セキュリティとコンプライアンス

  • [アーティクル]

Microsoft の SharePoint Embedded を使用すると、さまざまなアプリケーションに格納されている安全で準拠したドキュメントをより迅速に作成できます。 SharePoint Embedded では、Microsoft の包括的なコンプライアンスとデータ ガバナンス ソリューションを使用して、組織がリスクを管理し、機密データを保護および管理し、規制要件に対応できるようにします。 セキュリティとコンプライアンス ソリューションは、Microsoft 365 (Microsoft 365) プラットフォームと同様に SharePoint Embedded プラットフォームでも同様の方法で機能するため、コンプライアンスおよび SharePoint 管理者がコンテンツに対して重要なセキュリティとコンプライアンス ポリシーを簡単に適用できるように、お客様のビジネスポリシーとコンプライアンス ポリシーを満たす安全で保護された方法でデータが格納されます。

この記事では、SharePoint Embedded プラットフォームに存在するコンテンツで現在サポートされているセキュリティポリシーとコンプライアンス ポリシーと、その機能と制限事項について説明します。

SharePoint Embedded by design にはユーザー インターフェイスがないため、ユーザー操作を必要とする一部のコンプライアンス シナリオはネイティブにサポートされていません。 コンテナーを管理する所有アプリケーションは、これらのシナリオをサポートし、既存の Microsoft Graph APIを使用してエンド ユーザーに最適なエクスペリエンスを提供することを選択できます。

Microsoft Purview を使用したコンプライアンス ポリシー

現在、SharePoint Embedded では、Microsoft Purview で次のコンプライアンス機能がサポートされています。 次の手順に従って、ポリシーを適用する必要があるコンテナーの詳細を取得できます。

  1. 指定したテナントに登録されている登録済みの SharePoint Embedded アプリケーションの一覧を表示します。

    Get-SPOApplication

  2. 手順 1 で返される ApplicationID を指定して、SharePoint Embedded アプリケーション内のコンテナーの一覧を取得します

    Get-SPOContainer -OwningApplicationId <OwningApplicationID>

  3. 手順 2 で返される ContainerID を指定して、ContainerSiteURL を含むコンテナーの詳細を取得します。

    Get-SPOContainer -OwningApplicationId <ApplicationID> -Identity<ContainerID>

を取得 ContainerSiteURL して、この記事で説明されているさまざまなコンプライアンス ポリシーをコンテナー レベルで設定する方法については、「 Get-SPOContainer」を参照してください。

監査

SharePoint Embedded によって提供される監査機能は、現在 SharePoint 内でサポートされている既存の監査機能をミラーします。 SharePoint Embedded でホストされているさまざまなアプリケーションで実行されるすべてのユーザーと管理者の操作は、キャプチャ、記録、およびorganizationの統合監査ログに保持されます。 監査の詳細については、「 Microsoft Purview でのソリューションの監査」を参照してください。

既存のファイル プロパティに加えて、SharePoint Embedded に関連する監査イベントは、関連する SharePoint Embedded コンテンツを分離するために監査検索結果をフィルター処理するのに役立つ次のデータと共にログに記録されます。

  • ContainerInstanceId
  • ContainerTypeId

イベントの監査

電子情報開示

コンプライアンス管理者は、Microsoft Purview の電子情報開示ツールを使用して、SharePoint Embedded プラットフォームでホストされているコンテンツを検索/保留/エクスポートできます。 電子情報開示の詳細については、「Microsoft Purview eDiscovery ソリューション」を参照してください。

すべての SharePoint 埋め込みコンテンツに対して電子情報開示検索を実行するには、Microsoft Purview で電子情報開示検索を構成するときに、管理者が [すべて] SharePoint サイトを選択する必要があります。 これにより、すべての SharePoint サイトとすべての SharePoint Embedded コンテナーに格納されているコンテンツを検索できます。

電子情報開示検索

電子情報開示検索を 1 つまたは複数の SharePoint Embedded コンテナーに制限するために、管理者は 'SharePoint サイト' ワークロードの下にある [サイトの選択] を行い、目的のコンテナー URL を指定できます。

電子情報開示検索でサイトを選択する

データ ライフサイクル管理 (DLM)

SharePoint Embedded は、保持をサポートし、Microsoft Purview コンプライアンス ポータルを使用してアプリケーションに格納されているコンテンツに対するポリシーを保持します。 DLM の詳細については、「Microsoft Purview データ ライフサイクル管理の詳細」を参照してください。

ポリシーが [すべてのサイト] に構成されている場合、既存のアイテム保持ポリシーはすべての SharePoint Embedded コンテナーに適用されます。 同様に、すべての SharePoint サイト ワークロードに新しいアイテム保持ポリシーを作成すると、 SharePoint Embedded 内のすべての SharePoint サイトとすべてのコンテナーにポリシーが自動的に適用されます。

アイテム保持ポリシー

1 つ以上の SharePoint Embedded コンテナーに対してポリシーを選択的に適用するには、コンテナー URL をコピーし、それらのコンテナーにのみ選択的に適用されるようにポリシーを構成します。

アイテム保持ポリシーを適用する

SharePoint Embedded にはユーザー インターフェイスが組み込まれていないため、ユーザー操作を必要とする DLM シナリオはネイティブではサポートされていません。 たとえば、エンド ユーザーが SharePoint Embedded アプリケーション (アプリ) を使用してコンテナーに保持ラベルを適用しようとすると、コンテナーへのアクセスを管理するアプリがその機能を提供する必要があります。 このような場合は、DLM 機能の Graph API を使用できます。

データ損失防止 (DLP)

Microsoft Purview を使用すると、管理者は SharePoint Embedded を使用して、アプリケーションに格納されている機密アイテムを識別、監視、および自動的に保護できます。 DLP の詳細については、「データ損失防止ポリシーについて」を参照してください。

アイテム保持ポリシーと同様に、DLP ポリシーは、すべての SharePoint サイトと SharePoint Embedded コンテナーで [すべてのサイト] でポリシーを構成することを選択することで適用できます。

DLP ポリシー

管理者は、ポリシーの構成中に関連するコンテナー URL を指定することで、DLP ポリシーの適用を特定の SharePoint Embedded コンテナーに制限することもできます。

DLP ポリシーを構成する

DLP で現在サポートされているいくつかのシナリオでは、SharePoint Embedded でネイティブにサポートされていないユーザー操作が必要です。 たとえば、その構成に基づいて、外部共有を禁止する DLP ポリシーを使用すると、エンド ユーザーがポリシーをオーバーライドするためのビジネス上の正当な理由を提供できる場合があります。 この DLP フラグ付きファイル項目をレンダリングするクライアント アプリは、このようなユーザー操作をサポートする必要があります。

現在、SharePoint でホストされているファイルに関するポリシー ヒントが表示され、DLP フラグが設定されたファイル項目とそれに対応する制限に関する情報がユーザーに通知されます。 同様に、SharePoint Embedded でホストされているファイルに対してポリシー ヒントを表示する場合、クライアント アプリは、この目的で既存の Graph API を利用することで、より多くのサポートを提供することを選択できます。

セキュリティ機能

コンテナーの秘密度ラベル

グローバル管理者と SharePoint 管理者は、新しく作成された SharePoint PowerShell コマンドレットを使用して、SharePoint Embedded コンテナーの秘密度ラベルを設定および削除できます。

Set-SPOContainer -Identity <ContainerID/ContainerSiteURL> -SensitivityLabel <SensitivityLabelGUID>

秘密度ラベルの設定の詳細については、「秘密 度ラベルについて」を参照してください。

ダウンロード ポリシーをブロックする

[ダウンロードのブロック] ポリシーを使用すると、SharePoint 管理者またはグローバル管理者は、次の SharePoint PowerShell コマンドレットを使用して SharePoint Embedded コンテナーからのファイルのダウンロードをブロックできます。

Set-SPOSite -Identity <ContainerSiteURL> -BlockDownloadPolicy $true

このポリシーを適用するには、SharePoint Advanced Management (SAM) ライセンスが必要です。 高度な機能については、「 SharePoint サイトと OneDrive のダウンロード ポリシーをブロックする」を参照してください。

条件付きアクセス ポリシー

SharePoint Embedded では、次のような基本的な条件付きアクセス ポリシー構成がサポートされています。

  • AllowFullAccess: デスクトップ アプリ、モバイル アプリ、および Web からのフル アクセスを許可します
  • AllowLimitedAccess: 制限された Web 専用アクセスを許可します
  • BlockAccess: アクセスをブロックします

これらの設定は、次の PowerShell コマンドレットで使用できます。 も AuthorizationContext 近日中にサポートされます。

Set-SPOContainer -Identity <ContainerSiteURL> -ConditionalAccessPolicy <SPOConditionalAccessPolicyType>

条件付きアクセス ポリシーの詳細については、「 アンマネージド デバイスからのアクセスを制御する」を参照してください。