エクスポート (0) 印刷
すべて展開

Office 2013 で Information Rights Management を計画する

 

適用先: Office 365 ProPlus, Office 2013

トピックの最終更新日: 2014-06-06

概要: Office 2013 の Information Rights Management (IRM) を使用して、機密性のドキュメントとメッセージにアクセスして使用するための権限を指定します。

対象ユーザー: IT 担当者

この記事では、IRM テクノロジの概要と、Office アプリケーションで IRM が動作するしくみについて説明します。また、Office 2013 に IRM を実装するために必要なサーバーとソフトウェアのセットアップとインストールに関する詳細情報へのリンクも示します。

重要重要:
この記事は、IT 担当者向けの Office 2013 の ID、認証、および承認するためのコンテンツのロードマップ に含まれています。このロードマップは、Office 2013 の識別情報の評価に役立つ記事、ダウンロード、ポスター、ビデオなどを参照する際の出発点として使用します。
個々の Office 2013 アプリケーションの情報をお探しの場合は、 Office.com を参照してください。

この記事の内容

Information Rights Management (IRM) は、Microsoft が提供する永続ファイル レベルのテクノロジです。IRM では、権限と承認を使用して、許可されていない人々が機密情報を印刷、転送、またはコピーすることを防ぎます。このテクノロジを使用してドキュメントやメッセージに対する権限を制限すると、その使用制限は、ファイルの内容の一部としてドキュメントや電子メール メッセージと共に移動します。

注記メモ:
IRM を使用して、アクセスが制限されたコンテンツや電子メール メッセージを作成する機能は、Office Professional Plus 2013、およびスタンドアロン バージョンの Excel 2013、Outlook 2013、PowerPoint 2013、InfoPath 2013、および Word 2013 で利用できます。Office 2013 で作成した IRM コンテンツは、Office 2003、Office 2007、Office 2010、または Office 2013 で表示できます。
Office 2013、Office 2010、Office 2007、および Office 2003 でサポートされる IRM と Active Directory Rights Management サービス (AD RMS) の機能の詳細については、AD RMS および Microsoft Office の展開に関する考慮点 を参照してください。

Office 2013 での IRM のサポートは、組織や知識労働者が次の 2 つの基本的なニーズに対処するのに役立ちます。

  • 機密情報に対するアクセスの制限   IRM を使用すると、機密情報に対する許可のないアクセスや再利用を防ぐことができます。組織が機密性の高い知的財産を保護するための手段としては、ファイアウォール、ログオン セキュリティ関連の対策、およびその他のネットワーク テクノロジがあります。これらのテクノロジを使用する場合の基本的な限界は、情報にアクセスできる正規のユーザーが、許可されていないユーザーと情報を共有できることです。このためにセキュリティ ポリシーが侵害される可能性があります。

  • 情報のプライバシー、制御、および整合性   インフォメーション ワーカーは、機密情報や、取り扱いに注意を要する情報を扱うことがよくあります。IRM を使用することで、機密情報が社外に漏れないことに関して、従業員は他の人々の良識を当てにする必要がなくなります。IRM では、アクセスが制限されたドキュメントやメッセージで、転送、コピー、または印刷の機能を無効にすることによって、ユーザーが機密情報に対してこれらの機能を実行できないようにします。

情報技術 (IT) 部門の管理者は、IRM を使用することで、ドキュメントの機密性、ワークフロー、および電子メールの保持に関する既存の企業ポリシーを適用できます。CEO やセキュリティ担当重役の場合は、IRM を利用することで、事故や不注意や悪意によって企業の重要な情報が好ましくない者の手に渡るリスクが減少します。

Office ユーザーは、リボンのオプションを使用して、メッセージまたはドキュメントに権限を適用します。たとえば、[情報] の [文書の保護] で [編集の制限] コマンドを使用します。使用できる保護オプションは、組織に合わせてカスタマイズするアクセス許可ポリシーによって決まります。アクセス許可ポリシーは、1 つのポリシーとして適用されるようにパッケージ化した IRM 権限のグループです。Office 2013 には、Outlook 2013 の転送不可のように、あらかじめ定義された権限のグループもいくつか用意されています。

注記メモ:
Office 2013 のドキュメントを IRM で保護するには、社内 RMS サーバーまたは RMS Online での Office 365 が必要です。Office の以前のバージョンで Microsoft アカウントにより作成された、IRM で保護されたコンテンツは引き続き開くことができ、権限があればそのドキュメントを編集できますが、Microsoft アカウントを使用して保護されたドキュメントを新しく作成することはできません。

組織で IRM を有効にするには、通常、Windows Server 2003 の Windows Rights Management Services (RMS) を実行しているか、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2 の Active Directory Rights Management サービス (AD RMS) を実行している権限管理サーバーにアクセスする必要があります。また、この記事で後ほど説明しますが、個人の Microsoft アカウントを使用して権限を認証することで、IRM を使用することもできます。権限は、認証を使用することで適用されます (通常は Active Directory ディレクトリ サービス (AD DS) を使用します)。Active Directory が実装されていない場合は、Microsoft アカウントを使用して権限の認証と付与を行うことができます。

ユーザーは、Microsoft アカウントを持っていなくても、保護されたドキュメントやメッセージを読むことができます。Windows XP やそれ以前のバージョンを実行している場合は、Excel viewerWord viewer を使用すれば、適切な権限を持つ Windows ユーザーは Office ソフトウェアを使用しなくても、アクセスが制限された一部のドキュメントを読むことができます。また、Windows XP やそれ以前のバージョンを実行しているユーザーは、Outlook Web App または Rights Management Internet Explorer アドオンを使用すれば、Outlook ソフトウェアを使用しなくても、アクセスが制限された電子メール メッセージを読むことができます。Windows 7、Windows 8、Windows 8.1、Windows Vista Service Pack 1、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2 を実行しているユーザーは、既にこの機能を利用できます。これらのオペレーティング システムには、Active Directory Rights Management サービス クライアント ソフトウェアが付属しています。

Office 2013 では、Office アプリケーションに表示されるアクセス許可ポリシーを作成できます。たとえば、社外秘という名前のアクセス許可ポリシーを定義し、そのポリシーを使用するドキュメントや電子メール メッセージは会社のドメイン内のユーザーだけが開けるように指定できます。作成できるアクセス許可ポリシーの数に制限はありません。

注記メモ:
SharePoint Foundation では、ドキュメント ライブラリに保存されたドキュメントに対して IRM を使用できます。IRM を使用することにより、ユーザーが SharePoint Foundation のライブラリからドキュメントを開いたときに、ドキュメントに対して実行できる操作を制御できます。クライアント コンピューターに保存されたドキュメントに適用される IRM との違いは、クライアント コンピューターのドキュメントの場合、ドキュメントの各ユーザーに割り当てる権限をドキュメントの所有者が選択できる点です。ドキュメント ライブラリでの IRM の使用方法の詳細については、ドキュメント ライブラリの計画 (SharePoint Foundation 2010) を参照してください。

Windows Server 2008、Windows Server 2008 R2、Windows Server 2012 で AD RMS を使用すると、フェデレーション信頼関係がある会社間で、権限で保護されたドキュメントを共有できます。詳細については、「Active Directory Rights Management サービスの概要」と「AD RMS のフェデレーション」を参照してください。

また、AD RMS を使用すると、 Exchange Server 2012 では IRM で保護された電子メール機能を利用できます。こうした機能としては、ユニファイド メッセージングのボイス メール メッセージに対する AD RMS 保護や、メッセージが Outlook クライアントから送信される前に Outlook 2013 のメッセージに IRM 保護を自動的に適用できる Outlook 保護ルールがあります。詳細については、Exchange 2013 の新機能 およびInformation Rights Management について を参照してください。

詳細については、Active Directory Rights Management サービス を参照してください。

標準的なインストールでは、RMS と共に展開された Windows Server 2003、あるいは AD RMS と共に展開された Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2 によって、Office 2013 で IRM 権限を使用できるようになります。RMS サーバーがユーザーと同じドメインで構成されていない場合は、Active Directory の代わりにユーザーの Microsoft アカウントを使用して権限を認証できます。Microsoft アカウント サーバーに接続するには、インターネットにアクセスできる必要があります。

制限付きのファイルの内容にアクセスする必要のあるユーザーに権限を割り当てるときは、Microsoft アカウントを使用できます。認証に Microsoft アカウントを使用するときは、ユーザーごとにファイルへの権限を明示的に許可する必要があります。ファイルにアクセスする権限をユーザー グループに割り当てることはできません。

ドキュメントまたは電子メール メッセージに IRM 権限を適用するには、次のものが必要です。

  • 権限を認証するための Windows Server 2003 の RMS へのアクセス、あるいは Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2 の AD RMS へのアクセス。代わりに、インターネット上の Microsoft アカウント サービスを使用して認証を管理することもできます。

  • Rights Management (RM) クライアント ソフトウェア。Windows Vista 以降のバージョンには RM クライアント ソフトウェアが付属しています。Windows XP と Windows Server 2003 では、RM クライアント ソフトウェアをアドインとして利用できます。

  • Microsoft Office 2003、2007 Microsoft Office system、Office 2010、または Office 2013。IRM 権限は Office の特定のバージョンでのみ作成できます。

Windows RMS または AD RMS は、ライセンス、および IRM を使用して権限管理を提供するその他の管理サーバー機能を管理します。Office 2013 などの RMS 対応クライアント プログラムを使用すると、権限で保護されたコンテンツを作成および表示できます。

RMS の動作原理、および RMS サーバーのインストールと構成の方法の詳細については、Active Directory Rights Management サービス を参照してください。

Windows Vista、Windows 7、Windows 8、Windows 8.1 には RM クライアント ソフトウェアが付属しています。Windows XP と Windows Server 2003 では、Windows を実行しているコンピューター上の RMS や AD RMS、またはインターネット上の Microsoft アカウント サービスとやりとりするために、必要な RMS クライアント ソフトウェアを別途インストールして構成する必要があります。

Windows XP と Windows Server 2003 で、RMS テクノロジに基づいてアクセスを制限するアプリケーションを実行するには、Microsoft Windows Rights Management Services クライアント Service Pack 2 -x86 をダウンロードしてください。

Office 2003、Office 2007、Office 2010 と同様に、Office 2013 にもドキュメントやメッセージに適用できる定義済みの権限のグループが用意されています (Word 2013、Excel 2013、および PowerPoint 2013 の読み取り変更など)。また、カスタム IRM アクセス許可ポリシーを定義し、組織内のユーザーに異なる IRM 権限のパッケージを提供することもできます。

権利ポリシー テンプレートを作成および管理するには、RMS または AD RMS サーバー上の管理サイトを使用します。カスタム アクセス許可ポリシー テンプレートの作成、構成、および公開の方法については、ステップ バイ ステップ ガイド - Active Directory Rights Management サービス権利ポリシー テンプレートを作成および展開するを参照してください。Exchange Server 2010 Outlook の保護ルールについては、Outlook の保護ルールについてを参照してください。

以下のセクションで、Office 2013 のアクセス許可ポリシー テンプレートに指定できる権限の一覧を示します。

次の表に示す各 IRM 権限は、RMS または AD RMS を実行しているサーバーが含まれているネットワーク上で構成された Office 2013 アプリケーションによって適用できます。

IRM 権限

IRM 権限 説明

フル コントロール

この表に示すすべての権限と、コンテンツに関連付けられたアクセス許可を変更する権限をユーザーに与えます。フル コントロールの権限を持つユーザーには有効期限は適用されません。

ビュー

ユーザーが IRM コンテンツを開くことを許可します。Office 2013 ユーザー インターフェイスの読み取りアクセス権に対応します。

編集

ユーザーが IRM コンテンツを構成することを許可します。

保存

ユーザーがファイルを保存することを許可します。

抽出

ユーザーがファイルの任意の部分をコピーし、その部分を別のアプリケーションの作業領域に貼り付けることを許可します。

エクスポート

ユーザーが [名前を付けて保存] コマンドを使用してコンテンツを別のファイル形式で保存するすることを許可します。選択したファイル形式を使用するアプリケーションによっては、コンテンツは保護されません。

印刷

ユーザーがファイルのコンテンツを印刷することを許可します。

マクロを許可する

ユーザーがファイルのコンテンツに対してマクロを実行することを許可します。

転送

電子メールの受信者が IRM 電子メール メッセージを転送すること、および [宛先] 行と [CC] 行の受信者を追加または削除することを許可します。

返信

電子メールの受信者が IRM 電子メール メッセージに対して返信することを許可します。

全員に返信

電子メールの受信者が IRM 電子メール メッセージの [宛先] 行と [CC] 行のすべてのユーザーに返信することを許可します。

権利の表示

ファイルに関連付けられている権利をユーザーが表示することを許可します。Office では、この権利は無視されます。

Office 2013 には、ユーザーが IRM コンテンツを作成するときに選択できる、以下の定義済みの権限グループが用意されています。これらのオプションは、Word 2013、Excel 2013、および PowerPoint 2013 の [アクセス許可] ダイアログ ボックスから使用できます。Office アプリケーションで、[ファイル] タブをクリックし、[情報] をクリックします。次に [文書の保護] ボタンをクリックし、[アクセスの制限] をクリックして、リストされるオプションから選択します (これらのオプションはデジタル著作権管理サーバー テンプレートによって設定されます)。次の表に定義済みの権限グループを示します。

定義済みの読み取り/変更権限グループ

定義済みの IRM グループ 説明

読み取り

読み取りのアクセス許可を持つユーザーが、閲覧権限を持ちます。

変更

変更のアクセス許可を持つユーザーが、閲覧、編集、抽出、保存の各権限を持ちます。

Outlook 2013 では、ユーザーは電子メール アイテムを作成するときに、以下の定義済みの権限グループを選択できます。電子メール アイテムからオプションにアクセスするには、[ファイル]、[情報]、[権限の設定] の順に選択します。そしてリストされるオプションから選択します (これらのオプションはデジタル著作権管理サーバー テンプレートによって設定されます)。次の表に定義済みの電子メール権限グループを示します。

定義済みの "転送不可" グループ

定義済みの IRM グループ 説明

転送不可

Outlook では、IRM 電子メール メッセージの作成者が、[宛先] 行、[CC] 行、および [BCC] 行のユーザーに対して転送不可のアクセス許可を適用できます。このアクセス許可には、閲覧、編集、返信、全員に返信の各権限が含まれます。

Word 2013、Excel 2013、および PowerPoint 2013 では、その他の IRM 権限を指定できます。[情報] で [文書の保護]、[編集の制限] の順に選択します。制限オプションをさらに表示するには、[編集の制限] パネルの下部にある [アクセスの制限] を選択します。たとえば、有効期限日を指定したり、他のユーザーによるコンテンツの印刷やコピーを制限することができます。

Outlook では既定で、Rights Management をサポートするブラウザーでメッセージを表示できるようになっています。

権利ポリシー テンプレートが完成したら、すべてのユーザーがテンプレートにアクセスできるサーバー共有にテンプレートを公開するか、ユーザーのコンピューターのローカル フォルダーにテンプレートをコピーします。Office グループ ポリシー テンプレート (Office15.admx) ファイルにある IRM ポリシー設定を構成して、権利ポリシー テンプレートが格納されている場所 (ローカルまたはサーバー共有) を指すようにすることができます。詳細については、Office 2013 管理用テンプレート ファイル (ADMX、ADML) および Office カスタマイズ ツールを参照してください。

Office グループ ポリシー テンプレート (Office15.admx) を使用して、IRM をカスタマイズする多くの設定をロックできます。また、Office カスタマイズ ツール (OCT) を使用して、既定の設定を構成することもできます。その場合、ユーザーが設定を構成できるようになります。さらに、レジストリ キーの設定でのみ構成できる IRM 構成オプションもあります。

グループ ポリシーや OCT を使用して IRM に構成できる設定の一覧を次の表に示します。グループ ポリシーでは、これらの設定は、ユーザーの構成\管理用テンプレート\Microsoft Office 2013\アクセスの制限の管理の下にあります。OCT の設定は、OCT の [ユーザー設定の変更] ページの対応する場所にあります。

グループ ポリシーまたは OCT の IRM 設定

IRM オプション 説明

グループ拡張のエントリ 1 つに対して実行するクエリの Active Directory タイムアウト

グループを展開したときに Active Directory エントリの 1 つに対して実行するクエリのタイムアウト値を指定します。

追加権限の要求 URL

IRM コンテンツにアクセスする方法の詳細情報をユーザーが入手できる場所を指定します。

以前のバージョンの Office を使用するユーザーがブラウザーで閲覧できるようにする...

Office 2013 を使用していないユーザーが Windows Internet Explorer の Rights Management アドインを使用して、権限が管理されたコンテンツを表示できるようにします。

ドキュメントのアクセス許可を制限している場合に Office でグループを常に展開表示する

ユーザーが [アクセス許可] ダイアログ ボックスでグループ名を選択してドキュメントにアクセス許可を適用するときに、グループ名が自動的に展開され、グループのすべてのメンバーが表示されます。

アクセス許可の確認のためユーザーに常に接続を要求する

権限が管理された Office ドキュメントを開くユーザーは、インターネットまたはローカル エリア ネットワークに接続し、有効な IRM ライセンスを所有していることを RMS または Microsoft アカウントによって確認する必要があります。

ドキュメントのアクセス許可が制限されている場合はユーザーにグループの指定を許可しない

ユーザーが [アクセス許可] ダイアログ ボックスでグループを選択すると、"配布リストにコンテンツを発行できません。各ユーザーの電子メール アドレスのみ指定できます。" のエラーが表示されます。

権限が管理されたコンテンツに対するアクセス許可をユーザーが変更できないようにする

有効にした場合、ユーザーは IRM アクセス許可が既に追加されているコンテンツを使用することはできますが、IRM アクセス許可を新しいコンテンツに適用することも、ドキュメントの権限を構成することもできません。

Information Rights Management 関連のユーザー インターフェイスをオフにする

すべての Office アプリケーションのユーザー インターフェイス内で Rights Management 関連のオプションをすべて無効にします。

これらの設定をカスタマイズする方法の詳細については、Office 2013 で Information Rights Management を構成する を参照してください。

以下の表に、IRM に関して構成できるレジストリ内の設定を示します。

次の IRM レジストリ設定は HKCU\Software\Microsoft\Office\15.0\Common\DRM にあります。

IRM レジストリ キーのオプション

レジストリ エントリ 種類 説明

RequestPermission

DWORD

1 = チェック ボックスはオン

0 = チェック ボックスはオフ

このレジストリ キーにより、[追加権限の要求先] チェック ボックスの既定値が変更されます。

DoNotUseOutlookByDefault

DWORD

0 = Outlook を使用する

1 = Outlook を使用しない

[アクセス許可] ダイアログ ボックスでは、Outlook を使用して、そのダイアログ ボックスに入力された電子メール アドレスを検証します。このため、アクセス許可を制限すると Outlook のインスタンスが開始されます。このキーを使用して、オプションを無効にします。

次の IRM レジストリ設定は、HKCU\Software\Microsoft\Office\15.0\Common\DRM\LicenseServers にあります。対応するグループ ポリシー設定はありません。

ライセンス サーバーの IRM レジストリ設定

レジストリ エントリ 種類 説明

LicenseServers

キーおよびハイブ。ライセンス サーバーの名前を含む DWORD 値が格納されます。

サーバー URL に設定されます。DWORD の値が 1 の場合、Office はライセンスを取得するかどうかを確認せず、単純に取得します。

値がゼロか、そのサーバーのレジストリ エントリがない場合、Office はライセンスの取得を確認します。

例: この設定の値が ‘http://contoso.com/_wmcs/licensing = 1’ の場合、権限が管理されたドキュメントを開くためにそのサーバーからライセンスを取得しようとしているユーザーには、ライセンスを取得するかどうかが確認されません。

次の IRM レジストリ設定は、HKCU\Software\Microsoft\Office\15.0\Common\Security にあります。対応するグループ ポリシー設定はありません。

セキュリティの IRM レジストリ設定

レジストリ エントリ 種類 説明

DRMEncryptProperty

DWORD

1 = ファイルのメタデータが暗号化される。

0 = メタデータがテキスト形式で格納される。既定値は 0 です。

権限が管理されたファイル内に格納されるすべてのメタデータを暗号化するかどうかを指定します。

Open XML 形式 (docx、xlsx、pptx など) では、権限が管理されたファイル内に格納される Office メタデータを暗号化するかどうかをユーザーが決定できます。ユーザーは、ハイパーリンク参照を含むすべての Office メタデータを暗号化することも、他のアプリケーションからデータにアクセスできるようにコンテンツを暗号化しないでおくこともできます。

ユーザーはレジストリ キーを設定して、メタデータを暗号化するかどうかを選択できます。ユーザーの既定のオプションは、レジストリ設定を展開することで設定できます。一部のメタデータを暗号化するオプションはありません。すべてのメタデータを暗号化するか、1 つも暗号化しないかのどちらかです。

また、DRMEncryptProperty レジストリ設定では、SharePoint 2013で作成された記憶域など、Office 以外のクライアント メタデータ記憶域を暗号化するかどうかは指定されません。

この暗号化の選択は、Microsoft Office 2003 やそれ以前のファイル形式には適用されません。Office 2013 では、以前の形式は Office 2007 および Microsoft Office 2003 と同じ方法で処理されます。

Outlook 2013 では、電子メール メッセージの転送、印刷、またはコピーと貼り付けが行われないように、アクセスを制限したメッセージを作成して送信できます。アクセスを制限したメッセージに添付されている Office 2013 の文書、ブック、およびプレゼンテーションへのアクセスも自動的に制限されます。

Outlook 管理者は、IRM の無効化、ローカルでのライセンスのキャッシュ構成など、IRM 電子メールのさまざまなオプションを構成できます。

権限が管理された電子メール メッセージを構成するときは、次の IRM の設定と機能が役立ちます。

  • IRM の自動的なライセンスのキャッシュを構成する。

  • 電子メール メッセージの有効期限を強制的に設定できるようにする。

  • 電子メール アドレスの IRM 権限の検証に Outlook を使用しない。

注記メモ:
Outlook で IRM を無効にするには、すべての Office アプリケーションの IRM を無効にする必要があります。Outlook のみで IRM を無効にする単独のオプションはありません。

Outlook グループ ポリシー テンプレート (Outlk15.admx) または Office グループ ポリシー テンプレート (Office15.admx) を使用して、Outlook の IRM をカスタマイズするほとんどの設定をロックできます。または、Office カスタマイズ ツール (OCT) を使用して、ほとんどのオプションの既定の設定を構成することもできます。その場合はユーザーが設定を構成できます。OCT の設定は、OCT の [ユーザー設定の変更] ページの対応する場所にあります。

Outlook IRM オプション

場所 IRM オプション 説明

Microsoft Outlook 2013\その他

Exchange フォルダーの同期中に IRM 電子メールの権限ライセンス情報をダウンロードしない

ライセンス情報がローカルにキャッシュされないようにします。有効にした場合、ユーザーは権限が管理された電子メール メッセージを開くために、ネットワークに接続してライセンス情報を取得する必要があります。

Microsoft Outlook 2010\Outlook のオプション\電子メール オプション\メールの詳細オプション

メッセージを送信するとき

電子メールの有効期限を適用するには、このオプションを有効にして、メッセージの有効期限が切れるまでの日数を入力します。有効期限は、権限が管理された電子メールを送信するときにだけ適用され、有効期限が過ぎるとメッセージにアクセスできなくなります。

これらの設定をカスタマイズする方法の詳細については、Office 2013 で Information Rights Management を構成する を参照してください。

[アクセス許可] ダイアログ ボックスでは、Outlook を使用して、そのダイアログ ボックスに入力された電子メール アドレスを検証します。権限が制限されている場合は、これによって Outlook のインスタンスが開始されます。このオプションは、次の表に示すレジストリ キーを使用して無効にできます。このオプションに対応するグループ ポリシーまたは OCT の設定はありません。

次の IRM レジストリ設定は、HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\DRM にあります。

Outlook IRM レジストリ キーのオプション

レジストリ エントリ 種類 説明

DoNotUseOutlookByDefault

DWORD

0 = Outlook を使用する

1 = Outlook を使用しない

このキーを使用して、オプションを無効にします。

この情報は役に立ちましたか。
(残り 1500 文字)
フィードバックをいただき、ありがとうございました
表示:
© 2014 Microsoft