保管ロックを使用して、アイテム保持ポリシーと保持ラベル ポリシーへの変更を制限する
重要
現在、 アダプティブ ポリシー スコープ で保持ロックはサポートされていません。
保管ロックは、アイテム保持ポリシーまたは保持ラベル ポリシーをロックして、グローバル管理者を含む誰もがポリシーをオフにしたり、ポリシーを削除したり、制限を緩和したりできないようにします。 この構成は、規制要件のために必要になる場合があります。また、不正な管理者からの保護に役立ちます。
保持ポリシーがロックされている場合:
- ポリシーを無効にしたり削除したりすることはできません
- 場所は追加できますが、削除できません
- 保持期間を延長することはできますが、短縮することはできません
保持ラベル ポリシーがロックされている場合:
- ポリシーを無効にしたり削除したりすることはできません
- 場所は追加できますが、削除できません
- ラベルは追加できますが、削除できません
つまり、ロックされたアイテム保持ポリシーを増やしたり延長したりすることは可能ですが、減らしたり、オフにしたりすることはできません。
重要
アイテム保持ポリシーまたは保持ラベル ポリシーをロックする前に、その影響を理解し、それが組織に必要であるかどうかを確認することが非常に重要です。 たとえば、規制要件を満たす必要がある場合があります。 保管ロックを適用すると、管理者はこれらのポリシーを無効にすることも削除することもできなくなります。
アイテムを規制レコードとしてマークするラベルのみが含まれる公開したアイテム保持ラベル ポリシーか、アイテム保持ポリシーの作成後に保管ロックを構成します。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview 試用版ハブから開始します。 サインアップと試用期間の詳細については、こちらをご覧ください。
アイテム保持ポリシーまたは保持ラベル ポリシーをロックする方法
保管ロックを使用する必要がある場合は、PowerShell を使用する必要があります。 管理者は、保管ロックが適用された後に保持に関するポリシーを無効にしたり、削除したりすることができないため、この機能の有効化は、偶発的な構成を予防するものとして UI で使用することはできません。
保持ロックのいかなる構成にも対応するすべてのアイテム保持ポリシー。 保持ラベル ポリシーに保管ロックを適用するには、アイテムを規制レコードとしてマークするラベルのみがそれに含まれる必要があります。
Get-RetentionCompliancePolicy を実行してロックするポリシーの名前を検索します。 以下に例を示します。
ポリシーに保管ロックを設定するには、ポリシーの名前を指定して Set-RetentionCompliancePolicy コマンドレットを実行し、RestrictiveRetention パラメーターを true に設定します。
Set-RetentionCompliancePolicy -Identity "<Name of Policy>" -RestrictiveRetention $true
例:
メッセージが表示されたら、この構成に含まれる制限事項を読んで確認し、Yを選びます。
アイテム保持ポリシーに保管ロックが設定されました。 確認するには、Get-RetentionCompliancePolicy
をもう一度実行しますが、ポリシーの名前を指定してポリシー パラメーターを表示します。
Get-RetentionCompliancePolicy -Identity "<Name of Policy>" |Fl
RestrictiveRetention が True に設定されていることを確認する必要があります。 例: