😼

Purview 自動ラベル付けポリシーの作成方法、動作イメージ

に公開
秘密度ラベル
purivew
自動ラベル付けポリシー
tech

はじめに

Microsoft Purview 秘密度ラベルは、Microsoft 365上のコンテンツ(ExchangeOnlineのメール、Sharpeoint,Onedrive上のファイル、Teamsチャット等…)に関して、機密性に応じて「社外秘」や「極秘」といった分類を付与し、その分類に基づいた暗号化やアクセス制限などのセキュリティポリシーを自動的に適用するためのタグである。

Microsoft Purview の自動ラベル付けポリシーは、ファイル内の機密情報や保存場所などの条件に基づいて、秘密度ラベルをコンテンツに自動で適用し、組織全体のデータ保護とコンプライアンスを徹底する強力なガバナンス機能である。

本記事は自動ラベル付けポリシーの作成・動作確認をやってみるという内容です。

流れのイメージ

・Sharepointサイトで「自動暗号化適用サイト」を作成しておく。このサイトを自動ラベル付けポリシーの対象にしていく。ドキュメント>すべてのドキュメント>フィールドの追加または削除>「秘密度」を表示させておく。

 ↓
・暗号化を行う秘密度ラベル「Highly Confidential/All Employees」を作成しておく

・暗号化を行わない秘密度ラベル「General/All Employees (unrestricted)」を作成しておく

 ↓
★「ラベル発行ポリシー」を作成して、秘密度ラベル「Highly Confidential/All Employees」「General/All Employees (unrestricted)」を発行する。
 ↓
★「自動ラベル付けポリシー」を作成して、自動でラベルが適用されるように決定する。

以下では、★の手順について説明する。

ラベルポリシー作成(秘密度ラベルの発行)

作成済みのラベルについて、テナント内のユーザが利用できるよう、
「ラベル発行ポリシー」を作成する。

「Highly Confidential/All Employees」「General/All Employees (unrestricted)」を発行する。

次へ

ラベルを利用させたいユーザーについて選択。ここでは「すべてのユーザーとグループ」を選択。

要件に応じて選択する。ここでは検証のため省略。

ファイルを作成するときの既定のラベルを指定可能。

今回はSharepointサイトでの動作確認のため、以降、特に設定せず[次へ]と進みます。


ラベルポリシーの名前を付けます。

内容があっているかを確認し、[送信]

完了しました。

自動ラベル付けポリシーの作成

前提条件を満たす

・前提条件の公式ドキュメントはこちら。
https://learn.microsoft.com/ja-jp/purview/apply-sensitivity-label-automatically#prerequisites-for-auto-labeling-policies
・適切なロールを付与する
以下は任意
・PDFサポートを追加する ※PDFもラベル付けできるようにしたいため
https://learn.microsoft.com/ja-jp/purview/sensitivity-labels-sharepoint-onedrive-files#adding-support-for-pdf
・暗号化したファイルの共同編集を許可する

自動ラベル付けポリシーの作成

「自動暗号化適用サイト」に含まれるExcel、Word、PowerPoint、PDFファイルは自動的にラベル「Highly Confidential/All Employees」を適用するというポリシーを作成する。


自動ラベル付けポリシーの名前を設定

自動的に付与したいラベル「Highly Confidential/All Employees」を選択

次へ

Sharepointサイト>[編集]>作成済みの、自動暗号化ポリシーを適用したいサイトを選択

[+新しいルールの作成]にて、ファイルの拡張子がExcel、Word、PowerPoint、PDFであればとというルールを設定。

シュミレーションモード>次へ

内容を確認し、[ポリシーの保存]

完了

シュミレーションが終了したら、[ポリシーを有効にする]を選択。
これにより、実際にSharepointサイト上にあるファイルに秘密度ラベルが自動付与されていく。

確認

閉じる

作成したポリシーが[有効]欄にあることを確認する。
この画面上の[ラベル付けされるファイル][ラベル付けされたファイル]の状況は48時間ごとに更新されるようです。

動作確認

検証時は、40分ほどでサイト内の4ファイルが暗号化された。

管理センターからの確認方法

アクティビティエクスプローラーから確認できる。
https://learn.microsoft.com/ja-jp/purview/data-classification-activity-explorer
自動ラベル付けポリシーによってつけられたものは、ユーザーがSharepoint/SYSTEMと表示されている。

レコードを選択し、詳細を確認すると、
適用方法:Autoとなっている。

検証 手動でラベル変更をすると、元のラベルに戻されるのか

手動で
「Highly Confidential/All Employees」(自動ラベル付けされるもの)
→「General/All Employees (unrestricted)」へ変更をすると、元のラベルに戻されるのか?

自動で付与されたラベルから、変更する。


「General/All Employees (unrestricted)」を選択


変更されたことを確認

Sharepointサイトでも確認可能。

結果 戻されない。手動でのラベル付けは、自動ラベル付けより優先

公式ドキュメントに記載がありました。

コンテンツが手動でラベル付けされている場合、そのラベルが自動ラベル付けで置き換えられることはありません。

https://learn.microsoft.com/ja-jp/purview/apply-sensitivity-label-automatically#will-an-existing-label-be-overridden

検証環境においても、手動で変更したラベルは16時間たっても同じままでした。

関連記事

そもそも秘密度ラベルって?という話はこちら
https://zenn.dev/nyomomo/articles/333d10a66b8c4c

Discussion