セキュリティとコンプライアンスの制御を適用する

適用対象: テナント管理者の使用 — コンプライアンス管理者/セキュリティ管理者/SharePoint 管理者

Microsoft Purview とサポートされている SharePoint 管理機能を使用して、SharePoint Embedded コンテンツにセキュリティとコンプライアンスの制御を適用します。

SharePoint Embedded では、Microsoft 365 コンプライアンスとデータ ガバナンス機能を使用しているため、組織は埋め込みアプリケーションによって格納されたコンテンツを保護、管理、調査できます。

SharePoint Embedded は API 専用であり、独自のユーザー インターフェイスがないため、一部のコンプライアンス シナリオでは、所有アプリケーションがエンド ユーザー エクスペリエンスを提供する必要があります。

重要

コンプライアンス制御を SharePoint Embedded アプリ所有者と調整します。 ポリシーはコンテンツを保護できますが、それらのポリシーの効果を処理するには、所有するアプリによってアプリの動作を実装する必要があります。

開始する前に

これらの前提条件を確認します。

  • 必要なコンプライアンス ロールを使用して Microsoft Purview にアクセスできます。
  • コンテナーの詳細が必要な場合は、SharePoint 管理ツールにアクセスできます。
  • スコープ内の SharePoint Embedded アプリケーションとコンテナーを識別できます。
  • 対象となるポリシーのコンテナー サイト URL を取得できます。
  • アプリ所有者は、ユーザー エクスペリエンスに対するポリシーの影響を理解します。
  • 法的、レコード管理、およびセキュリティの関係者が、コントロールの設計を承認します。

サポートされているコントロールについては、「 セキュリティ、コンプライアンス、ガバナンスを計画する」を参照してください。

ポリシー スコープのコンテナーの詳細を取得する

多くのコンプライアンス タスクには、コンテナー URL またはコンテナー識別子が必要です。

PowerShell を使用して、アプリケーションとコンテナーの詳細を取得します。

  1. テナントに登録されている SharePoint Embedded アプリケーションを表示します。

    Get-SPOApplication
    
  2. アプリケーションのコンテナーを取得します。

    Get-SPOContainer -OwningApplicationId <OwningApplicationID>
    
  3. コンテナーの詳細を取得します。

    Get-SPOContainer -OwningApplicationId <ApplicationID> -Identity <ContainerID>
    

コンテナー サイト URL を使用して、特定の SharePoint Embedded コンテナーのポリシーをターゲットにします。

コマンドレットの詳細については、「 Get-SPOContainer」を参照してください。

監査コントロールを適用する

SharePoint Embedded ミラー既存の SharePoint 監査機能の監査機能。 SharePoint Embedded アプリケーションで実行されたユーザーと管理者の操作は、統合監査ログにキャプチャされます。

Microsoft Purview 監査を使用してアクティビティを検索し、ファイル、ユーザー、アプリ、および管理者の操作を調査します。

Microsoft Purview は、ContainerInstanceId フィールドや ContainerTypeId フィールドなど、SharePoint Embedded アクティビティの検索結果を監査します。

監査レビューの手順については、「 監査イベントの確認」を参照してください。 コンテナーの種類とコンテナーの種類の登録監査イベントの詳細な一覧については、「 SharePoint Embedded 監査ログ イベント」を参照してください。

電子情報開示を適用する

コンプライアンス管理者は、Microsoft Purview eDiscoveryを使用して、SharePoint Embedded でホストされているコンテンツを検索、保持、エクスポートできます。

SharePoint コンテンツを使用してすべての SharePoint Embedded コンテンツを検索するには:

  1. Microsoft Purview で電子情報開示エクスペリエンスを開きます。
  2. 検索を構成します。
  3. SharePoint ワークロード の [すべての SharePoint サイト] を選択します。
  4. 検索を実行します。
  5. 電子情報開示プロセスに従って結果を確認します。

Microsoft Purview eDiscoveryすべての SharePoint 埋め込みコンテナーを含むように [すべての SharePoint サイト] が選択された状態で構成された検索。

選択した SharePoint Embedded コンテナーに検索を制限するには:

  1. コンテナー サイトの URL を取得します。
  2. [SharePoint サイト] ワークロードで、特定のサイトを選択します。
  3. コンテナー URL を追加します。
  4. 検索を実行して検証します。

Microsoft Purview eDiscovery SharePoint サイト ワークロードの下にある [サイトの選択] を使用して検索し、特定のコンテナー URL をターゲットにします。

製品ガイダンスについては、「Microsoft Purview eDiscovery ソリューション」を参照してください。

保持と保留を適用する

SharePoint Embedded では、Microsoft Purview を介してアプリケーションに格納されているコンテンツに対する保持ポリシーと保持ポリシーがサポートされています。 次のスコープ オプションを使用します。

範囲 効果
すべての SharePoint サイト SharePoint サイトと SharePoint Embedded コンテナーに適用されます。
選択した場所 選択した SharePoint 埋め込みコンテナー URL など、特定の SharePoint の場所に適用されます。

ポリシーがすべての SharePoint コンテンツと SharePoint Embedded コンテンツに適用される場合は、広範なスコープを使用します。

ポリシーが特定のデータにのみ適用される場合は、選択したコンテナー URL を使用します。

すべてのサイトに対して構成された Microsoft Purview アイテム保持ポリシー。これにより、すべての SharePoint サイトと SharePoint Embedded コンテナーに適用されます。

選択した SharePoint Embedded コンテナー URL を対象にした Microsoft Purview アイテム保持ポリシー。

注:

SharePoint Embedded には、保持ラベルの操作用のネイティブ エンド ユーザー インターフェイスは用意されていません。 ユーザーがアプリの保持ラベルを適用または応答する必要がある場合は、所有しているアプリがそのエクスペリエンスを提供する必要があります。

Microsoft Purview データ ライフサイクル管理については、「Microsoft Purview データ ライフサイクル管理について学習する」を参照してください。

DLP ポリシーを適用する

Microsoft Purview データ損失防止 (DLP) を使用して、SharePoint Embedded アプリケーションに格納されている機密アイテムを識別、監視、および自動的に保護します。

DLP を広く適用するには:

  1. Microsoft Purview で DLP ポリシーを作成または編集します。
  2. SharePoint サイトワークロードを選択します。
  3. ポリシー にすべての SharePoint サイトと SharePoint Embedded コンテナーを含める必要がある場合は、[すべてのサイト] を選択します。
  4. ルール、アクション、およびアラートを構成します。
  5. ロールアウト プロセスに従ってポリシーをテストして有効にします。

選択した SharePoint 埋め込みコンテナーに DLP を適用するには:

  1. コンテナーの URL を取得します。
  2. 選択した SharePoint の場所に対して DLP ポリシーを構成します。
  3. コンテナー URL を追加します。
  4. アプリ所有者と共にポリシーの動作を検証します。

すべての SharePoint サイトと SharePoint Embedded コンテナーを含むようにすべてのサイトに対して構成された Microsoft Purview DLP ポリシー。

選択した SharePoint Embedded コンテナー URL を対象にした Microsoft Purview DLP ポリシー。

一部の DLP シナリオでは、オーバーライドやポリシーヒントのビジネス上の正当な理由など、ユーザーの操作が必要です。

SharePoint Embedded にはネイティブ ユーザー インターフェイスがないため、クライアント アプリは必要なユーザー エクスペリエンスを実装する必要があります。多くの場合、必要に応じて Microsoft Graph を使用します。

DLP の詳細については、「 データ損失防止について」を参照してください。

秘密度ラベルをコンテナーに適用する

グローバル管理者と SharePoint 埋め込み管理者は、SharePoint PowerShell を使用して SharePoint Embedded コンテナーの秘密度ラベルを設定または削除できます。

ラベルを設定します。

Set-SPOContainer -Identity <ContainerID/ContainerSiteURL> -SensitivityLabel <SensitivityLabelGUID>

「PowerShell を使用してコンテナーを管理する」に記載されているサポートされているコンテナー ラベル コマンドを使用して 、ラベルを削除します

ラベルを適用する前に:

  • ラベルが発行されていることを確認します。
  • ラベルがコンテナーに適していることを確認します。
  • アプリ所有者と共にアプリの動作を確認します。
  • データ所有者のコンプライアンス要件を確認します。

ラベルの概念については、「 秘密度ラベルについて」を参照してください。

ブロック ダウンロード ポリシーを適用する

SharePoint 管理者とグローバル管理者は、SharePoint サイト ポリシー コマンドレットを使用して SharePoint Embedded コンテナーからのファイルのダウンロードをブロックできます。

Set-SPOSite -Identity <ContainerSiteURL> -BlockDownloadPolicy $true

このポリシーを適用するには、SharePoint 高度な管理 ライセンスが必要です。

運用環境で有効にする前に、SharePoint のドキュメントを参照してください。

詳細については、「 SharePoint サイトと OneDrive のダウンロード ポリシーをブロックする」を参照してください。

条件付きアクセス ポリシーを適用する

SharePoint Embedded では、基本的な条件付きアクセス ポリシー構成がサポートされています。

ConditionalAccessPolicy パラメーターでは、次の値がサポートされています。

  • AllowFullAccess
  • AllowLimitedAccess
  • BlockAccess

次の SharePoint PowerShell コマンドレットを使用します。

Set-SPOContainer -Identity <ContainerSiteURL> -ConditionalAccessPolicy <SPOConditionalAccessPolicyType>

コンテナー アクセスを変更する前に、テナント アクセス ポリシーを確認します。

Web、デスクトップ、モバイル クライアントのアプリの動作をテストします。

関連するガイダンスについては、「 アンマネージド デバイスからのアクセスを制御する」を参照してください。

責任を明確にする

セキュリティとコンプライアンスの制御は、多くの場合、複数のチームにまたがる。

チーム 責任
コンプライアンス管理者 Purview 監査、電子情報開示、リテンション期間、DLP、ポリシー スコープを構成します。
SharePoint Embedded 管理者 コンテナーの詳細を取得し、サポートされているコンテナー設定を適用します。
SharePoint Embedded アプリの所有者 ポリシーのヒント、オーバーライド、ラベル、エラー処理のアプリ ユーザー エクスペリエンスを実装します。
セキュリティ管理者 条件付きアクセスとアクセス制限を確認します。
法務チームまたはレコード チーム 保留、保持、削除の決定を承認します。

ロールアウトする前に、各コントロールの所有者を文書化します。

ポリシーの動作を検証する

コントロールを適用した後:

  1. ポリシーが発行されているか有効になっていることを確認します。
  2. ターゲット コンテナー URL またはすべてのサイトスコープが正しいことを確認します。
  3. アプリ所有者に共通のユーザー ワークフローをテストするように依頼します。
  4. ポリシー関連のアクティビティの監査レコードを確認します。
  5. 該当する場合は、DLP アラート、電子情報開示の結果、または保持状態を確認します。
  6. コンプライアンス操作ログに変更を記録します。

ヒント

すべての SharePoint サイトと SharePoint Embedded コンテナーに広範に適用する前に、コンテナーの小さなセットに対するパイロット コントロール。

次の手順

トラブルシューティングに関するページの トラブルシューティング ガイダンスを確認してください