次の方法で共有

暗号化されたコンテンツのMicrosoft Entra構成

Microsoft Purview Information Protectionから Azure Rights Management Service からの暗号化を使用して電子メールやドキュメントなどの機密性の高いアイテムを保護する場合、この暗号化されたコンテンツへの承認されたアクセスを妨げる可能性のあるいくつかのMicrosoft Entra構成があります。

同様に、ユーザーが別のorganizationから暗号化されたメールを受け取ったり、Azure RMS とも呼ばれる Azure Rights Management サービスを使用してドキュメントを暗号化する他の組織と共同作業を行ったりした場合、ユーザーは、Microsoft Entra ID の構成方法により、そのメールまたはドキュメントを開けることができない可能性があります。

例:

  • ユーザーは、別のorganizationから送信された暗号化された電子メールを開くできません。 または、別のorganizationの受信者が、送信した暗号化された電子メールを開くことができないことをユーザーが報告します。

  • organizationは、共同プロジェクト上の別のorganizationと共同作業し、プロジェクト ドキュメントを暗号化して保護し、Microsoft Entra ID でグループを使用してアクセスを許可します。 ユーザーは、他のorganizationでユーザーによって暗号化されたドキュメントを開くできません。

  • ユーザーは、オフィスにいるときに暗号化されたドキュメントを正常に開くことができますが、このドキュメントにリモートでアクセスしようとしたときに多要素認証 (MFA) を求められる場合は開けられません。

暗号化サービスへのアクセスが誤ってブロックされないようにするには、次のセクションを使用して、organizationのMicrosoft Entra ID を構成したり、別のorganizationのMicrosoft Entra管理者に情報を中継したりできます。 このサービスにアクセスしないと、ユーザーは認証されず、暗号化されたコンテンツを開く権限がありません。

テナント間アクセス設定と暗号化されたコンテンツ

重要

別のorganizationのテナント間アクセス設定は、ユーザーが暗号化したコンテンツを開くことができないか、ユーザーが他のorganizationによって暗号化されたコンテンツを開くことができないかのどちらかを担当できます。

ユーザーに表示されるメッセージは、ブロックされたアクセスorganization示します。 別のorganizationからこのセクションにMicrosoft Entra管理者を指示する必要がある場合があります。

既定では、ユーザーが Azure Rights Management サービスからの暗号化を使用してコンテンツを保護するときに、テナント間認証が機能するように構成する必要はありません。 ただし、organizationでは、外部 ID のテナント間アクセス設定Microsoft Entra使用してアクセスを制限できます。 逆に、別のorganizationは、これらの設定を構成して、organization内のユーザーとのアクセスを制限することもできます。 これらの設定は、暗号化されたメールや暗号化されたドキュメントを含む、暗号化されたアイテムを開くことに影響します。

たとえば、別のorganizationには、ユーザーがorganizationによって暗号化されたコンテンツを開くことができない設定が構成されている場合があります。 このシナリオでは、Microsoft Entra管理者がテナント間設定を再構成するまで、そのコンテンツを開こうとした外部ユーザーに、テナント管理者への参照を含むorganizationによって Access がブロックされていることを通知するメッセージが表示されます。

Fabrikam, Inc organizationからサインインしているユーザーのメッセージの例(ローカル Microsoft Entra ID がアクセスをブロックする場合):

ローカル Microsoft Entra テナントが暗号化されたコンテンツへのアクセスをブロックする場合のメッセージ例。

アクセスをブロックするMicrosoft Entra構成の場合、ユーザーにも同様のメッセージが表示されます。

サインインしているユーザーの観点から見ると、アクセスをブロックする別のMicrosoft Entra organizationである場合、Access へのメッセージの変更はorganizationによってブロックされ、その他のorganizationのドメイン名がメッセージの本文に表示されます。 例:

別のMicrosoft Entraテナントが暗号化されたコンテンツへのアクセスをブロックした場合のメッセージ例。

テナント間アクセス設定がアプリケーションによるアクセスを制限する場合は常に、次のアプリ ID を持つ Rights Management サービスへのアクセスを許可するように構成する必要があります。

00000012-0000-0000-c000-000000000000

このアクセスが許可されていない場合、暗号化されたコンテンツを開くためにユーザーを認証および承認することはできません。 この構成は、既定の設定と組織の設定として設定できます。

  • 暗号化されたコンテンツを別のorganizationと共有できるようにするには、Microsoft Rights Management Service (ID: 00000012-0000-0000-c000-0000-0000000000) へのアクセスを許可する受信設定を作成します。

  • ユーザーが他の組織から受け取る暗号化されたコンテンツへのアクセスを許可するには、Microsoft Rights Management Service (ID: 00000012-0000-0000-c000-0000-0000000000) へのアクセスを許可する送信設定を作成します。

これらの設定が暗号化サービス用に構成されている場合、アプリケーションには Microsoft Rights Management Services が表示されます。

これらのクロステナント アクセス設定を構成する手順については、「 B2B コラボレーションのクロステナント アクセス設定を構成する」を参照してください。

ユーザー Microsoft Entra多要素認証 (MFA) を必要とする条件付きアクセス ポリシーを構成した場合は、暗号化されたコンテンツの条件付きアクセスを構成する方法について、次のセクションを参照してください。

条件付きアクセス ポリシーと暗号化されたドキュメント

organizationが、Microsoft Rights Management Services を含むMicrosoft Entra条件付きアクセス ポリシーを実装しており、そのポリシーが、organizationによって暗号化されたドキュメントを開く必要がある外部ユーザーに拡張されている場合:

  • 自分のテナントにMicrosoft Entra アカウントを持つ外部ユーザーの場合は、外部 ID のクロステナント アクセス設定を使用して、1 つ、多くの、またはすべての外部Microsoft Entra組織からの MFA 要求の信頼設定を構成することをお勧めします。

  • 前のエントリでカバーされていない外部ユーザー (たとえば、Microsoft Entra アカウントを持っていないユーザー、または信頼設定にクロステナント アクセス設定を構成していないユーザー) の場合、これらの外部ユーザーはテナントにゲスト アカウントを持っている必要があります。

これらの構成の 1 つがないと、外部ユーザーは暗号化されたコンテンツを開いてエラー メッセージを表示できません。 メッセージ テキストは、自分のアカウントをテナントの外部ユーザーとして追加する必要があることを通知する場合があります。このシナリオでは、別のMicrosoft Entra ユーザー アカウントでもう一度サインアウトしてサインインするように誤った指示が表示されます。

organizationによって暗号化されたコンテンツを開く必要がある外部ユーザーに対してこれらの構成要件を満たしていない場合は、条件付きアクセス ポリシーから Microsoft Rights Management Services を削除するか、外部ユーザーをポリシーから除外する必要があります。

詳細については、よく寄せられる質問を参照してください。 Microsoft Rights Management Services が条件付きアクセスで利用可能なクラウド アプリとして一覧表示されているのを参照してください。この機能はどのように機能しますか?

外部ユーザーが暗号化されたドキュメントを開くゲスト アカウント

外部ユーザーがorganizationによって暗号化されたドキュメントを開くには、Microsoft Entra テナントにゲスト アカウントが必要な場合があります。 ゲスト アカウントを作成するためのオプション:

  • これらのゲスト アカウントを自分で作成します。 これらのユーザーがすでに使用している任意のメール アドレスを指定できます。 たとえば、Gmail アドレスです。

    このオプションの利点は、暗号化設定でメール アドレスを指定することにより、特定のユーザーへのアクセスと権利を制限できることです。 欠点は、アカウントの作成とラベル構成の調整のための管理オーバーヘッドです。

  • ユーザーがリンクを共有するときにゲスト アカウントが自動的に作成されるように、SharePoint と OneDrive の統合を B2B Microsoft Entra使用します。

    このオプションの利点は、アカウントが自動的に作成されるため、管理オーバーヘッドが最小限に抑えられ、ラベルの構成が簡単になることです。 このシナリオでは、事前にメール アドレスがわからないため、暗号化オプション [認証されたユーザーを追加する] を選択する必要があります。 欠点は、この設定ではアクセス権と使用権を特定のユーザーに制限できないことです。

外部ユーザーは、Windows および Microsoft 365 Apps (以前の Office 365 アプリ) または Office 2019 のスタンドアロン エディションを使用するときに、Microsoft アカウントを使用して暗号化されたドキュメントを開くこともできます。 最近では他のプラットフォームでもサポートされており、macOS (Microsoft 365 Apps、バージョン 16.42 以降)、Android (バージョン 16.0.13029 以降)、iOS (バージョン 2.42 以降) で暗号化されたドキュメントを開くためにも Microsoft アカウントがサポートされています。

たとえば、組織内のユーザーが暗号化されたドキュメントを組織外のユーザーと共有し、暗号化設定で外部ユーザーの Gmail メール アドレスを指定します。 この外部ユーザーは、Gmail メール アドレスを使用する独自の Microsoft アカウントを作成できます。 次に、このアカウントでサインインした後、指定された使用制限に従って、ドキュメントを開いて編集できます。 このシナリオのチュートリアルの例については、「保護されたドキュメントを開いて編集する」を参照してください。

注:

Microsoft アカウントのメール アドレスは、暗号化設定のアクセスを制限するために指定されたメール アドレスと一致する必要があります。

Microsoft アカウントを持つユーザーがこの方法で暗号化されたドキュメントを開くと、同じ名前のゲスト アカウントがまだ存在しない場合、テナントのゲスト アカウントが自動的に作成されます。 ゲスト アカウントが存在する場合は、サポートされているデスクトップおよびモバイル Office アプリから暗号化されたドキュメントを開くだけでなく、Office for the webを使用して SharePoint と OneDrive でドキュメントを開くために使用できます。

ただし、レプリケーションの待機時間のため、このシナリオでは自動ゲスト アカウントは直ちに作成されません。 暗号化設定の一部として個人用メール アドレスを指定する場合は、Microsoft Entra ID で対応するゲスト アカウントを作成することをお勧めします。 次に、これらのユーザーに、このアカウントを使用して、organizationから暗号化されたドキュメントを開く必要があることを知らせます。

ヒント

外部ユーザーがサポートされている Office クライアント アプリを使用していることを確認できないため、ゲスト アカウントを作成した後 (特定のユーザーの場合) または SharePoint と OneDrive の Microsoft Entra統合を使用する場合(認証されたユーザーの場合)、SharePoint と OneDrive の統合を使用する場合は、外部ユーザーとの安全なコラボレーションをサポートする信頼性の高い方法です。

クロスクラウド アクセス設定と暗号化されたコンテンツ

テナント間アクセス設定を使用すると、暗号化されたドキュメントへのクラウド間アクセスが有効になります。 その結果、別のクラウド環境のorganizationの一部であるユーザーは、organizationによって暗号化されたWord、Excel、およびPowerPointファイルを開くことができます。 たとえば、これらのユーザーは、Microsoft Azure Governmentまたは Microsoft Azure China (21Vianet が運営) にある可能性があります。

サポートされるシナリオ

パブリック プレビューでは、次のシナリオがサポートされます。

  • Microsoft Azure Commercial クラウドの組織は、Microsoft Azure Government クラウドまたは Microsoft Azure China (21Vianet が運営する) クラウド内の組織へのアクセスを、Microsoft に問い合わせることなく許可できます。
  • Microsoft Azure China (21Vianet が運営する) クラウドの組織は、Microsoft に連絡することなく、Microsoft Azure Commercial クラウド内の組織へのアクセスを許可できます。
  • 暗号化されたWord、Excel、およびPowerPointファイルは、別のクラウド環境のユーザーと共有し、Windows、MacOS、モバイル デバイスで表示できます。 このシナリオは、SharePoint または OneDrive 共有リンクを介して共有されるファイルには適用されませんが、直接メールの添付ファイル、USB ドライブ、ファイル共有、SharePoint から共有およびダウンロードする方法には適用されません。
  • 暗号化された PDF と一般的に暗号化されたファイル (.pfile 拡張機能) は、別のクラウド環境のユーザーと共有し、Windows 上の Microsoft Purview Information Protection ビューアーを使用して表示できます。
  • ユーザーは、organizationのゲストである可能性がありますが、必須ではありません。
  • 管理者定義のアクセス許可を使用するときに暗号化を適用する秘密度ラベルに対して外部ユーザーとドメインを構成することも、ユーザー定義のアクセス許可に対してラベルを構成するときにユーザーによって指定することもできます。

対象外のシナリオ

  • すべての Outlook クライアントを含め、Emailはサポートされていません。
  • Microsoft Edge や Adobe Acrobat などの PDF ビューアーは現在サポートされていません。

要件

  • バージョン 2402 以降または Microsoft Office 2024 をMicrosoft 365 Appsします。
  • Microsoft Purview Information Protectionクライアント 3.1.310.0 以降。
  • 両側の管理者は、次の操作を行う必要があります。
    • クロステナント アクセスを有効にするようにテナント間アクセス設定を構成する
    • 許可されたorganizationとしてパートナー organizationを追加する
  • 暗号化されたファイルを開くユーザーには、メール アドレスが割り当てられている必要があります。

クロステナント アクセス設定: クロスクラウド コラボレーションを有効にする

さまざまなクラウド環境間でコラボレーションを有効にするには、1 回限りの手順が必要です。

  1. Microsoft Entra管理センターで、[外部 ID>クロステナント アクセス設定] に移動します。
  2. [ Microsoft クラウド設定] を選択します
  3. コラボレーションのために有効にする必要があるクラウド環境を選択します。
    • 商用クラウドの組織には、Microsoft Azure GovernmentMicrosoft Azure China (21Vianet が運営) の両方が表示されます。
    • ソブリン クラウド内の組織には 、Microsoft Azure Commercial Cloud のみが表示されます。
  4. パートナー organizationがホストされているクラウド環境を選択し、[保存] を選択します

注:

どちらの組織もこの手順を完了し、パートナー クラウドを選択する必要があります。

テナント間アクセス設定: 組織の設定を構成する

組織の設定を構成するには:

  1. Microsoft Entra管理センターで、[外部 ID>クロステナント アクセス設定] に移動します。
  2. [組織設定] を選択します。
  3. [組織の追加] を選択します。
  4. パートナー organizationのMicrosoft Entra テナント ID を入力します。
  5. [追加] を選択します。

テナント ID は、Microsoft Entra管理センターの [概要] セクションに表示され、パートナー organizationによって提供されます。

テナント間アクセス設定: 外部 MFA 要求を信頼する

外部ユーザーがゲストとして招待されていない場合は、外部 MFA 要求を信頼するように受信信頼設定を構成する必要があります。 ユーザーがゲストとして招待され、外部 MFA 要求を信頼している場合は、organizationの MFA 登録から外部ユーザーを除外することをお勧めします

構成の詳細については、「 B2B コラボレーションのテナント間アクセス設定の管理 」を参照してください。

テナント間アクセス設定: 受信と送信のアクセス設定

前の手順では、両方の組織がパートナー organizationから保護されたコンテンツを使用できるようにするために十分です。 他のサービスを除くドキュメントの暗号化解除のみを許可するようにクラウド間の照合順序を制限する場合、またはリレーションシップを一方向にする場合は、 クロステナント アクセス設定と暗号化されたコンテンツに関するページを参照してください。

ドメイン ベースの共有に対する変更

暗号化シナリオが同じクラウド環境に限定されている場合、ラベル暗号化設定に 1 つのドメインを指定すると、ユーザーの電子メール ドメインに関係なく、指定したドメインを所有するorganizationのすべてのユーザーが認証および承認されます。 このドメイン ベースのアクセスの詳細については、「 秘密度ラベルを使用して暗号化を適用してコンテンツへのアクセスを制限する」のメモを参照してください。

ただし、クロスクラウド機能は 、Entra アクセス トークンに埋め込まれたデータに依存します。 この機能では、verified_primary_emailverified_secondary_emailという 2 つのオプションの要求を使用します。

承認中に、これらの要求が抽出され、ラベルで定義されているアクセス許可に対して評価されます。 Rights Management サービスは、ドメイン ベースのアクセスを評価するときに、アクセス トークンで提供された電子メール サフィックスのみを評価できます。 これにより、管理者定義のアクセス許可またはユーザー定義のアクセス許可に、ユーザーの電子メール サフィックスに正確にマップされるドメイン名が含まれている必要があるシナリオが発生します。

クロスクラウドの一般的な問題

暗号化されたファイルを開こうとすると、外部ユーザーに "organizationによってアクセスがブロックされる" と表示される

テナント間アクセス設定が、一方または両面で正しく構成されていません。 このページ の「クロステナント アクセス設定と暗号化されたコンテンツ 」セクションと、クロスクラウド固有の例を確認します。

AADSTS90072: 非ゲスト ユーザーには、ID プロバイダー 'microsoftonline.com' のユーザー アカウント {user@contoso.com} が存在しません。" と表示されます。

このエラーは、外部 MFA 要求が信頼されていないことを示します。 構成の詳細については、「 B2B コラボレーションのテナント間アクセス設定を管理する」を参照してください。

次の手順

追加の構成を行う必要がある場合は、「 テナントへのアクセスを制限する」を参照してください。 Azure Rights Management サービスのネットワーク インフラストラクチャ構成に関する詳細については、「 ファイアウォールとネットワーク インフラストラクチャ」を参照してください。

秘密度ラベルを使用してドキュメントやメールを暗号化する場合は、テナント間で適用されるラベル設定を理解するために、外部ユーザーとラベル付きコンテンツのサポートに関心がある場合があります。 ラベルの暗号化設定の構成ガイダンスについては、「 秘密度ラベルを使用してコンテンツへのアクセスを制限して暗号化を適用する」を参照してください。

暗号化サービスにアクセスする方法とタイミングを知りたいですか? 「サービスのしくみのチュートリアル: 最初の使用、コンテンツの暗号化、コンテンツの使用」を参照してください

  • Last updated on