Azure Active Directory Rights Management の概要

Azure Rights Management (Azure RMS) は、Azure Information Protection によって使用されるクラウドベースの保護テクノロジです。

Azure RMS は、暗号化、ID、承認ポリシーを使用して、携帯電話、タブレット、PC などの複数のデバイス間でファイルと電子メールを保護するのに役立ちます。

たとえば、従業員がパートナー企業にドキュメントを電子メールで送信する場合、またはドキュメントをクラウド ドライブに保存する場合、Azure RMS の永続的な保護はデータのセキュリティを確保するのに役立ちます。

  • データが組織の境界を越えた場合でも、保護設定はデータに残りますので、組織内外の両方でコンテンツが保護されます。

  • Azure RMS は、コンプライアンス、法的証拠開示要件、または情報管理のベスト プラクティスのために法的に要求される場合があります

  • Microsoft 365 サブスクリプションまたは Azure Information Protection のサブスクリプションで Azure RMS を使用する 詳細については、セキュリティに関する Microsoft 365 ライセンス ガイダンス&コンプライアンスページを参照してください。

Azure RMS を使用すると、承認されたユーザーと、検索やインデックス作成などのサービスが、保護されたデータの読み取りと検査を継続できるようになります。

「データの推論」とも呼ばれる、許可されたユーザーとサービスの継続的なアクセスを確保することは、組織のデータの制御を維持する上で重要な要素です。 この機能は、ピアツーピア暗号化を使用する他の情報保護ソリューションでは簡単に実現できない場合があります。

保護機能

機能 説明
複数のファイルタイプを保護する Rights Management の初期の実装では、組み込みの Rights Management 保護を使用して Office ファイルのみを保護できました。

Azure Information Protection では、サポートされるファイルの種類が追加されています。 詳細については、サポートされているファイルの種類を参照してください。
どこにいてもファイルを保護 ファイルが保護されている場合、IT 部門の管理下にないストレージ (クラウド ストレージ サービスなど) にファイルが保存またはコピーされた場合でも、保護は維持されます。

コラボレーション機能

機能 説明
情報を安全に共有する 保護されたファイルは、電子メールの添付ファイルや SharePoint サイトへのリンクなど、他のユーザーと安全に共有できます。

機密情報がメール メッセージ内にある場合は、メールを保護するか、または Outlook の [転送不可] オプションを使用します。
企業間コラボレーションのサポート Azure Rights Management はクラウド サービスであるため、保護されたコンテンツを他の組織と共有する前に、他の組織との信頼関係を明示的に構成する必要はありません。

Microsoft 365 または Microsoft Entra ディレクトリを既に導入している他の組織とのコラボレーションは、自動的にサポートされます。

Microsoft 365 または Microsoft Entra ディレクトリを導入していない組織の場合は、ユーザーは無料の個人用 RMS サブスクリプションにサインアップするか、サポートされているアプリケーションの Microsoft アカウントを使用することができます。

ヒント

電子メール メッセージ全体を保護するのではなく、保護されたファイルを添付すると、電子メールのテキストを暗号化されないままにすることができます。

たとえば、電子メールが組織外に送信される場合、初めて使用するための手順を含めることができます。 保護されたファイルを添付すると、基本的な手順は誰でも読むことができますが、電子メールやドキュメントが他の人に転送された場合でも、承認されたユーザーのみがそのドキュメントを開くことができます。

プラットフォームサポート機能

Azure RMS は、次のような幅広いプラットフォームとアプリケーションをサポートしています。

機能 説明
Windows コンピューターに限らず、
広く使われているデバイス
クライアント デバイスには以下が含まれます。

- Windows コンピューターと携帯電話
- Mac コンピューター
- iOS タブレットと携帯電話
- Android タブレットと携帯電話
オンプレミスのサービス Azure Rights Management は、Office 365 とシームレスに連携するだけでなく、RMS コネクタをデプロイすると、次のオンプレミス サービスで使うこともできます。

- Exchange Server
- SharePoint Server
- ファイル分類インフラストラクチャを実行する Windows Server
アプリケーションの拡張性 Azure Rights Management は Microsoft Office アプリケーションおよびサービスと緊密に統合されており、Azure Information Protection クライアントを使用して他のアプリケーションのサポートを拡張します

Microsoft Information Protection SDK により、Azure Information Protection をサポートするカスタム アプリケーションを作成するための API が社内開発者やソフトウェア ベンダーに提供されます。

詳しくは、「Rights Management API をサポートするその他のアプリケーション」を参照してください。

インフラストラクチャの機能

Azure RMS は、IT 部門とインフラストラクチャ組織をサポートするために次の機能を提供します。

Note

組織は、Azure Rights Management によって以前に保護されていたコンテンツへのアクセスを失うことなく、Azure Rights Management サービスの使用をいつでも停止することができます。

詳細については、Azure Rights Management の使用停止と非アクティブ化に関するページを参照してください。

シンプルで柔軟なポリシーを作成する

カスタマイズされた保護テンプレートは、管理者がポリシーを適用するための迅速かつ簡単なソリューションを提供し、ユーザーが各ドキュメントに適切なレベルの保護を適用して、組織内のユーザーへのアクセスを制限するためのソリューションを提供します。

たとえば、全社的な戦略文書を全従業員と共有するには、社内の全従業員に読み取り専用ポリシーを適用します。 財務報告書などのより機密性の高い文書の場合は、アクセスを幹部のみに制限します。

Microsoft Purview コンプライアンス ポータルでラベル付けポリシーを構成します。 詳細については、Microsoft 365 の機密ラベルに関するドキュメントを参照してください。

簡単なアクティベーション

新しいサブスクリプションの場合、アクティベーションは自動的に行われます。 既存のサブスクリプションの場合、Rights Management サービスをアクティブ化するには、管理ポータルで数回クリックするか、PowerShell コマンドを 2 回実行するだけで済みます。

監査およびモニターサービス

保護されたファイルが組織の境界を越えた後でも、そのファイルの使用状況を監査およびモニターします

たとえば、Contoso, Ltd の従業員が Fabrikam, Inc の 3 人と共同プロジェクトに取り組んでいる場合、Fabrikam パートナーに保護され、読み取り専用に制限されたドキュメントを送信する可能性があります。

Azure RMS 監査では、次の情報が提供されます。

  • Fabrikam パートナーがドキュメントを開いたかどうか、またいつ開いたか。

  • 指定されていない他の人が文書を開こうとしたか、開こうとして失敗したかどうか。 これは、電子メールが共有の場所に転送されたか、共有の場所に保存された場合に発生する可能性があります。

AIP 管理者は、Office ファイルへのドキュメントの使用状況を追跡し、アクセスを取り消すことができます。 ユーザーは、必要に応じて、保護されたドキュメントへのアクセスを取り消すことができます。

組織全体に拡張できる機能

Azure Rights Management は、スケールアップおよびスケールアウトに対する Azure の弾力性を備えたクラウド サービスとして実行されるため、追加のオンプレミス サーバーをプロビジョニングまたはデプロイする必要はありません。

データに対する IT コントロールの維持

組織は次のような IT 管理機能の恩恵を受けることができます。

機能 説明
テナントキー管理 Bring Your Own Key (BYOK) や Double Key Encryption (DKE) などのテナント キー管理ソリューションを使用します。

詳細については、 以下を参照してください。
- AIP テナント キーを計画して実装する
- Microsoft 365 ドキュメント内の DKE
監査と使用状況のログ記録 監査機能と使用状況ログ機能を使用して、ビジネスに関する分析、悪用の監視、情報漏洩のフォレンジック分析を実行します。
アクセス委任 スーパー ユーザー機能 を使用してアクセスを委任すると、組織を退職した従業員によってドキュメントが保護されていた場合でも、IT 部門がいつでも保護されたコンテンツにアクセスできるようになります。
これに対し、ピア ツー ピアの暗号化ソリューションでは、企業データにアクセスできなくなるおそれがあります。
アクティブディレクトリ同期 Microsoft Entra Connect などのハイブリッド ID ソリューションを使用して、オンプレミスの Active Directory アカウントの共通 ID をサポートするために、Azure RMS に必要なディレクトリ属性のみを同期します。
シングル サインオン AD FS を使用して、パスワードをクラウドにレプリケートせずにシングル サインオンを有効にします。
AD RMSからの移行 Active Directory Rights Management サービス (AD RMS) を展開している場合は、以前 AD RMS によって保護されていたデータへのアクセスを失うことなく、Azure Rights Management サービスに移行します。

セキュリティ、コンプライアンス、規制要件

Azure Rights Management は、次のセキュリティ、コンプライアンス、規制要件をサポートしています。

  • 業界標準の暗号化を使用し、FIPS 140-2 をサポートします。 詳細については、「Azure RMS で使用される暗号化コントロール: アルゴリズムとキーの長さ」に関する情報を参照してください。

  • Microsoft Azure データ センターにテナント キーを保存するための nCipher nShield ハードウェア セキュリティ モジュール (HSM) のサポート。

    Azure Rights Management は、北米、EMEA (ヨーロッパ、中東、アフリカ)、アジアのデータ センターに個別のセキュリティ ワールドを使用するため、キーは自分の地域でのみ使用できます。

  • 以下の規格の認証:

    • ISO/IEC 27001:2013 (./ ISO/IEC 27018を含む)
    • SOC 2 SSAE 16/ISAE 3402 証明書
    • HIPAA BAA
    • EUモデル条項
    • Office 365 認定の Microsoft Entra ID の一部として FedRAMP が発行され、HHS によって運営される FedRAMP 代理店権限が発行されました
    • PCI DSS レベル 1

これらの外部認定の詳細については、Azure Trust Center を参照してください。

次のステップ

Azure Rights Management サービスの仕組みに関する技術情報の詳細については、Azure RMS の仕組みを参照してください。

Rights Management のオンプレミス バージョンである Active Directory Rights Management サービス (AD RMS) に精通している場合は、「Azure Rights Management と AD RMS の比較」の比較表に興味があるかもしれません。