次の方法で共有


DLP ルールの適用中にファイルへのゲスト アクセスを禁止する

Microsoft 365 の SharePoint または OneDrive に新しいファイルが追加されると、 Microsoft Purview データ損失防止 (DLP) ポリシー がコンテンツをスキャンし、機密性の高いコンテンツを保護するためのルールを適用するのに時間がかかります。 外部共有が有効になっている場合、DLP ルールの処理が完了する前に、機密性の高いコンテンツをゲストが共有してアクセスできます。

外部共有を完全にオフにする代わりに、組織内のファイルを既定で機密としてマークできます。 これにより、機密性の高いコンテンツがスキャンされ、コンテンツベースの条件を含む DLP ポリシーが適用されるまで、新しいコンテンツへのゲスト アクセスがブロックされます。 この期間中にファイルにアクセスしようとすると、ファイルがスキャンされていることがゲストに通知されます。

ファイルがクロールされ、DLP ルールごとの共有をブロックするコンテンツが検出されると、ゲストはファイルにアクセスできます。 ポリシーが DLP ルールに一致するドキュメント内の機密コンテンツを識別する場合、それらの DLP ルールによって定義された通常の動作が適用されます。

この機能は、次の場合にファイルへのアクセスをブロックしません。

  • コンテンツは既にクロールされており、DLP ルールの条件に一致する機密コンテンツが見つかりませんでした。
  • または、ファイルに、共有を許可する DLP ルールの除外に一致するプロパティがある場合。

この機能は、SharePoint と OneDrive で新しく追加されたファイルに適用されます。 既存のファイルが変更されても共有はブロックされません。

コンテンツをゲストと共有するには、DLP ルールが必要です

この機能を有効にすると、DLP ポリシーで明示的にチェックされていないコンテンツは、外部からのアクセスがブロックされます。 つまり、コンテンツを外部で共有できるようにするには、DLP ポリシーの対象となる場所にコンテンツを配置する必要があります。また、コンテンツがクロールされて識別された後、そのファイルが共有を妨げるルールと一致しないことを、その場所のポリシーで判断する必要があります。 これにより、DLP ポリシーの対象外の場所に機密ファイルを配置することで、ユーザーが機密ファイルを漏洩するのを防ぐことができます。

DLP によって明示的にチェックされた場所のみを外部で共有できるという原則の下で操作する場合は、それ以上のアクションは必要ありません。

DLP ポリシーで現在カバーされていない場所で外部共有を有効にする場合は、すべての SharePoint と OneDrive の場所を含む DLP ルールを作成できます。これには、少なくとも 1 つのルールが含まれており、(コンテンツに対して) 条件が含まれており、アクション (コンテンツの制限やブロックなど) が実行されず、アラートがトリガーされます。 通知またはレポートを生成します。 このポリシーはリストの先頭に移動する必要があり、 処理を停止するルール オプションが設定されていない必要があるため、他の DLP ルールと一致しないコンテンツに対してのみ有効です。 このようなルールの結果、他の DLP ルールと一致しない任意の場所のファイルは、外部共有に許可されます。

DLP ルールを作成する方法については、「DLP ポリシーを作成して有効にする方法」を参照してください。

ファイルを既定で機密としてマークする

この機能は PowerShell を使用して構成されます。

  1. 最新の SharePoint Online 管理シェルをダウンロードします

    注:

    SharePoint Online 管理シェルの以前のバージョンがインストールされている場合は、[プログラムの追加と削除] に移動して、"SharePoint Online 管理シェル" をアンインストールします。

  2. Microsoft 365 で SharePoint 管理者以上として SharePoint に接続します。 方法の詳細については、「SharePoint Online 管理シェルの使用を開始する」を参照してください。

  3. 次のコマンドを実行します。

    Set-SPOTenant -MarkNewFilesSensitiveByDefault BlockExternalSharing 
    

    この機能を無効にするには、次のコマンドを実行します。

    Set-SPOTenant -MarkNewFilesSensitiveByDefault AllowExternalSharing
    

注:

この新しい設定が有効になるまでに最大 60 分かかる場合があります。