Azure Information Protection の要件
Note
Microsoft Purview Information Protection をお探しですか? (以前の Microsoft Information Protection (MIP))
Azure Information Protection アドインは廃止され、Microsoft 365 アプリとサービスに組み込まれているラベルに置き換えられています。 詳細については、「他の Azure Information Protection コンポーネントのサポート状況」を参照してください。
新しい Microsoft Information Protection クライアント (アドインなし) は現在プレビュー段階であり、一般提供が予定されています。
Azure Information Protection をデプロイする前に、システムが次の前提条件を満たしていることを確かめます。
- Azure Information Protection 用サブスクリプション
- Microsoft Entra ID
- クライアント デバイス
- アプリケーション
- ファイアウォールとネットワーク インフラストラクチャ
Azure Information Protection をデプロイするには、AIP 機能を使用するすべてのマシンに AIP クライアントがインストールされている必要があります。 詳細については、「ユーザー用 Azure Information Protection 統合ラベル付けクライアントのインストール」と「Azure Information Protection のクライアント側」を参照してください。
Azure Information Protection 用サブスクリプション
Azure Information Protection のスキャナーまたはクライアントを使用した分類、ラベル付け、保護には、Azure Information Protection プランが必要です。 詳細については、以下を参照してください:
質問への回答が見当たらない場合は、Microsoft アカウント マネージャーまたは Microsoft サポートにお問い合わせください。
Microsoft Entra ID
Azure Information Protection での認証や認可のサポートには、Microsoft Entra ID が必要です。 オンプレミス ディレクトリ (AD DS) のユーザー アカウントを使用するには、ディレクトリ統合の構成も必要となります。
ユーザーに資格情報の入力を繰り返し求めないように、Azure Information Protection ではシングル サインオン (SSO) がサポートされています。 フェデレーションに別のベンダー ソリューションを使用する場合は、Microsoft Entra ID においてそれを構成する方法をそのベンダーとチェックしてください。 WS-Trust は、これらのソリューションがシングル サインオンをサポートするための一般的な要件です。
必要なクライアント ソフトウェアを備え、MFA サポート インフラストラクチャを正しく構成している場合、Azure Information Protection で多要素認証 (MFA) がサポートされます。
条件付きアクセスは、Azure Information Protection によって保護されたドキュメントのプレビューでサポートされています。 詳細については、以下を参照してください: 条件付きアクセスで使用できるクラウド アプリとして Azure Information Protection が表示されています。これはどのように機能しますか?
証明書ベースの認証または多要素認証を使用する、または UPN 値がユーザーのメール アドレスと一致しないといった特定のシナリオにおいては、追加の前提条件が求められます。
詳細については、以下を参照してください:
- Azure Information Protection 用 Microsoft Entra 追加要件
- Microsoft Entra Directory とは?
- オンプレミスの Active Directory ドメインを Microsoft Entra ID と統合する。
クライアント デバイス
ユーザー コンピューターまたはモバイル デバイスは、Azure Information Protection をサポートするオペレーティング システムで実行する必要があります。
クライアント デバイス用としてサポートされているオペレーティング システム
Windows 用の Azure Information Protection クライアントは、次のオペレーティング システムでサポートされています。
Windows 11
Windows 10 (x86, x64)。 Windows 10 RS4 ビルド以降では、手書きはサポートされていません。
Windows Server 2019
Windows Server 2016
Windows Server 2012 R2 および Windows Server 2012
以前のバージョンの Windows でのサポートの詳細については、Microsoft アカウントまたはサポート担当者にお問い合わせください。
Note
Azure Information Protection クライアントが Azure Rights Management サービスを使用してデータを保護する場合、Azure Rights Management サービスをサポートする同じデバイス でデータを使用できます。
ARM64
ARM64 は現在サポートされていません。
仮想マシン
仮想マシンを使用している場合は、Azure Information Protection 統合ラベル付けクライアントまたは Azure Information Protection クライアントの実行に必要な追加構成として、仮想デスクトップ ソリューションにおけるソフトウェア ベンダーをチェックします。
たとえば、Citrix ソリューションの場合、Office、Azure Information Protection 統合ラベル付けクライアント、または Azure Information Protection クライアントにおける Citrix アプリケーション プログラミング インターフェイス (API) フックを無効にすることが必要な場合があります。
これらのアプリケーションは、それぞれ次のファイルを使用します: winword.exe、excel.exe、outlook.exe、powerpnt.exe、msip.app.exe、msip.viewer.exe
サーバー サポート
上記の各サーバー バージョンにおいて、Azure Information Protection クライアントはリモート デスクトップ サービス用としてサポートされています。
リモート デスクトップ サービスで Azure Information Protection クライアントを使用するときにユーザー プロファイルを削除する場合は、%Appdata%\Microsoft\Protect フォルダーを削除しないでください。
加えて、Server Core と Nano Server はサポートされていません。
クライアントごとの追加要件
各 Azure Information Protection クライアントには、追加の要件があります。 詳細については、次の情報を参照してください。
アプリケーション
Azure Information Protection クライアントは、次のいずれかの Office エディションの Microsoft Word、Excel、PowerPoint、および Outlook において、ドキュメントとメールをラベルを付けて保護できます。
Office アプリで、バージョンが更新チャンネル別 Microsoft 365 アプリ サポート対象バージョン表に記載されていて、 Microsoft 365 Apps for Business または Microsoft 365 Business Premium に含まれ、ユーザーに Azure Rights Management (Azure Information Protection for Office 365 としても知られる) のライセンスが割り当てられているもの。
Microsoft 365 Apps for Enterprise
Office Professional Plus 2021
Office Professional Plus 2019
Office Professional Plus 2016 - Office 2016 は基本的にサポート対象外であり、AIP サポートはベスト エフォートに基づいて行われ、バージョン 2016 で検出された問題に対する修正は行われません。 Microsoft Office 2016 を参照してください
Office の他のエディションでは、Rights Management サービスを使用してドキュメントやメールを保護できません。 これらのエディションでは、Azure Information Protection は分類のみでサポートされており、保護を適用するラベルはユーザーに表示されません。
ラベルは、Office ドキュメントの上部のバーに表示され、統合ラベル付けクライアントの [秘密度] ボタンからアクセスできます。
- AIP クライアントがファイルにラベルを付けると、バージョン 1.4 以前の PDF ファイルは自動的にバージョン 1.5 にアップグレードされます。
詳細については、「Azure Rights Management データ保護をサポートするアプリケーション」を参照してください。
Office の機能と性能はサポートされていません
Windows 用 Azure Information Protection クライアントでは、同じコンピューターでの Office の複数バージョンや、Office でのユーザー アカウントの切り替えはサポートされていません。
Office の差し込み印刷機能は、Azure Information Protection ではサポートされていません。
ファイアウォールとネットワーク インフラストラクチャ
特定の接続を許可するように構成されたファイアウォールまたは同様の中間ネットワーク デバイスがある場合、ネットワーク接続の要件は、Microsoft 365 Common と Office Online に関する Office 記事に一覧表示されています。
Azure Information Protection には、次の追加要件があります。
統合ラベル付けクライアント。 ラベルとラベル ポリシーをダウンロードするには、HTTPS において次の URL を許可します: *.protection.outlook.com
Web プロキシ。 認証が必要な Web プロキシを使用する場合は、ユーザーの Active Directory サインイン資格情報を使う統合された Windows 認証を使用するため、そのプロキシを構成する必要があります。
プロキシを使用してトークンを取得するときに Proxy.pac ファイルをサポートするには、次の新しいレジストリ キーを追加します。
- パス:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\ - キー:
UseDefaultCredentialsInProxy - 型:
DWORD - 値:
1
- パス:
TLS クライアント~サービス間接続。 TLS クライアント~サービス間接続は、パケット レベルの検査を aadrm.com URL に実行する目的などで終了しないでください。 この操作によって、RMS クライアントが使用している証明書のピン留めが解除されます。この証明書とは、Azure Rights Management サービスとの通信を保護するために、Microsoft が管理する CA と共に使用されているものです。
クライアント接続が Azure Rights Management サービスに到達する前に終了するかどうかを判断するには、次の PowerShell コマンドを使用します。
$request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc") $request.GetResponse() $request.ServicePoint.Certificate.Issuer結果では、例えば次のように、発行元 CA が Microsoft CA からのものであることが示されます:
CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US。Microsoft からではない発行元 CA 名が表示される場合は、セキュアなクライアント~サービス間接続が終了しており、ファイアウォールで再構成が必要な可能性があります。
TLS バージョン 1.2 以降 (統合ラベル付けクライアントのみ)。 統合ラベル付けクライアントでは、暗号化によってセキュアなプロトコルを確実に使用し、Microsoft セキュリティ ガイドラインに準拠するため、TLS バージョン 1.2 以上が必要です。
Microsoft 365 Enhanced Configuration Service (ECS)。 AIP は、microsoft 365 Enhanced Configuration Service (ECS) である config.edge.skype.com URL にアクセスできる必要があります。
ECS により、ご自身で AIP を再デプロイする必要なく、AIP のインストールを Microsoft が再構成できるようになります。 ECS は、機能や更新プログラムを段階的にロールアウトしながら、収集される診断データからロールアウトの影響を監視するために使用されます。
また、機能や更新プログラムによるセキュリティやパフォーマンスの問題を軽減するためにも使用されます。 さらに ECS では、適切なイベントの確実な収集を目的として、診断データに関連する構成の変更をサポートします。
config.edge.skype.com URL を制限すると、エラーを軽減する Microsoft の性能に影響を与え、プレビュー機能のテストに影響する可能性があります。
詳細については、「Office 用の必須サービス - Office のデプロイ」を参照してください。
監査ログの URL ネットワーク接続。 AIP 監査ログをサポートするには、AIP が次の URL にアクセスできる必要があります。
https://*.events.data.microsoft.comhttps://*.aria.microsoft.com(Android デバイス データのみ)
詳細については、「AIP レポートの前提条件」を参照してください。
AD RMS と Azure RMS の共存
AD RMS と Azure RMS を同じ組織内で一緒に使用した、同じ組織内での同じユーザーによるコンテンツの保護は、唯一、HYOK (ご自身のキーを保有) 保護を Azure Information Protection を使って行う場合にのみ AD RMS でサポートされます。
このシナリオは、移行の間はサポートされません。 サポートされる移行パスは以下を含みます。
ヒント
Azure Information Protection をデプロイし、このクラウド サービスを使用しなくなった場合は、「Azure Information Protection の使用停止と非アクティブ化」を参照してください。
両方のサービスが同じ組織内でアクティブになっている、移行以外の他のシナリオの場合、両方のサービスを構成して、そのうちのいずれかにより特定のユーザーがコンテンツを保護できるようにする必要があります。 そのようなシナリオは次のように構成します。
AD RMS から Azure RMS への移行にリダイレクトを使用する
異なるユーザーに対して両方のサービスを同時にアクティブとすることが必要な場合は、サービス側の構成を使用して排他性を施行します。 クラウド サービスの Azure RMS オンボーディング コントロールと、発行 URL の ACL を使用し、AD RMS において読み取り専用モードを設定します。
サービス タグ
Azure エンドポイントと NSG を使用している場合は、必ず次のサービス タグにおいてすべてのポートへのアクセスを許可してください。
- AzureInformationProtection
- AzureActiveDirectory
- AzureFrontDoor.Frontend
さらに、この場合、Azure Information Protection サービスは、次の IP アドレスとポートにも依存します。
- 13.107.9.198
- 13.107.6.198
- 2620:1ec:4::198
- 2620:1ec:a92::198
- 13.107.6.181
- 13.107.9.181
- ポート 443 (HTTPS トラフィック用)
これらの特定の IP アドレスへの送信アクセスと、このポート経由を許可する規則を必ず作成してください。
Azure Rights Management データ保護用としてサポートされているオンプレミス サーバー
Microsoft Rights Management コネクタを使用する場合、Azure Information Protection で次のオンプレミス サーバーがサポートされます。
このコネクタは通信インターフェイスとして機能し、オンプレミス サーバーと Azure Rights Management サービスの間を中継します。このサービスは、Office ドキュメントと Office メールを保護するために Azure Information Protection によって使用されます。
このコネクタを使用するには、Active Directory フォレストと Microsoft Entra ID の間でディレクトリ同期を構成する必要があります。
サポートされるサーバーには以下が含まれます:
| サーバーの種類 | サポートされているバージョン |
|---|---|
| Exchange Server | - Exchange Server 2019 - Exchange Server 2016 - Exchange Server 2013 |
| Office SharePoint Server | - Office SharePoint Server 2019 - Office SharePoint Server 2016 - Office SharePoint Server 2013 |
| Windows Server を実行し、ファイル分類インフラストラクチャ (FCI) を使用するファイル サーバー | - Windows Server 2016 - Windows Server 2012 R2 - Windows Server 2012 |
詳細については、「Microsoft Rights Management コネクタのデプロイ」を参照してください。
Azure Rights Management 用としてサポートされるオペレーティング システム
次のオペレーティング システムは、AIP のデータ保護を提供する Azure Rights Management サービスをサポートしています。
| OS | サポートされているバージョン |
|---|---|
| Windows コンピューター | - Windows 10 (x86, x64) - Windows 11 (x86, x64) |
| macOS | macOS 10.8 の最小バージョン (Mountain Lion) |
| Android のスマートフォンとタブレット | Android 6.0 の最小バージョン |
| iPhone および iPad | iOS 11.0 の最小バージョン |
| Windows のスマートフォンとタブレット | Windows 10 Mobile |
詳細については、「Azure Rights Management データ保護をサポートするアプリケーション」を参照してください。
次のステップ
すべての AIP 要件を確認し、お使いのシステムが準拠していることを確認したら、Azure Information Protection のユーザーとグループの準備を続けます。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示