ダイナミック アクセス制御:シナリオの概要

ファイルの集約型アクセス ポリシーを作成すると、組織は、ユーザーの信頼性情報、デバイスの信頼性情報、およびリソース プロパティを使用した条件式を含む承認ポリシーを一元的に展開および管理できるようになります。 集約型アクセス ポリシーは、コンプライアンス上およびビジネス上の法的要件に基づきます。 また、Active Directory 内で作成およびホストされるため、容易に管理および展開できます。

フォレスト間にわたる信頼性情報の展開

Windows Server 2012では、AD DSによって各フォレストに「 claims dictionary 」が保持され、フォレスト内で使用されているすべての要求の種類が Active Directory フォレストレベルで定義されます。 プリンシパルが信頼の境界を越える必要があるシナリオは多数あります。 このシナリオでは信頼性情報が信頼の境界を越える方法について説明します。

フォレスト間にわたる要求の展開

- ビジネス要求を集約型アクセス ポリシーにマップするプロセス
- ダイナミック アクセス制御の管理の委任
- 集約型アクセス ポリシー計画の例外メカニズム

ユーザーの信頼性情報を使う場合のベスト プラクティス

- ユーザードメインで要求を有効にするための適切な構成を選択する
- ユーザー要求を有効にするための操作
- 集約型アクセス ポリシーを使用せずにファイル サーバーの随意 ACL にあるユーザー要求を使用する場合の考慮事項

デバイスの信頼性情報とデバイスのセキュリティ グループの使用

- 静的なデバイスの信頼性情報の使用に関する考慮事項
- デバイスの要求を有効にするための操作

展開用ツール

-

フォレスト間にわたる要求の展開 (デモンストレーション手順)

セキュリティ監査は、企業のセキュリティ維持の最も強力なサポート手段の 1 つです。 セキュリティ監査の重要な目標の 1 つがコンプライアンス遵守です。 たとえば、Sarbanes Oxley、HIPAA、および Payment Card Industry (PCI) などの業界標準は、データ セキュリティとプライバシーに関する厳格なルール セットへの準拠を企業に要求します。 セキュリティ監査によってこれらのポリシーが存在するかどうかが明確化されます。つまり、監査ポリシーによって各種の標準に準拠しているかどうかが証明されます。 さらにセキュリティ監査は、異常な動作の検出、セキュリティ ポリシー内のギャップの特定と解消、さらに、ユーザー アクティビティの記録を作成し、これを使用して法的分析を実施することで、法的責任を問われる可能性のある動作の防止にも役立ちます。

現在は、ユーザーがファイル サーバー上のリモート ファイルにアクセスを試みた場合、アクセスが拒否されたことだけが示されます。 このことが、問題を特定する必要があるヘルプデスクや IT 管理者への要求を増やしています。また、管理者がユーザーから適切なコンテキストを得るのが難しい場合が多いということが、この問題の解決を難しくしています。
Windows Server 2012の目標は、IT部門が関与する前にアクセス拒否の問題に対処し、IT部門が関与する場合は、迅速な解決のために適切なすべての情報を提供するために、情報担当者とデータのビジネスオーナーの支援を試みることです。 このゴールを達成する上での課題の 1 つは、アクセス拒否に対処する中心的な方法がなく、すべてのアプリケーションが異なる方法で対処することであり、Windows Server 2012のゴールの 1 つは、Windows Explorerのアクセス拒否エクスペリエンスを改善することです。

- アクセス拒否アシスタンスのモデルを決定
- アクセス要求を誰が処理するかを決定する
- アクセス拒否アシスタンスのメッセージをカスタマイズする
- 例外を計画する
- アクセス拒否アシスタンスがどのように展開されているかを判断する

機密情報を保護する主な目的は組織のリスクを低減することです。 HIPAA や Payment Card Industry Data Security Standard (PCI-DSS) などのさまざまなコンプライアンス規定が情報の暗号化を義務付けており、その他にも数多くのビジネス上の理由で機密情報が暗号化されています。 一方、情報の暗号化は高コストであるだけでなく、ビジネスの生産性を低下させる原因にもなります。 このためさまざまな組織がさまざまなアプローチを採用して、暗号化する情報に優先順位を設定しています。
このシナリオをサポートするために、Windows Server 2012 には、機密性の高い Windows Office ファイルを分類に基づいて自動的に暗号化する機能が用意されています。 これはファイル管理タスクを通じて実行されます。ファイル管理タスクは、ファイル サーバー上のファイルを機密性が高いと認識した数秒後に Active Directory Rights Management サーバー (AD RMS) 保護を起動します。

データおよび記憶域リソースへの依存は、ほとんどの組織で重要度を増し続けています。 IT 管理者は、従来よりも大規模かつ複雑な記憶域インフラストラクチャを監視しながら総保有コストを妥当な水準に保つ責任を負うという、難しさを増す課題に直面しています。 記憶域リソースの管理はデータのボリュームや可用性だけに関することではなくなり、企業のポリシーを適用し、記憶域の消費用途を知ることで、効率的な使用率とリスク軽減のためのコンプライアンスを実現することも含まれるようになりました。 ファイル分類インフラストラクチャは、データを効率よく管理できるように分類プロセスを自動化することによって、データの性質を理解できるようにします。 ファイル分類インフラストラクチャでは、手動、プログラム、自動の 3 つの分類方法を使用できます。 このシナリオでは自動ファイル分類方法について扱います。

保持期間とは、ドキュメントの有効期限が切れるまでに保存される時間の長さです。 組織によって、保持期間が異なる場合があります。 フォルダー内のファイルを、短い保持期間のファイル、中間の保持期間のファイル、または長い保持期間のファイルとして分類し、それぞれの期間に対して期限を割り当てることができます。 訴訟ホールドにすることでファイルを無期限に保持することもできます。
ファイル分類インフラストラクチャおよびファイル サーバー リソース マネージャーは、ファイル管理タスクおよびファイル分類を使用して一連のファイルに保持期間を適用します。 フォルダーに保持期間を割り当てた後にファイル管理タスクを使用することで、割り当てられた保持期間をいつまで適用するかを構成できます。 フォルダー内のファイルの有効期限が切れそうになると、ファイルの所有者に電子メールによる通知が届きます。 ファイルを訴訟ホールドとして分類し、ファイル管理タスクでファイルの有効期限が切れないように設定できます。