この設定により、Microsoft Purview Information Protection クライアントを使用して Office および PDF 用以外のファイルの種類にラベルを付け、暗号化するユーザーの生産性が向上します。 Office や PDF 以外のファイルの種類の一般的な例としては、サード パーティ製アプリケーションの .txt、.jpg、.csv、ファイルなどがあります。
ユーザーが情報保護クライアントを使用し、高度なラベルベースの保護のためにこの設定なしでこれらのファイルにラベルを付けて暗号化する場合:
暗号化されたファイルは、ファイル名拡張子を変更し、読み取り専用になり、元のファイル名拡張子をサポートするアプリによって開けなくなります。 代わりに、Microsoft Purview Information Protection ビューアーでファイルが開きます。 ファイルを変更するには、暗号化を使用してラベルを手動で削除する必要があります。
暗号化には、特定のユーザーのコピーと保存を許可しないなどの制限付きアクセス許可を含めることができますが、すべてのファイルでこれらの制限をサポートできるわけではありません。 その結果、これらのファイルが情報保護ビューアーで開かれると、構成されたアクセス許可がユーザーに通知されますが、アクセス許可を適用することはできません。 この種類の暗号化は、ネイティブではなくジェネリックと呼ばれます。
暗号化されたファイルのファイル名拡張子の変更について詳しくは、情報保護クライアントのドキュメントの 「サポートされているファイルの種類 」をご覧ください。 また、 コンピューター操作に不可欠なファイルに対する標準のクライアント例外にも注意してください。
デバイス上のすべてのファイルに対して [ 詳細なラベルベースの保護 ] 設定をエンドポイント データ損失防止の設定にユーザーを構成し、情報保護クライアントを使用すると、Office でサポートされていないファイルの種類または PDF ファイルに対して次の変更が行われます。
- ユーザーが暗号化を適用する秘密度ラベルを選択しても、ファイル名拡張子は変更されません。 その結果、標準アプリケーションでファイルを引き続き表示および編集できるため、ユーザー ワークフローに変更はありません。 エンドポイント DLP は、情報保護ビューアーを必要とせずに構成されたアクセス許可を適用して、ファイルを追跡および監視します。
注:
ファイル名の拡張子は変更されていないため、ユーザーは Microsoft Purview Information Protection File Labeler を使用してラベルが適用されていることを確認できます。
- ユーザーがコンピューターからファイルをコピーまたは移動した場合にのみ、ファイル名が変更されます。
- ファイルがネットワーク ドライブまたは USB デバイスにコピーまたは移動された場合、ファイルには、情報保護ビューアーがファイルを開く必要がある変更されたファイル名拡張子があります。
- ファイルが他の場所 (Bluetooth デバイス、リモート デスクトップ経由、またはクラウドにアップロードされている) にコピーまたは移動された場合、ファイルのローカル コピーが作成され、ファイル名拡張子が変更され、情報保護ビューアーがファイルを開く必要があります。 エンドポイント DLP は、このバージョンのファイルを手動でコピーまたは新しい場所に移動する必要があることをユーザーに通知します。
- ファイルを暗号化する操作が失敗した場合、暗号化されていないファイルがデバイス上に残り、流出しないように、コピーまたは移動アクティビティはブロックされます。
Office と PDF 以外のファイルにラベルを付け、エンドポイント DLP の高度なラベルベースの保護を持つクライアントではなく、情報保護クライアントのみを使用する場合の違いの概要を次に示します。
| ラベル付けの動作 | クライアントのみ | エンドポイント DLP 設定が有効になっているクライアント |
|---|---|---|
| 暗号化でラベル付けされたファイルは、元のファイル名拡張子を保持します | 不要 ファイル名拡張子は常に変更されます |
はい エグレスまで |
| 暗号化でラベル付けされたファイルは、元のアプリケーションまたは元のファイルの種類をサポートする他のアプリケーションで開いて編集できます | 不要 常に情報保護ビューアーが必要 |
はい エグレスまで |
| ラベル付けされたファイルと暗号化されたファイルに対して構成されたアクセス許可が適用されます | ネイティブ暗号化: はい 汎用暗号化: いいえ |
はい エグレスまで、次のアクセス許可が適用されます。表示、抽出、印刷 |
エグレス動作の例
ユーザーがテキスト ファイルをネットワーク ドライブに移動すると、ファイルに暗号化のラベルが付けられます。
- ネットワーク ドライブ上のファイルには .ptxt ファイル拡張子があり、情報保護ビューアーで開く必要があり、DLP で監視することはできません。
ユーザーは、.jpg ファイル名拡張子を持つイメージ ファイルをクラウドにアップロードし、ファイルに暗号化のラベルが付けられます。
- エンドポイント DLP は、.pjpg ファイル名拡張子を持つファイルのローカル コピーを作成し、このバージョンのファイルを使用して新しいコピー先にコピーする必要があることをユーザーに通知します。 このバージョンのファイルは、情報保護ビューアーで開く必要があり、DLP によって監視することはできません。
- コンピューター上の元のファイルは .txt ファイル拡張子を保持し、任意のテキスト エディターで開いて編集できます。 DLP は引き続きこのファイルを監視します。
制限事項:
- 暗号化を適用する秘密度ラベルに対してのみサポートされます。 暗号化のない秘密度ラベルの場合、動作とサポートされるファイルの種類は 、情報保護クライアントの場合と同じです。
- ネットワークの場所または USB ドライブ上のファイルにラベルを付ける場合はサポートされていません。
- 適用された秘密度ラベルは、送信前 の DLP ポリシーの条件 として検出されません。
- ラベル付けに複数のファイルが選択されていて、Office ファイルまたは PDF ファイルが含まれている場合、Office ファイルと PDF ファイルはラベル付けまたは暗号化されません。
- エンドポイント DLP では、エグレスの前にすべての 権限管理の使用権限 が適用されるわけではありません。VIEW、EXTRACT、および PRINT がサポートされています。
- [名前を付けて保存] オプションは、現在のラベルと暗号化設定を自動的に継承しません。 ユーザーは新しいファイルにラベルを付ける必要があります。
- Microsoft Purview Information Protection PowerShell モジュールは DLP 設定を認識しません。 PowerShell を使用してファイルにラベルを付けると、ファイル拡張子が暗号化されて変更されます。 DLP 設定を有効にした場合にのみ、Microsoft Purview Information Protection ファイル ラベラーを使用します。