新しいメッセージ保護機能について質問がある場合は、 ここで回答をご覧ください。 また、Azure Information Protectionのデータ保護に関してよく寄せられる質問に関する質問を参照して、Azure Information Protectionのデータ保護サービスである Azure Rights Management に関する質問に対する回答を確認してください。
Microsoft Purview Message Encryptionとは
Microsoft Purview Message Encryptionは、電子メールの暗号化と権限管理機能を組み合わせたものになります。 著作権管理機能は Azure Information Protection を利用しています。
誰がMicrosoft Purview Message Encryptionを使用できますか?
Microsoft Purview Message Encryptionは、次の条件で使用できます。
Exchange 用Office 365メッセージ暗号化 (OME) または Information Rights Management (IRM) を設定していない場合。
OME と IRM を設定する場合は、Azure Information Protectionの Azure Rights Management サービスも使用している場合は、次の手順を使用できます。
Active Directory Rights Management サービス (AD RMS) で Exchange を使用している場合、これらの新機能をすぐに有効にすることはできません。 代わりに、AD RMS から Azure Information Protection に移行する必要があります。 移行を完了すると、Microsoft Purview Message Encryptionを正常に設定できます。
Azure Information Protection に移行するのではなく、Exchange でオンプレミスの AD RMS を引き続き使用する場合は、Microsoft Purview Message Encryptionを使用できません。
Microsoft Purview Message Encryptionを使用する必要があるサブスクリプションは何ですか?
Microsoft Purview Message Encryptionを使用するには、次のいずれかのプランが必要です。
Microsoft Purview Message Encryptionは、Office 365 Enterprise E3 と E5、Microsoft 365 Enterprise E3 および E5、Microsoft 365 Business Premium、Office 365 A1、A3、A5、Office 365 Government G3と G5。 Azure Information Protectionを利用する新しい保護機能を受け取るために、追加のライセンスは必要ありません。
Azure Information Protection プラン 1 を次のプランに追加して、Microsoft Purview Message Encryptionを受け取ることもできます。Exchange プラン 1、Exchange プラン 2、Office 365 F3、Microsoft 365 Business Basic、Microsoft 365 Business Standard、または E1 Office 365 Enterprise。
Microsoft Purview Message Encryptionの恩恵を受ける各ユーザーには、メッセージ暗号化を使用するためのライセンスが必要です。
完全な一覧については、Microsoft Purview Message Encryptionの Exchange サービスの説明を参照してください。
Azure Information Protection で Bring Your Own Key (BYOK) で Exchange を使用できますか?
はい。 Microsoft では、Microsoft Purview Message Encryptionを設定する前に BYOK を設定する手順を完了することをお勧めします。
BYOK の詳細については、「Azure Information Protection テナント キーを計画して実装する」を参照してください。
Azure を使用したMicrosoft Purview Message Encryptionと BYOK Information Protection、召喚状などの Microsoft 以外のデータ要求に対する Microsoft のアプローチを変更しますか?
いいえ。 Microsoft Purview Message Encryptionと、Azure Information Protection から BYOK と呼ばれる独自の暗号化キーを提供および制御するオプションは、法執行機関の召喚状に対応するように設計されていません。 OME と Azure Information Protection の BYOK は、規制遵守を重視する組織向けに設計されています。 Microsoft は、顧客データの要求を真剣に受け取ります。 クラウド サービス プロバイダーとして、お客様のデータのプライバシーを常にサポートします。 召喚状が発生した場合は、常に要求を直接ユーザーにリダイレクトして情報を取得しようとします。 (Brad Smith のブログ「政府機関による監視から顧客データを保護する」を参照してください)。 Microsoft は、受け取った要求の詳細情報を定期的に公開しています。 Microsoft 以外のデータ要求の詳細については、「Microsoft セキュリティ センターで 顧客データにアクセスするための政府および法執行機関の要求への対応 」を参照してください。 オンライン サービスの使用条件 (OST) で「顧客データの開示」も参照してください。
この機能は、従来の Office 365 Message Encryption (OME) および Information Rights Management (IRM) 機能とどのように関連していますか?
Microsoft Purview Message Encryptionは、既存の IRM とレガシ OME ソリューションの進化です。 以下の表に詳細を示します。
レガシ OME、IRM、およびMicrosoft Purview Message Encryptionの比較
| 機能 | 以前のバージョンの OME | IRM | Microsoft Purview のメッセージの暗号化 |
|---|---|---|---|
| 暗号化されたメールを送信する | Exchange メール フロー ルールを使用した場合のみ | Outlook for Windows、Outlook for Mac、Outlook on the web から、または Exchange メール フロー ルールを使用して開始したエンドユーザー | Outlook for Windows、Outlook for Mac、Outlook on the web から、またはメール フロー ルールを使用して開始したエンドユーザー |
| 著作権管理 | - | [転送不可] オプションとカスタム テンプレート | [転送不可] オプション、[暗号化のみ] オプション、既定とカスタム テンプレート |
| サポートされる受信者の種類 | 外部受信者のみ | 内部受信者のみ | 内部および外部受信者 |
| 受信者のエクスペリエンス | 外部受信者は、ダウンロードを実行し、ブラウザーまたはダウンロードしたモバイル アプリで開いたことを通知する HTML メッセージを受信しました。 | 内部受信者は、Outlook for Windows、Outlook for Mac、Outlook on the web でのみ暗号化されたメールを受信しました。 | 内部および外部の受信者は、Outlook for Windows、Outlook for Mac、Outlook on the web、Outlook for Android、Outlook for iOS、または Web ポータルを介して、同じorganizationまたは任意のorganizationに関係なく電子メールを受信します。 暗号化されたメッセージ ポータルでは、個別のダウンロードは必要ありません。 |
| Bring Your Own Key サポート | 使用不可 | 使用不可 | BYOK がサポートされています |
organizationのMicrosoft Purview Message Encryptionを有効にする操作方法
「Microsoft Purview Message Encryptionのセットアップ」を参照してください。
Office 365メッセージ暗号化は非推奨ですか?
Office 365 メッセージ暗号化 (OME) は、2023 年 7 月 1 日に非推奨となりました。 自動的に Microsoft Purview Message Encryption に置き換えられます。 アクティブな送信者メールボックスがある場合でも、OME からのメールを表示できます。
組織で Active Directory Rights Management を使用している場合、この機能を使用できますか?
いいえ。 Active Directory Rights Management サービス (AD RMS) でExchange Onlineを使用している場合、これらの新機能をすぐに有効にすることはできません。 代わりに、AD RMS から Azure Information Protection に移行する必要があります。
組織に Exchange ハイブリッド展開がある場合、 この機能を利用できますか?
オンプレミス ユーザーは、Exchange Online のメール フロー ルールを使用して暗号化されたメールを送信できます。 Exchange 経由でメールをルーティングする必要があります。 詳細については、「パート 2: 電子メール サーバーから Microsoft 365 にメールが流れるように構成する」を参照してください。
暗号化されたメッセージを作成するために使用する必要があるメール クライアントは何ですか? 保護されたメッセージの送信がサポートされているアプリケーションはどれですか?
保護されたメッセージは、Outlook 2016、Outlook 2013 for Windows、Outlook 2013 for Mac、および Outlook on the web から作成できます。 暗号化されたメッセージを送信することの詳細については、「PC 版 Outlook での暗号化されたメッセージの送信、表示、および返信」を参照してください。
保護されたメールの閲覧と返信がサポートされているメール クライアントはどれですか?
Microsoft 365 ユーザーは、Outlook for Windows と Outlook for Mac (2013 と 2016)、Outlook on the web、および Outlook モバイル (Android と iOS) から閲覧して返信できます。 組織で許可されている場合は、iOS のネイティブ メール クライアントも使用できます。 Microsoft 365 ユーザーでない場合は、Web ブラウザーを使用して、Web 上の暗号化されたメッセージを読み取って返信できます。
暗号化のみの保護されたメールは、どのメール クライアントでサポートされていますか?
Microsoft 365 ユーザーは、PC 版 Outlook バージョン 2019 および Microsoft 365 を使用して、暗号化のみのポリシーで保護されたメールを作成できます。 暗号化専用ポリシーが適用されているメッセージは、Outlook on the web、Outlook for iOS および Android、および Outlook for PC バージョン 2019 および Microsoft 365 で直接読み取ることができます。
OME で送信できるメッセージのサイズに制限はありますか?
はい。 添付ファイルを含め、Microsoft Purview Message Encryptionで送信できる最大メッセージ サイズは 25 MB です。 詳細については、「メッセージの制限」を参照してください。
OME で暗号化されたメッセージを送信できる受信者の数に制限はありますか?
はい。 Exchange ハイブリッド展開などの コネクタ が構成されている場合、 BCC 行に受信者を含めると、メールが暗号化される前に BCC 受信者が削除されます。 ベスト プラクティスは、Exchange Onlineに移動するか、[宛先] または [CC] フィールドにすべての受信者を配置することです。
暗号化されたメッセージ ポータルでサポートされるメッセージの種類は何ですか?
暗号化されたメッセージ ポータルでは、メールのみがサポートされます。 ポータルでは、予定表やボイス メールなどの他のメッセージの種類はサポートされていません。
保護されたメールの添付ファイルとしてサポートされているファイルの種類は何ですか? 添付ファイルは、保護されたメールに関連付けられている保護ポリシーとアクセス許可を継承しますか? PDF はどうですか?
保護されたメールには、あらゆる種類のファイルを添付できます。 保護ポリシーは、「 サポートされているファイルの種類」で説明されているファイル形式のサブセットにのみ適用されます。 既定では、Microsoft Purview Message Encryptionは次の Office ファイル拡張子を暗号化します。
- docx
- docm
- dotx
- dotm
- pptx
- pptm
- potx
- potm
- ppsx
- ppsm
- thmx
- xlsx
- xlsm
- xlsb
- xltx
- xltm
- xlam
- xps
Microsoft Purview Message Encryptionでは、Word (.doc)、Excel (.xls)、PowerPoint (.ppt) の 97-2003 バージョンの Office プログラムはサポートされていません。
さらに、Exchange Onlineで有効になっている場合、PDF 暗号化を使用すると、電子メールに添付された機密性の高い PDF ドキュメントを保護できます。 電子メールを送信すると、Office 365 サービスは、次のような最新バージョンの Outlook の PDF ファイルの添付ファイルを暗号化します。
- Outlook (新規) デスクトップ
- Outlook on the web
- Outlook for Mac
- Outlook for iOS
- Outlook for Android
テナントで少なくとも Information Rights Management ロールを持つ職場または学校アカウントを使用して、PDF 添付ファイルの暗号化を有効にするには、PowerShell で次のコマンドExchange Online実行します。
Set-IRMConfiguration -EnablePdfEncryption $true
保護は、メールから暗号化されていない添付ファイルにのみ継承されます。 Word、Excel、PowerPoint ファイルなどのファイル形式がサポートされている場合、受信者が添付ファイルをダウンロードした後でも、ファイルは常に保護されます。
たとえば、添付ファイルが転送不可によって保護されているとします。 元の受信者がファイルをダウンロードし、新しい受信者にメッセージを作成し、ファイルを添付します。 新しい受信者がファイルを受信すると、ファイルを開くできなくなります。
SharePoint または OneDrive の添付ファイルはサポートされていますか?
Not yet. SharePoint または OneDrive の添付ファイルはサポートされていません。 メール メッセージは暗号化できますが、クラウドの添付ファイルは暗号化できません。
保護されたメールの暗号化された添付ファイルのプレビューは、どのメール クライアントでサポートされていますか?
保護されたメールで添付ファイルが保護されている場合は、Outlook クライアントを使用してドキュメントを直接プレビューできます。 Outlook では、Office ドキュメント (docx、xlsx、pptx、doc、xls、ppt) のプレビューがサポートされています。 Outlook on the web では、Office ドキュメント (docx、xlsx、pptx) と PDF のプレビューがサポートされています。
保護されたメールの失効は、どのメール クライアントでサポートされていますか?
Outlook on the web では、保護されたメールの失効がサポートされています。 詳細については、「送信した暗号化されたメッセージを取り消す方法」を参照してください。
暗号化されたメッセージ ポータルでは、保護されたメールの暗号化された添付ファイルのプレビューがサポートされていますか?
暗号化されたメッセージ ポータルでは、暗号化されたメールに追加された暗号化された添付ファイルのコピーのプレビューがサポートされます。 サポート ファイルの種類には、Word、Excel、PowerPoint、PDF ファイルが含まれます。
ポリシーを設定してメッセージを自動的に暗号化することはできますか?
はい。 Exchange Online でメール フロー ルールを使用して、特定の条件に基づいてメッセージを自動的に暗号化します。 たとえば、受信者 ID、受信者ドメイン、またはメッセージの本文や件名の内容に基づくポリシーを作成できます。 「Office 365 でメール メッセージを暗号化するためにメール フロー ルールを定義する」を参照してください。
受信メールと送信メールの暗号化を自動的に削除することはできますか?
管理者は、メール フロー ルールを設定して送信メールの暗号化を削除できます。 Exchange Online organizationから送信された受信メールの暗号化を削除するルールのみを設定できます。
ジャーナル メールの暗号化を自動的に削除できますか?
Exchange Onlineメールボックスの場合、管理者はジャーナルの暗号化解除を有効にし、Exchange Onlineジャーナリング ルールを設定して、メールの暗号化解除されたコピーをジャーナリング メールボックスに生成する必要があります。 ジャーナリング ルールは、暗号化されたメールまたは添付ファイルを受け取り、元のメールと暗号化解除されたコピーをジャーナリング メールボックスに送信します。 暗号化されたアイテムがorganizationから送信された場合にのみ、メールまたは添付ファイルを復号化できるジャーナリング ルールを設定できます。
Exchange Onlineジャーナリングを有効にするには:
Set-IRMConfiguration -JournalReportDecryptionEnabled $true
Microsoft Purview コンプライアンス ポータルを介してデータ損失防止 (DLP) でポリシーを設定して、メッセージを自動的に暗号化できますか?
はい。 メール フロー ルールは、Exchange Onlineで設定することも、Microsoft Purview コンプライアンス ポータルで DLP を使用して設定することもできます。
暗号化されたメッセージを企業ブランドでカスタマイズすることはできますか?
はい。organizationのExchange Onlineメールボックスから送信されたメールの場合は 。 電子メール メッセージと暗号化されたメッセージ ポータルのカスタマイズについては、「暗号化されたメッセージにorganizationのブランドを追加する」を参照してください。
暗号化されたメッセージ ポータル アクティビティ ログは、どのような種類の受信者で機能しますか?
暗号化されたメッセージ ポータル アクティビティ ログは、暗号化されたメッセージ ポータルにアクセスすることで、外部受信者のイベントのみをキャプチャします。 外部受信者によってトリガーされた電子メール クライアント内のアクティビティは記録されません。 内部受信者については、「Purview Audit (Premium) -メール アイテムアクセスログ」の「MailItemsAccessed メールボックス監査アクション」を参照してください。
暗号化されたメールのためのレポート機能や分析情報はありますか?
Microsoft Purview コンプライアンス ポータルに暗号化レポートがあります。 Microsoft Purview コンプライアンス ポータルでの電子メール セキュリティ レポートの表示に関するページを参照してください。
電子情報開示などのコンプライアンス機能でメッセージの暗号化を使用することはできますか?
はい。Microsoft Purview Message Encryptionによって保護されているほとんどのメッセージは検出可能です。 Microsoft Purview Message Encryptionメール フロー ルールを通じてカスタム ブランドが適用されている別の Microsoft 365 organizationから受信する保護されたメールは、電子情報開示サービスでは検出できません。 つまり、メールにユーザーのメールボックスからアクセスできないのではなく、暗号化されたメッセージ ポータルへのリンクを介してのみ表示される場合、メールは検索できません。 詳細については、「暗号化されたアイテムをサポートする電子情報開示アクティビティ」を参照してください。
共有メールボックスとして送信し、メールを暗号化することはできますか?
メール メッセージが暗号化メール フロー ルールと一致すると、Exchange によって送信されるメッセージが暗号化されます。
共有メールボックスに送信された暗号化されたメッセージを開くことはできますか?
はい。 共有メールボックスの暗号化されたメッセージを開くことができます。 メールが同じorganizationから送信されると、サポートされている Outlook クライアントにサインインしているときにメールを開くことができます。 メールが外部organizationから送信される場合は、Outlook on the webを使用する必要があります。
ユーザーは、共有メールボックスが配布グループの一部として保護されたメールを受信した場合、共有メールボックスの保護されたメールを開くことができます。
ユーザーは、Outlook for Windows、Outlook for Mac、Outlook for Android、Outlook for iOS、Outlook on the webを使用するときに、メールから保護を継承する添付ファイルを表示できます。
次の表に、共有メールボックスがサポートされるクライアントの一覧を示します。
| プラットフォーム | メールを読む | メールの添付ファイルを表示する |
|---|---|---|
| Outlook on the web | はい | はい |
| Outlook for Windows | はい | はい* |
| Outlook for Mac | はい | はい |
| Outlook for Android | はい | はい* |
| Outlook for iOS | はい | はい* |
注:
Android と iOS では、Office モバイル アプリを使用して暗号化された添付ファイルを表示し、Outlook モバイルでは添付ファイルを直接表示しません。 Outlook for Windows では、ユーザーが共有メールボックスに直接取り込まれたときに、暗号化された添付ファイルを表示できます。 (ユーザー割り当てについては、以下を参照してください)。
現在、2 つの既知の制限があります。
モバイル デバイスで受信するメールの添付ファイルを Outlook モバイルを使用して開くことはできません。
ユーザーが暗号化されたメールを Outlook for Windows で直接表示できるようにするには、次の 2 つの方法があります。
- フル アクセス許可と自動マッピングが有効になっている共有メールボックスにユーザーを直接割り当てます。 Outlook 64 ビットの場合、ユーザーをメールボックスに直接割り当てる必要はありません。 Exchange では、自動マッピングが既定で有効になっています。
- メールが有効なセキュリティ グループを共有メールボックスに割り当てます。 この方法では、Outlook バージョン 2402 が必要であり、2024 年 6 月以降に生成されたメールのみがサポートされます。
共有メールボックスにユーザーを割り当てるには
Automappingパラメーターを使用して、Add-MailboxPermissionコマンドレットを実行します。 この例では、Ayla にサポート メールボックスへのフル アクセス許可を付与します。Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User ayla@contoso.com -AccessRights FullAccess -AutoMapping $true
メールが有効なセキュリティ グループを共有メールボックスに割り当てるには
この方法を使用するには、[ 転送不可 ] または [暗号化のみ] 保護オプションを使用 してメールを暗号化する 必要があります。 organization内で送信された共有メールボックスまたはメールによって開始されたメールのみを開くことができます。
Add-MailboxPermissionコマンドレットを実行して、セキュリティ グループを割り当てます。 次の例では、Contoso フロント デスク セキュリティ グループにサポート メールボックスへのフル アクセス許可を付与します。Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User frontdesk@contoso.com -AccessRights FullAccess
暗号化されたメッセージを開くときに代理アクセスはサポートされていますか? 代理人が別のユーザーのメールボックスに対するフル アクセスを持っている場合は、どうなりますか?
代理人にユーザーのメールボックスへのフル アクセス許可が付与されている場合、暗号化されたメールの委任されたアクセスは、Outlook on the web、Outlook for Mac、Outlook for iOS、および Outlook for Android でサポートされます。 Outlook for Windows では、委任されたアクセスはサポートされていません。
暗号化されたメッセージ ポータルでメールにアクセスできる期間はどのくらいですか?
暗号化されたメッセージ ポータルにサインインして、送信者のorganizationがアクティブで、メールの有効期限が切れる構成になっていない限り、メールを取得できます。
要求した後にワンタイム パス コードを受け取らない場合はどうすればよいですか?
まずは、メール クライアントの迷惑メール フォルダーまたはスパム フォルダーを確認します。 organizationの DKIM と DMARC の設定により、これらのメールがスパムとしてフィルター処理される可能性があります。
次に、コンプライアンス ポータルで検疫をチェックします。 多くの場合、ワンタイム パス コードを含むメッセージは検疫されます。組織が初めて受信するメッセージの場合は特にそうです。