次の方法で共有


ダイナミック アクセス制御:シナリオの概要

Windows Server 2012 では、ファイル サーバー全体にデータ ガバナンスを適用して、情報へのアクセスを許可するユーザーをコントロールし、情報にアクセスしたユーザーを監査できます。 ダイナミック アクセス制御により、次のことが可能になります。

  • 自動および手動によるファイルの分類を使用してデータを特定する。 たとえば、組織のすべてのファイル サーバーのデータにタグを付けることができます。

  • 集約型のアクセス ポリシーを使用するセーフティネット ポリシーを適用し、ファイルへのアクセスを制御する。 たとえば、組織内の正常性情報にアクセスできるユーザーを定義できます。

  • 集約型の監査ポリシーを使用してファイルへのアクセスを監査し、コンプライアンス レポートや法的分析に使用する。 たとえば、高機密情報にアクセスしたユーザーを特定できます。

  • 自動 Rights Management サービス (RMS) 暗号化を使用して、機密性の高い Microsoft Office ドキュメントに RMS 保護を適用する。 たとえば、医療保険の携行性と責任に関する法律 (HIPAA) に関連する情報を含むすべてのドキュメントを暗号化するように RMS を構成できます。

パートナーや基幹業務アプリケーションは、ダイナミック アクセス制御機能セットの基盤となるインフラストラクチャ投資をさらに応用できます。また、組織が Active Directory を使用している場合、これらの機能が提供する価値はより大きくなります。 このインフラストラクチャの特徴は次のとおりです。

  • 条件式と集約型ポリシーの処理に対応した Windows 用の新しい承認および監査エンジン。

  • Kerberos 認証によるユーザーおよびデバイスの信頼性情報のサポート。

  • ファイル分類インフラストラクチャ (FCI) の機能強化。

  • パートナーがマイクロソフト以外のファイルを暗号化するソリューションを提供できるようにする RMS の拡張サポート。

このシナリオの内容

このコンテンツ セットの一部として、次に示すシナリオおよびガイダンスが含まれています。

ダイナミック アクセス制御: コンテンツ ロードマップ

シナリオ Evaluate プラン デプロイ 操作
シナリオ: 集約型アクセス ポリシー

ファイルの集約型アクセス ポリシーを作成すると、組織は、ユーザーの信頼性情報、デバイスの信頼性情報、およびリソース プロパティを使用した条件式を含む承認ポリシーを一元的に展開および管理できるようになります。 集約型アクセス ポリシーは、コンプライアンス上およびビジネス上の法的要件に基づきます。 また、Active Directory 内で作成およびホストされるため、容易に管理および展開できます。

フォレスト間にわたる信頼性情報の展開

Windows Server 2012では、AD DSによって各フォレストに「 claims dictionary 」が保持され、フォレスト内で使用されているすべての要求の種類が Active Directory フォレストレベルで定義されます。 プリンシパルが信頼の境界を越える必要があるシナリオは多数あります。 このシナリオでは信頼性情報が信頼の境界を越える方法について説明します。

ダイナミック アクセス制御: シナリオの概要

フォレスト間にわたる要求の展開

計画:集約型アクセス ポリシーの展開

- ビジネス要求を集約型アクセス ポリシーにマップするプロセス
- ダイナミック アクセス制御の管理の委任
- 集約型アクセス ポリシー計画の例外メカニズム

ユーザーの信頼性情報を使う場合のベスト プラクティス

- ユーザードメインで要求を有効にするための適切な構成を選択する
- ユーザー要求を有効にするための操作
- 集約型アクセス ポリシーを使用せずにファイル サーバーの随意 ACL にあるユーザー要求を使用する場合の考慮事項

デバイスの信頼性情報とデバイスのセキュリティ グループの使用

- 静的なデバイスの信頼性情報の使用に関する考慮事項
- デバイスの要求を有効にするための操作

展開用ツール

-

集約型アクセス ポリシーの展開 (デモンストレーション手順)

フォレスト間にわたる要求の展開 (デモンストレーション手順)

- 集約型アクセスポリシーのモデリング
シナリオ: ファイル アクセスの監査

セキュリティ監査は、企業のセキュリティ維持の最も強力なサポート手段の 1 つです。 セキュリティ監査の重要な目標の 1 つがコンプライアンス遵守です。 たとえば、Sarbanes Oxley、HIPAA、および Payment Card Industry (PCI) などの業界標準は、データ セキュリティとプライバシーに関する厳格なルール セットへの準拠を企業に要求します。 セキュリティ監査によってこれらのポリシーが存在するかどうかが明確化されます。つまり、監査ポリシーによって各種の標準に準拠しているかどうかが証明されます。 さらにセキュリティ監査は、異常な動作の検出、セキュリティ ポリシー内のギャップの特定と解消、さらに、ユーザー アクティビティの記録を作成し、これを使用して法的分析を実施することで、法的責任を問われる可能性のある動作の防止にも役立ちます。

シナリオ: ファイル アクセスの監査 ファイル アクセスの監査の計画 集約型の監査ポリシーを使用したセキュリティ監査の展開 (デモンストレーション手順) - ファイルサーバーに適用される集約型アクセス ポリシーを監視
- ファイルとフォルダに関連付けられた集約型アクセス ポリシーを監視
- ファイルとフォルダのリソース属性を監視
- 信頼性情報の種類の監視
- サインイン中にユーザーとデバイスの要求を監視
- 集約型アクセス ポリシーとルール定義の監視
- リソース属性の定義を監視
- リムーバブル ストレージ デバイスの使用を監視する
シナリオ: アクセス拒否アシスタンス

現在は、ユーザーがファイル サーバー上のリモート ファイルにアクセスを試みた場合、アクセスが拒否されたことだけが示されます。 このことが、問題を特定する必要があるヘルプデスクや IT 管理者への要求を増やしています。また、管理者がユーザーから適切なコンテキストを得るのが難しい場合が多いということが、この問題の解決を難しくしています。
Windows Server 2012の目標は、IT部門が関与する前にアクセス拒否の問題に対処し、IT部門が関与する場合は、迅速な解決のために適切なすべての情報を提供するために、情報担当者とデータのビジネスオーナーの支援を試みることです。 このゴールを達成する上での課題の 1 つは、アクセス拒否に対処する中心的な方法がなく、すべてのアプリケーションが異なる方法で対処することであり、Windows Server 2012のゴールの 1 つは、Windows Explorerのアクセス拒否エクスペリエンスを改善することです。

シナリオ: アクセス拒否アシスタンス アクセス拒否アシスタンスの計画

- アクセス拒否アシスタンスのモデルを決定
- アクセス要求を誰が処理するかを決定する
- アクセス拒否アシスタンスのメッセージをカスタマイズする
- 例外を計画する
- アクセス拒否アシスタンスがどのように展開されているかを判断する

アクセス拒否アシスタンスの展開 (デモンストレーション手順)
シナリオ: Office ドキュメントに対する分類ベースの暗号化

機密情報を保護する主な目的は組織のリスクを低減することです。 HIPAA や Payment Card Industry Data Security Standard (PCI-DSS) などのさまざまなコンプライアンス規定が情報の暗号化を義務付けており、その他にも数多くのビジネス上の理由で機密情報が暗号化されています。 一方、情報の暗号化は高コストであるだけでなく、ビジネスの生産性を低下させる原因にもなります。 このためさまざまな組織がさまざまなアプローチを採用して、暗号化する情報に優先順位を設定しています。
このシナリオをサポートするために、Windows Server 2012 には、機密性の高い Windows Office ファイルを分類に基づいて自動的に暗号化する機能が用意されています。 これはファイル管理タスクを通じて実行されます。ファイル管理タスクは、ファイル サーバー上のファイルを機密性が高いと認識した数秒後に Active Directory Rights Management サーバー (AD RMS) 保護を起動します。

シナリオ: Office ドキュメントに対する分類ベースの暗号化 ドキュメントに対する分類ベースの暗号化の展開計画 Office ファイルの暗号化の展開 (デモンストレーション手順)
シナリオ: 分類を使用してデータの情報を得る

データおよび記憶域リソースへの依存は、ほとんどの組織で重要度を増し続けています。 IT 管理者は、従来よりも大規模かつ複雑な記憶域インフラストラクチャを監視しながら総保有コストを妥当な水準に保つ責任を負うという、難しさを増す課題に直面しています。 記憶域リソースの管理はデータのボリュームや可用性だけに関することではなくなり、企業のポリシーを適用し、記憶域の消費用途を知ることで、効率的な使用率とリスク軽減のためのコンプライアンスを実現することも含まれるようになりました。 ファイル分類インフラストラクチャは、データを効率よく管理できるように分類プロセスを自動化することによって、データの性質を理解できるようにします。 ファイル分類インフラストラクチャでは、手動、プログラム、自動の 3 つの分類方法を使用できます。 このシナリオでは自動ファイル分類方法について扱います。

シナリオ: 分類を使用してデータの情報を得る 自動ファイル分類の計画 自動ファイル分類の展開 (デモンストレーション手順)
シナリオ: ファイル サーバーでの情報の保持の実装

保持期間とは、ドキュメントの有効期限が切れるまでに保存される時間の長さです。 組織によって、保持期間が異なる場合があります。 フォルダー内のファイルを、短い保持期間のファイル、中間の保持期間のファイル、または長い保持期間のファイルとして分類し、それぞれの期間に対して期限を割り当てることができます。 訴訟ホールドにすることでファイルを無期限に保持することもできます。
ファイル分類インフラストラクチャおよびファイル サーバー リソース マネージャーは、ファイル管理タスクおよびファイル分類を使用して一連のファイルに保持期間を適用します。 フォルダーに保持期間を割り当てた後にファイル管理タスクを使用することで、割り当てられた保持期間をいつまで適用するかを構成できます。 フォルダー内のファイルの有効期限が切れそうになると、ファイルの所有者に電子メールによる通知が届きます。 ファイルを訴訟ホールドとして分類し、ファイル管理タスクでファイルの有効期限が切れないように設定できます。

シナリオ: ファイル サーバーでの情報の保持の実装 ファイル サーバーでの情報の保持の計画 ファイル サーバーに情報の保持を実装する展開 (デモンストレーション手順 )

注意

ダイナミック アクセス制御は ReFS (Resilient File System) ではサポートされません。

関連項目

コンテンツ タイプ 参考資料
製品評価 - ダイナミックアクセス制御レビューガイド
- ダイナミック アクセス制御開発者向けガイダンス
Planning - 集約型アクセス ポリシーの展開の計画
- ファイル アクセスの監査の計画
デプロイ - Active Directoryの展開
- ファイルとストレージサービスのデプロイ
操作 ダイナミック アクセス制御 PowerShell リファレンスに関するページ

|Community リソース|ディレクトリ サービス フォーラム|