SharePoint および OneDrive でファイルの秘密度ラベルを有効にする
データは、組織にとって最も価値のある資産の 1 つであり、適切に保護および管理する必要があります。 データには、個人データ、財務データ、知的財産権、企業秘密、規制データなどの機密情報が含まれる場合があります。 組織は、データを保護および管理するために、データの機密性のレベルを示すタグである秘密度ラベルを使用できます。 秘密度ラベルでは、データの秘密度に基づいて暗号化とアクセス ポリシーを適用することもできます。 たとえば、顧客データを含むドキュメントの秘密度ラベルが "秘密" である場合があります。これは、ドキュメントが暗号化されており、承認されたユーザーのみがアクセスできることを意味します。 秘密度ラベルは、組織がデータ保護規制に準拠し、データ漏えいを防ぎ、データ アクセスを制御するのに役立ちます。
Microsoft Purview は、ソース間でデータを検出、カタログ化、理解するのに役立つ統合データ ガバナンス サービスです。 Purview は、一般的なクラウド ストレージとコラボレーション プラットフォームである SharePoint や OneDrive など、さまざまなデータ ソース内のデータをスキャンして分類できます。 ただし、SharePoint と OneDrive の一部のデータでは、暗号化された秘密度ラベルが適用されている可能性があります。つまり、データは、データの秘密度に基づいて暗号化とアクセス ポリシーを使用して保護されます。 このトレーニング ユニットでは、暗号化された秘密度ラベルが適用されている SharePoint と OneDrive 内のコンテンツを Purview で処理する方法について説明します。 また、Microsoft Purview を使用して SharePoint と OneDrive 内の暗号化された秘密度ラベルを処理する方法についても説明します。
SharePoint と OneDrive の秘密度ラベルを有効にする必要があるのはなぜですか?
組織が SharePoint と OneDrive でサポートされている Office ファイルと PDF ファイルの秘密度ラベルを有効にする必要がある主な理由は 2 つあります。
- ユーザーが会社の秘密度ラベルを Office for the web に適用できるようにします。
- SharePoint と OneDrive が、秘密度ラベルを使用して暗号化された Office ファイルと PDF ドキュメントのコンテンツを処理できるようにします。 ラベルは、Office for the web または Office デスクトップ アプリに適用し、SharePoint と OneDrive にアップロードまたは保存できます。 SharePoint と OneDrive の秘密度ラベルを有効にするまで、これらのサービスは暗号化されたファイルを処理できません。 このため、コオーサリング、電子情報開示、データ損失防止、検索などの共同作業機能は、これらのファイルでは機能しません。
組織が SharePoint と OneDrive でこれらのファイルの秘密度ラベルを有効にした後、クラウドベースのキーを使用して暗号化を適用する (および二重キー暗号化を使用しない) 秘密度ラベルを持つ新しいファイルと変更済みファイルに次の条件が適用されます。
- Word、Excel、PowerPoint ファイル、およびアップロード済み PDF ファイルの場合、SharePoint と OneDrive はラベルを認識し、暗号化されたファイルのコンテンツを処理できるようになりました。
- ユーザーが SharePoint または OneDrive からこれらのファイルをダウンロードまたはアクセスすると、秘密度ラベルおよび秘密度ラベルの暗号化設定が適用され、保存されている場所に関係なくファイルに残ります。 ただし、ラベルのみを使用してドキュメントを保護するためにユーザー ガイダンスを必ず提供する必要があります。 詳細については、「Information Rights Management (IRM) オプションと秘密度ラベル」を参照してください。
- ユーザーがラベル付けされた暗号化ファイルを SharePoint または OneDrive にアップロードする場合、少なくともこれらのファイルに対する使用状況の表示権限を持っている必要があります。 たとえば、SharePoint の外部でファイルを開くことができます。 この最小限の使用権限がない場合、アップロードは成功しますが、サービスはラベルを認識せず、ファイルのコンテンツを処理できません。
- Office for the web (Word、Excel、PowerPoint) を使用して、暗号化を適用する秘密度ラベルを持つ Office ファイルを開いて編集します。 暗号化を使用して割り当てられたアクセス許可が適用されます。 これらのドキュメントに自動ラベル付けを使用することもできます。
- 外部ユーザーは、ゲスト アカウントを使用して、暗号化のラベルが付いたドキュメントにアクセスできます。 詳細については、「外部ユーザーとラベル付きコンテンツのサポート」を参照してください。
- 電子情報開示では、これらのファイルのフルテキスト検索がサポートされ、データ損失防止 (DLP) ポリシーでは、これらのファイル内のコンテンツがサポートされます。
警告
オンプレミスのキー (多くの場合、"Hold Your Own Key" または HYOK と呼ばれるキー管理トポロジ) を使用して、または二重キー暗号化を使用して暗号化が適用されている場合、ファイルのコンテンツを処理するためのサービス動作は変更されません。 このため、これらのファイルの場合、コオーサリング、電子情報開示、データ損失防止、検索、その他の共用 Microsoft 365 機能は機能しません。 また、SharePoint と OneDrive の動作は、1 つの Azure ベースのキーを使用して暗号化のラベルが付いたこれらの場所の既存のファイルについても変更されません。 SharePoint と OneDrive で Office ファイルの秘密度ラベルを有効にした後、これらのファイルが新機能の恩恵を受けるには、ファイルを再度ダウンロードしてアップロードするか、編集する必要があります。
SharePoint と OneDrive で Office ファイルの秘密度ラベルを有効にした後、SharePoint と OneDrive のドキュメントに適用される秘密度ラベルを監視するために、次の 3 つの新しい監査イベントを使用できます。
- ファイルに適用された機密ラベル
- ファイルに適用された機密ラベルの変更
- ファイルから削除された機密ラベル
注:
SharePoint と OneDrive の Office ファイルの秘密度ラベルはいつでも無効にすることができます。
サポートされているファイルの種類
SharePoint と OneDrive の秘密度ラベルを有効にした後、秘密度ラベル付けのシナリオで次の Office ファイルの種類がサポートされます。
- Office on the web または SharePoint で秘密度ラベルを適用する:
- Word: .docx、.docm
- Excel: .xlsx、.xlsm、.xlsb
- PowerPoint: .pptx、.ppsx
- ラベル付きドキュメントをアップロードしてから、その秘密度ラベルを抽出して表示する:
- Word: doc、.docx、.docm、.dot、.dotx、.dotm
- Excel: .xls、.xlt、.xla、.xlc、.xlm、.xlw、.xlsx、.xltx、.xlsm、.xltm、.xlam、.xlsb
- PowerPoint: .ppt、.pot、.pps、.ppa、.pptx、.ppsx、.ppsxm、.potx、.ppam、.pptm、.potm、.ppsm
次のシナリオで PDF のサポートを有効にすることができます。
- Office on the web で秘密度ラベルを適用する。
- ラベル付きドキュメントをアップロードしてから、その秘密度ラベルを抽出して表示する。
- 検索、電子情報開示、データ損失防止。
- 自動ラベル付けポリシーと SharePoint ドキュメント ライブラリの既定の秘密度ラベル。
重要
PDF サポートを有効にすると、1 日に最大 25,000 ファイルをサポートする既存の自動ラベル付けポリシーによって自動的にラベル付けされるファイルの数が増える可能性があることに注意してください。
SharePoint と OneDrive のすべてのテナントレベルの構成変更の場合と同様、変更が有効になるまでに約 15 分かかります。
Microsoft Purview コンプライアンス ポータルを使用して SharePoint と OneDrive の秘密度ラベルを有効にする
このオプションは、SharePoint と OneDrive の秘密度ラベルを有効にする最も簡単な方法です。 ただし、テナントのグローバル管理者としてサインインする必要があります。
- Microsoft 365 管理センターのナビゲーション ウィンドウで [コンプライアンス] を選択します。
- Microsoft Purview コンプライアンス ポータルのナビゲーション ウィンドウで [情報保護] を選択し、[ラベル] を選択します。
注:
Microsoft 365 Multi-Geo を使用している場合、Powershell を使用して、すべての地理的位置に対してこれらの機能を有効にする必要があります。 詳細については、次のセクションを参照してください。
PowerShell を使用して SharePoint と OneDrive バナーの秘密度ラベルを有効にする
Microsoft Purview コンプライアンス ポータルを使用する代わりに、SharePoint Online の PowerShell の Set-SPOTenant コマンドレットを使用して、秘密度ラベルのサポートを有効にすることができます。 Microsoft 365 Multi-Geo を使用している場合、Powershell を使用して、すべての地理的位置に対してこのサポートを有効にする必要があります。
PowerShell コマンドを実行して SharePoint と OneDrive の Office ファイルの秘密度ラベルを有効にする前に、SharePoint Online 管理シェルのバージョン 16.0.19418.12000 以降を実行していることを確認してください。
組織が PowerShell ギャラリーから SharePoint Online 管理シェルの以前のバージョンをインストールした場合は、次のいずれかの手順を実行してモジュールを更新してください。
モジュールは、次の Windows PowerShell コマンドレットを実行して更新できます。
Update-Module -Name Microsoft.Online.SharePoint.PowerShellまたは、次の手順を実行して現在のバージョンをアンインストールし、Microsoft ダウンロード センターから最新バージョンをダウンロードしてインストールすることもできます。
- [プログラムの追加または削除] に移動し、現在のバージョンの SharePoint Online 管理シェルをアンインストールします。
- Web ブラウザーで [Microsoft ダウンロード センター] ページに移動し、最新の SharePoint Online 管理シェルをダウンロードします。
- 言語を選択し、[ダウンロード] を選択します。
- x64 および x86 の .msi ファイルのいずれかを選択します。 Windows の 64 ビット版を実行している場合には x64 ファイルを、32 ビット版を実行している場合には x86 ファイルをダウンロードします。 不明な場合には、「実行している Windows オペレーティング システムの確認方法」を参照してください。
- ファイルをダウンロードしたら、そのファイルを実行し、セットアップ構成の手順に従います。
SharePoint Online 管理シェルのバージョン 16.0.19418.12000 以降がインストールされている場合、次の手順を実行し、PowerShell を使用して秘密度ラベルのサポートを有効にします。
Microsoft 365 のグローバル管理者または SharePoint 管理者権限を持つ職場または学校のアカウントを使用して、SharePoint Online 管理シェルに接続します。 方法の詳細については、「SharePoint Online 管理シェルの使用を開始する」を参照してください。
注:
Microsoft 365 Multi-Geo を使用している場合、Connect-SPOService を使用して -Url パラメータを使用し、地理的位置のいずれかに SharePoint Online 管理センターのサイト URL を指定します。
コマンド プロンプトで、次のコマンドを実行し、Y キーを押して確認します。
Set-SPOTenant -EnableAIPIntegration $trueMicrosoft 365 Multi-Geo を使用している場合、残りの地理的位置ごとに手順 1 と 2 を繰り返します。
理解度チェック
次の各質問に最適な回答を選択します。