SharePoint および OneDrive でファイルの秘密度ラベルを有効にする
SharePoint と OneDrive でサポートされている Office ファイルと PDF ファイルに対して組み込みのラベル付けを有効にして、ユーザーがOffice for the webで秘密度ラベルを適用できるようにします。 この機能を有効にすると、リボンに [秘密度 ] ボタンが表示され、ラベルを適用したり、適用されたラベル名がステータス バーに表示されます。
SharePoint の場合、ユーザーは詳細ウィンドウから秘密度ラベルを表示して適用することもできます。 このメソッドは、Teams の [ ファイル ] タブからも使用できます。
この機能を有効にすると、SharePoint と OneDrive は、機密ラベルを使用して暗号化された Office ファイルと必要に応じて PDF ドキュメントの内容を処理できるようになります。 ラベルは、Office for the webまたは Office デスクトップ アプリで適用し、SharePoint と OneDrive にアップロードまたは保存できます。 この機能を有効にするまで、これらのサービスは暗号化されたファイルを処理できません。つまり、共同編集、電子情報開示、データ損失防止、検索、およびその他の共同作業機能は、これらのファイルでは機能しません。
SharePoint と OneDrive でこれらのファイルの秘密度ラベルを有効にした後、クラウドベースのキーを使用して暗号化を適用する秘密度ラベルを持つ新しいファイルと変更されたファイルの場合 ( および、二重キー暗号化を使用しない) 場合:
Word、Excel、PowerPoint ファイル、アップロードされた PDF ファイルの場合、SharePoint と OneDrive はラベルを認識し、暗号化されたファイルの内容を処理できるようになりました。
ユーザーが SharePoint または OneDrive からこれらのファイルをダウンロードまたはアクセスすると、秘密度ラベルとラベルからの暗号化設定が適用され、保存されている場所に関係なくファイルに残ります。 ラベルのみを使用してドキュメントを保護するためのユーザー ガイダンスを必ず提供してください。 詳細については、「Information Rights Management (IRM) オプションと秘密度ラベル」を参照してください。
ユーザーがラベル付けされた暗号化されたファイルを SharePoint または OneDrive にアップロードする場合は、少なくともそれらのファイルに 対する使用権限を表示 する必要があります。 たとえば、SharePoint の外部でファイルを開くことができます。 この最小限の使用権限がない場合、アップロードは成功しますが、サービスはラベルを認識せず、ファイルのコンテンツを処理できません。
Office for the web (Word、Excel、PowerPoint) を使用して、暗号化を適用する秘密度ラベルを持つ Office ファイルを開いて編集します。 暗号化を使用して割り当てられたアクセス許可が適用されます。 これらのドキュメントには 自動ラベル付けを 使用することもできます。
外部ユーザーは、ゲスト アカウントを使用して、暗号化のラベルが付いたドキュメントにアクセスできます。 詳細については、「外部ユーザーとラベル付きコンテンツのサポート」を参照してください。
電子情報開示では、これらのファイルのフルテキスト検索がサポートされ、データ損失防止 (DLP) ポリシーでは、これらのファイル内のコンテンツがサポートされます。
注:
オンプレミスのキー (多くの場合、"Hold Your Own Key" または HYOK と呼ばれるキー管理トポロジ) を使用して、または二重キー暗号化を使用して暗号化が適用されている場合、ファイルのコンテンツを処理するためのサービス動作は変更されません。 そのため、これらのファイルでは、共同編集、電子情報開示、データ損失防止、検索、およびその他の共同作業機能は機能しません。
また、SharePoint と OneDrive の動作は、1 つの Azure ベースのキーを使用して暗号化のラベルが付いたこれらの場所の既存のファイルについても変更されません。 SharePoint と OneDrive で Office ファイルの秘密度ラベルを有効にした後、これらのファイルが新機能の恩恵を受けるには、ファイルを再度ダウンロードしてアップロードするか、編集する必要があります。
SharePoint と OneDrive で Office ファイルの秘密度ラベルを有効にすると、SharePoint と OneDrive のドキュメントに適用される秘密度ラベルを監視するために、次の 3 つの新しい 監査イベント を使用できます。
- ファイルに適用された機密ラベル
- ファイルに適用された機密ラベルの変更
- ファイルから削除された機密ラベル
次のビデオ (オーディオなし) を見て、新しい機能の動作を確認します。
SharePoint および OneDrive (オプトアウト) の Office ファイルの秘密度ラベルをいつでも無効にすることもできます。
現在、SharePoint Information Rights Management (IRM) を使用して SharePoint 内のドキュメントを保護している場合は、このページの「SharePoint Information Rights Management (IRM) と秘密度ラベル」セクションを必ずチェックしてください。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。
要件
これらの新機能は、 秘密度ラベル でのみ機能します。
Windows では OneDrive 同期 アプリ バージョン 19.002.0121.0008 以降、Mac ではバージョン 19.002.0107.0008 以降を使用します。 これらのバージョンはどちらも 2019 年 1 月 28 日にリリースされ、現在、すべてのリングにリリースされています。 詳細については、 OneDrive のリリース ノートを参照してください。 SharePoint と OneDrive で Office ファイルの秘密度ラベルを有効にすると、古いバージョンの同期アプリを実行するユーザーに更新を求められます。
サポートされているファイルの種類
SharePoint と OneDrive の秘密度ラベルを有効にした後、秘密度ラベル付けのシナリオでは、次の Office ファイルの種類がサポートされます。
Office for the webまたは SharePoint で秘密度ラベルを適用する:
- Word: .docx、.docm
- Excel: .xlsx、.xlsm、.xlsb
- PowerPoint: .pptx、.ppsx
ラベル付きドキュメントをアップロードしてから、その秘密度ラベルを抽出して表示する:
- Word: doc、.docx、.docm、.dot、.dotx、.dotm
- Excel: .xls、.xlt、.xla、.xlc、.xlm、.xlw、.xlsx、.xltx、.xlsm、.xltm、.xlam、.xlsb
- PowerPoint: .ppt、.pot、.pps、.ppa、.pptx、.ppsx、.ppsxm、.potx、.ppam、.pptm、.potm、.ppsm
PDF のサポートの追加
次のシナリオで PDF のサポートを有効にすることができます。
- Office for the webでの秘密度ラベルの適用
- ラベル付きドキュメントをアップロードし、その秘密度ラベルを抽出して表示する
- 検索、電子情報開示、およびデータ損失防止
- SharePoint ドキュメント ライブラリの自動ラベル付けポリシーと既定の秘密度ラベル
秘密度ラベルでは、署名された PDF はサポートされていません。
重要
PDF サポートを有効にすると、1 日に最大 100,000 ファイルをサポートする既存の自動ラベル付けポリシーで自動的にラベル付けされるファイルの数が増える可能性があることに注意してください。
Microsoft Purview ポータルまたはMicrosoft Purview コンプライアンス ポータルからサポートを有効にするには、使用しているポータルに応じて、次のいずれかの操作を行います。
Microsoft Purview ポータル>にサインインする> Information Protection Sensitivity ラベル>ポリシー>自動ラベル付けポリシー
Microsoft Purview コンプライアンス ポータル>Solutions>Information Protection>Auto-labeling にサインインします
次に、[ 自動ラベル付けで PDF を保護する] というメッセージが表示された場合は、このバナーを選択して、SharePoint と OneDrive のファイルの PDF 保護を有効にすることを確認します。
または、EnableSensitivityLabelforPDF パラメーターで Set-SPOTenant コマンドレットを使用する場合は、PowerShell を使用して PDF サポートを有効にすることもできます。
Set-SPOTenant -EnableSensitivityLabelforPDF $true
この PDF パラメーターには、 SharePoint Online 管理シェルの最小バージョン 16.0.24211.12000 が必要です。 この PowerShell モジュールをインストールする方法またはコマンドレットを実行する方法の詳細については、 秘密度ラベルのサポートを有効にするには、このページのセクションを参照してください。
Microsoft 365 Multi-Geo の場合: PowerShell コマンドを実行して秘密度ラベルのサポートを有効にする手順と同様に、各地域の場所に接続し、コマンドを実行して PDF のサポートを有効にする必要があります。
ユーザー定義のアクセス許可用に構成されたラベルのサポート
プレビューでは、ユーザー定義のアクセス許可用に構成されたラベルのサポートが制限されるようになりました。 この暗号化構成は、[ラベルを適用するときにユーザーにアクセス許可を割り当てる] 設定を参照し、[Word、PowerPoint、Excel で、ユーザーにアクセス許可の指定を求める] チェック ボックスがオンになっています。
ドキュメントがユーザー定義のアクセス許可でラベル付けされ、SharePoint または OneDrive にアップロードされると、これらのサービスはドキュメントを処理して、ドキュメントをOffice for the webで開いて編集できるようになり、ラベル名が [秘密度] 列に表示されるようになります。
この構成のラベルがOffice for the webに表示されるようになりました。 ただし、現在、ユーザーはOffice for the webでこれらのラベルを適用できません。これらのラベルが選択されている場合、デスクトップ アプリを使用してラベルを適用するように指示するメッセージが表示されます。
ユーザー定義のアクセス許可用に構成されたラベルをユーザーが変更する必要がある場合は、 秘密度ラベルで暗号化されたファイルの共同編集が有効になっていることを確認します。
現在、コンテンツの検索、データ損失防止、または電子情報開示は検査できません。
デスクトップ アプリを使用してこれらの暗号化されたファイルの自動保存と共同編集をサポートするには、秘密度ラベルで暗号化されたファイルとMicrosoft 365 Apps for enterpriseの共同編集を有効にする必要があります。
- Windows: 現在のチャネルと現在のチャネル (プレビュー) から 16.0.16327 の最小バージョン、またはベータ チャネルから 16.0.16414 の最小バージョン
- macOS: 現在のチャネル (プレビュー) またはベータ チャネルからの 16.51 の最小バージョン
注:
以前のバージョンを使用していて、テナントで共同編集が有効になっている場合、ユーザーがユーザー定義のアクセス許可で構成されている秘密度ラベルを適用した後、またはユーザーがアクセス許可を変更した後、ドキュメントの自動保存と共同編集が一時的に無効になります。 ドキュメントを閉じて 10 分待つと、これらの機能が再び使用できるようになります。
SharePoint または OneDrive 内のファイルに対してサポートされている最小バージョンを使用すると、暗号化の動作が変更されます。
- ユーザー定義のアクセス許可でラベル付けされた既存のファイルが、暗号化を適用しない秘密度ラベルで再ラベル付けされた場合、元の暗号化は保持されるのではなく削除されます。 詳細については、「ラベルが 適用されたときの既存の暗号化の動作」を参照してください。
ユーザー定義のアクセス許可用に構成されたラベルのこのプレビューは、テナントに自動的に適用されます。 オプトアウトするには、Microsoft サポートに問い合わせて、このプレビューをオフにするように要求します。
制限事項
SharePoint と OneDrive では、PowerQuery データ、カスタム アドインによって格納されたデータ、またはカバー ページプロパティ、コンテンツ タイプ スキーマ、カスタム ドキュメント情報パネル、カスタム XSN などのカスタム XML パーツが含まれている場合、Office デスクトップ アプリからラベル付けおよび暗号化された一部のファイルを処理できません。 この制限は、 文献目録を含むファイルと、アップロード時に ドキュメント ID が 追加されたファイルにも適用されます。
これらのファイルの場合は、後でOffice for the webで開くことができるように、暗号化なしでラベルを適用するか、デスクトップ アプリでファイルを開くようにユーザーに指示します。 Office for the webでのみラベル付けおよび暗号化されたファイルは影響を受けません。
SharePoint と OneDrive では、Azure portalから発行されていた以前のスタイルのラベルを使用して暗号化された既存のファイルに秘密度ラベルが自動的に適用されることはありません。 SharePoint と OneDrive でファイルの秘密度ラベルを有効にした後に機能を機能させるには、これらのファイルをダウンロードして、SharePoint または OneDrive の元の場所にアップロードします。
ユーザーは、Office for the webの使用中にユーザー定義のアクセス許可用に構成された秘密度ラベルを適用できません。
暗号化を適用したラベルに次のいずれかの暗号化構成がある場合、SharePoint と OneDrive は暗号化されたファイル を処理できません。
コンテンツへのユーザー アクセスは有効期限が切れています は、[使用しない] 以外の値が設定されています。
二重キー暗号化 が選択されています。
これらの暗号化構成のいずれかを持つラベルの場合、ラベルはOffice for the webのユーザーには表示されません。 親ラベルの場合は、暗号化を適用するようにサブラベルが構成されていない場合でも、そのラベルのサブラベルはユーザーに表示されません。
さらに、これらの暗号化設定が既にあるラベル付きドキュメントでは、新しい機能を使用できません。 たとえば、これらのドキュメントは更新されても検索結果には返されません。
ドキュメントがパスワードで保護されている場合、SharePoint と OneDrive は秘密度ラベルを読み取ったり適用したりできません。
パフォーマンス上の理由から、SharePoint にドキュメントをアップロードまたは保存し、ファイルのラベルが暗号化を適用しない場合、ドキュメント ライブラリの [秘密度 ] 列にラベル名が表示されるまでに時間がかかる場合があります。 この列のラベル名に依存するスクリプトまたは自動化を使用する場合は、この遅延を考慮してください。
ドキュメントが SharePoint でチェックアウトされている間にラベルが付いている場合、ドキュメント がチェックインされ、次に SharePoint で開くまで、ドキュメント ライブラリの [秘密度] 列にラベル名が表示されません。
ラベル付きで暗号化されたドキュメントが、サービス プリンシパル名を使用するアプリまたはサービスによって SharePoint または OneDrive からダウンロードされた後、別の暗号化設定を適用するラベルで再度アップロードされた場合、アップロードは失敗します。 シナリオの例として、ファイルの秘密度ラベルを機密から機密性の高いラベルに変更Microsoft Defender for Cloud Apps、または [機密] から [全般] に変更します。
アプリまたはサービスが、ラベル付きドキュメントの暗号化の削除に関するセクションで説明されているように、Unlock-SPOSensitivityLabelEncryptedFile コマンドレットを最初に実行した場合、アップロードは失敗しません。 または、アップロードの前に元のファイルが削除されるか、ファイル名が変更されます。
ユーザーは、次の [名前を付けて保存] シナリオで暗号化されたドキュメントを開けるのに遅延が発生する可能性があります。デスクトップ バージョンの Office を使用すると、暗号化を適用する秘密度ラベルを持つドキュメントに対して [名前を付けて保存] を選択します。 ユーザーは場所として SharePoint または OneDrive を選択し、すぐにOffice for the webでそのドキュメントを開こうとします。 サービスがまだ暗号化を処理している場合、ユーザーはデスクトップ アプリでドキュメントを開く必要があることを示すメッセージを表示します。 数分後にもう一度やり直すと、ドキュメントはOffice for the webで正常に開きます。
暗号化されたドキュメントの場合、Office for the webでは印刷はサポートされていません。
Office for the webで暗号化されたドキュメントの場合、画面キャプチャは防止されません。 ただし、ドキュメントのラベル付けと暗号化が行われ、[使用のコピー] 権限が付与されていない場合、Office for the webデスクトップ アプリがこの操作を防ぐのと同じ方法でクリップボードにコピーできなくなります。
既定では、Office デスクトップ アプリとモバイル アプリでは、暗号化でラベル付けされたファイルの共同編集はサポートされていません。 これらのアプリは、排他的編集モードでラベル付けされたファイルと暗号化されたファイルを開き続けます。 既定の動作を変更するには、「 秘密度ラベルで暗号化されたファイルの共同編集を有効にする」を参照してください。
管理者が、ユーザーの同期クライアントにダウンロードされたファイルに既に適用されている発行済みラベルの設定を変更した場合、ユーザーは OneDrive Sync フォルダー内のファイルに加えた変更を保存できない可能性があります。 このシナリオは、暗号化でラベル付けされたファイルに適用されます。また、ラベルの変更が、暗号化を適用するラベルに暗号化を適用しなかったラベルからの場合にも適用されます。 ユーザーには 赤い円と白いクロス アイコン エラーが表示され、新しい変更を別のコピーとして保存するように求められます。 代わりに、ファイルを閉じて再度開くか、Office for the webを使用できます。
自動ラベル付けに構成されている秘密度ラベルは、条件のラベル設定が機密情報の種類専用である場合にOffice for the webでサポートされます。 条件にトレーニング可能な分類子が含まれている場合、自動ラベル付けはOffice for the webではサポートされません。
ユーザーは、Office for the webを使用する代わりに、Word、Excel、またはPowerPointにデスクトップ アプリとモバイル アプリを使用するときに、オフラインまたはスリープ モードに移行した後に問題を保存できます。 これらのユーザーに対して、Office アプリ セッションを再開して変更を保存しようとすると、元のファイルを保存するのではなく、コピーを保存するオプションを含むアップロード エラー メッセージが表示されます。
次の方法で暗号化されたドキュメントは、Office for the webで開くできません。
- オンプレミス キーを使用する暗号化 ("独自のキーを保持" または HYOK)
- 二重キー暗号化を使用して適用された暗号化
- たとえば、Rights Management 保護テンプレートを直接適用することで、ラベルから独立して適用された暗号化。
他の言語用に構成されたラベルはサポートされておらず、元の言語のみが表示されます。
SharePoint または OneDrive でドキュメントに適用されているラベルを削除した場合、該当するラベル ポリシーからラベルを削除するのではなく、ダウンロード時にドキュメントにラベルが付いたり暗号化されたりすることはありません。 これに対し、ラベル付きドキュメントが SharePoint または OneDrive の外部に保存されている場合、ラベルが削除されてもドキュメントは暗号化されたままになります。 テスト フェーズ中にラベルを削除する場合がありますが、運用環境でラベルを削除することは非常にまれであることに注意してください。
12 MB を超えるラベル付けされた暗号化された Office ファイルが別のサイトにコピーまたは移動された場合、SharePoint はこのファイルを処理できなくなります。 その結果、[秘密度] 列にはラベル名が表示されないため、ユーザーは Office for the web を使用してファイルを開くできません。 ユーザーは、Office クライアント アプリを使用するときにファイルを正常に開くことができます。
SharePoint と OneDrive の秘密度ラベルを有効にする方法 (オプトイン)
注:
SharePoint と OneDrive の秘密度ラベルを有効にすると、Loopコンポーネントとページの秘密度ラベルも有効になります。 詳細については、「Microsoft Loopで秘密度ラベルを使用する」を参照してください。
新しい機能を有効にするには、Microsoft Purview ポータルまたはMicrosoft Purview コンプライアンス ポータルを使用するか、PowerShell を使用します。 手順については、次のセクションを参照してください。
SharePoint と OneDrive のすべてのテナントレベルの構成変更の場合と同様、変更が有効になるまでに約 15 分かかります。
ポータルを使用して秘密度ラベルのサポートを有効にする
このオプションは、SharePoint と OneDrive の秘密度ラベルを有効にする最も簡単な方法であり、テナントのグローバル管理者としてサインインする必要があります。
使用しているポータルに応じて、次のいずれかの場所に移動します。
Microsoft Purview ポータル>にサインインするカード秘密度ラベルをInformation Protection>します。
Information Protection ソリューション カードが表示されない場合は、[すべてのソリューションの表示] を選択し、[データ セキュリティ] セクションから [Information Protection] を選択します。
Microsoft Purview コンプライアンス ポータル>SolutionsInformation Protection>ラベルに>サインインする
Office オンライン ファイルのコンテンツを処理する機能を有効にするメッセージが表示される場合は、[ 今すぐ有効にする] を選択します。
コマンドはすぐに実行され、ページが次に更新されると、メッセージまたはボタンが表示されなくなります。
注:
Microsoft 365 Multi-Geo を使用している場合、Powershell を使用して、すべての地理的位置に対してこれらの機能を有効にする必要があります。 詳細については、次のセクションを参照してください。
PowerShell を使用して秘密度ラベルのサポートを有効にする
Microsoft Purview ポータルまたはMicrosoft Purview コンプライアンス ポータルを使用する代わりに、SharePoint Online PowerShell の Set-SPOTenant コマンドレットを使用して秘密度ラベルのサポートを有効にすることができます。
Microsoft 365 Multi-Geo を使用している場合、Powershell を使用して、すべての地理的位置に対してこのサポートを有効にする必要があります。
SharePoint Online 管理シェルを準備する
PowerShell コマンドを実行して SharePoint と OneDrive の Office ファイルの秘密度ラベルを有効にする前に、SharePoint Online 管理シェルのバージョン 16.0.19418.12000 以降を実行していることを確認してください。 最新バージョンが既にある場合は、 次の手順 に進んで PowerShell コマンドを実行できます。
PowerShell ギャラリーから以前のバージョンの SharePoint Online 管理シェルをインストールした場合、次のコマンドレットを実行してモジュールを更新できます。
Update-Module -Name Microsoft.Online.SharePoint.PowerShell
または、Microsoft ダウンロード センターから以前のバージョンの SharePoint Online 管理シェルをインストールしている場合は、[ プログラムの追加と削除] に移動し、SharePoint Online 管理シェルをアンインストールすることもできます。
Web ブラウザーで [ダウンロード センター] ページへと移動し、最新の SharePoint Online 管理シェルをダウンロードします。
言語を選択し、[ダウンロード] をクリックします。
x64 および x86 の .msi ファイルのいずれかを選択します。 Windows の 64 ビット版を実行している場合には x64 ファイルを、32 ビット版を実行している場合には x86 ファイルをダウンロードします。 不明な場合には、「実行している Windows オペレーティング システムの確認方法」を参照してください。
ファイルをダウンロードしたら、ファイルを実行し、セットアップ構成の手順に従います。
PowerShell コマンドを実行して秘密度ラベルのサポートを有効にする
新しい機能を有効にするには、EnableAIPIntegration パラメーターで Set-SPOTenant コマンドレットを使用します。
Microsoft 365 で SharePoint 管理者特権を持つ職場または学校アカウントを使用して、SharePoint に接続します。 方法の詳細については、「SharePoint Online 管理シェルの使用を開始する」を参照してください。
注:
Microsoft 365 Multi-Geo を使用している場合、Connect-SPOService を使用して -Url パラメータを使用し、地理的位置のいずれかに SharePoint Online 管理センターのサイト URL を指定します。
次のコマンドを実行し、 Y キーを押して確認します。
Set-SPOTenant -EnableAIPIntegration $true
Microsoft 365 Multi-Geo の場合: 残りの地域の場所ごとに手順 1 と手順 2 を繰り返します。
秘密度ラベルの発行と変更
SharePoint と OneDrive で秘密度ラベルを使用する場合は、新しい秘密度ラベルを発行するか、既存の秘密度ラベルを更新するときにレプリケーション時間を許可する必要があることに注意してください。 これは、暗号化を適用する新しいラベルに特に重要です。
たとえば、暗号化を適用する新しい秘密度ラベルを作成して発行すると、ユーザーのデスクトップ アプリにすばやく表示されます。 ユーザーはこのラベルをドキュメントに適用し、SharePoint または OneDrive にアップロードします。 サービスのラベル レプリケーションが完了していない場合、アップロード時にそのドキュメントに新しい機能は適用されません。 その結果、ドキュメントは検索または電子情報開示では返されません。また、ドキュメントをOffice for the webで開くことはありません。
ラベルのタイミングの詳細については、「新しいラベルと変更が反映されるタイミング」を参照してください。
保護策として、最初に少数のテスト ユーザーのみに新しいラベルを発行し、少なくとも 1 時間待ってから、SharePoint と OneDrive でのラベルの動作を確認することをお勧めします。 既存のラベル ポリシーにユーザーを追加するか、標準ユーザーの既存のラベル ポリシーにラベルを追加することで、ラベルを追加する前に少なくとも 1 日待ちます。 標準ユーザーがラベルを表示する時点で、既に SharePoint と OneDrive に同期されています。
SharePoint Information Rights Management (IRM) と秘密度ラベル
SharePoint Information Rights Management (IRM) は、ファイルのダウンロード時に暗号化と制限を適用することで、リストレベルとライブラリ レベルでファイルを保護する古いテクノロジです。 この古い保護テクノロジは、許可されていないユーザーが SharePoint の外部にいる間にファイルを開くことを防ぐために設計されています。
これに対し、秘密度ラベルは、暗号化に加えて、視覚的なマーキング (ヘッダー、フッター、透かし) の保護設定を提供します。 暗号化設定では、ユーザーがコンテンツで実行できる操作を制限するための使用 権限 の全範囲がサポートされており、 多くのシナリオで同じ秘密度ラベルがサポートされています。 ワークロードとアプリ間で一貫した設定で同じ保護方法を使用すると、一貫した保護戦略が得られます。
ただし、両方の保護ソリューションを一緒に使用できます。動作は次のとおりです。
暗号化を適用する秘密度ラベルを持つファイルをアップロードした場合、SharePoint はこれらのファイルのコンテンツを処理できないため、共同編集、電子情報開示、DLP、および検索はこれらのファイルではサポートされません。
Office for the webを使用してファイルにラベルを付ける場合、ラベルからの暗号化設定が適用されます。 これらのファイルでは、共同編集、電子情報開示、DLP、検索がサポートされています。
Office for the webを使用してラベル付けされたファイルをダウンロードした場合、ラベルは保持され、IRM 制限設定ではなくラベルからの暗号化設定が適用されます。
秘密度ラベルで暗号化されていない Office または PDF ファイルをダウンロードすると、IRM 設定が適用されます。
IRM をサポートしていないドキュメントをユーザーがアップロードできないようにするなどの追加の IRM ライブラリ設定のいずれかを有効にした場合、これらの設定が適用されます。
この動作により、すべての Office ファイルと PDF ファイルが、ラベル付けされていない場合でも、ダウンロードされた場合、不正なアクセスから保護されます。 ただし、アップロードされたラベル付きファイルは、新しい機能の恩恵を受けることはありません。
秘密度ラベルでドキュメントを検索する
管理プロパティ InformationProtectionLabelId を 使用して、特定の秘密度ラベルを持つ SharePoint または OneDrive 内のすべてのドキュメントを検索します。 次の構文を使用します。 InformationProtectionLabelId:<GUID>
たとえば、"Confidential" というラベルが付いているすべてのドキュメントを検索し、そのラベルに "8faca7b8-8d20-48a3-8ea2-0f96310a848e" という GUID がある場合、検索ボックスに「」と入力します。
InformationProtectionLabelId:8faca7b8-8d20-48a3-8ea2-0f96310a848e
.zip ファイルなど、圧縮ファイル内のラベル付きドキュメントは検索で見つかりません。
秘密度ラベルの GUID を取得するには、 Get-Label コマンドレットを使用します。
まず、Office 365 セキュリティ & コンプライアンス PowerShell に接続します。
たとえば、管理者として実行する PowerShell セッションで、コンプライアンス管理者アカウントでサインインします。
次に、次のコマンドを実行します。
Get-Label |ft Name, Guid
管理プロパティの使用の詳細については、「 SharePoint で検索スキーマを管理する」を参照してください。
ラベル付きドキュメントの暗号化を削除する
SharePoint 管理者が SharePoint に保存されているドキュメントから暗号化を削除する必要がある場合は、まれに発生することがあります。 そのドキュメントに対して Rights Management の使用権が [エクスポート] または [フル コントロール] に割り当てられているユーザーは、Azure Rights Management サービスによって適用された暗号化をMicrosoft Purview 情報保護から削除できます。 たとえば、これらの使用権限のいずれかを持つユーザーは、暗号化を適用するラベルを暗号化なしのラベルに置き換えることができます。 スーパー ユーザーは、ファイルをダウンロードし、暗号化なしでローカル コピーを保存することもできます。
別の方法として、 SharePoint 管理者 は Unlock-SPOSensitivityLabelEncryptedFile コマンドレットを実行できます。これにより、秘密度ラベルと暗号化の両方が削除されます。 このコマンドレットは、管理者がサイトまたはファイルへのアクセス許可を持っていない場合や、Azure Rights Management サービスが使用できない場合でも実行されます。
以下に例を示します。
Unlock-SPOSensitivityLabelEncryptedFile -FileUrl "https://contoso.com/sites/Marketing/Shared Documents/Doc1.docx" -JustificationText "Need to decrypt this file"
要件:
SharePoint Online Management Shell バージョン 16.0.20616.12000 以降。
暗号化は、管理者が定義した暗号化設定 ([ アクセス許可の割り当て] ラベル 設定) を持つ秘密度ラベルによって適用されています。 このコマンドレットでは、二重キー暗号化はサポートされていません。
[ファイルから秘密度ラベルを削除しました] の監査イベントに正当な理由テキストが追加され、暗号化解除アクションも Azure Rights Management の使用状況ログに記録されます。
SharePoint と OneDrive の秘密度ラベルを無効にする方法 (オプトアウト)
これらの新機能を無効にした場合、SharePoint と OneDrive の秘密度ラベルを有効にした後にアップロードしたファイルは、ラベル設定が引き続き適用されるため、ラベルによって保護され続けます。 これらの新機能を無効にした後で新しいファイルに秘密度ラベルを適用すると、フルテキスト検索、電子情報開示、共同編集は機能しなくなります。
これらの新機能を無効にするには、PowerShell を使用する必要があります。 SharePoint Online 管理シェルと Set-SPOTenant コマンドレットを使用して、「PowerShell を使用して秘密度ラベルのサポートを有効にする」セクションの説明に従って、同じ EnableAIPIntegration パラメーターを指定します。 ただし、今回はパラメーター値を false に設定し、 Y キーを押して確認します。
Set-SPOTenant -EnableAIPIntegration $false
Microsoft 365 Multi-Geo をお持ちの場合は、地域の場所ごとにこのコマンドを実行する必要があります。
次の手順
SharePoint と OneDrive のファイルに対して秘密度ラベルを有効にしたら、次のいずれかのラベル付け方法または両方のラベル付け方法を使用して、ファイルに自動的にラベルを付ける方法を検討してください。
- SharePoint の新しいファイルと編集されたファイルに対して、ドキュメント ライブラリに既定の秘密度ラベルを適用する。 詳細については、「SharePoint ドキュメント ライブラリの既定の秘密度ラベルを構成する」を参照してください。
- SharePoint および OneDrive 内のファイルのコンテンツ検査を使用する自動ラベル付けポリシー。 詳細については、「 Microsoft 365 データに秘密度ラベルを自動的に適用する」を参照してください。
ラベル付けおよび暗号化されたドキュメントを組織外の人々と共有する必要がありますか? 「暗号化されたドキュメントを外部ユーザーと共有する」を参照してください。