OneDrive で情報バリアを使用する
Microsoft Purview Information Barriers は、Microsoft 365 のポリシーであり、コンプライアンス管理者は、ユーザーが相互に通信および共同作業できないように構成できます。 このソリューションは、たとえば、1 つの部門が特定の他の部門と共有すべきではない情報を処理する場合や、部門が部門外のすべてのユーザーと共同作業できないように、または分離する必要がある場合に役立ちます。 情報バリアは、規制の厳しい業界や、財務、法務、政府などのコンプライアンス要件を持つ組織でよく使用されます。
OneDrive の場合、情報バリアは、次の種類の未承認のコラボレーションを決定し、防止できます。
- OneDrive または保存されたコンテンツへのユーザー アクセス
- OneDrive または保存されたコンテンツを他のユーザーと共有する
情報バリア モードと OneDrive
SharePoint と OneDrive で情報バリアが有効になっている場合、セグメント化されたユーザーの OneDrive は IB ポリシーで自動的に保護されます。 情報バリア モードは 、OneDrive に関連付けられている IB モードとセグメントに基づいて、OneDrive サイトのアクセス、共有、メンバーシップを強化するのに役立ちます。
OneDrive で情報バリアを使用する場合、次の IB モードがサポートされます。
Mode | 説明 |
---|---|
Open | セグメント化されていないユーザーが OneDrive をプロビジョニングすると、サイトの IB モードは既定で [開く] に設定されます。 サイトに関連付けられているセグメントはありません。 |
所有者モデレート | OneDrive をサイト所有者/モデレーターが存在する互換性のないユーザーとのコラボレーションに使用する場合、OneDrive の IB モードを所有者モデレートとして設定できます。 所有者モデレート サイトの詳細については、 このセクション を参照してください。 |
Explicit | セグメント化されたユーザーが有効化から 24 時間以内に OneDrive をプロビジョニングすると、サイトの IB モードは既定で 明示的 に設定されます。 ユーザーのセグメントとユーザーのセグメントと互換性があり、互いに互換性のあるその他のセグメントは、ユーザーの OneDrive に関連付けられます。 |
Mixed | セグメント化されたユーザーの OneDrive を、セグメント化されていないユーザーと共有できる場合、サイトの IB モードを Mixed に設定できます。 これは、SharePoint 管理者がセグメント化されたユーザーの OneDrive に設定できるオプトイン モードです。 |
注:
2022 年 7 月 12 日以降、 推論 モードが 混合 モードに変更されました。 モードの機能は変わりません。
OneDrive からのファイルの共有
開く
OneDrive にセグメントがなく、IB モードが [開く] の場合:
- ユーザーは、ユーザーに適用された情報バリア ポリシーと OneDrive の共有設定に基づいて、ファイルとフォルダーを共有できます。
所有者モデレート
サイトに情報バリア モードが設定されている場合、 所有者モデレート:
- リンクを持つすべてのユーザーと共有するオプションは無効になっています。
- 会社全体のリンクと共有するオプションは無効になっています。
- サイトとそのコンテンツは、既存のメンバーと共有できます。
- サイトとそのコンテンツは、IB ポリシーごとに OneDrive 所有者のみが共有できます。
Explicit
OneDrive に情報バリア セグメントがあり、モードが [明示的] に設定されている場合:
- リンクを持つすべてのユーザーと共有するオプションは無効になっています。
- 会社全体のリンクと共有するオプションは無効になっています。
- ファイルとフォルダーは、OneDrive のセグメントと一致するユーザーとのみ共有できます。
混合
OneDrive に情報バリア セグメントがあり、モードが Mixed に設定されている場合:
- リンクを持つすべてのユーザーと共有するオプションは無効になっています。
- 会社全体のリンクと共有するオプションは無効になっています。
- ファイルとフォルダーは、セグメントが OneDrive のユーザーと一致するユーザーと、テナント内の未承認のユーザーと共有できます。
OneDrive から共有ファイルにアクセスする
オープン モード
ユーザーが、セグメントが関連付けられていない OneDrive 内のコンテンツにアクセスし、IB モードを [開く] としてアクセスする場合:
- ファイルはユーザーと共有する必要があります。
所有者モデレート モード
ユーザーがサイトの情報バリア モードを使用して SharePoint サイトにアクセスするには、[ 所有者モデレート] が設定されています。
- ユーザーはサイトアクセス許可を持っています。
明示的モード
ユーザーがセグメントを持ち、IB モードが 明示的に設定されている OneDrive 内のコンテンツにアクセスするには:
ユーザーのセグメントは、OneDrive に関連付けられているセグメントと一致する必要があります。
および
ファイルはユーザーと共有する必要があります。
注:
既定では、セグメント以外のユーザーは、IB モードが [開く] の他の非セグメント ユーザーからのみ、共有 OneDrive ファイルにアクセスできます。 セグメントが適用され、IB モードが 明示的である OneDrive から共有ファイルにアクセスすることはできません。
混合モード
セグメント化されたユーザーが、セグメントと IB モードが Mixed に設定されている OneDrive 内のコンテンツにアクセスする場合:
ユーザーのセグメントは、OneDrive に関連付けられているセグメントと一致する必要があります。
および
ファイルはユーザーと共有する必要があります。
セグメントがあり、IB モードが Mixed に設定されている OneDrive 内のコンテンツに、セグメントのないユーザーがアクセスする場合:
- ユーザーにはサイト アクセス許可が必要です。
シナリオ例
次の例は、organizationの 3 つのセグメント (HR、Sales、Research) を示しています。 営業部門と研究部門間のコミュニケーションとコラボレーションをブロックする情報バリア ポリシーが定義されています。
OneDrive の情報バリアでは、セグメントがユーザーに適用されると、24 時間以内にそのセグメントがユーザーの OneDrive に自動的に関連付けられます。 ユーザーのセグメントと互換性があり、互いに互換性のある他のセグメントも、OneDrive に関連付けられます。 OneDrive には、最大 100 個のセグメントを関連付けることができます。 グローバル管理者または SharePoint 管理者は、「 ユーザーの OneDrive で追加のセグメントを関連付けるまたは削除する」セクションで後述するように、PowerShell を使用してこれらのセグメントを管理できます。
次の表は、この構成例の効果を示しています。
コンポーネント | 人事ユーザー | セールス ユーザー | ユーザーの調査 | セグメント以外のユーザー |
---|---|---|---|---|
OneDrive に関連付けられているセグメント | HR | 営業、人事 | 研究、人事 | なし |
OneDrive の IB モード | Explicit | Explicit | Explicit | 開く |
OneDrive コンテンツを共有できます | HR のみ | 営業と人事 | 研究と人事 | 選択した共有設定に基づくすべてのユーザー |
OneDrive コンテンツには、 | HR のみ | 営業と人事 | 研究と人事 | コンテンツが共有されているユーザー |
organizationで SharePoint と OneDrive の情報バリアを有効にする
SharePoint と OneDrive の情報バリアの有効化は、1 つのアクションで構成されます。 サービスの情報バリアを個別に有効にすることはできません。 OneDrive の情報バリアを有効にするには、「organizationで SharePoint と OneDrive の情報バリアを有効にする」を参照してください。 SharePoint と OneDrive の情報バリアを有効にしたら、この記事の OneDrive ガイダンスに進んでください。
前提条件
- 情報バリアのライセンス要件を満たしていることを確認します。
- セグメント間の通信を許可またはブロックし、ポリシーをアクティブ化する情報バリア ポリシーを作成します。 セグメントを作成し、それぞれにユーザーを定義します。
- 情報バリア ポリシーを構成してアクティブ化したら、変更がorganizationに反映されるまで 24 時間待ちます。
- OneDrive の情報バリアを有効にします。 SharePoint と OneDrive の情報バリアの有効化は 1 つのアクションで構成され、これらのサービスを個別に有効にすることはできません。 OneDrive の情報バリアを有効にするには、「 SharePoint で情報バリアを使用する 」のガイダンスと手順を参照してください。
- 次のセクションの手順を実行して、organizationで OneDrive の情報バリアをカスタマイズおよび管理します。
PowerShell を使用して、OneDrive に関連付けられているセグメントを表示する
重要
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 グローバル管理者ロールを持つユーザーの数を最小限に抑えることで、organizationのセキュリティを向上させることができます。 Microsoft Purview のロールとアクセス許可の詳細については、こちらをご覧ください。
グローバル管理者または SharePoint 管理者は、ユーザーの OneDrive に関連付けられているセグメントを表示および変更できます。 organizationには最大 5,000 個のセグメントを含め、ユーザーを複数のセグメントに割り当てることができます。
重要
5,000 個のセグメントのサポートと複数のセグメントへのユーザーの割り当ては、組織が Legacy モードでない場合にのみ使用できます。 ユーザーを複数のセグメントに割り当てるには、組織の情報バリア モードを変更するための追加操作が必要です。 詳細については、「情報バリアで複数セグメントのサポートを使用する」を参照してください。
Legacy モードの組織の場合、サポートされるセグメントの最大数は 250 個であり、ユーザーは 1 つのセグメントにのみ割り当てられるように制限されます。
レガシ モードの組織は、今後、最新バージョンの情報バリアにアップグレードする資格があります。 詳細については、情報バリアのロードマップを参照してください。
セキュリティ & コンプライアンス センター PowerShell にグローバル管理者として接続します。
次のコマンドを実行して、セグメントとその GUID の一覧を取得します。
Get-OrganizationSegment | ft Name, EXOSegmentID
セグメントの一覧を保存します。
名前 EXOSegmentId 営業 a9592060-c856-4301-b60f-bf9a04990d4d 研究 27d20a85-1c1b-4af2-bf45-a41093b5d111 HR a17efb47-e3c9-4d85-a188-1cd59c83de32 以前に完了していない場合は、最新のSharePoint Online 管理シェルをダウンロードしてインストールします。 以前のバージョンのSharePoint Online 管理シェルをインストールした場合は、organizationの記事の「SharePoint と OneDrive の情報バリアを有効にする」の手順に従ってください。
Microsoft 365 のグローバル管理者または SharePoint 管理者として SharePoint Online に接続します。 方法の詳細については、「SharePoint Online 管理シェルの使用を開始する」を参照してください。
次のコマンドを実行します。
Get-SPOSite -Identity <site URL> | Select InformationSegment
以下に例を示します。
Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationSegment
ユーザーの OneDrive でセグメントを管理する
警告
ユーザーの OneDrive に関連付けられているセグメントが、ユーザーに適用されたセグメントと一致しない場合、ユーザーは OneDrive にアクセスできません。 セグメント以外のユーザーの OneDrive にセグメントを関連付けないように注意してください。
注:
ユーザーのセグメントが変更された場合、行った変更はすべて上書きされます。
セグメントを OneDrive に関連付けるには、SharePoint Online 管理シェルで次のコマンドを実行します。
重要
5,000 個のセグメントのサポートと複数のセグメントへのユーザーの割り当ては、組織が Legacy モードでない場合にのみ使用できます。 ユーザーを複数のセグメントに割り当てるには、組織の情報バリア モードを変更するための追加操作が必要です。 詳細については、「情報バリアで複数セグメントのサポートを使用する」を参照してください。
Legacy モードの組織の場合、サポートされるセグメントの最大数は 250 個であり、ユーザーは 1 つのセグメントにのみ割り当てられるように制限されます。
レガシ モードの組織は、今後、最新バージョンの情報バリアにアップグレードする資格があります。 詳細については、情報バリアのロードマップを参照してください。
Set-SPOSite -Identity <site URL> -AddInformationSegment <segment GUID>
以下に例を示します。
Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -AddInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111
OneDrive にセグメントを追加すると、サイトの IB モードが自動的に [明示的] に更新されます。 OneDrive 上の既存のセグメントと互換性のないセグメントを関連付けようとすると、エラーが表示されます。
重要
ユーザーを複数のセグメントに割り当てるサポートは、組織が Legacy モードでない場合にのみ利用できます。 organizationがレガシ モードであるかどうかを判断するには、「organizationの IB モードを確認する」を参照してください。
Legacy モードの組織では、ユーザーは 1 つのセグメントにのみ割り当てられるように制限されています。
レガシ モードの組織は、今後、最新バージョンの情報バリアにアップグレードする資格があります。 詳細については、情報バリアのロードマップを参照してください。
OneDrive からセグメントを削除するには、次のコマンドを実行します。
Set-SPOSite -Identity <site URL> -RemoveInformationSegment <segment GUID>
以下に例を示します。
Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -RemoveInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111
OneDrive サイトのすべてのセグメントが削除されると、OneDrive の IB モードが自動的に [開く] に更新されます。
ユーザーの OneDrive の IB モードを管理する (プレビュー)
重要
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 グローバル管理者ロールを持つユーザーの数を最小限に抑えることで、organizationのセキュリティを向上させることができます。 Microsoft Purview のロールとアクセス許可の詳細については、こちらをご覧ください。
OneDrive サイトの IB モードを表示するには、SharePoint 管理者またはグローバル管理者としてSharePoint Online 管理シェルで次のコマンドを実行します。
Get-SPOSite -Identity <site URL> | Select InformationBarriersMode
以下に例を示します。
Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationBarriersMode
SharePoint 管理者またはグローバル管理者は、OneDrive サイトの IB モードを管理して、新しい IB モードでorganizationのニーズを満たすこともできます。
所有者モデレート モードの例
互換性のないセグメント ユーザーに OneDrive へのアクセスを許可します。 たとえば、テナント内の Sales と Research の両方のセグメント ユーザーが HR ユーザーの OneDrive にアクセスできるようにする場合です。
所有者モデレート は、互換性のないセグメント ユーザーがモデレーター/所有者の存在下で OneDrive にアクセスできるようにする OneDrive サイトに適用されるモードです。 サイト所有者のみが、同じサイトで互換性のないセグメント ユーザーを招待する機能を持っています。
OneDrive サイト IB モードを 所有者モデレートに更新するには、次の PowerShell コマンドを実行します。
Set-SPOSite -Identity <siteurl> -InformationBarriersMode OwnerModerated
所有者モデレート IB モードは、セグメントがあるサイトでは設定できません。 IB モードを所有者モデレートに設定する前に、セグメントを削除します。 所有者モデレート されたサイトへのアクセスは、サイトアクセス許可を持つユーザーに対して許可されます。 所有者モデレート OneDrive とそのコンテンツの共有は、IB ポリシーに従ってサイト所有者のみが許可します。
混合モードの例
セグメントに関連付けられている OneDrive へのアクセスを、セグメント化されていないユーザーに許可します。 たとえば、HR ユーザーの OneDrive に、テナント内の HR セグメントとセグメント化されていないユーザーがアクセスできるようにする必要があります。 OneDrive サイトに適用される混合モード。セグメント化されたユーザーとセグメント化されていないユーザーが OneDrive にアクセスできるようにします。
OneDrive サイト IB モードを Mixed に更新するには、次の PowerShell コマンドを実行します。
Set-SPOSite -Identity <siteurl> -InformationBarriersMode Mixed
セグメントのないサイトでは、混合 IB モードを設定できません。 IB モードを Mixed に設定する前にセグメントを追加します。
ユーザー セグメントへの変更の影響
ユーザーのセグメントが変更された場合、「OneDrive の情報バリア」セクションで説明されているように、OneDrive のセグメントと IB モードは 24 時間以内に自動的に更新されます。
例 1: ユーザーのセグメントが Research から Sales に更新され、ユーザーの OneDrive は 24 時間以内に次のように更新されます。
- セグメント: 売上、人事
- IB モード: 明示的
例 2: ユーザーのセグメントが HR から None に更新され、ユーザーの OneDrive は 24 時間以内に次のように更新されます。
- セグメント: なし
- IB モード: 開く
情報バリア ポリシーへの変更の影響
コンプライアンス管理者が既存のポリシーを変更すると、OneDrive に関連付けられているセグメントの互換性に影響を与える可能性があります。
たとえば、一度互換性があったセグメントは互換性がなくなった可能性があります。 SharePoint 管理者は、影響を受けるサイトに関連付けられているセグメントを適宜変更する必要があります。 PowerShell で情報バリア ポリシー コンプライアンス レポートを作成する方法について説明します。
ファイルの共有後にポリシーが変更された場合、共有リンクは、共有ファイルにアクセスしようとしているユーザーに、OneDrive に関連付けられているセグメントと一致するセグメントが適用されている場合にのみ機能します。
監査
監査イベントは、Microsoft Purview ポータルとMicrosoft Purview コンプライアンス ポータルで使用でき、情報バリア アクティビティの監視に役立ちます。 監査イベントは、次のアクティビティに対してログに記録されます。
- SharePoint と OneDrive の有効な情報バリア
- サイトに適用されたセグメント
- サイトのセグメントを変更しました
- サイトのセグメントを削除しました
- サイトに適用された情報バリア モード
- サイトの情報バリア モードを変更しました
- SharePoint と OneDrive の無効な情報バリア
Office 365での OneDrive セグメント監査の詳細については、「監査ログを検索する」を参照してください。