秘密度ラベルを使用して暗号化を適用してコンテンツへのアクセスを制限する
秘密度ラベルを作成するときに、ラベルが適用されるコンテンツへのアクセスを制限できます。 たとえば、秘密度ラベルの暗号化設定を使用すると、次のようにコンテンツを保護できます。
- 組織内のユーザーのみが機密ドキュメントや電子メールを開けるようにする。
- 宣伝広告用のドキュメントや電子メールは、マーケティング部門のユーザーのみが編集および印刷できるようにして、その他の組織内のユーザーは閲覧のみできるようにする。
- 内部の再編成に関するニュースが含まれている電子メールは、ユーザーが転送や情報のコピーをできないようにする。
- ビジネス パートナーに送信する現行の価格リストは、指定した日付以降は開けないようにする。
- 機密プロジェクトを開始するために会議出席依頼を送信したユーザーのみが会議出席依頼を開き、他のユーザーに転送することはできません。
ドキュメント、電子メール、または会議出席依頼が暗号化されると、コンテンツへのアクセスが制限され、次のことが行われます。
- 暗号化の解除は、ラベルの暗号化設定で許可されているユーザーのみが可能です。
- 暗号化は、ファイルの場所 (組織内外) を問わず、ファイル名が変更されていても維持されます。
- 保存中 (OneDrive アカウントなど) と転送中 (インターネットを行き来するメールなど) の両方で暗号化されています。
最後に、管理者は、暗号化に適用する秘密度ラベルを構成するときに、次のいずれかを選択できます。
- アクセス許可を割り当てます。これにより、どのユーザーがそのラベルのコンテンツにどのアクセス許可を取得するかを正確に決定します。
- ラベルをコンテンツに適用するときに、ユーザーがアクセス許可を割り当てることができます。 このようにして、組織内のユーザーに、共同作業を行って作業を完了するために必要な柔軟性を与えることができます。
暗号化設定は、Microsoft Purview ポータルまたはMicrosoft Purview コンプライアンス ポータルで秘密度ラベルを作成するときに使用できます。
注:
Outlook の秘密度ラベルは、Azure Rights Management サービスからの暗号化とアクセス許可ではなく、S/MIME 保護を適用できます。 詳細については、「Outlook で S/MIME 保護を適用するラベルを構成する」を参照してください。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。
暗号化のしくみを理解する
Outlook に S/MIME を使用していない限り、機密ラベルによってドキュメント、電子メール、会議の招待に適用される暗号化はすべて、Microsoft Purview Information Protectionから Azure Rights Management サービス (Azure RMS) を使用します。 この保護ソリューションでは、暗号化ポリシー、ID ポリシー、および認識ポリシーが使用されます。 詳細については、「 Azure Rights Management とは」を参照してください。
暗号化ソリューションを使用すると、スーパー ユーザー機能により、認証されたユーザーとサービスが、組織のために暗号化されたデータの閲覧と検査を常に行えるようにできます。 必要に応じて、暗号化を削除または変更することができます。 詳細については、「Azure Information Protection および検索サービスまたはデータ回復用のスーパー ユーザーの構成」を参照してください。
重要
秘密度ラベルを使用して Teams 会議のオーディオストリームとビデオ ストリームに暗号化を適用することもできますが、これは、電子メール、会議出席依頼、ドキュメントに使用される Azure Rights Management サービスではなく、別の暗号化方法を使用します。 Teams 会議に使用される暗号化の詳細については、Teams セキュリティ ガイドの メディア暗号化 に関するページを参照してください。
重要な前提条件
暗号化を使用するには、構成作業をいくつか行う必要がある場合があります。 暗号化設定を構成する場合、これらの前提条件が満たされていることを検証するチェックはありません。
Azure Rights Management をアクティブ化する
秘密度ラベルが権限管理で暗号化を適用するには、テナントに対してMicrosoft Purview Information Protectionからの Azure Rights Management サービスをアクティブにする必要があります。 新しいテナントの場合はこれが既定の設定になっていますが、サービスを手動で有効にする必要がある場合があります。 詳細については、「Azure Information Protection の保護サービスのアクティブ化」を参照してください。
ネットワーク エラーを確認
ファイアウォールなど、ネットワーク デバイスへ一部の変更を加える必要があることがあります。 詳細については、「 ファイアウォールとネットワーク インフラストラクチャ」を参照してください。
Microsoft Entra構成を確認する
暗号化されたコンテンツへの承認されたアクセスを妨げる可能性のあるMicrosoft Entra構成がいくつかあります。 たとえば、テナント間アクセス設定や条件付きアクセス ポリシーなどです。 詳細については、「暗号化されたコンテンツのMicrosoft Entra構成」を参照してください。
Exchange for Azure Rights Management を構成する
ユーザーが Outlook でラベルを適用してメールを暗号化する前に、Exchange を Azure Rights Management 用に構成する必要はありません。 ただし、Exchange が Azure Rights Management 用に構成されるまでは、権限管理を使用した暗号化の完全な機能は利用できません。
たとえば、ユーザーは、暗号化されたメールや暗号化された会議出席依頼を携帯電話やOutlook on the webで表示することはできません。暗号化されたメールは検索用のインデックスを作成できません。また、Rights Management 保護のために DLP Exchange Online構成することはできません。
このような追加のシナリオを Exchange でサポートする場合は、次の手順を実行します。
- Exchange Online の場合は、「Exchange Online: IRM 構成」の説明を参照してください。
- Exchange On-Premises の場合は、RMS コネクタを展開して Exchange サーバーを構成する必要があります。
暗号化のラベルを構成する方法
一般的な手順に従って秘密度ラベルを作成または編集し、ラベルのスコープに [他のデータ資産 & ファイル] オプションが選択されていることを確認します。
次に、 選択した項目の種類の [保護設定の選択 ] ページで、[アクセスの 制御] を選択していることを確認します。
[ アクセス制御 ] ページで、次のいずれかのオプションを選択します。
項目に既に適用されている場合にアクセス制御設定を削除する: このオプションを選択すると、秘密度ラベルとは別に適用されていた場合でも、ラベルを適用すると既存の暗号化が削除されます。
この設定は、ユーザーが既存の暗号化を削除するための十分なアクセス許可を持っていない場合に適用できない可能性がある秘密度ラベルになる可能性があることを理解しておくことが重要です。 このシナリオの詳細については、 をご覧ください。ラベルが適用された場合の既存の暗号化への影響については のセクションをご覧ください。
アクセス制御設定を構成する: 権限管理を使用して暗号化を有効にし、次の設定を表示します。
これらの設定の手順は、次の「暗号化設定の構成」セクションにあります。
ラベルを編集して新しく暗号化を適用するか、既存の暗号化設定を変更する
これは、暗号化を適用しない秘密度ラベルを最初に構成し、後で既存のラベルの一部を編集して暗号化を適用する一般的なデプロイ戦略です。 ラベルの変更が アプリに届くと、編集したラベルによって、新しくラベル付けされたアイテムにその暗号化が適用されます。
SharePoint と OneDrive で秘密度ラベルを有効にした場合に SharePoint と OneDrive でアクセスされたファイルの場合、これらのファイルが次にアクセスされると、ファイルの新しい暗号化状態が自動的に変更されます。 たとえば、Office for the webで開いたり、ダウンロードしたりします。 ラベルを削除して再適用する必要はありません。 たとえば、以前に暗号化されていないファイルは暗号化されます。
既にラベルが付いている他のアイテムの場合、ラベルを削除して再適用しない限り、以前の暗号化状態が保持されます。 たとえば、秘密度ラベルを変更して暗号化を適用した後、以前にラベル付けされた暗号化されていないドキュメントやメールを Office Desktop または Office Mobile で開くと、ラベルを削除して再適用しない限り、それらのアイテムは暗号化されません。 同様に、秘密度ラベルの設定を暗号化を適用しないように変更した場合 (アクセス制御のオプションを削除)、ラベルを削除して再適用しない限り、それらの項目は暗号化されたままになります。
既に暗号化のラベルが付き、アクセス許可の割り当てオプションが設定されている項目の場合、ユーザーまたはアクセス許可の暗号化設定を変更すると、ユーザーが暗号化サービスで認証するときに、既存の項目に対して新しい設定が適用されます。 ほとんどの場合、ラベルを削除して再適用する必要はありません。 ただし、ユーザーが暗号化されたドキュメントまたは電子メールを既に開いている場合、使用ライセンスの有効期限が切れ、再認証が必要になるまで、新しい設定は取得されません。 このシナリオの詳細については、暗号化のしくみに関する関連 するよく寄せられる質問 を参照してください。
ユーザーにアクセス許可を割り当てるための暗号化オプションを変更するたびに、その変更は新しくラベル付けまたはラベル付けされた項目にのみ適用されます。 以下に例を示します。
- ユーザーがアクセス許可を割り当てできるように、ラベルをアクセス許可の割り当てから変更します。
- ラベルを [転送不可] から [暗号化のみ] に変更するか、またはその逆の方法で
ラベルが適用された場合の既存の暗号化への影響
暗号化されていないコンテンツに秘密度ラベルが適用されている場合、選択できる暗号化オプションの結果は自明です。 たとえば、[ アクセスの制御] を選択しなかった場合、コンテンツは暗号化されません。
ただし、コンテンツが既に暗号化されている場合があります。 たとえば、別のユーザーにより次のようなアクセス許可などが適用されている場合があります。
- ラベルによるユーザー定義のアクセス許可、Microsoft Purview Information Protection クライアントによるカスタム アクセス許可、Office アプリ内からの制限付きアクセスドキュメント保護など、独自のアクセス許可。
- ラベルとは別にコンテンツを暗号化する権限管理テンプレート。 このカテゴリには、権限の保護を使用して暗号化を適用する、メール フロー ルールが含まれます。
- 管理者によって割り当てられているアクセス許可を使用して暗号化を適用するラベル。
そのコンテンツに秘密度ラベルが適用された際の既存の暗号への影響を次の表に示します:
| 暗号化: 選択されていない | 暗号化: 構成されている | 暗号化: 削除 | |
|---|---|---|---|
| ユーザーによって指定されたアクセス許可 | 元の暗号化が削除されます | 新しいラベルの暗号化が適用されます | 元の暗号化が削除されます |
| Rights Management テンプレート | 元の暗号化が維持されます | 新しいラベルの暗号化が適用されます | 元の暗号化が削除されます |
| 管理者定義によるアクセス許可が適用されたラベル | 元の暗号化が削除されます | 新しいラベルの暗号化が適用されます | 元の暗号化が削除されます |
新しいラベルの暗号化が適用された場合、または元の暗号化が削除された場合、それが実際に実行されるのは、このアクションをサポートする使用権限または役割が、ラベルの適用を行うユーザーに付与されている場合のみです。
- 「エクスポート」または「フル コントロール」の使用権限。
- Rights Management 発行者または Rights Management 所有者の役割、またはスーパー ユーザー。
ユーザーに上記のいずれかの権限または役割が付与されていない場合はラベルを適用することはできず、そのため元の暗号化が維持されます。 ユーザーには次のメッセージが表示されます: You don't have permission to make this change to the sensitivity label. Please contact the content owner. (秘密度ラベルを変更するためのアクセス許可がありません。コンテンツの所有者に連絡してください。)
たとえば、メール メッセージに「転送不可」を適用するユーザーは、スレッドのラベルを付け直して暗号化を置き換えたり削除したりできます。これらのユーザーはすべてのメールの Rights Management 所有者であるためです。 ただし、スーパー ユーザーを除き、このメールの受信者はメールのラベルを付け直すことはできません。必要な使用権限が受信者に付与されていないためです。
暗号化された電子メール メッセージと会議出席依頼の添付ファイルをEmailする
メール メッセージまたは会議出席依頼が任意の方法で暗号化されている場合、暗号化されていない Office ドキュメントがメールまたは招待に添付されると、同じ暗号化設定が自動的に継承されます。 設定や ラベルのスコープなど、この暗号化の継承を無効にすることはできません。
メール メッセージまたは会議出席依頼の秘密度ラベルは添付ファイルに継承されませんが、同じテナント内のユーザーがドキュメントを開いたときに自動的に適用される可能性があります。 詳細については、「 ドキュメントの暗号化ベースのラベルマッチング」を参照してください。
既に暗号化されているドキュメントが添付ファイルとして追加された場合は常に、元の暗号化がそのドキュメントで維持されます。
暗号化設定を構成する
[アクセス制御] ページで [アクセス制御設定の構成] を選択して秘密度ラベルを作成または編集する場合は、次のいずれかのオプションを選択します。
- [Assign permissions now] (アクセス許可を今すぐ割り当てる): ラベルが適用されているコンテンツに対し、どのアクセス許可をどのユーザーに付与するかを正確に決められます。 詳細については、次のセクション「アクセス許可を今すぐ割り当てる」を参照してください。
- [Let users assign permissions] (アクセス許可の割り当てをユーザーに許可する): ユーザーがラベルをコンテンツに適用するときに、ユーザーがアクセス許可を割り当てることを許可します。 このオプションを使用した場合、共同作業や業務を行う上で必要な柔軟性を組織内のユーザーに与えることができます。 詳細については、このページのセクション「ユーザーがアクセス許可を割り当てる」を参照してください。
たとえば、最も機密性の高いコンテンツに適用される「極秘」という名前の機密ラベルがある場合、そのコンテンツに対してどのタイプのアクセス許可を誰に付与するのかについて、この時点で決めることができます。
一方、「業務契約」という名前の機密ラベルがあり、組織のワークフローの規定によりこのコンテンツに関してユーザーが計画外にさまざまなユーザーと共同作業を行う必要がある場合は、ユーザーがラベルを割り当てる際に、アクセス許可を誰に付与するかをユーザーが決定できるようにすることができます。 この柔軟性により、ユーザーの生産性が向上し、特定のシナリオに対処するために管理者に新しい機密度ラベルを更新または作成を要求することを減らすことができます。
[Choosing whether to assign permissions now] (アクセス許可を今すぐ割り当てる) または [Let users assign permissions] (アクセス許可の割り当てをユーザーに許可する) の選択:
アクセス許可を今すぐ割り当てる
次のオプションを使用して、メール、会議出席依頼 (有効な場合)、またはこのラベルを適用するドキュメントにアクセスできるユーザーを制御します。 次の操作を行うことができます:
ラベルが適用されてから特定の日付または特定の日数が経過した後に、ラベル付きコンテンツへのアクセスの有効期限が切れるようにします。 この時間が経過すると、ユーザーはラベル付きアイテムを開くことができません。 日付を指定すると、現在のタイム ゾーンでその日付の午前 0 時が有効になります。 一部の電子メール クライアントでは、キャッシュ メカニズムにより、有効期限が適用されず、有効期限が過ぎたメールが表示されることがあります。
オフライン アクセスの許可を全くしない、常にする、またはラベル適用後特定の日数だけすることができます。 この設定を使用して、ユーザーがインターネットに接続していないときに暗号化されたコンテンツを開く機能と、セキュリティ要件のバランスを取ります。 オフライン アクセスを無期限または数日に制限する場合、そのしきい値に達すると、ユーザーは再認証され、アクセスがログに記録されます。 このプロセスのしくみの詳細については、 「Rights Management 使用ライセンス」に関する次のセクションを参照してください。
暗号化されたコンテンツのアクセス制御設定:
有効期限とオフライン アクセスの設定に関する推奨事項:
| 設定 | 推奨される設定値 |
|---|---|
| コンテンツへのユーザー アクセスの有効期限 | [無期限]: コンテンツに特定の期限付き要件がない限り、制限しません。 |
| オフライン アクセスの許可 | コンテンツの秘密度によって異なります。 - [次の日数だけ許可する] = 7: ビジネスに損害を与える可能性がある機密ビジネス データを承認されていないユーザーと共有した場合、数日間のみ許可します。 この推奨事項は、柔軟性とセキュリティのバランスの取れた妥協点を提供します。 例としては、契約書、セキュリティ レポート、予測概要、販売取引データなどがあります。 - [許可しない]: ビジネスに損害を与える可能性がある非常に機密性の高いビジネス データを承認されていないユーザーと共有した場合、許可しません。 この推奨事項は、柔軟性よりもセキュリティを優先し、ドキュメントへの 1 人以上のユーザーのアクセス権を削除すると、ユーザーがドキュメントを開くことができないようにします。 例としては、従業員情報と顧客情報、パスワード、ソース コード、発表前の財務レポートなどがあります。 - [常に許可する]: アクセス権が削除され、以前に暗号化されたコンテンツを開いた後、ユーザーが暗号化されたコンテンツを最大 30 日間 (またはテナントに対して構成された使用ライセンスの有効期間) まで開くことができるかどうかは関係のない、機密性の低いコンテンツの場合、常に許可します。 |
アクセス許可を割り当てるために構成されたラベルのみが、オフライン アクセスに対して異なる値をサポートするようになりました。 ユーザーがアクセス許可を割り当てることができるラベルは、テナントのRights Management 使用ライセンスの有効期間を自動的に使用します。 たとえば、[転送不可]、[暗号化のみ]、および独自のアクセス許可を指定するようにユーザーに求めるラベルなどです。 この設定の既定値は 30 日です。
オフライン アクセスのための Rights Management 使用ライセンス
注:
オフライン アクセスを許可するように暗号化設定を構成できますが、暗号化されたコンテンツのオフライン アクセスをサポートしていないアプリもあります。 たとえば、オフラインの場合、Power BI Desktop 内のラベル付きファイルと暗号化されたファイルは開きません。
ユーザーが Azure Rights Management サービスからの暗号化によって保護されているアイテムを開くと、そのコンテンツの Azure Rights Management 使用ライセンスがユーザーに付与されます。 使用ライセンスは、ドキュメントまたはメールに対するユーザーの使用権限およびコンテンツの暗号化に使用された暗号化キーが含まれている証明書です。 使用ライセンスに有効期限日が設定されている場合は、期限日と期間も使用ライセンスに含まれています。
有効期限が設定されていない場合、テナントの既定の使用ライセンス有効期間は 30 日です。 使用ライセンスの期間中、ユーザーはコンテンツに対して再認証または再認証されません。 このプロセスにより、ユーザーはインターネットに接続せずに保護されたドキュメントまたは電子メールを引き続き開くことができます。 使用ライセンスの有効期間が期限切れになると、次にユーザーが保護されたドキュメントまたは電子メールにアクセスするときに、ユーザーを再認証して再認証する必要があります。
再認証に加え、暗号化設定とユーザー グループのメンバーシップが再評価を受けます。 つまり、ユーザーがコンテンツに最後にアクセスしたときから暗号化設定またはグループ メンバーシップに変更がある場合、ユーザーは同じアイテムに対して異なるアクセス結果を経験する可能性があります。
既定の 30 日の設定を変更する方法については、「Rights Management 使用ライセンス」を参照してください。
特定のユーザーまたはグループにアクセス許可を割り当てる
特定のユーザーのみがラベル付きのコンテンツを操作できるよう、特定のユーザーのみにアクセス許可を付与することができます。
最初に、ラベル付きコンテンツへのアクセス許可を割り当てるユーザーまたはグループを追加します。
次に、これらのユーザーに付与するラベル付きコンテンツへのアクセス許可を選択します。
アクセス許可の割り当て:
ユーザーまたはグループの追加
アクセス許可を割り当てるときには、次の選択が可能です。
organizationのすべてのユーザー (すべてのテナント メンバー)。 この設定では、ゲスト アカウントは除外されます。
すべての認証されたユーザー。 選択する前に、この設定の要件と制限事項を理解しておいてください。
Microsoft Entra ID内の特定のユーザーまたは電子メールが有効なセキュリティ グループ、配布グループ、または Microsoft 365 グループ。 Microsoft 365 グループは、静的メンバーシップまたは動的メンバーシップを持つことができます。 このグループの種類はMicrosoft Entra IDに同期されないため、Exchange から動的配布グループを使用することはできません。 メールが有効になっていないセキュリティ グループを使用することもできません。
組織外の複数のユーザーにアクセスを許可する便利な方法として、メールの連絡先を含むグループを指定できますが、現在、この構成には既知の問題があります。 詳細については、「グループ内のメール連絡先が暗号化されたコンテンツに断続的にアクセスする」を参照してください。
任意のメール アドレスまたはドメイン。 このオプションを使用して、そのorganizationから任意のドメイン名を入力して、Microsoft Entra IDを使用する別のorganization内のすべてのユーザーを指定します。 gmail.com、hotmail.com、outlook.com などのドメイン名を入力することにより、ソーシャル プロバイダーに対してこのオプションを使用することもできます。
注:
Microsoft Entra IDを使用するorganizationからドメインを指定した場合、その特定のドメインへのアクセスを制限することはできません。 代わりに、Microsoft Entra IDのすべての検証済みドメインは、指定したドメイン名を所有するテナントに自動的に含まれます。
組織内のすべてのユーザーとグループを選択するか、ディレクトリを参照する場合、ユーザーまたはグループにはメール アドレスが必要になります。
ベスト プラクティスとして、ユーザーではなくグループを使用します。 この方法により、構成が簡単になります。
[Add any authenticated users] (すべての認証されたユーザーを追加) の要件と制限事項
この設定では、ラベルによって暗号化されているコンテンツにアクセスできるユーザーは制限されませんが、コンテンツの暗号化は実行され、コンテンツの使用 (アクセス許可) およびコンテンツへのアクセス (有効期限とオフライン アクセス) を制限するオプションが提供されます。 ただし、暗号化されたコンテンツを開くために使用するアプリケーションでは、使用する認証方法がサポートされている必要があります。 このため、Google などのフェデレーション ソーシャル プロバイダーとワンタイム パスコード認証は、メールと会議の招待に対してのみ機能し、Exchange Onlineを使用する場合にのみ機能します。 Microsoft アカウントは、Office 365 アプリとMicrosoft Purview Information Protection ビューアーで使用できます。
注:
SharePoint と OneDrive の Office ファイルで秘密度ラベルが有効になっている場合は、SharePoint と OneDrive の統合と Microsoft Entra B2B の統合でこの設定を使用することを検討してください。
いずれの認証ユーザー設定の場合も、一般的なシナリオとして次のようなものがあります。
- コンテンツの閲覧者は制限しないが、コンテンツの使用方法を制限したい。 たとえば、コンテンツの編集、コピー、または印刷を制限したい場合がこれに該当します。
- コンテンツにアクセスするユーザーは制限しないが、コンテンツを開くユーザーを確認したい。
- コンテンツの保存時と送信時の暗号化を要求する要件があるが、コンテンツに対するアクセス制御が必要ない場合。
アクセス許可の選択
該当するユーザーまたはグループに付与するアクセス許可を選択するときには、次のいずれかを選択できます。
- エディターや制限付きエディターなど、事前に設定された権限グループを持つ定義済みのアクセス許可レベル。
- カスタムのアクセス許可。1 つ以上の使用権限を選択します。
適切な許可の選択に役立つ詳細については、「使用権限と説明」を参照してください。
同じラベルが異なるユーザーに異なるアクセス許可を付与できることに注意してください。 たとえば、次のスクリーンショットに示すように、1 つのラベルで一部のユーザーを制限付きエディターとして割り当て、別のユーザーを所有者として割り当てることができます。
これを行うには、ユーザーまたはグループを追加し、アクセス許可を割り当てて、それらの設定を保存します。 次に、これらの手順を繰り返し、ユーザーを追加してアクセス許可を割り当て、毎回設定を保存します。 必要に応じてこの構成を繰り返して、ユーザーごとに異なるアクセス許可を定義できます。
常にフル コントロールを持つ Rights Management 発行者 (機密ラベルを適用するユーザー)
既定では、秘密度ラベルの暗号化では、Microsoft Purview Information Protectionの Azure Rights Management サービスが使用されます。 ドキュメントやメールを保護するためにユーザーが暗号化を使用して秘密度ラベルを適用すると、そのユーザーはそのコンテンツに対する Rights Management 発行者になります。
Rights Management 発行者には、ドキュメントまたはメールに対するフル コントロールのアクセス許可が必ず付与されます。これに加え、次のことが可能になります。
- 暗号化設定に有効期が含まれている場合、Rights Management 発行者は期限を過ぎても引き続きドキュメントまたはメールを開いて編集できます。
- Rights Management 発行者は、常に、オフラインでドキュメントや電子メールにアクセスできます。
- Rights Management 発行者は、失効後のドキュメントも開くことができます。
詳細については、「Rights Management 発行者と Rights Management 所有者」を参照してください。
動的透かし
この秘密度ラベルが適用されたファイルにユーザーがアクセスすると、既定では、ファイルの各ページにユニバーサル プリンシパル名 (UPN) が透かしとして動的に挿入されます。 通常、ユーザーの UPN はメール アドレスと同じです。 必要に応じて、PowerShell コマンドレット Set-Label と DynamicWatermarkDisplay パラメーターを使用して、日付と時刻を含む変数もサポートするカスタム文字列を指定できます。
この透かしは、デバイスでファイルを表示するときに非常に表示され、エクスポート時には保持されませんが、印刷時には保持されます。 この透かしは、ユーザーが手動でラベルを削除または変更できないため、ラベルの標準コンテンツ マーキングよりも安全です。
透かしを削除する唯一の方法は、ドキュメントにラベルを付け直すか、別の動的透かしを適用する秘密度ラベルを選択するか、動的透かしを適用しないかです。 ただし、暗号化されたすべてのコンテンツと同様に、ユーザーは既存の暗号化を削除するために、エクスポートまたはフル コントロールの 使用権 を持っている必要があります。
この保護透かしは、暗号化を適用する秘密度ラベルに対してのみサポートされ、[ アクセス許可の割り当て] 構成が "管理者定義のアクセス許可" と呼ばれるようになりました。 ドキュメントを開いたユーザーによる画面キャプチャに対する視覚的な抑止力として、最も機密性の高いドキュメントに使用します。 ただし、次の考慮事項に注意してください。
動的透かしを適用するラベル付きドキュメントを開くには、次のいずれかが true である必要があります。
ユーザーは Rights Management の所有者であり、ほとんどの場合、ラベル自体が適用されていることを意味します。 詳細については、「Rights Management 発行者と Rights Management 所有者」を参照してください。
ユーザーは、動的透かしを理解するアプリでドキュメントを開きます。 サポートされているバージョンを確認するには、 機能テーブル と行 動的透かし を使用します。
ユーザーは、Office on the webでドキュメントを開きます。
ユーザーが Office アプリでドキュメントを開いたときにこれらの条件が満たされない場合、ドキュメントは開きません。 このラベル構成を使用する前に、この制限を理解していることを確認してください。
注意
Microsoft Office アプリは、動的透かしをサポートしていない場合はアクセスを拒否するか、動的透かしを適用する場合は動的透かしを適用します。
以前にラベル付けされたドキュメントに関する考慮事項:
すべての変更された暗号化設定と同様に、ドキュメントに対して有効な Rights Management の使用ライセンス が既にある場合、新しく構成された動的透かしはすぐに適用されません。 使用ライセンスの有効期限が切れた後、Azure Rights Management サービスに再認証してドキュメントを開き、動的透かし設定を適用する必要があります。
機密ラベルが以前に標準の透かしをコンテンツ マーキングとして適用した場合、自動検出と解決はありません。
二重キー暗号化
注:
組み込みのラベル付けの場合は、 機能テーブル と行 Double Key Encryption (DKE) を使用して必要な最小バージョンを特定します。
二重キー暗号化サービスを構成し、このラベルが適用されるファイルと電子メールにこの二重キー暗号化を使用する必要がある場合にのみ、[二重キー暗号化ラベル] オプションを選択します。 ラベルを構成して保存すると、ラベルを編集できなくなります。
詳細、前提条件、構成手順については、「二重キー暗号化 (DKE)」を参照してください。
ユーザーがアクセス許可を割り当てる
重要
ラベル クライアントの中には、ユーザーに権限を割り当てさせてもらえるオプションが一部サポートされていないものがあります。 詳細については、このセクションを参照してください。
これらのオプションを使用すると、ユーザーがコンテンツに機密度ラベルを手動で適用するときにアクセス許可を割り当てることができます。
Outlook では、ユーザーは選択した受信者に対して [転送不可] オプションまたは [暗号化のみ]と同等の制限を選択することができます。
[転送しない] オプションは、すべての電子メール クライアントでサポートされています。この場合、これらのクライアントは、最高のラベルをサポートしています。 ただし、秘密度ラベルを使用して [暗号化のみ] オプションを適用することは、より新しいリリースです。 この機能をサポートしないメール クライアントの場合、ラベルは表示されません。
組み込みのラベルを使用して機密ラベル付きの [暗号化のみ] オプションの適用をサポートする Outlook アプリの最小バージョンを確認するには、「Outlookの機能テーブル」と「ユーザーが権限を割り当て可能 - 暗号化のみ」行を使用します。
Word、PowerPoint、Excel では、ラベルが SharePoint ドキュメント ライブラリのアクセス許可を拡張するように構成されていない限り、ユーザーは特定のユーザー、グループ、または組織に対して独自のアクセス許可を選択するように求められます。
この機能をサポートしていない Office アプリの場合、ラベルはユーザーには表示されません。または、ラベルは一貫性のために表示されますが、ユーザーに説明メッセージを付けて適用することはできません。
このオプションをサポートする Office アプリをチェックするには、Word、Excel、PowerPointの機能テーブルと、[ユーザーにアクセス許可の割り当てを許可する] の行を使用します。
注:
ラベル スコープで電子メール (転送不可と暗号化のみ) が除外されている場合、またはファイルを除外する (Word、PowerPoint、Excel のユーザーにメッセージを表示する) 場合、これらの構成は使用できません。 詳細については、「ファイルまたはメールのみにラベルのスコープを指定する」をご覧ください。
選択するオプションがサポートされている場合に、秘密度ラベルがユーザーに表示されるどうかについて、次の表で確認できます。
| 設定 | ラベルを Outlook で表示 | ラベルを Word、PowerPoint、Excel で表示 |
|---|---|---|
| In Outlook, enforce restrictions with the Do Not Forward option または[暗号化のみ]オプション | 必要 | いいえ |
| In Word, PowerPoint, and Excel, prompt users to specify permissions (Word、PowerPoint、Excel で、アクセス許可の指定をユーザーに求める) | いいえ | はい |
両方の設定を選択すると、ラベルは Outlook と Word、Excel、PowerPoint の両方で表示されます。
ユーザーがアクセス許可を割り当てることができる秘密度ラベルは、ユーザーに推奨できますが、[転送不可] オプションと [Encrypt-Only] オプションにのみ自動的に適用できます。
ユーザーが割り当てるアクセス許可の構成:
Outlook の制限
Outlook では、ユーザーがメッセージにアクセス許可を割り当てることができる機密度ラベルを適用する場合、 [転送不可] または[暗号化のみ]オプションを選択できます。 メッセージの上部にラベル名と説明が表示されます。これは、コンテンツが保護されていることを示します。 Word、PowerPoint、Excel (次のセクション参照) とは異なり、ユーザーは特定のアクセス許可を選択するよう求められません。 この構成では、管理者はアクセス許可を制御しますが、アクセス権を持つユーザーは制御しません。
これらのオプションがメールに適用されると、メールは暗号化され、受信者は認証する必要があります。 受信者には自動的に使用権限が制限されます。
[転送不可]: 受信者はそれを転送したり、印刷したり、コピーしたりすることができなくなります。 たとえば、Outlook クライアントでは、[転送] ボタン、[名前を付けて保存] および [印刷] メニュー オプションは使用できず、[宛先]、[CC]、または [BCC] ボックスで受信者を追加または変更することはできません。
このオプションの機能の詳細については、メールで[転送しない] オプションを使ってを転送しないでくださいを参照してください。
暗号化のみ使用: 受信者には、[名前を付けて保存]、[エクスポート]、および [フル コントロール] を除くすべての使用権があります。 この利用権の組み合わせは、受信者に保護を解除できないという制限がないという意味です。 たとえば、受信者はメールからコピーし、印刷して、転送することができます。
このオプションの機能の詳細については、メールで[暗号化のみ] オプションを使ってを転送しないでくださいを参照してください。
メールまたは会議出席依頼に添付されている暗号化されていない Office ドキュメントは、自動的に同じ制限を継承します。 [転送不可]のドキュメントに適用される使用権は、[コンテンツの編集]、[編集]、[保存]、[表示]、[開く]、[読み取り]、および [マクロの許可] です。 ユーザーが添付ファイルに対して異なる使用権限を必要とする場合、または添付ファイルがこの継承された保護をサポートする Office ドキュメントでない場合は、メールまたは会議の招待に添付する前にファイルを暗号化する必要があります。
Word、PowerPoint、および Excel のアクセス許可
Word、PowerPoint、および Excel では、ドキュメントにアクセス許可を割り当てることをユーザーに許可する秘密度ラベルをユーザーが適用しようとすると、ユーザーはユーザーの選択と暗号化のアクセス許可を指定するように求められます。 この構成では、管理者ではなくユーザーが、ドキュメントにアクセスできるユーザーと、ユーザーが持つアクセス許可の両方を制御します。
組織全体のカスタム アクセス許可のサポート
Windows の組み込みラベル付けの場合、ユーザーは、ユーザーとアクセス許可の選択を指定するように求められたときに、ドメイン名を追加で指定できます。 ドメイン名を入力すると、ドメインを所有するorganization内のすべてのユーザーにアクセス許可が適用され、Microsoft Entra ID。 この設定をサポートする最小バージョンを特定するには、 機能テーブル と [ ユーザーにアクセス許可の割り当てを許可する] 行を使用します。- ユーザーにカスタムアクセス許可 (ユーザー、グループ、組織) の入力を求めます。
注:
表示されるダイアログ ボックスは最新バージョンの Office アプリで更新されますが、ドメイン名を入力してもorganization全体のカスタム アクセス許可のサポートは残ります。 このサポートに関する情報は、ポップアップ情報ボックスに含まれています。
たとえば、ユーザーは @contoso.com (または contoso.com) を入力し、読み取りアクセスを許可します。 Contoso Corporation は contoso.com ドメインを所有しているため、そのドメイン内のすべてのユーザーと、organizationがMicrosoft Entra IDで所有するその他のすべてのドメインには、読み取りアクセス権が付与されます。
注:
これらの値を指定する場合は、引用符で囲まないでください。
指定されたドメイン内のユーザーのみにアクセスが制限されていないことをユーザーに知らせるのが重要です。 たとえば、@sales.contoso.com では、販売サブドメイン内のユーザーへのアクセスを制限するのではなく、marketing.contoso.com ドメイン内のユーザー、および同じMicrosoft Entra テナント内の不整合な名前空間を持つユーザーにもアクセス権を付与します。
暗号化の設定の構成例
次の各例で、[ アクセス制御 設定の構成] オプションが選択されている場合は、[ アクセス制御 ] ページから構成を行います。
例 1: 暗号化されたメールを Gmail アカウントに送信するために [転送不可] を適用するラベル
このラベルは Outlook および Outlook on the web でのみ表示され、Exchange Online を使用する必要があります。 Gmail アカウント (または組織外の他のメール アカウント) を使用しているユーザーに暗号化されたメールを送信する必要がある場合、このラベルを選択するようユーザーに指示します。
ユーザーは、[宛先] ボックスに Gmail のメール アドレスを入力します。 次に、ラベルを選択すると、メールに [転送不可] オプションが自動的に追加されます。 その結果、受信者は、[名前を付けて保存] オプションを使用してメールを転送、印刷、コピー、またはメールボックス外に保存することができなくなります。
[ アクセス制御 ] ページで、[ アクセス許可を今すぐ割り当てる] または [ユーザーが決定できるようにする] で 、[ ユーザーがラベルを適用するときにアクセス許可を割り当てる] を選択します。
[Outlook で、[転送不可] オプションと同等の制限を適用する] チェックボックスを選択します。
[Word、PowerPoint、Excel で、ユーザーにアクセス許可を指定するように求める] が選択されている場合、チェックボックスをオフにします。
[次へ] を選択し、構成を完了します。
例 2: 別の組織のすべてのユーザーを読み取り専用アクセス許可に制限するラベル
このラベルは、非常に機密性の高いドキュメントを読み取り専用として共有するのに適しており、ドキュメントを表示するには常にインターネット接続が必要です。
このラベルはメールには適していません。
[*Access control ]\(アクセス制御\) ページで、[ アクセス許可を今すぐ割り当てる] または [ユーザーが決定できるようにする ] で、[ アクセス許可を今すぐ割り当てる] を選択します。
[オフライン アクセスの許可] で、[使用しない] を選択します。
[アクセス許可の割り当て] を選択します。
[アクセス許可の割り当て] ウィンドウで、[特定のメール アドレスまたはドメインを追加] を選択します。
テキスト ボックスに、他の組織のドメイン名を入力します (例: fabrikam.com)。 次に [追加] を選択します。
[アクセス許可の選択] を選択します。
[アクセス許可の選択] ウィンドウで、ドロップダウン ボックスを選択し、[ビューアー] を選択し、[保存] を選択します。
[アクセス許可の割り当て] ウィンドウに戻り、[保存] を選択します。
[ アクセス制御 ] ページで、[ 次へ ] を選択し、構成を完了します。
例 3: コンテンツを暗号化する既存のラベルに外部ユーザーを追加する
追加した新しいユーザーは、このラベルで既に保護されているドキュメントとメールを開くことができます。 これらのユーザーに付与するアクセス許可は、既存のユーザーが持つアクセス許可とは異なる場合があります。
[ アクセス制御 ] ページで、[ アクセス許可を今すぐ割り当てる] または [ユーザーが決定できるようにする] で 、[ アクセス許可を今すぐ割り当てる] が選択されていることを確認します。
[アクセス許可の割り当て] を選択します。
[アクセス許可の割り当て] ウィンドウで、[特定のメール アドレスまたはドメインを追加] を選択します。
テキスト ボックスに、追加する最初のユーザー (またはグループ) のメール アドレスを入力し、[追加] を選択します。
[アクセス許可の選択] を選択します。
[アクセス許可の選択] ウィンドウで、このユーザー (またはグループ) のアクセス許可の選択し、[保存] を選択します。
[アクセス許可の割り当て] ウィンドウに戻り、このラベルに追加するユーザー (またはグループ) ごとに手順 3 から 6 を繰り返します。 [保存] をクリックします。
[ アクセス制御 ] ページで、[ 次へ ] を選択し、構成を完了します。
例 4: コンテンツを暗号化するが、誰がアクセスできるかについては制限をしないラベル
この構成には、メールまたはドキュメントを暗号化するためにユーザー、グループ、またはドメインを指定する必要がないという利点があります。 コンテンツは引き続き暗号化され、使用権限、有効期限、オフライン アクセスを指定できます。
保護されたドキュメントまたはメールを開くことができるユーザーを制限する必要がない場合にのみ、この構成を使用してください。 この設定の詳細情報を参照してください。
[ アクセス制御 ] ページで、[ アクセス許可を今すぐ割り当てる] または [ユーザーが決定できるようにする] で 、[ アクセス許可を今すぐ割り当てる] が選択されていることを確認します。
必要に応じて、[コンテンツへのユーザー アクセスの有効期限] および [オフライン アクセスの許可] の設定を構成します。
[アクセス許可の割り当て] を選択します。
[アクセス許可の割り当て] ウィンドウで、[すべての認証されたユーザーの追加] を選択します。
[ユーザーとグループ] については、自動的に追加された Authenticated Users を確認します。 この値を削除することはできますが、変更はできません。削除すると、[すべての認証されたユーザーの追加] の選択がキャンセルされます。
[アクセス許可の選択] を選択します。
[アクセス許可の選択] ウィンドウで、ドロップダウン ボックスを選択し、必要なアクセス許可の選択して [保存] を選択します。
[アクセス許可の割り当て] ウィンドウに戻り、[保存] を選択します。
[ アクセス制御 ] ページで、[ 次へ ] を選択し、構成を完了します。
暗号化されたコンテンツに関する考慮事項
重要なドキュメントやメールを暗号化することにより、許可されたユーザーのみがそのデータにアクセスできるようになります。 ただし、考慮すべき点がいつくかあります。
SharePoint および OneDrive で Office ファイルの秘密度ラベルを有効にする 機能が組織でまだ有効になっていない場合:
- 暗号化されたファイルに対して、検索、電子情報開示、Delve は動作しません。
- DLP ポリシーは、これらの暗号化されたファイルのメタデータ (保持ラベルの情報など) に対しては機能しますが、これらのファイルのコンテンツ (ファイル内のクレジット カード番号など) に対しては機能しません。
- ユーザーは、Office for the webを使用して暗号化されたファイルを開くことができません。 SharePoint および OneDrive の Office ファイルの秘密度ラベルが有効になっている場合、ユーザーは、Office for the webを使用して暗号化されたファイルを開くことができます。これには、オンプレミス のキー ("自分のキーを保持" または HYOK と呼ばれます) で適用された暗号化、二重キー暗号化、秘密度ラベルから独立して適用された暗号化が含まれる制限があります。
暗号化されたドキュメントを組織外のユーザーと共有する場合は、ゲスト アカウントを作成し、条件付きアクセス ポリシーを変更する必要がある場合があります。 詳細については、「外部ユーザーと暗号化されたドキュメントを共有する」を参照してください。
承認されたユーザーが Office アプリで暗号化されたドキュメントを開くと、アプリの上部にある黄色のメッセージ バーにラベル名と説明が表示されます。 暗号化アクセス許可が組織外のユーザーに拡張されている場合は、ドキュメントを開いたときにこのメッセージ バーに表示されるラベル名と説明を慎重に確認します。
複数のユーザーが暗号化されたファイルを同時に編集するには、すべて Office for the web を使用しているか、秘密度ラベルで暗号化されたファイルの共同編集を有効にしていて、すべてのユーザーがこの機能をサポートする Office アプリを持っている必要があります。 この状況が当てはまらず、ファイルが既に開かれている場合、次のことが起こります。
- Office アプリ (Windows、Mac、Android、iOS)で、[使用中のファイル] メッセージがファイルをチェック アウトしているユーザーの名前とともにユーザーに表示されます。 その場合、ユーザーは読み取り専用コピーの閲覧またはそのコピーの保存と編集を行うことが可能で、他のユーザーによるファイルの使用が終了したときに通知を受け取ることができます。
- Web 用 Office では、他のユーザーと同時にドキュメントを編集することはできないというメッセージがユーザーに表示されます。 その場合は、[閲覧表示で開く] を選択できます。
自動保存 機能は、秘密度ラベルで暗号化されたファイルの 有効な共同編集を行っていない場合は、暗号化されたファイルに対して無効になります。 自動保存を有効にする前に削除する必要があるアクセスの制限がファイルに適用されているというメッセージがユーザーに表示されます。
Office for Windows では、ユーザーがインターネットに接続していない場合に暗号化を適用するラベルがサポートされています。 ただし、他のプラットフォーム (macOS、iOS、Android) の場合、Office アプリでこれらのラベルを適用するには、ユーザーがオンラインである必要があります。 エクスプローラーおよび PowerShell でこれらのラベルを適用するには、Microsoft Purview Information Protection クライアントもオンラインである必要があります。 暗号化されたコンテンツを開くために、ユーザーがオンラインである必要はありません。 オフライン アクセスの詳細については、「Rights Management オフライン アクセス のライセンスを使用する」 のセクションを参照してください。
暗号化されたファイルは、Office アプリ (Windows、Mac、Android、iOS) で開くのに時間がかかる場合があります。
ドキュメントを SharePoint でチェックアウトするときに Office アプリを使用することによって、暗号化されたラベルが追加されれ、その後、ユーザーがチェックアウトを破棄すると、ドキュメントはラベル付きの暗号化されたままになります。
秘密度ラベルで暗号化されたファイルの共同編集を有効にしていない限り、暗号化されたファイルに対する次のアクションは Office アプリ (Windows、Mac、Android、iOS) ではサポートされず、ユーザーに問題が発生したことを示すエラー メッセージが表示されます。 ただし、代替手段として SharePoint 機能を使用できます。
- 以前のバージョンのコピーの表示、復元、および保存。 別の方法として、ユーザーは、リストまたはライブラリのバージョン管理を有効にして構成するときに、Office for the webを使用してこれらのアクションを実行できます。
- ファイルの名前または場所の変更。 代替方法として、ドキュメント ライブラリ内のファイル、フォルダー、またはリンクの名前を SharePoint で変更することができます。
秘密度ラベルを使用して暗号化されたファイルでの共同作業環境を最適化するには、SharePoint および OndeDrive 内の Office ファイル用秘密度ラベルおよび Web 用 Office を使用することをお勧めします。
次の手順
ラベル付けおよび暗号化されたドキュメントを組織外の人々と共有する必要がありますか? 「暗号化されたドキュメントを外部ユーザーと共有する」を参照してください。
秘密度ラベルを使用して Teams 会議のビデオストリームとオーディオ ストリームを暗号化するには、「 秘密度ラベルを使用して予定表アイテム、Teams 会議、チャットを保護する」を参照してください。