Azure Information Protection - econ.osaka-u.ac.jp¼ˆ参考資料)AIP... · RMS Rights Management...

29
Azure Information Protection 詳細マニュアル 第1版

Transcript of Azure Information Protection - econ.osaka-u.ac.jp¼ˆ参考資料)AIP... · RMS Rights Management...

Page 1: Azure Information Protection - econ.osaka-u.ac.jp¼ˆ参考資料)AIP... · RMS Rights Management Services の略。マイクロソフトが、企業の機密 マイクロソフトが、企業の機密

Azure Information

Protection

詳細マニュアル

第1版

Page 2: Azure Information Protection - econ.osaka-u.ac.jp¼ˆ参考資料)AIP... · RMS Rights Management Services の略。マイクロソフトが、企業の機密 マイクロソフトが、企業の機密

目次

1 はじめに ........................................................................................................................... 1

1.1 導入の目的 ................................................................................................................ 1

1.2 AIP の概要 ................................................................................................................ 2

1.3 用語定義 .................................................................................................................... 3

2 事前準備 ........................................................................................................................... 4

2.1 AIP を端末にインストールする ............................................................................... 4

2.2 AIP の初回起動 ......................................................................................................... 9

3 ファイルの保護 .............................................................................................................. 10

3.1 保護の概要 .............................................................................................................. 10

3.1.1 保護可能なファイルの種類と保護方法 ........................................................... 10

3.1.2 保護されたファイルの拡張子 .......................................................................... 10

3.2 ファイルの保護方法 ................................................................................................ 13

3.2.1 ラベルを用いて保護するとは .......................................................................... 13

3.2.2 個別にアクセス権を指定して保護する ........................................................... 16

3.2.3 保護の制限・順番 ............................................................................................ 17

3.2.4 フォルダ単位の保護 ........................................................................................ 18

3.3 保護されたファイルを表示する ............................................................................. 19

3.4 AIP のサインアウト ............................................................................................... 20

4 メールの保護 .................................................................................................................. 22

5 保護したファイルの監視と利用停止 ............................................................................. 23

5.1 ドキュメント追跡サイトに登録する ...................................................................... 23

5.2 保護しているファイルを利用停止にする ............................................................... 26

Page 3: Azure Information Protection - econ.osaka-u.ac.jp¼ˆ参考資料)AIP... · RMS Rights Management Services の略。マイクロソフトが、企業の機密 マイクロソフトが、企業の機密

1

1 はじめに

1.1 導入の目的

大学にとって個人情報を含む要機密情報の漏えいは、社会の信用を失うことにつながる

大きな脅威です。

しかし、実際には以下のような様々な場面で、情報漏えいの危険性があります。

メールの誤送信や添付間違い

パソコンや USB メモリの紛失

印刷・転用といった作成者の意図しない再利用

古い情報の削除忘れ

これらの対策として、守るべき情報資産については、

「誰にアクセスを許可するのか」、

「表示・編集・内容のコピー ・印刷などはどこまで許すのか」、

「その情報にいつまでアクセスできるのか」

といった制限を行い、情報を保護することが重要です。

大阪大学では、データの情報漏えい対策と安全な共有を実現するため、ファイルやメール

本文を暗号化して保護し、意図した範囲で安全に流通させる技術として、Microsoft が提供

する Azure Information Protection(以下「AIP」という。)を導入しました。本書ではその

利用方法について説明します。

Page 4: Azure Information Protection - econ.osaka-u.ac.jp¼ˆ参考資料)AIP... · RMS Rights Management Services の略。マイクロソフトが、企業の機密 マイクロソフトが、企業の機密

2

1.2 AIP の概要

Microsoft が提供する AIP は、組織で取り扱う情報を暗号化(保護)し、情報の作成者が

意図した範囲の中で安全に流通・共有させることができるサービスです。情報に対しアクセ

スできるユーザーを制限、情報の利用(表示、編集、印刷、内容のコピー等)を制限、更に

はアクセス有効期限を設定することにより、ドキュメントや画像等の情報の情報漏えいや

不正利用を防止します。

保護された情報にアクセスし利用するためにはユーザー認証が必要になるため、権限で

指定されたユーザー以外は利用できません。また、情報に設定された利用制限により印刷や

転送機能を禁止することも可能なため、印刷物やメール転送による第三者への情報流出を

防ぐことができます。

Kel ly Bus h

情報の作成者ユーザーA

①情報へのアクセス・利用を許可するユーザーを指定しRMS保護を実施

②メール等の手段で情報を共有

Kel ly Bus h

③情報へのアクセス・利用権限のあるユーザーは、情報の展開が可能

権限がないユーザーでは情報の展開は不可能

Kel ly Bus h

ユーザーB

第三者

Page 5: Azure Information Protection - econ.osaka-u.ac.jp¼ˆ参考資料)AIP... · RMS Rights Management Services の略。マイクロソフトが、企業の機密 マイクロソフトが、企業の機密

3

1.3 用語定義

本書で使用する主な用語について記載します。

用語 説明

Office 365 マイクロソフトが提供するクラウドグループウェアサービス

Exchange Online Office 365 に含まれるメールサービス名称

Azure

Information

Protection

マイクロソフトが提供する文書や電子メールを、分類・ラベル付けお

よび保護(暗号化)するためのクラウドベースのサービス名称。

Outlook on the Web

Exchange Online に Web ブラウザでアクセスした際のページ名称。

本書では便宜上「Web 版」と記載する

Outlook マイクロソフトが提供する電子メールおよび予定管理ソフト。

本書では便宜上「Outlook アプリ」と記載する

RMS Rights Management Services の略。マイクロソフトが、企業の機密

情報が Web サイトや競合他社に漏れるのを防ぐ目的で開発したセキ

ュリティ技術。

文書ファイルなどを暗号化し、閲覧や編集などを管理・制限したり、

操作履歴を記録したりすること。また、そのためのソフトウェアや、

ソフトウェアの機能を指す

Page 6: Azure Information Protection - econ.osaka-u.ac.jp¼ˆ参考資料)AIP... · RMS Rights Management Services の略。マイクロソフトが、企業の機密 マイクロソフトが、企業の機密

4

2 事前準備

2.1 AIP を端末にインストールする

AIP をインストールすると、以下の操作が行えます。

ファイルのアクセス権・操作権限を持つユーザーやグループを指定しファイルを保護

ファイルへのアクセス期限を設定してファイルを保護

保護されたファイルの閲覧

ファイルの保護設定を解除(権限がある場合)

【操作別 AIP 対応表】

利用 PC ファイル保護 保護された Office

ファイルを開く

保護された Office

ファイル以外の参照

保護された Office

ファイル以外の編集

Windows PC インストール要 必要なし

(Office で開ける)

インストール要

Mac 未対応 インストール要 未対応

保護された Office ファイルを閲覧するためには Azure Information Protection ライセン

スが必要となります。大阪大学の Office365 の教職員ユーザーには当該ライセンスが付与さ

れています。

また、Office ファイル以外の保護されたファイルを閲覧するためには、AIP をインストー

ルしている必要があります。事務情報ネットワーク端末は、既にインストールされているた

め、インストール作業は不要です。事務情報ネットワーク端末以外の利用者は、保護された

Office 以外のファイルを閲覧するためには、AIP をインストールする必要がありますので

ご注意ください。

Page 7: Azure Information Protection - econ.osaka-u.ac.jp¼ˆ参考資料)AIP... · RMS Rights Management Services の略。マイクロソフトが、企業の機密 マイクロソフトが、企業の機密

5

「Azure Information Protection」をコンピュータにインストールする手順を記載します。

【Windows PC の場合】

※ 事務情報ネットワークPCは、インストール済のため作業不要です。

① 「https://www.microsoft.com/en-us/download/details.aspx?id=53018」にアクセス

し、「Download」をクリックします。

② 「AzInfoProtection.exe」にチェックを入れ、「Next」をクリックします。

Page 8: Azure Information Protection - econ.osaka-u.ac.jp¼ˆ参考資料)AIP... · RMS Rights Management Services の略。マイクロソフトが、企業の機密 マイクロソフトが、企業の機密

6

③ 任意のフォルダにファイルを保存します。

④ ダウンロードしたファイルをダブルクリックします。

⑤ 「ユーザー名」と「パスワード」を入力し、「はい」をクリックします。

Page 9: Azure Information Protection - econ.osaka-u.ac.jp¼ˆ参考資料)AIP... · RMS Rights Management Services の略。マイクロソフトが、企業の機密 マイクロソフトが、企業の機密

7

⑥ 「Microsoft に利用状況の統計を送信して、Azure Information Protection の改善にご

協力ください」のチェックを外し、「同意する」を選択します。

⑦ 「閉じる」をクリックします。

Page 10: Azure Information Protection - econ.osaka-u.ac.jp¼ˆ参考資料)AIP... · RMS Rights Management Services の略。マイクロソフトが、企業の機密 マイクロソフトが、企業の機密

8

【Mac OS の場合】

App Store から入手します。Mac の場合、RMS Sharing という名称のソフトになります。

【Android の場合】

Google Play から入手します。Azure Information Protection という名称のソフトです。

Page 11: Azure Information Protection - econ.osaka-u.ac.jp¼ˆ参考資料)AIP... · RMS Rights Management Services の略。マイクロソフトが、企業の機密 マイクロソフトが、企業の機密

9

2.2 AIP の初回起動

AIP インストール後、Office(Word、Excel、PowerPoint 等)を起動すると Microsoft の

サインインページが表示されます。ICHO(Office365)の ID(大阪大学個人 [email protected]

u.ac.jp)とパスワードを入力し、サインインしてください。

※多要素認証の認証については、以下のページをご覧ください。

https://my.osaka-u.ac.jp/admin/information/newicho/mfa

サインインが正常に完了すると、リボンの下に赤枠で囲んだバーが表示されていることが

確認できます。

Page 12: Azure Information Protection - econ.osaka-u.ac.jp¼ˆ参考資料)AIP... · RMS Rights Management Services の略。マイクロソフトが、企業の機密 マイクロソフトが、企業の機密

10

3 ファイルの保護

3.1 保護の概要

3.1.1 保護可能なファイルの種類と保護方法

ファイルの保護設定は以下の3種類があります。

AIP で保護設定を行う方法

Office ファイル(Word、Excel、PowerPoint 等)で保護する方法

事務情報ネットワークのネットワークフォルダを使用する方法(※)

※「事務情報ネットワーク」を使用しているユーザーのみ利用可能

ファイルの保護は、テキストファイル、画像ファイル、PDF ファイル、Office ファイル

等、いずれのファイル形式でも保護可能です。

保護方法は「3.3 ファイルの保護方法」、「3.4 Office ソフトウェアアプリケーションによ

るファイル保護(Office ファイルのみ)」に記載します。

3.1.2 保護されたファイルの拡張子

ファイルを保護すると、保護の前後で拡張子が以下のとおり変わります。

【拡張子の対応表】

保護する前の拡張子 保護した後の拡張子

Office(Word、Excel、PowerPoint 等) 変化なし

.txt .ptxt

.xml .pxml

.jpg .pjpg

.jpeg .pjpeg

.pdf .ppdf

.png .ppng

.tiff .ptiff

.bmp .pbmp

.gif .pgif

.jpe .pjpe

.jfif .pjfif

.jif .pjif

上記以外の拡張子 保護する前の拡張子の後ろに「.pfile」が追加されます。

(例)〇〇〇.zip → 〇〇〇.zip.pfile

Page 13: Azure Information Protection - econ.osaka-u.ac.jp¼ˆ参考資料)AIP... · RMS Rights Management Services の略。マイクロソフトが、企業の機密 マイクロソフトが、企業の機密

11

ファイル保護を行うと、1 ファイルあたり約 80KB ファイル容量が増えます。そのため、

フォルダ単位等で保護を行うと、容量が大幅に増加する場合がありますのでご注意下さい。

【ファイルが保護されているか確認する方法】

Office ファイルの場合、保護後の拡張子やアイコンが変わりません。

Office ファイルを開くと、以下のようにアクセス制限が施されている旨が表示されます。

Office ファイル以外の場合は拡張子が変わり、アイコンに鍵マークが付きます。

Page 14: Azure Information Protection - econ.osaka-u.ac.jp¼ˆ参考資料)AIP... · RMS Rights Management Services の略。マイクロソフトが、企業の機密 マイクロソフトが、企業の機密

12

AIP をインストールしていない端末から保護されたファイルを確認した場合、以下のよ

うな表示形式となります。Office ファイル以外のファイルは展開を試みようとしても適し

たプログラムがないため開くことができません。

Page 15: Azure Information Protection - econ.osaka-u.ac.jp¼ˆ参考資料)AIP... · RMS Rights Management Services の略。マイクロソフトが、企業の機密 マイクロソフトが、企業の機密

13

3.2 ファイルの保護方法

AIP を利用して保護する方法は、以下の2つです。

ラベルを用いて保護する

個別にアクセス権を指定して保護する

3.2.1 ラベルを用いて保護するとは

AIP をインストールした端末で Office を開くと、リボンの下に「学外秘」、「学外秘(印

刷・コピー不可)」と記載されたラベルが並んだバーが表示されます。

ラベルを選択すると、開いているファイルにラベルが適用され、ファイルが保護されます。

ファイルの保護を解除するときは、ラベルを削除するだけです。

鉛筆のアイコンを選択します。

ゴミ箱のアイコンを選択すると、ラベルが削除され、ファイルの保護が解除します。

Page 16: Azure Information Protection - econ.osaka-u.ac.jp¼ˆ参考資料)AIP... · RMS Rights Management Services の略。マイクロソフトが、企業の機密 マイクロソフトが、企業の機密

14

また、ファイルを右クリックしてラベルを適用する方法もあります。ファイルを右クリッ

クし、【分類して保護する】を選択します。

下図のような AIP のウィンドウが表示され、赤枠で囲んだラベルを選択して【適用】を選

択すると、ファイルを保護することができます。

ファイルの保護を解除するときは、【ラベルの削除】を選択することで解除することができ

ます。

Page 17: Azure Information Protection - econ.osaka-u.ac.jp¼ˆ参考資料)AIP... · RMS Rights Management Services の略。マイクロソフトが、企業の機密 マイクロソフトが、企業の機密

15

現在利用できるラベルの種類とその保護内容は次のとおりです。

【ラベルの種類】

ラベル名 保護内容

学外秘(機密性2)

和文の機密性2情報を保護する時に利用します。適用すると

以下のようになります。

① ICHO(Office365)に登録されているユーザーのみ

ファイルを開くことができます。

② Office ファイルは、ヘッダーに「機密性2」という

文章が付きます。

Confidentiality 2

英文の機密性2情報を保護する時に利用します。適用すると

以下のようになります。

① ICHO(Office365)に登録されているユーザーのみ

ファイルを開くことができます。

② Office ファイルは、ヘッダーに「Confidentiality 2」

という文章が付きます。

※ 注意事項

一度端末で AIP の認証が成功すると、その端末では認証が要求されなくなり、オフラ

インでもファイルを開くことができるようになります。

Page 18: Azure Information Protection - econ.osaka-u.ac.jp¼ˆ参考資料)AIP... · RMS Rights Management Services の略。マイクロソフトが、企業の機密 マイクロソフトが、企業の機密

16

3.2.2 個別にアクセス権を指定して保護する

ラベルを使わずにファイルの保護設定を行うことも可能です。AIP のウィンドウで【カス

タムのアクセス許可で保護する】にチェックを付けると、個人指定でアクセス許可の設定を

行うことができます。

【各項目の説明】

項目 説明

アクセス許可の選択 任意のアクセス権を選択し設定できます。

設定内容の詳細は「次頁の表.【アクセス許可の種類】」を参照

して下さい。

ユーザー、グループ、または

組織の選択

保護されたファイルへアクセスできるユーザーのメールアド

レスを入力します。複数名いる場合は、セミコロン(;)で区切

ってメールアドレスを入力して下さい。

また、枠内右上の のアイコンを選択すると宛先選択画面か

らメールアドレスを選択することができます。

ただし、選択画面は Outlook のアドレス帳を使います。

アクセスを有効期限切れに

する

保護されたファイルへアクセスできる日付を指定できます。

有効期限が過ぎた場合、他のユーザーはファイルを開くことが

できなくなります。

※ 注意事項

「ユーザー、グループ、または組織の選択」の際、登録するメールアドレスは、ICHO

Page 19: Azure Information Protection - econ.osaka-u.ac.jp¼ˆ参考資料)AIP... · RMS Rights Management Services の略。マイクロソフトが、企業の機密 マイクロソフトが、企業の機密

17

のアカウント(大阪大学個人 [email protected])である必要があります。 の

アイコンからユーザー選択すると、教員等の場合、登録しているメールアドレスが部局

で発行されたメールアドレス(Office365 以外のアカウント)であるため、ファイルを

開くことができません。

【アクセス許可の種類】

名称 アクセス権 説明

閲覧者 表示のみ ファイルの表示ができます。

編集、印刷、コピーはできません。

レビュー担当者 表示、編集 ファイルの表示、編集ができます。

印刷、コピーはできません。

共同作成者 表示、編集、コピー、

印刷

ファイルの表示、編集、コピー、印刷ができます。

ファイルの保護を解除することはできません。

共同所有者 すべて許可 ファイルの表示、編集、コピー、印刷、ファイルの保

護の解除ができます。

自分のみ すべて許可 本人以外ファイルの利用を行うことができません。

※ 注意事項

アクセス許可の種類で「共同所有者」以外のアクセス許可を選択して保護した場合、保

護解除ができるのは保護設定を行った者のみとなります。そのため、保護設定を行った

者が退職等した場合、そのファイルの保護を解除できる者がいなくなってしまいます

ので、ご注意ください。

3.1.2 保護されたファイルの拡張子の表【拡張子の対応表】に記載されているファイル

拡張子のみアクセス許可の種類が選択できます。それ以外のファイルは全て「共同所有

者」の設定となります。

3.2.3 保護の制限・順番

既に保護されたファイルについて

既に保護されているファイルには、さらに別の保護設定を上書きすることはできません。

Page 20: Azure Information Protection - econ.osaka-u.ac.jp¼ˆ参考資料)AIP... · RMS Rights Management Services の略。マイクロソフトが、企業の機密 マイクロソフトが、企業の機密

18

3.2.4 フォルダ単位の保護

フォルダ単位で保護設定を行うことも可能です。指定したフォルダ内のファイル全てに

対して保護設定が行われます。

※ 注意事項

フォルダ単位でファイルを保護した後、該当フォルダにファイルを新たに保存した場

合、後から保存したファイルは保護されません。後から保存したファイルを保護する場

合は、該当フォルダに再度保護設定を行うか、ファイル個別に保護設定を行って下さい。

フォルダ内のファイルを一括保護する場合、ファイルの数や容量が大量(容量:1GB 以

上、ファイル数:1,000 以上)にあると、正常に終了しないことがあります。

ファイル全てに保護設定が

実行される。

フォルダ単位で保護後、新

しく保存したファイルは保

護されません。再度保護設

定をしてください。

Page 21: Azure Information Protection - econ.osaka-u.ac.jp¼ˆ参考資料)AIP... · RMS Rights Management Services の略。マイクロソフトが、企業の機密 マイクロソフトが、企業の機密

19

3.3 保護されたファイルを表示する

保護されたファイルは開くだけで表示できます。ファイルを開く際、ID とパスワードを

要求される場合があります。その際は、 ICHO(Office365)の ID(大阪大学個人

[email protected])とパスワードを入力してください。

※多要素認証の認証については、以下のページをご覧ください。

https://my.osaka-u.ac.jp/admin/information/newicho/mfa

※ 注意事項

Office ファイルはそのまま開いて編集することができます。

Office ファイル以外は AIP で閲覧することはできますが、編集することができないた

め、一旦 AIP の保護を解除してから編集する必要があります。

Page 22: Azure Information Protection - econ.osaka-u.ac.jp¼ˆ参考資料)AIP... · RMS Rights Management Services の略。マイクロソフトが、企業の機密 マイクロソフトが、企業の機密

20

3.4 AIP のサインアウト

通常、AIP はサインアウトする必要はありませんが、誤ったアカウントでサインインして

しまった等の理由により、一度サインアウトするには、以下の操作が必要です。

【Windows の場合】

【Android の場合】

Wordまたは Excelのリボンの「ホーム」タブの

中に左図の青色カギのアイコンを選択し、

【ヘルプとフィードバック】を選択します。

【設定のリセット】を選択すると、サインアウ

トすることができます。

Azure Information Protectionの設定画面の【サ

インアウト】を選択するとサインアウトできます。

Page 23: Azure Information Protection - econ.osaka-u.ac.jp¼ˆ参考資料)AIP... · RMS Rights Management Services の略。マイクロソフトが、企業の機密 マイクロソフトが、企業の機密

21

Page 24: Azure Information Protection - econ.osaka-u.ac.jp¼ˆ参考資料)AIP... · RMS Rights Management Services の略。マイクロソフトが、企業の機密 マイクロソフトが、企業の機密

22

4 メールの保護

Outlook でのメール本文の保護を行うことができます。保護したメールは

ICHO(Office365)のアドレス(※)でしか開くことができないため、保護したメールの送受信

は、ICHO のメール利用者のみとしてください。

また、メールの保護を利用する場合、Office ファイル以外の添付ファイルは同時に保護さ

れませんので、添付する前に保護設定を行ってください。

※ICHO(Office365)のアドレスとは、以下のアドレスを指します。

@office.osaka-u.ac.jp

@mail.osaka-u.ac.jp

@hq.osaka-u.ac.jp

(例)Outlook でメール本文を保護する場合

【新しい電子メール】を選択します。

表示されたラベルを選択することで

選択したラベルの保護がメールに適用されます。

Page 25: Azure Information Protection - econ.osaka-u.ac.jp¼ˆ参考資料)AIP... · RMS Rights Management Services の略。マイクロソフトが、企業の機密 マイクロソフトが、企業の機密

23

5 保護したファイルの監視と利用停止

AIP で保護したファイルは、使用状況を「ドキュメント追跡サイト」から監視することが

できます。また、必要に応じてファイルの利用そのものを停止することができます。ただし、

本機能を利用するには、ライセンスが必要であり、ライセンスが割り当てられているのは事

務情報ネットワークの利用者のみとなります。(H30 年 9 月現在)

5.1 ドキュメント追跡サイトに登録する

① ドキュメント追跡サイトに登録する対象ファイルを右クリックし、「分類して保護する」

を選択します。AIP のウィンドウが表示されたら、「追跡と取り消し」タグを選択しま

す。

② 下図のような画面が表示された場合は、【サインイン】を選択し、

ICHO(Office365)の ID(大阪大学個人 [email protected])とパスワードを入

力してください。

Page 26: Azure Information Protection - econ.osaka-u.ac.jp¼ˆ参考資料)AIP... · RMS Rights Management Services の略。マイクロソフトが、企業の機密 マイクロソフトが、企業の機密

24

③ ドキュメント追跡サイトに対象ファイルが登録され、だれが対象ファイルにアクセス

したか確認したり、【アクセスの取り消し】ボタンにてファイルを自分以外開けないよ

うにすることができます。

【ドキュメント追跡サイトへ直接アクセスする場合】

下記 URL からアクセスできます。追跡サイトを開く際、ID とパスワードを要求される場

合があります。その際は、ICHO(Office365)の ID(大阪大学個人 [email protected]

とパスワードを入力してください。

追跡サイト URL:https://track.azurerms.com/

アクセスすると、ドキュメント追跡サイトに登録したファイルが一覧で表示されます。

Page 27: Azure Information Protection - econ.osaka-u.ac.jp¼ˆ参考資料)AIP... · RMS Rights Management Services の略。マイクロソフトが、企業の機密 マイクロソフトが、企業の機密

25

Page 28: Azure Information Protection - econ.osaka-u.ac.jp¼ˆ参考資料)AIP... · RMS Rights Management Services の略。マイクロソフトが、企業の機密 マイクロソフトが、企業の機密

26

5.2 保護しているファイルを利用停止にする

① ドキュメント追跡サイトにアクセスします。

② 対象ファイルを選択し、画面右下の「アクセスの取り消し」を選択します。

Page 29: Azure Information Protection - econ.osaka-u.ac.jp¼ˆ参考資料)AIP... · RMS Rights Management Services の略。マイクロソフトが、企業の機密 マイクロソフトが、企業の機密

27

③ 確認の画面が表示されたら、「確認」を選択します。

④ 下図のメッセージが表示されたら、作業は完了です。当該ファイルへのアクセスはファ

イルを保護した本人以外アクセスできないようになります。

なお、ファイルを取り消した場合、コピーしたファイル(コピー元のファイルがコピー

する前に AIP で保護されている必要があります)も含めてアクセスすることができな

いようになります。