Azure Information Protection による保護サービスのアクティブ化

この記事では、管理者が Azure Information Protection (AIP) 用に Azure Rights Management 保護サービスをアクティブ化する方法について説明します。 保護サービスを組織に対してアクティブにすると、この情報保護ソリューションをサポートするアプリケーションとサービスを使用して、管理者とユーザーが重要なデータを保護し始めることができます。 管理リストレーターは、組織が所有する保護されたドキュメントや電子メールを管理および監視することもできます。

この記事の構成情報は、組織内のすべてのユーザーに適用されるサービスを担当する管理者を対象としています。 特定のアプリケーションの Rights Management 機能を使用するためのユーザー ヘルプと情報、または権限で保護されたファイルまたは電子メールを開く方法を探している場合は、アプリケーションに付属するヘルプとガイダンスを使用します。

Azure Rights Management の自動アクティブ化

Azure Rights Management を含むサービス プランを持っている場合は、サービスをアクティブにする必要がない可能性があります。

  • Azure Rights Management または Azure Information Protection を含むサブスクリプションが 2018 年 2 月末以降に取得された場合:サービスは自動的にアクティブ化されます。 組織の別のグローバル管理者が Azure Rights Management を非アクティブ化しない限り、サービスをアクティブ化する必要はありません。

  • Azure Rights Management または Azure Information Protection を含むサブスクリプションが 2018 年 2 月以前または中に取得された場合:テナントが Exchange Online を使用している場合、Microsoft はこれらのサブスクリプションに対して Azure Rights Management サービスをアクティブ化します。 これらのサブスクリプションの場合、Get-IRMConfiguration を実行するときに AutomaticServiceUpdateEnabledfalse に設定されていない場合に限り、サービスが自動的にアクティブ化されます。

示されたシナリオがどちらも当てはまらない場合は、保護サービスを手動でアクティブ化する必要があります。

保護サービスの状態をアクティブ化または確認する方法

重要

組織に Active Directory Rights Management サービス (AD RMS) がデプロイされている場合は、保護サービスをアクティブ化しないでください。 詳細情報

保護サービスをアクティブ化するには、組織に Azure Information Protection の Azure Rights Management サービスを含むサービス プランが必要です。 詳細については、セキュリティに関する Microsoft 365 ライセンス ガイダンス&コンプライアンスページを参照してください。

保護サービスをアクティブにした後は、組織内のすべてのユーザーが各自のドキュメントや電子メールに情報保護を適用したり、このサービスで保護されているドキュメントや電子メールを開く (使用する) ことができます。 ただし、必要に応じて、段階的な展開にオンボード コントロールを使用して、情報保護を適用できるユーザーを制限できます。 詳細については、この記事の「段階的展開のためのオンボーディング制御の構成」セクションを参照してください。

PowerShell を使用して保護をアクティブにする

PowerShell を使用して Rights Management 保護サービス (Azure RMS) をアクティブ化する必要があります。 Azure portal からこのサービスをアクティブ化または非アクティブ化することはできなくなります。

  1. 保護サービスを構成および管理するには、AIPService モジュールをインストールします。 手順については、「AIPService PowerShell モジュールのインストール」を参照してください。

  2. PowerShell セッションから Connect-AipService を実行し、メッセージが表示されたら、Azure Information Protection テナントのグローバル管理者アカウントの詳細を指定します。

  3. Get-AipService を実行し、保護サービスがアクティブになっていることを確認します。 有効の状態はアクティブ化を確認します。 無効は、サービスが非アクティブ化されていることを示します。

  4. サービスをアクティブにするには、Enable-AipService を実行します。

段階的な展開のオンボード コントロールの構成

すべてのユーザーが Azure Information Protection を使用してすぐにドキュメントや電子メールを保護できるようにしたくない場合は、Set-AipServiceOnboardingControlPolicy PowerShell コマンドを使用してユーザー オンボーディング コントロールを構成できます。 このコマンドは、Azure Rights Management サービスをアクティブ化する前または後に実行できます。

たとえば、最初に "IT 部門" グループ (fbb99ded-32a0-45f1-b038-38b519009503 のオブジェクト ID を持つ) の管理者のみがテスト目的でコンテンツを保護できるようにする場合は、次のコマンドを使用します。

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fbb99ded-32a0-45f1-b038-38b519009503"

この構成オプションでは、グループを指定する必要があることに注意してください。個々のユーザーを指定することはできません。 グループのオブジェクト ID を取得するには、Microsoft Graph PowerShell を使用できます。たとえば、モジュールのバージョン 1.0 では、Get-MgGroup コマンドを使用します。 または、Azure portal からグループのオブジェクト ID 値をコピーできます。

または、Azure Information Protection を使用するライセンスが正しいユーザーのみがコンテンツを保護できるようにする場合は、次のようにします。

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True

オンボーディング コントロールを使用する必要がなくなったら、グループとライセンスのどちらのオプションを使用したかに関係なく、次のコマンドを実行します。

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False

このコマンドレットとその他の例の詳細については、Set-AipServiceOnboardingControlPolicy のヘルプを参照してください。

これらのオンボーディング コントロールを使用すると、組織内のすべてのユーザーは、ユーザーのサブセットによって保護されている保護されたコンテンツを常に使用できますが、クライアント アプリケーションから情報保護自体を適用することはできません。 Exchange などのサーバー側のアプリケーションには、同じ結果を達成するための、独自のユーザー単位コントロールを実装する機能があります。 たとえば、ユーザーが Web 上の Outlook on the web でメールを保護できないようにするには、Set-OwaMailboxPolicy を使用して IRMEnabled パラメーターを $false に設定します。

次のステップ

組織の保護サービスがアクティブになったので、アプリとサービスは暗号化を適用してデータを保護できます。 暗号化を適用する最も簡単な方法の 1 つは、Microsoft Purview 情報保護の秘密度ラベルを使用することです。