メッセージの暗号化についてよく寄せられる質問

Microsoft Purview Message Encryptionは、電子メールの暗号化と権限管理機能を組み合わせたものになります。 著作権管理機能は Azure Information Protection を利用しています。

Microsoft Purview Message Encryptionは、次の条件で使用できます。

• Exchange Online Office 365メッセージ暗号化 (OME) または Information Rights Management (IRM) を設定したことがない場合。

• OME と IRM を設定している場合は、Azure Information Protectionの Azure Rights Management サービスも使用している場合は、次の手順を使用できます。

• Active Directory Rights Management サービス (AD RMS) でExchange Onlineを使用している場合、これらの新機能をすぐに有効にすることはできません。 代わりに、AD RMS から Azure Information Protection に移行する必要があります。 移行が完了したら、Microsoft Purview Message Encryptionを正常に設定できます。

  Azure Information Protection に移行するのではなく、Exchange Onlineでオンプレミスの AD RMS を引き続き使用する場合は、Microsoft Purview Message Encryptionを使用できません。

Microsoft Purview Message Encryptionを使用するには、次のいずれかのプランが必要です。

• Microsoft Purview Message Encryptionは、Office 365 Enterprise E3 と E5、Microsoft 365 Enterprise E3 および E5、Microsoft 365 Business Premium、Office 365 A1、A3、A5、Office 365 Government G3と G5。 Azure Information Protection を利用した新しい保護機能を受信するために、追加のライセンスは必要ありません。

• Azure Information Protection プラン 1 を次のプランに追加して、Microsoft Purview Message Encryptionを受け取ることもできます。Exchange Onlineプラン 1、Exchange Online プラン 2、Office 365 F3、Microsoft 365 Business Basic、Microsoft 365 Business Standard、または E1 Office 365 Enterprise。

• Microsoft Purview Message Encryptionの恩恵を受ける各ユーザーには、メッセージ暗号化を使用するためのライセンスが必要です。

• 完全な一覧については、Microsoft Purview Message EncryptionのExchange Onlineサービスの説明を参照してください。

はい。 Microsoft では、Microsoft Purview Message Encryptionを設定する前に BYOK を設定する手順を完了することをお勧めします。

BYOK の詳細については、「Azure Information Protection テナント キーを計画して実装する」を参照してください。

いいえ。 Microsoft Purview Message Encryptionと、Azure Information Protection から BYOK と呼ばれる独自の暗号化キーを提供および制御するオプションは、法執行機関の召喚状に対応するように設計されていません。 OME と Azure Information Protection の BYOK は、規制遵守を重視する組織向けに設計されています。 Microsoft では、第三者による顧客データの要求に慎重に対応しています。 クラウド サービス プロバイダーとして、お客様のデータのプライバシーを常にサポートします。 Microsoft では、召喚状を受け取ると、第三者がお客様に個人情報を直接要求するように案内するよう努めます。 (Brad Smith のブログ「政府機関による監視から顧客データを保護する」を参照してください)。 Microsoft は、受け取った要求の詳細情報を定期的に公開しています。 第三者によるデータの要求に関する詳細については、Microsoft トラスト センターで「顧客データへのアクセスに関する政府および法執行機関の要求への対応方法」を参照してください。 オンライン サービスの使用条件 (OST) で「顧客データの開示」も参照してください。

Microsoft Purview Message Encryptionは、既存の IRM とレガシ OME ソリューションの進化です。 以下の表に詳細を示します。

レガシ OME、IRM、およびMicrosoft Purview Message Encryptionの比較

「Microsoft Purview Message Encryptionのセットアップ」を参照してください。

メッセージ暗号化 (OME) と呼ばれる以前のバージョンのメッセージ暗号化Office 365引き続き使用できます。 OME は 2023 年 7 月 1 日に非推奨となりました。 Office メッセージ暗号化は自動的に置き換えられ、Microsoft Purview Message Encryptionに更新されます。

いいえ。 Active Directory Rights Management サービス (AD RMS) でExchange Onlineを使用している場合、これらの新機能をすぐに有効にすることはできません。 代わりに、AD RMS から Azure Information Protection に移行する必要があります。

オンプレミス ユーザーは、Exchange Online のメール フロー ルールを使用して暗号化されたメールを送信できます。 Exchange Online経由でメールをルーティングする必要があります。 詳細については、「パート 2: 電子メール サーバーから Microsoft 365 にメールが流れるように構成する」を参照してください。

保護されたメッセージは、Outlook 2016、Outlook 2013 for Windows、Outlook 2013 for Mac、および Outlook on the web から作成できます。 暗号化されたメッセージを送信することの詳細については、「PC 版 Outlook での暗号化されたメッセージの送信、表示、および返信」を参照してください。

Microsoft 365 ユーザーは、Outlook for Windows と Outlook for Mac (2013 と 2016)、Outlook on the web、および Outlook モバイル (Android と iOS) から閲覧して返信できます。 組織で許可されている場合は、iOS のネイティブ メール クライアントも使用できます。 Microsoft 365 ユーザーでない場合は、Web ブラウザーを使用して、Web 上の暗号化されたメッセージを読み取って返信できます。

Microsoft 365 ユーザーは、PC 版 Outlook バージョン 2019 および Microsoft 365 を使用して、暗号化のみのポリシーで保護されたメールを作成できます。 暗号化専用ポリシーが適用されているメッセージは、Outlook on the web、Outlook for iOS および Android、および Outlook for PC バージョン 2019 および Microsoft 365 で直接読み取ることができます。

はい。 添付ファイルを含め、Microsoft Purview Message Encryptionで送信できる最大メッセージ サイズは 25 MB です。 詳細については、「メッセージの制限」を参照してください。

暗号化されたメッセージ ポータルでは、メールのみがサポートされます。 ポータルでは、予定表やボイス メールなどの他のメッセージの種類はサポートされていません。

保護されたメールには、あらゆる種類のファイルを添付できます。 保護ポリシーは、「Azure Information Protection クライアントでサポートされているファイルの種類」で説明されているファイル形式のサブセットにのみ適用されます。 Microsoft Purview Message Encryptionでは、次の Office ファイル拡張子のみがサポートされます。

• docx
• docm
• dotx
• dotm
• pptx
• pptm
• potx
• potm
• ppsx
• ppsm
• thmx
• xlsx
• xlsm
• xlsb
• xltx
• xltm
• xlam
• Xps

Microsoft Purview Message Encryptionでは、Word (.doc)、Excel (.xls)、PowerPoint (.ppt) の 97-2003 バージョンの Office プログラムはサポートされていません。

保護は、メールから暗号化されていない添付ファイルにのみ継承されます。 Word、Excel、PowerPoint ファイルなどのファイル形式がサポートされている場合、受信者が添付ファイルをダウンロードした後でも、ファイルは常に保護されます。 たとえば、添付ファイルが転送不可によって保護されているとします。 元の受信者がファイルをダウンロードし、新しい受信者にメッセージを作成し、ファイルを添付します。 新しい受信者がファイルを受け取ると、ファイルを開くことができません。

簡単に答えるなら、"はい" です。 Exchange Onlineで有効にした場合、PDF 暗号化を使用すると、電子メールに添付された機密性の高い PDF ドキュメントを保護できます。 電子メールを送信すると、Office 365 サービスは、Outlook on the web、Outlook for Mac、Outlook for iOS、および Outlook for Android の PDF ファイルの添付ファイルを暗号化します。 送信する PDF は、これ以上の手順なしで暗号化できます。

Outlook 64 ビットでは PDF ファイルの添付ファイルの暗号化がネイティブにサポートされますが、Outlook 32 ビットではサポートされません。 Outlook 32 ビットを使用する場合は、最初に EXCHANGE メール フロー ルールまたは DLP ポリシーを設定して、PDF 添付ファイルに暗号化を適用する必要があります。 暗号化 されていない メールを PDF 添付ファイルと共に Outlook Desktop から送信すると、クライアントは最初に添付ファイルを含むメッセージをサービスに送信します。 サービスが暗号化されていないメールを受信すると、サービスは、Exchange Onlineのデータ損失防止 (DLP) ポリシーまたはメール フロー ルールを介してMicrosoft Purview Message Encryption保護を適用します。 次に、Exchange Onlineメッセージと PDF ファイルの添付ファイルを暗号化します。

PDF の添付ファイルの暗号化を有効にするには、Exchange Online PowerShell で次のコマンドを実行します。

Set-IRMConfiguration -EnablePdfEncryption $true

PDF の暗号化により、セキュリティで保護された通信またはセキュリティで保護されたコラボレーションによって機密性の高い PDF ドキュメントを保護できます。 すべての Outlook クライアントの場合、メッセージと保護されていない PDF 添付ファイルは、Exchange Onlineのデータ損失防止 (DLP) ポリシーまたはメール フロー ルールのMicrosoft Purview Message Encryption保護を継承します。 また、Outlook on the web のユーザーが保護されていない PDF ドキュメントを添付し、メッセージに保護を適用した場合、メッセージはメッセージの保護を継承します。 ユーザーは、保護された PDF (暗号化されたメッセージ ポータルや Azure Information Protection Viewer など) をサポートするアプリケーションでのみ暗号化された添付ファイルを開くことができます。

Not yet. SharePoint Online またはOneDrive for Business添付ファイルはサポートされていません。 メール メッセージは暗号化できますが、クラウドの添付ファイルは暗号化できません。

保護されたメールで添付ファイルが保護されている場合は、Outlook クライアントを使用してドキュメントを直接プレビューできます。 Outlook では、Office ドキュメント (docx、xlsx、pptx、doc、xls、ppt) のプレビューがサポートされています。 Outlook on the web では、Office ドキュメント (docx、xlsx、pptx) と PDF のプレビューがサポートされています。

Outlook on the web では、保護されたメールの失効がサポートされています。 詳細については、「送信した暗号化されたメッセージを取り消す方法」を参照してください。

暗号化されたメッセージ ポータルでは、暗号化されたメールに追加された暗号化された添付ファイルのコピーのプレビューがサポートされます。 サポート ファイルの種類には、Word、Excel、PowerPoint、PDF ファイルが含まれます。

はい。 Exchange Online でメール フロー ルールを使用して、特定の条件に基づいてメッセージを自動的に暗号化します。 たとえば、受信者 ID、受信者ドメイン、またはメッセージの本文や件名の内容に基づくポリシーを作成できます。 「Office 365 でメール メッセージを暗号化するためにメール フロー ルールを定義する」を参照してください。

管理者は、メール フロー ルールを設定して送信メールの暗号化を削除できます。 Exchange Online organizationから送信された受信メールの暗号化を削除するルールのみを設定できます。

Exchange Onlineメールボックスの場合、管理者はジャーナルの暗号化解除を有効にし、Exchange Onlineジャーナリング ルールを設定して、メールの暗号化解除されたコピーをジャーナリング メールボックスに生成する必要があります。 ジャーナリング ルールは、暗号化されたメールまたは添付ファイルを受け取り、元のメールと暗号化解除されたコピーをジャーナリング メールボックスに送信します。 暗号化されたアイテムがorganizationから送信された場合にのみ、メールまたは添付ファイルを復号化できるジャーナリング ルールを設定できます。
Exchange Onlineジャーナリングを有効にするには:

Set-IRMConfiguration -JournalReportDecryptionEnabled $true

はい。 メール フロー ルールは、Exchange Onlineで設定することも、Microsoft Purview コンプライアンス ポータルで DLP を使用して設定することもできます。

はい。organizationのExchange Onlineメールボックスから送信されたメールの場合は 。 電子メール メッセージと暗号化されたメッセージ ポータルのカスタマイズについては、「暗号化されたメッセージにorganizationのブランドを追加する」を参照してください。

暗号化されたメッセージ ポータル アクティビティ ログは、暗号化されたメッセージ ポータルにアクセスすることで、外部受信者のイベントのみをキャプチャします。 外部受信者によってトリガーされた電子メール クライアント内のアクティビティは記録されません。 内部受信者については、「Purview Audit (Premium) -メール アイテムアクセスログ」の「MailItemsAccessed メールボックス監査アクション」を参照してください。

コンプライアンス センターに暗号化レポートがあります。 Microsoft Purview コンプライアンス ポータルでの電子メール セキュリティ レポートの表示に関するページを参照してください。

はい。Microsoft Purview Message Encryptionによって保護されているほとんどのメッセージは検出可能です。 Microsoft Purview Message Encryptionメール フロー ルールを通じてカスタム ブランドが適用されている別の Microsoft 365 organizationから受信する保護されたメールは、電子情報開示サービスでは検出できません。 つまり、メールにユーザーのメールボックスからアクセスできないのではなく、暗号化されたメッセージ ポータルへのリンクを介してのみ表示される場合、メールは検索できません。 詳細については、「暗号化されたアイテムをサポートする電子情報開示アクティビティ」を参照してください。

暗号化メール フロー ルールに一致するメール メッセージを誰かが送信すると、メッセージは送信される前に暗号化されます。

はい。 共有メールボックスの暗号化されたメッセージを開くことができます。 メールが同じorganizationから送信されると、サポートされている Outlook クライアントにサインインしているときにメールを開くことができます。 メールが外部organizationから送信される場合は、Outlook on the webを使用する必要があります。

• ユーザーは、共有メールボックスが配布グループの一部として保護されたメールを受信した場合、共有メールボックスの保護されたメールを開くことができます。

• ユーザーは、Outlook for Windows、Outlook for Mac、Outlook for Android、Outlook for iOS、Outlook on the webを使用するときに、メールから保護を継承する添付ファイルを表示できます。

次の表に、共有メールボックスがサポートされるクライアントの一覧を示します。

現在、2 つの既知の制限があります。

• モバイル デバイスで受信するメールの添付ファイルを Outlook モバイルを使用して開くことはできません。

• Outlook 32 ビットでは、メールが有効なセキュリティ グループを介して共有メールボックスに割り当てられたユーザーに対して、Web ブラウザーを使用して暗号化されたメールを表示する通知メールがユーザーに表示されます。 Outlook 32 ビットで暗号化されたメールを直接表示するには、Outlook と情報保護クライアントでは、フル アクセス許可と自動マッピングが有効になっている共有メールボックスにユーザーを直接割り当てる必要があります。 Outlook 64 ビットの場合、ユーザーをメールボックスに直接割り当てる必要はありません。 自動マッピングは、Exchange Online に対して既定で有効になっています。

ユーザーを共有メールボックスにアサインするには、次の操作を実行します

1. Exchange Online PowerShell.aspx) に接続します。

2. Automapping パラメーターを指定して Add-MailboxPermission コマンドレットを実行します。 この例では、Ayla にサポート メールボックスに対するフル アクセスのアクセス許可を付与します。

   Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User ayla@contoso.com -AccessRights FullAccess -AutoMapping $true
   

代理人にユーザーのメールボックスへのフル アクセス許可が付与されている場合、暗号化されたメールの委任されたアクセスは、Outlook on the web、Outlook for Mac、Outlook for iOS、および Outlook for Android でサポートされます。 Outlook for Windows では、委任されたアクセスはサポートされていません。

暗号化されたメッセージ ポータルにサインインして、送信者のorganizationがアクティブで、メールの有効期限が切れているように構成されていない限り、メールを取得できます。

まずは、メール クライアントの迷惑メール フォルダーまたはスパム フォルダーを確認します。 組織の DKIM および DMARC 設定により、これらのメールがスパムとしてフィルター処理される可能性があります。

次に、コンプライアンス センターで検疫をチェックします。 多くの場合、ワンタイム パス コードを含むメッセージは検疫されます。組織が初めて受信するメッセージの場合は特にそうです。