秘密度ラベルを使って Microsoft Entra ID 内のリソースへの外部アクセスを制御する

秘密度ラベルを使用すると、Office 365 アプリケーション内、および Microsoft Teams、Microsoft 365 グループ、SharePoint サイトなどのコンテナー内のコンテンツに対するアクセスを制御するのに役立ちます。 ユーザーのコラボレーションを妨げることなくコンテンツが保護されます。 秘密度ラベルを使用して、データを保護しながら、デバイス、アプリ、サービス間で組織全体のコンテンツを送信します。 秘密度ラベルは、組織がコンプライアンスとセキュリティ ポリシーを満たすのに役立ちます。

「秘密度ラベルの詳細」を参照してください

開始する前に

この記事は、10 個の記事シリーズのうち 8 番目です。 記事を順番に確認することをお勧めします。 シリーズ全体を確認するには、[次のステップ] セクションに移動してください。

分類を割り当てて保護設定を適用する

保護設定を追加せずにコンテンツを分類できます。 コンテンツ分類の割り当ては、コンテンツが使用および共有されている間もそのコンテンツで維持されます。 この分類では、機密性の高いコンテンツ アクティビティ データを含む使用状況レポートが生成されます。

暗号化、透かし、アクセス制限などの保護設定を適用する: たとえば、ユーザーは機密ラベルをドキュメントまたは電子メールに適用します。 このラベルにより、コンテンツを暗号化し、社外秘の透かしを追加することができます。 さらに、SharePoint サイトなどのコンテナーに秘密度ラベルを適用でき、外部ユーザーのアクセスの管理に役立ちます。

詳細情報:

• 秘密度ラベルを使用してコンテンツへのアクセスを制限し、暗号化を適用する
• 秘密度ラベルを使用して Microsoft Teams、Microsoft 365 グループ、SharePoint サイトのコンテンツを保護する

コンテナーの秘密度ラベルはコンテナーへのアクセスを制限できますが、コンテナー内のコンテンツはラベルを継承しません。 たとえば、ユーザーは保護されたサイトからコンテンツを取得してダウンロードし、そのコンテンツに秘密度ラベルが付いていない限り、制限なしで共有します。

秘密度ラベルを作成および管理するためのアクセス許可

秘密度ラベルを作成する必要があるチーム メンバーには、次のアクセス許可が必要です。

• Microsoft 365 Defender ポータル、
• Microsoft Purview コンプライアンス ポータル、または
• Microsoft Purview コンプライアンス ポータル

既定では、全体管理者は管理センターにアクセスでき、テナント管理者アクセス許可を付与することなくアクセスを提供できます。 この委任された制限付き管理者アクセスの場合は、次の役割グループにユーザーを追加します。

• コンプライアンス データ管理者、
• コンプライアンス管理者、または
• セキュリティ管理者

秘密度ラベル戦略

コンテンツへの外部アクセスのガバナンスを計画するときは、コンテンツ、コンテナー、電子メールなどを考慮してください。

業務への影響大、中、小

データ、サイト、グループに対して業務への影響大 (HBI)、業務への影響中 (MBI)、業務への影響小 (LBI) を定義する際には、間違ったコンテンツ タイプが共有されている場合の組織への影響を考慮してください。

• クレジット カード、パスポート、国家および地域識別番号
  • 機密ラベルをコンテンツに自動的に適用する
• 執行役員が作成したコンテンツ: コンプライアンス、財務、役員など
• ライブラリまたはサイト内の戦略的または財務データ。

コンテナーや暗号化されたコンテンツなど、外部ユーザーがアクセスできないコンテンツ カテゴリを考慮してください。 秘密度ラベルを使用したり、暗号化を適用したり、コンテナーのアクセス制限を使用したりできます。

電子メールとコンテンツ

秘密度ラベルは、コンテンツに自動的にまたは手動で適用できます。

「機密ラベルをコンテンツに自動的に適用する」を参照してください

メールおよびコンテンツの秘密度ラベル

ドキュメントまたは電子メールの秘密度ラベルは、カスタマイズ可能、クリア テキスト、永続的です。

• カスタマイズ可能 - 組織のラベルを作成し、結果のアクションを決定します
• クリア テキスト - メタデータに組み込まれ、アプリケーションとサービスで読み取り可能です
• 永続性 - 確実にラベルと関連する保護がコンテンツで維持され、ポリシーの適用に役立ちます

コンテナー

Microsoft 365 グループ、Teams、または SharePoint サイトが秘密度ラベルで制限されている場合のアクセス条件を決定します。 コンテナー内のコンテンツにラベルを付けたり、SharePoint や OneDrive などのファイルに自動ラベル付けを使用したりできます。

詳細については、「秘密度ラベルの使用を開始する」を参照してください

コンテナーの秘密度ラベル

秘密度ラベルは、Microsoft 365 グループ、Microsoft Teams、SharePoint サイトなどのコンテナーに適用できます。 サポートされているコンテナーの秘密度ラベルでは、接続されているサイトまたはグループに分類と保護の設定を適用します。 これらのコンテナーの秘密度ラベルでは以下を制御できます。

• プライバシー - サイトを表示できるユーザーを選択します

• 外部ユーザー アクセス - グループ所有者がグループにゲストを追加できるかどうかを判断します

• アンマネージド デバイスからのアクセス - アンマネージド デバイスがコンテンツにアクセスするかどうかとその方法を決定します

  

SharePoint サイトなどのコンテナーに適用される秘密度ラベルは、そのコンテナー内のコンテンツには適用されません。コンテナー内のコンテンツへのアクセスは制御されます。 ラベルは、コンテナー内のコンテンツに自動的に適用できます。 手動でラベルをコンテンツに適用するユーザーの場合は、SharePoint および OneDrive で Office ファイルの秘密度ラベルを有効にします。

詳細情報:

• SharePoint および OneDrive で Office ファイルの秘密度ラベルを有効にする。
• 秘密度ラベルを使用して Microsoft Teams、Microsoft 365 グループ、SharePoint サイトのコンテンツを保護する
• Microsoft Entra ID で Microsoft 365 グループに秘密度ラベルを割り当てる

感度ラベルの実装

秘密度ラベルの使用を決定した後、実装について次のドキュメントを参照してください。

• 秘密度ラベルの使用を開始する
• 秘密度ラベルを作成して発行する
• 秘密度ラベルを使用してコンテンツへのアクセスを制限し、暗号化を適用する

次のステップ

リソースへの外部アクセスのセキュリティ保護について詳しくは、次の記事シリーズを参照してください。 一覧表示されている順序に従うことをお勧めします。

1. Microsoft Entra ID を使用して外部アクセスに対するセキュリティ体制を決定する

2. 組織内での外部コラボレーションの現在の状態を検出する

3. リソースへの外部アクセスのセキュリティ プランを作成する

4. Microsoft Entra ID と Microsoft 365 のグループを使用して外部アクセスをセキュリティで保護する

5. Microsoft Entra B2B コラボレーションを使用して管理されたコラボレーションに移行する

6. Microsoft Entra エンタイトルメント管理を使って外部アクセスを管理する

7. 条件付きアクセス ポリシーを使用して、リソースへの外部アクセスを管理する

8. 秘密度ラベルを使って Microsoft Entra ID 内のリソースへの外部アクセスを制御する (現在のページ)

9. Microsoft Entra ID を使って Microsoft Teams、SharePoint、OneDrive for Business への外部アクセスをセキュリティで保護する

10. ローカル ゲスト アカウントを Microsoft Entra B2B ゲスト アカウントに変換する