Microsoft Purview Information Barriers は、Microsoft 365 のポリシーであり、コンプライアンス管理者は、ユーザーが相互に通信および共同作業できないように構成できます。 このソリューションは、たとえば、1 つの部門が特定の他の部門と共有すべきではない情報を処理する場合や、部門が部門外のすべてのユーザーと共同作業できないように、または分離する必要がある場合に役立ちます。 情報バリアは、規制の厳しい業界や、財務、法務、政府などのコンプライアンス要件を持つ組織でよく使用されます。
OneDrive の場合、Information Barriers は、次の種類の承認されていないコラボレーションを決定し、防止できます。
- OneDrive または保存されたコンテンツへのユーザー アクセス
- OneDrive または保存されたコンテンツを他のユーザーと共有する
情報バリア モードと OneDrive
SharePoint と OneDrive で情報バリアを有効にすると、IB ポリシーを使用してセグメント化されたユーザーの OneDrive が自動的に保護されます。 情報バリア モードは 、OneDrive に関連付けられている IB モードとセグメントに基づいて、OneDrive サイトのアクセス、共有、メンバーシップを強化するのに役立ちます。
OneDrive で Information Barriers を使用する場合は、次の IB モードをサポートします。
| モード | 説明 |
|---|---|
| Open | セグメント化されていないユーザーが OneDrive をプロビジョニングすると、サイトの IB モードは既定で [開く] に設定されます。 サイトに関連付けられているセグメントはありません。 |
| 所有者モデレート | OneDrive をサイト所有者/モデレーターが存在する互換性のないユーザーとのコラボレーションに使用する場合、OneDrive の IB モードを所有者モデレートとして設定できます。 所有者モデレート サイトの詳細については、 このセクション を参照してください。 |
| Explicit | セグメント化されたユーザーが有効化から 24 時間以内に OneDrive をプロビジョニングすると、サイトの IB モードは既定で 明示的 に設定されます。 ユーザーのセグメントとユーザーのセグメントと互換性があり、互いに互換性のあるその他のセグメントは、ユーザーの OneDrive に関連付けられます。 |
| Mixed | セグメント化されたユーザーの OneDrive を、セグメント化されていないユーザーと共有できる場合、サイトの IB モードを Mixed に設定できます。 これは、SharePoint 管理者がセグメント化されたユーザーの OneDrive に設定できるオプトイン モードです。 |
注:
2022 年 7 月 12 日以降、推論モードが混合モードに変更されました。 モードの機能は変わりません。
OneDrive からのファイルの共有
開く
OneDrive にセグメントがなく、IB モードが [開く] の場合:
- ユーザーは、ユーザーに適用された情報バリア ポリシーと OneDrive の共有設定に基づいて、ファイルとフォルダーを共有できます。
所有者モデレート
サイトに Information Barriers モードが設定されている場合、 所有者モデレート:
- リンクを持つすべてのユーザーと共有するオプションは無効になっています。
- 会社全体のリンクと共有するオプションは無効になっています。
- サイトとそのコンテンツは、既存のメンバーと共有できます。
- サイトとそのコンテンツは、IB ポリシーごとに OneDrive 所有者のみが共有できます。
Explicit
OneDrive に Information Barriers セグメントがあり、モードが [明示的] に設定されている場合:
- リンクを持つすべてのユーザーと共有するオプションは無効になっています。
- 会社全体のリンクと共有するオプションは無効になっています。
- ファイルとフォルダーは、OneDrive のセグメントと一致するユーザーとのみ共有できます。
混合
OneDrive が Information Barriers セグメントを使用し、モードを Mixed に設定する場合:
- リンクを持つすべてのユーザーと共有するオプションは無効になっています。
- 会社全体のリンクと共有するオプションは無効になっています。
- OneDrive のセグメントと一致するユーザーと、テナント内の未承認のユーザーとファイルとフォルダーを共有できます。
OneDrive から共有ファイルにアクセスする
オープン モード
ユーザーが、セグメントが関連付けられていない OneDrive 内のコンテンツにアクセスし、IB モードを [開く] としてアクセスする場合:
- ファイルはユーザーと共有する必要があります。
所有者モデレート モード
サイトの Information Barriers モードが [所有者モデレート] に設定されている SharePoint サイトにユーザーがアクセスする場合:
- ユーザーはサイトアクセス許可を持っています。
明示的モード
ユーザーがセグメントを持ち、IB モードが 明示的に設定されている OneDrive 内のコンテンツにアクセスするには:
ユーザーのセグメントは、OneDrive に関連付けられているセグメントと一致します。
AND
ファイルはユーザーと共有されます。
注:
既定では、セグメント以外のユーザーは、IB モードが [開く] の他の非セグメント ユーザーからのみ、共有 OneDrive ファイルにアクセスできます。 セグメントが適用され、IB モードが 明示的である OneDrive から共有ファイルにアクセスすることはできません。
混合モード
セグメント化されたユーザーが、セグメントと IB モードが Mixed に設定されている OneDrive 内のコンテンツにアクセスする場合:
ユーザーのセグメントは、OneDrive に関連付けられているセグメントと一致します。
AND
ファイルはユーザーと共有されます。
セグメントがあり、IB モードが Mixed に設定されている OneDrive 内のコンテンツに、セグメントのないユーザーがアクセスする場合:
- ユーザーはサイトアクセス許可を持っています。
シナリオ例
次の例は、organizationの 3 つのセグメント (HR、Sales、Research) を示しています。 販売と研究のセグメント間の通信とコラボレーションをブロックする情報バリア ポリシーを定義します。
OneDrive の Information Barriers では、ユーザーにセグメントを適用すると、セグメントは 24 時間以内にユーザーの OneDrive に自動的に関連付けられます。 OneDrive は、ユーザーのセグメントと互換性があり、互いに互換性のある他のセグメントとも関連付けられます。 OneDrive には、最大 100 個の関連セグメントを含めることができます。 グローバル管理者または SharePoint 管理者は、「 ユーザーの OneDrive で追加のセグメントを関連付けるまたは削除する」セクションで後述するように、PowerShell を使用してこれらのセグメントを管理できます。
次の表に、この構成例の効果を示します。
| コンポーネント | 人事ユーザー | セールス ユーザー | ユーザーの調査 | セグメント以外のユーザー |
|---|---|---|---|---|
| OneDrive に関連付けられているセグメント | HR | 営業、人事 | 研究、人事 | なし |
| OneDrive の IB モード | Explicit | Explicit | Explicit | 開く |
| OneDrive コンテンツを共有できます | HR のみ | 営業と人事 | 研究と人事 | 選択した共有設定に基づくすべてのユーザー |
| OneDrive コンテンツには、 | HR のみ | 営業と人事 | 研究と人事 | コンテンツが共有されているユーザー |
organizationで SharePoint と OneDrive の情報バリアを有効にする
SharePoint と OneDrive の Information Barriers の有効化は、1 つのアクションで構成します。 サービスに対して情報バリアを個別に有効にすることはできません。 詳細については、「organizationで SharePoint と OneDrive 情報バリアを有効にする」を参照してください。 SharePoint と OneDrive の情報バリアを有効にした後、この記事の OneDrive ガイダンスに進みます。
前提条件
- Information Barriers のライセンス要件を満たしていることを確認します。
- セグメント間の通信を許可またはブロックし、ポリシーをアクティブ化する情報バリア ポリシーを作成します。 セグメントを作成し、それぞれにユーザーを定義します。
- 情報バリア ポリシーを構成してアクティブ化した後、変更がorganizationに反映されるまで 24 時間待ちます。
- OneDrive の情報バリアを有効にします。 SharePoint と OneDrive の Information Barriers の有効化は、1 つのアクションで構成します。 これらのサービスを個別に有効にすることはできません。 詳細については、「 SharePoint で情報バリアを使用する 」のガイダンスと手順を参照してください。
- 次のセクションの手順を実行して、organizationで OneDrive の情報バリアをカスタマイズおよび管理します。
PowerShell を使用して、OneDrive に関連付けられているセグメントを表示する
重要
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 グローバル管理者ロールを持つユーザーの数を最小限に抑えることで、organizationのセキュリティを向上させることができます。 Microsoft Purview のロールとアクセス許可の詳細については、こちらをご覧ください。
グローバル管理者または SharePoint 管理者は、ユーザーの OneDrive に関連付けられているセグメントを表示および変更できます。 organizationには最大 5,000 個のセグメントがあり、ユーザーは複数のセグメントに割り当てることができます。
重要
5,000 個のセグメントのサポートと複数のセグメントへのユーザーの割り当ては、組織が Legacy モードでない場合にのみ使用できます。 ユーザーを複数のセグメントに割り当てるには、organizationの Information Barriers モードを変更するための追加の手順が必要です。 詳細については、「 Information Barriers でマルチセグメント サポートを使用する)」を参照してください。
レガシ モードの組織の場合、サポートされるセグメントの最大数は 250 であり、ユーザーは 1 つのセグメントにのみ割り当てることに制限されます。
レガシ モードの組織は、今後、最新バージョンの Information Barriers にアップグレードする資格があります。 詳細については、「 情報バリアのロードマップ」を参照してください。
セキュリティ & コンプライアンス センター PowerShell にグローバル管理者として接続します。
次のコマンドを実行して、セグメントとその GUID の一覧を取得します。
Get-OrganizationSegment | ft Name, EXOSegmentIDセグメントの一覧を保存します。
名前 EXOSegmentId 営業 a9592060-c856-4301-b60f-bf9a04990d4d 研究 27d20a85-1c1b-4af2-bf45-a41093b5d111 HR a17efb47-e3c9-4d85-a188-1cd59c83de32 以前にインストールしていない場合は、最新のSharePoint Online 管理シェルをダウンロードしてインストールします。 以前のバージョンのSharePoint Online 管理シェルをインストールした場合は、organization記事の「SharePoint と OneDrive 情報バリアを有効にする」の手順に従ってください。
Microsoft 365 のグローバル管理者または SharePoint 管理者として SharePoint Online に接続します。 方法の詳細については、「SharePoint Online 管理シェルの使用を開始する」を参照してください。
次のコマンドを実行します。
Get-SPOSite -Identity <site URL> | Select InformationSegment例:
Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationSegment
ユーザーの OneDrive でセグメントを管理する
警告
ユーザーの OneDrive に関連付けられているセグメントが、ユーザーに適用するセグメントと一致しない場合、ユーザーは OneDrive にアクセスできません。 セグメント以外のユーザーの OneDrive にセグメントを関連付けないように注意してください。
注:
ユーザーのセグメントが変更された場合、行った変更はすべて上書きされます。
セグメントを OneDrive に関連付けるには、SharePoint Online 管理シェルで次のコマンドを実行します。
重要
5,000 個のセグメントのサポートと複数のセグメントへのユーザーの割り当ては、組織が Legacy モードでない場合にのみ使用できます。 ユーザーを複数のセグメントに割り当てるには、organizationの Information Barriers モードを変更するための追加の手順が必要です。 詳細については、「 Information Barriers でマルチセグメント サポートを使用する)」を参照してください。
レガシ モードの組織の場合、サポートされるセグメントの最大数は 250 であり、ユーザーは 1 つのセグメントにのみ割り当てることに制限されます。
レガシ モードの組織は、今後、最新バージョンの Information Barriers にアップグレードする資格があります。 詳細については、「 情報バリアのロードマップ」を参照してください。
Set-SPOSite -Identity <site URL> -AddInformationSegment <segment GUID>
例:
Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -AddInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111
OneDrive にセグメントを追加すると、サイトの IB モードが自動的に [明示的] に更新されます。 OneDrive 上の既存のセグメントと互換性のないセグメントを関連付けようとすると、エラーが表示されます。
重要
複数のセグメントにユーザーを割り当てるサポートは、organizationがレガシ モードでない場合にのみ使用できます。 organizationがレガシ モードであるかどうかを判断するには、「organizationの IB モードを確認する」を参照してください。
レガシ モードでは 、組織の 1 つのセグメントにのみユーザーを割り当てることができます。
レガシ モードの組織は、今後、最新バージョンの Information Barrier にアップグレードできます。 詳細については、「 情報バリアのロードマップ」を参照してください。
OneDrive からセグメントを削除するには、次のコマンドを実行します。
Set-SPOSite -Identity <site URL> -RemoveInformationSegment <segment GUID>
例:
Set-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com -RemoveInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111
OneDrive サイトのすべてのセグメントを削除すると、OneDrive の IB モードが自動的に [開く] に更新されます。
ユーザーの OneDrive の IB モードを管理する (プレビュー)
重要
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 グローバル管理者ロールを持つユーザーの数を最小限に抑えることで、organizationのセキュリティを向上させることができます。 Microsoft Purview のロールとアクセス許可の詳細については、こちらをご覧ください。
OneDrive サイトの IB モードを表示するには、SharePoint 管理者またはグローバル管理者としてSharePoint Online 管理シェルで次のコマンドを実行します。
Get-SPOSite -Identity <site URL> | Select InformationBarriersMode
例:
Get-SPOSite -Identity https://contoso-my.sharepoint.com/personal/John_contoso_onmicrosoft_com | Select InformationBarriersMode
SharePoint 管理者またはグローバル管理者は、OneDrive サイトの IB モードを管理して、新しい IB モードでorganizationのニーズを満たすこともできます。
所有者モデレート モードの例
互換性のないセグメント ユーザーに OneDrive へのアクセスを許可します。 たとえば、テナント内の Sales と Research の両方のセグメント ユーザーが HR ユーザーの OneDrive にアクセスできるようにする場合です。
所有者モデレート は、互換性のないセグメント ユーザーがモデレーター/所有者の存在下で OneDrive にアクセスできるようにする OneDrive サイトに適用されるモードです。 サイト所有者のみが、同じサイトで互換性のないセグメント ユーザーを招待する機能を持っています。
OneDrive サイト IB モードを 所有者モデレートに更新するには、次の PowerShell コマンドを実行します。
Set-SPOSite -Identity <siteurl> -InformationBarriersMode OwnerModerated
セグメントがあるサイトで所有者モデレート IB モードを設定することはできません。 IB モードを所有者モデレートに設定する前に、セグメントを削除します。 サイトアクセス許可を持つユーザーは、所有者モデレート されたサイトにアクセスできます。 サイト所有者のみが、IB ポリシーに従って所有者モデレート OneDrive とその内容を共有できます。
混合モードの例
セグメントに関連付けられている OneDrive へのアクセスを、セグメント化されていないユーザーに許可します。 たとえば、HR ユーザーの OneDrive に、テナント内の HR セグメントとセグメント化されていないユーザーがアクセスできるようにする必要があります。 OneDrive サイトに適用される混合モード。セグメント化されたユーザーとセグメント化されていないユーザーが OneDrive にアクセスできるようにします。
OneDrive サイトの IB モードを Mixed に更新するには、次の PowerShell コマンドを実行します。
Set-SPOSite -Identity <siteurl> -InformationBarriersMode Mixed
セグメントのないサイトでは、混合 IB モードを設定できません。 IB モードを混合として設定する前に、セグメントを追加します。
ユーザー セグメントへの変更の影響
ユーザーのセグメントが変更された場合、「OneDrive の情報バリア」セクションで説明されているように、OneDrive のセグメントと IB モードは 24 時間以内に自動的に更新されます。
例 1: ユーザーのセグメントが Research から Sales に更新され、ユーザーの OneDrive は 24 時間以内に次のように更新されます。
- セグメント: 売上、人事
- IB モード: 明示的
例 2: HR から None に更新されたユーザーのセグメント
- セグメント: なし
- IB モード: 開く
情報バリア ポリシーへの変更の影響
コンプライアンス管理者が既存のポリシーを変更した場合、その変更は OneDrive に関連付けられているセグメントの互換性に影響する可能性があります。
たとえば、一度互換性があったセグメントは互換性がなくなった可能性があります。 SharePoint 管理者は、影響を受けるサイトに関連付けられているセグメントを変更する必要があります。 詳細については、「 PowerShell で Information Barriers ポリシー コンプライアンス レポートを作成する」を参照してください。
ユーザーがファイルを共有した後でポリシーを変更した場合、共有リンクは、共有ファイルにアクセスしようとしているユーザーに、OneDrive に関連付けられているセグメントと一致するセグメントが適用されている場合にのみ機能します。
監査
監査イベントは、情報バリア アクティビティの監視に役立つ Microsoft Purview ポータル で使用できます。 監査イベントは、次のアクティビティに対してログに記録されます。
- SharePoint と OneDrive の情報バリアを有効にする
- サイトへのセグメントの適用
- サイトのセグメントの変更
- サイトのセグメントの削除
- サイトへの情報バリア モードの適用
- サイトの情報バリア モードの変更
- SharePoint と OneDrive の情報バリアを無効にする
Office 365での OneDrive セグメント監査の詳細については、「監査ログを検索する」を参照してください。