Azure Information Protection ラベルを統合秘密度ラベルに移行する方法
統合ラベル付けをサポートするクライアントおよびサービスで秘密度ラベルとして使用できるように、Azure Information Protection ラベルを統合ラベル付けプラットフォームに移行します。
Note
Azure Information Protection サブスクリプションがかなり新しい場合、テナントは既に統合ラベル付けプラットフォーム上にあるため、ラベルの移行は必要ない可能性があります。
ラベルの移行後、このクライアントではラベルと Azure Information Protection ポリシーが引き続き Azure portal からダウンロードされるので、Azure Information Protection クラシック クライアントとの違いは表示されません。 ただし、Azure Information Protection 統合ラベル付けクライアントと、秘密度ラベルを使用するその他のクライアントおよびサービスでラベルを使用できるようになります。
ラベルの移行手順を読む前に、次のよく寄せられる質問が役立つ場合があります。
統合ラベル付けプラットフォームをサポートする管理者ロール
組織内の委任された管理に管理者ロールを使用する場合は、統合ラベル付けプラットフォームに対していくつかの変更を行う必要がある可能性があります。
Azure Information Protection 管理者 (旧称 Information Protection 管理者) の Microsoft Entra ロール は、統合ラベル付けプラットフォームではサポートされていません。 お客様の組織でAzure Information Protection の管理に使用されている場合は、このロールを持つユーザーを コンプライアンス管理者、 コンプライアンス データ管理者、または セキュリティ管理者の Microsoft Entra ロールに追加してください。 この手順に関してサポートが必要な場合は、「ユーザーに Microsoft Purview コンプライアンス ポータルへのアクセス権を付与する」を参照してください。 Microsoft Entra 管理センターと Microsoft Purview コンプライアンス ポータルでこれらのロールを割り当てることもできます。
これらのロールの代わりに、Microsoft Purview コンプライアンス ポータルで、これらのユーザー用の新しいロール グループを作成し、そのグループに [秘密度ラベル管理者] または [組織構成] ロールを追加できます。
これらの構成のいずれかを使用して Microsoft Purview コンプライアンス ポータルへのアクセス権をこれらのユーザーに付与しなかった場合、ラベルの移行後にこれらのユーザーは Azure portal で Azure Information Protection を構成できなくなります。
ラベルの移行後も、テナントのグローバル管理者は Azure portal および Microsoft Purview コンプライアンス ポータルの両方で引き続きラベルとポリシーを管理できます。
開始する前に
ラベルの移行には多くの利点がありますが、元に戻すことはできません。 移行する前に、次の変更内容と考慮事項に注意してください。
- 統合ラベル付けのためのクライアント サポート
- ポリシーの構成
- 保護テンプレート
- 表示名
- ラベル内のローカライズされた文字列
- 移行されたラベルの Microsoft Purview コンプライアンス ポータルでの編集
- Microsoft Purview コンプライアンス ポータルでサポートされていないラベル設定
- ラベルの保護設定の動作の比較
統合ラベル付けのためのクライアント サポート
統合ラベルをサポートするクライアント があることを確認し、必要に応じて、Azure portal (統合ラベルをサポートしていないクライアント用) と Microsoft Purview コンプライアンス ポータル (統合ラベルをサポートしているクライアント用) の両方で管理できるように準備してください。
ポリシーの構成
ポリシー (ポリシー設定を含む)、それらにアクセスできるユーザー (スコープ ポリシー) と、すべてのクライアント詳細設定は移行されません。 ラベルの移行後にこれらの設定を構成するオプションは次のとおりです。
- Microsoft Purview コンプライアンス ポータル
- セキュリティ & コンプライアンス PowerShell。 クライアントの詳細設定を構成するために使用する必要があります。
重要
Microsoft Purview コンプライアンス ポータルでは、移行されたラベルの設定の一部はサポートされません。 それらの設定と推奨されるアクションを確認するには、「Microsoft Purview コンプライアンス ポータルでサポートされていないラベル設定」セクションの表を使用します。
保護テンプレート
クラウドベースのキーを使用し、ラベル構成の一部であるテンプレートも、ラベルと共に移行されます。 その他の保護テンプレートは移行されません。
定義済みのテンプレート用に構成されたラベルがある場合は、これらのラベルを編集し、[アクセス許可の設定] オプションを選択して、テンプレートに含まれているのと同じ保護設定を構成します。 定義済みのテンプレートを使用したラベルによってラベルの移行はブロックされません。しかし、このラベル構成は Microsoft Purview コンプライアンス ポータルではサポートされていません。
ヒント
これらのラベルを再構成する場合は、2 つのブラウザー ウィンドウを使用すると便利です。1 つのウィンドウでは、ラベル用の [テンプレートの編集] ボタンを選択して保護設定を表示します。もう 1 つのウィンドウでは、 [アクセス許可の設定] を選択したときと同じ設定を構成します。
クラウドベースの保護設定を使用するラベルを移行すると、保護テンプレートの結果的に生成されるスコープは、Azure portal で (または AIPService PowerShell モジュールを使用することで) 定義されるスコープであり、Microsoft Purview コンプライアンス ポータルで定義されるスコープとなります。
表示名
ラベルごとに、Azure portal にはラベルの表示名のみが表示され、編集できます。 ユーザーには、このラベル名はアプリで表示されます。
Microsoft Purview コンプライアンス ポータルには、ラベルのこの表示名とラベル名の両方が表示されます。 ラベル名は、ラベルが最初に作成されたときに指定した最初の名前です。このプロパティは、識別目的でバックエンド サービスによって使用されます。 ラベルを移行しても表示名は同じままで、ラベル名は Azure portal からラベル ID に変更されます。
競合する表示名
移行前に、移行の完了後に競合する表示名が存在しないようにしてください。 ラベル付け階層内の同じ場所にある表示名は一意である必要があります。
たとえば、次のラベルの一覧を考えてみます。
- パブリック
- 全般
- 機密
- 社外秘 \ 人事
- 社外秘 \ 財務
- シークレット
- シークレット \ 人事
- シークレット \ 財務
この一覧では、 パブリック、 全般、 社外秘、 シークレット はすべて親ラベルであり、重複する名前を持つことはできません。 さらに、 Confidential\HR と Confidential\Finance は階層内の同じ場所にあり、こちらも重複する名前を持つことはできません。
ただし、 Confidential\HR や Secret\HR など、異なる親間のサブラベルは階層内の同じ場所にないので、同じ個々の名前を持つことができます。
ラベル内のローカライズされた文字列
ラベルのローカライズされた文字列は移行されません。 セキュリティ & コンプライアンスPowerShellと Set-Labelの LocaleSettings パラメータを使用して、移行されたラベルの新しいローカライズされた文字列を定義します。
移行されたラベルの Microsoft Purview コンプライアンス ポータルでの編集
移行後、移行したラベルを Azure portal で編集すると、Microsoft Purview コンプライアンス ポータルで同じ変更内容が自動的に反映されます。
ただし、移行したラベルを Microsoft Purview コンプライアンス ポータルで編集する場合は、Azure portal に戻って、 [Azure Information Protection - 統合ラベル付け] ペインで [発行] を選ぶ必要があります。
Azure Information Protection クライアント (クラシック) でラベルの変更を取得するには、この追加のアクションが必要です。
Microsoft Purview コンプライアンス ポータルでサポートされていないラベル設定
移行されたラベルのうち Microsoft Purview コンプライアンス ポータルでサポートされていない構成設定を判別するには、次の表を使用します。 そのような設定が含まれているラベルがある場合は、移行の完了時に、最後の列にある管理ガイダンスを使用してから Microsoft Purview コンプライアンス ポータルでラベルを発行してください。
ラベルがどのように構成されているかがわからない場合は、Azure portal で設定を確認してください。 このステップに関するヘルプが必要な場合は、「Azure portal に Azure Information Protection ポリシーの構成」を参照してください。
Azure Information Protection クライアント (クラシック) では、一覧表示されているラベル設定をすべて何の問題もなく使用できます。これは Azure portal から引き続きラベルがダウンロードされるからです。
ラベルの構成 | 統合ラベル付けクライアントでサポートされる | Microsoft Purview コンプライアンス ポータルのガイダンス |
---|---|---|
有効または無効の状態 この状態は Microsoft Purview コンプライアンス ポータルに同期されない |
適用なし | これに相当するのは、ラベルが発行されているかどうかです。 |
リストから選択するか、RGB コードを使用して指定するラベルの色 | はい | ラベルの色の構成オプションはありません。 代わりに、Azure portal でラベルの色を構成するか、 PowerShellを使用できます。 |
定義済みのテンプレートを使用したクラウドベースの保護または HYOK ベースの保護 | いいえ | 定義済みのテンプレートの構成オプションはありません。 この構成でラベルを発行することはお勧めしません。 |
Word、Excel、PowerPoint のユーザー定義アクセス許可を使用したクラウドベースの保護 | はい | Microsoft Purview コンプライアンス ポータルでは、ユーザー定義のアクセス許可の構成オプションをサポートしています。 この構成でラベルを発行する場合は、 次の表のラベルの適用結果を確認してください。 |
Outlook のユーザー定義のアクセス許可を使用する HYOK ベースの保護 ([転送不可]) | いいえ | HYOK の構成オプションはありません。 この構成でラベルを発行することはお勧めしません。 その場合、ラベルを適用した結果を次の表に示します。 |
視覚的なマーキング向けのカスタム フォント名、サイズ、RGB コードによるカスタム フォントの色 (ヘッダー、フッター、透かし) | はい | 視覚的なマーキングの構成は、色とフォント サイズの一覧に限定されます。 構成した値を Microsoft Purview コンプライアンス ポータルで確認できなくても、このラベルは変更なしで発行することができます。 これらのオプションを変更するには、 New-Label Office 365 Security & Compliance Center コマンドレットを使用します。 管理をより簡単にするには、色を、Microsoft Purview コンプライアンス ポータルに一覧されるオプションのいずれかに変更することを検討してください。 注: Microsoft Purview コンプライアンス ポータルでは、定義済みのフォント定義の一覧がサポートされています。 カスタム フォントと色は、 New-Label コマンドレットによってのみサポートされます。 クラシック クライアントを使用している場合は、Azure portal でラベルにこれらの変更を行います。 |
視覚的なマーキングの変数 (ヘッダー、フッター) | はい | このラベル構成は、AIP クライアントおよび選択したアプリの Office 組み込みのラベル付けでサポートされています。 この構成をサポートしていないアプリを使用して組み込みのラベル付けを行い、このラベルを変更せずに発行した場合、動的な値が表示されるのではなく、変数はクライアント上でテキストとして表示されます。 詳細については、Microsoft 365 のドキュメントを参照してください。 |
アプリごとの視覚的なマーキング | はい | このラベル構成は、AIP クライアントでのみサポートされ、Office 組み込みのラベル付けではサポートされません。 組み込みのラベル付けを使用していて、このラベルを変更せずに発行した場合、各アプリで表示するように構成した視覚的なマーキングではなく、視覚的なマーキングの構成が変数テキストとして表示されます。 |
「自分のみ」 の保護 | はい | Microsoft Purview コンプライアンス ポータルでは、ユーザーを指定せずに、今すぐ適用する暗号化設定を保存することはできません。 Azure portal では、この構成により、ラベルに "自分のみ" の保護が適用されます。 別の方法として、暗号化を適用するラベルを作成し、任意のアクセス許可を持つユーザーを指定してから、PowerShell を使用して関連する保護テンプレートを編集します。 最初に、 New-AipServiceRightsDefinition コマンドレット (例 3 を参照) を使用して、次に RightsDefinitions パラメーターを指定して Set-AipServiceTemplateProperty を使用します。 |
条件と関連する設定 自動ラベル付けと推奨ラベル付けとそのヒントが含まれます |
適用なし | ラベル設定とは別の構成として自動ラベル付けを使用して、条件を再構成します。 |
ラベルの保護設定の動作の比較
ラベル用の保護設定は同じであっても、Azure Information Protection クラシック クライアント、Azure Information Protection 統合ラベル付けクライアント、またはラベル付けが組み込まれた Office アプリ ("ネイティブ Office ラベル付け" とも呼ばれます) のいずれで使用されるかによって、その動作がどのように異なるかを判別するには、次の表を使用します。 ラベルの動作の違いによって、特に組織内でクライアントが混在している場合に、ラベルを発行するかどうかの決定が変わることがあります。
保護設定の構成方法が不明な場合は、Azure portal の [保護] ペインでそれらの設定を表示します。 この手順に関するヘルプが必要な場合は、「保護設定のラベルを構成するには」を参照してください。
同じように動作する保護設定は、次の例外を除き、表に一覧表示されません。
- 組み込みのラベル付けでOffice アプリを使用する場合、Azure Information Protection 統合ラベル付けクライアントもインストールしない限り、ラベルはエクスプローラーに表示されません。
- 組み込みのラベル付けでOffice アプリを使用する場合、以前にラベルとは別に保護が適用されていた場合、その保護は保持されます [1]。
ラベルの保護設定 | Azure Information Protection クラシック クライアント | Azure Information Protection 統合ラベル付けクライアント | ラベル付けが組み込まれた Office アプリ |
---|---|---|---|
テンプレートを使用した HYOK (AD RMS): | Word、Excel、PowerPoint、Outlook、エクスプローラーで表示 このラベルが適用される場合: - HYOK 保護がドキュメントと電子メールに適用される |
Word、Excel、PowerPoint、Outlook、エクスプローラーで表示 このラベルが適用される場合: - 保護が適用されておらず、ラベルによって以前に適用されていた場合、 [2] 保護は削除されます - 以前にラベルから独立して保護が適用されていた場合、その保護は保持されます |
Word、Excel、PowerPoint、Outlook で表示可能 このラベルが適用される場合: - 保護が適用されておらず、ラベルによって以前に適用されていた場合、 [2] 保護は削除されます - 以前にラベルから独立して保護が適用されていた場合、その保護は保持されます [1] |
Word、Excel、PowerPoint、およびエクスプローラーに対するユーザー定義のアクセス許可を持つ HYOK (AD RMS): | Word、Excel、PowerPoint、File Explorerで表示可能 このラベルが適用される場合: - HYOK 保護がドキュメントと電子メールに適用される |
Word、Excel、PowerPoint で表示可能 このラベルが適用される場合: - 保護が適用されておらず、ラベルによって以前に適用されていた場合、 [2] 保護は削除されます - 以前にラベルから独立して保護が適用されていた場合、その保護は保持されます |
Word、Excel、PowerPoint で表示可能 このラベルが適用される場合: - 保護が適用されておらず、ラベルによって以前に適用されていた場合、 [2] 保護は削除されます - 以前にラベルから独立して保護が適用されていた場合、その保護は保持されます |
Outlook のユーザー定義アクセス許可を持つ HYOK (AD RMS): | Outlook で表示可能 このラベルが適用される場合: - HYOK 保護を使用して転送しないが電子メールに適用される |
Outlook で表示可能 このラベルが適用される場合: - 保護は適用されず、ラベルによって以前に適用されていた場合は [2] が削除されます - 以前にラベルから独立して保護が適用されていた場合、その保護は保持されます |
Outlook で表示可能 このラベルが適用される場合: - 保護は適用されず、ラベルによって以前に適用されていた場合は [2] が削除されます - 以前にラベルから独立して保護が適用されていた場合、その保護は保持されます [1] |
脚注 1
Outlook では保護は保持されますが、例外が 1 つあります。暗号化のみオプション (暗号化) を使用してメールが保護されている場合、その保護は削除されます。
脚注 2
ユーザーがこのアクションをサポートする使用権限またはロールを持っている場合、保護は削除されます。
- 使用権限 のエクスポートまたはフル コントロール。
- Rights Management 発行者または Rights Management 所有者、または スーパー ユーザーのロール。
ユーザーがこれらの使用権限またはロールのいずれかを持っていない場合、ラベルは適用されず、元の保護が保持されます。
Azure Information Protection ラベルを移行するには
テナントと Azure Information Protection ラベルを移行して、統合ラベル付けストアを使用するには、次の手順を使用します。
ラベルを移行するには、コンプライアンス管理者、コンプライアンス データ管理者、セキュリティ管理者、またはグローバル管理者である必要があります。
まだ実行していない場合は、新しいブラウザー ウィンドウを開いて、 Azure Portal にサインインします。 次に、 [Azure Information Protection] ペインに移動します。
たとえば、リソース、サービス、ドキュメントの検索ボックスに「Information」と入力し、 [Azure Information Protection] を選択します。
[管理] メニュー オプションから [統合ラベル付け] を選択します。
[Azure Information Protection - 統合ラベル付け] ペインで [アクティブ化] を選択し、オンライン指示に従います。
アクティブ化するためのオプションを使用できない場合は、 [統合ラベル付けの状態] をオンにします。 [アクティブ化] と表示されている場合は、お客様のテナントでは既に統合ラベル付けストアが使用されているため、ラベルを移行する必要はありません。
正常に移行されたラベルについては、 統合ラベル付けをサポートするクライアントとサービスで使用できるようになりました。 ただし、最初に Microsoft Purview コンプライアンス ポータルで ラベルを発行する 必要があります。
重要
Azure portal の外部で Azure Information Protection クライアント (クラシック) のラベルを編集する場合、この [Azure Information Protection - 統合ラベル付け] ペインに戻り、 [発行]を選びます。
ポリシーをコピーする
ラベルの移行後は、ポリシーをコピーするオプションを選択できます。 このオプションを選択すると、 ポリシー設定 と クライアントの詳細設定 を含むポリシーの 1 回限りのコピーが Microsoft Purview コンプライアンス ポータルに送信されます。
その後、設定とラベルを使用する正常にコピーされたポリシーは、Azure portal のポリシーに割り当てられたユーザーとグループに自動的に発行されます。 グローバル ポリシーの場合、これはすべてのユーザーを意味することに注意してください。 コピーしたポリシーの移行済みラベルを発行する準備ができていない場合は、ポリシーをコピーした後、管理者ラベル付けセンターのラベル ポリシーからラベルを削除できます。
[Azure Information Protection - 統合ラベル付け] ペインで [ポリシーのコピー (プレビュー)] オプションを選択する前に、次の点に注意してください。
[ポリシーのコピー (プレビュー)] オプションは、テナントに対して統合ラベル付けがアクティブになるまで使用できません。
コピーするポリシーと設定を選択的に選択することはできません。 すべてのポリシー (グローバル ポリシーとスコープ付きポリシー) が自動的にコピー対象として選択され、ラベル ポリシー設定としてサポートされている設定はすべてコピーされます。 同じ名前のラベル ポリシーが既にある場合は、Azure portal のポリシー設定で上書きされます。
一部のクライアントの詳細設定はコピーされません。これは、Azure Information Protection 統合ラベル付けクライアントでは、ポリシー設定ではなく ラベルの詳細設定 としてサポートされているためです。 これらのラベルの詳細設定は、 セキュリティ & コンプライアンス PowerShellで構成できます。 コピーされないクライアントの詳細設定:
ラベルへの後続の変更が同期されるラベルの移行とは異なり、 ポリシーのコピー アクションでは、ポリシーまたはポリシー設定に対する後続の変更は同期されません。 Azure portal で変更を加えた後で、ポリシーのコピー アクションを繰り返すと、既存のポリシーとその設定が再び上書きされます。 または、セキュリティ & コンプライアンス PowerShell の AdvancedSettings パラメーターを指定して Set-LabelPolicy または Set-Label コマンドレットを使用します。
ポリシーのコピー アクションでは、各ポリシーがコピーされる前に次のことを確認します。
ポリシーに割り当てられているユーザーとグループは、現在 Microsoft Entra ID にあります。 1 つ以上のアカウントが存在しない場合、ポリシーはコピーされません。 グループ メンバーシップは検査されません。
グローバル ポリシーには、少なくとも 1 つのラベルが含まれています。 管理者ラベル付けセンターではラベルなしのラベル ポリシーはサポートされていないので、ラベルなしのグローバル ポリシーはコピーされません。
ポリシーをコピーしてから、管理者ラベル付けセンターから削除する場合は、削除がレプリケートされるのに十分な時間を確保するために、 [ポリシーのコピー] アクションを再度使用するまでに少なくとも 2 時間待ちます。
Azure Information Protection からコピーされたポリシーには、同じ名前ではなく、プレフィックス AIP_ が付いた名前が使用されます。 後でポリシー名を変更することはできません。
Azure Information Protection 統合ラベル付けクライアントのポリシー設定、クライアントの詳細設定、ラベル設定の構成の詳細については、管理者ガイドの「Azure Information Protection 統合ラベル付けクライアントのカスタム構成」を参照してください。
Note
ポリシーをコピーするための Azure Information Protection のサポートは、現在プレビュー段階です。 Azure プレビューの追加使用条件 には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
統一ラベル付けをサポートするクライアントとサービス
使用しているクライアントとサービスによって統合ラベル付けがサポートされているかどうかを確認するには、それらのドキュメントを参照して、Microsoft Purview コンプライアンス ポータルから発行された秘密度ラベルを使用できるかどうかを確認してください。
現在統合ラベル付けをサポートしているクライアントには、
Windows 用の Azure Information Protection 統合ラベル付けクライアント。 詳細については、「Azure Information Protection と MIP の組み込みラベル付けの比較」を参照してください。
可用性の段階が異なる Office からのアプリ
詳細については、Microsoft 365 コンプライアンスに関するドキュメントの「アプリでの秘密度ラベル機能のサポート」を参照してください。
Microsoft Information Protection SDKを使用しているソフトウェア ベンダーおよび開発者からのアプリ。
現在統合ラベル付けをサポートしているサービスには、
Office Online と Outlook on the web
詳しくは、「SharePoint および OneDrive で Office ファイルの秘密度ラベルを有効にする」をご覧ください。
Microsoft SharePoint、職場または学校用の OneDrive、自宅用の OneDrive、Teams、Microsoft 365 グループ
詳細については、「秘密度ラベルを使用して Microsoft Teams、Microsoft 365 グループ、SharePoint サイトのコンテンツを保護する」を参照してください。
Microsoft Defender for Cloud Apps
このサービスは、統合ラベル付けストアへの移行前と移行後の両方で、次のロジックを使用してラベルをサポートします。
Microsoft Purview コンプライアンス ポータルに秘密度ラベルがある場合、これらのラベルは、Microsoft Purview コンプライアンス ポータルから取得されます。 Microsoft Defender for Cloud Apps でこれらのラベルを選択するには、少なくとも 1 つのラベルが、少なくとも 1 人のユーザーに発行されている必要があります。
Microsoft Purview コンプライアンス ポータルに秘密度ラベルがない場合、Azure Information Protection ラベルは Azure ポータル から取得されます。
Microsoft Information Protection SDKを使用するソフトウェア ベンダーおよび開発者からのサービス。
ラベルの移行後に使用する管理ポータル
Azure portal でラベルを移行した後は、インストールしたクライアントに応じて、次のいずれかの場所で管理を続行できます。
クライアント | 説明 |
---|---|
統合ラベル付けクライアントとサービス のみ | 統合ラベル付けクライアントをインストールしただけの場合は、Microsoft Purview コンプライアンス ポータルでラベルを管理します。統合ラベル付けクライアントによって、この場所にラベルとそのポリシー設定がダウンロードされます。 手順については、「秘密度ラベルとそのポリシーを作成して構成する」を参照してください。 |
クラシック クライアント のみ | ラベルを移行した後もクラシック クライアントがインストールされている場合は、引き続き Azure portal を使ってラベルとポリシー設定を編集します。 クラシック クライアントによって、引き続き Azure からラベルとポリシー設定がダウンロードされます。 |
AIP クラシック クライアント と 統合ラベル付け クライアントの両方 | 両方のクライアントがインストールされている場合は、Microsoft Purview コンプライアンス ポータルまたは Azure portal を使用してラベルを変更します。 Microsoft Purview コンプライアンス ポータルで行われたラベルの変更をクラシック クライアントで取得するには、Azure portal に戻り、それらを発行します。 Azure portal >[Azure Information Protection - 統合ラベル付け] ペインで、 [発行]を選択します。 引き続き、 中央レポート と スキャナーに Azure portal を使用します。 |
次のステップ
カスタマー エクスペリエンス チームからのガイダンスとヒント:
- ブログ記事: 統合ラベル付けの移行について
秘密度ラベルについて:
統合ラベル付けクライアントのデプロイ:
まだ行っていない場合は、Azure Information Protection 統合ラベル付けクライアントをインストールします。
詳細については、以下を参照してください: