次の方法で共有

保護のみの Azure Information Protection デプロイ ロードマップ

  • [アーティクル]

データ保護のみを実装する場合、組織に対して Azure Information Protection を準備、実装、管理するための推奨事項として、以下の手順を使用してください。

このロードマップは、分類とラベルの両方はサポートされないが、ラベルなしの保護はサポートされるサブスクリプションをお持ちのお客様にお勧めです。 AIP クラシック クライアントがインストールされている必要があります。

デプロイ プロセス

次の手順を実行します。

  1. AIP 保護サービスを含むサブスクリプションがあることを確認する
  2. Azure Information Protection を使用するためのテナントを用意する
  3. Azure Information Protection のクラシック クライアントをインストールし、Rights Management 用のアプリケーションとサービスを構成する
  4. データ保護ソリューションを使用および監視する
  5. 必要に応じてテナント アカウントの保護サービスを管理する

AIP 保護サービスを含むサブスクリプションがあることを確認する

必要な機能を含むサブスクリプションが組織にあることを確認します。 ドキュメントやメールを保護する組織内の各ユーザーに、このサブスクリプションのライセンスを割り当てます。

重要

ユーザー ライセンスを無料の個人用 RMS サブスクリプションから手動で割り当てることや、このライセンスを組織の Azure Rights Management サービスの管理目的で使用することはしないでください。

このようなライセンスは、Microsoft 365 管理センターに Rights Management Adhoc と表示されるとともに、Azure AD PowerShell コマンドレット Get-MsolAccountSku を実行したときに RIGHTSMANAGEMENT_ADHOC と表示されます。

個人用 RMS サブスクリプションが自動的に付与されてユーザーに割り当てられるしくみの詳細については、「個人用 RMS と Azure Information Protection」を参照してください。

Azure Information Protection を使用するためのテナントを用意する

Azure Information Protection の保護サービスの使用を開始する前に、次の準備を行います。

  1. AIP 用のユーザー アカウントとグループを設定する

    Microsoft 365 テナントに、組織のユーザーを認証および承認するのに Azure Information Protection で使用されるユーザー アカウントとグループが含まれていることを確認します。 必要に応じて、これらのアカウントとグループを作成するか、またはオンプレミスのディレクトリからそれらを同期します。

    詳細については、「Azure Information Protection 向けのユーザーとグループの準備」をご覧ください。

  2. テナント キーの管理方法を決定する

    Microsoft でテナント キーを管理するか (既定値)、テナント キーを自分で生成して管理するか (Bring Your Own Key または BYOK と呼ばれます) を決定します。 さらにセキュリティを強化するには、"Hold Your Own Key" (HYOK) 保護を実装します。

    詳しくは、「Azure Information Protection テナント キーを計画して実装する」をご覧ください。

  3. AIP 用 PowerShell をインストールする

    インターネットにアクセスできる 1 つ以上のコンピューターに AIPService 向けの PowerShell モジュールをインストールします。 この手順は、今実行しても後で実行しても構いません。

    詳細については、「AIPService PowerShell モジュールのインストール」を参照してください。

  4. AD RMS のみ: データをクラウドに移行する

    現在、AD RMS を使用している場合: キー、テンプレート、URL をクラウドに移行する統合を実行します。

    詳細については、「AD RMS から Azure Information Protection への移行」を参照してください。

  5. 保護をアクティブにする

    文書や電子メールの保護を開始できるように、保護サービスがアクティブになっていることを確認します。 段階的にデプロイする必要がある場合は、ユーザーによる保護の適用を制限するユーザー オンボーディング コントロールを構成します。

    詳細については、「Activating the protection service from Azure Information Protection (Azure Information Protection の保護サービスのアクティブ化)」をご覧ください。

  6. 必要に応じてオプション機能を構成する

    次の機能のいずれかを、今か後ほど構成することを検討してください。

    機能 説明
    保護設定のカスタム テンプレート 既定のテンプレートが組織にとって十分でない場合は、カスタム テンプレートを構成します。
    詳細については、「Azure Information Protection のテンプレートを構成して管理する」を参照してください。
    使用状況ログの記録 組織での保護サービスの使用方法を監視できるようにするための使用状況ログを構成します。
    詳細については、「Azure Information Protection による保護の使用状況のログと分析」を参照してください。

Azure Information Protection のクラシック クライアントをインストールし、Rights Management 用のアプリケーションとサービスを構成する

次の手順を実行します。

  1. Azure Information Protection クラシック クライアントをデプロイする

    ユーザー向けにクラシック クライアントをインストールして、Office ドキュメントとメール以外のファイルを保護し、保護されたドキュメントを追跡し、このクライアントのユーザー トレーニングを提供します。 詳細については、「Windows 用 Azure Information Protection クラシック クライアント」を参照してください。

  2. Office のアプリケーションとサービスを構成する

    SharePoint または Exchange Online の Information Rights Management (IRM) 機能のために Office のアプリケーションとサービスを構成します。

    詳細については、「Azure Rights Management 用にアプリケーションを構成する」を参照してください。

  3. データ回復のスーパー ユーザー機能を構成する

    Azure Information Protection によって保護されるファイルを確認する必要がある既存の IT サービスがある場合 (情報漏えい防止 (DLP) ソリューション、コンテンツ暗号化ゲートウェイ (CEG)、マルウェア対策製品など)、サービス アカウントを Azure Rights Management のスーパー ユーザーとして構成します。

    詳細については、「Azure Information Protection および探索サービスまたはデータの回復用のスーパー ユーザーの構成」をご覧ください。

  4. 既存ファイルを一括で保護する

    PowerShell コマンドレットを使用して、複数のファイルの種類を一括保護または一括保護解除することができます。

    詳細については、管理者ガイドの「Using PowerShell with the Azure Information Protection client」(Azure Information Protection クライアントでの PowerShell の使用) を参照してください。

    Windows ベースのファイル サーバー上のファイルに対しては、スクリプトと Windows Server ファイル分類インフラストラクチャでこれらのコマンドレットを使用することができます。 詳細については、「Windows Server ファイル分類インフラストラクチャ (FCI) での RMS の保護」を参照してください。

  5. オンプレミス サーバーのコネクタをデプロイする

    保護サービスで使用するオンプレミスのサービスがある場合は、Rights Management コネクタをインストールして構成します。

    詳細については、「Microsoft Rights Management コネクタを展開する」を参照してください。

データ保護ソリューションを使用および監視する

これでデータを保護し、会社で保護サービスを使用する方法を記録する準備が整いました。

詳細については、次を参照してください。

必要に応じてテナント アカウントの保護サービスを管理する

保護サービスの使用を開始するときに、PowerShell がスクリプトまたは管理変更の自動化に役立つことがあります。 一部の高度な構成には、PowerShell も必要になる場合があります。

詳細については、「PowerShell を使用して Azure Information Protection による保護を管理する」を参照してください。

次の手順

Azure Information Protection をデプロイする際は、よく寄せられる質問や、その他のリソースに関する情報とサポートのページを確認すると、有益な情報が得られるかもしれません。