Azure Information Protection(AIP)で手動で権限付与をする方法

2022.06.20

AIPとは企業の情報漏洩を防ぐためにWordやExcel、PDF等のドキュメントに対して暗号化したり様々な権限を付与できる機能です。
社内で管理しているドキュメントに対して「社外秘」といったファイル名や、「免許証番号」等のセンシティブな情報を検知して自動で権限付与することもできます。
ここでは手動で行う方法を案内します。

手順

手順1 アクティブ化の確認

1.Microsoft365管理センターを開いて「…すべて表示」をクリックします。

2.「Azure Active Directory」を開きます。

3.「Portal.azure.com」をクリックします。

4.検索欄に「Azure info」と入力して「Azure Information Protection」をクリックします。

5.統合ラベル付けが「アクティブ済み」になっていることが確認できます。

手順2 AIPクライアントインストール

1.ダウンロードしてきた「AzInfoProtection_UL.exe」を開いて、「同意する」をクリックします。

2.インストールが始まります。

3.インストールが完了しました。

手順3 ラベルの作成

1.「情報の保護」を開きます。

2.「+ラベルの作成」をクリックします。

3.名前、表示名、ユーザー向けの説明を入力します。
ここでは名前を「yjk365AIPアクセス制御ラベル」、表示名を「yjk365AIPアクセス制御ラベル」、ユーザー向けの説明を「yjk365AIPアクセス権限を制御する為のラベルです。」とします。
「次へ」をクリックします。

4.「ファイルとメール」にチェックが入っていることを確認して「次へ」をクリックします。

5.「ファイルとメールを暗号化」にチェックを入れて「次へ」をクリックします。

6.「暗号化設定を構成」にチェックを入れます。
「アクセス許可を今すぐ割り当てますか、それともユーザーが決定するようにしますか?」を展開して「ラベルを適用するときにユーザーがアクセス許可を割り当てられるようにする」を選択します。
「Outlookでは、次のいずれかの制限を強制します」にチェックを入れ、「転送不可」にもチェックを入れます。
「Word、PowerPoint、Excelでアクセス許可の推定をユーザーに要求する」にチェックを入れます。
「次へ」をクリックします。

7.「次へ」をクリックします。

8.「次へ」をクリックします。

9.「次へ」をクリックします。

10.「ラベルを作成」をクリックします。

11.ラベルが作成されました。「完了」をクリックします。

手順4 ラベル発行

先ほど作成したラベルをユーザーに適用させるためのポリシー作成をここで行います。

1.「yjk365AIPアクセス制御ラベル」を開きます。

2.「ラベルの発行」をクリックします。

3.「次へ」クリックします。

4.「選択ユーザーまたはグループ」をクリックします。

5.ユーザーまたはグループを選択して「完了」をクリックします。

6.「次へ」をクリックします。

7.「ユーザーは、ラベルを削除したり、ラベルの分類を下位のものにしたりする場合に、理由を示す必要がある」と「メールとドキュメントへのラベルの適用をユーザーに要求する」にチェックを入れます。
「次へ」をクリックします。


8.「ドキュメントにこの既定のラベルを適用する」を展開して「yjk365AIPアクセス制御ラベル」を選択します。
「次へ」をクリックします。

9.「次へ」をクリックします。

10.「次へ」をクリックします。

11.名前を入力して「次へ」をクリックします。

12.「送信」をクリックします。

13.ラベル発行のポリシーが作成されました。「完了」をクリックします。

手順5 ファイルの確認

先ほど発行したラベルをどのように適用させるか見ていきます。

1.該当ファイルを右クリックして「分類して保護する」をクリックします。

2.権限設定が開きます。

3.「yjk365AIPアクセス制御」を選択します。

4.「アクセス許可の選択」をクリックし「共同作成者」を選択します。

5.「ユーザー、グループ、または組織の選択」をクリックし、権限を割り当てるユーザーを入力します。「アクセスの有効期限」をクリックし有効期限を選択し適用をクリックします。

6.アクセス権限がないユーザーが開くと下記のアラートがでます。

7.権限のあるユーザーは開くことができます。また下記の様に該当ファイルへのアクセス許可を表示させることも可能です。

手順6 様々な設定

1.様々な設定が可能です。ラベルを自動的に割り当てることも、変更することも可能です。

2.OfficeファイルであればAIPクライアントでなくてもラベルや権限を変更することが可能です。

3.退職者や外部への漏洩を制限したい場合にはオンラインでしかファイルを開けない様にすることも可能です。*退職するとユーザーアカウントは無効になる、また外部への漏洩も許可されていないユーザーなのでサインインできません。

手順7 アクティビティエクスプローラーで履歴の管理

1.アクティビティエクスプローラーを利用すれば履歴を管理することが可能です。
該当ファイルのラベルを「いつ、誰が変更したか」、機密資料を「誰から誰にメールをしているか」等が分かります。

2.ラベルを変えたログは下記の様に表示されます。

3.機密資料をメールの送信者、受信者が分かります。