カテゴリ「Microsoft Purview」の5件の投稿 Feed

2024年5月17日 (金)

Adobestock_171708228_3


Microsoft Puview のアイテム保持ポリシーで特定の SharePoint サイトに対して一定期間、コンテンツを保持するようにライフサイクル管理をしている場合、フォルダー内にファイルやサブフォルダーなどが含まれているとフォルダーごと削除できないという仕様になっていました。

ですが、2024年5月上旬から中旬にかけて新たなアップデートが展開されており、従来のように「空でないフォルダー」でも削除ができるようなりました。

OneDrive の同期アプリ

OneDrive の同期アプリでドキュメント ライブラリをオフライン同期している場合でも、削除したフォルダーがユーザーに再表示されることはありません。

2024年5月 9日 (木)

Entra 認証コンテキストを使用すると、特定の秘密度ラベルを適用したサイトにのみ特定の条件付きアクセスポリシーを適用できるようになります。これにより特定のサイトに対して厳しい認証条件を適用することなどが可能になります。

Photo

ちなみに秘密度ラベルを使わずに直接ポリシーをサイトに適用することも可能ですが PowerShellコマンド (Set-SPOSite)を利用する必要があります。

※ただし、SharePointのルートサイトにはこのポリシーは適用できないので注意してください。

ライセンス

SharePoint サイトで認証コンテキストを利用するには、次のいずれかのライセンスが必要です。

  • Microsoft Syntex - SharePoint Advanced Management
  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5 コンプライアンス
  • Microsoft 365 E5 Information Protection and Governance
  • Office 365 E5/A5/G5

設定手順の概要

  1. Entra ID 管理センターで認証コンテキストを追加し、条件付きアクセスポリシーを構成する。
  2. Microsoft Purview コンプライアンス ポータルで秘密度ラベルを用意し、認証コンテキストを使用して制限を適用する。

Entra 認証コンテキストの準備

Entra 認証コンテキストは次の手順で設定できます。

まず、Entra 管理センターにアクセスします。「保護」>「条件付きアクセス」の順にアクセスし、「認証コンテキスト」をクリックします。ここで「新しい認証コンテキスト」をクリックます。認証コンテキストの追加画面で、名前と説明を指定して作成します。認証コンテキストは要件ごとに複数作成できます。

Photo_2条件付きアクセス ポリシーの構成

次に条件付きアクセスポリシーを作成します。名前を指定して対象となるユーザーなどを指定します。「ターゲットリソース」の設定でポリシーの適用対象として 認証コンテキスト を選び、作成した認証コンテキストを選択します。

Photo_3

秘密度ラベルの作成

Microsoft Purview コンプライアンス ポータルにアクセスし、秘密度ラベルを作成します。ラベルの範囲の定義で「グループ&サイト」を選択します。

20240509_131542

「グループとサイトの保護設定を定義」で “外部共有および条件付きアクセス” を選択します。

20240509_131629

「外部共有および条件付きアクセスの設定の定義」で "Microsoft Entra 条件付きアクセスを使用してラベル付き SharePoint サイトを保護する」を選択し、使用する認証コンテキストを選択します。

20240509_131846

このように秘密度ラベルを作成したあとは、適切なラベルポリシーを作成してユーザーに発行しておきます。

SharePoint サイトへの適用

作成した秘密度ラベルをテナント管理者、サイトの管理者またはサイトの所有者が特定の SharePoint サイトに適用します。

20240509_133654

サイトへのアクセスを実験してみましょう。結果は次の通りです。

制限事項などの詳細

この設定には制限事項が比較的たくさんあります。実際に利用するときおよび最新情報の確認は下記の Microsoft Learn の記事を参照してください。

SharePoint サイトと OneDrive の条件付きアクセス ポリシー - SharePoint in Microsoft 365 | Microsoft Learn

2024年5月 1日 (水)

Microsoft 365 コンプライアンス コネクターを利用することで、SharePoint サイト上の任意のファイルに保持ラベルを任意のタイミングで適用できます。

ちなみに、Microsoft 365 コンプライアンス コネクターは💎プレミアムコネクターです。

利用するのは「品目に保持ラベルを適用します」アクションです。

20240501_201151_2

保持ラベルについて

各ラベルは次のいずれかになっています。

  • 無期限または一定期間保持する。保持期限終了後の振る舞いはラベルごとに決定する (自動削除したり、Power Automate のフローを呼び出して後続の処理を続けたりできる)
  • 保持せずに特定の期間後にアクションを適用する (自動削除するなど)
  • ラベル付けのみ (分類の目的であり何もしない)

保持ラベルはライブラリの既定値として指定することもできます。なお、フローではいずれの保持ラベルも適用できます。

シナリオ例

フローを利用した保持ラベルの適用では、例えばファイルのプロパティに Status という列があり、この値が Open から Close に変更されたら特定の保持ラベルを適用して、保持を始めるといった処理が可能です。

フローの作成

トリガーには「ファイルが作成または変更されたとき (プロパティのみ)」を指定します。

次のアクションとして「アイテムやファイルの変更を取得する(プロパティ)のみ」のアクションを配置します。あとは条件分岐を用意して、True の場合に Microsoft 365 コンプライアンス コネクターの「品目に保持ラベルを適用します」を追加します。

20240501_182133

「アイテムやファイルの変更を取得する(プロパティ)のみ」では、IDはトリガーで取得したアイテム ID を指定します。以降期限はそれぞれ ウィンドウ開始のトークンのトリガーとウィンドウ終了のトークンのトリガーを指定します。

20240501_182901

条件では、AND を使います。1つ目の条件では「アイテムやファイルの変更を取得する (プロパティのみ)」アクションの結果の「列が変更されています。 Status」が、is equal to 「true」となるように指定します。もう一つの条件では「ファイルが作成または変更されたとき(プロパティのみ)」トリガーの「Status Value」が is equal to 「Close」になるように指定しします。

品目に保持ラベルを適用します」では、サイトのアドレスを指定します。ただし、URLの末尾に “/” を入れないように注意してください。フローが実行時にエラーになります(将来的には修正されるかもしれませんが)。

20240501_182659

2024年2月 8日 (木)

Adobestock_470281575

Office 用の Azure Information Protection (AIP) アドインは廃止となり、2024年5月1日以降無効になります。

代わりに Microsoft 365 アプリの組み込みのラベル機能に移行する必要があります。AIPによって提供されてきたOffice の秘密度ラベルを使ってきた組織はビルトインの秘密度ラベルに移行する必要があります。

マイルストーンは次の通り。

2024年4月

AIP アドインを削除した Microsoft Purview Information Protection クライアントのバージョン 3.0 がリリースされる。
Microsoft Purview Information Protection Scanner(旧 AIP スキャナー), MIP ビューアー (Windows/iOS/Android) と MIP ファイルラベラー(ファイルを右クリックして[分類と保護]を行う) を使い続けるには、新しいパッケージにアップグレードして展開する必要がある。

2024年4月11日

AIP統合ラベルアドインがサポート終了。

2024年5月1日

AIP統合ラベルアドインが Office で完全に無効化。バージョン 2.16以降、Office 用のAIP統合ラベルアドインはブロックされるようになる。AIPアドインを使い続けるための拡張子を持たないすべてのクライアントはラベルポリシーの適用が失敗する。

資料

移行手順の詳細は下記のリンク先に掲載されています。

AIP2MIPPlaybook - Microsoft Purview Customer Experience Engineering (CxE)

20240208_163435

FAQ については下記のブログを参照してください。

Retirement notification for the Azure Information Protection Unified Labeling add-in for Office - Microsoft Community Hub

メールやファイルを保護する最新の秘密度ラベルの情報については弊社の研修でも取り扱っておりますので、ご参考まで。

【オフィスアイ株式会社】Microsoft Purview コンプライアンス入門~Microsoft 365 ファイルおよびメールに対する機密情報保護と情報ガバナンス~ (office-i-corp.jp)

2024年1月12日 (金)

Microsoft 365 では様々なアクティビティ(ファイルを誰が開いたかなど)は監査ログがとれるようになっています。Microsoft Purview コンプライアンスポータルサイトから監査ログを検索できるようになっているのですが、このポータルにアクセスできるのは組織内の限られた管理者のみです。

※※※余談🍵※※※
そういえば、オンプレミス時代の SharePoint ではサイトコレクションの管理者がサイトコレクション単位での監査ログを有効化して自分たちで確認できていたのですが、クラウド上では機能は廃止されました。監査ログは Microsoft 365 全体で一元管理されるようになったわけです。

※※※※※※※※※

対象は SharePoint, Teams, Power Platform, Exchange, Viva Engage など Microsoft 365 で利用できるサービスが網羅的にサポートされています。取得できるアクティビティ一覧は次のリンク先で確認できます。

監査ログ アクティビティ | Microsoft Learn

この監査ログには「標準」と「プレミアム」の2種類があり、どれが利用できるかは保持するサブスクリプションによって異なります。サブスクリプション要件については下記の資料で確認できます。

https://aka.ms/M365EnterprisePlans

さて、この監査ログですが、標準監査ログの方が 2023年10月17日より前と後では保持される期限が変わりました。もともとは90日間保持することになっていましたが、2023年10月17日以降では180日間保持するように拡大されました。ですから、現在180日間保持されるようになっています。

20240112_171237

取得できるアクティビティもプレミアム監査でしか取得できなかった項目が追加され、取得できるイベントには差がなくなっています。

国家レベルのサイバー攻撃が以前にも増して頻発しており、より手口も巧妙になってきていることを受けクラウドのプラットフォームのセキュアバイデフォルト(Secure-by-default)のベースラインを引き上げるための追加措置を講じることにしたようです。顧客および米国のCISA (Cybersecurity and Infrastructure Security Agency)との調整によるものだそう。

[参考]