次の方法で共有


OneDrive で情報バリアを使用する

Microsoft Purview Information Barriers は、Microsoft 365 のポリシーであり、コンプライアンス管理者は、ユーザーが相互に通信および共同作業できないように構成できます。 このソリューションは、たとえば、1 つの部門が特定の他の部門と共有すべきではない情報を処理する場合や、部門が部門外のすべてのユーザーと共同作業できないように、または分離する必要がある場合に役立ちます。 情報バリアは、規制の厳しい業界や、財務、法務、政府などのコンプライアンス要件を持つ組織でよく使用されます。

OneDrive の場合、情報バリアは、次の種類の未承認のコラボレーションを決定し、防止できます。

  • OneDrive または保存されたコンテンツへのユーザー アクセス
  • OneDrive または保存されたコンテンツを他のユーザーと共有する

情報バリア モードと OneDrive

SharePoint と OneDrive で情報バリアが有効になっている場合、セグメント化されたユーザーの OneDrive は IB ポリシーで自動的に保護されます。 情報バリア モードは 、OneDrive に関連付けられている IB モードとセグメントに基づいて、OneDrive サイトのアクセス、共有、メンバーシップを強化するのに役立ちます。

OneDrive で情報バリアを使用する場合、次の IB モードがサポートされます。

Mode 説明
Open セグメント化されていないユーザーが OneDrive をプロビジョニングすると、サイトの IB モードは既定で [開く] に設定されます。 サイトに関連付けられているセグメントはありません。
所有者モデレート OneDrive をサイト所有者/モデレーターが存在する互換性のないユーザーとのコラボレーションに使用する場合、OneDrive の IB モードを所有者モデレートとして設定できます。 所有者モデレート サイトの詳細については、 このセクション を参照してください。
Explicit セグメント化されたユーザーが有効化から 24 時間以内に OneDrive をプロビジョニングすると、サイトの IB モードは既定で 明示的 に設定されます。 ユーザーのセグメントとユーザーのセグメントと互換性があり、互いに互換性のあるその他のセグメントは、ユーザーの OneDrive に関連付けられます。
Mixed セグメント化されたユーザーの OneDrive を、セグメント化されていないユーザーと共有できる場合、サイトの IB モードを Mixed に設定できます。 これは、SharePoint 管理者がセグメント化されたユーザーの OneDrive に設定できるオプトイン モードです。

注:

2022 年 7 月 12 日以降、 推論 モードが 混合 モードに変更されました。 モードの機能は変わりません。

OneDrive からのファイルの共有

開く

OneDrive にセグメントがなく、IB モードが [開く] の場合:

  • ユーザーは、ユーザーに適用された情報バリア ポリシーと OneDrive の共有設定に基づいて、ファイルとフォルダーを共有できます。

所有者モデレート

サイトに情報バリア モードが設定されている場合、 所有者モデレート:

  • リンクを持つすべてのユーザーと共有するオプションは無効になっています。
  • 会社全体のリンクと共有するオプションは無効になっています。
  • サイトとそのコンテンツは、既存のメンバーと共有できます。
  • サイトとそのコンテンツは、IB ポリシーごとに OneDrive 所有者のみが共有できます。

Explicit

OneDrive に情報バリア セグメントがあり、モードが [明示的] に設定されている場合:

  • リンクを持つすべてのユーザーと共有するオプションは無効になっています。
  • 会社全体のリンクと共有するオプションは無効になっています。
  • ファイルとフォルダーは、OneDrive のセグメントと一致するユーザーとのみ共有できます。

混合

OneDrive に情報バリア セグメントがあり、モードが Mixed に設定されている場合:

  • リンクを持つすべてのユーザーと共有するオプションは無効になっています。
  • 会社全体のリンクと共有するオプションは無効になっています。
  • ファイルとフォルダーは、セグメントが OneDrive のユーザーと一致するユーザーと、テナント内の未承認のユーザーと共有できます。

OneDrive から共有ファイルにアクセスする

オープン モード

ユーザーが、セグメントが関連付けられていない OneDrive 内のコンテンツにアクセスし、IB モードを [開く] としてアクセスする場合:

  • ファイルはユーザーと共有する必要があります。

所有者モデレート モード

ユーザーがサイトの情報バリア モードを使用して SharePoint サイトにアクセスするには、[ 所有者モデレート] が設定されています。

  • ユーザーはサイトアクセス許可を持っています。

明示的モード

ユーザーがセグメントを持ち、IB モードが 明示的に設定されている OneDrive 内のコンテンツにアクセスするには:

  1. ユーザーのセグメントは、OneDrive に関連付けられているセグメントと一致する必要があります。

    および

  2. ファイルはユーザーと共有する必要があります。

注:

既定では、セグメント以外のユーザーは、IB モードが [開く] の他の非セグメント ユーザーからのみ、共有 OneDrive ファイルにアクセスできます。 セグメントが適用され、IB モードが 明示的である OneDrive から共有ファイルにアクセスすることはできません。

混合モード

セグメント化されたユーザーが、セグメントと IB モードが Mixed に設定されている OneDrive 内のコンテンツにアクセスする場合:

  1. ユーザーのセグメントは、OneDrive に関連付けられているセグメントと一致する必要があります。

    および

  2. ファイルはユーザーと共有する必要があります。

セグメントがあり、IB モードが Mixed に設定されている OneDrive 内のコンテンツに、セグメントのないユーザーがアクセスする場合:

  • ユーザーにはサイト アクセス許可が必要です。

シナリオ例

次の例は、組織内の 3 つのセグメント (HR、Sales、Research) を示しています。 営業部門と研究部門間のコミュニケーションとコラボレーションをブロックする情報バリア ポリシーが定義されています。

組織内のセグメントの例

OneDrive の情報バリアでは、セグメントがユーザーに適用されると、24 時間以内にそのセグメントがユーザーの OneDrive に自動的に関連付けられます。 ユーザーのセグメントと互換性があり、互いに互換性のある他のセグメントも、OneDrive に関連付けられます。 OneDrive には、最大 100 個のセグメントを関連付けることができます。 グローバル管理者または SharePoint 管理者は、「 ユーザーの OneDrive で追加のセグメントを関連付けるまたは削除する」セクションで後述するように、PowerShell を使用してこれらのセグメントを管理できます。

次の表は、この構成例の効果を示しています。

コンポーネント 人事ユーザー セールス ユーザー ユーザーの調査 セグメント以外のユーザー
OneDrive に関連付けられているセグメント 人事 営業、人事 研究、人事 なし
OneDrive の IB モード Explicit Explicit Explicit 開く
OneDrive コンテンツを共有できます HR のみ 営業と人事 研究と人事 選択した共有設定に基づくすべてのユーザー
OneDrive コンテンツには、 HR のみ 営業と人事 研究と人事 コンテンツが共有されているユーザー

組織内で SharePoint と OneDrive の情報バリアを有効にする

SharePoint と OneDrive の情報バリアの有効化は、1 つのアクションで構成されます。 サービスの情報バリアを個別に有効にすることはできません。 OneDrive の情報バリアを有効にするには、「 組織内で SharePoint と OneDrive の情報バリアを有効にする」を参照してください。 SharePoint と OneDrive の情報バリアを有効にしたら、この記事の OneDrive ガイダンスに進んでください。

前提条件

  1. 情報バリアのライセンス要件を満たしていることを確認します。
  2. セグメント間の通信を許可またはブロックし、ポリシーをアクティブ化する情報バリア ポリシーを作成します。 セグメントを作成し、それぞれにユーザーを定義します。
  3. 情報バリア ポリシーを構成してアクティブ化したら、変更が組織に反映されるまで 24 時間待ちます。
  4. OneDrive の情報バリアを有効にします。 SharePoint と OneDrive の情報バリアの有効化は 1 つのアクションで構成され、これらのサービスを個別に有効にすることはできません。 OneDrive の情報バリアを有効にするには、「 SharePoint で情報バリアを使用する 」のガイダンスと手順を参照してください。
  5. 組織の OneDrive の情報バリアをカスタマイズおよび管理するには、次のセクションの手順を実行します。

PowerShell を使用して、OneDrive に関連付けられているセグメントを表示する

重要

Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 グローバル管理者ロールを持つユーザーの数を最小限に抑えることで、組織のセキュリティを向上させることができます。 Microsoft Purview のロールとアクセス許可の詳細については、こちらをご覧ください。

グローバル管理者または SharePoint 管理者は、ユーザーの OneDrive に関連付けられているセグメントを表示および変更できます。 組織は最大 5,000 個のセグメントを持ち、ユーザーを複数のセグメントに割り当てることができます。

重要

5,000 個のセグメントのサポートと複数のセグメントへのユーザーの割り当ては、組織が Legacy モードでない場合にのみ使用できます。 ユーザーを複数のセグメントに割り当てるには、組織の情報バリア モードを変更するための追加操作が必要です。 詳細については、「情報バリアで複数セグメントのサポートを使用する」を参照してください。

Legacy モードの組織の場合、サポートされるセグメントの最大数は 250 個であり、ユーザーは 1 つのセグメントにのみ割り当てられるように制限されます。 Legacy モードの組織は、将来、情報バリアの最新バージョンにアップグレードする資格があります。 詳細については、情報バリアのロードマップを参照してください。

  1. セキュリティ & コンプライアンス センター PowerShell にグローバル管理者として接続します。

  2. 次のコマンドを実行して、セグメントとその GUID の一覧を取得します。

    Get-OrganizationSegment | ft Name, EXOSegmentID
    
  3. セグメントの一覧を保存します。

    名前 EXOSegmentId
    営業 a9592060-c856-4301-b60f-bf9a04990d4d
    研究 27d20a85-1c1b-4af2-bf45-a41093b5d111
    人事 a17efb47-e3c9-4d85-a188-1cd59c83de32
  4. 以前に完了していない場合は、最新の SharePoint Online 管理シェルを ダウンロード してインストールします。 以前のバージョンの SharePoint Online 管理シェルをインストールした場合は、「 組織で SharePoint と OneDrive の情報バリアを有効にする」 の手順に従います。

  5. Microsoft 365 のグローバル管理者または SharePoint 管理者として SharePoint Online に接続します。 方法の詳細については、「SharePoint Online 管理シェルの使用を開始する」を参照してください。

  6. 次のコマンドを実行します。

    Get-SPOSite -Identity <site URL> | Select InformationSegment 
    

    例:

    Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationSegment
    

ユーザーの OneDrive でセグメントを管理する

警告

ユーザーの OneDrive に関連付けられているセグメントが、ユーザーに適用されたセグメントと一致しない場合、ユーザーは OneDrive にアクセスできません。 セグメント以外のユーザーの OneDrive にセグメントを関連付けないように注意してください。

注:

ユーザーのセグメントが変更された場合、行った変更はすべて上書きされます。

セグメントを OneDrive に関連付けるには、SharePoint Online 管理シェルで次のコマンドを実行します。

重要

5,000 個のセグメントのサポートと複数のセグメントへのユーザーの割り当ては、組織が Legacy モードでない場合にのみ使用できます。 ユーザーを複数のセグメントに割り当てるには、組織の情報バリア モードを変更するための追加操作が必要です。 詳細については、「情報バリアで複数セグメントのサポートを使用する」を参照してください。

Legacy モードの組織の場合、サポートされるセグメントの最大数は 250 個であり、ユーザーは 1 つのセグメントにのみ割り当てられるように制限されます。 Legacy モードの組織は、将来、情報バリアの最新バージョンにアップグレードする資格があります。 詳細については、情報バリアのロードマップを参照してください。

Set-SPOSite -Identity <site URL> -AddInformationSegment <segment GUID> 

例:

Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -AddInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111

OneDrive にセグメントを追加すると、サイトの IB モードが自動的に [明示的] に更新されます。 OneDrive 上の既存のセグメントと互換性のないセグメントを関連付けようとすると、エラーが表示されます。

重要

ユーザーを複数のセグメントに割り当てるサポートは、組織が Legacy モードでない場合にのみ利用できます。 組織が レガシ モードであるかどうかを判断するには、「 組織の IB モードを確認する」を参照してください)。

Legacy モードの組織では、ユーザーは 1 つのセグメントにのみ割り当てられるように制限されています。 レガシー モードの組織は、将来、情報バリアの最新バージョンにアップグレードする資格があります。 詳細については、情報バリアのロードマップを参照してください。

OneDrive からセグメントを削除するには、次のコマンドを実行します。

Set-SPOSite -Identity <site URL> -RemoveInformationSegment <segment GUID>

例:

Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -RemoveInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111

OneDrive サイトのすべてのセグメントが削除されると、OneDrive の IB モードが自動的に [開く] に更新されます。

ユーザーの OneDrive の IB モードを管理する (プレビュー)

重要

Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 グローバル管理者ロールを持つユーザーの数を最小限に抑えることで、組織のセキュリティを向上させることができます。 Microsoft Purview のロールとアクセス許可の詳細については、こちらをご覧ください。

OneDrive サイトの IB モードを表示するには、SharePoint 管理者またはグローバル管理者として SharePoint Online 管理シェルで次のコマンドを実行します。

Get-SPOSite -Identity <site URL> | Select InformationBarriersMode

例:

Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationBarriersMode

SharePoint 管理者またはグローバル管理者は、新しい IB モードで組織のニーズを満たすために、OneDrive サイトの IB モードを管理することもできます。

所有者モデレート モードの例

互換性のないセグメント ユーザーに OneDrive へのアクセスを許可します。 たとえば、テナント内の Sales と Research の両方のセグメント ユーザーが HR ユーザーの OneDrive にアクセスできるようにする場合です。

所有者モデレート は、互換性のないセグメント ユーザーがモデレーター/所有者の存在下で OneDrive にアクセスできるようにする OneDrive サイトに適用されるモードです。 サイト所有者のみが、同じサイトで互換性のないセグメント ユーザーを招待する機能を持っています。

OneDrive サイト IB モードを 所有者モデレートに更新するには、次の PowerShell コマンドを実行します。

Set-SPOSite -Identity <siteurl> -InformationBarriersMode OwnerModerated

所有者モデレート IB モードは、セグメントがあるサイトでは設定できません。 IB モードを所有者モデレートに設定する前に、セグメントを削除します。 所有者モデレート されたサイトへのアクセスは、サイトアクセス許可を持つユーザーに対して許可されます。 所有者モデレート OneDrive とそのコンテンツの共有は、IB ポリシーに従ってサイト所有者のみが許可します。

混合モードの例

セグメントに関連付けられている OneDrive へのアクセスを、セグメント化されていないユーザーに許可します。 たとえば、HR ユーザーの OneDrive に、テナント内の HR セグメントとセグメント化されていないユーザーがアクセスできるようにする必要があります。 OneDrive サイトに適用される混合モード。セグメント化されたユーザーとセグメント化されていないユーザーが OneDrive にアクセスできるようにします。

OneDrive サイト IB モードを Mixed に更新するには、次の PowerShell コマンドを実行します。

Set-SPOSite -Identity <siteurl> -InformationBarriersMode Mixed

セグメントのないサイトでは、混合 IB モードを設定できません。 IB モードを Mixed に設定する前にセグメントを追加します。

ユーザー セグメントへの変更の影響

ユーザーのセグメントが変更された場合、OneDrive のセグメントと IB モードは、OneDrive の情報バリアに関するセクションで説明されているように、24 時間以内に自動的に更新されます

例 1: ユーザーのセグメントが Research から Sales に更新され、ユーザーの OneDrive は 24 時間以内に次のようになります。

  • セグメント: 売上、人事
  • IB モード: 明示的

例 2: ユーザーのセグメントが HR から None に更新され、ユーザーの OneDrive は 24 時間以内に次のようになります。

  • セグメント: なし
  • IB モード: 開く

情報バリア ポリシーへの変更の影響

コンプライアンス管理者が既存のポリシーを変更すると、OneDrive に関連付けられているセグメントの互換性に影響を与える可能性があります。

たとえば、一度互換性があったセグメントは互換性がなくなった可能性があります。 SharePoint 管理者は、影響を受けるサイトに関連付けられているセグメントを適宜変更する必要があります。 PowerShell で情報バリア ポリシー コンプライアンス レポートを作成する方法について説明します。

ファイルの共有後にポリシーが変更された場合、共有リンクは、共有ファイルにアクセスしようとしているユーザーに、OneDrive に関連付けられているセグメントと一致するセグメントが適用されている場合にのみ機能します。

監査

監査イベントは、情報バリア アクティビティの監視に役立つ Microsoft Purview ポータルMicrosoft Purview コンプライアンス ポータル で使用できます。 監査イベントは、次のアクティビティに対してログに記録されます。

  • SharePoint と OneDrive の有効な情報バリア
  • サイトに適用されたセグメント
  • サイトのセグメントを変更しました
  • サイトのセグメントを削除しました
  • サイトに適用された情報バリア モード
  • サイトの情報バリア モードを変更しました
  • SharePoint と OneDrive の無効な情報バリア

Office 365 での OneDrive セグメント監査の詳細については、「 監査ログを検索する」を参照してください。

リソース