Azure Information Protection 新ポータルへの移行

皆さんこんにちは、Miyaです。

2017年11月30日にAzureクラシックポータルが閉鎖されました。
Title:Marching into the future of the Azure AD admin experience: retiring the Azure AD classic portal

クラシックポータルに慣れ親しんでいた方々は、今後少し使いにくいAzure新ポータルを利用する必要があります。手順書作り直しだ…(ボソッ

私自身はAzure新ポータルにはあまり抵抗ないのですが、Azure RMS(Azure rights management)の保護サービスの利用にはかなり苦戦しました。
Title:Azure クラシック ポータルで行っていたタスク

なぜ苦戦したのかというと、Azure新ポータルではAzure Information Protectionとしてすべての機能が統合されたメニュー構成になっているためです。

Azure Information Protection(以下AIP)では、主なサービス機能として保護のほかにファイルの分類・ラベリングがあります。

しかし、Office365向けライセンスの”Rights Management Service”にはファイルの分類は利用できない(=追加ライセンスが必要)ため、保護機能のみを使いたいときに新ポータルで保護テンプレートを作成するのは非常にややこしいんです。
Title:Azure Information Protection プランの比較

本記事では、Azure新ポータルでのテンプレート作成方法をご紹介します。
筆者が公開情報をもとに纏めたものですので、よろしければご参考ください。

スポンサーリンク:

Azure新ポータルでのテンプレート作成方法

まずは、Azure新ポータル(https://portal.azure.com)に全体管理者としてログインしましょう。

既定ではAIPメニューが表示されていないので、[その他のサービス]から検索して、マークしておきましょう。

Azure RMS

[Protection activation]メニューからAIPサービスのアクティブ化をしておきましょう。

Azure RMS

[グローバルポリシー]をクリックします。

私のポータル画面を見ていただくと分かるのですが既定のラベルと、”Protection Templates”配下に社外秘テンプレートが表示されています。
この社外秘テンプレートは、私がクラシックポータルで作成したテンプレートで、新ポータルでも編集できるようこのようにメニューとして現れます。

Azure RMS

さて、[Protection Templates]に新規テンプレートを作成したいのですが、新規作成メニューは[+新しいラベルの追加]しか用意されていません。
そうなんです、このメニューからはテンプレートのみを作成することが出来ないんです。

結論から申しますと、テンプレートを作成するには、PowerShellからコマンドを使うか、ラベルを新規作成→削除を実施する必要があります。

PowerShellで作成するのはかなり面倒かつ敷居が高くなるので、ラベルの新規作成→削除の方法でテンプレートを作成していきます。[+新しいラベルの追加]をクリックします。

[ラベル名]、[説明]を入力し、[保護]メニューのAzure RMSクリックすると、保護ブレードメニューが表示されるので、[+アクセス許可の追加]からユーザーにアクセス権限を付与しましょう。ちなみに、ラベルブレードメニューのその他設定は、ラベルの設定値になるため、テンプレートを作成する場合は特に気にする必要はありません。

Azure RMS

自組織全体もしくは、ユーザー・グループにアクセス権限を付与したい場合は、[一覧から選択]で追加・アクセス権限を付与しましょう。

Azure RMS

外部ドメインや外部テナントのメールアドレス・グループアドレスを追加するには[詳細を入力]から追加・アクセス権限を付与しましょう。

従来のクラシックポータルでは外部ドメインを追加する場合、PowerShellから設定する必要があったのですが、新ポータルではGUIから行えるのがいいですね。
補足情報ですが、外部に対してアクセス権限を付与する場合、個人用RMSもしくはAzure ADに登録されている組織に限ります。

Azure RMS

[コンテンツの制限]、[オフラインアクセスの許可]についてはクラシックポータルと同様です。

Azure RMS

ラベルの作成が完了したら、[保存]しましょう。

Azure RMS

ポリシー一覧画面に戻ると、ラベルが生成されているので、右クリックから削除します。

Azure RMS

すると、ラベルは削除されるのですが、保護テンプレート部分のみがProtection Temaplatesとして残留します。

Azure RMS

テンプレートが無効になっているのです、オンにしておきましょう。
また、テンプレートの公開範囲を限定する場合は、[スコープ]からユーザー・グループを選択します。

Azure RMS

クライアントにテンプレートを公開する場合は[公開]からテンプレートを発行しましょう。

Azure RMS

ちなみに、テンプレートをラベルに変更する場合は、該当のテンプレートを右クリックし、[ラベルに変換]から可能です。

テンプレートの削除

テンプレートを削除する場合、PowerShellからコマンドで削除する必要があります。

下記サイトから管理モジュールをインストールします。
Title:Azure Rights Management Administration Tool

テンプレートを削除する際は、そのテンプレートIDが必要なため、Get-AadrmTemplateコマンド、またはGUIからテンプレートIDを控えておきましょう。

Azure RMS

下記コマンドを実行して、PowerShellからAzure Rights Managementに接続、テンプレートを削除します。

テンプレートへの言語追加

次に紹介するのはテンプレートへの言語追加です。クラシックポータルではGUIで簡単に構成できたのですが、新ポータルではXMLに記述する必要があります。
ちなみに、ラベルを新規作成する際はの[名前]、[説明]は既定の言語として作成されるため、グローバルな企業では英語で作成し、必要に応じてロケールごとの言語を追加しましょう。

[言語]メニューを開き、追加したい言語を選択、エクスポートします。

Azure RMS

ファイルを解凍し、テキストエディタでXMLファイルを開きます。
以下のタグ内に名前・説明を入力し、上書き保存しましょう。

<LocItem id=”providers/Microsoft.InformationProtection/templates/テンプレートID/Name” defaultText=”既定の名前”>
<LocalizedText>”追加したい名前”</LocalizedText>
</LocItem>

<LocItem id=”providers/Microsoft.InformationProtection/templates/テンプレートID/Description” defaultText=”既定の説明”>
<LocalizedText>”追加したい説明”</LocalizedText>
</LocItem>

Azure RMS

修正したXMLファイルを圧縮し、インポートします。

Azure RMS

これで、日本語ロケールに設定されたクライアント端末からは、インポートした言語設定に基づき名前と説明が表示されます。

と、Azure新ポータルでのテンプレート作成方法を書いてきました。紹介しておいてなんですが、この手順、MSの公開ドキュメントに掲載されている手順とは異なります。
Title:Azure Information Protection のテンプレートを構成して管理する – 新しいテンプレートを作成するには

Azure新ポータルでは、Azure RMSの保護機能を使ってテンプレートを構成したい場合にも、ポリシーを作成しましょうなんです。

しかし、Azure Information Protectionのサブスクリプションを保持していないクライアント端末にポリシーを配布した場合、Officeクライアントの上部にラベル付けのバーが表示されるので、利用者は混乱します。

そこで、クライアント端末のレジストリを編集して、分類・ラベル付けが実行されないよう抑制しまでょう、がMSの案内手順です。
Title:管理者ガイド: Azure Information Protection クライアントのカスタム構成 – 組織が種類の異なるライセンスを保有している場合の保護のみモードの適用

んー、クライアント端末にレジストリを撒くのはできる限り避けたいのですね。私の知る限り、ポリシーの作成→削除の手順でテンプレートを構成するユーザーさんが多いです。
ライセンスが混在している環境であれば、レジストリを撒くのも一手ですが、管理が煩雑になりそうなのでなるべく避けたい状況ですね。

それでは、良いOffice365ライフをっ

スポンサーリンク