳細については「Azure Rights Management のアクティブ化」に関するページを参照してください。

重要

Exchange Online で Active Directory Rights Management サービス (AD RMS) を使用する場合、新しい OME 機能を使用する前に Azure Information Protection に移行する必要があります。OME は AD RMS とは互換性がありません。

詳しくは、次のトピックを参照してください。

Azure Rights Management を手動で有効化する

Azure RMS を無効にした場合、または何らかの理由で自動的に有効化されなかった場合は、次のように手動で有効化できます:

Azure Information Protection テナント キーの管理を構成する

この手順は省略可能です。 Microsoft が Azure Information Protection のルート キーを管理できるようにすることが既定であり、ほとんどの組織に推奨されるベスト プラクティスです。 このような場合は、何もする必要はありません。

コンプライアンス要件など、多くの理由により、独自のルート キー (Bring Your Own Key (BYOK) とも呼ばれる)の生成と管理が必要になる場合があります。 この場合、新しい OME 機能をセットアップする前に、必要な手順を完了することをお勧めします。 詳細については、「Azure Information Protection テナント キーを計画して実装する」を参照してください。

Exchange Online PowerShell で新しい OME 構成を確認する

Exchange Online PowerShell の新しい OME 機能を使用するように Microsoft 365 テナントが適切に構成されていることを確認できます。

  1. Microsoft 365 テナントのグローバル管理者権限を持つアカウントを使用して、Exchange Online PowerShell に接続します。

  2. Get-IRMConfiguration コマンドレットを実行します。

    AzureRMSLicensingEnabled パラメーターの $True 値が表示されます。これは、テナントで OME が構成されていることを示します。 そうでない場合は、Set-IRMConfiguration を使用して AzureRMSLicensingEnabled の値を $ True に設定し、OME を有効にします。

  3. 次の構文を使用して Test-IRMConfiguration コマンドレットを実行します:

    Test-IRMConfiguration [-Sender <email address> -Recipient <email address>]
    

    :

    Test-IRMConfiguration -Sender securityadmin@contoso.com -Recipient securityadmin@contoso.com
    
    • 送信者と受信者の場合は、Microsoft 365 テナント内の任意のユーザーのメール アドレスを使用します。

      結果は次のようになります:

      Results : Acquiring RMS Templates ...
                 - PASS: RMS Templates acquired.  Templates available: Contoso  - Confidential View Only, Contoso  - Confidential, Do Not
             Forward.
             Verifying encryption ...
                 - PASS: Encryption verified successfully.
             Verifying decryption ...
                 - PASS: Decryption verified successfully.
             Verifying IRM is enabled ...
                 - PASS: IRM verified successfully.
      
             OVERALL RESULT: PASS
      
    • Contoso は組織名に置き換えられます。

    • 既定のテンプレート名は、上に表示されているものとは異なる場合があります。 詳細については、「Azure Information Protection のテンプレートを構成して管理する」を参照してください。

  4. Rights Management サービスから切断するには、Remove-PSSession コマンドレットを実行します。

    Remove-PSSession $session
    

次の手順: 新しい OME 機能を使用するためのメール フロー ルールを定義する

組織のメールを暗号化するために以前に構成されたメール フロー ルールがある場合は、新しい OME 機能を使用するために既存のルールを更新する必要があります。新しい展開の場合、新しいメール フローのルールを作成する必要があります。

重要

既存のメール フロー ルールを更新しない場合、ユーザーは新しい、シームレスな OME の操作環境ではなく、以前の HTML 添付ファイルの形式を使用する暗号化されたメールを引き続き受信します。

メール フロー ルールは、メール メッセージを暗号化する条件、およびその暗号化を削除する条件を決定します。 ルールのアクションを設定すると、送信時に、ルールの条件に一致するすべてのメッセージが暗号化されます。

OME のメール フロー ルールの作成の手順については、「Office 365 でメール メッセージを暗号化するためにメール フロー ルールを定義する」を参照してください。

新しい OME 機能を使用するために既存のルールを更新するには:

  1. Microsoft 365 管理センターから [管理者] > [Exchange] の順に移動します。
  2. Exchange 管理センターで、[メール フロー]、[ルール] の順に移動します。
  3. ルールごとに、次の操作を行います:
    • [メッセージのセキュリティを変更する] を選択します。
    • [Office 365 Message Encryption および適切な保護を適用する] を選択します。
    • 一覧から RMS テンプレートを選択します。
    • [保存] を選択します。
    • [OK] をクリックします。