秘密度ラベルに基づくサイト アクセスの管理

Azure Active Directory 認証コンテキスト (プレビュー) を使用すると、ユーザーが秘密度ラベルが適用されている SharePoint サイトにアクセスするときに、より厳しいアクセス条件を適用できます。

認証コンテキストは、機密ラベルと共に使用され、 Azure AD 条件付きアクセス ポリシーを ラベル付けされたサイトに接続します。

注:

SharePoint サイトで秘密度ラベルを使用しない場合は、 Set-SPOSite PowerShell コマンドレットを使用して、認証コンテキストを SharePoint サイトに直接適用できます。 この機能は、SharePoint のルート サイトには適用できません (たとえば、 https://contoso.sharepoint.com

要件

一部のアプリは現在、認証コンテキストで動作しません。 Office アプリまたはサード パーティアプリがある場合は、この機能を広く展開する前に、認証コンテキストが有効になっているサイトでテストすることをお勧めします。 現時点では、次のアプリとシナリオは認証コンテキストでは機能 しません

  • 以前のバージョンの Office アプリ ( サポートされているバージョンの一覧を参照)
  • Yammer
  • Teams Web アプリ
  • 関連付けられている SharePoint サイトに認証コンテキストがある場合、OneNote アプリをチャネルに追加できません
  • メイン チーム サイトに認証コンテキストがある場合、Teams プライベート チャネルは SharePoint をプロビジョニングしません
  • 認証コンテキストを持つサイトで Teams チャネル会議の記録アップロードが失敗する
  • サイトに認証コンテキストがある場合、Teams での SharePoint フォルダーの名前変更が失敗する
  • OneDrive に認証コンテキストがある場合、Teams ウェビナーのスケジュール設定が失敗する
  • Power Apps または Power Automate を使用するワークフローが、認証コンテキストを持つサイトで機能しない
  • サードパーティ製アプリ
  • OneDrive 同期 アプリは、サイトを認証コンテキストと同期しません
  • Site-A (ポリシーなし) から Site-B (ポリシーを使用して) へのファイルのコピーまたは移動が失敗する

SharePoint サイトで認証コンテキストを使用するには、次のライセンスの少なくとも 1 つが必要です。

  • Office 365 E5
  • 教職員向けのOffice 365 A5
  • Office 365 A5 for students
  • Microsoft 365 E5
  • Microsoft 365 E5 Compliance
  • Microsoft 365 E5 Information Protection and Governance
  • MICROSOFT 365 の FLW のセキュリティとコンプライアンス
  • Microsoft 365 A5 教職員用
  • Microsoft 365 A5 児童/学生用

認証コンテキストを設定する

ラベル付きサイトの認証コンテキストを設定するには、次の基本的な手順が必要です。

  1. Azure Active Directory に認証コンテキストを追加します。

  2. その認証コンテキストに適用され、使用する条件とアクセス制御を持つ条件付きアクセス ポリシーを作成します。

  3. 機密ラベルを設定して、ラベル付けされたサイトに認証コンテキストを適用します。

この記事では、機密性の高い SharePoint サイトにアクセスする前に、ゲストに 利用規約 への同意を求める例について説明します。 また、組織に必要なその他の条件付きアクセス条件とアクセス制御を使用することもできます。

認証コンテキストを追加する

最初に、Azure Active Directory に認証コンテキストを追加します。

認証コンテキストを追加するには

  1. Azure Active Directory 条件付きアクセスの [管理] で、[認証コンテキスト (プレビュー)] をクリックします。

  2. [ 新しい認証コンテキスト] をクリックします。

  3. 名前と説明を入力し、[ アプリに発行 ] チェック ボックスをオンにします。

    認証コンテキスト UI の追加のスクリーンショット

  4. [保存] をクリックします。

条件付きアクセス ポリシーを作成する

次に、その認証コンテキストに適用され、アクセス条件としての使用条件にゲストが同意することを要求する条件付きアクセス ポリシーを作成します。

条件付きアクセス ポリシーを作成するには

  1. Azure Active Directory 条件付きアクセスで、[新しいポリシー] をクリックします。

  2. ポリシーの名前を入力します。

  3. [ ユーザーとグループ ] タブで、[ ユーザーとグループの選択 ] オプションを選択し、[ すべてのゲスト ユーザーと外部ユーザー ] チェック ボックスをオンにします。

  4. [ クラウド アプリまたはアクション ] タブの [ このポリシーの適用対象の選択] で、[ 認証コンテキスト (プレビュー)] を選択し、作成した認証コンテキストのチェック ボックスをオンにします。

    クラウド アプリの認証コンテキスト オプションまたは条件付きアクセス ポリシーのアクション設定のスクリーンショット

  5. [ 許可 ] タブで、使用する使用条件のチェック ボックスをオンにし、[ 選択] をクリックします。

  6. ポリシーを有効にするかどうかを選択し、[ 作成] をクリックします。

秘密度ラベルを更新する

次に、秘密度ラベルを更新 (または新しいラベルを作成) して、認証コンテキストを使用します。

秘密度ラベルを更新するには

  1. Microsoft Purview コンプライアンス ポータルの [情報保護] タブで、更新するラベルをクリックし、[ラベルの編集] をクリックします。

  2. [グループとサイトの保護設定の定義] ページが表示されるまで、[次へ] をクリックします。

  3. [外部共有と条件付きアクセスの設定] チェック ボックスがオンになっていることを確認し、[次へ] をクリックします。

  4. [ 外部共有とデバイス アクセスの設定の定義] ページで、[ Azure AD 条件付きアクセスを使用してラベル付けされた SharePoint サイトを保護する ] チェック ボックスをオンにします。

  5. [ 既存の認証コンテキストの選択 (プレビュー)] オプションを選択します

  6. ドロップダウン リストで、使用する認証コンテキストを選択します。

    Azure AD 認証コンテキストの秘密度ラベル設定のスクリーンショット

  7. [設定と完了の確認] ページが表示されるまで [次へ] をクリックし、[ラベルの保存] をクリックします。

ラベルが更新されると、そのラベルを持つ SharePoint サイト (またはチームの [ファイル ] タブ) にアクセスするゲストは、そのサイトにアクセスする前に使用条件に同意する必要があります。

関連項目

秘密度ラベルを使用して、Microsoft Teams、Microsoft 365 グループ、SharePoint サイトのコンテンツを保護する

条件付きアクセス: クラウド アプリ、アクション、認証コンテキスト

セキュリティ & コンプライアンスに関する Microsoft 365 ライセンス ガイダンス