次の方法で共有

秘密度ラベルの詳細

セキュリティとコンプライアンスのための Microsoft 365 ライセンス ガイダンス

注:

Office アプリで選択できる秘密度ラベルに関する情報を探している場合は、「Office で ファイルとメールに秘密度ラベルを適用する」を参照してください。

このページの情報は、これらのラベルを作成および構成できる IT 管理者向けです。

作業を完了させるために、組織内のユーザーは、組織内外の両方のユーザーと共同作業します。 これは、コンテンツがファイアウォールの内側に留まらないことを意味します。コンテンツはあらゆる場所、デバイス、アプリ、およびサービスでローミングされます。 ローミングの際は、組織のビジネスおよびコンプライアンス ポリシーを満たす、安全に保護された方法を使用する必要があります。

Microsoft Purview Information Protection の秘密度ラベルを使用すると、組織のデータを分類および保護しながら、ユーザーの生産性と共同作業を行う能力が損なわれないようにすることができます。

Excel の次の例は、適用された秘密度ラベルをユーザーがウィンドウ バーに表示する方法と、最新バージョンの Office で使用できる秘密度バーを使用してラベルを簡単に変更する方法を示しています。 ラベルは、リボンの [ホーム] タブの [秘密度] ボタンからも利用可能です。

Excel のリボンおよびステータス バーに示された秘密度ラベル。

秘密度ラベルを適用するには、ユーザーは Microsoft 365 の職場または学校のアカウントを使用して、サインインする必要があります。

注:

米国政府機関のテナントでは、すべてのプラットフォームで感度ラベルがサポートされます。

Microsoft Purview Information Protection クライアントとスキャナーを使用する場合は、「Azure Information Protection Premium Government サービスの説明」を参照してください。

機密ラベルは、次の目的に使用できます。

  • 暗号化およびコンテンツ マーキングを含む保護設定を提供します。 たとえば、ユーザーはドキュメントや電子メールに「社外秘」ラベルを適用できます。そのラベルによって、コンテンツを暗号化して「社外秘」の透かしを適用できます。 コンテンツ マーキングにはヘッダーとフッター、透かしが含まれます。また、暗号化によって、指定されたユーザーがコンテンツに対して実行できるアクションを制限することもできます。

  • SharePoint ドキュメント ライブラリの既定の秘密度ラベルを構成するときに、ファイルのダウンロード時に SharePoint 保護を拡張し、暗号化されていないファイルの保護を拡張するオプションを選択します。 次に、これらのファイルがダウンロードされると、現在の SharePoint アクセス許可がラベル付きファイルと共に移動します。

  • さまざまなプラットフォームおよびデバイス間で Office アプリのコンテンツを保護する。 Word、Excel、PowerPoint、Outlook on the Office デスクトップ アプリとOffice for the webでサポートされます。 Windows、macOS、iOS、Android でサポートされています。

  • Microsoft Defender for Cloud Apps を使用してサード パーティ製アプリおよびサービスのコンテンツを保護する。 Defender for Cloud Apps を使用すると、サード パーティ製アプリおよびサービス (SalesForce、Box、Dropbox など) のコンテンツを検出、分類、ラベル適用、および保護できます (サード パーティ製のアプリやサービスが秘密度ラベルを認識しない場合やサポートしない場合でも可能です)。

  • 電子情報開示ケースのコンテンツを特定する。 電子情報開示で検索クエリを作成する条件ビルダーでは、コンテンツに適用される秘密度ラベルがサポートされています。 たとえば、電子情報開示ケースの一部として、機密性の高いラベルを持つファイルやメールにコンテンツを制限します。 逆に、パブリック秘密度ラベルを持つファイルやメールにコンテンツを除外します。

  • Teams、Microsoft 365 グループ、SharePoint サイト、Loop ワークスペースを含むコンテナーを保護します。 たとえば、プライバシー設定、外部ユーザー アクセスと外部共有、アンマネージド デバイスからのアクセスを設定し、チャネルを他のチームと共有する方法を制御します。

  • 会議出席依頼と返信にラベルを付けて (必要に応じて暗号化して) 会議とチャットを保護し、会議とチャットに Teams 固有のオプションを適用します。

  • Power BI に感度ラベルを拡張する: この機能を有効にすると、Power BI にラベルを適用して表示したり、サービスの外部に保存するときにデータを保護したりすることができます。

  • Microsoft Purview Data Map の資産に秘密度ラベルを拡張する: 現在プレビュー中のこの機能をオンにすると、Microsoft Purview Data Map のファイルやスキーマ化されたデータ アセットに秘密度ラベルを適用することができます。 スキーマ化されたデータ資産には、SQL、Azure SQL、Azure Synapse、Azure Cosmos DB、AWS RDS が含まれます。

  • 秘密度ラベルの適用をサード パーティ製アプリやサービスに拡大する。 Microsoft Information Protection SDK を使用すると、秘密度ラベルの読み取りと保護設定の適用をサード パーティ製アプリで行えるようになります。

  • 保護設定を何も使わずにコンテンツにラベルを付ける。 また、データの秘密度を識別した結果としてラベルを適用することもできます。 このアクションは、組織のデータ秘密度の視覚的なマッピングをユーザーに提供します。ラベルは、異なるレベルの秘密度を持つデータの使用状況レポートとアクティビティ データを生成できます。 この情報に基づいて常に選択し、後で保護設定を適用できます。

  • Microsoft 365 CopilotとMicrosoft 365 Copilot Chatが使用されている場合は、データを保護します。 Copilot とエージェントは、ラベル付けされたデータを保護し続けるために、秘密度ラベルを認識し、ユーザーの操作に統合します。 詳細については、次のセクション「Microsoft 365 CopilotとMicrosoft 365 Copilot Chatの秘密度ラベル」を参照してください。

Microsoft Purview の秘密度ラベルを使用することにより、これらすべてのケースにおいて適切なコンテンツで適切な措置をとることができます。 秘密度ラベルを使用すると、組織全体のデータの秘密度を識別でき、ラベルはそのデータの秘密度に適した保護設定を適用できます。 その保護はコンテンツに残ります。

秘密度ラベルでサポートされているこれらのシナリオの詳細については、「秘密度ラベルの一般的なシナリオ」を参照してください。 秘密度ラベルがどのように使用されているかを確認するには、 Microsoft Purview ポータルからレポートを表示します。

機密情報のラベルをサポートする新しい機能は、常に開発されています。そのため、Microsoft 365 の ロードマップを確認することをお勧めします。

秘密度ラベルとは

ドキュメントやメールに割り当てる秘密度ラベルは、次のようなスタンプのような役目を果たします。

  • カスタマイズ可能。 組織やビジネスのニーズに特化していますが、組織内のさまざまなレベルの機密コンテンツに対してカテゴリを作成できます。 たとえば、個人用、公開用、一般、社外秘、極秘などのラベルがあります。

  • クリア テキスト: ラベルはファイルやメールのメタデータにクリア テキストとして保存されるため、サードパーティ製のアプリやサービスはラベルを読み取り、必要に応じてそれぞれの保護アクションを適用することができます。

  • 永続性。 ラベルがファイルおよびメールのメタデータに保存されているため、ラベルは、保存または格納場所に関係なく、コンテンツと共に保持されます。 組織に固有のラベル ID は、構成するポリシーを適用して実施するための基礎になります。

organizationのユーザーが表示すると、適用された秘密度ラベルがアプリのタグのように表示され、既存のワークフローに簡単に統合できます。 秘密度ラベルは、他の組織のユーザーやゲストのアプリには表示されません

次の例は、別のユーザーが暗号化を適用しない [全般] という名前の秘密度ラベルを適用した開かれた電子メールを示しています。 管理者によって提供されるラベルの説明は、この秘密度ラベルによって識別されるデータのカテゴリに関する詳細をユーザーに表示します。

電子メールに適用された秘密度ラベル。

注:

秘密度ラベルを、送信者の意図を示す Outlook の組み込みの 秘密度レベル と混同しないでください。ただし、データセキュリティを提供することはできません。

秘密度ラベルをサポートする各アイテムには、単一の秘密度ラベルを適用できます。 ドキュメントとメールには、秘密度ラベルと保持ラベルの両方を適用できます。

機密ラベルでできること

メール、会議出席依頼、ドキュメント、Loopページなどのコンテンツに秘密度ラベルを適用すると、そのラベルに対して構成された保護設定がコンテンツに適用されます。 秘密度ラベルは次のように構成できます。

  • 未承認のユーザーがこのデータにアクセスできないように、メール、会議出席依頼、ドキュメントの暗号化を使用して、コンテンツへのアクセスを制御します。 どのユーザーまたはグループがどのアクションを実行する権限を持つかを選択でき、権限を持つ期間も選択できます。 たとえば、組織内のすべてのユーザーがドキュメントを変更できるようにしながら、他の組織内の特定のグループは、表示のみにすることも選択可能です。 または、管理者が割り当てるアクセス許可の代わりに、ユーザーがラベルを適用する際に、コンテンツへのアクセス許可の割り当てをユーザーが行えるようにもできます。

    秘密度ラベルを作成または編集するときの暗号化ベースのアクセス制御設定の詳細については、「秘密度ラベル で暗号化を使用してコンテンツへのアクセスを制限する」を参照してください。

  • ラベルが適用されているメールやドキュメントに対して透かし、ヘッダー、またはフッターを追加することで、Office アプリを使用するときにコンテンツにマークを付けます。 透かしはドキュメントやLoopコンポーネントとページに適用できますが、メールや会議の招待には適用できません。 ヘッダーと透かしの例:

    ドキュメントに適用されたヘッダーと透かし。

    コンテンツ マーキングでは、変数もサポートされます。 たとえば、ラベル名またはドキュメント名をヘッダー、フッター、または透かしに挿入します。 詳細については、「 変数を使用したコンテンツ マーキング」を参照してください。

    コンテンツ マーキングがいつ適用されるかを確認する必要がありますか? 「Office アプリがコンテンツ マーキングと暗号化を適用した場合」を参照してください。

    特定のドキュメントに基づくテンプレートまたはワークフローがある場合は、ユーザーがラベルを使用できるようにする前に、選択したコンテンツ マーキングを使用してそれらのドキュメントをテストします。 認識しておくべき文字列の長さの制限がいくつかあります。

    透かしの文字数は 255 文字までに制限されています。 Excel を除き、ヘッダーとフッターの文字数は 1,024 文字までに制限されています。 Excel では、ヘッダーとフッターの合計が 255 文字に制限されています。ただし、この制限には、書式設定コードなど、表示されない文字も含まれます。 この制限に達すると、入力した文字列が Excel で表示されなくなります。

  • Microsoft Teams、Microsoft 365 グループ、SharePoint サイトで秘密度ラベルを使用する機能を有効にすると、サイトやグループなどのコンテナー内のコンテンツを保護します

    この機能を有効にするまで、グループおよびサイトの保護設定を構成することはできません。 このラベル構成では、ドキュメントやメールに自動的にラベルが付けられることはありませんが、代わりに、ラベル設定は、コンテンツを保存できるコンテナーへのアクセスを制御することによってコンテンツを保護します。 これらの設定には、プライバシー設定、外部ユーザー アクセスと外部共有、アンマネージド デバイスからのアクセス、プライベート チームの検出可能性、チャネルの共有制御が含まれます。

  • ファイルやメールでラベルを自動的に適用するか、ラベルを推奨します。 ラベルを付ける機密情報を識別する方法を選択すると、ラベルを自動的に適用するか、ポリシー ヒントを使って、推奨するラベルをユーザーが適用するように求めることができます。 ラベルを推奨する場合は、プロンプトをカスタマイズできますが、次の例では、自動的に生成されるテキストを示します。

    Excel で必要な秘密度ラベルを割り当てるための既定のプロンプト。

    秘密度ラベルを作成または編集するときのファイルとメールの自動ラベル付け設定の詳細については、「Office アプリの Microsoft 365 データに秘密度ラベルを自動的に適用する」および「Microsoft Purview データ マップでのラベル付け」を参照してください。

  • SharePoint サイトと個々のドキュメントの既定の共有リンクの種類を設定します。 ユーザーの過剰な公開を防ぐため、ユーザーが SharePoint および OneDrive からドキュメントを共有する際の既定のスコープとアクセス許可を設定します。

その他のラベル構成については、「Office アプリの秘密度ラベルを管理する」を参照してください。

ラベル スコープ

秘密度ラベルを作成するとき、2 つのことを決定するラベルの範囲を構成するように求められます。

  • そのラベルに構成できるラベル設定
  • アプリとサービスへのラベルの可用性。これには、ユーザーがラベルを表示して選択できるかどうかが含まれます

このスコープ構成を使用すると、ファイル、電子メール、会議などのアイテムにだけ使用できる秘密度ラベルを使用でき、グループやサイトでは選択できません。 同様に、グループとサイトに対してだけであり、項目に対して選択できない秘密度ラベル。

秘密度ラベルの範囲オプションを示すスクリーンショット。

既定では、 他のデータ資産 & ファイル スコープは常に新しいラベルに対して選択されます。 Office、Loop、Power BI 用のファイルだけでなく、Microsoft Fabric のアイテムと、Microsoft 365 を超えて秘密度ラベルを拡張する場合のMicrosoft Purview データ マップ用のデータ資産が含まれます。 秘密度ラベルをサポートする項目の詳細については、次を参照してください。

通常、 電子メール スコープと Files & 他のデータ資産を選択します。これは、多くの場合、メールに添付ファイルが含まれており、同じ秘密度を共有するためです。 多くのラベル付け機能では、両方のオプションを選択する必要がありますが、メールでのみ新しいラベルを使用したい場合があります。 詳細については、「ファイルまたはメールのみにラベルのスコープを指定する」をご覧ください。

会議のスコープには、予定表イベント、Teams 会議オプション、チーム チャットが含まれます。 また、このオプションの [ファイル] & 他のデータ資産 スコープと [電子メール ] スコープも選択する必要があります。 このラベル付けシナリオの詳細については、「 秘密度ラベルを使用して予定表アイテム、Teams 会議、チャットを保護する」を参照してください。

コンテナーの秘密度ラベルを有効にし、ラベルを同期すると、[グループ & サイト] スコープが使用可能になり、既定で選択されます。 このオプションを使用すると、SharePoint サイト、Teams サイト、Loop ワークスペース内のコンテンツを保護するには、それらのコンテナーにラベルを付けますが、それらの中のアイテムにラベルを付けることはできません。

注:

スキーマ 化されたデータ資産 スコープに以前に含まれていた項目が、 他のデータ資産 & ファイルに含まれるようになりました。

1 つ以上のスコープが選択されていない場合は、これらのスコープの構成設定の最初のページが表示されますが、設定を構成することはできません。 これらのページに使用できないオプションがある場合は、[ 次へ ] を選択して、次のスコープの設定を引き続き構成します。 または、[戻る] を選択して、ラベルのスコープを変更します。

ラベルの優先度 (順序の問題)

Microsoft Purview ポータルで秘密度ラベルを作成すると、Information Protection[ラベル] ページの一覧に表示されます。 このリストでは、ラベルの順序が重要になります。この順序によりラベルの優先度が決まるからです。 最も厳格な機密ラベル (「極秘」など) はリストの下側に表示されるようにして、最も緩い機密ラベル (「個人用」や「公開用」など) はリストの上側に表示されるようにします。

ドキュメント、メール、コンテナーなどのアイテムに適用できる秘密度ラベルは 1 つだけです。 ファイル、電子メール、会議の低い秘密度にラベルを変更する理由をユーザーに提供する必要があるオプションを使用する場合、この一覧の順序は低い秘密度を識別します。 ただし、このオプションは、親ラベルの優先順位を共有するサブラベルには適用されません。また、コンテナーを保護するデータ資産やラベルには適用されません。

注:

親ラベルをラベル グループに置き換える 最新のラベル スキーム を使用している場合、同じラベル グループ内のサブラベルでも、理由設定はサポートされません。

サブラベルの優先度は、自動ラベル付けで使用されます。 自動ラベル付けポリシーを構成すると、複数のラベルに対して複数の一致が発生する可能性があります。 次に、最後の機密ラベルが選択され、該当する場合は最後のサブラベルが選択されます。 サブラベル自体の自動ラベル付けラベル設定 (自動ラベル付けポリシーではなく) を構成する場合、これらのラベルが同じ親ラベルまたはラベル グループを共有する場合の動作は少し異なります。 たとえば、自動ラベル付け用に構成されたサブラベルは、推奨されるラベル付け用に構成されたサブラベルよりも優先されます。 詳細については、「複数のラベルに適用するときの複数の条件の評価方法」をご覧ください。

サブラベルの優先度は、メールの添付ファイルからのラベルの継承にも使用されます。

秘密度ラベルを選択すると、オプションを使用して、サブラベルでない場合はリストの上部または下部に移動したり、ラベルを 1 つ上または下に移動したり、優先度番号を直接割り当てたりして、優先度を変更できます。 例:

秘密度ラベルの優先度を変更するオプションを示すスクリーンショット。

親ラベルまたはラベル グループを使用するサブラベル

多くの場合、2 層階層の秘密度ラベルを論理的にグループ化して、全体的な秘密度レベルを示しますが、異なる設定でラベルを提供することが必要になる場合があります。 既定の秘密度ラベルの例として、

社外秘

  • 誰でも (無制限)
  • すべての社員
  • 信頼されたPeople

アプリでは、ユーザーは最初に [機密] と表示され、[ すべての従業員] などの他の秘密度ラベルのいずれかを選択する必要があります。 適用された秘密度ラベルは、 機密 \ すべての従業員です

2 番目のレベルの秘密度ラベルは、ラベルの色を除き、最初のレベルのラベルから設定を継承しません。 この例では、 機密 ラベルは単に保護設定のないテキスト ラベルであり、コンテンツに単独で適用することはできません。

この 2 層階層のラベルをグループ化するための最初の実装では、親ラベルとサブラベルが使用されました。 親ラベルの構成は、サブラベルの構成と同じように見えましたが、サブラベルがユーザーに発行されたときには動作が異なります。

この複雑さを軽減するために、ラベル グループは親ラベルを置き換えるようになりました。 ラベル グループはユーザーに対して同じように見え、動作しますが、サポートされている設定 (ラベル名、説明、色、優先順位) に対してのみ構成オプションがあります。 ラベル グループ自体は発行できません。グループ内のラベルのみです。

サブラベルで親ラベルを引き続き使用している場合: 既定のラベルとして親ラベルを選択しないか、親ラベルを自動的に適用 (または推奨) するように構成します。 その場合、親ラベルを適用できません。

サブラベルの表示方法の例:

秘密度ラベルからのサブラベルの例。

必要に応じて、親ラベルをラベル グループに手動で変換できます。 詳細については、「 親秘密度ラベルをラベル グループに移行する」を参照してください。

機密ラベルの編集または削除

Microsoft Purview ポータルから秘密度ラベルを削除した場合、ラベルはコンテンツから自動的に削除されるのではなく、そのラベルが適用されたコンテンツに対して保護設定が引き続き適用されます。

秘密度ラベルを編集した場合は、コンテンツには適用されていたラベルのバージョンが適用されます。

秘密度ラベルを削除した場合の動作と、秘密度ラベル ポリシーからの削除との違いについて詳しくは、「 ラベルの削除と削除」をご覧ください。

ラベル ポリシーでできること

独自の秘密度ラベルを作成した場合、それらの秘密度ラベルを発行し、組織内のユーザーとサービスが使用できるようにする必要があります。 それにより、秘密度ラベルに対応する Office のドキュメントやメールなどに秘密度ラベルが適用されます。

すべての Exchange メールボックスなどの場所に発行される保持ラベルと異なり、秘密度ラベルはユーザーまたはグループに発行されます。 秘密度ラベルをサポートするアプリは、それらのユーザーやグループに適用できるラベルとして表示できます。

既定では、organization内のすべてのユーザーにラベルを発行しますが、複数のラベル ポリシーを使用すると、必要に応じて異なる秘密度ラベルを異なるユーザーに発行できます。 たとえば、すべてのユーザーには、パブリック、General、Confidential に適用できるラベルが表示されますが、適用できる機密性の高いラベルは法務部門のユーザーにのみ表示されます。

同じorganizationのすべてのユーザーは、そのラベルが公開されていない場合でも、コンテンツに適用された秘密度ラベルの名前を表示できます。 他の組織の秘密度ラベルは表示されません。

発行ラベル ポリシーを構成すると、次のことができます。

  • ラベルを表示させるユーザーとグループを選択する。 ラベルは、Microsoft Entra ID の特定のユーザーまたはメールが有効なセキュリティ グループ、配布グループ、または Microsoft 365 グループ (動的メンバーシップを使用できる) に発行することができます。

  • ラベル付けされていないドキュメントとLoopのコンポーネントとページ、電子メールと会議の招待、新しいコンテナー (Microsoft Teams、Microsoft 365 グループ、SharePoint サイトの秘密度ラベルを有効にした場合) の既定のラベルを指定し、Power BI コンテンツの既定のラベルも指定します。 5 種類のアイテムすべてに同じラベルを指定することも、異なるラベルを指定することもできます。 ユーザーは、適用された既定の秘密度ラベルを、コンテンツまたはコンテナーの秘密度に合わせて変更できます。

    既定ラベル使用して、すべてのコンテンツに適用する保護設定の基本レベルを設定することを検討してください。 ただし、ユーザーのとレーニングや他の制御を実施しない場合、この設定は不正確なラベル付けにつながる可能性もあります。 通常、ドキュメントの既定のラベルとして暗号化を適用するラベルを選択することはお勧めできません。 たとえば、多くの組織は、暗号化をサポートするアプリを所有していないか、認証可能なアカウントを使用していない可能性がある外部ユーザーとドキュメントを送信して共有する必要があります。 このシナリオの詳細については、「Sharing encrypted documents with external users (外部ユーザーと暗号化されたドキュメントを共有する)」を参照してください。

    重要

    サブラベル がある場合は、親ラベルを既定のラベルとして構成しないように注意してください。

  • ラベル変更の正当な理由を要求する。 ファイル、電子メール、会議の場合、グループやサイト (Teams や SharePoint で使用される) には使用されません。ユーザーがラベルを削除しようとしたり、優先度の低いラベルに置き換えたりしようとすると、既定でユーザーはこのアクションを実行するための正当な理由を提供する必要があります。 たとえば、ユーザーは「社外秘」というラベルの付いたドキュメント (順序番号 3) を開き、そのラベルを「公開」というラベル (順序番号 1) に置き換えます。 Office アプリの場合、この理由プロンプトはアプリ セッションごとに 1 回トリガーされます。 Microsoft Purview Information Protection クライアントを使用すると、ファイルごとにプロンプトがトリガーされます。 管理者は、アクティビティ エクスプローラーでラベルの変更とともに正当化の理由を読み取ることができます。

    ユーザーに正当性を入力するように求めるダイアログ。

  • ユーザーに対して、さまざまな種類のアイテムと、秘密度ラベルをサポートするコンテナーにラベルを適用するよう要求します。 必須のラベル付けとも呼ばれるこれらのオプションを使用すると、ユーザーがファイルを保存してメールや会議の招待を送信したり、新しいグループやサイトを作成したり、Power BI にラベル付けされていないコンテンツを使用したりする前に、ラベルを適用する必要があります。

    ドキュメントやメールの場合、ラベルはユーザーが手動で割り当てることも、構成した条件に従って自動的に適用することも、既定 (前述の既定のラベルのオプション) で適用することもできます。 ユーザーがラベルを割り当てる必要がある場合のプロンプトの例を次に示します。

    要求されるラベルを適用することをユーザーに求める Outlook のダイアログ。

    ドキュメントとメールの必須のラベル付けの詳細については、「ユーザーがメールとドキュメントにラベルを適用することを必須にする」を参照してください。

    コンテナーの場合、グループまたはサイトの作成時にラベルを割り当てる必要があります。

    Power BI の必須のラベル付けの詳細については、「Power BI の必須のラベル付けポリシー」を参照してください。

    このオプションを使用して、ラベル付けの適用範囲を広げることを検討してください。 ただし、ユーザーのトレーニングを実施しない場合、この設定は不正確なラベル付けにつながる可能性があります。 さらに、対応する既定のラベルも設定しない限り、必須のラベル付けにより頻繁にダイアログが表示され、ユーザーを苛立たせる可能性があります。

  • カスタム ヘルプ ページへのリンクを提供する。 秘密度ラベルの意味や使用方法についてユーザーが十分に理解していない場合は、Office アプリで利用可能な秘密度ラベルの一番下に表示される、[詳細情報] の URL を提供できます。 例:

    リボンの [機密] ボタンに示された詳細な説明のリンク。

ラベル ポリシーの構成の詳細については、「Office アプリの秘密度ラベルを管理する」を参照してください。

ユーザーとグループに新しい秘密度ラベルを割り当てる発行ラベル ポリシーを作成すると、ユーザーは Office アプリでそれらのラベルの表示を開始します。 最新の変更内容が組織全体に複製されるまでに、最大で 24 時間かかります。

作成および発行できる秘密度ラベルの数に制限はありませんが、1 つだけ例外があります。ラベルでユーザーと権限を特定する暗号化が適用される場合、この構成でサポートされるラベルの最大数はテナントあたり 500 個に制限されます。 ただし、管理者のオーバーヘッドを低減し、ユーザーのために複雑さを軽減するためのベスト プラクティスとして、ラベルの数は必要最小限に抑えるようにします。

ヒント

実際の展開における経験から、ユーザーがメイン ラベルを 5 つ以上、または 1 つのメイン ラベルごとにサブラベルを 5 つ以上持っている場合、効果が大きく低下することが証明されています。 また、同じユーザーに発行されたラベルが多すぎると、一部のアプリケーションですべてのラベルを表示できない場合もあります。

ラベルのポリシー 優先度 (順序の問題)

[ラベル ポリシー] ページの [機密ポリシー] タブのリストに表示される機密ラベル ポリシーで機密ラベルを発行して、ユーザーが利用できるようにします。 秘密度ラベルと同様に (ラベルの優先順位 (順序の問題) を参照)、秘密度ラベル ポリシーの順序は、優先順位を反映するため重要です。優先順位が最も低いラベル ポリシーは、リストの一番上に 最低 の順序番号で表示され、優先順位が最も高いラベル ポリシーは、リストの一番下に 最高 の順序番号で表示されます。

ラベル ポリシーは次のように構成されます。

  • 一連のラベル。
  • ラベル付きのポリシーが割り当てられるユーザーとグループ。
  • その範囲に対するポリシーの範囲とポリシー設定 (ファイルやメールの既定のラベルなど)。

ユーザーは複数のラベル ポリシーに含めることができ、その場合、複数のポリシーのすべての秘密度ラベルと設定がユーザーに表示されます。 複数のポリシーの設定に矛盾がある場合は、優先度が最も高い (最高の順序番号) ポリシーの設定が適用されます。 つまり、設定ごとに最も優先度の高いものが優先されます。

ユーザーまたはグループに表示されることが想定されるラベルまたはポリシーの設定の動作が表示されない場合は、秘密度ラベル ポリシーの順序を確認します。 ポリシーを下に移動する必要がある場合があります。 ラベル ポリシーを並べ替えるには、[秘密度ラベル ポリシー] を選択し、>そのエントリのアクションの省略記号を選択し、>[下へ移動] または [上へ移動] します。 例:

秘密度ラベル ポリシーのページ上の移動オプション。

3 つのラベル ポリシーを示すスクリーンショットの例では、すべてのユーザーに標準ラベル ポリシーが割り当てられているため、優先度が最も低いこと (最低順序番号 0) が適切です。 IT 部門のユーザーのみに、順序番号 1 を持つ 2 番目のポリシーが割り当てられます。 これらのユーザーの場合、彼らのポリシーと標準ポリシーの間の設定に競合がある場合は、より高い順序番号が設定されているため、彼らのポリシーの設定が優先されます。

同様に、法律部門のユーザーに対して、個別の設定で 3 番目のポリシーが割り当てられます。 これらのユーザーは、より厳格な設定を持つ可能性が高いため、ポリシーの順序番号が最も高いことが適切です。 法務部門のユーザーが、IT 部門のポリシーにも割り当てられているグループに含まれる可能性は低くなります。 ただし、そうした状況が存在する場合は、順序番号 2 (最高順序番号) により、競合が発生した場合に法務部門からの設定が常に優先されます。

注:

注意: 複数のポリシーが割り当てられているユーザーの設定が競合する場合は、割り当てられたポリシーの順序番号が最も高い設定が適用されます。

Microsoft 365 CopilotとMicrosoft 365 Copilot Chatの秘密度ラベル

organizationのデータを保護するために使用する秘密度ラベルは、Microsoft 365 Copilot、Microsoft 365 Copilot Chat、Copilot エージェントによって認識され、使用され、保護の追加レイヤーが提供されます。 たとえば、さまざまな種類のアイテムのデータを参照できるMicrosoft 365 Copilot Chat会話では、優先度が最も高い秘密度ラベル (通常は最も制限の厳しいラベル) がユーザーに表示されます。 同様に、Copilot とエージェントによって秘密度ラベルの継承がサポートされている場合は、優先度が最も高い秘密度ラベルが選択されます。

ラベルがMicrosoft Purview Information Protectionから暗号化を適用した場合、Copilot とエージェントはユーザーの使用権限をチェックします。 ユーザーにアイテムからコピーするアクセス許可 (EXTRACT の使用権) が付与されている場合にのみ、Copilot またはエージェントによって返されるそのアイテムのデータです。

Copilot やその他の AI アプリを使用するときに秘密度ラベルがデータを保護する方法の詳細については、次の記事を参照してください。

秘密度ラベルと Azure Information Protection

以前のラベル付けクライアント (Azure Information Protection統合ラベル付けクライアント) は、Windows でのラベル付けをエクスプローラーに拡張するために、Microsoft Purview Information Protection クライアントに置き換えられました。、PowerShell、オンプレミス スキャナー、および暗号化されたファイルのビューアーを提供します。

Office アプリでは、Microsoft 365 Apps for enterpriseなど、サブスクリプション バージョンの Office で秘密度ラベルがサポートされます。

秘密度ラベルと Microsoft Information Protection SDK

秘密度ラベルはドキュメントのメタデータに保存されるため、サードパーティ製のアプリおよびサービスはこのラベル付けメタデータを読み書きして、ラベル付けの展開を補完できます。 さらに、ソフトウェア開発者は Microsoft Information Protection SDK を使用して、複数のプラットフォームにわたってラベル付けおよび暗号化機能を完全にサポートできます。 詳細については、Tech Community ブログでの一般提供のお知らせ を参照してください。

Microsoft Purview Information Protection に統合されているパートナー ソリューションについての説明もご覧いただけます。

展開ガイダンス

ライセンス情報、アクセス許可、展開戦略、およびサポートされているシナリオとエンドユーザー ドキュメントのリソースのリストを含む展開計画とガイダンスについては、「秘密度ラベルの開始」を参照してください。

秘密度ラベルを使用してデータ プライバシー規制に準拠する方法については、「Microsoft 365 における、データ プライバシー規制のための情報の展開保護」を参照してください。

  • Last updated on