Azure Rights Management サービスを使用してorganizationのコンテンツを暗号化する前に、Microsoft Entra ID のユーザーとグループのアカウントでサービスがどのように機能するかを理解してください。
ユーザーとグループに対してこれらのアカウントを作成するには、次のようなさまざまな方法があります。
Microsoft 365 管理センターでユーザーを作成し、Exchange Online管理センターでグループを作成します。
Azure portalでユーザーとグループを作成します。
PowerShell コマンドレットを使用して、ユーザーとグループを作成します。
オンプレミスの Active Directoryにユーザーとグループを作成し、MICROSOFT ENTRA ID に同期します。
別のディレクトリにユーザーとグループを作成し、MICROSOFT ENTRA ID に同期します。
この一覧の最初の 3 つの方法を使用してユーザーとグループを作成すると、1 つの例外を除き、ユーザーとグループはMicrosoft Entra ID で自動的に作成され、Azure Rights Management サービスはこれらのアカウントを直接使用できます。 ただし、一部のエンタープライズ ネットワークでは、オンプレミスディレクトリを使用してユーザーとグループを作成および管理します。 Azure Rights Management サービスでは、これらのアカウントを直接使用することはできません。ID に同期Microsoft Entra必要があります。
前の段落で参照されている例外は、Exchange Online用に作成できる動的配布リストです。 静的配布リストとは異なり、これらのグループは Microsoft Entra ID にレプリケートされないため、Azure Rights Management サービスでは使用できません。
Azure Rights Management サービスによるユーザーとグループの使用方法
Azure Rights Management サービスでユーザーとグループを使用するシナリオは 2 つあります。
Azure Rights Management サービスを使用してドキュメントと電子メールを暗号化する場合の暗号化設定。 管理者とユーザーは、暗号化されたコンテンツを開くことができるユーザーとグループを選択できます。
コンテンツの使用方法を決定する使用権限。 たとえば、読み取り専用か、読み取りと印刷が可能か、読み取りと編集が可能かなどです。
アクセス制御には、有効期限と、インターネットへの接続がアクセスに必要かどうかが含まれます。
特定のシナリオをサポートするように Azure Rights Management サービスを構成するため、管理者のみがこれらのグループを選択します。 たとえば、次の構成が含まれます。
スーパー ユーザー。電子情報開示またはデータ復旧に必要な場合に、指定されたサービスまたはユーザーが暗号化されたコンテンツを開くことができるようにします。
Azure Rights Management サービスの委任された管理。
段階的なデプロイをサポートするためのオンボード コントロール。
ユーザー アカウントの Azure Rights Management サービス要件
暗号化設定と Azure Rights Management サービスの構成の場合:
ユーザーを承認するには、Microsoft Entra ID の 2 つの属性 (proxyAddresses と userPrincipalName) が使用されます。
Microsoft Entra proxyAddresses 属性には、アカウントのすべてのメール アドレスが格納され、さまざまな方法で入力できます。 たとえば、Exchange Online メールボックスを持つ Microsoft 365 のユーザーは、この属性に格納されている電子メール アドレスを自動的に持っています。 Microsoft 365 ユーザーに別のメール アドレスを割り当てると、この属性にも保存されます。 また、オンプレミス アカウントから同期される電子メール アドレスによっても設定できます。
Azure Rights Management サービスでは、このMicrosoft Entra proxyAddresses 属性の任意の値を使用できます。これにより、ドメインがテナント ("検証済みドメイン") に追加されます。 ドメインの検証の詳細については、以下を参照してください。
Microsoft Entra ID の場合: カスタム ドメイン名を Microsoft Entra ID に追加する
Microsoft 365 の場合: Microsoft 365 にドメインを追加する
Microsoft Entra userPrincipalName 属性は、テナント内のアカウントに Microsoft Entra proxyAddresses 属性に値がない場合にのみ使用されます。 たとえば、Azure portalでユーザーを作成したり、メールボックスを持たない Microsoft 365 用のユーザーを作成したりします。
外部ユーザーの暗号化設定
テナント内のユーザーに対して Microsoft Entra proxyAddresses と userPrincipalName Microsoft Entraを使用するだけでなく、Azure Rights Management サービスも、これらの属性を同じ方法で使用して別のテナントのユーザーを承認します。
その他の承認方法:
Microsoft Entra ID に含まれていない電子メール アドレスの場合、Azure Rights Management サービスは、Microsoft アカウントで認証されたときにこれらを承認できます。 ただし、Microsoft アカウントが認証に使用されている場合、すべてのアプリケーションで暗号化されたコンテンツを開くことができるわけではありません。
Microsoft Entra ID にアカウントを持たないユーザーにMicrosoft Purview Message Encryptionを使用して電子メールを送信すると、ユーザーは最初にソーシャル ID プロバイダーとのフェデレーションを使用するか、1 回限りのパスコードを使用して認証されます。 次に、保護された電子メールで指定された電子メール アドレスを使用して、ユーザーを承認します。
グループ アカウントの Azure Rights Management サービス要件
使用権限とアクセス制御を割り当てる場合:
- ユーザーのテナントの検証済みドメインを含む電子メール アドレスを持つ、Microsoft Entra ID 内の任意の種類のグループを使用できます。 メール アドレスを持つグループは、多くの場合、メールが有効なグループと呼ばれます。
Azure Rights Management サービスを構成する場合:
テナント内の検証済みドメインからのメール アドレスを持つ任意の種類のグループを Microsoft Entra ID で使用できますが、1 つの例外があります。 この例外は、グループを使用するようにオンボード コントロールを構成する場合です。これは、テナントのMicrosoft Entra ID のセキュリティ グループである必要があります。
Azure Rights Management サービスの委任された管理には、テナント内の検証済みドメインの Microsoft Entra ID 内の任意のグループ (電子メール アドレスの有無にかかわらず) を使用できます。
外部グループの暗号化設定
Azure Rights Management サービスでは、テナント内のグループにMicrosoft Entra proxyAddresses を使用するだけでなく、同じ方法でこの属性を使用して別のテナントからのグループを承認します。
オンプレミスの Active Directory のアカウントを使用する
Azure Rights Management サービスで使用するオンプレミスで管理されているアカウントがある場合は、これらを Microsoft Entra ID に同期する必要があります。 デプロイを容易にするために、Microsoft Entra Connect を使用することをお勧めします。 ただし、同じ結果を実現する任意のディレクトリ同期方法を使用できます。
アカウントを同期するときに、すべての属性を同期する必要はありません。 同期する必要がある属性の一覧については、Microsoft Entraドキュメントの「Azure RMS」セクションを参照してください。
Azure Rights Management の属性リストから、ユーザーの場合、同期には メール、 proxyAddresses、 userPrincipalName のオンプレミス AD 属性が必要であることがわかります。 mail と proxyAddresses の値は、Microsoft Entra proxyAddresses 属性に同期されます。 詳細については、「proxyAddresses 属性を Microsoft Entra ID に設定する方法」を参照してください。
メール アドレスが変更される場合の考慮事項
ユーザーまたはグループのメール アドレスを変更する場合は、古いメール アドレスを 2 番目のメール アドレス (プロキシ アドレス、エイリアス、代替メール アドレスとも呼ばれます) としてユーザーまたはグループに追加することをお勧めします。 これを行うと、古いメール アドレスが Microsoft Entra proxyAddresses 属性に追加されます。 このアカウント管理により、古いメール アドレスが使用されていたときに保存されていた使用権やその他の構成のビジネス継続性が確保されます。
これを行えない場合、新しいメール アドレスを持つユーザーまたはグループは、以前のメール アドレスで保護されていたドキュメントやメールへのアクセスが拒否されるリスクがあります。 この場合は、保護構成を繰り返して新しいメール アドレスを保存する必要があります。 たとえば、ユーザーまたはグループにテンプレートまたはラベルの使用権限が付与されている場合は、それらのテンプレートまたはラベルを編集し、古いメール アドレスに付与したのと同じ使用権限を持つ新しいメール アドレスを指定します。
グループがメール アドレスを変更することはまれであり、個々のユーザーではなくグループに使用権限を割り当てる場合、ユーザーのメール アドレスが変更されても問題になることに注意してください。 このシナリオでは、使用権限は、個々のユーザーの電子メール アドレスではなく、グループの電子メール アドレスに割り当てられます。 これは、管理者がドキュメントと電子メールを保護する使用権限を構成する最も可能性の高い (推奨される) 方法です。 ただし、通常、ユーザーは個々のユーザーにカスタム アクセス許可を割り当てる場合があります。 ユーザー アカウントまたはグループがアクセス許可を付与するために使用されているかどうかは常にわかりませんので、常に古いメール アドレスを 2 番目のメール アドレスとして追加するのが最も安全です。
グループ メンバーシップのキャッシュ
パフォーマンス上の理由から、Azure Rights Management サービスはグループ メンバーシップをキャッシュします。 このキャッシュは、これらのグループが Azure Rights Management サービスによって使用され、この期間が変更される可能性がある場合、Microsoft Entra ID のグループ メンバーシップに対する変更が有効になるまでに最大 3 時間かかる可能性があることを意味します。
使用権限を付与したり、Azure Rights Management サービスを構成したりするためにグループを使用するときに行う変更やテストに、この遅延を考慮してください。
次の手順
Azure Rights Management サービスでユーザーとグループを使用できることを確認したら、Azure Rights Management サービスをアクティブ化する必要があるかどうかをチェックします。
2018 年 2 月以降: Azure Rights Management または Microsoft Purview Information Protection を含むサブスクリプションが今月中またはそれ以降に取得された場合、サービスは自動的にアクティブ化されます。
サブスクリプションが 2018 年 2 月より前に取得された場合: サービスを自分でアクティブ化する必要があります。
アクティブ化の状態の確認など、詳細については、「 Azure Rights Management サービスのアクティブ化」を参照してください。