Information Rights Management (IRM) は、承認されていないユーザーによる機密情報の不適切な使用を防ぐのに役立ちます。 カスタムアクセス許可機能を使用すると、ファイルを表示、編集、または完全に制御できるユーザーを選択できます。 organizationで秘密度ラベルが有効になっている場合は、特定の秘密度ラベルを適用するときにカスタムアクセス許可の定義が必要になる場合があります。
注:
-
IRM のアクセス許可は、SharePoint のアクセス許可とは異なります。 SharePoint に格納されているファイルにカスタム アクセス許可を適用する場合は、IRM アクセス許可を割り当てるユーザーも、ファイルにアクセスするための SharePoint アクセス許可を持っていることを確認します。 SharePoint のアクセス許可の詳細については、「SharePoint ファイルまたはフォルダー」を参照してください。
カスタムアクセス許可を使用してコンテンツを表示する
カスタムアクセス許可を持つコンテンツを表示するには、関連する M365 アプリでドキュメントを開くだけです。
アクセス許可が制限されたドキュメントを初めて開く場合は、ライセンス サーバーに接続して資格情報を確認し、使用ライセンスを取得する必要があります。 使用ライセンスには、ファイルに対して適用されるアクセス レベルが定義されています。 このプロセスは、権限の制限されたファイルごとに必要となります。 ファイルを表示する権限がない場合は、ファイルを開こうとしたときにアクセス拒否エラーが発生します。
カスタム アクセス許可を適用する
現在、Windows、Mac、および Web 用の Microsoft 365 では、カスタム アクセス許可の適用がサポートされています。 モバイル プラットフォームでカスタムアクセス許可を持つコンテンツを表示することはできますが、アクセス許可を表示または変更することはできません。
ファイル内のコンテンツへのアクセス許可を制限する
カスタムアクセス許可を必要とする秘密度ラベルが適用されると、カスタムアクセス許可ダイアログが開きます。
秘密度ラベルなしでカスタムアクセス許可を適用するには、[ ファイル > 情報 ] > [ ドキュメントの保護 ] > [アクセスの制限 ] > [制限付きアクセス] を選択します。
注: organizationで秘密度ラベルが有効になっている場合は、秘密度ラベルを選択してアクセス許可を制限する必要があります。
ユーザーごとに制限を適用するには、検索する名前または電子メール アドレスを入力し、ユーザーを選択します。
グループごとに制限を適用するには、「@」と入力し、その後にドメインを入力します。
![ユーザーがドメイン全体のアクセス許可を指定している [アクセス許可] ダイアログのスクリーンショット。](/images/ja-jp/62a05ce8-6db2-439c-9914-7eb016f412cc?format=avif&w=800)
ドメイン別にアクセス許可を付与するときの重要な考慮事項
アクセス許可を付与するドメインを指定した場合は、そのorganization内のすべてのアカウントにアクセス許可を付与します。
つまり、organizationのMicrosoft Entra IDに他のドメイン名がある場合、これらのアクセス許可はそれらのユーザーにも拡張されます。 たとえば、Tailwind Toys がMicrosoft Entra ID内の contosogames.com ドメインも所有している場合、contosogames.com のすべてのユーザーも、tailwindtoys.com ユーザーに付与されるアクセス許可を取得します。
これはサブドメインにも当てはまります。 sales.tailwindtoys.com にアクセス許可を付与すると、tailwindtoys.com 内の他のすべてのアカウントだけでなく、Microsoft Entra ID内のその他のドメインにもそれらのアクセス許可が付与されます。
ファイルで何を実行できるかを指定する
アクセス許可レベルは、ユーザーにファイル内で異なるアクセス許可を与える、事前に定義された使用権限のグループです。 M365 for Windows で使用できる 4 つのアクセス許可レベルは次のとおりです。
-
ビューアー: ユーザーは表示できますが、編集、印刷、コンテンツのコピー、保護の変更/削除はできません。
-
制限付きエディター: ユーザーは表示および編集できますが、コンテンツの印刷、コピー、保護の変更/削除はできません。
-
エディター: ユーザーはコンテンツを表示、編集、印刷、コピーできますが、保護を変更または削除することはできません。
-
所有者: ユーザーは、保護を変更または削除する機能を含め、ファイルを完全に制御できます。
その他のオプションの設定
必要に応じて、カスタム アクセス許可を適用するときに追加の設定を指定できます。
![[アクセス許可] ダイアログの [その他のオプション] セクションのスクリーンショット。](/images/ja-jp/3283c2cd-32da-4fd3-9d2f-6055f238d731?format=avif&w=800)
付与するアクセス許可の有効期限が切れる日付を指定できます。
-
[アクセス許可] ダイアログの [その他のオプション] セクションで、[このドキュメントの有効期限が切れます] チェック ボックスをオンにします。
-
日付ピッカーを使用して、有効期限を選択します。 選択した日付は将来である必要があることに注意してください。
ユーザーが完全なアクセス許可を持たないファイルを開くと、ファイル所有者に連絡して追加のアクセス許可を要求するオプションが提供されます。 既定では、ファイルのプライマリ所有者はこの要求の連絡先です。 追加のアクセス許可を要求する別の連絡先ポイントを定義することもできます。
注: ユーザーがファイルのアクセス許可を変更できるのは、所有者の場合のみです。
既定では、ユーザー定義のアクセス許可で保護されたファイル コンテンツにプログラムでアクセスすることはできません。 ファイル コンテンツへのプログラムによるアクセスを許可するには、[アクセス許可] ダイアログの [その他のオプション] セクションで [プログラムによるコンテンツへのアクセス] を選択します。
M365 for Windows または Mac でユーザーがアクセス許可が制限されたファイルを初めて開くと、そのファイルの使用ライセンスがライセンス サーバーによってユーザーに付与されます。 使用ライセンスは、ファイルのユーザーの使用権限と、ファイルの暗号化に使用される暗号化キーを含む証明書です。 付与されると、使用ライセンスは 30 日間、またはカスタム有効期限日のいずれか早い方まで有効です。 この期間中、ユーザーは同じデバイスを使用してファイルにアクセスするために再認証または再認証されません。 つまり、ファイルに対するユーザーのアクセス許可が変更または削除された場合でも、以前に付与された使用ライセンスの有効期限が切れるまで、ユーザーはファイルにアクセスできます。
ファイルを開くたびにユーザーのアクセス許可を確認するように要求するには、[アクセス許可] ダイアログの [その他のオプション] セクションで [接続を要求してユーザーのアクセス許可を確認する] を選択します。
ファイル内のコンテンツへのアクセス許可を制限する
カスタムアクセス許可を必要とする秘密度ラベルが適用されると、カスタムアクセス許可ダイアログが開きます。
秘密度ラベルなしでカスタム アクセス許可を適用するには、[ファイル] > [アクセス許可の制限] > [制限付きアクセス] を選択します。
注: organizationで秘密度ラベルが有効になっている場合は、秘密度ラベルを選択してアクセス許可を制限する必要があります。
ユーザーごとに制限を適用するには、検索する名前または電子メール アドレスを入力してユーザーを選択します。
グループごとに制限を適用するには、「@」と入力し、その後にドメインを入力します。
ドメイン別にアクセス許可を付与するときの重要な考慮事項
アクセス許可を付与するドメインを指定した場合は、そのorganization内のすべてのアカウントにアクセス許可を付与します。
つまり、organizationのMicrosoft Entra IDに他のドメイン名がある場合、これらのアクセス許可はそれらのユーザーにも拡張されます。 たとえば、Tailwind Toys がMicrosoft Entra ID内の contosogames.com ドメインも所有している場合、contosogames.com のすべてのユーザーも、tailwindtoys.com ユーザーに付与されるアクセス許可を取得します。
これはサブドメインにも当てはまります。 sales.tailwindtoys.com にアクセス許可を付与すると、tailwindtoys.com 内の他のすべてのアカウントだけでなく、Microsoft Entra ID内のその他のドメインにもそれらのアクセス許可が付与されます。
ファイルで何を実行できるかを指定する
アクセス許可レベルは、ユーザーにファイル内で異なるアクセス許可を与える、事前に定義された使用権限のグループです。 M365 for Mac で使用できる 3 つのアクセス許可レベルは次のとおりです。
-
読み取り: ユーザーは表示できますが、編集、印刷、コンテンツのコピー、保護の変更/削除はできません。
-
変更: ユーザーはコンテンツを表示、編集、コピーできますが、保護を印刷または変更/削除することはできません。
-
フル コントロール: ユーザーは、保護を変更または削除する機能を含め、ドキュメントを完全に制御できます。
その他のオプションの設定
必要に応じて、カスタム アクセス許可を適用するときに追加の設定を指定できます。
付与するアクセス許可の有効期限が切れる日付を指定できます。
-
[アクセス許可の設定] ダイアログの [その他のオプション] セクションで、[このドキュメントの有効期限が切れます] チェック ボックスをオンにします。
-
日付ピッカーを使用して、有効期限を選択します。 選択した日付は将来である必要があることに注意してください。
読み取りまたは変更のアクセス許可を持つユーザーに、コンテンツを印刷する権限を付与できます。
[アクセス許可の設定] ダイアログの [その他のオプション] セクションで、[変更または読み取りアクセス許可を持つユーザーを許可する] を選択してコンテンツを印刷します。
コンテンツをコピーする権限を読み取りアクセス許可を持つユーザーに付与できます。
[アクセス許可の設定] ダイアログの [その他のオプション] セクションで、[読み取りアクセス許可を持つユーザーにコンテンツのコピーを許可する] を選択します。
既定では、カスタム アクセス許可で保護されたファイル コンテンツにプログラムでアクセスできます。 ファイル コンテンツへのプログラムによるアクセスを禁止するには、[アクセス許可の設定] ダイアログの [その他のオプション] セクションで [プログラムによるコンテンツへのアクセス] の選択を解除します。
M365 for Windows または Mac でユーザーがアクセス許可が制限されたファイルを初めて開くと、そのファイルの使用ライセンスがライセンス サーバーによってユーザーに付与されます。 使用ライセンスは、ファイルのユーザーの使用権限と、ファイルの暗号化に使用される暗号化キーを含む証明書です。 付与されると、使用ライセンスは 30 日間、またはカスタム有効期限日のいずれか早い方まで有効です。 この期間中、ユーザーは同じデバイスを使用してファイルにアクセスするために再認証または再認証されません。 つまり、ファイルに対するユーザーのアクセス許可が変更または削除された場合でも、以前に付与された使用ライセンスの有効期限が切れるまで、ユーザーはファイルにアクセスできます。
ファイルを開くたびにユーザーのアクセス許可を確認する必要がある場合は、[アクセス許可の設定] ダイアログの [その他のオプション] セクションの [アクセス許可を確認するために接続を要求する] チェック ボックスをオンにします。
ファイル内のコンテンツへのアクセス許可を制限する
カスタムアクセス許可を必要とする秘密度ラベルが適用されると、カスタムアクセス許可ダイアログが開きます。
ユーザーごとに制限を適用するには、検索する名前または電子メール アドレスを入力し、ユーザーを選択します。
グループごとに制限を適用するには、「@」と入力し、その後にドメインを入力します。
ドメイン別にアクセス許可を付与するときの重要な考慮事項
アクセス許可を付与するドメインを指定した場合は、そのorganization内のすべてのアカウントにアクセス許可を付与します。
つまり、organizationのMicrosoft Entra IDに他のドメイン名がある場合、これらのアクセス許可はそれらのユーザーにも拡張されます。 たとえば、Tailwind Toys がMicrosoft Entra ID内の contosogames.com ドメインも所有している場合、contosogames.com のすべてのユーザーも、tailwindtoys.com ユーザーに付与されるアクセス許可を取得します。
これはサブドメインにも当てはまります。 sales.tailwindtoys.com にアクセス許可を付与すると、tailwindtoys.com 内の他のすべてのアカウントだけでなく、Microsoft Entra ID内のその他のドメインにもそれらのアクセス許可が付与されます。
ファイルで何を実行できるかを指定する
アクセス許可レベルは、ユーザーにファイル内で異なるアクセス許可を与える、事前に定義された使用権限のグループです。 M365 for Windows で使用できる 4 つのアクセス許可レベルは次のとおりです。
-
ビューアー: ユーザーは表示できますが、編集、印刷、コンテンツのコピー、保護の変更/削除はできません。
-
制限付きエディター: ユーザーは表示および編集できますが、コンテンツの印刷、コピー、保護の変更/削除はできません。
-
エディター: ユーザーはコンテンツを表示、編集、印刷、コピーできますが、保護を変更または削除することはできません。
-
所有者: ユーザーは、保護を変更または削除する機能を含め、ファイルを完全に制御できます。
その他のオプションの設定
必要に応じて、カスタム アクセス許可を適用するときに追加の設定を指定できます。
ユーザーが完全なアクセス許可を持たないファイルを開くと、ファイル所有者に連絡して追加のアクセス許可を要求するオプションが提供されます。 既定では、ファイルのプライマリ所有者はこの要求の連絡先です。 追加のアクセス許可を要求する別の連絡先ポイントを定義することもできます。
注: ユーザーがファイルのアクセス許可を変更できるのは、所有者の場合のみです。
既定では、ユーザー定義のアクセス許可で保護されたファイル コンテンツにプログラムでアクセスすることはできません。 ファイル コンテンツへのプログラムによるアクセスを許可するには、[アクセス許可] ダイアログの [その他のオプション] セクションで [プログラムによるコンテンツへのアクセス] を選択します。
M365 for Windows または Mac でユーザーがアクセス許可が制限されたファイルを初めて開くと、そのファイルの使用ライセンスがライセンス サーバーによってユーザーに付与されます。 使用ライセンスは、ファイルのユーザーの使用権限と、ファイルの暗号化に使用される暗号化キーを含む証明書です。 付与されると、使用ライセンスは 30 日間、またはカスタム有効期限日のいずれか早い方まで有効です。 この期間中、ユーザーは同じデバイスを使用してファイルにアクセスするために再認証または再認証されません。 つまり、ファイルに対するユーザーのアクセス許可が変更または削除された場合でも、以前に付与された使用ライセンスの有効期限が切れるまで、ユーザーはファイルにアクセスできます。
ファイルを開くたびにユーザーのアクセス許可を確認するように要求するには、[アクセス許可] ダイアログの [その他のオプション] セクションで [接続を要求してユーザーのアクセス許可を確認する] を選択します。
IRM の機能
Information Rights Management (IRM) は、次のことを行うのに役立ちます。
-
許可されたユーザーが制限付きコンテンツを編集、コピー、または印刷できないようにする
-
コンテンツが送信された場所を保護し、organization内のコンテンツの使用と共有を管理する組織ポリシーを適用する
-
ファイルの有効期限を指定すると、指定した時刻以降にファイル内のコンテンツを表示できなくなります。
-
ファイル コンテンツへのプログラムによるアクセスを禁止する
IRM では、制限されたコンテンツが次の状態にならないようにすることはできません。
-
サード パーティ製スクリーン キャプチャ ソフトウェアを使用してコピー
-
承認されたユーザーがデジタル写真、手でコピー、または再入力する
-
悪意のあるソフトウェアによって消去または破損している
