この記事では、ユーザー、管理者、または構成されたサービスによってMicrosoft Purview Information Protectionの秘密度ラベルが選択されたときに自動的に適用されるように構成できる使用権限について説明します。
暗号化用の秘密度ラベルまたは権限管理テンプレートを構成するときに、使用権限が選択されます。 たとえば、使用権限の論理グループを構成するロールを選択したり、個々の権限を個別に構成したりすることができます。 または、ユーザーが自分で使用権限を選択して適用することもできます。
重要
この記事を使用して、使用権限がアプリケーションによって解釈されるように設計されている方法を理解します。
アプリケーションは使用権限の実装方法によって異なる場合があります。運用環境にデプロイする前に、アプリケーションのドキュメントを参照し、アプリケーションの動作をチェックする独自のテストを行うことをお勧めします。
使用権限と説明
次の表に、Rights Management でサポートされている使用権限と、それらの使用方法と解釈方法を示します。 これらは 共通名で一覧表示されます。これは通常、コードで使用される単一単語値 (ポリシー値の エンコード ) のよりわかりやすいバージョンとして、使用状況の権利が表示または参照される方法です。
この表では、次の操作を行います。
API 定数または値は、MSIPC または Microsoft Information Protection SDK API 呼び出しの SDK 名です。使用権をチェックするアプリケーションを作成するとき、または使用権限をポリシーに追加するときに使用されます。
AD RMS テンプレートの名前は、オンプレミスの権利管理ソリューションである Active Rights Rights Management Services 上または移行中のお客様に含まれています。
| 使用権 | 説明 | 実装 |
|---|---|---|
| 共通名: コンテンツの編集、編集 ポリシーでのエンコード: DOCEDIT |
ユーザーがアプリケーション内のコンテンツ (Office on the webを含む) を変更、並べ替え、書式設定、または並べ替えることができます。 編集したコピーを保存する権限は付与されません。 | Office カスタム権限: [変更 ] オプションと [ フル コントロール ] オプションの一部として使用します。 Microsoft Purview ポータルの名前: コンテンツの編集、編集 (DOCEDIT) AD RMS テンプレートの名前: 編集 API 定数または値: MSIPC: 適用されません。 MIP SDK: DOCEDIT |
| 共通名: 保存 ポリシーでのエンコード: EDIT |
ユーザーがアイテムを現在の場所に保存できるようにします。 Office on the webでは、ユーザーがコンテンツを編集することもできます。 Office アプリケーションでは、この権限を使用すると、選択したファイル形式で Rights Management が組み込まれている場合に、ファイルの内容を新しい場所と新しい名前で保存できます。 使用できるファイル形式の一覧は、Rights Management をサポートするものに制限されています。 この制限により、元の暗号化をファイルから削除できなくなります。 |
Office カスタム権限: [変更 ] オプションと [ フル コントロール ] オプションの一部として使用します。 Microsoft Purview ポータルの名前: 保存 (EDIT) AD RMS テンプレートの名前: 保存 API 定数または値: MSIPC: IPC_GENERIC_WRITE L"EDIT"MIP SDK: EDIT |
| 共通名: コメント ポリシーでのエンコード: COMMENT |
コンテンツに注釈またはコメントを追加するオプションを有効にします。 この権限は SDK で使用でき、PurviewInformationProtection PowerShell モジュールのアドホック ポリシーとして使用でき、一部のソフトウェア ベンダー アプリケーションで実装されています。 ただし、これは広く使用されておらず、Office アプリケーションではサポートされていません。 |
Office カスタム権限: 実装されていません。 Microsoft Purview ポータルの名前: 実装されていません。 AD RMS テンプレートの名前: 実装されていません。 API 定数または値: MSIPC: IPC_GENERIC_COMMENT L"COMMENTMIP SDK: COMMENT |
| 共通名: 名前を付けて保存、エクスポート ポリシーでのエンコード: EXPORT |
コンテンツを別のファイル名 (名前を付けて保存) に保存するオプションを有効にします。 この権限を使用すると、ユーザーはアプリケーションで他のエクスポート オプション ( たとえば、OneNote に送信) を実行することもできます。 |
Office カスタム権限: フル コントロール オプションの一部として。 Microsoft Purview ポータルの名前: 名前を付けて保存、エクスポート (EXPORT) AD RMS テンプレートの名前: エクスポート (名前を付けて保存) API 定数または値: MSIPC: IPC_GENERIC_EXPORT L"EXPORT"MIP SDK: EXPORT |
| 共通名: 転送 ポリシーでのエンコード: FORWARD |
電子メール メッセージを転送し、[宛先] 行と[Cc ] 行に受信者を追加するオプションを有効にします。 この権利はドキュメントには適用されません。メール メッセージのみ。 フォワーダーが転送アクションの一部として他のユーザーに権限を付与することを許可しません。 この権限を付与する場合は、 コンテンツの編集、編集 権限 (共通名) も付与し、[ 保存 ] 権限 (共通名) を付与して、暗号化された電子メール メッセージが添付ファイルとして配信されないようにします。 また、Outlook クライアントまたは Outlook Web アプリを使用する別のorganizationに電子メールを送信するときにも、これらの権限を指定します。 または、オンボード コントロールを実装しているため、Rights Management 暗号化の使用が免除されているorganization内のユーザーの場合。 |
Office カスタム権限: 転送 不可 標準ポリシーの使用時に拒否されました。 Microsoft Purview ポータルの名前: 転送 (FORWARD) AD RMS テンプレートの名前: 転送 API 定数または値: MSIPC: IPC_EMAIL_FORWARD L"FORWARD"MIP SDK: FORWARD |
| 共通名: フル コントロール ポリシーでのエンコード: OWNER |
アイテムに対するすべての権限を付与し、使用可能なすべてのアクションを実行できます。 暗号化を削除し、ドキュメントを再暗号化する機能が含まれています。 この使用権限は Rights Management 所有者と同じではないことに注意してください。 | Office カスタム権限: フル コントロール カスタム オプションとして。 Microsoft Purview ポータルの名前: フル コントロール (OWNER) AD RMS テンプレートの名前: フル コントロール API 定数または値: MSIPC: IPC_GENERIC_ALL L"OWNER"MIP SDK: OWNER |
| 共通名: 印刷 ポリシーでのエンコード: PRINT |
コンテンツを印刷するオプションを有効にします。 | Office カスタム権限: カスタム アクセス許可の [コンテンツの印刷 ] オプションとして。 受信者ごとの設定ではありません。 Microsoft Purview ポータルの名前: 印刷 (PRINT) AD RMS テンプレートの名前: 印刷 API 定数または値: MSIPC: IPC_GENERIC_PRINT L"PRINT"MIP SDK: PRINT |
| 共通名: 応答 ポリシーでのエンコード: REPLY |
[宛先] 行または [Cc] 行の変更を許可せずに、メール クライアントで [返信] オプションを有効にします。 この権限を付与する場合は、 コンテンツの編集、編集 権限 (共通名) も付与し、[ 保存 ] 権限 (共通名) を付与して、暗号化された電子メール メッセージが添付ファイルとして配信されないようにします。 また、Outlook クライアントまたは Outlook Web アプリを使用する別のorganizationに電子メールを送信するときにも、これらの権限を指定します。 または、オンボードコントロールを実装しているため、Rights Management 保護の使用を免除されているorganization内のユーザーの場合。 | Office カスタム権限: 適用されません。 AD RMS テンプレートの名前: 応答 API 定数または値: MSIPC: IPC_EMAIL_REPLYMIP SDK: REPLY |
| 共通名: 全員に返信 ポリシーでのエンコード: REPLYALL |
メール クライアントで [ すべて返信 ] オプションを有効にしますが、ユーザーが 宛先 または Cc 行に受信者を追加することはできません。 この権限を付与する場合は、 コンテンツの編集、編集 権限 (共通名) も付与し、[ 保存 ] 権限 (共通名) を付与して、暗号化された電子メール メッセージが添付ファイルとして配信されないようにします。 また、Outlook クライアントまたは Outlook Web アプリを使用する別のorganizationに電子メールを送信するときにも、これらの権限を指定します。 または、オンボード コントロールを実装しているため、Azure Rights Management サービスの使用が免除されているorganization内のユーザーの場合。 | Office カスタム権限: 適用されません。 Microsoft Purview ポータルの名前: 全員に返信 (すべて返信) AD RMS テンプレートの名前: すべて返信 API 定数または値: MSIPC: IPC_EMAIL_REPLYALL L"REPLYALL"MIP SDK: REPLYALL |
| 共通名: 表示、開く、読み取る ポリシーでのエンコード: VIEW |
ユーザーがドキュメントを開いてコンテンツを表示できるようにします。 追加: - Microsoft 365 Copilot やその他の AI アプリでは、 LLM がリンクを使用してアイテムを参照できますが、コンテンツを要約することなく、ユーザーは AI アプリの外部でコンテンツを開いて表示できます。 Excel では、データを並べ替えるにはこの権限だけでは不十分です。これには、 コンテンツの編集、編集の権限が必要です。 Excel でデータをフィルター処理するには、 コンテンツの編集、編集、 コピーの 2 つの権限が必要 です。 |
Office カスタム権限: [カスタム ポリシーの読み取り ]、[ 表示 ] オプション。 Microsoft Purview ポータルの名前: 表示、開く、読み取る (VIEW) AD RMS テンプレートの名前: 読み取り API 定数または値: MSIPC: IPC_GENERIC_READ L"VIEW"MIP SDK: VIEW |
| 共通名: コピー ポリシーでのエンコード: EXTRACT |
項目から同じ項目または別の項目にデータ (画面キャプチャを含む) をコピーするオプションを有効にします。 追加: - Microsoft 365 Copilot やその他の AI アプリでは、 LLM が要求元のユーザーのコンテンツにアクセスして要約できます。 - 一部のアプリケーションでは、この権限により、ドキュメント全体を暗号化せずに保存することもできます。 Microsoft Teamsおよび同様の画面共有アプリケーションでは、発表者は、暗号化されたドキュメントを正常に提示するには、この権限を持っている必要があります。 発表者にこの権限がない場合、出席者はドキュメントを表示できないため、黒く表示されます。 |
Office カスタム権限: [ 読み取りアクセス権を持つユーザーにコンテンツのコピーを許可する ] カスタム ポリシー オプションとして。 Microsoft Purview ポータルの名前: コピー (EXTRACT) AD RMS テンプレートの名前: 抽出 API 定数または値: MSIPC: IPC_GENERIC_EXTRACT L"EXTRACT"MIP SDK: EXTRACT |
| 共通名: 権限の表示 ポリシーでのエンコード: VIEWRIGHTSDATA |
ユーザーがドキュメントに適用されているポリシーを表示できるようにします。 Office アプリまたはMicrosoft Purview Information Protection クライアントではサポートされていません。 | Office カスタム権限: 実装されていません。 Microsoft Purview ポータルの名前: 権限の表示 (VIEWRIGHTSDATA)。 AD RMS テンプレートの名前: 権限の表示 API 定数または値: MSIPC: IPC_READ_RIGHTS L"VIEWRIGHTSDATA"MIP SDK: VIEWRIGHTSDATA |
| 共通名: 権限の変更 ポリシーでのエンコード: EDITRIGHTSDATA |
ユーザーがドキュメントに適用されるポリシーを変更できるようにします。 暗号化の削除が含まれます。 Office アプリまたはMicrosoft Purview Information Protection クライアントではサポートされていません。 | Office カスタム権限: 実装されていません。 Microsoft Purview ポータルの名前: Edit Rights (EDITRIGHTSDATA)。 AD RMS テンプレートの名前: 権限の編集 API 定数または値: MSIPC: PC_WRITE_RIGHTS L"EDITRIGHTSDATA"MIP SDK: EDITRIGHTSDATA |
| 共通名: マクロを許可する ポリシーでのエンコード: OBJMODEL |
マクロを実行したり、ドキュメント内のコンテンツへのプログラムまたはリモート アクセスを実行したりするオプションを有効にします。 | Office カスタム権限: [プログラムによるアクセスを許可する ] カスタム ポリシー オプションとして。 受信者ごとの設定ではありません。 Microsoft Purview ポータルの名前: マクロを許可する (OBJMODEL) AD RMS テンプレートの名前: マクロを許可する API 定数または値: MSIPC: 実装されていません。 MIP SDK: OBJMODEL |
アクセス許可レベルに含まれる権限
一部のアプリケーションでは、使用権限をアクセス許可レベルにグループ化して、一般的に一緒に使用される使用権限を簡単に選択できます。 これらのアクセス許可レベルは、ユーザーから複雑さのレベルを抽象化するのに役立ちます。これにより、ロールベースのオプションを選択できます。 たとえば、ビューアーと制限付きエディター。 これらのオプションは、多くの場合、ユーザーに権限の概要を示しますが、前の表に一覧表示されているすべての権利が含まれていない場合があります。
これらのアクセス許可レベルの一覧と、それらのアクセス許可に含まれる使用権限の完全な一覧については、次の表を使用します。 使用権限は、 共通名で一覧表示されます。
| アクセス許可レベル | アプリケーション | 使用権限が含まれています |
|---|---|---|
| ビューアー | Microsoft Purview ポータル Microsoft Purview Information Protection クライアント |
表示、開く、読み取る。権限の表示。返信 [1];全員 に返信 [1];マクロ を許可する [2] 注: メールの場合は、このアクセス許可レベルではなくレビュー担当者を使用して、電子メールの返信が添付ファイルではなく電子メール メッセージとして確実に受信されるようにします。 レビュー担当者は、Outlook クライアントまたは Outlook Web アプリを使用する別のorganizationに電子メールを送信する場合にも必要です。 または、オンボード コントロールを実装しているため、Azure Rights Management サービスの使用が免除されているorganization内のユーザーの場合。 |
|
制限付きエディター (以前の レビュー担当者[3]) |
Microsoft Purview ポータル Microsoft Purview Information Protection クライアント |
表示、開く、読み取る。セーブ;コンテンツの編集、編集。権限の表示。返信: 全員に返信します。フォワード;マクロ を許可する [2] |
|
Editor (以前の 共同作成者[3]) |
Microsoft Purview ポータル Microsoft Purview Information Protection クライアント |
表示、開く、読み取る。セーブ;コンテンツの編集、編集。写し;権限の表示。マクロ を許可する [2];名前を付けて保存、エクスポート [4];プリント;答える;全員に返信します。フォワード |
|
Owner (以前の 共同所有者[3]) |
Microsoft Purview ポータル Microsoft Purview Information Protection クライアント |
表示、開く、読み取る。セーブ;コンテンツの編集、編集。写し;権限の表示。権限の変更;マクロを許可する。名前を付けて保存、エクスポート。プリント;答える;全員に返信します。フォワード;フル コントロール |
脚注 1
Microsoft Purview ポータルには含まれません。
脚注 2
Word、Excel、および Windows 用のPowerPointのカスタムアクセス許可ダイアログには含まれません (バージョン 2408 以降)。
脚注 3
Windows (バージョン 2411 以降) のWord、Excel、PowerPointの Microsoft Purview ポータルとカスタムアクセス許可ダイアログで、アクセス許可レベルの名前付けが更新されました。 校閲者は制限付きエディターと呼ばれるようになり、共同作成者はエディターと呼ばれ、共同所有者は所有者と呼ばれるようになりました。 他のアプリケーションでは、引き続き元のアクセス許可レベルの名前付けが使用されます。
脚注 4
Microsoft Purview ポータルには含まれません。
メールの転送不可オプション
Exchange クライアントとサービス (Outlook クライアント、Outlook on the web、Exchange メール フロー ルール、DLP アクションなど) には、電子メールの追加情報の権利保護オプションがあります。転送不可。
このオプションは、ユーザー (および Exchange 管理者) には、選択できる既定の Rights Management テンプレートであるかのように表示されますが、 転送不可 はテンプレートではありません。 代わりに、[ 転送不可 ] オプションは、ユーザーが電子メール受信者に動的に適用する一連の使用権限です。
[転送不可] オプションを電子メールに適用すると、電子メールが暗号化され、受信者が認証される必要があります。 その後、受信者は転送、印刷、またはコピーを行うことはできません。 たとえば、Outlook クライアントでは、[転送] ボタンは使用できません。 [名前を付けて保存] メニューと [印刷 ] メニュー オプションは使用できません。また、[ 宛先]、[ Cc]、または [Bcc ] ボックスで受信者を追加または変更することはできません。
メールに添付されている暗号化されていない Office ドキュメント は、同じ制限を自動的に継承します。 これらのドキュメントに適用される使用権限は 、コンテンツの編集、編集です。 保存。 表示、開く、読み取る。マクロを 許可します。 添付ファイルに対して異なる使用権限が必要な場合、または添付ファイルがこの継承された暗号化をサポートする Office ドキュメントでない場合は、メールに添付する前にファイルを暗号化してください。 その後、ファイルに必要な特定の使用権限を割り当てることができます。
転送不可と転送の使用権を付与しないの違い
転送 不可 オプションの適用と、 メールへの転送 の使用権限を付与しない権限管理テンプレートの適用には重要な違いがあります。 [ 転送不可 ] オプションは、元のメールのユーザーが選択した受信者に基づく承認されたユーザーの動的リストを使用します。一方、テンプレートの権限には、管理者が以前に指定した承認されたユーザーの静的リストがあります。 どう違いますか。 例を見てみましょう。
ユーザーは、マーケティング部門の特定のユーザーに、他のユーザーと共有してはならない情報を電子メールで送信したいと考えています。 マーケティング部門への権限 (表示、返信、保存) を制限する権限管理テンプレートを使用して電子メールを保護する必要がありますか? または、[ 転送不可 ] オプションを選択する必要がありますか? どちらの選択肢でも、受信者はメールを転送できなくなります。
テンプレートを適用した場合でも、受信者はマーケティング部門の他のユーザーと情報を共有できます。 たとえば、受信者は エクスプローラー を使用して、メールを共有の場所や USB ドライブにドラッグ アンド ドロップできます。 これで、この場所にアクセスできるマーケティング部門 (および電子メール所有者) の誰でも、電子メールで情報を表示できます。
[ 転送不可 ] オプションを適用した場合、受信者は電子メールを別の場所に移動することで、マーケティング部門の他のユーザーと情報を共有できなくなります。 このシナリオでは、元の受信者 (および電子メール所有者) のみが電子メール内の情報を表示できます。
注:
送信者が選択した受信者のみが電子メールに情報を表示することが重要な場合は、[ 転送不可 ] を使用します。 電子メールのテンプレートを使用して、送信者が選択した受信者とは別に、管理者が事前に指定したユーザーのグループに権限を制限します。
電子メールの暗号化専用オプション
Microsoft Purview Message Encryptionを使用Exchange Online場合、追加の制限なしにデータを暗号化するために、新しい [電子メールの暗号化] オプションが使用できるようになります。
このオプションは、Exchange Onlineを使用するテナントで使用でき、次のように選択できます。
- [暗号化] オプションまたは [ユーザーにアクセス許可の割り当てを許可する] と [暗号化のみ] オプションに構成されている秘密度ラベルを使用したOutlook on the web
- メール フロー ルールの別の権限保護オプションとして
- Microsoft Purview DLP アクションとして
- デスクトップとモバイル デバイス用の Outlook アプリから:
- Outlook の秘密度ラベル機能の表に記載されている最小バージョンの秘密度ラベルを使用する場合は、[ ユーザーがアクセス許可を割り当てできるようにする ] と [ 暗号化のみ ] オプション (Windows、macOS、iOS、Android の場合) に構成されている 秘密度ラベルを使用します。
- Windows と macOS の [暗号化] オプションを使用すると、更新プログラム チャネル別のMicrosoft 365 Appsでサポートされているバージョンの表に記載されているバージョンに対応します。
暗号化専用オプションの詳細については、Office チームから初めて発表されたときのブログ投稿「メッセージ暗号化Office 365でロールアウトされる暗号化のみ」を参照してください。
このオプションを選択すると、電子メールが暗号化され、受信者が認証される必要があります。 次に、受信者には、名前を付けて保存、エクスポート、フル コントロールを除くすべての使用権限があります。 この使用権限の組み合わせは、受信者が暗号化を削除できないことを除き、制限がないことを意味します。 たとえば、受信者はメールからコピーし、印刷して、転送することができます。
同様に、既定では、電子メールに添付されている暗号化されていない Office ドキュメント は、同じアクセス許可を継承します。 これらのドキュメントは自動的に暗号化され、ダウンロードされると、受信者が Office アプリケーションから保存、編集、コピー、印刷できます。 受信者がドキュメントを保存すると、新しい名前と別の形式に保存できます。 ただし、Rights Management 暗号化をサポートするファイル形式のみを使用できるため、元の暗号化なしでドキュメントを保存することはできません。 添付ファイルに対して異なる使用権限が必要な場合、または添付ファイルがこの継承された暗号化をサポートする Office ドキュメントでない場合は、メールに添付する前にファイルを暗号化してください。 その後、ファイルに必要な特定の使用権限を割り当てることができます。
または、PowerShell で Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $trueを指定して、ドキュメントのこの暗号化の継承Exchange Online変更することもできます。 ユーザーが認証された後にドキュメントの元の暗号化を保持する必要がない場合は、この構成を使用します。 受信者が電子メール メッセージを開くと、ドキュメントは暗号化されません。
注:
DecryptAttachmentFromPortal への参照が表示された場合、このパラメーターは Set-IRMConfiguration で非推奨になりました。 このパラメーターを以前に設定していない限り、使用できません。
Exchange Onlineを使用して PDF ドキュメントを自動的に暗号化する
Microsoft Purview Message Encryptionを使用Exchange Online場合は、暗号化された電子メールに添付されたときに PDF ドキュメントを自動的に暗号化できます。 ドキュメントは、電子メール メッセージと同じアクセス許可を継承します。 この構成を有効にするには、Set-IRMConfigurationで EnablePdfEncryption $Trueを設定します。
受信者は Microsoft Edge を使用して、暗号化された PDF ドキュメントを表示できます。 または、受信者は、OME ポータルで暗号化された PDF ドキュメントを読み取ることができます。
Rights Management 発行者と Rights Management 所有者
Azure Rights Management サービスを使用してアイテムが暗号化されると、そのコンテンツを暗号化するアカウントが自動的にそのコンテンツの Rights Management 発行者になります。 このアカウントは、使用状況ログの 発行者 フィールドとして 記録されます。
Rights Management 発行者には、アイテムに対するフル コントロールの使用権限が常に付与されます。また、次の機能も付与されます。
暗号化設定に有効期限が含まれている場合でも、Rights Management 発行者は、その日付以降もドキュメントまたは電子メールを開いて編集できます。
Rights Management 発行者は、常に、オフラインでドキュメントや電子メールにアクセスできます。
Rights Management 発行者は、失効後のドキュメントも開くことができます。
既定では、このアカウントはそのコンテンツの Rights Management 所有者 でもあります。これは、アイテムを作成したユーザーが暗号化を開始した場合です。 ただし、管理者またはサービスがユーザーの代わりにコンテンツを暗号化できるシナリオがいくつかあります。 例:
管理者がファイル共有上のファイルを一括暗号化する: Microsoft Entra ID の管理者アカウントは、ユーザーのドキュメントを暗号化します。
Rights Management コネクタは、Windows Server フォルダー上の Office ドキュメントを暗号化します。Rights Management コネクタ用に作成されたMicrosoft Entra ID のサービス プリンシパル アカウントは、ユーザーのドキュメントを暗号化します。
これらのシナリオでは、Rights Management 発行者は、Microsoft Information Protection SDK または PowerShell を使用して、Rights Management 所有者を別のアカウントに割り当てることができます。 たとえば、Microsoft Purview Information Protection クライアントで Set-LabelFile PowerShell コマンドレットを使用する場合、Owner パラメーターを指定して Rights Management 所有者を別のアカウントに割り当てることができます。
Rights Management 発行者がユーザーの代わりに暗号化する場合、Rights Management 所有者を割り当てると、元のアイテム所有者が暗号化されたコンテンツに対して、暗号化を開始した場合と同じレベルの制御が確保されます。
たとえば、ドキュメントを作成したユーザーは、印刷の使用権を含まない暗号化設定でラベルが付けられますが、印刷できます。 同じユーザーは、暗号化設定で構成されている可能性があるオフライン アクセス設定や有効期限に関係なく、常にドキュメントにアクセスできます。 さらに、Rights Management 所有者にはフル コントロールの使用権限があるため、このユーザーはドキュメントを再暗号化して追加のユーザーにアクセス権を付与することもできます (その時点で、ユーザーは Rights Management 発行者と Rights Management 所有者になります)。また、このユーザーは暗号化を削除することもできます。 ただし、ドキュメントを追跡および取り消すことができるのは Rights Management 発行者のみです。
アイテムの Rights Management 所有者は、使用状況ログの所有者電子メール フィールドとして記録されます。
注:
Rights Management の所有者は、Windows ファイル システムの所有者とは独立しています。 多くの場合は同じですが、SDK や PowerShell を使用しない場合でも、異なる場合があります。
Rights Management 使用ライセンス
Azure Rights Management サービスによって暗号化されたアイテムをユーザーが開くと、そのコンテンツの Rights Management 使用ライセンスがユーザーに付与されます。 この使用ライセンスは、アイテムに対するユーザーの使用権限と、コンテンツの暗号化に使用された暗号化キーを含む証明書です。 また、使用ライセンスに有効期限が設定されている場合、および使用ライセンスが有効な期間も含まれます。
ユーザーは、権限アカウント証明書 (RAC) に加えてコンテンツを開くために有効な使用ライセンスを持っている必要があります。これは 、ユーザー環境が初期化 され、31 日ごとに更新されるときに付与される証明書です。
使用ライセンスの期間中、ユーザーはコンテンツに対して再認証または再認証されません。 これにより、ユーザーはインターネットに接続せずに暗号化されたアイテムを引き続き開くことができます。 使用ライセンスの有効期間が期限切れになると、次にユーザーが暗号化されたアイテムにアクセスするときに、ユーザーを再認証して再認証する必要があります。
暗号化設定を定義する秘密度ラベルを使用してアイテムを暗号化する場合は、コンテンツを再度暗号化しなくても、秘密度ラベルでこれらの設定を変更できます。 ユーザーがコンテンツに既にアクセスしている場合、変更は使用ライセンスの有効期限が切れた後に有効になります。 ただし、ユーザーがアクセス許可自体 (ユーザー定義のアクセス許可、カスタムアクセス許可、またはアドホック権限ポリシーとも呼ばれます) を適用し、アイテムの暗号化後にこれらのアクセス許可を変更する必要がある場合は、そのコンテンツを新しいアクセス許可で再度暗号化する必要があります。 電子メール メッセージに対するユーザー定義のアクセス許可は、[転送不可] オプションを使用して実装されます。
テナントの既定の使用ライセンス有効期間は 30 日間であり、PowerShell コマンドレット Set-AipServiceMaxUseLicenseValidityTime を使用してこの値を構成できます。 現在アクセス許可を割り当てるよう構成されている秘密度ラベルまたは権限管理テンプレートを使用して、暗号化を適用する場合の制限の厳しい設定を構成できます。
秘密度ラベルを構成すると、使用ライセンスの有効期間はその値を [オフライン アクセスを許可する] 設定から取得します。
秘密度ラベルに対してこの設定を構成するための詳細とガイダンスについては、秘密度ラベルの アクセス許可を今すぐ構成 する手順の推奨事項の表を参照してください。
PowerShell を使用して権限管理テンプレートを構成すると、使用ライセンスの有効期間は、Set-AipServiceTemplateProperty コマンドレットと Add-AipServiceTemplate コマンドレットの LicenseValidityDuration パラメーターからその値を受け取ります。
PowerShell を使用してこの設定を構成するための詳細とガイダンスについては、各コマンドレットのヘルプを参照してください。