秘密度ラベルで暗号化できる拡張子などのまとめ
はじめに
秘密度ラベルを導入する時に「どのファイルを暗号化できるのか」はよくある質問なので備忘録を作ってみました。
書き始めたらどんどん枝分かれしていきましたが最後までご覧ください。
秘密度ラベルの暗号化の概要
まず秘密度ラベルの暗号化方式は2種類あります。
| 方式 | 説明 | ファイル拡張子 |
|---|---|---|
| Native(ネイティブ) | Rights Management サービスをサポートする拡張子のファイルに暗号化とアクセス権を適用 | Officeファイル、pdf、txt、pngなど |
| Generic(一般) | ファイルをpfile拡張子でカプセル化し、ユーザーがファイルを開く権限があるかどうかを確認 | Nativeでサポートされないすべての拡張子 ※例外は後述 |
暗号化方式の違い
見た目
見た目の違いですが拡張子が異なります。
Native暗号化がサポートされるOffice類とPDFは暗号化の前後で拡張子は変わりませんが、以下のtxtやxml形式の拡張子はptxtやpxmlなどに変化します。
元の拡張子の頭にpがつくpxml拡張子
Native暗号化でサポートされるOfficeとPDF以外の拡張子
一方でNative暗号化がサポートされない拡張子はGeneric暗号化されるとpfileの拡張子に変わります。
まったく別物のfile拡張子
アクセス権
Nativeの方がGenericより細かくアクセス権の適用を行うことができます。
例えば、Native暗号化は「ファイルを開けるが別のファイルとして保存できない」といった細かいアクセス権を適用できますが、Generic暗号化は単純な暗号化しかできません。
実際のアクセス権を適用する画面はこんな感じです。
ExcelファイルのNative暗号化
CSVファイルのGeneric暗号化は細かいアクセス権を選択できない
Generic暗号化用のラベルに管理者があらかじめアクセス権を適用する場合は注意が必要です。
Microsoftは共同所有者の権限をファイルを開く必要がある人に付与することを推奨しています。
Generic暗号化されたファイルを編集するにはInformation Protectionビューアーでファイルを開き別のファイルとして名前を付けて保存しラベルがついていない状態に するしかないんですよね。
この動作を行うために必要なアクセス許可が共同所有者のような権限となります。
検証では制限付きエディター権限のユーザーはファイルを開くことができなかったです。
Generic暗号化のPythonファイルは閲覧者権限のみでは開けない。Native暗号化のXMLファイルは閲覧者権限のみで開ける。
どの権限で開けるかどうかは公開情報に記載はなかったので、Generic暗号化を行う可能性のある秘密度ラベルは共同所有者の権限を付けておいた方が良いなという印象です。
暗号化を行わない秘密度ラベル
ラベルを付けるだけで暗号化を行わないことも可能です。
「外に出ても平気なファイルとみなす」や「DLPなどで利用し可視化する」といった目的で利用します。
秘密度ラベルの設定画面で「アクセスの制御」にチェックを入れないことで実現できます。
暗号化を行わない秘密度ラベルを付けることができる拡張子は以下になります。
ただし、上記の拡張子以外でもユーザーがInformation Protectionクライアントでラベルを付けるときにカスタムで暗号化することでラベルを付けることができます。
先ほどの設定値はあくまで管理者が暗号化を指定しないだけでユーザー側はカスタムで暗号化を設定できます。管理者が暗号化を指定していないからといってすべての暗号化を行っていないラベルがついたファイルが暗号化されていないとは言い切れません。
Not Encryptedラベルは暗号化を管理者が事前に設定していないがユーザー側で暗号化できる
暗号化の例外
パスワードで保護されたファイル
Officeファイルによくあるパスワードで保護されたファイルは秘密度ラベルによる暗号化ができません。
ただし、Excel等でファイルを開いた状態では秘密度ラベルを付けることができます。
逆にすでにラベルがついているExcelファイルをパスワードで保護することもできます。
既定で除外されている拡張子
Generic暗号化はNative暗号化でサポートされていない拡張子をサポートしますが例外があります。
主にシステムで利用されるようなものが例外となっている
これらの拡張子を暗号化しようとすると失敗します。
バッチファイルは暗号化に失敗する
特定のフォルダ上に存在するファイル
以下のフォルダに存在するファイルはNative/Generic暗号化のいずれも失敗します。
サポートされるxmlファイルだがWindowsフォルダ直下にあるため失敗
ZIPファイル
Information Protection クライアントでZIPファイルをGeneric暗号化で秘密度ラベルをつけても中のファイルは秘密度ラベルはつきません。
未検証ですがオンプレミススキャナー機能ではつけることができるかもです。(やってみたことある方教えてくれると嬉しいです!)
ラベル付けクライアント
Officeクライアント
Word、Excel、PowerPointアプリでそれぞれにラベルをつけることができます。
ただし、Web版ではユーザーによるカスタム暗号化はできないといった制約があるので完全な機能を使うにはデスクトップアプリの必要があります。
Word、Excel、PowerPointファイルからPDFファイルをエクスポートするとエクスポートされたPDFファイルにラベルが継承されます。
SharePoint Online
Word、Excel、PowerPoint、PDFファイルにラベルをつけることができます。
※PDFファイルはPowerShellの設定が必要です
Excel、PDFファイル以外にもラベルはついているが見えない
ファイルを開かずにファイルの詳細からラベルを変更できる
Purview Information Protection クライアント
Native/Generic暗号化方式でサポートされるすべてのファイルにラベルをつけることができます。
Adobe
AdobeアプリからPDFファイルにラベルをつけることができます。
詳細は国井さんのブログをご覧ください。
個人用Microsoftアカウント
Information Protection クライアントは個人用Microsoftアカウントで利用できません。
個人用Microsoftアカウントではサインインできない
代わりに暗号化されたファイルを開くためにはOfficeファイルはOfficeデスクトップアプリで開けます。
Web版では開けない。ただし暗号化されていないラベルがついたファイルは開ける。
Officeファイル以外はAIP for Indivisualsで開くことができますが、Gmailで登録しようとすると失敗することが多いのであまりおすすめはできません。
社外のユーザーに暗号化されたファイルを送るのはInformation Protectionでは不向きだなという印象です。(相手がEntra IDを使っていることが明白であればInformation Protection クライアントで見てくださいと案内できます)
おわりに
まとまりのないまとめになってしまいました。
Information Protectionを社外ユーザーに利用する時はシンプルに!
Discussion