機密データに対する保護機能を使用してチームを構成する

この記事の一部の機能にはMicrosoft Syntexが必要 - SharePoint Advanced Management

この記事では、機密レベルの保護機能を使用してチームをセットアップする方法について説明します。 この記事の手順を実行する前に、「基本保護機能を使用してチームを展開する」の手順を完了していることを確認してください。

この保護層では、機密性の高いチームとファイルに対して組織全体で使用できる秘密度ラベルを作成します。

機密層は、基本層の上に次のような追加保護機能を実現します。

• ゲスト共有をオンまたはオフにし、SharePoint サイトにアクセスするための条件付きアクセス ポリシーを適用できるチームの秘密度ラベル。
• ラベルは、ファイルの既定のラベルとしても使用され、適用先のファイルが暗号化されます。 このラベルを使用するファイルを復号化できるのは、指定した組織のメンバーとゲストのみです。
• チーム所有者のみがプライベート チャネルを作成できます。
• サイトへのアクセスはチーム メンバーに制限されます。

ビデオ デモンストレーション

この記事で説明されている手続きのチュートリアルに関するビデオを見ます。

ゲスト共有

会社の性質に応じて、機密データを含むチームのゲスト共有を有効または無効にする必要がある場合があります。 チーム内の組織外のユーザーと共同作業する場合は、ゲスト共有を有効にすることをお勧めします。 Microsoft 365 には、セキュリティとコンプライアンスのためのさまざまな機能が含まれており、機密コンテンツを安全に共有できます。 通常、組織外のユーザーに直接コンテンツを電子メールで送信するよりも、セキュリティが強化されています。

ゲストと安全に共有する方法の詳細については、次のリソースをご覧ください。

• 組織外のユーザーと共有する場合、ファイルが偶発的に公開されることを制限する
• セキュリティで保護されたゲスト共有環境を作成する

ゲスト共有を許可またはブロックするために、秘密度ラベルで使用できるコントロールを使用します。

認証コンテキスト

Microsoft Entra認証コンテキストを使用して、ユーザーが SharePoint サイトにアクセスするときに、より厳しいアクセス条件を適用します。

まず、Microsoft Entra ID に認証コンテキストを追加します。

認証コンテキストを追加するには

1. [Microsoft Entra条件付きアクセス] の [管理] で、[認証コンテキスト] を選択します。

2. [ 新しい認証コンテキスト] を選択します。

3. 名前と説明を入力し、[アプリに発行] チェックボックスを選択します。

   

4. [保存] を選択します。

次に、その認証コンテキストに適用され、ゲストが SharePoint にアクセスするときに多要素認証を使用する必要がある条件付きアクセス ポリシーを作成します。

条件付きアクセス ポリシーを作成するには

1. [条件付きアクセスのMicrosoft Entra] で、[新しいポリシーの作成] を選択します。

2. ポリシーの名前を入力します。

3. [ユーザー] タブで、[ユーザーとグループの選択] オプションを選択し、[ゲストまたは外部ユーザーのチェック] ボックスを選択します。

4. ドロップダウンから [B2B コラボレーション ゲスト ユーザー ] を選択します。

5. [ターゲット リソース] タブの [このポリシーの適用対象の選択] で、[認証コンテキスト] を選択し、作成した認証コンテキストの [チェック] ボックスを選択します。

   

6. [ 許可 ] タブで、[ 多要素認証が必要] を選択し、[選択] を 選択します。

7. ポリシーを有効にするかどうかを選択し、[ 作成] を選択します。

秘密度ラベルの認証コンテキストをポイントします。

秘密度ラベル

機密性の高いレベルの保護のために、秘密度ラベルを使用してチームを分類します。 また、このラベルを使用して、チーム内の個々のファイルを分類および暗号化します。 (SharePoint や OneDrive などの他のファイルの場所にあるファイルでも使用できます)。

最初の手順では、Teams の秘密度ラベルを有効にする必要があります。 詳細については、「秘密度ラベルを使用して Microsoft Teams、Microsoft 365 グループ、および SharePoint サイトのコンテンツを保護する」を参照してください。

組織に既に秘密度ラベルを展開している場合は、ラベル戦略全体にこのラベルがどのように適合しているかを検討してください。 組織のニーズを満たす必要がある場合、名前または設定を変更できます。

Teams の秘密度ラベルを有効にしたら、次の手順ではラベルを作成します。

秘密度ラベルを作成する

1. Microsoft Purview コンプライアンス ポータル を開きます。
2. [ ソリューション] で、[ 情報保護] を展開します。
3. [ラベルを作成] を選択します。
4. ラベルに名前を付けます。 [高機密性] をお勧めしますが、既に使用されている別の名前を選択することもできます。
5. 表示名と説明を追加し、[ 次へ] を選択します。
6. [このラベルのスコープを定義する] ページで、[アイテム]、[ファイル]、[電子メール]、[グループ] & サイトを選択します。 [会議チェック] ボックスをオフにします。
7. [次へ] を選択します。
8. [ ファイルとメールの保護設定の選択] ページで、[ 暗号化の適用または削除] を選択し、[ 次へ] を選択します。
9. [暗号化] ページで、[暗号化設定を構成する] を選択します。
10. [ 特定のユーザーとグループにアクセス許可を割り当てる] で、[ アクセス許可の割り当て] を選択します。
11. [Organization内のすべてのユーザーとグループを追加する] を選択します。
12. ファイルの暗号化を解除するアクセス許可を持つゲストがいる場合は、[ ユーザーまたはグループの追加 ] を選択して追加します。
13. [プロバイダー向けのホスト型] オプションを選択し、[次へ] を選択します。
14. [ ファイルとメールの自動ラベル付け ] ページで、[ 次へ] を選択します。
15. [ グループとサイトの保護設定を定義する ] ページで、[ プライバシーと外部ユーザー アクセス] と [ 外部共有と条件付きアクセス ] を選択し、[ 次へ] を選択します。
16. [Define privacy and external user access settings] (プライバシーと外部ユーザー アクセス設定の定義) ページの [プライバシー] で、[プライベート] オプションを選択します。
17. ゲスト アクセスを許可する場合は、[外部ユーザーのアクセス] で、[Let Microsoft 365 Group owners add people outside your organization to the group as guests] (Microsoft 365 グループ所有者が組織外のユーザーをグループに追加できるようにする) を選択します。
18. [次へ] を選択します。
19. [ 外部共有と条件付きアクセスの設定を定義 する] ページで、[ ラベル付けされた SharePoint サイトからの外部共有を制御する] を選択します。
20. [Content can be shared with] (コンテンツの共有先) で、ゲスト アクセスを許可する場合には [新規および既存のゲスト] を選択し、許可しない場合には [組織内のユーザーのみ] を選択します。
21. [Microsoft Entra条件付きアクセスを使用してラベル付けされた SharePoint サイトを保護する] を選択します。
22. [ 既存の認証コンテキストの選択 ] オプションを選択し、ドロップダウン リストから作成した認証コンテキストを選択します。
23. [次へ] を選択します。
24. [ スキーマ化されたデータ資産の自動ラベル付け ] ページで、[ 次へ] を選択します。
25. [ ラベルの作成] を選択し、[完了] を選択 します。

ラベルを作成したら、それを使用するユーザーに発行する必要があります。 機密性の高い保護のために、すべてのユーザーがラベルを使用できるようにします。 ラベルは、Microsoft Purview コンプライアンス ポータルの [ラベル ポリシー] ページの [情報保護] で発行します。 すべてのユーザーに適用する既存のポリシーがある場合は、そのポリシーにこのラベルを追加します。 新しいポリシーを作成する必要がある場合は、「ラベル ポリシーを作成して秘密度ラベルを発行する」をご覧ください。

Teams の設定

機密性の高いシナリオの詳細な構成は、チーム自体とチームに関連付けられている SharePoint サイトで行います。そのため、次の手順ではチームを作成します。

Teams 管理センターにチームを作成します。

機密情報のチームを作成するには

1. Teams 管理センターで、[ Teams ] を展開し、[ チームの管理] を選択します。
2. [追加] を選択します。
3. チームの名前と説明を入力します。
4. チームの所有者を 1 つ以上追加します。 (以下の ファイルの既定の秘密度ラベルを選択できるように、 所有者として自分を保持してください)。
5. [秘密度] ドロップダウン リストから、機密性の高い情報用に作成した 秘密度ラベルを 選択します。
6. [適用] を選択します。

プライベート チャネルの設定

この層では、プライベート チャネルの作成権限をチームの所有者に制限します。

プライベート チャネルの作成を制限するには

1. Teams 管理センターで、作成したチームを選択し、[編集] を選択 します。
2. [ メッセージのアクセス許可] を展開します。
3. [ プライベート チャネルの追加と編集] を [オフ] に設定します。
4. [適用] を選択します。

共有チャネルの設定

共有チャネルには、チーム レベルの設定はありません。 Teams 管理センターとMicrosoft Entra管理センターで構成する共有チャネル設定は、個々のユーザーに適用されます。

SharePoint の設定

秘密度ラベルを使用して新しいチームを作成するたびに、SharePoint で次の 2 つの手順を実行します。

• サイトへのアクセスをチームのメンバーのみに制限する
• チームに接続されているドキュメント ライブラリの既定の秘密度ラベルを選択します。

既定の秘密度ラベルはサイト自体で構成する必要があり、SharePoint 管理センターまたは PowerShell を使用して設定することはできません。

チーム メンバーへのサイト アクセスを制限する

機密性の高いラベルを持つ新しいチームを作成するたびに、関連付けられている SharePoint サイトのサイト アクセス制限を有効にする必要があります。 これにより、チーム外のユーザーがサイトやそのコンテンツにアクセスできなくなります。 (これには、Microsoft Syntex - SharePoint Advanced Management ライセンスが必要です)。

以前にサイトアクセス制限を使用していない場合は、organizationに対して有効にする必要があります。

1. SharePoint 管理センターで、ポリシーを展開し、[アクセス制御] を選択します。
2. [ サイト アクセス制限] を選択します。
3. [アクセス制限を許可する] を選択し、[保存] を選択します。

これが有効になるまでに最大で 1 時間かかる場合があります。

サイトのサイト アクセス制限を有効にするには

1. SharePoint 管理センターで、[ サイト ] を展開し、[ アクティブなサイト] を選択します。
2. 管理するサイトを選択します。
3. [設定] タブの [制限付きサイト アクセス] セクションで [編集] を選択します。
4. [ このサイトへのアクセスを制限する ] ボックスを選択し、[保存] を選択 します。

ファイルの既定の秘密度ラベルを選択する

Teams に接続されているサイト ドキュメント ライブラリの既定の秘密度ラベルとして作成した秘密度ラベルを使用します。 これにより、ライブラリにアップロードされた新しいラベル互換ファイルに機密性の高いラベルが自動的に適用され、暗号化されます。 (これには、Microsoft Syntex - SharePoint Advanced Management ライセンスが必要です)。

このタスクを実行するには、チーム所有者である必要があります。

ドキュメント ライブラリの既定の秘密度ラベルを設定するには

1. Teams で、更新するチームの [全般 ] チャネルに移動します。

2. チームのツール バーで、[ファイル] を選択 します。

3. [ SharePoint で開く] を選択します。

4. SharePoint サイトで、[ 設定] を 開き、[ ライブラリの設定] を選択します。

5. [ ライブラリ設定 ] ポップアップ ウィンドウで、[ 既定の秘密度ラベル] を選択し、ドロップダウン ボックスから機密性の高いラベルを選択します。

既定のライブラリ ラベルのしくみの詳細については、「SharePoint ドキュメント ライブラリの既定の秘密度ラベルを構成する」および「SharePoint ドキュメント ライブラリに秘密度ラベルを追加する」を参照してください。

関連項目

秘密度ラベルとそのポリシーを作成して構成する