今回はMPIPの秘密度ラベルでファイルを保護する使い方を紹介します。ファイル単位での保護ソリューションのようにも活用できますが、実際の挙動を理解しておくとより便利に使いこなせます。
秘密度ラベルによるファイル保護
ここでいうファイル保護とは、いわゆる「暗号化」です。暗号化することにより、特定のユーザーのみがファイルを開いて操作できるようにアクセス制御できます。
秘密度ラベルではファイル単位で暗号化できるため、ファイルをどこに保存しても暗号化が維持されるという利点があります。これにより、ラベルで保護されたファイルが不正に持ち出されたとしても、アクセス権を持たない外部の攻撃者がファイルの中身を見ることを防げます。
秘密度ラベルでは暗号化保護の設定を2つのパターンで実装することができます。ここでは、公式ドキュメントの記載も併記しつつ直感的にわかりやすい名称を便宜的に使用していきます。
管理者定義の保護
管理者定義の保護は、管理者が事前に「誰が、どんな権限で、いつまでアクセスできるか」を指定しておきます。公式ドキュメントでは「管理者定義によるアクセス許可」などと表記されています。
管理者定義の保護では、ユーザーはファイルにラベルを付与するだけで自動的に暗号化が適用されるため、簡単な操作でファイルを保護できます。
例えば、「社内の従業員ユーザーのみが編集できる」ラベルや、「正社員ユーザーのみが閲覧できる」ラベルといった、ニーズの多いユースケースをカバーできるようにしておくと便利です。
ユーザーカスタムの保護
ユーザーカスタムの保護は、ユーザーがファイルにラベルを付与するときに「誰が、どんな権限で、いつまでアクセスできるか」を指定します。公式ドキュメントでは、「ユーザーによって指定されたアクセス許可」などと表記されています。
ユーザーカスタムの保護では、ファイルにラベルを付与するタイミングで都度異なるアクセス制御を設定できるため、柔軟な保護を実現できます。
例えば、「M&Aプロジェクトに関わっている特定のユーザーのみが編集できる」アクセス許可や、「個人情報など特定の個人のみが閲覧できる」アクセス許可を設定できます。
保護するラベルの作り方
実際にファイルを保護するラベルの作り方を確認してみます。最初の流れは以前の記事で紹介した [ラベルの詳細] ページでラベルの基本情報を設定するところまで同じです。
[範囲] ページで適用対象のアイテムから [ファイル] と [メール] を選択して [次へ] をクリックします。
次に、[選択した項目の種類の保護設定を選択します] ページで [アクセスの制御] を選択し、[次へ] をクリックします。
続いて、[アクセスの制御] にて保護の設定をしていきます。
| 設定項目 | 説明 |
|---|---|
| 項目に既に適用されている場合は、アクセス制御の設定を削除する | ラベルを適用したとき、ファイルがラベルによって暗号化されている場合は保護を解除するケースで利用します。 |
| アクセス制御設定の構成 | ラベルを適用したとき、ファイルに暗号化を適用するケースで利用します。 |
| 設定項目 | 説明 |
|---|---|
| アクセス許可を今すぐ割り当てますか、それともユーザーが決定するようにしますか? | ・[アクセス許可を今すぐ割り当てる]:管理者定義の保護を設定するときに選択します。 ・[ラベルを適用するときにユーザーがアクセス許可を割り当てられるようにする]:ユーザーカスタムの保護を設定するときに選択します。 |
今回は管理者定義の保護を設定するケースで進めます。
| 設定項目 | 説明 |
|---|---|
| コンテンツに対するユーザーのアクセス許可の期限 | ・[許可しない]:アクセス許可の期限を設定しない場合に選択する。 ・[特定の日付]:アクセス許可の期限として特定の日付を指定する場合に選択する。 ・[ラベル適用後の日数]:ラベルが適用されてからアクセス許可の期限が切れるまでの日数を指定する場合に選択する。 |
| オフラインアクセスを許可する | ・[常に許可]:認証情報のキャッシュが有効な期間はオフラインでもファイルを開けるようにする。 ・[許可しない]:アクセス許可の認証ができない場合はファイルを開けないようにする。 ・[数日のみ]:一度ファイルのアクセス許可の認証をしたキャッシュを持っている場合、オフラインでもアクセスできる期間を指定する。(最大100日) |
| 特定のユーザーとグループにアクセス許可を付与する | [アクセス許可の割り当て] から、「誰が・どんな権限で」アクセスできるかを指定する。 |
| 二重キー暗号化を使う | Microsoftが用意する暗号化キーのほかに、ユーザーが用意した暗号化キーを使用する場合に選択する。 |
[アクセス許可の割り当て] では「誰が」と「どんな権限で」の詳細を設定していきます。
まず「誰が」の指定は次の4項目から選択できます。
| 設定項目 | 説明 |
|---|---|
| 組織内のすべてのユーザーとグループを追加する | 全ての組織内のユーザーアカウントとグループを包含して指定する。 |
| 任意の認証済みユーザーを追加 | Microsoft Entra IDで認証されたアカウント、Microsoftアカウント、(メールにラベル付与した場合のみ)ワンタイムパスコードを使用して認証するケースを指定する。 |
| ユーザーまたはグループを追加する | 組織内に登録されているユーザーアカウントもしくはグループを指定する。 |
| 特定のメールアドレスまたはドメインを追加する | 内部または外部のメールアドレス、メールドメインを指定する。 |
次に「どんな権限で」の指定は [アクセス許可の選択] から選択します。組み込みで設定されている権限のほか、個別の権限を組み合わせたカスタムのアクセス許可も設定できます。
既定では、「共同作成者」というファイルの編集やラベルの変更ができる権限が選択されています。アクセス許可の詳細は別のタイミングで紹介します。
あとは画面に従って設定を保存していけば、新規作成された秘密度ラベルが一覧に出てきます。
コメント