機密ラベルを作成して管理する

  • 8 分

Microsoft Purview Information Protection の秘密度ラベルを使用すると、組織のデータを 分類 および 保護 しながら、ユーザーの生産性と共同作業を行う能力が損なわれないようにすることができます。 秘密度ラベルを使用することで、Teams 管理者は、チーム内での共同作業中に作成された機密性の高い組織コンテンツへのアクセスを保護し管理することができます。

秘密度ラベルは、次の目的に使用できます。

  • 暗号化およびコンテンツ マーキングを含む保護設定を提供します。

  • さまざまなプラットフォームおよびデバイス間で Office アプリのコンテンツを保護する。

  • Microsoft Defender for Cloud Apps を使用してサード パーティ製アプリおよびサービスのコンテンツを保護する。

  • Teams、Microsoft 365 グループ、SharePoint サイトを含むコンテナーを保護します。

  • 秘密度ラベルの適用を Power BI に拡大する。

  • Microsoft Purview データ マップ内のアセットに秘密度ラベルを拡張する。

  • 秘密度ラベルの適用をサード パーティ製アプリやサービスに拡大する。

  • 保護設定を使わずにコンテンツを分類する。

ラベル スコープ

機密度ラベルを作成するとき、2 つのことを決定するラベルのスコープを構成するように求められます。

  • そのラベルに構成できるラベル設定

  • ラベルがユーザーに表示される場所

秘密度ラベルを次の範囲に適用できます。

  • ファイルとメール: メールと Office ファイル

  • グループとサイト: Microsoft Teams サイト、Microsoft 365 グループ、SharePoint サイト

  • スキーマ化されたデータ アセット

    秘密度ラベルのスコープ オプションのスクリーンショット

グループとサイト (コンテナー) の秘密度ラベルの設定

秘密度ラベルは、アイテム レベル (ファイルとメール) またはコンテナー レベル (Microsoft Teams サイト、Microsoft 365 グループ、SharePoint サイトなど) に適用できます。 コンテナー レベルの分類と保護を設定するには、次のラベル設定を使用できます。

  • チーム サイトおよび Microsoft 365 グループのプライバシー (パブリックまたはプライベート)

  • 外部ユーザーのアクセス

  • SharePoint サイトからの外部共有

  • 非管理対象デバイスからのアクセス

  • 認証コンテキスト (プレビュー段階)

  • SharePoint サイトの既定共有リンク (PowerShell のみの構成)

  • プレビュー中: サイト共有設定 (PowerShell 専用構成)

プライバシーと外部ユーザー アクセスの設定

プライバシー外部ユーザーのアクセス 設定を構成します。

  • プライバシー: 組織内の誰かがこのラベルが適用されているチーム サイトまたはグループにアクセスできるようにする場合は、既定の [パブリック] をそのまま使用します。

    組織内の承認されたメンバーのみにアクセスを制限する場合は、[プライベート] を選択します。

    秘密度ラベルを使用してコンテナー内のコンテンツを保護し、ユーザーが自分でプライバシー設定を構成できるようにする場合は、[なし] を選択します。

    このラベルをコンテナーに適用すると、[パブリック] または [プライベート] の設定によってプライバシー設定が設定およびロックされます。 選択した設定は、チームまたはグループに構成されている可能性がある以前のプライバシー設定を置き換え、プライバシー値をロックします。これにより、コンテナーから最初に秘密度ラベルを削除することによってのみ、変更できるようになります。 秘密度ラベルを削除しても、ラベルからのプライバシー設定は維持され、ユーザーは再びラベルを変更することができます。

  • 外部ユーザー アクセス: グループの所有者がグループにゲストを追加できるかどうかを制御します。

    プライバシーと外部ユーザー アクセスの設定のスクリーンショット。

デバイスの外部共有とデバイス アクセスの設定

[ラベル付き SharePoint サイトからの外部共有を制御] および [Azure AD 条件付きアクセスを使用して、ラベル付き SharePoint サイトを保護] 設定を構成します。

  • [ラベル付き SharePoint サイトからの外部共有を制御]: このオプションを選択して、すべてのユーザー、新規および既存のゲストを選択するか、組織内のユーザのみを選択します。

  • Azure AD 条件付きアクセスを使用して、ラベル付き SharePoint サイトを保護: Azure Active Directory の条件付きアクセス を構成して使用している場合のみ、このオプションを選択します。次に、次のいずれかの設定を選択します。

    • ユーザーが管理外のデバイスから SharePoint サイトにアクセスできるかどうかを決定する: このオプションでは、Azure ADの条件付きアクセスを使用して、管理されていないデバイスからの SharePoint および OneDrive コンテンツへのアクセスをブロックまたは制限する SharePoint 機能を使用します。

    • 既存の認証コンテキストを選択する: 現在プレビュー版ですが、このラベルが適用されている SharePoint サイトにユーザーがアクセスする場合に、より厳しいアクセス条件を適用することができます。 これらの条件は、組織の条件付きアクセスを展開するために作成され、公開された既存の認証コンテキストを選択した場合に適用されます。 ユーザーが構成された条件を満たさない場合や、認証コンテキストをサポートしていないアプリを使用している場合は、アクセスが拒否されます。

      デバイスの外部共有とデバイス アクセスの設定のスクリーンショット。

サポートされているコンテナーにこの秘密度ラベルを適用すると、分類および保護の設定が、接続されたサイトまたはグループに自動的に適用されます。 ただし、これらのコンテナーのコンテンツは、視覚的なマーキング、または暗号化の分類および設定のラベルを継承しません。

  • SharePoint および OneDrive で Office ファイルの秘密度ラベルを有効にして、ユーザーが SharePoint サイトまたはチーム サイトでドキュメントにラベルを付けられるようにします。

    SharePoint および OneDrive で Office ファイルの機密度ラベルが有効になっているスクリーンショット。

  • 指定した条件に一致したときに、そのラベルをファイルやメールに自動的に割り当てることができます。 詳細については、「秘密度ラベルを自動でコンテンツに適用する」を参照してください。

    条件に一致したときに、そのラベルをファイルやメールに自動的に割り当てるスクリーンショット。

グループとサイトに対する秘密度ラベルを有効にする

[サイトとグループの設定] の構成オプションは、この機能を有効にするまで表示されません。 手順に従って、Azure AD で機能を有効にします。

  1. コンピューターで Windows PowerShell ウィンドウを開き、次のコマンドを実行します。

  2. 資格情報を使用して Azure AD に接続します。

    Import-Module AzureADPreview
Connect-AzureAD

  3. Azure AD 組織の現在のグループ設定を取得します。

    $Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id

    注意

    この Azure AD 組織に対してグループ設定が作成されていない場合、最初に設定を作成する必要があります。 この Azure AD 組織にグループの設定を作成するには、「グループの設定を構成するための Azure Active Directory コマンドレット」の手順に従います。

  4. 機能を有効にする :

    $Setting["EnableMIPLabels"] = "True"

  5. 次に、変更を保存し、設定を適用します。

    Set-AzureADDirectorySetting -Id $Setting.Id -DirectorySetting $Setting

    注意

    2019 年 9 月より前に秘密度ラベルを使用していた場合は、秘密度ラベルをAzure ADに同期する必要もあります。 手順については、「コンテナーの秘密度ラベルを有効化してラベルを同期する方法」を参照してください。

秘密度ラベルを作成して発行する

グローバル管理者は、Microsoft Purview コンプライアンス ポータルから秘密度ラベルを作成および管理できます。 「秘密度ラベルを作成して発行する」の手順を参照してください。

  1. Microsoft Purview コンプライアンス ポータル > Information protection に移動します。

  2. [ラベル] タブで、[+ ラベルの作成] を選択して、[新しい秘密度ラベル] ウィザードを起動します。

  3. [ラベルに名前を付けてヒントを作成する] ページで情報を入力します。

  4. [このラベルのスコープを定義する] ページで、[グループとサイト] または他の範囲を選択します。

    選択したオプションによって、構成できる設定のラベルのスコープと、公開時に表示される場所が決まります。

  5. ウィザードで、ラベル設定の指示に従い、作成を完了します。

    [サイトとグループの設定] タブのスクリーンショット。

秘密度ラベルを作成したら、ラベル ポリシーを作成して、秘密度ラベルを発行する必要があります。 このラベルを含む秘密度ラベル ポリシーが割り当てられているユーザーには、サイトとグループ用にそのラベルを選択できます。

チーム、グループ、またはサイトにラベルを適用すると、それらのサイトとグループの設定のみが有効になります。 暗号化やコンテンツ マーキングなどのその他のラベル設定は、チーム、グループ、またはサイト内のコンテンツに適用されません。

Teams で秘密度ラベルを使用する

管理者は秘密度ラベルを作成でき、ユーザーは、チームの作成中にこのラベルを適用することで、特定のプライバシー (パブリックまたはプライベート) 設定を持つチームを作成できます。

たとえば、管理者は「社外秘」という秘密度ラベルを作成し、このラベルが付いたチームはプライベート チームにする必要があるというポリシーを設定します。 ユーザーが新しいチームを作成し、[社外秘] ラベルを選択すると、ユーザーが使用できる唯一のプライバシー オプションは [非公開] になります。 他のプライバシー オプション (公開や組織全体など) は、ユーザーに対して無効になっています。

「社外秘」秘密度ラベルのスクリーンショット。

チームが作成されると、チーム内のチャネルの右上隅に秘密度ラベルが表示されます。

チーム チャネル ウィンドウでの秘密度ラベルのスクリーンショット。

チームの所有者は、チームを開いて [チームの編集] をクリックすることで、チームの秘密度ラベルとプライバシー設定をいつでも変更できます。

[自分のチーム チャネルの編集] ページのスクリーンショット。

注意

コンテナーの秘密度ラベルを有効にすると、Microsoft 365 は新しい Microsoft 365 のグループおよび SharePoint サイト向けに古い分類をサポートしなくなります。 ただし、秘密度ラベルをサポートしている既存のグループおよびサイトには、秘密度ラベルを使用するように変換しない限り、古い分類値が引き続き表示されます。 詳細については、「Microsoft 365 グループの Azure Active Directory と秘密度ラベル」を参照してください。

詳細については、以下を参照してください。