㊗️

保持ラベルポリシーをシミュレーションできるようになったので試してみた

2023/03/20に公開

はじめに

Microsoft Purview(以下、Purview)の保持ラベルポリシーは適用までに最大7日間かかるという大きな弱点があり、適用されたかどうかテストができませんでした。

そんな中で2023年2月に保持ラベルポリシーのシミュレーション機能がパブリックプレビューになりました。(Microsoft公開情報)
https://techcommunity.microsoft.com/t5/security-compliance-and-identity/deploy-confidently-with-simulation-mode-for-retention-label/ba-p/3733607

本番環境にデプロイする前に、いわゆる監査モードのような形でコンテンツに保持ラベルポリシーが適用されるかを確認できます。

保持ポリシーと保持ラベルポリシー

PurviewのData Lifecycle Management&Records Managementソリューションに含まれます。

SharePointのドキュメントやExchangeのメールボックスをどれくらいの期間保持/削除するかを制御できる機能です。
日々増え続ける組織のデータのライフサイクルをきちんとやりましょうねというものです。
https://learn.microsoft.com/ja-jp/microsoft-365/compliance/manage-data-governance?view=o365-worldwide#microsoft-purview-data-lifecycle-management

この2つの違いはかなり混同するので忘備録として簡単に記載します。

  • 保持ポリシー(retention policies)
    • SharePointのサイトやExchangeのメールボックスへの制御
  • 保持ラベルポリシー(retention labels policies)
    • ドキュメントやメール単位での制御

保持ポリシーで全体を制御して、保持ラベルポリシーで細かい部分を制御するようなイメージです。
細かいプロパティも保持ラベルポリシーのほうが多いです。
https://learn.microsoft.com/ja-jp/microsoft-365/compliance/retention?view=o365-worldwide#compare-capabilities-for-retention-policies-and-retention-labels

今回は保持ラベルポリシーのシミュレーションモードがパブリックプレビューとなりました。

保持ラベルポリシーは保持ラベルの集合体になります。

保持ラベルで何年間アイテムを保持/削除するか、保持ラベルポリシーでどこにあるどんなデータにラベルを発行するかを制御します。
https://learn.microsoft.com/ja-jp/microsoft-365/compliance/retention?view=o365-worldwide#retention-labels-and-policies-that-apply-them

百聞は一見に如かずなのでとりあえずやってみます。

ライセンス

基本的なライフサイクルはE3/A3やBusiness Premiumでも利用できますが、高度な機能はE5/A5となっています。
https://learn.microsoft.com/ja-jp/office365/servicedescriptions/microsoft-365-service-descriptions/microsoft-365-tenantlevel-services-licensing-guidance/microsoft-365-security-compliance-licensing-guidance#licensing-for-retention-policies

設計

あるSharePointサイトは5年間アイテムを保持して5年経過後はアイテムを削除、ただしサイト内の一部のアイテム(今回はクレジットカード)は10年間保持してアイテムを削除する、というものをやってみます。

前半のサイト全体には5年間アイテムを保持する保持ポリシーを適用し、後半の一部のアイテムには10年間保持されるように保持ラベルポリシーを適用します。
※優先順位は保持ラベルポリシー > 保持ポリシー

事前準備

  • SharePointサイトを作成しURLを取得
  • クレジットカードと判定されるファイルとそうでないファイルをサイトにアップロード

保持ポリシー

作成手順はMicrosoftの公開情報にあるので、作成する際はご確認ください。

保持ポリシー作成手順
  1. Purview(compliance.microsoft.com)に管理者でサインイン
  2. データライフサイクル管理 > Microsoft 365 > アイテム保持ポリシー > 新しいアイテム保持ポリシー
  3. 名前を入力(後から変更不可!)
  4. アイテム保持ポリシーを割り当てる対象を決定します。
    今回は検証なので静的を選び、後続でSharePointサイトを追加します。(後から変更不可!)
  5. SharePoint以外の項目をオフにし、テスト用サイトのURLを入力します


    URLを入力して、+を押して、チェックをいれて、完了をクリック
  6. コンテンツの保持期間で、5年間保持してその後は削除するようにします。
  7. 作成したアイテム保持ポリシーをクリックし、状態を見ることでポリシーが適用されたか確認できます。(気長に待ちましょう。)

状態でエラーが出る場合はPowerShellでもう一度ラベルポリシーを配布する必要があります。
https://learn.microsoft.com/ja-jp/microsoft-365/compliance/create-retention-policies?view=o365-worldwide&tabs=other-retention#how-long-it-takes-for-retention-policies-to-take-effect

保持ラベルポリシー

いよいよ本題の保持ラベルポリシーです。
保持ポリシー作成時はシミュレーションモードの選択はありませんでした。

まずは保持ラベルポリシーに含める保持ラベルを作成します。

保持ラベル作成

作成手順はMicrosoftの公開情報にあるので、作成する際はご確認ください。

保持ラベル作成手順
  1. Purview(compliance.microsoft.com)に管理者でサインイン
  2. データライフサイクル管理 > Microsoft 365 > ラベル > ラベルを作成
  3. 名前を入力(後から変更不可)
  4. ラベル設定の定義で特定の期間保存されるようにします
  5. 保持期間を10年で、保持期間の開始をアイテムの最終更新日にします
  6. 保持期間後の動作でアイテムを削除

保持ラベルポリシー作成

作成手順はMicrosoftの公開情報にあるので、作成する際はご確認ください。

保持ラベルポリシー作成手順
  1. Purview(compliance.microsoft.com)に管理者でサインイン
  2. データライフサイクル管理 > Microsoft 365 > ラベルポリシー > ラベルの自動適用
  3. 名前を入力(後から変更不可)
  4. 今回はクレジットカード情報が含まれているアイテムを対象にするので、機密情報が含まれているコンテンツにします


5. 財務 > 日本金融関連データ

6. 追加 > 機密情報の種類でCredit Card Numberを追加します


7. アイテム保持ポリシーと同様に静的を選び、後続でSharePointサイトを追加します。(後から変更不可)

8. SharePoint以外の項目をオフにし、テスト用サイトのURLを入力します


URLを入力して、+を押して、チェックをいれて、完了をクリック
9. 先ほど作成したラベルを追加します

10. シミュレーションモードでポリシーを実行します

保持ラベルポリシーのシミュレーション結果を確認

作成した保持ラベルポリシーを見るとシミュレーション中となっています。

クリックしてみるとシミュレーションをしていることを確認できます。

完了まで10分程度でした(早すぎて不安)

クレジットカードと判定されるファイルが1件あるので、[サンプルの確認]をクリックするとファイルのソース(実データ)とメタデータを確認できます。

シミュレーションの再実行やそのままポリシーを有効化することもできます。

再作成しないでいいので楽です

シミュレーションが完了するとアラートがきました。

アラート通知メールで気づきやすいです

サイトやユーザーにどのアイテム保持ポリシー/ラベルポリシーが適用されているかをポリシーの検索という機能で確認できます。
シミュレーションモードではどうなるのか見てみます。

  1. Purview(compliance.microsoft.com)に管理者でサインイン
  2. データライフサイクル管理 > Microsoft 365 > ポリシーの検索

ポリシーの検索ではシミュレーションモードのポリシーもテストサイトに適用されていることを確認できました。

次にコンテンツエクスプローラーやアクティビティエクスプローラーの動きを見てみます。

コンテンツエクスプローラーを確認

コンテンツエクスプローラーは機密情報と判定された実データを確認できます。
※保持ポリシーのログは残りません。

  1. Purview(compliance.microsoft.com)に管理者でサインイン
  2. データの分類 > コンテンツエクスプローラー

通常ラベルが割り当たっているアイテムは「Retention labels」の項目で確認できますが、シミュレーションモードではアイテムにラベルが実際に割り当たっていないので確認できません。

アクティビティエクスプローラーを確認

ラベルが適用された際にアクティビティエクスプローラーにもログが残るので、シミュレーションモードではどうなるのか確認してみます。
※保持ポリシーはラベルではないのでログは残りません。

  1. Purview(compliance.microsoft.com)に管理者でサインイン
  2. データの分類 > Activity explorer

保持ラベルポリシーによってアイテムにラベルが割り当てられるとアクティビティエクスプローラーにも表示されますが、シミュレーションモードの場合はラベルは割り当たっていないので表示されません。

おわりに

実環境に影響がないのでテストに最適です。

Discussion