この記事では、Microsoft Purview データ マップの秘密度ラベル付けに関してよく寄せられる質問とその回答と、必要に応じて詳細情報へのリンクを示します。
注:
Microsoft Purview データ カタログは、名前を Microsoft Purview 統合カタログに変更しています。 すべての機能は同じままです。 新しい Microsoft Purview データ ガバナンス エクスペリエンスがリージョンで一般公開されると、名前の変更が表示されます。 リージョン内の名前を確認します。
重要
Microsoft Purview データ マップでのラベル付けは現在プレビュー段階です。 Microsoft Azure プレビューの補足使用条件には、ベータ版、プレビュー版、または一般公開されていない Azure 機能に適用されるその他の法的条件が含まれています。
ライセンスとセットアップ
Microsoft Purview データ マップのファイルとデータベース列に秘密度ラベルを使用するためのライセンス要件は何ですか?
Microsoft Purview データ マップで秘密度ラベルを使用するには、Microsoft Purview アカウントと同じMicrosoft Entra テナント内に少なくとも 1 つの Microsoft 365 ライセンス/アカウントが必要です。
次の Microsoft 365 ライセンスは、Microsoft 365 および Microsoft Purview データ マップの資産に秘密度ラベルを自動的に適用するために必要です。
- Microsoft 365 E5/A5/G5
- Microsoft 365 E5/A5/G5 コンプライアンス
- Microsoft 365 E5/A5/G5 Information Protectionとガバナンス
- Office 365 E5、Enterprise Mobility + Security E5/A5/G5、AIP プラン 2
詳細については、「 Microsoft 365 サービスの説明」を参照してください。
organizationにMicrosoft Entra テナント内に複数のMicrosoft Purview データ マップ アカウントがある場合、各アカウントにラベルを手動で拡張する必要がありますか?
いいえ。 秘密度ラベルをMicrosoft Purview データ マップに拡張すると、それらのラベルはテナント内のすべてのアカウントに拡張されます。
organizationでは、Office ドキュメントとメールに秘密度ラベルが既に使用されています。 これらのラベルをMicrosoft Purview データ マップに拡張した場合の影響は何ですか? Microsoft Purview Information Protectionの既存のセットアップに影響しますか?
ラベルをデータ マップに拡張しても、ファイルやデータベースなど、Microsoft Purview Information Protectionの既存の設定やアセットの変更には影響しません。
- 秘密度ラベルをMicrosoft Purview データ マップに拡張すると、Microsoft Purview Information Protectionの設定は以前と同じように動作し続けます。
- 機密ラベルをデータ マップに拡張すると、Microsoft Purview は、これらのラベルをMicrosoft Purview データ マップ内の Azure およびマルチクラウド資産に適用できます。 データ マップはメタデータ ストアであり、いつでも削除でき、Microsoft Purview データ カタログを使用して参照できます。
- 秘密度ラベルは、Microsoft Purview データ マップ内の資産メタデータにのみ適用され、実際のファイルとデータベース列には適用されません。 これらの秘密度ラベルは、ファイルやデータベースを変更する方法はありません。
ラベル付けをMicrosoft Purview データ マップに拡張する同意が付与されているかどうかを判断するにはどうすればよいですか?
コンプライアンス管理者、テナントのグローバル管理者、または Set-PolicyConfig コマンドレットにアクセスできるカスタム ロールのみが、Microsoft Purview データ マップのラベルを有効にすることができます。 管理者がMicrosoft Purview データ マップへのラベル付けを拡張しているかどうかを確認するには、PowerShell Exchange Onlineに接続し、Get-PolicyConfig コマンドレットを実行します。 以下に例を示します。
Get-PolicyConfig | format-list Purview*
ラベル付けがMicrosoft Purview データ マップに拡張されると、PurviewLabelConsent パラメーターに True が表示され、同意がアクティブ化されたタイミングを示すタイムスタンプと、同意をアクティブ化したユーザーの ObjectId が表示されます。
PurviewLabelConsent : True
PurviewLabelConsentCaller : d8675309-1111-2222-3333-1234567890ab
PurviewLabelConsentTime : 9/28/2021 6:04:45 PM
PurviewLabelConsentDetails : {"Consent":true,"Caller":"d8675309-1111-2222-3333-1234567890ab","Time":"9/28/2021 6:04:45 PM"}
ラベル付けが拡張されていない場合、次の例のように PurviewLabelConsent に False が表示されます。
PurviewLabelConsent : False
PurviewLabelConsentCaller :
PurviewLabelConsentTime :
PurviewLabelConsentDetails :
これは、秘密度ラベルのスコープにMicrosoft Purview データ マップを追加するアクションを監査する場合とは異なります。 そのアクティビティは、統合監査ログにあります。 例えば、
Search-UnifiedAuditLog -Operations "Set-Label" -StartDate 10/05/2021 -EndDate 10/16/2021
詳細については、「監査ログの検索」を参照してください。
分類と秘密度ラベル
分類と秘密度ラベルの違いは何ですか?
次の表に、分類と秘密度ラベルの違いを示します。
比較 | 分類 | 秘密度ラベル |
---|---|---|
定義 | 分類は、資産内に存在するデータ型を識別するのに役立つ正規表現またはパターンです。 | 秘密度ラベルは、組織がユーザーからデータの種類を抽象化しながら、ビジネスへの影響に基づいてデータを分類できるようにするタグです。 |
例 | 社会保障番号、運転免許番号、銀行口座番号など | 非常に機密性の高い、機密、一般、パブリックなど。 |
スコープ | 資産に適用される分類の範囲は、分類が適用されたMicrosoft Purview データ マップに制限されます。 データが別のMicrosoft Purview データ マップによって管理されている資産に移動した場合、元の場所に適用された分類は新しい場所には表示されません。 | 資産に適用される秘密度ラベルは、データの移動場所に関係なく、データと共に移動します。 たとえば、これは、Microsoft Purview Information Protection内のファイルに適用された秘密度ラベルが自動的に表示され、Azure、SharePoint、または Teams に移動した場合でも、ファイルに適用されたままであることを意味します。 |
スキャン プロセス | Microsoft Purview データ マップで資産をスキャンすると、データ内のシステム定義分類とユーザー定義 (カスタム) 分類の両方が検索されます。 見つかった場合、スキャンされた資産の分類が Microsoft Purview マップに追加されます。 | 秘密度ラベルが定義されているMicrosoft Purview データ マップおよび自動ラベル付け規則に拡張されている場合、Microsoft Purview データ マップ内の資産をスキャンすると、スキャンで見つかった分類に基づいてカタログ内の資産にラベルが適用されます。 |
オーサリング環境 | カスタム分類と分類ルールは、Microsoft Purview データ マップで作成できます。 Microsoft Purview Information Protectionでカスタム分類を作成することもできます。 ただし、Microsoft Purview データ マップへのインポートはまだサポートされていません。 | Microsoft Purview Information Protectionを使用して秘密度ラベルを管理します。 |
割り当ての制限 | 資産には、分類や 1 つ以上の分類を割り当てないでください。 | 各資産に使用できる秘密度ラベルは 1 つだけです。 |
資産アプリケーション ワークフロー | Microsoft Purview データ カタログを使用して、資産に割り当てられている分類を手動で追加または変更できます。 | Microsoft Purview データ マップでは、検出された分類に基づいて、秘密度ラベルが資産に自動的に割り当てられます。 Microsoft Purview データ マップでのラベルの手動適用は現在サポートされていません。 |
詳細情報 | 分類の詳細については、こちらをご覧ください。 | 秘密度ラベルの詳細については、こちらをご覧ください。 |
分類と機密情報の種類 (SID) は同じですか?
分類と SID は基本的には同じですが、分類はMicrosoft Purview データ マップ概念であり、SID はMicrosoft Purview Information Protection概念です。 分類と SID の両方が、それぞれのサービスによって使用され、資産内で見つかったデータの種類を識別します。
Microsoft Purview データ マップのラベル付け機能
Microsoft Purview データ マップで秘密度ラベルを適用できるデータ ソースはどれですか?
Microsoft Purview データ マップの秘密度ラベルの [サポートされているデータ ソース] に一覧表示されているすべてのデータ ソースに秘密度ラベルを適用できます。
Microsoft Purview データ マップで秘密度ラベルを適用できるファイルの種類はどれですか?
秘密度ラベルは、サポートされているすべてのMicrosoft Purview データ マップファイルの種類に適用できます。
スキーマ化されたデータ資産のMicrosoft Purview Information Protectionでカスタムの機密情報の種類 (SIT) を使用できますか?
いいえ。現時点では、カスタム機密情報の種類はMicrosoft Purview データ マップではサポートされていません。 Microsoft Purview データ マップでは現在、組み込みの機密情報の種類Microsoft Purview Information Protectionのみがサポートされています。
Microsoft Purview データ マップのMicrosoft Purview Information Protectionの高度な分類子を使用できますか?
いいえ。高度な分類子は現在、Microsoft Purview データ マップではサポートされていないため、表示されません。
アセットに手動でラベルを付けたり、Microsoft Purview データ マップ内のラベルを手動で変更または削除することはできますか?
Microsoft Purview データ マップでは、自動ラベル付けのみがサポートされます。 ラベルは、資産で見つかった分類とラベルの自動ラベル付け規則に基づいて、データ マップ内の資産に自動的に適用されます。
Microsoft Purview データ マップでは、現在、アセットへのラベルの手動適用、変更、または削除はサポートされていません。
自動ラベル付けは、資格情報コンテンツを含む可能性がある資産に適用できますか?
現在、Microsoft Purview データ マップでは資格情報のスキャンはサポートされていません。 Data Map で資格情報のスキャンがサポートされている場合は、見つかった資格情報に基づいてラベルを適用できる必要があります。
Office ドキュメントやメールの場合と同様に、Microsoft Purview データ マップ内のファイルに暗号化やコンテンツ マーキングを適用できますか?
いいえ。これらの保護アクションに対して秘密度ラベルが構成されている可能性がありますが、現在、Microsoft Purview データ マップ内のファイルの暗号化とコンテンツ マーキングはサポートされていません。
Microsoft Purview データ マップはデータ損失防止をサポートしていますか?
いいえ。現在、Microsoft Purview データ マップではデータ損失防止 (DLP) 機能は提供されていません。
データ損失防止 は現在、Microsoft 365 アプリとサービスでのみサポートされています。
アクセスとロール
秘密度ラベルはどこで管理できますか?
秘密度ラベルは、Microsoft Purview Information Protectionで管理されます。 詳細については、「Microsoft Purview Information Protectionで秘密度ラベルを作成する方法」を参照してください。
秘密度ラベルを管理できるユーザー
次の組み込みの管理者ロールには、秘密度ラベルを管理するためのアクセス許可が含まれています。
- グローバル管理者
- コンプライアンス管理者
詳細については、「秘密度レベルの作成と管理に必要なアクセス許可」を参照してください。 コンプライアンス管理者とグローバル管理者を構成した後、それらの管理者は 個々のユーザーにアクセス権を付与できます。
注:
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。
Microsoft Purview データ カタログの秘密度ラベルを使用して資産を検索および参照できるユーザー
Microsoft Purview データ マップへの少なくともデータ リーダー アクセス権を持つすべてのユーザーは、データ カタログ内の秘密度ラベルを持つ資産を検索および参照するためのアクセス許可を持っています。
Microsoft Purview データ エステート分析情報で秘密度ラベル分析情報レポートを表示できるユーザー
分析情報閲覧者ロールを持つすべてのユーザーと、該当するコレクションに対する少なくともデータ閲覧者のアクセス許可は、Microsoft Purview データ エステート分析情報の秘密度ラベル分析情報レポートを表示するためのアクセス許可を持ちます。
技術的な詳細
Microsoft Purview データ マップは、データベース列に自動ラベルを適用するときに資産全体をスキャンしますか?
Microsoft Purview スキャナーは、データをサンプリングします。 詳細については、「 分類と自動ラベル付けのサンプリング データ」を参照してください。
分類基準を満たす秘密度ラベルが複数ある場合、適用されるラベルはどれですか?
秘密度ラベルには優先順位 'order' があり、Microsoft Purview データ マップはこの順序を使用してラベルを割り当てます。 分類基準を満たすラベルが複数ある場合、Microsoft Purview データ マップは最も高い順序でラベルを選択します。
詳細については、「 ラベルの優先順位に関する事項」を参照してください。
SQL データの検出と分類
Microsoft が SQL データベースに対して "Microsoft Purview" と "SQL データの検出と分類" という 2 つの分類エクスペリエンスをサポートしているのはなぜですか?
Microsoft Purview では、SQL データベースを含むすべての Azure 資産の分類とラベル付けエクスペリエンスが提供されます。 Microsoft Purview は、分類、ラベル付け、アラートなどの機能を使用して、データ資産全体を 1 か所で管理する組織を対象としています。 Microsoft Purview では、グローバル スコープを持ち、移動先や変換先に関係なくデータと共に移動する秘密度ラベルを使用します。
一方、 SQL データの検出と分類 は SQL に組み込まれています。 SQL データの検出と分類は、SQL データベース内の機密データを検出、分類、ラベル付け、レポートするための基本的な機能を提供する方法として、Microsoft Purview の前に存在しました。 SQL データの検出と分類では、グローバル スコープがなく、秘密度ラベルをサポートしていないローカル ラベルが使用されます。
SQL データの検出と分類にラベルを適用しました。 Microsoft Purview の資産にこれらのラベルが表示されないのはなぜですか?
SQL 分類ではローカル ラベルが使用されますが、Microsoft Purview では秘密度ラベルが使用されます。 SQL 分類エクスペリエンスに適用されたラベルは、Microsoft Purview には表示されません。 詳細については、「 SQL データベースのラベル付け」を参照してください。