この記事では、管理者がMicrosoft Purview Information Protectionの Azure Rights Management 暗号化サービスをアクティブ化する方法について説明します。 この暗号化サービスがorganizationに対してアクティブ化されると、管理者とユーザーは、この暗号化ソリューションをサポートするアプリとサービスを使用して重要なデータの保護を開始できます。 管理者は、organizationが所有する暗号化されたアイテムを管理および監視することもできます。
この記事の構成情報は、organization内のすべてのユーザーに適用されるサービスを担当する管理者向けです。 特定のアプリケーションの Rights Management 機能を使用するためのユーザー ヘルプと情報、または権限で保護されたファイルまたは電子メールを開く方法を探している場合は、アプリケーションに付属するヘルプとガイダンスを使用してください。
Azure Rights Management の自動アクティブ化
Azure Rights Management を含むサービス プランがある場合、サービスをアクティブ化する必要がない場合があります。
Azure Rights Management を含むサブスクリプション、Azure Information Protection (旧称)、またはMicrosoft Purview Information Protectionが 2018 年 2 月末以降に取得された場合: サービスは自動的にアクティブ化されます。 ユーザーまたは別の管理者が非アクティブ化された Azure Rights Management をorganizationしない限り、サービスをアクティブ化する必要はありません。
Azure Rights Management を含むサブスクリプション、Azure Information Protection (旧称)、または Microsoft Purview Information Protection が 2018 年 2 月以前または中に取得された場合: テナントが使用している場合、Microsoft はこれらのサブスクリプションに対して Azure Rights Management サービスをアクティブ化しますExchange Online。 これらのサブスクリプションの場合、Get-IRMConfiguration を実行するときに AutomaticServiceUpdateEnabled が false に設定されている場合を除き、サービスは自動的にアクティブ化されます。
どちらのシナリオも適用されない場合は、Azure Rights Management サービスを手動でアクティブ化する必要があります。
暗号化サービスの状態をアクティブ化または確認する方法
重要
organization用に Active Directory Rights Management Services (AD RMS) がデプロイされている場合は、Azure Rights Management をアクティブ化しないでください。 詳細情報
Azure Rights Management をアクティブ化するには、organizationに、Microsoft Purview Information Protectionの Azure Rights Management サービスを含むサービス プランが必要です。 詳細については、 セキュリティ & コンプライアンスに関する Microsoft 365 ライセンス ガイダンスに関するページを参照してください。
Azure Rights Management がアクティブ化されると、organization内のすべてのユーザーがドキュメントやメールなどのアイテムに暗号化を適用でき、このサービスによって暗号化されたアイテムをすべてのユーザーが開いて使用できます。 ただし、必要に応じて、段階的なデプロイにオンボード コントロールを使用して、この暗号化を適用できるユーザーを制限できます。 詳細については、この記事の「 段階的デプロイのオンボード コントロールの構成」 セクションを参照してください。
PowerShell を使用して Azure Rights Management をアクティブ化する
PowerShell を使用して Azure Rights Management をアクティブ化する必要があります。 管理ポータルからこのサービスをアクティブ化または非アクティブ化することはできなくなります。
AIPService モジュールをインストールして、Azure Rights Management サービスを構成および管理します。 手順については、「 Azure Right Management サービスの AIPService PowerShell モジュールをインストールする」を参照してください。
PowerShell セッションから Connect-AipService を実行し、テナントの Azure Rights Management サービスをアクティブ化する アクセス許可を持つロール でサインインします。 たとえば、コンプライアンス管理者ロール、コンプライアンス データ管理者ロールなどです。
Get-AipService を実行して、Azure Rights Management サービスがアクティブ化されているかどうかを確認します。 [有効] の状態はアクティブ化を確認します。無効は、サービスが非アクティブ化されていることを示します。
サービスをアクティブ化するには、 Enable-AipService を実行します。
段階的なデプロイのオンボード コントロールの構成
すべてのユーザーが Azure Rights Management を使用してドキュメントと電子メールをすぐに暗号化できないようにする場合は、 Set-AipServiceOnboardingControlPolicy PowerShell コマンドを使用してユーザー オンボード コントロールを構成できます。 このコマンドは、Azure Rights Management サービスをアクティブ化する前または後に実行できます。
たとえば、最初に "IT 部門" グループ (fbb99ded-32a0-45f1-b038-38b519009503 のオブジェクト ID を持つ) の管理者のみがテスト目的でコンテンツを保護できるようにする場合は、次のコマンドを使用します。
Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fbb99ded-32a0-45f1-b038-38b519009503"
この構成オプションでは、グループを指定する必要があります。個々のユーザーを指定することはできません。 グループのオブジェクト ID を取得するには、Microsoft Graph PowerShell を使用できます。たとえば、モジュールのバージョン 1.0 の場合は 、Get-MgGroup コマンドを使用します。 または、Azure portalからグループのオブジェクト ID 値をコピーすることもできます。
または、Azure Rights Management を使用するための正しいライセンスを持つユーザーのみがコンテンツを保護できるようにする場合は、次の手順を実行します。
Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True
グループまたはライセンス オプションを使用したかどうかにかかわらず、オンボード コントロールを使用する必要がなくなったら、次を実行します。
Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False
このコマンドレットとその他の例の詳細については、 Set-AipServiceOnboardingControlPolicy のヘルプを参照してください。
これらのオンボード コントロールを使用すると、organization内のすべてのユーザーは、ユーザーのサブセットによって保護されている暗号化されたコンテンツを常に使用できますが、クライアント アプリケーションから暗号化自体を適用することはできません。 Exchange などのサーバー側アプリケーションでは、ユーザーごとの独自のコントロールを実装して、同じ結果を実現できます。 たとえば、ユーザーがOutlook on the webのメールを保護できないようにするには、Set-OwaMailboxPolicy を使用して IRMEnabled パラメーターを $false に設定します。
次の手順
organizationに対して Azure Rights Management サービスがアクティブ化されたので、アプリとサービスは暗号化を適用してデータを保護できます。 暗号化を適用する最も簡単で推奨される方法は、Microsoft Purview Information Protectionの秘密度ラベルを使用することです。 その準備ができたら、「 秘密度ラベルの概要」を参照してください。
Azure Rights Management サービスの簡単な検証テストは、1 つのユーザー アカウントを使用してドキュメントまたは電子メール メッセージを暗号化する秘密度ラベルを適用することです。 次に、別のコンピューター上の別のユーザー アカウントから暗号化されたコンテンツを開いて使用しようとします。