Deploy Encryption of Office Files (Demonstration Steps)
適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
Contoso の金融部門には、ドキュメントが保管されている多くのファイル サーバーがあります。 これらのドキュメントは、一般的なドキュメントである場合も、ビジネスに大きな影響を与えるもの (HBI) である場合もあります。 たとえば、機密情報が含まれているドキュメントは、ビジネスに大きな影響を与えるものと Contoso によって見なされます。 Contoso では、すべてのドキュメントに最小限の保護を施し、HBI ドキュメントが適切なユーザーに制限されるようにしたいと考えています。 これを実現するために、Contoso では、Windows Server 2012 で使用可能なファイル分類インフラストラクチャ (FCI) と AD RMS の使用を検討しています。 Contoso では、FCI を使用することで、コンテンツに基づいてファイル サーバー上のすべてのドキュメントを分類してから、AD RMS を使用して適切な権利ポリシーを適用する予定です。
このシナリオでは、次の手順を実行します。
| タスク | 説明 |
|---|---|
| リソース プロパティを有効にする | [影響] および [個人を特定できる情報] リソース プロパティを有効にします。 |
| 分類規則を作成する | 次の分類規則を作成します。[ HBI 分類規則 ] および [ PII 分類規則]。 |
| ファイル管理タスクを使用して、AD RMS でドキュメントを自動的に保護する | 自動的に AD RMS を使用して個人を特定できる情報 (PII) が含まれたドキュメントを保護するファイル管理タスクを作成します。 PII が含まれたドキュメントにアクセスできるのは、FinanceAdmin グループのメンバーのみにします。 |
| 結果を確認する | ドキュメントの分類を調べ、ドキュメントのコンテンツの変更に伴いどのように変更されるのかを監視します。 また、ドキュメントが AD RMS によってどのように保護されているのかを確認します。 |
| AD RMS による保護を確認する | ドキュメントが AD RMS によって保護されていることを確認します。 |
手順 1:リソース プロパティを有効にする
リソース プロパティを有効にするには
Hyper-V マネージャーでサーバー ID_AD_DC1 に接続します。 パスワード pass@word1 と共に Contoso\Administrator を使用してサーバーにサインインします。
Active Directory 管理センターを開き、[ツリー ビュー] をクリックします。
[ダイナミック アクセス制御] を展開し、[リソース プロパティ] を選択します。
[表示名] 列の [Impact] プロパティまで下にスクロールします。 [Impact] を右クリックし、[有効にする] をクリックします。
[表示名] 列の [Personally Identifiable Information] プロパティまで下にスクロールします。 [Personally Identifiable Information] を右クリックし、[有効にする] をクリックします。
[グローバル リソース リスト] でリソース プロパティをパブリッシュするには、左側のウィンドウで [リソース プロパティ リスト] をクリックしてから、[グローバル リソース プロパティ リスト] をダブルクリックします。
[追加] をクリックしてから、下にスクロールし、[Impact] をクリックしてリストに追加します。 [Personally Identifiable Information] についても同様にします。 [OK] を 2 回クリックして完了します。
Windows PowerShell の同等のコマンド
次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。
Set-ADResourceProperty -Enabled:$true -Identity:"CN=Impact_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"
Set-ADResourceProperty -Enabled:$true -Identity:"CN=PII_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"
手順 2:分類規則を作成する
この手順では、「High Impact」分類規則を作成する方法について説明します。 この規則では、ドキュメントのコンテンツを検索し、文字列 "Contoso Confidential" が見つかった場合に、そのドキュメントを HBI (ビジネスに大きな影響を与えるもの) と分類します。 この分類は、以前に割り当てられた LBI (ビジネスへの影響が小さいもの) の分類をオーバーライドします。
「High PII」規則も作成します。 この規則では、ドキュメントのコンテンツを検索し、社会保障番号が見つかった場合に、ドキュメントを高 PII と分類します。
「High Impact」分類規則を作成するには
Hyper-V マネージャーでサーバー ID_AD_FILE1 に接続します。 パスワード pass@word1 と共に Contoso\Administrator を使用してサーバーにサインインします。
Active Directory からグローバル リソース プロパティーを更新する必要があります。 Windows PowerShell を開きます。「
Update-FSRMClassificationPropertyDefinition」と入力し、Enter キーを押します。 Windows PowerShell を閉じます。ファイル サーバー リソース マネージャーを開きます。 ファイル サーバー リソース マネージャーを開くには、[スタート] をクリックし、「ファイル サーバー リソース マネージャー」と入力してから、[ファイル サーバー リソース マネージャー] をクリックします。
ファイル サーバー リソース マネージャーの左側のウィンドウで、[分類管理] を展開してから、[分類規則] を選択します。
[操作] ウィンドウで [分類スケジュールの構成] をクリックします。 [自動分類] タブで [固定スケジュールを有効にする] を選択し、[曜日] を選択してから、[新しいファイルの連続分類を許可する] チェック ボックスを選択します。 [OK] をクリックします。
[操作] ウィンドウで [分類規則の作成] をクリックします。 [分類規則の作成] ダイアログ ボックスが開きます。
[規則名] ボックスに「High Business Impact」と入力します。
[説明] ボックスに「文字列 "Contoso Confidential" の有無に基づいて、ドキュメントがビジネスに大きな影響を与えるかどうかを判別します」と入力します。
[スコープ] タブで [フォルダー管理プロパティの設定] をクリックし、[フォルダーの使用法] を選択し、[追加] をクリックし、[参照] をクリックし、パスとして D:\Finance Documents を参照し、[OK] をクリックし、[グループ ファイル] というプロパティ値を選択し、[閉じる] をクリックします。 管理プロパティを設定したら、[規則のスコープ] タブで [グループ ファイル] を選択します。
[分類] タブをクリックします。[プロパティをファイルに割り当てる方法を選択してください] でドロップダウンリストから [コンテンツ分類子] を選択します。
[ファイルに割り当てるプロパティを選択してください] でドロップダウン リストから [Impact] を選択します。
[値の指定] でドロップダウン リストから [High] を選択します。
[パラメーター] の [構成] をクリックします。 [分類パラメーター] ダイアログ ボックスの [式の種類] リストから [文字列] を選択します。 [ 式 ] ボックスに次の文字列を入力します。「 Contoso Confidential」。次に、[ OK] をクリックします。
[評価の種類] タブをクリックします。[既存のプロパティ値を再評価する]、[既存の値を上書きする] の順にクリックし、[OK] をクリックして終了します。
Windows PowerShell の同等のコマンド
次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。
Update-FSRMClassificationPropertyDefinition
$date = Get-Date
$AutomaticClassificationScheduledTask = New-FsrmScheduledTask -Time $date -Weekly @(3, 2, 4, 5,1,6,0) -RunDuration 0;
Set-FsrmClassification -Continuous -schedule $AutomaticClassificationScheduledTask
New-FSRMClassificationRule -Name "High Business Impact" -Property "Impact_MS" -Description "Determines if the document has a high business impact based on the presence of the string 'Contoso Confidential'" -PropertyValue "3000" -Namespace @("D:\Finance Documents") -ClassificationMechanism "Content Classifier" -Parameters @("StringEx=Min=1;Expr=Contoso Confidential") -ReevaluateProperty Overwrite
「High PII」分類規則を作成するには
Hyper-V マネージャーでサーバー ID_AD_FILE1 に接続します。 パスワード pass@word1 と共に Contoso\Administrator を使用してサーバーにサインインします。
デスクトップから [Regular Expressions] という名前のフォルダーを開き、RegEx-SSN という名前のテキスト ドキュメントを開きます。 正規表現文字列、"^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$" を強調表示し、コピーします。 この文字列は、この手順の後半で使用するため、クリップボードに保持しておいてください。
ファイル サーバー リソース マネージャーを開きます。 ファイル サーバー リソース マネージャーを開くには、[スタート] をクリックし、「ファイル サーバー リソース マネージャー」と入力してから、[ファイル サーバー リソース マネージャー] をクリックします。
ファイル サーバー リソース マネージャーの左側のウィンドウで、[分類管理] を展開してから、[分類規則] を選択します。
[操作] ウィンドウで [分類スケジュールの構成] をクリックします。 [自動分類] タブで [固定スケジュールを有効にする] を選択し、[曜日] を選択してから、[新しいファイルの連続分類を許可する] チェック ボックスを選択します。 [OK] をクリックします。
[規則名] ボックスに「High PII」と入力します。 [説明] ボックスに「社会保障番号の有無に基づいて、ドキュメントが高 PII かどうかを判別します」と入力します。
[スコープ] タブで [グループ ファイル] チェック ボックスを選択します。
[分類] タブをクリックします。[プロパティをファイルに割り当てる方法を選択してください] でドロップダウンリストから [コンテンツ分類子] を選択します。
[ファイルに割り当てるプロパティを選択してください] でドロップダウン リストから [Personally Identifiable Information] を選択します。
[値の指定] でドロップダウン リストから [High] を選択します。
[パラメーター] の [構成] をクリックします。 分類パラメーター ウィンドウの 式の種類 リストから 正規表現。 [式] ボックスに、クリップボードのテキスト "^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$" を貼り付け、[OK] をクリックします。
注意
この式により、無効な社会保障番号が許可されます。 これにより、デモで架空の社会保障番号を使用できます。
[評価の種類] タブをクリックします。[既存のプロパティ値を再評価する]、[既存の値を上書きする] の順に選択し、[OK] をクリックして終了します。
Windows PowerShell の同等のコマンド
次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。
New-FSRMClassificationRule -Name "High PII" -Description "Determines if the document has a high PII based on the presence of a Social Security Number." -Property "PII_MS" -PropertyValue "5000" -Namespace @("D:\Finance Documents") -ClassificationMechanism "Content Classifier" -Parameters @("RegularExpressionEx=Min=1;Expr=^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$") -ReevaluateProperty Overwrite
これで、次の 2 つの分類規則が作成されました。
High Business Impact
High PII
手順 3:ファイル管理タスクを使用して、AD RMS でドキュメントを自動的に保護する
コンテンツに基づいてドキュメントを自動的に分類する規則を作成したので、次の手順では、ファイル管理タスクを作成します。このタスクでは、AD RMS を使用して、分類に基づいて特定のドキュメントを自動的に保護します。 この手順では、高 PII のすべてのドキュメントを自動的に保護するファイル管理タスクを作成します。 PII が含まれたドキュメントにアクセスできるのは、FinanceAdmin グループのメンバーのみにします。
AD RMS を使用してドキュメントを保護するには
Hyper-V マネージャーでサーバー ID_AD_FILE1 に接続します。 パスワード pass@word1 と共に Contoso\Administrator を使用してサーバーにサインインします。
ファイル サーバー リソース マネージャーを開きます。 ファイル サーバー リソース マネージャーを開くには、[スタート] をクリックし、「ファイル サーバー リソース マネージャー」と入力してから、[ファイル サーバー リソース マネージャー] をクリックします。
左側のウィンドウで [ファイル管理タスク] を選択します。 [操作] ウィンドウで [ファイル管理タスクの作成] を選択します。
[タスク名:] フィールドに「High PII」と入力します。 [説明] フィールドに「高 PII ドキュメントの自動 RMS 保護」と入力します。
[スコープ] タブで [グループ ファイル] チェック ボックスを選択します。
[アクション] タブをクリックします。[種類] で [RMS 暗号化] を選択します。 [参照] をクリックしてテンプレートを選択してから、[Contoso Finance Admin のみ] テンプレートを選択します。
[条件] タブをクリックし、[追加] をクリックします。 [プロパティ] で [Personally Identifiable Information] を選択します。 [演算子] で [等しい] を選択します。 [値] で [High] を選択します。 [OK] をクリックします。
[スケジュール] タブをクリックします。[スケジュール] セクションで [毎週] をクリックし、[日曜日] を選択します。 1 週間に 1 回タスクを実行することで、サービス障害などの中断イベントのために処理されなかった可能性があるドキュメントを捕捉できます。
[連続動作] セクションで [タスクを連続実行する: 新規ファイル] を選択してから、[OK] をクリックします。 これで、「High PII」という名前のファイル管理タスクが作成されました。
Windows PowerShell の同等のコマンド
次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。
$fmjRmsEncryption = New-FSRMFmjAction -Type 'Rms' -RmsTemplate 'Contoso Finance Admin Only'
$fmjCondition1 = New-FSRMFmjCondition -Property 'PII_MS' -Condition 'Equal' -Value '5000'
$date = get-date
$schedule = New-FsrmScheduledTask -Time $date -Weekly @('Sunday')
$fmj1=New-FSRMFileManagementJob -Name "High PII" -Description "Automatic RMS protection for high PII documents" -Namespace @('D:\Finance Documents') -Action $fmjRmsEncryption -Schedule $schedule -Continuous -Condition @($fmjCondition1)
手順 4:結果を表示する
ここでは、新しい自動分類と、有効になっている AD RMS 保護規則を確認します。 この手順では、ドキュメントの分類を調べ、ドキュメントのコンテンツの変更に伴いどのように変更されるのかを監視します。
結果を表示するには
Hyper-V マネージャーでサーバー ID_AD_FILE1 に接続します。 パスワード pass@word1 と共に Contoso\Administrator を使用してサーバーにサインインします。
エクスプローラーで D:\Finance Documents にナビゲートします。
Finance Memo ドキュメントを右クリックし、[プロパティ] をクリックします。[分類] タブをクリックし、現在、Impact プロパティに値がないことを確認します。 [キャンセル] をクリックします。
[Request for Approval to Hire document] を右クリックしてから、[プロパティ] を選択します。
[分類] タブをクリックし、現在、[Personally Identifiable Information] プロパティに値がないことを確認します。 [キャンセル] をクリックします。
CLIENT1 に切り替えます。 サインしているユーザーからサインオフしてから、パスワード pass@word1 を使用して Contoso\MReid としてサインインします。
デスクトップから [Finance Documents] 共有フォルダーを開きます。
[Finance Memo] ドキュメントを開きます。 ドキュメントの下の方に「Confidential」という語があります。 これを次のように変更します。 Contoso Confidential ドキュメントを保存して閉じます。
[Request for Approval to Hire] ドキュメントを開きます。 [ Social Security#: ] セクションに次の文字列を入力します。777-77-7777。 ドキュメントを保存して閉じます。
注意
分類が行われるまで 30 秒間待機する必要が生じることがあります。
ID_AD_FILE1 に切り替えて戻ります。 エクスプローラーで D:\Finance Documents にナビゲートします。
Finance Memo ドキュメントを右クリックし、[プロパティ] をクリックします。 [分類] タブをクリックします。ここで、[Impact] プロパティが [High] に設定されていることを確認します。 [キャンセル] をクリックします。
Request for Approval to Hire ドキュメントを右クリックし、[プロパティ] をクリックします。
。 [分類] タブをクリックします。ここで、[Personally Identifiable Information] プロパティが、現在は [High] に設定されていることを確認します。 [キャンセル] をクリックします。
手順 5:AD RMS による保護を確認する
ドキュメントが保護されていることを確認するには
ID_AD_CLIENT1 に切り替えて戻ります。
[Request for approval to Hire] ドキュメントを開きます。
[ OK ] をクリックして、ドキュメントが AD RMS サーバーに接続できるようにします。
これで、社会保障番号が含まれているため、ドキュメントが AD RMS によって保護されていることが確認できます。