秘密度ラベルの使用を開始する

セキュリティとコンプライアンスのための Microsoft 365 ライセンス ガイダンス

秘密度ラベルの概要とそれらが組織のデータを保護する方法の詳細については、「秘密度ラベルの詳細」を参照してください。

秘密度ラベルを使用して組織のデータを保護する準備ができたら、次の手順に従います。

  1. ラベルを作成する。 コンテンツのさまざまなレベルに対する組織の分類方法に従って、秘密度ラベルを作成して名前を付けます。 ユーザーにとって意味のある、一般的な名前または用語を使用します。 分類方法がまだ確率していない場合は、「個人用」、「パブリック」、「一般」、「社外秘」、および「極秘」などのラベル名を使って使用開始することを検討してください。 サブラベルを使用すると、類似したラベルをカテゴリ別にグループ化できます。

    各ラベルに対して、ユーザーが適切なラベルを選択し、具体的な例を含めることを検討するのに役立つヒントを指定します。 ただし、ユーザーがツールヒントを読み取らないほど長くしないでください。また、一部のアプリでは長いヒントが切り捨てられる可能性があることに注意してください。

    注:

    推奨される例については、 既定の秘密度ラベルのラベル名と説明を参照してください。 分類分類の定義の詳細については、「 データ分類 & 秘密度ラベル分類」を参照してください。

    秘密度ラベルの名前とヒントは、適用する必要があるユーザーに対して常にテストして調整します。

  2. 各ラベルの機能を定義する。 各ラベルに関連付ける必要がある保護設定を構成します。 たとえば、"一般" ラベルなどの秘密度の低いコンテンツには単にヘッダーやフッターを適用し、"社外秘" ラベルなどの秘密度のより高いコンテンツには透かしや暗号化を適用する、といったことができます。

  3. ラベルを発行する。 秘密度ラベルの構成が完了したら、ラベル ポリシーを使用してラベルを公開します。 ラベルを使用する必要があるユーザーとグループおよび使用するポリシー設定を決定します。 1 つのラベルは再利用できます。 一度定義したラベルは、異なるユーザーに割り当てる複数のラベル ポリシーに含めることができます。 たとえば、ラベル ポリシーをごく少数のユーザーに対して適用して、秘密度ラベルを試験運用することができます。 組織全体に対してラベルを展開する準備ができたら、ラベルの新しいラベル ポリシーを作成し、今回はすべてのユーザーを指定することができます。

ヒント

既定のラベルの自動作成と、手順 1 - 3 の管理を行う既定のラベル ポリシーの対象となる場合があります。 詳細については、「Microsoft Purview Information Protection の既定のラベルとポリシー」を参照してください。

秘密度ラベルを展開して適用するための基本的な流れ:

秘密度ラベルのワークフローを示す図。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

秘密度ラベルのサブスクリプションとライセンスの要件

秘密度ラベルはさまざまな異なるサブスクリプションに対応しており、ユーザーのライセンス要件は使用する機能によって異なります。

Microsoft Purview 機能のメリットを得られるようにユーザーにライセンスを付与するためのオプションを確認するには、「セキュリティとコンプライアンスのための Microsoft 365 ライセンス ガイダンス」を参照してください。 秘密度ラベルについては、「Microsoft Purview Information Protection: 秘密度ラベル付け」のセクションおよび機能レベルのライセンス要件に関する PDF ダウンロード ファイルを参照してください。

機密ラベルの作成と管理に必要なアクセス許可

秘密度ラベルを作成するコンプライアンス チームのメンバーには、Microsoft Purview コンプライアンス ポータルへのアクセス許可が必要です。

既定では、テナントのグローバル管理者はこの管理センターにアクセスでき、テナント管理者のすべてのアクセス許可を付与することなく、コンプライアンス責任者やその他のユーザーにアクセス権を付与できます。この制限付き管理者アクセスの場合は、次の役割グループを使用できます。

  • 情報保護
  • Information Protection 管理者
  • Information Protection アナリスト
  • Information Protection 調査担当者
  • Information Protection 閲覧者

それぞれの説明と含まれているロールについては、Microsoft Purview コンプライアンス ポータル>Permissions & ロールコンプライアンス センター>の役割で役割>グループを選択し、ポップアップ ウィンドウで説明を確認します。 または、「Microsoft Defender for Office 365および Microsoft Purview コンプライアンスの役割グループ」を参照してください。

既定のロールを使用する代わりに、新しいロール グループを作成し、 秘密度ラベル管理者 ロールをこのグループに追加することもできます。 読み取り専用の役割の場合は、秘密度ラベルリーダーを使用します。

もう 1 つのオプションは、コンプライアンス データ管理者、コンプライアンス管理者、またはセキュリティ管理者ロール グループにユーザーを追加することです。

ユーザーを既定のロール、グループ、役割に追加する手順、または独自の役割グループを作成する手順については、「Microsoft Purview コンプライアンス ポータルのアクセス許可」を参照してください。

これらのアクセス許可は、機密ラベルとそのラベル ポリシーの作成と構成を行う場合にのみ必要です。 アプリまたはサービスでラベルを適用するためには必要はありません。 秘密度ラベルに関連する特定の構成に追加のアクセス許可が必要な場合、それらのアクセス許可はそれぞれのドキュメントの説明に記載されています。

管理単位のサポート

秘密度ラベルは、Microsoft Entra IDで構成されている管理単位をサポートします。

  • Microsoft Purview 情報保護で使用される役割グループのメンバーに管理単位を割り当てることができます。 これらの役割グループを編集し、個々のメンバーを選択し、[管理単位の割り当て] オプションを選択して、Microsoft Entra IDから管理単位を選択します。 これらの管理者は、これらの管理単位のユーザーのみを管理するように制限されるようになりました。

  • これらのポリシーを作成または編集するときに、秘密度ラベル ポリシーと自動ラベル付けポリシーの初期スコープを定義できます。 管理単位を選択すると、それらの管理単位のユーザーのみがポリシーの対象となります。

重要

SharePoint のドキュメントに適用する自動ラベル付けポリシーの管理単位は選択しないでください。 管理単位ではユーザーとグループのみがサポートされるため、管理単位を使用するように自動ラベル付けポリシーを構成した場合、SharePoint の場所を選択することはできません。

管理単位の構成とそのメンバーシップの精度は、Microsoft Entra ID依存関係です。 管理単位のメイン目的は、最小限の特権のセキュリティベスト プラクティスを確保することですが、ラベル付けポリシーに管理単位を使用すると、構成とメンテナンスを簡略化できます。

たとえば、organizationで特定の国の管理単位が構成されており、フランスのユーザーだけに新しい秘密度ラベルを発行し、これらのユーザーに特定のポリシー設定を割り当てる必要があります。

  1. Microsoft Purview コンプライアンス ポータルにサインインします。 アカウントはInformation Protection管理者ロール グループのメンバーであり、その役割グループのアカウントにはフランス、ドイツ、スペインの管理単位が割り当てられます。

  2. 秘密度ラベル ポリシーを作成すると、3 つの管理単位だけが表示され、フランス用の管理単位が選択され、すべてのユーザーとグループの既定値が維持されます。

    この構成では、フランスのすべてのユーザーに対してポリシーのスコープが自動的に設定されます。 ユーザーを選択または手動で選択するグループについて心配する必要はありません。 また、この変更はMicrosoft Entraの管理単位によって処理されるため、フランスに新しいユーザーがいる場合にポリシーを変更する必要はありません。

Microsoft Purview が管理単位をサポートする方法の詳細については、「 管理単位」を参照してください。

秘密度ラベルの展開戦略

組織の秘密度ラベルの展開戦略を成功させるには、ビジネス要件と技術要件、概念実証テスト、内部チェックポイントと承認、運用環境の最終的な展開を特定し管理する作業仮想チームを作成します。

次のセクションの表を使用して、最も影響力のあるビジネス要件にマッピングされる上位 1 つまたは 2 つのシナリオを特定することをお勧めします。 これらのシナリオが展開されたら、リストに戻り、次に展開する優先順位の 1 つまたは 2 つを特定します。

注:

Office アプリでラベル付けに AIP アドインを使用している場合は、組み込みのラベル付けに移行することをお勧めします。 詳細については、「Office アプリの組み込みラベル付けに Azure Information Protection (AIP) アドインを移行する」を参照してください。

秘密度ラベルの一般的なシナリオ

すべてのシナリオで、秘密度ラベルとそのポリシーを作成して構成する必要があります。

必要な作業... ドキュメント
Office アプリの秘密度ラベルを管理して、コンテンツの作成時にラベルを付けられるようにする (すべてのプラットフォームでの手動によるラベル付けのサポートを含む) Office アプリの秘密度ラベルを管理する
Windows 上の Office アプリの追加機能で (必要な場合)、ラベル付けをエクスプローラーと PowerShell に拡張する Windows 用のAzure Information Protection 統合ラベル付けクライアント
秘密度ラベルを使用してドキュメントやメールを暗号化し、そのコンテンツにアクセスできるユーザーとその使用方法を制限する 秘密度ラベルを使用して暗号化を適用してコンテンツへのアクセスを制限する
会議の招待や返信から、会議自体と関連するチャットの保護まで、Teams 会議を保護する 秘密度ラベルを使用して予定表アイテム、Teams 会議、チャットを保護する
Teams ボイスメール メッセージを保護する organizationで保護されたボイスメールを有効にする
ドキュメントが暗号化されている場合でも、共同編集、電子情報開示、データ損失防止、検索をサポートし、Office on the web の秘密度ラベルを有効にする SharePoint および OneDrive でファイルの秘密度ラベルを有効にする
既定の秘密度ラベルで自動的にラベル付けする SharePoint 内のファイル SharePoint ドキュメント ライブラリの既定の秘密度ラベルを構成する
ドキュメントが暗号化されている場合に、Office デスクトップ アプリで共同編集と自動保存を使用する 機密度ラベルを使用して暗号化されたファイルの共同編集を有効にする
秘密度ラベルをドキュメントとメールに自動的に適用する 機密ラベルをコンテンツに自動的に適用する
秘密度ラベルを使用して Teams と SharePoint のコンテンツを保護する Microsoft Teams、Microsoft 365 グループ、SharePoint サイトで秘密度ラベルを使用する
秘密度ラベルを使用して、SharePoint と OneDrive のサイトと個々のドキュメントの既定の共有リンクの種類を構成する 秘密度ラベルを使用して、SharePoint と OneDrive のサイトとドキュメントの既定の共有リンクを設定する
ドキュメント理解モデルに機密ラベルを適用すると、SharePoint ライブラリ内の識別されたドキュメントが自動的に分類および保護されます Microsoft Syntexのモデルに秘密度ラベルを適用する
特定の感度ラベルを持つファイルまたはメールをユーザーが共有しないように、または警告します。 DLP ポリシーで秘密度ラベルを条件として使用する
個人データを含むコンテンツが共有されつつあるか、保護が必要であるというアラートを受け取ったときに、機密ラベルをファイルに適用する プライバシー リスク管理のアラートを調査して修復します
保持ラベルを適用して、特定の秘密度ラベルを持つファイルまたはメールを保持または削除する 保持ラベルを自動的に適用してコンテンツを保持または削除する
オンプレミスのデータ ストアに保存されているファイルを検出、ラベル付け、保護する ファイルを自動的に分類および保護するための情報保護スキャナーの展開
クラウドのデータ ストアに保存されているファイルを検出、ラベル付け、保護する クラウドに保存されている規制対象および機密データを検出、分類、ラベル付け、保護する
ファイルや電子メールに使用しているものと同じ秘密度ラベルを使用して SQL データベース列にラベルを付けて、エクスポート時に、この構造化データを保護し続けることができる統合ラベル付けソリューションを組織が持つようにします。 Azure SQL Database、Azure SQL Managed Instance、Azure Synapse Analytics のデータの検出と分類

SQL Server オンプレミスの SQL データの検出と分類
Power BI でラベルの適用と表示をし、サービスの外部に保存されたデータを保護する Power BI の秘密度ラベル
組織で秘密度ラベルがどのように使用されているかを監視し、理解する データ分類の説明
秘密度ラベルの適用をサード パーティ製アプリやサービスに拡大する Microsoft Information Protection SDK
Azure Blob Storage、Azure Files、Azure Data Lake Storage、マルチクラウド データ ソースなど、Microsoft Purview データ マップ アセットのコンテンツ全体に秘密度ラベルを拡張する Microsoft Purview データ マップでのラベル付け

機密度ラベルのエンド ユーザー向けのドキュメント

最も効果的なエンド ユーザー向けのドキュメントは、選択したラベル名と構成に関するカスタマイズされたガイダンスと手順です。 ラベル ポリシー設定 [カスタム ヘルプ ページへのリンクをユーザーに提供する] を使用して、このドキュメントへの内部リンクを指定することができます。 ユーザーは、[秘密度] ボタンから簡単にアクセスすることができます。

  • 組み込みのラベル付けの場合: [詳細] メニュー オプション。
  • Azure Information Protection統合ラベル付けクライアントの場合: [ヘルプとフィードバック] メニュー オプション > [Microsoft Azure Information Protection] ダイアログ ボックスの [詳細を伝える] リンク。

カスタマイズしたドキュメントの提供に役立てるために、次のページを表示して、ユーザーのトレーニングに使用できるアイテムをダウンロードします。秘密度ラベルのエンド ユーザー トレーニング

基本的な手順については、次のリソースを使用することもできます:

秘密度ラベルを PDF ドキュメントの暗号化に適用する場合は、Windows または Mac で Microsoft Edge を使用して、これらのドキュメントを開くことができます。 詳細については、「 Windows または Mac で Microsoft Edge を使用して保護された PDF を表示する」を参照してください。