Azure Information Protection Premium Government サービスの説明
Note
統一された効率的なカスタマー エクスペリエンスを提供するため、Azure Information Protection クラシック クライアントおよびAzure Portal のラベル管理は、2021 年 9 月 31 日をもって GCC、GCC-H、DoD のお客様を対象に廃止されます。
クラシック クライアントは正式に廃止となり、2022 年 3 月 31 日をもって機能を停止します。
現在 Azure Information Protection クラシック クライアントをご利用のすべてのお客様は、Microsoft Purview Information Protection 統合ラベル付けプラットフォームに移行し、統合ラベル付けクライアントにアップグレードする必要があります。 詳細については、移行に関するブログを参照してください。
「サービスの説明」の使用方法
Azure Information Protection 統合ラベル付けは、GCC、GCC High、および DoD のお客様が利用できます。
Azure Information Protection Premium Government サービスの説明は、GCC High および DoD 環境における提供オファリングの概要として役立つように作成されており、Azure Information Protection Premium 商用オファリングと比較した機能のバリエーションについて説明します。
Azure Information Protection Premium Government およびサードパーティのサービス
一部の Azure Information Protection Premium サービスでは、サードパーティのアプリケーションやサービスとシームレスに連携できます。
これらのサードパーティ製のアプリケーションやサービスは、Azure Information Protection Premium インフラストラクチャの外部にあるサードパーティのシステム上で、お客様の組織のカスタマー コンテンツを保存、送信、処理する可能性があり、したがって、当社のコンプライアンスおよびデータ保護に対するコミットメントの対象外となります。
組織でこれらのサービスの適切な使用を評価する際には、そのサードパーティが提供するプライバシーとコンプライアンスに関するステートメントを必ず確認してください。
Azure Information Protection Premium 商用オファリングとの比較
Azure Information Protection Premium GCC High/DoD と、その商用オファリングとの相違に関する情報については、「Azure Information Protection の米国政府機関のお客様向けのクラウド機能の可用性」を参照してください。
GCC High および DoD のお客様向けの Azure Information Protection の構成
次の構成の詳細は、統合ラベル付けソリューションを含め、GCC High および DoD のお客様のすべての Azure Information Protection ソリューションに関連するものです。
- テナントの Rights Management を有効にする
- 暗号化のための DNS 構成 (Windows)
- 暗号化のための DNS 構成 (Mac、iOS、Android)
- ラベルの移行
- AIP アプリ構成
重要
2020 年 7 月の更新以降、Azure Information Protection 統合ラベル付けソリューションのすべての新規の GCC High のお客様は、[全般] メニューと [スキャナー] メニュー機能の両方を利用できるようになりました。
テナントの Rights Management を有効にする
暗号化が正しく機能するためには、テナントに対して Rights Management サービスを有効にする必要があります。
- Rights Management サービスが有効になっているかどうかを確認する
- 管理者として PowerShell を起動する
- AADRM モジュールがインストールされていない場合には、
Install-Module aadrm
を実行する Connect-aadrmservice -environmentname azureusgovernment
を使用してサービスに接続する(Get-AadrmConfiguration).FunctionalState
を実行し、Enabled
の状態を確認する
- 機能の状態が
Disabled
の場合、Enable-Aadrm
を実行する
暗号化のための DNS 構成 (Windows)
暗号化が正しく機能するためには、Office クライアント アプリケーションは、サービスの GCC、GCC High/DoD インスタンス、およびそこからブートストラップに接続される必要があります。 クライアント アプリケーションを適切なサービス インスタンスにリダイレクトするには、テナント管理者が、Azure RMS URL に関する情報を含む DNS SRV レコードを構成する必要があります。 DNS SRV レコードがないと、クライアント アプリケーションは既定でパブリック クラウド インスタンスへの接続を試行し、失敗します。
また、ユーザーは、onmicrosoft ユーザー名 (例: joe@contoso.us) ではなく、テナント所有の ドメイン (例: joe@contoso.onmicrosoft.us) に基づいてユーザー名でログインすることを前提としています。 ユーザー名のドメイン名は、適切なサービス インスタンスへの DNS リダイレクトに使用されます。
- Rights Management サービス ID を取得する
- 管理者として PowerShell を起動する
- AADRM モジュールがインストールされていない場合には、
Install-Module aadrm
を実行する Connect-aadrmservice -environmentname azureusgovernment
を使用してサービスに接続する(Get-aadrmconfiguration).RightsManagementServiceId
を実行して Rights Management サービス ID を取得する
- DNS プロバイダーにサインインし、ドメインの DNS 設定に移動して、新しい SRV レコードを追加する
- サービス =
_rmsredir
- プロトコル =
_http
- 名前 =
_tcp
- Target =
[GUID].rms.aadrm.us
(GUID は Rights Management Service ID) - ポート =
80
- Priority、Weight、Seconds、TTL = 既定値
- サービス =
- Custom Domain を Azure Portal のテナントに関連付けます。 Custom Domain を関連付けると DNS にエントリが追加されます。値を追加した後、検証に数分かかる場合があります。
- Office 管理センターにサインインし、ユーザー作成用のドメイン (例: contoso.us) を追加します。 検証プロセスでは、DNS の変更がさらに必要になる場合があります。 検証が完了したら、ユーザーを作成できます。
暗号化のための DNS 構成 (Mac、iOS、Android)
- DNS プロバイダーにサインインし、ドメインの DNS 設定に移動して、新しい SRV レコードを追加する
- サービス =
_rmsdisco
- プロトコル =
_http
- 名前 =
_tcp
- 移行先 =
api.aadrm.us
- ポート =
80
- Priority、Weight、Seconds、TTL = 既定値
- サービス =
ラベルの移行
GCC High および DoD のお客様は、PowerShell を使用して既存のすべてのラベルを移行する必要があります。 従来の AIP 移行方法は、GCC High および DoD のお客様には適用できません。
既存の秘密度ラベルを移行するには、New-Label コマンドレットを使用します。 移行を 開始する前に、Security & Compliance Center を使用してコマンドレットを接続して実行する手順に従ってください。
既存の秘密度ラベルに暗号化がある場合の移行の例:
New-Label -Name 'aipscopetest' -Tooltip 'aipscopetest' -Comment 'admin notes' -DisplayName 'aipscopetest' -Identity 'b342447b-eab9-ea11-8360-001a7dda7113' -EncryptionEnabled $true -EncryptionProtectionType 'template' -EncryptionTemplateId 'a32027d7-ea77-4ba8-b2a9-7101a4e44d89' -EncryptionAipTemplateScopes "['allcompany@labelaction.onmicrosoft.com','admin@labelaction.onmicrosoft.com']"
AIP アプリ構成
Azure Information Protection クライアントを使用する場合は、Windows 上の AIP アプリを適切なソブリン クラウドにポイントするように、次のいずれかのレジストリ キーを構成する必要があります。 設定に正しい値を使用していることを確認してください。
統合ラベル付けクライアントの AIP アプリ構成
関連対象: AIP 統合ラベル付けクラシック クライアントのみ
レジストリ ノード | HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP |
---|---|
名前 | CloudEnvType |
Value | 0 = 商用 (既定値) 1 = GCC 2 = GCC High 3 = DoD |
Type | REG_DWORD |
Note
- このレジストリ キーが空、正しくない、または見つからない場合、動作は既定値 (0 = 商用) に戻ります。
- キーが空または正しくない場合は、印刷エラーもログに追加されます。
- アンインストール後にレジストリ キーを削除しないようにしてください。
クラシック クライアントの AIP アプリ構成
関連対象: AIP クラシック クライアントのみ
レジストリ ノード | HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP |
---|---|
名前 | WebServiceUrl |
Value | https://api.informationprotection.azure.us |
Type | REG_SZ (文字列) |
ファイアウォールとネットワーク インフラストラクチャ
特定の接続を許可するように構成されたファイアウォールまたは同様の中間ネットワーク デバイスがある場合は、次の設定を使用して、Azure Information Protection が円滑に通信できるようにします。
TLS クライアント間接続: rms.aadrm.us URL への TLS クライアント間接続を終了しないでください (たとえば、パケット レベルの検査を実行するため)。
次の PowerShell コマンドを使用して、クライアント接続が Azure Rights Management サービスに到達する前に終了するかどうかを判断します。
$request = [System.Net.HttpWebRequest]::Create("https://admin.aadrm.us/admin/admin.svc") $request.GetResponse() $request.ServicePoint.Certificate.Issuer
結果では、例えば次のように、発行元 CA が Microsoft CA からのものであることが示されます:
CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
。 Microsoft からではない発行元 CA 名が表示される場合は、セキュアなクライアントからサービス間接続が終了している可能性があり、ファイアウォールで再構成する必要があります。ラベルとラベル ポリシーのダウンロード (AIP クラシック クライアントのみ): Azure Information Protection クラシック クライアントがラベルとラベル ポリシーをダウンロードできるようにするには、HTTPS 経由で URL api.informationprotection.azure.us を許可します。
詳細については、以下を参照してください:
サービス タグ
次のサービス タグのすべてのポートへのアクセスを許可してください。
- AzureInformationProtection
- AzureActiveDirectory
- AzureFrontDoor.Frontend