Office 2013 で Information Rights Management を計画する

 

適用先:Office 2013, Office 365 ProPlus

トピックの最終更新日:2015-07-13

概要: Office 2013 の Information Rights Management (IRM) を使用して、機密性のドキュメントとメッセージにアクセスして使用するための権限を指定します。

対象ユーザー: IT 担当者

この記事では、IRM テクノロジの概要と、Office アプリケーションで IRM が動作するしくみについて説明します。また、Office 2013 に IRM を実装するために必要なソフトウェアのセットアップとインストールに関する詳細情報へのリンクも示します。

重要重要:
この記事は、IT 担当者向けの Office 2013 の ID、認証、承認のロードマップ に含まれています。このロードマップは、Office 2013 の識別情報の評価に役立つ記事、ダウンロード、ポスター、ビデオなどを参照する際の出発点として使用します。
個々の Office 2013 アプリケーションの情報をお探しの場合は、Office.com を参照してください。

この記事の内容

Azure Rights Management および Active Directory Rights Management は、Microsoft の永続的なドキュメント レベルの情報保護テクノロジです。権限と承認を使用して、機密情報の印刷、転送、またはコピーを、権限のあるユーザーが実行したり、また権限のない人々がそれらにアクセスしたりすることを防ぎます。このテクノロジを使用してドキュメントやメッセージに対する権限を制限すると、その使用制限は、ファイルの内容の一部としてドキュメントや電子メール メッセージと共に移動します。Microsoft Office には、Information Rights Management (IRM) 機能が使用された、これらのテクノロジのサポートが実装されています。

メモメモ:
IRM を使用した、アクセスが制限されたドキュメントや電子メール メッセージを作成する機能は、Office Professional Plus 2013、およびスタンドアロン バージョンの Excel 2013、Outlook 2013、PowerPoint 2013、InfoPath 2013、および Word 2013 で利用できます。Office 2013 で作成した IRM コンテンツは、Office 2007Office 2010、または Office 2013 で表示できます。
Office 2013、Office 2010、および Office 2007 でサポートされる IRM と Active Directory Rights Management サービス (AD RMS) の機能の詳細については、「AD RMS および Microsoft Office の展開に関する考慮点」を参照してください。IRM と Azure RMS の詳細については、「アプリケーションで Azure Rights Management をサポートする方法」および「 Azure Rights Management の概要」を参照してください。

Office 2013 での IRM のサポートは、組織や知識労働者が次の 2 つの基本的なニーズに対処するのに役立ちます。

  • 機密情報に対するアクセスの制限 IRM を使用すると、機密情報に対する許可のないアクセスや再利用を防ぐことができます。組織が機密性の高い知的財産を保護するための手段としては、ファイアウォール、ログオン セキュリティ関連の対策、およびその他のネットワーク テクノロジがあります。これらのテクノロジを使用する場合の基本的な限界は、情報にアクセスできる正規のユーザーが、許可されていないユーザーと情報を共有できることです。このためにセキュリティ ポリシーが侵害される可能性があります。

  • 情報のプライバシー、制御、および整合性 インフォメーション ワーカーは、機密情報や、取り扱いに注意を要する情報を扱うことがよくあります。IRM を使用することで、機密情報が社外に漏れないことに関して、従業員は他の人々の良識を当てにする必要がなくなります。IRM では、アクセスが制限されたドキュメントやメッセージで、転送、コピー、または印刷の機能を無効にすることによって、ユーザーが機密情報に対してこれらの機能を実行できないようにします。

情報技術 (IT) 部門の管理者は、IRM を使用することで、ドキュメントの機密性、ワークフロー、および電子メールの保持に関する既存の企業ポリシーを適用できます。幹部やセキュリティ担当重役の場合は、IRM を利用することで、事故や不注意や悪意によって企業の重要な情報が好ましくない者の手に渡るリスクが減少します。

Office ユーザーは、[ファイル] メニューの [情報]、[文書の保護] の下の [アクセスの制限] コマンドなどのオプションを使用して、メッセージやドキュメントへのアクセス許可を適用します。使用できる保護オプションは、組織向けにカスタマイズできる [権利ポリシー テンプレート] に基づきます。権利ポリシー テンプレートとは、ユーザーがドキュメントに適用できる定義済みのポリシーをまとめた IRM 権限のグループです。Office 2013 には、電子メールの受信者に特定の権限を付与する定義済みの [転送不可] オプションもあります。権利ポリシー テンプレートの詳細については、「Azure Rights Management のカスタム テンプレートを構成する」を参照してください。

メモメモ:
Office の [ファイル] メニュー オプションの使用に加え、Windows 用の Rights Management 共有アプリケーションのインストール時に、Office リボンの [保護されたファイルの共有] を選択することも可能です。このアプリケーションには、共有ドキュメントの使用を追跡するなどの追加機能もあります。詳細については、「Windows 用 Rights Management 共有アプリケーション」を参照してください。

Office 2013 でドキュメントを IRM で保護するには、オンプレミスの AD RMS サーバーまたは RMS の Azure サブスクリプションが Office 365 の一部またはスタンドアロン サービスとして必要です。

組織で IRM を有効にするには、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2 用の Active Directory Rights Management サービス (AD RMS) を実行するコンピューターまたは Azure RMS サブスクリプションがあるクラウド テナントにアクセスできる必要があります。権限は、通常は Active Directory ディレクトリ サービス (AD DS) または Azure Active Directory を使用した認証で適用されます。

組織では、Office アプリケーションに表示されるアクセス許可ポリシーを権利ポリシー テンプレートを使用して定義できます。たとえば、そのポリシーを使用するドキュメントや電子メール メッセージは、その部署のユーザーのみが開けるように指定された、マーケティング機密という名前の権利ポリシー テンプレートを定義できます。作成できるアクセス許可ポリシーの数に制限はありませんが、Office では一度に最大 20 のポリシー テンプレートしか表示できません。Azure Rights Management には、独自のカスタム テンプレートを追加することも、またはそのテンプレートを無効にすることもできる、組織全体に対して事前に定義するテンプレートが 2 つ用意されています。

メモメモ:
SharePoint では、ドキュメント ライブラリに保存されたドキュメントに IRM ポリシーを自動的に適用できます。このオプションを使用することにより、ユーザーが SharePoint のライブラリからドキュメントを開いたときに、ドキュメントに対して実行できる操作を制御できます。クライアント コンピューターに保存されたドキュメントに適用される IRM との違いは、クライアント コンピューターのドキュメントの場合、ドキュメントの各ユーザーに割り当てる権限をドキュメントの所有者が選択できる点です。ドキュメント ライブラリでの IRM の使用方法の詳細については、「ドキュメント ライブラリの計画 (SharePoint Foundation 2010)」を参照してください。

Windows Server 2008、Windows Server 2008 R2、および Windows Server 2012 で AD RMS を使用すると、フェデレーション信頼関係がある会社間で、権限で保護されたドキュメントを共有できます。詳細については、「Active Directory Rights Management サービスの概要」および「AD RMS のフェデレーション」を参照してください。Azure RMS には、特別な構成をすることなく、組織間で安全に共同作業をするための機能が組み込まれています。

特に構成する必要なく、保護された電子メールを作成および使用できる Outlook 2013 の機能に加え、Exchange Server 2013 には、Outlook クライアントから送信される前に Outlook 2013 のメッセージを自動的に IRM で保護するユニファイド メッセージングのボイス メール メッセージおよび Outlook 保護ルールなどの RMS で保護された電子メールの機能があります。さらに、Exchange Server に IRM を統合すると、ユーザーは Outlook Web App および Exchange ActiveSync IRM が有効になったモバイル デバイスで保護された電子メールを使用できるようになります。詳細については、「Exchange 2013 の新機能」および「Information Rights Management の概要」を参照してください。

ドキュメントまたは電子メール メッセージに IRM 権限を適用するには、次のものが必要です。

  • コンテンツを利用するためにライセンスを取得するには、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2 用の AD RMS またはAzure Rights Management にアクセスしてください。

  • Rights Management クライアント ソフトウェア。このクライアント ソフトウェアは、Windows Vista 以降のバージョンに含まれています。Rights Management 共有アプリケーションには、Office での IRM 機能を拡張するアドオンのオプションがあります。

  • Microsoft Office 2007、Office 2010、Office 2013。IRM 権限は Office の特定のバージョンでのみ作成できます。

AD RMS および Azure RMS では、Office 2013 などのクライアント アプリケーションの権限を管理する、IRM と動作するライセンスおよびその他のサーバーの機能を管理しています。Office 2013 などの RMS 対応クライアント プログラムを使用すると、権限で保護されたコンテンツを作成および表示できます。

RMS の動作原理、RMS サーバーのインストールおよび構成方法、クラウドベースの Azure RMS の有効化の詳細については、Rights Management サービス ホーム ページを参照してください。

RMS クライアント ソフトウェアは、Windows Vista、Windows 7、Windows 8、および Windows 8.1 に含まれています。RMS の共有アプリケーションを使用して Office でその他の IRM 機能を有効にするには、ユーザー自身でインストールするか、管理者が自動でユーザーに展開します。

Office 2007 と Office 2010 同様に、Office 2013 には、Word 2013、Excel 2013、および PowerPoint 2013 に、読み取り変更などの個別の権限をドキュメントやメッセージに適用するオプションがあります。Outlook には、電子メールの受信者が実行する権限を制限して、電子メールを安心して共有できる [転送不可] オプションがあります。また、ユーザーが 1 回のクリックで適用できる、クライアントに自動的に展開できる、組織向けのカスタム権利ポリシー テンプレートがあります。

権利ポリシー テンプレートを作成および管理するには、RMS または AD RMS サーバー上の管理サイトを使用します。カスタム アクセス許可ポリシー テンプレートの作成、構成、および公開の方法については、ステップ バイ ステップ ガイド - Active Directory Rights Management サービス権利ポリシー テンプレートを作成および展開するを参照してください。Exchange Server 2010Outlook の保護ルールについては、Outlook の保護ルールについてを参照してください。

以下のセクションで、Office 2013 のアクセス許可ポリシー テンプレートに指定できる権限の一覧を示します。

次の表に示す各 IRM 権限は、Azure RMS または AD RMS で動作するよう構成されている Office 2013 アプリケーションによって適用できます。

IRM 権限

IRM 権限 説明

フル コントロール

この表に示すすべての権限と、コンテンツに関連付けられたアクセス許可を変更する権限をユーザーに与えます。フル コントロールの権限を持つユーザーには有効期限は適用されません。

ビュー

ユーザーが IRM コンテンツを開くことを許可します。Office 2013 ユーザー インターフェイスの読み取りアクセス権に対応します。

編集

ドキュメントのコンテンツを変更できます。これには、コンテンツの Excel での並べ替えやフィルターも含みます。

保存

ユーザーがファイルを保存することを許可します。

抽出

ユーザーがファイルの任意の部分をコピーし、その部分を別のアプリケーションの作業領域に貼り付けることを許可します。

エクスポート

ユーザーが [名前を付けて保存] コマンドを使用してコンテンツを別のファイル形式で保存するすることを許可します。選択したファイル形式を使用するアプリケーションによっては、コンテンツは保護されません。

印刷

ユーザーがファイルのコンテンツを印刷することを許可します。

マクロを許可する

ファイルのコンテンツにマクロを実行したり、他のアプリケーションからプログラムを使用してコンテンツにアクセスし、複数のワークシートのコンテンツをリンクしたりするようにもできます。

転送

電子メールの受信者が IRM 電子メール メッセージを転送すること、および [宛先] 行と [CC] 行の受信者を追加または削除することを許可します。この権限では、他のユーザーに権限を付与できません。ユーザーにコンテンツが転送された場合でも、テンプレートでユーザーに権限が付与されていない場合、ユーザーはコンテンツを開くことができません。テンプレートでこの権限を許可しないことは、電子メールの [宛先] および [CC] 行に指定したユーザーにのみの権限を付与する Outlook での [転送不可] オプションの指定とは異なります。

返信

電子メールの受信者が IRM 電子メール メッセージに対して返信することを許可します。

全員に返信

電子メールの受信者が IRM 電子メール メッセージの [宛先] 行と [CC] 行のすべてのユーザーに返信することを許可します。

権利の表示

ファイルに関連付けられている権利をユーザーが表示することを許可します。Office では、この権利は無視されます。

Office 2013 には、ユーザーが IRM コンテンツを作成するときに選択できる、以下の定義済みの権限グループが用意されています。これらのオプションは、Word 2013、Excel 2013、および PowerPoint 2013 の [アクセス許可] ダイアログ ボックスから使用できます。Office アプリケーションで、[ファイル] タブをクリックし、[情報] をクリックします。次に、[文書の保護] ボタンをクリックし、[アクセスの制限] をクリックして、Rights Management サーバーまたはサービスから入力されリストされる権利ポリシー テンプレートから選択します。または、個々のユーザーにそれぞれ定義済みの権限グループを 1 つ選択するオプションを与える [アクセス制限あり] を選択します。

定義済みの読み取り/変更権限グループ

定義済みの IRM グループ 説明

読み取り

読み取りのアクセス許可を持つユーザーが、閲覧権限を持ちます。

変更

変更のアクセス許可を持つユーザーが、閲覧、編集、抽出、保存の各権限を持ちます。

Outlook 2013 では、ユーザーは電子メール アイテムを作成するときに、以下の定義済みの権限グループを選択できます。電子メール アイテムからオプションにアクセスするには、[ファイル]、[情報]、[権限の設定] の順に選択します。そしてリストされる、Rights Management サーバーまたはサービスから入力される権利ポリシー テンプレートから選択するか、次の権限を実装する [転送不可] を選択します。

定義済みの "転送不可" グループ

定義済みの IRM グループ 説明

転送不可

Outlook の電子メールの [転送不可] では、[Cc] および [Bcc] 行のユーザーに、表示、編集、返信と全員に返信の権限が付与されます。

Word 2013 では、文書の一部にその他の IRM アクセス権を指定できます。[情報]、[文章の保護]、[編集の制限] から [他のユーザー] オプションを選択すると、ドキュメントの指定したセクションを編集する権限がユーザーに追加されます。制限オプションをさらに表示するには、[編集の制限] パネルの下部にある [アクセスの制限] を選択します。たとえば、有効期限日を指定したり、他のユーザーによるコンテンツの印刷やコピーを制限したりすることができます。

IRM のカスタマイズには、Office のグループ ポリシー テンプレート (Office15.admx) を使用すると、多数の設定をロックダウンできます。このグループ ポリシー テンプレートは Active Directory のグループ ポリシー オブジェクトの構成に使用して、このドキュメントで既に説明した権利ポリシー テンプレートとは混同しないようにしてください。また、Office カスタマイズ ツール (OCT) を使用すると、ユーザーが設定を構成することが可能な既定の設定を構成することも可能です。さらに、レジストリ キーを使用してのみ設定できる IRM の構成オプションもあります。

グループ ポリシーや OCT を使用して IRM に構成できる設定の一覧を次の表に示します。グループ ポリシーでは、これらの設定は、ユーザーの構成\管理用テンプレート\Microsoft Office 2013\アクセスの制限の管理の下にあります。OCT の設定は、OCT の [ユーザー設定の変更] ページの対応する場所にあります。

グループ ポリシーまたは OCT の IRM 設定

IRM オプション 説明

グループ拡張のエントリ 1 つに対して実行するクエリの Active Directory タイムアウト

グループを展開したときに Active Directory エントリの 1 つに対して実行するクエリのタイムアウト値を指定します。

追加権限の要求 URL

このクライアントで保護されているコンテンツを使用するときに IRM コンテンツにアクセスする方法の詳細情報をユーザーが入手できる場所を指定します。

ドキュメントのアクセス許可を制限している場合に Office でグループを常に展開表示する

ユーザーが [アクセス許可] ダイアログ ボックスでグループ名を選択してドキュメントにアクセス許可を適用するときに、グループ名が自動的に展開され、グループのすべてのメンバーが表示されます。

アクセス許可の確認のためユーザーに常に接続を要求する

権限が管理されている Office ドキュメントを開く場合、ユーザーは新しい IRM ライセンスを入手して、コンテンツを使用する資格がまだあることを確認し、RMS サービスに接続する必要があります。

ドキュメントのアクセス許可が制限されている場合はユーザーにグループの指定を許可しない

ユーザーが [アクセス許可] ダイアログ ボックスでグループを選択すると、"配布リストにコンテンツを発行できません。各ユーザーの電子メール アドレスのみ指定できます。" のエラーが表示されます。

権限が管理されたコンテンツに対するアクセス許可をユーザーが変更できないようにする

有効にした場合、ユーザーは IRM アクセス許可が既に追加されているコンテンツを使用することはできますが、IRM アクセス許可を新しいコンテンツに適用することも、ドキュメントの権限を構成することもできません。

Information Rights Management 関連のユーザー インターフェイスをオフにする

すべての Office アプリケーションのユーザー インターフェイス内で Rights Management 関連のオプションをすべて無効にします。

これらの設定をカスタマイズする方法の詳細については、Office 2013 で Information Rights Management を構成する を参照してください。

以下の表に、IRM に関して構成できるレジストリ内の設定を示します。

次の IRM レジストリ設定は HKCU\Software\Microsoft\Office\15.0\Common\DRM にあります。

IRM レジストリ キーのオプション

レジストリ エントリ 種類 説明

RequestPermission

DWORD

1 = チェック ボックスはオン

0 = チェック ボックスはオフ

このレジストリ キーにより、[追加権限の要求先] チェック ボックスの既定値が変更されます。

DoNotUseOutlookByDefault

DWORD

0 = Outlook を使用する

1 = Outlook を使用しない

[アクセス許可] ダイアログ ボックスでは、Outlook を使用して、そのダイアログ ボックスに入力された電子メール アドレスを検証します。このため、アクセス許可を制限すると Outlook のインスタンスが開始されます。このキーを使用して、オプションを無効にします。

次の IRM レジストリ設定は、HKCU\Software\Microsoft\Office\15.0\Common\DRM\LicenseServers にあります。対応するグループ ポリシー設定はありません。

ライセンス サーバーの IRM レジストリ設定

レジストリ エントリ 種類 説明

LicenseServers

キーおよびハイブ。ライセンス サーバーの名前を含む DWORD 値が格納されます。

サーバー URL に設定されます。DWORD の値が 1 の場合、Office はライセンスを取得するかどうかを確認せず、自動的に取得します。

値がゼロか、そのサーバーのレジストリ エントリがない場合、Office はライセンスの取得を確認します。

例:この設定の値が ‘http://contoso.com/_wmcs/licensing = 1’ の場合、権限が管理されたドキュメントを開く、そのサーバーからライセンスを取得しようとしているユーザーの権限は確認されません。これは、コンテンツの最初の使用時、それ以降はもうその通知は表示されないようにユーザーが選択するチェックボックスと同じです。

次の IRM レジストリ設定は、HKCU\Software\Microsoft\Office\15.0\Common\Security にあります。対応するグループ ポリシー設定はありません。

セキュリティの IRM レジストリ設定

レジストリ エントリ 種類 説明

DRMEncryptProperty

DWORD

1 = ファイルのメタデータが暗号化される。

0 = メタデータがテキスト形式で格納される。既定値は 0 です。

権限が管理されたドキュメント内に格納されるすべてのメタデータを暗号化するかどうかを指定します。

Open XML 形式 (docx、xlsx、pptx など) では、権限が管理されたファイル内に格納される Office メタデータを暗号化するかどうかをユーザーが決定できます。または、Windows ファイル サーバーの FCI 機能などのアプリケーションからデータにアクセスできるよう、コンテンツを暗号化しないでおくこともできます。

ユーザーはレジストリ キーを設定して、メタデータを暗号化するかどうかを選択できます。ユーザーの既定のオプションは、レジストリ設定を展開することで設定できます。一部のメタデータを暗号化するオプションはありません。すべてのメタデータを暗号化するか、1 つも暗号化しないかのどちらかです。

また、DRMEncryptProperty レジストリ設定では、SharePoint 2013 で作成されたメタデータなど、Office 以外のクライアント メタデータ記憶域を暗号化するかどうかは指定されません。

Outlook 2013 では、電子メール メッセージの転送、印刷、またはコピーが行われないように、アクセスを制限したメッセージを作成して送信できます。アクセスを制限したメッセージに添付されている Office 2013 の文書、ブック、およびプレゼンテーションへのアクセスも自動的に制限されます。

Outlook 管理者は、IRM の無効化、ローカルでのライセンスのキャッシュ構成など、IRM 電子メールのさまざまなオプションを構成できます。

権限が管理された電子メール メッセージを構成するときは、次の IRM の設定と機能が役立ちます。

  • IRM の自動的なライセンスのキャッシュを構成する。

  • 電子メール メッセージの有効期限を強制的に設定できるようにする。

  • 電子メール アドレスの IRM 権限の検証に Outlook を使用しない。

メモメモ:
Outlook で IRM を無効にするには、すべての Office アプリケーションの IRM を無効にする必要があります。Outlook のみで IRM を無効にする単独のオプションはありません。

Outlook グループ ポリシー テンプレート (Outlk15.admx) または Office グループ ポリシー テンプレート (Office15.admx) を使用して、Outlook の IRM をカスタマイズするほとんどの設定をロックできます。または、Office カスタマイズ ツール (OCT) を使用して、ほとんどのオプションの既定の設定を構成することもできます。その場合はユーザーが設定を構成できます。OCT の設定は、OCT の [ユーザー設定の変更] ページの対応する場所にあります。

Outlook IRM オプション

場所 IRM オプション 説明

Microsoft Outlook 2013\その他

Exchange フォルダーの同期中に IRM 電子メールの権限ライセンス情報をダウンロードしない

ライセンス情報がローカルにキャッシュされないようにします。有効にした場合、ユーザーは権限が管理された電子メール メッセージを開くために、ネットワークに接続してライセンス情報を取得する必要があります。これは、サーバーで実行される Exchange のプレライセンスには影響しません。

Microsoft Outlook 2010\Outlook のオプション\電子メール オプション\メールの詳細オプション

メッセージを送信するとき

電子メールの有効期限を適用するには、このオプションを有効にして、メッセージの有効期限が切れるまでの日数を入力します。有効期限は、権限が管理された電子メールを送信するときにだけ適用され、有効期限が過ぎるとメッセージにアクセスできなくなります。

これらの設定をカスタマイズする方法の詳細については、Office 2013 で Information Rights Management を構成する を参照してください。

[アクセス許可] ダイアログ ボックスでは、Outlook を使用して、そのダイアログ ボックスに入力された電子メール アドレスを検証します。権限が制限されている場合は、これによって Outlook のインスタンスが開始されます。このオプションは、次の表に示すレジストリ キーを使用して無効にできます。このオプションに対応するグループ ポリシーまたは OCT の設定はありません。

次の IRM レジストリ設定は、HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\DRM にあります。

Outlook IRM レジストリ キーのオプション

レジストリ エントリ 種類 説明

DoNotUseOutlookByDefault

DWORD

0 = Outlook を使用する

1 = Outlook を使用しない

このキーを使用して、オプションを無効にします。

表示: