Azure Information Protection の使用権限を構成する
この記事では、ユーザー、管理者、または構成されたサービスによってラベルまたはテンプレートが選択されたときに、自動的に適用されるように構成できる使用権限について説明します。
使用権限は、暗号化のために秘密度ラベルまたは保護テンプレートを構成するときに選択されます。 たとえば、使用権限の論理的なグループを構成するロールを選択したり、個々の権限を個別に構成したりすることができます。 ユーザーが自分で使用権限を選択して適用する場合もあります。
完全を期すため、この記事には 2018 年 1 月 8 日に廃止された Azure クラシック ポータルの値も含まれています。
重要
この記事を使用して、使用権限がアプリケーションによって解釈されるようにどのように ''設計'' されているかを理解してください。
アプリケーションは使用権限を実装する方法によって異なる場合があります。ご利用のアプリケーションのドキュメントを参照し、独自のテストを実行して、運用環境にデプロイする前にアプリケーションの動作を確認することをお勧めします。
使用権限と説明
次の表は、Rights Management でサポートされている使用権限と説明の一覧です。それらの使用方法と解釈方法も示します。 一覧では共通名を示しています。これは、通常、使用権限が表示されたり参照されたりするときに使われる名前であり、コード内で使用される単一ワード値 (ポリシーでのエンコード値) よりもわかりやすい名前です。
この表では
API 定数または値は、MSIPC または Microsoft Purview Information Protection SDK API 呼び出しの SDK 名で、使用権を確認するアプリケーションを作成するとき、またはポリシーに使用権を追加するときに使用されます。
ラベル付け管理センターは、秘密度ラベルを構成する Microsoft Purview コンプライアンス センターです。
使用権限 | 説明 | 実装 |
---|---|---|
共通名: コンテンツの編集、編集 ポリシーでのエンコード: DOCEDIT |
ユーザーは、Web 上の Office を含むアプリケーション内のコンテンツを変更、再配置、書式設定、または並べ替えることができます。 編集済みのコピーを保存する権限は付与されません。 Word では、バージョン 1807 以降の Office 365 ProPlus がない限り、[変更の追跡] をオンまたはオフにしたり、レビュー担当者として変更の追跡機能をすべて使用したりするには、この権限は十分ではありません。 代わりに、すべての変更履歴オプションを使用するには、フル コントロールの権限が必要です。 |
Office カスタム権限: 変更とフル コントロール オプションの一部。 Azure クラシック ポータルでの名前: コンテンツの編集 Microsoft Purview コンプライアンス ポータルおよび Azure portal での名前: コンテツンの編集、編集 (DOCEDIT) AD RMS テンプレートでの名前: 編集 API の定数または値: MSIPC: 適用されません。 MIP SDK: DOCEDIT |
共通名: 保存 ポリシーでのエンコード: EDIT |
ユーザーがドキュメントを現在の場所に保存できるようにします。 Office on the web では、ユーザーがコンテンツを編集することもできます。 Office アプリケーションでは、この権限により、ユーザーは選択されたファイル形式に Rights Management 保護のサポートが組み込まれている場合に、新しい場所に新しい名前でファイルを保存することができます。 ファイル形式の制限により、元の保護をファイルから削除できなくなります。 |
Office カスタム権限: 変更とフル コントロール オプションの一部。 Azure クラシック ポータルでの名前: ファイルの保存 Microsoft Purview コンプライアンス ポータルおよび Azure portal での名前: 保存 (EDIT) AD RMS テンプレートでの名前: 保存 API の定数または値: MSIPC: IPC_GENERIC_WRITE L"EDIT" MIP SDK: EDIT |
共通名: コメント ポリシーでのエンコード: COMMENT |
コンテンツに注釈やコメントを追加するオプションを有効にします。 この権限は SDK で使用でき、Azure Information Protection と Windows PowerShell の RMS 保護モジュールでアドホック ポリシーとして使用できます。また、いくつかのソフトウェア ベンダーのアプリケーションに実装されています。 しかし、広く使用されてはおらず、Office アプリケーションではサポートされていません。 |
Office カスタム権限: 実装されていません。 Azure クラシック ポータルでの名前: 実装されていません。 Microsoft Purview コンプライアンス ポータルおよび Azure portal での名前: 実装されていません。 AD RMS テンプレートでの名前: 実装されていません。 API の定数または値: MSIPC: IPC_GENERIC_COMMENT L"COMMENT MIP SDK: COMMENT |
共通名: 名前を付けて保存、エクスポート ポリシーでのエンコード: EXPORT |
別のファイル名でコンテンツを保存するオプション (名前を付けて保存) を有効にします。 Azure Information Protection クライアントの場合、保護なしでファイルを保存し、新しい設定とアクセス許可を使用して再保護することもできます。 これらの許可されたアクションは、この権限を持つユーザーが、保護されたドキュメントまたは電子メールから Azure Information Protection ラベルを変更または削除できることを意味します。 この権限は、アプリケーションでその他のエクスポート オプション ([OneNote に送る] など) を実行することもユーザーに許可します。 |
Office カスタム権限: フル コントロール オプションの一部として。 Azure クラシック ポータルでの名前: コンテンツのエクスポート (名前を付けて保存) Microsoft Purview コンプライアンス ポータルおよび Azure portal での名前: 名前を付けて保存、エクスポート (EXPORT) AD RMS テンプレートでの名前: エクスポート (名前を付けて保存) API の定数または値: MSIPC: IPC_GENERIC_EXPORT L"EXPORT" MIP SDK: EXPORT |
共通名: 転送 ポリシーでのエンコード: FORWARD |
電子メール メッセージの転送と、[宛先] および [CC] 行への受信者の追加を行うオプションを有効にします。 この権限は、ドキュメントには適用されません。メール メッセージだけに適用されます。 転送操作の一部として転送者が他のユーザーに権限を付与することは許可しません。 この権限を付与する場合は、コンテンツの編集、編集権限 (共通名) を付与し、保護された電子メール メッセージが添付ファイルとして配信されないように、保存権限 (共通名) も付与します。 Outlook クライアントまたは Outlook Web アプリを使用する別の組織に電子メールを送信するときにも、これらの権限を指定します。 または、オンボーディング コントロールを実装しているため、Azure Rights Management 保護の使用対象から除外されている組織内のユーザーに適用されます。 |
Office カスタム権限: 転送不可標準ポリシーを使用すると拒否されます。 Azure クラシック ポータルでの名前: 転送 Microsoft Purview コンプライアンス ポータルおよび Azure portal での名前: 転送 (FORWARD) AD RMS テンプレートでの名前: 転送 API の定数または値: MSIPC: IPC_EMAIL_FORWARD L"FORWARD" MIP SDK: FORWARD |
共通名: フル コントロール ポリシーでのエンコード: OWNER |
ドキュメントに対するすべての権限を付与します。利用可能なすべての操作を実行できます。 ドキュメントの保護解除と再保護の能力も含まれます。 この使用権限は、Rights Management 所有者と同じではないことに注意してください。 |
Office カスタム権限: フル コントロール カスタム オプション。 Azure クラシック ポータルでの名前: フル コントロール Microsoft Purview コンプライアンス ポータルおよび Azure portal での名前: フル コントロール (OWNER) AD RMS テンプレートでの名前: フル コントロール API の定数または値: MSIPC: IPC_GENERIC_ALL L"OWNER" MIP SDK: OWNER |
共通名: 印刷 ポリシーでのエンコード: PRINT |
コンテンツを印刷するオプションを有効にします。 | Office カスタム権限: カスタム アクセス許可のコンテンツの印刷オプション。 受信者単位の設定ではありません。 Azure クラシック ポータルでの名前: 印刷 Microsoft Purview コンプライアンス ポータルおよび Azure portal での名前: 印刷 (PRINT) AD RMS テンプレートでの名前: 印刷 API の定数または値: MSIPC: IPC_GENERIC_PRINT L"PRINT" MIP SDK: PRINT |
共通名: 返信 ポリシーでのエンコード: REPLY |
メール クライアントの [返信] オプションを有効にします。ただし、[宛先] または [CC] 行に対する変更は許可しません。 この権限を付与する場合は、コンテンツの編集、編集権限 (共通名) を付与し、保護された電子メール メッセージが添付ファイルとして配信されないように、保存権限 (共通名) も付与します。 Outlook クライアントまたは Outlook Web アプリを使用する別の組織に電子メールを送信するときにも、これらの権限を指定します。 または、オンボーディング コントロールを実装しているため、Azure Rights Management 保護の使用対象から除外されている組織内のユーザーに適用されます。 |
Office カスタム権限: 該当なし。 Azure クラシック ポータルでの名前: 返信 Azure Portal での名前: 返信 (REPLY) AD RMS テンプレートでの名前: 返信 API の定数または値: MSIPC: IPC_EMAIL_REPLY MIP SDK: REPLY |
共通名: 全員に返信 ポリシーでのエンコード: REPLYALL |
メール クライアントの [全員に返信] オプションを有効にします。ただし、[宛先] または [CC] 行への受信者の追加はユーザーに許可しません。 この権限を付与する場合は、コンテンツの編集、編集権限 (共通名) を付与し、保護された電子メール メッセージが添付ファイルとして配信されないように、保存権限 (共通名) も付与します。 Outlook クライアントまたは Outlook Web アプリを使用する別の組織に電子メールを送信するときにも、これらの権限を指定します。 または、オンボーディング コントロールを実装しているため、Azure Rights Management 保護の使用対象から除外されている組織内のユーザーに適用されます。 |
Office カスタム権限: 該当なし。 Azure クラシック ポータルでの名前: 全員に返信 Microsoft Purview コンプライアンス ポータルおよび Azure portal での名前: 全員に返信 (REPLY ALL) AD RMS テンプレートでの名前: 全員に返信 API の定数または値: MSIPC: IPC_EMAIL_REPLYALL L"REPLYALL" MIP SDK: REPLYALL |
共通名: 表示、開く、読み取り ポリシーでのエンコード: VIEW |
ドキュメントを開き、内容を表示することをユーザーに許可します。 Excel では、この権限はデータを並べ替えるには不十分です。これには、次の権限が必要です: コンテンツの編集、編集。 Excel でデータをフィルター処理するには、コンテンツの編集、編集、コピーの 2 つの権限が必要です。 |
Office カスタム権限: 読み取りカスタム ポリシー、表示オプション。 Azure クラシック ポータルでの名前: 表示 Microsoft Purview コンプライアンス ポータルおよび Azure portal での名前: 表示、開く、読み取り (VIEW) AD RMS テンプレートでの名前: 読み取り API の定数または値: MSIPC: IPC_GENERIC_READ L"VIEW" MIP SDK: VIEW |
共通名: コピー ポリシーでのエンコード: EXTRACT |
ドキュメントのデータを同じドキュメントまたは別のドキュメントにコピーする (画面キャプチャを含む) オプションを有効にします。 一部のアプリケーションでは、ドキュメント全体を保護されていない形式で保存することも許可されます。 Skype for Business および同様の画面共有アプリケーションでは、保護されたドキュメントを正常に提示するには、発表者にこの権限が必要です。 発表者がこの権限を持っていない場合、出席者はドキュメントを表示できず、黒く表示されます。 |
Office カスタム権限: [閲覧の権限を持つユーザーが、コンテンツをコピーすることを許可する] カスタム ポリシー オプション。 Azure クラシック ポータルでの名前: コンテンツのコピーと抽出 Microsoft Purview コンプライアンス ポータルおよび Azure portal での名前: コピー (EXTRACT) AD RMS テンプレートでの名前: 抽出 API の定数または値: MSIPC: IPC_GENERIC_EXTRACT L"EXTRACT" MIP SDK: EXTRACT |
共通名: 権利の表示 ポリシーでのエンコード: VIEWRIGHTSDATA |
ドキュメントに適用されるポリシーの表示をユーザーに許可します。 Office アプリや Azure Information Protection クライアントではサポートされていません。 |
Office カスタム権限: 実装されていません。 Azure クラシック ポータルでの名前: 割り当てられた権利の表示 Microsoft Purview コンプライアンス ポータルおよび Azure portal での名前: 権利の表示 (VIEWRIGHTSDATA)。 AD RMS テンプレートでの名前: 権利の表示 API の定数または値: MSIPC: IPC_READ_RIGHTS L"VIEWRIGHTSDATA" MIP SDK: VIEWRIGHTSDATA |
共通名: 権利の変更 ポリシーでのエンコード: EDITRIGHTSDATA |
ドキュメントに適用されるポリシーの変更をユーザーに許可します。 保護の解除が含まれます。 Office アプリや Azure Information Protection クライアントではサポートされていません。 |
Office カスタム権限: 実装されていません。 Azure クラシック ポータルでの名前: 権利の変更 Microsoft Purview コンプライアンス ポータルおよび Azure portal での名前: 権利の編集 (EDITRIGHTSDATA)。 AD RMS テンプレートでの名前: 権利の編集 API の定数または値: MSIPC: PC_WRITE_RIGHTS L"EDITRIGHTSDATA" MIP SDK: EDITRIGHTSDATA |
共通名: マクロの許可 ポリシーでのエンコード: OBJMODEL |
マクロを実行したり、その他のプログラムまたはリモートからドキュメントのコンテンツにアクセスしたりするオプションを有効にします。 | Office カスタム権限: [プログラムによるアクセスを許可] カスタム ポリシー オプション。 受信者単位の設定ではありません。 Azure クラシック ポータルでの名前: マクロの許可 Microsoft Purview コンプライアンス ポータルおよび Azure portal での名前: マクロの許可 (OBJMODEL) AD RMS テンプレートでの名前: マクロの許可 API の定数または値:MSIPC:実装されていません。 MIP SDK: OBJMODEL |
アクセス許可レベルに含まれる権限
一部のアプリケーションは、通常は一緒に使用される使用権限を選択しやすくするために、使用権限をまとめてアクセス許可レベルにグループ化します。 これらのアクセス許可レベルによって、複雑なレベルがユーザーからは見えなくなるため、役割ベースでオプションを選択できるようになります。 たとえば、レビュー担当者や共同作成者などがあります。 多くの場合、これらのオプションではユーザーに対して権限の概要が表示されますが、前の表に記載されているすべての権限が含まれるとは限りません。
これらのアクセス許可レベルの一覧、および含まれる使用権限の完全な一覧については、次の表を参照してください。 使用権限は、共通名で表示されています。
アクセス許可レベル | アプリケーション | 含まれる使用権限 |
---|---|---|
ビューアー | Azure クラシック ポータル Azure portal Windows 用の Azure Information Protection クライアント |
表示、開く、読み取り、権利の表示、返信 [1]、全員に返信 [1]、マクロの許可 [2] 注: 電子メールの場合、電子メールの返信が添付ファイルではなく電子メール メッセージとして受信されるように、このアクセス許可レベルではなく、レビュー担当者を利用します。 レビュー担当者は、Outlook クライアントまたは Outlook Web アプリを利用する別の組織に電子メールを送信するときにも必要になります。 または、オンボーディング コントロールを実装したために、Azure Rights Management サービスの使用対象から除外されている組織内のユーザーにも必要です。 |
レビュー担当者 | Azure クラシック ポータル Azure portal Windows 用の Azure Information Protection クライアント |
表示、開く、読み取り、保存、コンテンツの編集、編集、権利の表示、返信、全員に返信 [3]、転送 [3]、マクロの許可 [2] |
共同作成者 | Azure クラシック ポータル Azure portal Windows 用の Azure Information Protection クライアント |
表示、開く、読み取り、保存、コンテンツの編集、編集、コピー、権利の表示、マクロの許可、名前を付けて保存、エクスポート [4]、印刷、返信 [3]、全員に返信 [3]、転送 [3] |
共同所有者 | Azure クラシック ポータル Azure portal Windows 用の Azure Information Protection クライアント |
表示、開く、読み取り、保存、コンテンツの編集、編集、コピー、権利の表示、権利の変更、マクロの許可、名前を付けて保存、エクスポート、印刷、返信 [3]、全員に返信 [3]、転送 [3]、フル コントロール |
脚注 1
Microsoft Purview コンプライアンス ポータルや Azure portal には含まれていません。
脚注 2
Windows 用 Azure Information Protection クライアントの場合、Office アプリの Information Protection バーでこの権限が必要です。
脚注 3
Windows 用 Azure Information Protection クライアントには適用されません。
脚注 4
Microsoft Purview コンプライアンス ポータル、Azure portal、Windows 用 Azure Information Protection クライアントには含まれていません。
電子メールの [転送不可] オプション
Exchange クライアントとサービス (Outlook クライアント、Web 上の Outlook、Exchange メール フロー ルール、Exchange の DLP アクションなど) には、電子メールに対する追加の情報権利保護オプション (転送しない) があります。
このオプションは、ユーザー (および Exchange 管理者) には選択可能な既定の Rights Management テンプレートのように見えますが、[転送不可] はテンプレートではありません。 これが、保護テンプレートを表示および管理するときに Azure portal でそれが表示されない理由の説明です。 代わりに、「転送しない」オプションは、ユーザーによって電子メール受信者に動的に適用される一連の使用権です。
[転送不可]オプションを電子メールに適用すると、電子メールが暗号化され、受信者が認証される必要があります。 その後、受信者はそれを転送したり、印刷したり、コピーしたりすることはできません。 たとえば、Outlook クライアントでは、[転送] ボタンは使用できず、[名前を付けて保存] および [印刷] メニュー オプションも使用できず、[宛先]、[Cc]、または [Bcc] ボックスで受信者の追加や変更もできません。
メールに添付されている保護されていない Office ドキュメント は、同じ制限を自動的に継承します。 これらのドキュメントに適用される使用権は 、コンテンツの編集、編集です。 保存; マクロを表示、開く、読み取る、許可する。 添付ファイルに別の使用権限が必要な場合、または添付ファイルがこの継承された保護をサポートする Office ドキュメントでない場合は、メールに添付する前にファイルを保護してください。 その後、ファイルに必要な特定の使用権限を割り当てることができます。
転送不可と転送の使用権限を付与しないの違い
「転送しない」オプションを適用することと、電子メールに「転送する」使用権限を付与しないテンプレートを適用することには重要な違いがあります。「転送しない」オプションでは、ユーザーが選択したメールの受信者に基づいて、許可されたユーザーの動的なリストが使用されます。 元の電子メール。 一方、テンプレート内の権限には、管理者が事前に指定した許可されたユーザーの静的なリストが含まれています。 違いは何でしょうか。 例を見てみましょう。
あるユーザーがいくつかの情報をマーケティング部署の一部の人たちに電子メールで送信します。それ以外の人とこの情報を共有することは許されません。 権限 (表示、返信、保存) をマーケティング部署に限定するテンプレートで電子メールを保護するべきでしょうか。 それとも、[転送不可] オプションを選択するべきでしょうか。 いずれの場合でも、受信者は電子メールを転送できません。
テンプレートを適用した場合、受信者はマーケティング部署の他の人と情報を共有できる可能性があります。 たとえば、エクスプローラーを利用し、電子メールを共有の場所や USB ドライブにドラッグ アンド ドロップできます。 マーケティング部署の人で共有の場所や USB ドライブにアクセスできる人であれば、だれでも電子メールの情報を見ることができます。
[転送不可] オプションを適用した場合、受信者は電子メールを別の場所に移すことができず、マーケティング部署の他の人と情報を共有することができません。 この場合、元の受信者 (と電子メールの作成者) だけが電子メールの情報を見ることができます。
Note
送信者が選択した受信者だけに電子メールの情報の閲覧を許可することが重要である場合は、[転送不可] を使用してください。 送信者が選択した受信者に関係なく、管理者が前もって指定したユーザー グループに権限を制限する場合は、電子メールのテンプレートを使用します。
電子メールの暗号化のみオプション
Exchange Online で Office 365 Message Encryption の新機能を使用する場合、追加の制限なしでデータを暗号化するために、新しい電子メールの暗号化オプションが利用できるようになります。
このオプションは、Exchange Online を使用するテナントで利用でき、次のように選択できます。
- Outlook on the web で、 [暗号化] オプション、または [Let users assign permissions]\(ユーザーがアクセス許可を割り当てられるようにする\) に構成された秘密度ラベルおよび [暗号化のみ] オプションを使用する
- メール フロー ルールの別の権利保護オプションとして
- Office 365 DLP アクションとして
- デスクトップとモバイル デバイス用の Outlook アプリから:
- Outlook の秘密度ラベル機能の表に一覧表示されている最小バージョンで組み込みのラベル付けを使用する場合、Windows、macOS、iOS および Android では、[Let users assign permissions]\(ユーザーがアクセス許可を割り当てられるようにする\) に構成されている秘密度ラベルと [暗号化のみ] オプションを使用します。
- Windows と macOS の [暗号化] オプションを使用する場合、更新チャネル別の Microsoft 365 Apps でサポートされているバージョンの表に一覧表示されているバージョンの場合。
暗号化のみオプションの詳細については、Office チームから最初に発表された Office 365 Message Encryption でのロールアウトのみの暗号化に関するブログ記事を参照してください。
このオプションを選択すると、電子メールが暗号化され、受信者を認証する必要があります。 その後、受信者には、[名前を付けて保存]、[エクスポート]、[フル コントロール] を除くすべての使用権限があります。 この使用権限の組み合わせは、受信者が保護を削除できないことを除き、制限がないことを意味します。 たとえば、受信者はメールからコピーして印刷し、転送することができます。
同様に、既定では、電子メールに添付されている保護されていない Office ドキュメント は、同じアクセス許可を継承します。 これらのドキュメントは自動的に保護され、ダウンロードされると、受信者がOffice アプリのアプリケーションから保存、編集、コピー、印刷できます。 受信者がドキュメントを保存すると、新しい名前と別の形式に保存できます。 ただし、元の保護がないとドキュメントを保存できないように、保護をサポートするファイル形式のみを使用できます。 添付ファイルに別の使用権限が必要な場合、または添付ファイルがこの継承された保護をサポートする Office ドキュメントでない場合は、メールに添付する前にファイルを保護してください。 その後、ファイルに必要な特定の使用権限を割り当てることができます。
または、ドキュメントのこの保護継承を変更するには、Exchange Online PowerShell で Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true
を指定します。 この構成は、ユーザーの認証後にドキュメントの元の保護を保持する必要がない場合に使用します。 受信者が電子メール メッセージを開くと、ドキュメントは保護されません。
元の保護を保持するために添付ドキュメントが必要な場合は、「Azure Information Protection を使用したドキュメントコラボレーションのセキュリティ保護」を参照してください。
Note
DecryptAttachmentFromPortal への参照が表示された場合、このパラメーターは Set-IRMConfiguration で非推奨になりました。 このパラメーターを以前に設定していない限り、使用できません。
PDF ドキュメントを Exchange Online で自動的に暗号化する
Exchange Online で Office 365 Message Encryption の新機能を使用する際に、暗号化された電子メールに添付されている場合は保護されていない PDF ドキュメントを自動的に暗号化することができます。 ドキュメントでは、電子メール メッセージと同じ権限が継承されます。 この構成を有効にするには、Set-IRMConfiguration を使用して EnablePdfEncryption $True を設定します。
PDF 暗号化の ISO 標準をサポートするリーダーをまだインストールしていない受信者は、Microsoft Purview Information Protection をサポートする PDF リーダーにリストされているリーダーのいずれかをインストールできます。 受信者は OME ポータルで保護された PDF ドキュメントを参照することもできます。
Rights Management 発行者と Rights Management 所有者
ドキュメントまたは電子メールが Azure Rights Management サービスを使用して保護されている場合、そのコンテンツを保護するアカウントは自動的にそのコンテンツの Rights Management 発行者になります。 このアカウントは、利用状況ログの発行者フィールドに記録されます。
Rights Management 発行者には、常にドキュメントまたは電子メールのフル コントロール使用権限が与えられます。さらに、次の操作が可能です。
保護設定に有効期限が含まれる場合、Rights Management 発行者はその日付の後でもドキュメントまたは電子メールを開き、編集できます。
Rights Management 発行者は常にドキュメントまたは電子メールにオフラインでアクセスできます。
Rights Management 発行者は取り消されたドキュメントも開くことができます。
既定では、このアカウントはそのコンテンツの Rights Management 所有者でもあります。これは、ドキュメントまたは電子メールを作成したユーザーが保護を開始した場合です。 ただし、管理者またはサービスがユーザーの代わりにコンテンツを保護できるシナリオもあります。 次に例を示します。
管理者がファイル共有のファイルを一括保護する: Microsoft Entra ID の管理者アカウントがユーザーのためにドキュメントを保護します。
Rights Management コネクタが Windows Server フォルダーの Office ドキュメントを保護する: RMS コネクタ用に作成された Microsoft Entra ID のサービス プリンシパル アカウントがユーザーのためにドキュメントを保護します。
以上のシナリオでは、Rights Management 発行者は Azure Information Protection SDK または PowerShell を利用して Rights Management 所有者を別のアカウントに割り当てることができます。 たとえば、Azure Information Protection クライアントで Protect-RMSFile PowerShell コマンドレットを使用するとき、OwnerEmail パラメーターを指定し、Rights Management 所有者を別のアカウントに割り当てることができます。
ユーザーの代わりに Rights Management 発行者が保護を行う場合、元のドキュメントまたは電子メールの所有者に Rights Management 所有者を割り当てることで、保護コンテンツに対し、保護を自分で開始した場合と同じレベルのコントロールを与えることができます。
たとえば、印刷使用権限が含まれていないテンプレートで保護されていても、ドキュメントを作成したユーザーはそのドキュメントを印刷できます。 そのテンプレートで構成されているオフライン アクセス設定や有効期限に関係なく、このユーザーは常に自分のドキュメントにアクセスできます。 さらに、Rights Management 所有者にはフル コントロール使用権限が与えられるため、このユーザーはドキュメントを再保護し、追加のユーザー アクセスを付与することもできます (その時点で、ユーザーは Rights Management 発行者と Rights Management 所有者になります)。このユーザーは保護を解除することもできます。 ただし、ドキュメントを追跡し、取り消すことができるのは、Rights Management 発行者だけです。
ドキュメントまたは電子メールの Rights Management 所有者は、利用状況ログで owner-email フィールドに記録されます。
Note
Rights Management 所有者と Windows ファイル システム所有者は無関係です。 この 2 つは多くの場合は同じですが、別々にすることもできます (SDK または PowerShell を使用しなくても)。
Rights Management の使用ライセンス
Azure Rights Management によって保護されたドキュメントまたは電子メールをユーザーが開くと、そのコンテンツに対する Rights Management の使用ライセンスがユーザーに付与されます。 この使用ライセンスは証明書であり、ドキュメントまたは電子メール メッセージに対するユーザーの使用権限、およびコンテンツを暗号化するために使用された暗号化キーが含まれています。 また、使用ライセンスには有効期日 (設定されている場合) および使用ライセンスの有効期間も含まれます。
ユーザーは、権限アカウント証明書 (RAC) に加えてコンテンツを開くために有効な使用ライセンスを持っている必要があります。これは、ユーザー環境が初期化され、31 日ごとに更新されるときに付与される証明書です。
使用ライセンスの期間中、ユーザーはコンテンツに対して再認証も再承認も行われません。 これにより、ユーザーはインターネットに接続しなくても、保護されたドキュメントまたは電子メールを引き続き開くことができます。 使用ライセンスの有効期限を過ぎると、ユーザーは次回の保護されたドキュメントまたは電子メールへのアクセス時に、ユーザーは再認証および再承認される必要があります。
保護設定を定義したラベルまたはテンプレートによってドキュメントおよび電子メール メッセージが保護されている場合は、ラベルまたはテンプレート内でこれらの設定を変更することができ、コンテンツを再保護する必要はありません。 ユーザーが既にコンテンツにアクセスしている場合は、使用ライセンスの有効期限が過ぎた後で変更が有効になります。 ただし、ユーザーがカスタム アクセス許可 (ad hoc 権利ポリシーとも呼ばれる) を適用した場合、ドキュメントまたは電子メールが保護された後でこれらのアクセス許可を変更する必要があるときは、そのコンテンツを新しいアクセス許可で再度保護する必要があります。 電子メール メッセージのカスタム アクセス許可は、[転送不可] オプションで実装されます。
テナントの既定の使用ライセンス有効期間は 30 日間であり、この値は PowerShell のコマンドレット Set-AipServiceMaxUseLicenseValidityTime を使用することで構成できます。 アクセス許可を今すぐ割り当てるように構成された秘密度ラベル、またはテンプレートを使用して、保護が適用されるときのより制限的な設定を構成できます。
秘密度ラベルを構成する場合は、使用ライセンスの有効期間として、[オフライン アクセスの許可] 設定の値が使用されます。
秘密度ラベルに対してこの設定を構成するための詳細とガイダンスについては、秘密度ラベルのアクセス許可を今すぐ構成する手順の推奨事項の表を参照してください。
PowerShell を使用してテンプレートを構成する場合、使用ライセンスの有効期間として、Set-AipServiceTemplateProperty および Add-AipServiceTemplate コマンドレットの LicenseValidityDuration パラメーターの値が使用されます。
PowerShell を使用してこの設定を構成するための詳細とガイダンスについては、各コマンドレットのヘルプを参照してください。