2024年5月 9日 (木)

秘密度ラベルと条件付きアクセスポリシーで重要な SharePoint サイトアクセスを制御しよう

Entra 認証コンテキストを使用すると、特定の秘密度ラベルを適用したサイトにのみ特定の条件付きアクセスポリシーを適用できるようになります。これにより特定のサイトに対して厳しい認証条件を適用することなどが可能になります。

Photo

ちなみに秘密度ラベルを使わずに直接ポリシーをサイトに適用することも可能ですが PowerShellコマンド (Set-SPOSite)を利用する必要があります。

※ただし、SharePointのルートサイトにはこのポリシーは適用できないので注意してください。

ライセンス

SharePoint サイトで認証コンテキストを利用するには、次のいずれかのライセンスが必要です。

  • Microsoft Syntex - SharePoint Advanced Management
  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5 コンプライアンス
  • Microsoft 365 E5 Information Protection and Governance
  • Office 365 E5/A5/G5

設定手順の概要

  1. Entra ID 管理センターで認証コンテキストを追加し、条件付きアクセスポリシーを構成する。
  2. Microsoft Purview コンプライアンス ポータルで秘密度ラベルを用意し、認証コンテキストを使用して制限を適用する。

Entra 認証コンテキストの準備

Entra 認証コンテキストは次の手順で設定できます。

まず、Entra 管理センターにアクセスします。「保護」>「条件付きアクセス」の順にアクセスし、「認証コンテキスト」をクリックします。ここで「新しい認証コンテキスト」をクリックます。認証コンテキストの追加画面で、名前と説明を指定して作成します。認証コンテキストは要件ごとに複数作成できます。

Photo_2条件付きアクセス ポリシーの構成

次に条件付きアクセスポリシーを作成します。名前を指定して対象となるユーザーなどを指定します。「ターゲットリソース」の設定でポリシーの適用対象として 認証コンテキスト を選び、作成した認証コンテキストを選択します。

Photo_3

秘密度ラベルの作成

Microsoft Purview コンプライアンス ポータルにアクセスし、秘密度ラベルを作成します。ラベルの範囲の定義で「グループ&サイト」を選択します。

20240509_131542

「グループとサイトの保護設定を定義」で “外部共有および条件付きアクセス” を選択します。

20240509_131629

「外部共有および条件付きアクセスの設定の定義」で "Microsoft Entra 条件付きアクセスを使用してラベル付き SharePoint サイトを保護する」を選択し、使用する認証コンテキストを選択します。

20240509_131846

このように秘密度ラベルを作成したあとは、適切なラベルポリシーを作成してユーザーに発行しておきます。

SharePoint サイトへの適用

作成した秘密度ラベルをテナント管理者、サイトの管理者またはサイトの所有者が特定の SharePoint サイトに適用します。

20240509_133654

サイトへのアクセスを実験してみましょう。結果は次の通りです。

制限事項などの詳細

この設定には制限事項が比較的たくさんあります。実際に利用するときおよび最新情報の確認は下記の Microsoft Learn の記事を参照してください。

SharePoint サイトと OneDrive の条件付きアクセス ポリシー - SharePoint in Microsoft 365 | Microsoft Learn

コメント