ダウンロードしたドキュメントへのアクセス許可を拡張するように秘密度ラベルを使用して SharePoint を構成する
注:
SharePoint のアクセス許可を拡張するための次の機能は、プレビュー段階で段階的にロールアウトされ、変更される可能性があります。
秘密 度ラベルに対して SharePoint が有効になっている場合、ドキュメント ライブラリを構成して、既存の SharePoint サイトのアクセス許可をライブラリからダウンロードするときにドキュメントに拡張できます。 その後、ファイルが元の SharePoint 境界を離れた場合でも、そのライブラリのラベル付けされていないファイルは引き続き、ユーザーの現在の SharePoint アクセス許可で保護されます。
たとえば、秘密度ラベルとして [機密] \ [信頼されたPeople] ラベルを選択して、ドキュメント ライブラリのアクセス許可を拡張します。 そのライブラリでは、特定のユーザー グループに対する読み取りアクセス許可のみを許可するようにサイトが構成されています。 そのグループのユーザーがサイトからファイルをダウンロードし、そのファイルのラベルが Confidential \ Trusted Peopleになりました。 ファイルが SharePoint に存在しなくなった場合でも、そのユーザーはコンテンツの表示と編集、またはラベルの削除のみを行うことができます。 SharePoint のファイルにアクセスできるユーザーのみが、ダウンロードしたファイルにアクセスできます。 SharePoint のファイルにアクセスできないユーザーは、保存されている場所に関係なく、ダウンロードしたファイルを開くことができません。
さらに、ファイルをダウンロードしたユーザーも次の状況ではファイルを開くことができないため、ファイルには Just-In-Time 保護レイヤーがあります。
- そのユーザーのアクセス許可がファイルから削除される
- ファイルがサイトから削除される
- サイトがアクティブではなくなりました
- ファイルが別のサイトに移動される
ユーザーの SharePoint アクセス許可が変更された場合、それらの変更はダウンロードされたファイルに反映されます。
これらのラベル付きファイルがドキュメント ライブラリにある場合、コピーおよび移動アクションからも保護されます。
- ファイルを別のサイトにコピーしたり、別のサイトに移動したりすることはできません。
- ファイルは、ユーザーがリストを作成または削除するための SharePoint アクセス許可を持っている場合にのみ、同じサイト内の別のドキュメント ライブラリにコピーまたは移動できます。
指定された秘密度ラベルは、ラベル付けされていないすべてのファイルと、ラベル付けされているがラベル構成が暗号化を適用しないファイルに適用されます。 OneDrive と同期されたファイルにもラベルが付けられます。
ラベル付けされているが暗号化されていない既存のファイルの場合、手動で適用されたラベルも指定されたラベルに置き換えられます。 考えられる結果の概要については、「このページで 既存のラベルをオーバーライドする」 を参照してください。
現在、Microsoft 365 Copilotは、この構成でラベル付けされた未開きファイルにアクセスできません。
暗号化されていないファイルにはラベルを付け直すことができるため、このラベル付け構成は、ラベル付けの展開の初期段階にあり、他の方法を使用して SharePoint サイト内のファイルにラベルを付けていない組織に適しています。
既存のラベルはオーバーライドされますか?
結果の概要:
| 既存のラベル | ライブラリ ラベルでオーバーライドしてアクセス許可を拡張する |
|---|---|
| 任意の方法 (手動、自動、ポリシーからの既定のラベル) を使用して適用されたラベルとラベル構成で暗号化が適用されない、優先順位 | はい |
| 任意の方法 (手動、自動、ポリシーからの既定のラベル) を使用して適用されたラベルとラベル構成では、暗号化、任意の優先順位が適用されます | いいえ |
要件
SharePoint ドキュメント ライブラリの秘密度ラベルを選択するユーザーに発行された秘密度ラベルを 作成して発行 しました。 ラベルには、次の構成が必要です。
ファイルとその他のデータ資産のラベル スコープ
[ユーザーがラベルを適用するときにアクセス許可を割り当てよう] の暗号化設定で [アクセス制御] が選択され、[Word、PowerPoint、Excel で、ユーザーにアクセス許可の指定を求めるメッセージが表示されます] チェック ボックスがオンになっています。 この設定は、"ユーザー定義のアクセス許可" と呼ばれることもあります。
注:
ラベルのこのアプリケーションでは、ユーザーはアクセス許可の入力を求められませんが、ファイルのダウンロード、コピー、またはサイトからの移動時に SharePoint のアクセス許可が自動的に適用されます。
SharePoint と OneDrive で Office ファイルの秘密度ラベルを有効にしました。 この状態をチェックするには、SharePoint Online 管理シェルから
(Get-SPOTenant).EnableAIPIntegrationを実行して、値が True に設定されていることを確認します。テナントでは、 秘密度ラベルで暗号化されたファイルの共同編集が有効になっています。
PDF の秘密度ラベルをサポートするために、 SharePoint で PDF のサポートを追加しました。 この状態をチェックするには、SharePoint Online 管理シェルから
(Get-SPOTenant).EnableSensitivityLabelforPDFを実行して、値が True に設定されていることを確認します。ファイルをダウンロードするMicrosoft 365 Apps for enterpriseの Windows アプリには、現在のチャネル、月次エンタープライズ チャネル、または Semi-Annual Enterprise Channel から 2402 の最小バージョンが必要です。
SharePoint Information Rights Management (IRM) はライブラリに対して有効になっていません。 この古いテクノロジは、SharePoint ドキュメント ライブラリに秘密度ラベルを使用する場合と互換性がありません。 ライブラリが IRM に対して有効になっている場合、秘密度ラベルを選択することはできません。
SharePoint で秘密度ラベルを適用および変更するには、サイト管理者のアクセス許可が必要です。
ファイルには、ラベル付けするコンテンツが含まれている必要があります。
SharePoint で秘密度ラベルでサポートされているファイルの種類の一覧を確認する必要がある場合は、「 サポートされているファイルの種類」を参照してください。
使用権限への SharePoint アクセス許可のマッピング
次の表を使用して、ファイルのダウンロード時、またはサイトの外部へのコピーと移動時に、ユーザーの SharePoint アクセス許可を 権限管理の使用権限 と アクセス許可レベル に拡張する方法を理解します。
| SharePoint アクセス許可 | 適用される使用権限 | アクセス許可レベル |
|---|---|---|
| Owner | 適用されたコンテンツ、すべてのアクセス許可、秘密度ラベルを完全に制御します。 表示、抽出、DOCEDIT、編集、エクスポート、コメント、印刷、転送、返信、REPLYALL、VIEWRIGHTSDATA、EDITRIGHTSDATA、OBJMODEL *、OWNER * |
Owner |
| Edit | コンテンツを完全に制御できますが、適用される秘密度ラベルを変更することはできません。 表示、抽出、DOCEDIT、編集、エクスポート、コメント、印刷、転送、返信、REPLYALL、VIEWRIGHTSDATA |
エディター |
| Read | コンテンツを表示できますが、適用されたコンテンツまたは秘密度ラベルを変更することはできません。 VIEW、VIEWRIGHTSDATA |
ビューアー |
* 現時点では、これらの使用権限は適用されず、その結果、ユーザーは秘密度ラベルを変更できますが、削除することはできません。
制限事項
この構成を使用する場合は、次の制限が適用されます。
ユーザーは、暗号化を適用するように構成されていない秘密度ラベルを手動で適用することはできません。
ユーザーはダウンロードしたファイルをオフラインで開くことができません。元のサイトに接続できる必要があります。
元の SharePoint サイト、フォルダー、またはファイルが削除された場合、ユーザーはダウンロードしたファイルを開くことができません。
この構成でラベル付けされたファイルを別のサイトに移動またはコピーすることはできません。
この構成でラベル付けされたファイルは、ユーザーがリストを作成または削除するための SharePoint アクセス許可を持っている場合にのみ、同じサイト内の別のドキュメント ライブラリに移動またはコピーできます。 コピーまたは移動されたファイルのラベルは保持されません。
ラベルが暗号化を適用するように構成されていない場合、この構成は、以前に手動で適用されたラベルをオーバーライドできます。
現在、この構成でラベル付けされたファイルは、 コンテンツ エクスプローラーでラベル付けとして表示されません。
Microsoft 365 Copilotユーザーが SharePoint の読み取りアクセス許可を持っているが、これらのファイルを要約しない場合は、ラベル付きファイルを参照できます。 ファイルは要約できないため、Copilot が新しいコンテンツを生成するために使用することもできません。
注:
Azure Rights Management で暗号化されたすべてのファイルと同様に、 スーパー ユーザー は、元の場所にアクセスできなくなったため、暗号化されたドキュメントが必要になった場合に開くことができます。
ダウンロードしたドキュメントへのアクセス許可を拡張する秘密度ラベル用に SharePoint ドキュメント ライブラリを構成する方法
この構成では、まず、SharePoint Online 管理シェルで PowerShell を使用してテナントの機能を有効にする必要があります。 次に、ドキュメント ライブラリの設定で新しいチェック ボックスを使用できるようになります。
PowerShell コマンドを実行して、SharePoint のアクセス許可を拡張するためのサポートを有効にする
バージョン 16.0.25430.12000 以降SharePoint Online 管理シェル実行していることを確認します。
新しい機能を有効にするには、ExtendPermissionsToUnprotectedFiles パラメーターで Set-SPOTenant コマンドレットを使用します。
Microsoft 365 で SharePoint 管理者特権を持つ職場または学校アカウントを使用して、SharePoint に接続します。 方法の詳細については、「SharePoint Online 管理シェルの使用を開始する」を参照してください。
注:
Microsoft 365 Multi-Geo を使用している場合、Connect-SPOService を使用して -Url パラメータを使用し、地理的位置のいずれかに SharePoint Online 管理センターのサイト URL を指定します。
次のコマンドを実行し、 Y キーを押して確認します。
Set-SPOTenant -ExtendPermissionsToUnprotectedFiles $true機能が有効になっていないことを示すエラーが表示される場合は、ロールアウトがまだテナントに到達していないために発生する可能性が最も高くなります。
Microsoft 365 Multi-Geo の場合: 残りの地域の場所ごとに手順 1 と手順 2 を繰り返します。
SharePoint のすべてのテナント レベルの構成変更と同様に、変更が有効になるまでに約 15 分かかります。
既定のラベルを使用して SharePoint ドキュメント ライブラリを構成してアクセス許可を拡張する
この構成を行う SharePoint ドキュメント ライブラリごとに、「 SharePoint ドキュメント ライブラリに秘密度ラベルを追加する」の手順に従って、[ダウンロード時に保護を拡張する]チェック ボックスをオンにして 、コピーまたは移動します。
![SharePoint ライブラリの既定の秘密度ラベルの [アクセス許可の拡張] チェック ボックス。](media/spo-extend-permissions.png)
前の PowerShell コマンドが完了するまで、このチェック ボックスは表示されません。
ユーザー定義のアクセス許可で暗号化を適用する秘密度ラベルを選択したら、構成を保存します。
注:
この機能は、暗号化なしの秘密度ラベルをサポートする SharePoint ドキュメント ライブラリの既定の秘密度ラベル と、[ アクセス許可を今すぐ割り当てる ] オプション ("管理者定義のアクセス許可" とも呼ばれます) で構成されている秘密度ラベルを選択するオプションと、相互に排他的です。
選択した秘密度ラベルは、ラベルが付いていないすべてのファイルと、ラベル付けされているがラベル構成が暗号化を適用しないファイルに適用されます。 ドキュメント ライブラリの [秘密度 ] 列には、既存のファイル、新規ファイル、編集済みファイルの選択したラベルが表示されます。 ユーザーは、編集のためにファイルを開いたときに選択したラベルが表示されますが、ラベルの結果としてアクセス許可が変更されることはありません。
ライブラリが秘密度ラベルで構成されると、ライブラリがOneDrive 同期 クライアント経由で同期されている場合、既存のすべてのファイルが再同期されます。 再同期プロセスにはしばらく時間がかかる場合があり、完了するまで、拡張保護は適用されません。
重要
秘密度ラベル用に構成した SharePoint ドキュメント ライブラリでは、ユーザーは Office アプリで適用されている秘密度ラベルを削除できません。また、置き換えラベルが暗号化を適用する場合にのみ変更できます。
SharePoint のアクセス許可を拡張する秘密度ラベルのアプリケーションの監視
この構成は、ドキュメント ライブラリの既定の秘密度ラベルの機能を拡張するため、 同じ方法でその構成を監視します。 秘密度ラベル GUID は、ユーザー定義のアクセス許可の暗号化構成を識別します。 ファイルのダウンロード、コピー、または移動時の個別のラベル付け監査イベントはありません。
この機能をオフにする方法
特定の SharePoint ドキュメント ライブラリで秘密度ラベルを使用してアクセス許可を拡張しない場合は、SharePoint ドキュメント ライブラリの設定として [ ダウンロード時の保護の拡張、コピー、または移動 ] チェック ボックスをオフにします。 その後で以下の手順に従います。
この構成で以前にラベル付けされていたドキュメント ライブラリ内のファイルは、暗号化を適用しなかった元のラベルに戻されるか、チェックボックスがオンになる前に元の状態であった場合はラベル付けされません。
OneDrive と同期されたファイルは再同期され、同様に以前のラベルの状態に戻ります。 再同期プロセスにはしばらく時間がかかる場合があり、完了するまで、拡張保護は残ります。
現在ダウンロードされたラベル付きファイルは、そのラベルを保持します。
この機能を以前に有効にして構成したときにテナント レベルでオフにする場合は、まず、選択されているすべてのドキュメント ライブラリから [ ダウンロード時の保護の拡張、コピー、または移動 ] チェック ボックスをオフにします。 次に、ExtendPermissionsToUnprotectedFiles パラメーターと同じ Set-SPOTenant コマンドレットを使用しますが、値を false に設定します。 その後で以下の手順に従います。
- [ ダウンロード時、コピー時、または移動時に保護を拡張 する] チェック ボックスは、SharePoint ドキュメント ライブラリの設定として表示されなくなりました。
最初にドキュメント ライブラリのチェック ボックスをオフにせずにテナント レベルで機能をオフにした場合、構成は残りますが、オフにするチェック ボックスはありません。
このシナリオでは、構成をオフにするには、 PowerShell コマンドを実行して、SharePoint のアクセス許可を拡張して チェック ボックスを再度表示するようにサポートを有効にして、オフにすることができます。 テナント レベルでサポートを再び有効にしたくない場合は、Microsoft サポートに連絡して PowerShell コマンドを使用して、特定のドキュメント ライブラリの構成を削除してください。
次の手順
この構成では、SharePoint に格納されているファイルに対して大規模な保護が即時に提供されますが、より高いレベルの保護が必要になる可能性があるファイルの内容は考慮されません。 コンテンツ検査を使用して暗号化で秘密度 ラベルを適用する自動ラベル付け で、このラベル付け方法を補完することを検討してください。