次の方法で共有

Microsoft Purview を使用して既定でセキュリティで保護し、オーバーシェアリングから保護する - フェーズ 1

  • [アーティクル]

このガイドは、次の 4 つのフェーズに分かれています。

Microsoft Purview で既定でセキュリティで保護され、オーバーシェアリングから保護する - Blueprint

フェーズ 1: 基本 - 推奨ラベルから始める

秘密度ラベルは、エンド ユーザーにとって意味があり直感的な組織タグです。 これらは、Microsoft ソリューションと Adobe Acrobat Reader などの Microsoft 以外のソリューション間で統合され、一貫性があります。

ラベルの保護ポリシーは、データ資産によって異なります。 以下に例を示します。

  • サポートされているファイルの種類に対する暗号化と動的透かし
  • SharePoint サイトと Teams の条件付きアクセス制御とプライバシー
  • Azure SQL データベース、Azure Storage、Amazon Web Services (AWS) S3 に対するアクセス許可制御

ラベルを適用する方法は、多くの場合、手動ラベル付けから始まり、次に機密情報の種類 (SIT) を使用したクライアント側の自動ラベル付け、続いて SIT とコンテキスト条件を使用したサービス側の自動ラベル付け (保存時) から始まります。 SharePoint には、ライブラリごとにコンテキストに応じた既定のラベルも用意されており、このガイドで詳しく説明します。

既定のラベルと保護をファイルレベルとサイト レベルで開始する

ほとんどのお客様には、次の定義から始めてお勧めします。 これらの推奨ラベルは、既存のデプロイがある場合に適応でき、後でより多くのシナリオで反復処理できます。

最上位レベルでは、次のラベルから始めてお勧めします。

  • パブリック - パブリック データは、パブリックに公開されたソース コードや発表された財務情報など、パブリック消費を目的にした無制限のデータです。 自由に共有できます。
  • 一般 - 毎日の作業製品など、一般消費を目的としないビジネス データ。 内部および信頼できるパートナーと共有できるデータ。
  • 機密 - 組織の目標を達成するために重要な機密ビジネス データ。 制限付き配布。
  • 機密性の高い - 最も重要なデータ。 名前付き受信者とだけ共有します。

注:

マネージド デバイスで個人コンテンツを受け入れる組織の場合は、非 ビジネス または 個人用 ラベルを最も優先順位が低く、保護なしで定義することをお勧めします。

Confidential極秘の場合は、次のサブラベルを追加します。

  • \すべての従業員 - organization内のすべてのユーザーがデータにアクセスできます。
  • \Specific People - 指定されたユーザーのみがデータにアクセスできます。
  • \内部例外 - データは内部的に誰でもアクセスできますが、外部で共有されるのを防ぐことができます。 暗号化が毎日の操作に影響を与えている状況では、このラベルを使用します。

推奨される構成を含む親子ラベルの完全な一覧については、次の表を参照してください。

ラベル名 ユーザー向けの説明を編集 Settings
パブリック 一般消費のために準備および承認されるビジネス データ。 範囲: アイテム (ファイル、電子メール)

コンテンツのマーキング: いいえ

自動ラベル付け: いいえ

データ損失防止: なし
全般 一般の使用を目的としないビジネス データ。 ただし、必要に応じて、外部パートナーと共有できます。 このラベルは、メールの既定のラベルとして選択されます。 このラベルは、外部パートナーを許可するサイトにも選択されます。スコープ: アイテム (ファイル、Email、会議、サイト)

コンテンツのマーキング: いいえ

自動ラベル付け: いいえ

サイトのプライバシー: プライベートまたはパブリック

データ損失防止: リンクを持つすべてのユーザーをブロックする
社外秘
\ すべての社員		 すべての従業員に完全な権限を与える保護を必要とする機密データ。 データ所有者は、コンテンツを追跡したり、取り消したりできます。 このラベルは、ドキュメントとサイトの既定のラベルとして選択されます。

スコープ: アイテム (ファイル、Email、会議、サイト)

暗号化: 組織のすべてのユーザーとグループ: 共同作成者

コンテンツのマーキング: フッター: 機密文書

自動ラベル付け: いいえ

サイトのプライバシー: プライベートまたはパブリック

データ損失防止: リンクを持つすべてのユーザーをブロックする、外部をブロックする
社外秘
\ 特定のユーザー		 組織内外の信頼できるユーザーと共有できる機密データ。 これらのユーザーは、必要に応じてデータを再共有できます。 スコープ: アイテム (ファイル、Email、会議、サイト)

暗号化: ユーザーがアクセス許可を割り当てることを許可します:
- Outlook の暗号化のみ
- Word、PowerPoint、Excel でユーザーにメッセージを表示する

コンテンツのマーキング: フッター: 機密文書

自動ラベル付け: いいえ

サイトのプライバシー: プライベートまたはパブリック

データ損失防止: リンクを持つすべてのユーザーをブロックする
社外秘
\ 内部例外		 暗号化する必要はない機密データ。 このオプションは、注意して適切な業務上の正当性を持って使用します。 このラベルは、暗号化する必要のない機密情報として選択されます。 これは、この情報を使用するプロセスまたはアプリケーションで暗号化がサポートされていない場合に、内部例外として使用できます。 データ損失防止インサイダー リスク管理を活用して、リスクとユーザーの逸脱を管理します。

スコープ: アイテム (ファイル、Email、会議、サイト)

コンテンツのマーキング: フッター: 機密文書

自動ラベル付け:いいえ

サイトのプライバシー: プライベートまたはパブリック

データ損失防止: リンクを持つすべてのユーザーをブロックする、外部をブロックする
非常に機密性の高い社外秘
\ すべての社員		 すべての従業員がこのコンテンツに対して表示、編集、返信のアクセス許可を与える非常に機密性の高いデータ。 データ所有者は、コンテンツを追跡したり、取り消したりできます。 このラベルは、クライアント側の自動 ラベル付けサービス側の自動ラベル付けで選択されます。

スコープ: アイテム (ファイル、Email、会議、サイト)

暗号化: 組織のすべてのユーザーとグループ: 共同作成者

コンテンツのマーキング: フッター: 高機密

自動ラベル付け: ラベルを自動的に適用します。 機密性の高い [すべての資格情報] 機密情報の種類に対して自動的に適用することを検討してください

サイトのプライバシー: プライベートまたはパブリック

データ損失防止: リンクを持つすべてのユーザーをブロックする、外部をブロックする
非常に機密性の高い社外秘
\ 特定のユーザー		 保護が必要で、指定したユーザーが選択したアクセス許可レベルでのみ表示できる、機密性の高いデータ。 スコープ: アイテム (ファイル、Email、会議、サイト)

暗号化: ユーザーがアクセス許可を割り当てることを許可します:
- Outlook の転送不可
- Word、PowerPoint、Excel でユーザーにメッセージを表示する

コンテンツのマーキング: フッター: 高機密

自動ラベル付け: いいえ

サイトのプライバシー: プライベートまたはパブリック

データ損失防止: リンクを持つすべてのユーザーをブロックする、外部をブロックする
非常に機密性の高い社外秘
\ 内部例外		 暗号化する必要のない機密性の高いデータ。 このオプションは、注意して適切な業務上の正当性を持って使用します。 このラベルは、暗号化する必要のない機密性の高い情報に対して選択されます。 これは、この情報を使用するプロセスまたはアプリケーションで暗号化がサポートされていない場合に、内部例外として使用できます。 データ損失防止インサイダー リスク管理を活用して、リスクとユーザーの逸脱を管理します。

スコープ: アイテム (ファイル、Email、会議、サイト)

コンテンツのマーキング: フッター: 機密文書

自動ラベル付け: いいえ

サイトのプライバシー: プライベートまたはパブリック

データ損失防止: リンクを持つすべてのユーザーをブロックする、外部をブロックする

既定のセキュリティ保護

このデプロイ モデルで推奨されるラベルには、従来のクロール/ウォーク/実行アプローチや 、データを保護するための既定のラベルとポリシー に比べていくつかの違いがあります。

  • ファイルの既定のラベルを Confidential\All Employees に 設定します。 既存のファイルの場合は、関連するすべての SharePoint サイトのすべての PPTX/DOCX/XLSX/PDF ファイルに対して、コンテキスト 条件ファイル拡張子 を使用したサービス側の自動ラベル付けを利用します。
  • メールの既定のラベルを [全般] に設定します。 これにより、通常どおりに機能できるユーザーとの展開の摩擦が軽減されます。ただし、電子メールに添付された機密ファイルがファイルのラベルを継承するという例外があります。
  • 既定の共有と DLP の制限のコントロール
  • 機密性の高いを中心とした自動ラベル付けユース ケース
  • 直感的に名前が付けられ、わかりやすい特定のPeopleラベル
  • 内部例外 は、暗号化によってエンド ユーザーが毎日の作業を妨げているエッジ ケースに対処します。

ハイライトと推奨事項

  • ラベルには直感的に名前を付ける必要があります。
    • 機密制限付き、内部などの用語を混在させるのは避けてください。用語のさまざまな意味を理解することは、ユーザーにとって困難な場合があります。
    • 可能な限り、ラベルの一覧を 5 x 5 に保持することをお勧めします。つまり、親ラベルは最大 5 つ、親の下には最大 5 つの子ラベルを保持することをお勧めします。
  • 該当する場合は、ファイルと SharePoint サイトの両方にラベルが使用されます。
  • 機密性が高いの は、ほとんどの場合、自動ラベル付けとコンテキストの既定値で行われ、より多くの制御と制限が提供されます。
  • ラベルを使用して、SharePoint サイトと Teams のプライバシーを既定で [プライベート ] に設定します。
    • SharePoint/Teams でパブリック プライバシー設定を広範に使用している組織の場合は、 プライベート に更新し、代わりに会社が共有できるリンクを使用することをお勧めします。
    • 会社が共有可能なリンクを持つプライベート SharePoint サイトは、同じコラボレーションの柔軟性を提供しますが、検索と Copilot での意図しない検出のリスクを軽減します。
    • 保護を強化するには、既定の共有を [特定のユーザー] に設定します。
  • サイト所有者に対するアビリティの連鎖を作成します。 レポートとGraph APIを使用して、使用と動作の逸脱を特定します。
  • ラベル付きコンテンツで DLP を有効にし、該当する場合はリンクと外部を持つすべてのユーザーをブロックします。 これらの条件ブロックに一致する既存の共有コンテンツ、DLP アラートが発生し、エンド ユーザーにポリシー ヒントが表示されます。
  • メール ラベルの継承を有効にします。 詳細については、「 電子メールの添付ファイルからのラベル継承を構成する」を参照してください。

データ セキュリティの前提条件と高度な分析を有効にする

Microsoft Purview には多くの機能があります。 ユーザーへの影響を軽減するために、一部の機能は既定ではアクティブ化されません。 次の設定を確認することをお勧めします。

  1. Office Online でコンテンツを処理する機能を 有効にする: SharePoint と OneDrive でファイルの秘密度ラベルを有効にする
  2. Microsoft Teamsサイトと SharePoint サイトのラベル付けを有効にする: Microsoft Teams、Microsoft 365 グループ、および SharePoint サイトで秘密度ラベルを使用する
    • ラベルの不一致メール ラベルを保持することをお勧めします。 この機能は、サイトの秘密度ラベルよりも機密性の高いドキュメントに関する電子メールをドキュメント所有者とサイト所有者に送信します。 '-BlockSendLabelMismatchEmail' が $False に設定されていることを確認することで、無効にされていないことを確認できます。
    • '-LabelMismatchEmailHelpLink' にヘルプ リンクを含める
  3. OneDrive と SharePoint で PDF ファイルのサポートを 有効にする: SharePoint と OneDrive のファイルの秘密度ラベルを有効にする
  4. 既定でファイルを機密としてマークする: DLP ルールが適用されている間にファイルへのゲスト アクセスを禁止する - Microsoft 365 の SharePoint
  5. DLP 分析: データ損失防止分析の概要
  6. 秘密度ラベルを持つファイルの共同編集を 有効にする: 暗号化されたドキュメントの共同編集を有効にする
  7. インサイダー リスク管理インジケーターを有効にする: インサイダー リスク管理でポリシー インジケーターを構成する
  8. Purview 監査を有効にする: 監査ソリューションの概要
  9. Microsoft Entra B2B との統合を有効にする: SharePoint と OneDrive と Microsoft Entra B2B の統合

OneDrive と SharePoint の共有は、共有可能なリンクを介して構成されます。 詳細情報: Microsoft 365 の OneDrive と SharePoint での共有可能なリンクのしくみ

プライバシー設定がパブリックに設定されている SharePoint サイトを使用している組織の場合は、既定の共有可能なリンクをorganizationのPeopleに設定してプライベートに移行することをお勧めします。 オープン コラボレーションはユーザーが利用できますが、エンタープライズ検索と Copilot の自動コンテンツ検出可能性が低下します。

ヒント

リスクをさらに軽減するために、 特定のユーザー を既定として構成することをお勧めします。

Microsoft Purview 秘密度ラベルを使用すると、SharePoint サイトの秘密度ラベルに基づいて共有可能なリンクを構成できます。 たとえば、この設定により、 全般 サイトと 機密 サイト間の詳細な構成が大幅に容易になります。 詳細情報: 秘密度ラベルを使用して既定の共有リンクの種類を構成する

例外の管理に関するユーザーのトレーニング

セキュリティで保護された既定のアプローチでは、トレーニングでは次のことに重点を置いています。

  • 既定で情報をセキュリティで保護することがいかに重要であるかをorganizationに認識させる。
  • SharePoint サイトでのラベル付けの重要性と、ラベルがファイルと共有に対する保護にどのように影響するか。
  • 信頼できる外部パートナーと連携するときにユーザーがラベルを変更する方法。
  • 基幹業務アプリケーションまたはアドインが暗号化で正しく機能しない場合に、ユーザーがラベルを変更する方法。
  • OneDrive または SharePoint から信頼された外部パートナーと共有するかどうか、および適切なサイト ラベルを選択する方法。
  • ラベルをダウングレードする場合は、正当な理由が必要です。

SharePoint サイトのラベル付けからファイル ラベル付けを派生すると、ユーザーがラベルを変更する必要がある回数が減ります。 以下に例を示します。

  • John は OneDrive を介してファイルを外部で共有しています。 その後、コンテンツを確認し、機密でないと判断し、ラベルを [全般] に変更します。 その後、John は外部で共有します。
  • Jane はパートナーと連携し、複数のファイルを共有しています。 Jane は SharePoint を使用し、サイトに [全般] というラベルを付けます。 サイト内のすべてのファイルを共有できます。 しかし、機密ファイルがサイトにアップロードされると、そのファイルが保護され、より機密性の高いファイルに関する通知が Jane に送信され、ファイルを移動したり、ラベルを変更したりできます。
  • Jack は、ビジネス上重要なアドインを使用して、パートナーと Excel で作業します。 このアドインが暗号化と互換性がない場合、Jack はラベルを Confidential\Internal 例外に変更する必要があります。

重要

ラベルの優先順位、ダウングレードと正当な理由、既定値の間で考慮すべき重要なトレードオフがあります。 たとえば、 GeneralConfidential\All 従業員よりも優先度が低いと仮定すると、Office クライアントが既定で Confidential\All employees に設定されている場合、SharePoint の既定のライブラリ ラベルが [全般 ] に設定されている場合は適用されません。 同様に、優先度が高い Confidential\Internal 例外 セットでは、正当な理由は必要ありません。 ラベルの優先順位と正当な理由の要件を確認することが重要です。

ラベル付きコンテンツの DLP を有効にする

Microsoft Purview データ損失防止 (DLP) は、秘密度ラベルとの統合を提供し、限られた構成で DLP 要件に迅速に対処します。

たとえば、推奨ラベルと既定値が Confidential\All 従業員に設定されている場合は、外部への共有をブロックし、 リンクを持つすべてのユーザーをブロックする DLP ルールを含めることをお勧めします。 各ラベルの詳細については、推奨されるラベル テーブルと DLP 制限列を参照してください。

この機能の詳細については、以下を参照してください。

フェーズ 1 - 概要

このフェーズの最後に、organizationには次のものが含まれます。

  • エンド ユーザーが手動で使用できるラベル。
  • 新規または更新されたドキュメントとメールの既定のラベル付け。
  • 共有時、または暗号化がビジネス ファイルで課題を引き起こしている場合に、例外を管理する方法に関するユーザー通信とトレーニング。
  • DLP を使用すると、機密ファイルの共有が防止されます。

関連項目

次の手順: フェーズ 2: マネージド – 最も機密性の高いファイルにアドレスを指定する