前回は秘密度ラベルによってファイルを保護(暗号化)することができることを紹介しました。今回はその中で扱ったアクセス権限について触れていきます。
秘密度ラベルによる保護とは
前回紹介した通り、秘密度ラベルを付与することによってファイルを暗号化し、特定のユーザーに指定のアクセス許可権限で操作できるように制限できます。
このうち、暗号化の部分は Microsoft Office に従来から搭載されているアクセス制限機能である Information Right Management 機能と大きな違いはなく、今まではユーザーが都度設定していたパスワードの値を Microsoft Purview のサービス側が管理するパスワード(暗号化鍵)を利用して自動的に行なっているイメージです。
つまりパスワードを管理する手間を省いた上で、共有先の相手に望んだアクセス権限を許可できるということです。
秘密度ラベルのアクセス許可
秘密度ラベルによって許可できるアクセス権限も前述の IRM 機能に準ずる形となっており、秘密度ラベルならではのアクセス権限というと特徴的なものはそこまでありません。
今回は暗号化保護設定するラベルのパターンに合わせて各パターンでの設定項目の読み方を見ていきます。
管理者定義の保護
まず、前提としてラベルを付与するユーザーには、そのファイルに対するフルコントロール権限が付与されます。
その上で、他のユーザーに対するアクセス許可レベルの設定方法として2通りの方法が用意されています。
- 既定のアクセス許可レベルから選択する
- アクセス権限を組み合わせて独自のアクセス許可レベルを定義する
管理者定義の保護ではアクセス許可として次のような権限名でユーザーに許可する操作内容を定義しています。
| 表示の権限名 | 設定値 | ユーザーができる操作 |
|---|---|---|
| フルコントロール | OWNER | コンテンツに対する全ての権限を持つ(以下に示す全ての操作権限)。 |
| 表示 (開く、読み取り) | VIEW | ファイルを開き、内容を表示できる。 |
| コピー | COPY | ファイルのコンテンツを同じファイル内または別のファイルにコピーできる。また、画面キャプチャもできる。 |
| 編集 (コンテンツの編集) | DOCEDIT | コンテンツ(ファイルの内容)を変更(編集)できる。 Word の場合、[変更の追跡] のオン/オフは不可(フルコントロールが必要)。 |
| 保存 | EDIT | ファイルを上書き保存できる。(Office アプリの場合は別名保存も可能) |
| エクスポート (名前を付けて保存) | EXPORT | ラベルの変更と、新しいアクセス設定で別名ファイルとしての保存をできる。 |
| マクロの許可 | OBJMODEL | マクロの実行や、外部プログラムやリモートからのファイルアクセスをできる。 |
| 印刷 | ファイルを印刷できる。 | |
| 返信 | REPLY | メールのみ、返信をできる。ただし、宛先の追加は 「転送」権限が必要。 |
| 転送 | FORWARD | メールのみ、メールメッセージの転送と、To および CC へ受信者の追加をできる。 |
| 全員に返信 | REPLYALL | メールのみ、全員に返信をできる。ただし、宛先の追加は 「転送」権限が必要。 |
| 権利の表示 | VIEWRIGHTSDATA | ファイルに適用されているアクセス許可の内容を表示できる。 |
| 権利の変更 | EDITRIGHTDATA | ファイルに適用されているアクセス許可の内容を変更できる。暗号化の解除も含む。 |
| コメント | COMMENT | ※SDKでのみ利用可能。 ファイルのコンテンツに注釈やコメントを追加できる。 |
そして、これらの権限を事前に組み合わせた既定のアクセス許可レベルが定められています。
| アクセス許可レベル | 含まれる権限 |
|---|---|
| ビューアー | ・表示(開く、読み取り) ・マクロの許可 ・返信 ・全員に返信 ・権利の表示 |
| レビュー担当者 | ・表示(開く、読み取り) ・保存 ・編集(コンテンツの編集) ・マクロの許可 ・返信 ・全員に返信 ・転送 ・権利の表示 |
| 共同作成者 | ・表示(開く、読み取り) ・保存 ・コピー ・編集(コンテンツの編集) ・エクスポート(名前を付けて保存) ・マクロの許可 ・印刷 ・返信 ・全員に返信 ・転送 ・権利の表示 |
| 共同所有者 | ・表示(開く、読み取り) ・保存 ・コピー ・編集(コンテンツの編集) ・エクスポート(名前を付けて保存) ・マクロの許可 ・印刷 ・返信 ・全員に返信 ・転送 ・権利の表示 ・権利の変更 ・フルコントロール |
というわけで各アクセス許可レベルでどんな操作権限を持つのかをまとめた表が次のとおりです。
例えば、「組織内のユーザーにのみ、読み取り専用アクセス許可を与える」秘密度ラベルを作りたい場合は、組織内のユーザーに対して「ビューワー」権限を与える設定にすればいいわけです。
さらに、各権限を独自に組み合わせることで「カスタム」定義のアクセス許可レベルを作成することもできます。
「コピー」権限について
コピー権限はファイル内のコンテンツをコピーして同じファイル内外にペーストすることができます。さらに、Windows などの OS に搭載されているスクリーンショット機能でアプリウィンドウを画像として記録することもできます。
逆にいうと、コピー権限を与えてしまうことでスクリーンショットもできるようになってしまうということです。例えばファイル内のテキストをコピーすることは許可するがスクリーンショット取得は禁止したい、というケースでは秘密度ラベルのアクセス許可だけではカバーできません。
上記のようなケースではスクリーンショットを禁止するような別ツールを利用しなければいけません。
秘密度ラベルの変更権限について
秘密度ラベルの変更に関連する権限は「エクスポート」と「権限の変更」の2つです。
実際には「エクスポート」が秘密度ラベルの変更権限を含んでいるのですが、実際のケースでは秘密度ラベルを変更することで他の秘密度ラベルのアクセス権限設定に変える、もしくは暗号化保護を解除するといった具合にファイルのアクセス権限変更がついて回ります。
この時に「権限の変更」が許可されていないと、アクセス権限を変えられずに操作自体が失敗するか、秘密度ラベルのみが変更され元の秘密度ラベルによってファイルにかかったアクセス保護が残り続けてしまうといった事象が発生してしまいます。
ユーザーカスタムの保護
ユーザーカスタムの保護では、秘密度ラベルを付与するときにアクセス許可を設定するウィンドウが立ち上がり、そこで特定のユーザーに対してどんな権限を付与するのかを設定します。この設定画面は Office アプリに組み込みの「アクセス制限」機能(Information Right Management 機能)を利用しています。
[閲覧] で指定したユーザーに「ビューワー」権限、[変更] で指定したユーザーに「共同作成者」権限にあたるアクセス許可を付与します。ここではドメイン内のユーザーを検索することもできますし、組織外のユーザーを指定する場合は、テキストボックス内にそのユーザーの Microsoft アカウント(M365 を使っている場合は大抵メールアドレス)を直接入力します。
また、[その他のオプション] をクリックすることで、より詳細な設定ができます。これら追加権限の設定はファイル単位で共通となります。そのため、個々のユーザーごとに印刷権限を与えるかどうかを変えることはできません。
| 設定項目 | 説明 |
|---|---|
| この文書の有効期限 | ファイルにアクセスできる有効期限を「yyyy/MM/dd」形式で指定します。フルコントロールを持つユーザーは有効期限を過ぎてもアクセスできます。 |
| コンテンツを印刷する | ファイルの「印刷」権限を許可します。 |
| 閲覧権限を持つユーザーが、コンテンツをコピーすることを許可する | ファイルの「コピー」権限を許可します。 |
| プログラムを使ってコンテンツにアクセスする | ファイルの「マクロの許可」権限を許可します。 |
| 追加権限の要求先 | アクセス許可がなかったユーザーに対するメッセージ内で連絡先として表示するメールアドレスを設定します。 |
| ユーザーの権限を確認するのに接続を必要とする | オンラインでの認証を必須とするかどうかを設定します。 |
まとめ
今回は秘密度ラベルによって保護するときのアクセス許可について整理しました。ポイントとしては保護の方式によってできることを理解すると良いでしょう。
- 管理者定義の保護では、アクセス権限の内容を理解して適切な許可レベルを選ぶ or 独自に定義する
- ユーザーカスタムの保護では、Office の IRM 機能を理解する
コメント