IT Hands-on Lab

小規模組織向けIT環境の構築・運用に役立つ情報を、ハンズオン形式で紹介しています。

トップ > MSPurview&Defender > 【Microsoft Purview】情報保護(IP)2
最終更新日

【Microsoft Purview】情報保護(IP)2

MSPurview&Defender インフラ

【Microsoft Purview】情報保護(IP)2

前の記事の続きになります。
法人向けMicrosoft 365のコンプライアンス管理サービス「Microsoft Purview」の一機能である情報保護について、簡単な設定例を紹介します。
これにより、ファイルやメールに秘密度ラベルを付加し、それに応じたポリシーを適用することで、データを保護し、データ流出防止に繋げることができます。
  • 操作環境:
    • OS:Windows 11
    • Webブラウザー:Edge
  • 使用プラン:Microsoft 365 Business Premium(試用版)

 

 

ファイルへの秘密度設定、PDF化

ファイルへの秘密度設定

公開、社外秘、厳秘ラベルを設定したWordファイルを作成します。

 

まずは公開ラベルを設定する場合です。
ファイルは既定で社外秘ラベルが設定されていますので、これを変更します。前の記事の設定により、秘密度を下げる場合は、理由の報告を求められるようになっています。

図表4-1 ファイルへの公開ラベル設定

図表4-1 ファイルへの公開ラベル設定

 

次は社外秘ラベルを設定する場合です。
社外秘ラベルは既定で選択済のため、選択しなおすアクションは不要です。ファイルを保存すれば自動的に社外秘ラベルが付与されます。

図表4-2 ファイルへの社外秘ラベル設定

図表4-2 ファイルへの社外秘ラベル設定

 

最後は厳秘ラベルを設定する場合です。
ファイルは既定で社外秘ラベルが設定されていますので、これを変更します。前の記事の設定により、厳秘の場合はユーザーがアクセス権を設定する形になります。この例では、組織内のすべてのユーザーが変更できる設定にしています。

図表4-3 ファイルへの厳秘ラベル設定

図表4-3 ファイルへの厳秘ラベル設定

 

アクセス権の設定を行うと、[アクセス制限あり]の注記が表示されるようになります。

図表4-4 ファイルへの厳秘ラベル設定の結果(限定アクセス)

図表4-4 ファイルへの厳秘ラベル設定の結果(限定アクセス)

 

秘密度設定済ファイルのPDF化

秘密度ラベルを設定したファイルをPDF化すると、元のファイルの秘密度ラベルが継承されます。分かりやすい例として、アクセス制御(暗号化)の施された厳秘のファイルをPDF化して確認します。


PDF化したファイルをAdobeReaderで開こうとすると、Purview情報保護の認証を求められます。

図表4-5 秘密度設定済ファイルのPDF化(認証要求)

図表4-5 秘密度設定済ファイルのPDF化(認証要求)

 

認証が通り、ファイルが開かれると、画面上部のファイル名の右に「(保護)」と記載されており、暗号化されていることがわかります。
なお、アクセス制御(暗号化)の施されていないファイル(今回の例では社外秘と公開のファイル)は認証要求も「(保護)」の記載も行われません。

図表4-6 秘密度設定済ファイルのPDF化(秘密度継承)

図表4-6 秘密度設定済ファイルのPDF化(秘密度継承)

 

暗号化共有ファイルへのアクセス、メール受信

暗号化共有ファイルへのアクセス

暗号化されたファイル(この例では厳秘のファイル)をSharePointにアップロードし、アクセス権のあるメンバーと、アクセス権のないメンバーとで挙動確認してみます。

*この例で暗号化していない社外秘・公開のファイルは秘密度ラベルが表示されるだけで情報保護機能未使用時と挙動は変わりませんので、紹介は割愛します

 

まずはアクセス権のあるメンバーにてWebブラウザー経由でアクセスしてみます。問題なく開けました。

図表5-1 暗号化共有ファイルへのWebアクセス(アクセス権あり)

図表5-1 暗号化共有ファイルへのWebアクセス(アクセス権あり)

 

同じアクセス権のあるメンバーにてデスクトップアプリ経由でアクセスしてみます。こちらも問題なく開けました。

図表5-2 暗号化共有ファイルへのデスクトップアプリアクセス(アクセス権あり)

図表5-2 暗号化共有ファイルへのデスクトップアプリアクセス(アクセス権あり)

 

今度はアクセス権のないメンバーにてWebブラウザー経由でアクセスしてみます。Webブラウザーに権限がない旨のメッセージが表示され、ファイルを開けませんでした。

図表5-3 暗号化共有ファイルへのWebアクセス(アクセス権なし)

図表5-3 暗号化共有ファイルへのWebアクセス(アクセス権なし)

 

同じアクセス権のないメンバーにてデスクトップアプリ経由でアクセスしてみます。 権限がない旨のメッセージが表示され、ファイルを開けませんでした。

図表5-4 暗号化共有ファイルへのデスクトップアプリアクセス(アクセス権なし)

図表5-4 暗号化共有ファイルへのデスクトップアプリアクセス(アクセス権なし)

 

さらに、厳秘のファイルをPDF化したものをSharePointにアップロードし、同じアクセス権のないメンバーでアクセスしてみます。これも開くことはできません。

図表5-5 暗号化共有ファイル(PDF化版)へのアクセス(アクセス権なし)

図表5-5 暗号化共有ファイル(PDF化版)へのアクセス(アクセス権なし)

 

暗号化ファイル付きメール受信

暗号化されたファイル(この例では厳秘のファイル)をメールにてアクセス権のあるメンバーと、アクセス権のないメンバーに送信し、受信確認してみます。

*この例で暗号化していない社外秘・公開のファイルは情報保護機能未使用時と挙動は変わりませんので、紹介は割愛します

 

まずはアクセス権のあるメンバーにてメールに添付された厳秘ファイルにアクセスしてみます。WordもPDFも問題なく開けました。

図表5-6 暗号化ファイル付きメール受信(アクセス権あり)

図表5-6 暗号化ファイル付きメール受信(アクセス権あり)

 

今度はアクセス権のないメンバーにてメールに添付された厳秘ファイルにアクセスしてみます。Wordファイルは直接開くことはできず、ダウンロードしたファイルを開こうとするとアクセス許可が必要とのメッセージが表示されました。

図表5-7 暗号化ファイル付きメール受信(アクセス権なし-word)

図表5-7 暗号化ファイル付きメール受信(アクセス権なし-word)

 

PDFファイルについては、PDFビューアを使用するかアクセス許可を付与とのメッセージが表示されました。
PDFファイルを一旦ダウンロードしてAdobeReaderで開こうとしても、このメッセージが表示されます。
Wordファイルと同様、アクセス権がないので開くことはできません。

図表5-8 暗号化ファイル付きメール受信(アクセス権なし-PDF)

図表5-8 暗号化ファイル付きメール受信(アクセス権なし-PDF)

 

情報保護アクティビティログ確認

情報保護機能の使用状況は[アクティビティエクスプローラー]で確認できます。アクティビティログの検索結果一覧から行選択すると、詳細情報を確認できます。

図表6-1 アクティビティログ確認

図表6-1 アクティビティログ確認

 

暗号化ファイルの共同編集(参考)

暗号化ファイルを共同編集できるようにするには、左メニューの[設定]を選択し、サブメニューの[ソリューションの設定>情報保護]を選択し、[秘密度ラベルのあるファイルの共同編集を有効にします]を選択状態にします。
ただし、解除はPowerShellからの実施になることと、解除時の影響について注記がありますので、内容を理解した上で実施することをお奨めします。

図表7-1 暗号化ファイルの共同編集

図表7-1 暗号化ファイルの共同編集

 

おわりに(運用設計が難しい)

この記事ではシンプルな要件で設定を紹介したため、簡単そうな印象をお持ちになる方がいらっしゃるかもしれません。しかし、特にアクセス制御(暗号化)については、運用をよく考えてから適用した方が良いです

 

この記事ではメンバーがアクセス制御(暗号化)を指定できる設定にしましたが、ある程度ルールがないと誰がどのファイルにどのような設定をしたのか、だんだん煩雑になってしまいます。特にメンバーの入れ替えの多い組織においてはそうなりやすいです。
秘密度ラベルを細かく設定して自動ラベル付けを活用すると、この課題に対応でき、メンバーの作業負荷軽減にも繋がります。しかし、意図しない自動ラベル付けにより、暗号化されたファイルを取引先に送付・共有してしまい、先方に迷惑をかけるといった心配もあります。
ラベル発行先を機密情報を扱うメンバーに限定し(少なくとも最初は)、運用するのも良いです。

 

ここまでこの機能を紹介しておきながら、私自身、ベストプラクティスが分からないのが正直なところです。この機能を使いこなしている組織において、どのような設定で運用しているのか気になります。

 

 

当ブログ内の連載記事

elmgrn.hatenablog.com