Microsoft 365 Business：Azure InformationProtectionを構成する方法

情報保護（ IP）という用語は、一般に、不正アクセスから情報を保護するための業界標準とベストプラクティスを包含するために使用されます。Microsoftエコシステムでは、Azure Information Protectionは、組織がデータをラベルで分類してアクセスを制御できるようにするクラウドサービスです。Azure Information Protectionは、スタンドアロンライセンスとして購入することも、Microsoft 365Businessなどのソリューションにバンドルすることもできます。

Azure InformationProtectionの4つのバージョンのそれぞれに含まれている機能の内訳は次のとおりです。AIPプレミアムP1ライセンスは、Microsoft 365Businessに含まれています。

Azure InformationProtectionの進化

Azure Information Protectionはここ数年で進化を遂げており、別の名前でこのテクノロジに遭遇した可能性があります。このテクノロジの古い名前には、Azure Rights Management Service（Azure RMS）、Azure Active Directory Rights Management（AADRM）、Windows Azure Active Directory Rights Management、Information Rights Management（IRM）、または単に「新しいMicrosoftRMS」があります。 」これらの古い名前をすべて忘れて、Azure Information Protectionを使用するだけで、自分自身とMicrosoftに大きな恩恵をもたらすことができます。

このクラウドテクノロジーの最新のイテレーションは、ファイルを保護するために権利管理を適用できる分類およびラベル付け機能を提供するようになりました。大まかに言えば、Azure Information Protectionは、次の3つの主要なステップでデータを保護します。

まず、データが分類され、ラベルが付けられます。たとえば、ドキュメントが機密として分類され、電子メールの受信者のみが利用できるようにする必要がある場合、ラベルは機密-受信者のみである可能性があります。」

次に、データは、暗号化、アクセス制御、およびラベルに基づくポリシーによって保護されます。前の例を続けると、機密-受信者のみのラベルでマークされたドキュメントは、受信者だけが読むことができるように暗号化されます。

最後に、ドキュメントを追跡し、必要に応じてアクセスを取り消すことができます。前の例から、電子メールの送信者は、受信者の1人がドキュメントにアクセスできなくなったと判断する場合があります。その場合、送信者は特定のユーザーのアクセスを取り消すことができます。

Office 365のメッセージの暗号化、またはOMEは、 Azureの情報保護の機能の一つです。AIPプレミアムP2ライセンスをお持ちの場合は、クラウドやオンプレミスデータの自動分類などの追加機能を利用できます。ここでは、AIPプレミアムP1ライセンスで利用可能な機能について説明します。

Azure InformationProtectionのアクティブ化

Azure Information Protectionの使用を開始するには、IT管理者として最初に行う必要があるのは、Microsoft 365Businessテナントでサービスをアクティブ化することです。サービスがすでに有効になっていると思われる場合でも、確認しても問題ありません。方法は次のとおりです。

グローバル管理者の資格情報を使用してMicrosoftの管理者ポータルにログインします。

左側のナビゲーションの[設定]グループで、[サービスとアドイン]をクリックします。

[サービスとアドイン]ページが表示されます。

MicrosoftAzure情報保護設定に移動します。

Microsoft Azure InformationProtectionを選択します

Microsoft Azure InformationProtectionウィンドウが右側に表示されます。

[Microsoft Azure情報保護]ウィンドウで、[MicrosoftAzure情報保護設定の管理]をクリックします。

RightsManagementがアクティブ化されていることを確認します。そうでない場合は、[アクティブ化]ボタンをクリックします

この例では、テナントは既にAzure InformationProtection用にアクティブ化されています。

RightsManagementがアクティブ化されているテナント。

Azure Information Protection設定のステータスを確認したら、ブラウザーウィンドウを安全に閉じるか、アプリランチャーからMicrosoft365管理センターに戻ることができます。

Azure InformationProtectionラベルに精通する

Azure Information Protectionには、中小企業を含むほとんどの組織に適用できる既定のポリシーとラベルが事前構成されています。組織のカスタムラベルとポリシーの構成について検討する前に、時間をかけてAzure InformationProtectionの既定の設定について理解してください。カスタムポリシーの作成とテストにかかる多くの作業を節約できる可能性があります。

あなたの場合はOffice 365のテナントが2018年2月後にAzureの情報保護をプロビジョニングして、次のラベルおよび対応する記述がすでに用意されています。

• 個人：非ビジネスデータ、個人使用のみ。
• パブリック：パブリック消費のために特別に準備および承認されたビジネスデータ。
• 一般：一般消費を目的としていないが、必要に応じて外部パートナーと共有できるビジネスデータ。例としては、会社の内部電話帳、組織図、内部標準、およびほとんどの内部通信が含まれます。
• 機密情報：権限のない人と共有した場合にビジネスに損害を与える可能性のある機密性の高いビジネスデータ。例としては、契約、セキュリティレポート、予測の概要、販売アカウントデータなどがあります。機密ラベルはさらに2つのサブラベルに分類されます。
  • 受信者のみ：保護が必要で、受信者のみが表示できる機密データ。このラベルはOutlookにのみ表示され、転送禁止ポリシーが適用されます。
  • すべての従業員：すべての従業員に完全なアクセス許可を許可する保護を必要とする機密データ。データ所有者は、コンテンツを追跡および取り消すことができます。
  • 誰でも（保護されていない）：保護を必要としないデータ。このオプションは、慎重に、適切なビジネス上の正当性を持って使用してください。
• 機密性が高い。許可されていない人と共有された場合にビジネスに損害を与える可能性のある非常に機密性の高いビジネスデータ。例としては、従業員と顧客の情報、パスワード、ソースコード、事前に発表された財務報告などがあります。機密性の高いラベルは、さらに3つのサブラベルに分類されます。
  • 受信者のみ：保護が必要で、受信者のみが表示できる機密性の高いデータ。このラベルはOutlookにのみ表示され、転送禁止ポリシーが適用されます。
  • すべての従業員：すべての従業員がこのコンテンツへのアクセス許可を表示、編集、および返信できるようにする機密性の高いデータ。データ所有者は、コンテンツを追跡および取り消すことができます。
  • 誰でも（保護されていない）：保護を必要としないデータ。このオプションは、慎重に、適切なビジネス上の正当性を持って使用してください。

Office 365テナントが2017年3月21日より前にプロビジョニングされた場合、一般ラベルと機密性の高いラベルが欠落していることがわかります。古いテナントでのそれらの同等物は、それぞれ内部と秘密です。

これらのラベルと対応するポリシーをさらに詳しく調べるには、Azureポータルに移動し、Azure InformationProtectionサービスの設定にアクセスする必要があります。方法は次のとおりです。

上記の手順1〜4に従って、Azure保護情報をアクティブ化します。

[権利管理]ページで、[高度な機能]ボタンをクリックします

新しいブラウザーウィンドウが起動し、Azure Information Protection —ラベルページが表示されます。

Azure Information Protection —Azureの[ラベル]ページ。

機密ラベルと機密性の高いラベルは、デフォルトで折りたたまれています。サブラベルを表示するには、ラベルの左側にある矢印をクリックして選択範囲を展開します。

Azure InformationProtectionポリシーについて一言

[Azure Information Protection —ラベル]ページで、すべてのラベルの[ポリシー]列の下に[グローバル]があることに注意してください。既定では、Azure Information Protectionには、テナント内のすべてのユーザーに適用されるグローバルポリシーが付属しています。このポリシーは編集できますが、削除することはできません。新しいポリシーを作成して心ゆくまで構成することもできますが、グローバルポリシーは常に存在します。

Azure Information Protectionグローバルポリシーの詳細を表示するには、次の手順に従います。

上記の手順1〜4に従って、Azure保護情報をアクティブ化します。

[権利管理]ページで、[高度な機能]ボタンをクリックします

新しいブラウザーウィンドウが起動し、Azure Information Protection —ラベルページが表示されます。

左側のメニューの[分類]グループで、[ポリシー]をクリックします。

右側に、[各ポリシーブレードの管理者名と説明の構成]が表示されます。[ポリシー：グローバル]ブレードが表示されます。

ポリシー：Azure InformationProtectionのグローバルブレード。

グローバルポリシーのデフォルト設定は組織内のすべての人に適用されるため、変更には注意してください。最初に別のポリシーを作成してテストすることをお勧めします。グローバルポリシーを変更する場合は、必ず変更を保存してください。（ブレードを忘れて単に閉じると、変更を保存するように求められます。）

Azure InformationProtectionを実行に移す

Azure Information Protectionの実装は、慎重な計画と組織内の主要な利害関係者の関与なしに行うことではありません。ロールアウトがエンドユーザーに伝達され、トレーニングが提供され、サポートが計画されていることを確認する必要があります。

Microsoft 365 Businessを実装するIT管​​理者は、組織全体にAzure Information Protectionを実装する前に、いくつかのテストを実行し、プロセスに精通している必要があります。MicrosoftAzureでAzureInformation Protectionサービスを検討した後、次のステップは、知っていることを実行に移すことです。このフェーズでは、エンドユーザーが参加する必要があります。

Azure InformationProtectionクライアントのインストール

You can have the greatest policies and labels for Azure Information Protection in Azure, but they’ll be no good if your end users can’t see and apply them. The AIP client, a program that is run on the end users’ devices, solves this problem.

Before you install the AIP client, make sure Office ProPlus is already installed but not running on the device. When you’re ready to install the AIP client, do the following:

Navigate to the Azure Information Protection client download page.

The Microsoft Download Center appears.

Click the Download button.

The Choose the Download You Want window is displayed.

Select AzInfoProtection.exe by selecting the box and then click Next.

Downloading the Azure Information Protection client.

From the notification that pops up at the bottom of your screen, click (or double-click) Run.

The system performs a security check on the download. When the check is complete, the Microsoft Azure Information Protection window pops up.

Installation window for Azure Information Protection.

Click the I Agree button.

You can opt to install a demo policy (not recommended because it will clutter your user interface) or send usage statistics to Microsoft or both.

In the User Account Control window that displays, click Yes to start the installation.

You see the progress of the installation.

When the Microsoft Azure Information Protection window displays Completed Successfully, click the Close button.

インストールウィンドウが消え、Azure Information Protectionクライアントが正常にインストールされたことを確認する準備が整いました。インストールを確認するには、Wordで空白のドキュメントを開きます。リボンの下にラベルが表示されます。

Wordに表示されるAzureInformationProtectionラベル。

ドキュメントにラベルを適用する

Azure Information Protectionクライアントがインストールされ、Officeアプリケーションにラベルが表示されたので、次はそれをテストします。

Word文書を作成し、機密性の高いふりをします。

[機密性]バーで、[機密性が高い]をクリックし、[すべての従業員]を選択します。

機密性の高い/すべての従業員のラベルを適用します。

ラベルが適用され、他のラベルは消えます。

Outlookを実行し、新しい電子メールを開始して、Word文書を添付します。

Outlookは、Wordで見たのと同じラベルで感度バーを表示することに注意してください。

組織内のユーザーのメールアドレスを入力します。

組織外のメールアドレスを入力し、[送信]をクリックします。

Outlookは、機密性の高い/すべての従業員のラベルが付いた電子メールを受信者に送信します。この演習では、電子メールは引き続き内部ユーザーと外部ユーザーの両方に送信されます。内部ユーザーは、共有の招待状からドキュメントを開いて読むことができます。ただし、外部ユーザーはドキュメントを開くことができなくなり、ここに示すメッセージが表示されます。

機密文書からブロックされた外部ユーザー。

情報へのアクセスを取り消す

Azure Information Protectionは、会社の情報が悪意のある人の手に渡った後でも、悪意のある人の手に渡らないように保護します。

たとえば、誤ってドキュメントを間違った人に送信したことに気づき、ドキュメントへのすべてのアクセスを取り消すことで状況を改善したいとします。上記の例から続けて、できることは次のとおりです。

前の演習で保護されたWord文書を開きます。

黄色のバーが表示され、ドキュメントの機密性を示し、ドキュメントのアクセス許可を表示するためのボタンが含まれています。

リボンで、[ホーム]をクリックし、[保護]ボタンをクリックします。

[保護]ボタンの下にサブメニューが表示されます。

ドキュメント追跡サイトへのアクセス。

サブメニューで、[追跡して取り消す]をクリックして、ドキュメント追跡サイトを起動します。

ブラウザが起動して、ドキュメント追跡サイトに移動します。

サイトに初めてアクセスする場合は、Microsoft 365Businessの資格情報を使用してログインします。

ログインに成功すると、ドキュメント追跡サイトにドキュメントのビューの概要が表示されます。タブを調べて、Azure InformationProtectionの堅牢な機能を確認してください。

ドキュメント追跡サイト。

ドキュメント追跡サイトの下部にある[アクセスを取り消す]ボタンをクリックします。

アクセスの取り消しページが表示されます。

ページ下部の[確認]ボタンをクリックします。

[完了を取り消す]ウィンドウが表示されます。

[続行]をクリックして、ドキュメント追跡ページに戻ります。

概要ビューで、ドキュメントに取り消されたスタンプが表示されます。

このソリューションで最も驚くべき機能の1つは、[マップ]タブで、世界中のユーザーがドキュメントにアクセスしようとした場所を確認できることです。したがって、たとえば、ロシアまたはTimbuktuの誰かが、すべてのユーザーが米国にいるにもかかわらず、ドキュメントを開こうとしたことがわかった場合は、ドキュメントへのアクセスを取り消す必要があることがわかります。