機密ラベルを作成して管理する

  • 8 分

Microsoft Purview Information Protection の秘密度ラベルを使用すると、組織のデータを分類および保護しながら、ユーザーの生産性と共同作業を行う能力が損なわれないようにすることができます。 秘密度ラベルを使用することで、Teams 管理者は、チーム内での共同作業中に作成された機密性の高い組織コンテンツへのアクセスを保護し管理することができます。

秘密度ラベルは、次の目的に使用できます。

  • 暗号化およびコンテンツ マーキングを含む保護設定を提供します。

  • さまざまなプラットフォームおよびデバイス間で Office アプリのコンテンツを保護する。

  • Microsoft Defender for Cloud Apps を使用してサード パーティ製アプリおよびサービスのコンテンツを保護する。

  • Teams、Microsoft 365 グループ、SharePoint サイトを含むコンテナーを保護します。

  • 秘密度ラベルの適用を Power BI に拡大する。

  • Microsoft Purview データ マップ内のアセットに秘密度ラベルを拡張する。

  • 秘密度ラベルの適用をサード パーティ製アプリやサービスに拡大する。

  • 保護設定を使わずにコンテンツを分類する。

ラベル スコープ

秘密度ラベルを作成するとき、2 つのことを決定するラベルの範囲を構成するように求められます。

  • そのラベルに構成できるラベル設定

  • ラベルがユーザーに表示される場所

秘密度ラベルを次の範囲に適用できます。

  • ファイルとメール: メールと Office ファイル

  • グループとサイト: Microsoft Teams サイト、Microsoft 365 グループ、SharePoint サイト

  • スキーマ化されたデータ アセット

    秘密度ラベルのスコープ オプションのスクリーンショット

グループとサイト (コンテナー) の秘密度ラベルの設定

秘密度ラベル を使用して、ドキュメントやメールを保護するだけでなく、Microsoft Teams サイト、Microsoft 365 グループ (以前は Office 365 グループ)、およびSharePoint サイトなどのコンテナーにあるコンテンツを保護するために、秘密度ラベルを使用することもできます。 コンテナー レベルの保護を設定するには、次のラベル設定を使用します。

  • チーム サイトおよび Microsoft 365 グループのプライバシー (パブリックまたはプライベート)
  • 外部ユーザーのアクセス
  • SharePoint サイトからの外部共有
  • 非管理対象デバイスからのアクセス
  • 認証コンテキスト
  • この機能を持つユーザーのプライベート チームの検出を防止する (プレビュー)
  • チーム招待の共有チャネル コントロール (プレビュー)
  • SharePoint サイトの既定共有リンク (PowerShell のみの構成)
  • サイト共有の設定 (PowerShell のみの構成)
  • チャネル会議の既定のラベル

プライバシーと外部ユーザー アクセスの設定

プライバシー外部ユーザーのアクセス設定を構成します。

  • プライバシー: 組織内の誰かがこのラベルが適用されているチーム サイトまたはグループにアクセスできるようにする場合は、既定の [パブリック] をそのまま使用します。

    組織内の承認されたメンバーのみにアクセスを制限する場合は、[プライベート] を選択します。

    秘密度ラベルを使用してコンテナー内のコンテンツを保護し、ユーザーが自分でプライバシー設定を構成できるようにする場合は、[なし] を選択します。

    このラベルをコンテナーに適用すると、[パブリック] または [プライベート] の設定によってプライバシー設定が設定およびロックされます。 選択した設定は、チームまたはグループに構成されている可能性がある以前のプライバシー設定を置き換え、プライバシー値をロックします。これにより、コンテナーから最初に秘密度ラベルを削除することによってのみ、変更できるようになります。 秘密度ラベルを削除しても、ラベルからのプライバシー設定は維持され、ユーザーは再びラベルを変更することができます。

  • 外部ユーザー アクセス: グループの所有者がグループにゲストを追加できるかどうかを制御します。

    プライバシーと外部ユーザー アクセスの設定のスクリーンショット。

デバイスの外部共有とデバイス アクセスの設定

[ラベル付き SharePoint サイトからの外部共有を制御] および [Azure AD 条件付きアクセスを使用して、ラベル付き SharePoint サイトを保護] 設定を構成します。

  • [ラベル付き SharePoint サイトからの外部共有を制御]: このオプションを選択して、すべてのユーザー、新規および既存のゲストを選択するか、組織内のユーザのみを選択します。

  • Azure AD 条件付きアクセスを使用して、ラベル付き SharePoint サイトを保護: Azure Active Directory の条件付きアクセスを構成して使用している場合のみ、このオプションを選択します。 次に、次のいずれかの設定を選択します。

    • ユーザーが管理外のデバイスから SharePoint サイトにアクセスできるかどうかを決定する: このオプションでは、Azure ADの条件付きアクセスを使用して、管理されていないデバイスからの SharePoint および OneDrive コンテンツへのアクセスをブロックまたは制限する SharePoint 機能を使用します。

    • 既存の認証コンテキストを選択する: このオプションを使用すると、このラベルが適用されている SharePoint サイトにユーザーがアクセスするときに、より厳しいアクセス条件を適用できます。 これらの条件は、組織の条件付きアクセスを展開するために作成され、公開された既存の認証コンテキストを選択した場合に適用されます。 ユーザーが構成された条件を満たさない場合や、認証コンテキストをサポートしていないアプリを使用している場合は、アクセスが拒否されます。

      デバイスの外部共有とデバイス アクセスの設定のスクリーンショット。

サポートされているコンテナーにこの秘密度ラベルを適用すると、分類および保護の設定が、接続されたサイトまたはグループに自動的に適用されます。 ただし、これらのコンテナーのコンテンツは、視覚的なマーキング、または暗号化の分類および設定のラベルを継承しません。

  • SharePoint および OneDrive で Office ファイルの秘密度ラベルを有効にして、ユーザーが SharePoint サイトまたはチーム サイトでドキュメントにラベルを付けられるようにします。

    SharePoint および OneDrive で Office ファイルの機密度ラベルが有効になっているスクリーンショット。

  • 指定した条件に一致したときに、そのラベルをファイルやメールに自動的に割り当てることができます。 詳細については、「秘密度ラベルを自動でコンテンツに適用する」を参照してください。

    条件に一致したときに、そのラベルをファイルやメールに自動的に割り当てるスクリーンショット。

グループとサイトに対する秘密度ラベルを有効にする

[サイトとグループの設定] の構成オプションは、この機能を有効にするまで表示されません。

注:

Azure AD モジュールと MSOnline PowerShell モジュールは廃止予定であり、Microsoft Graph PowerShell に移行されます。 次のコマンドは、Microsoft Graph PowerShell のコマンドを反映するように更新されています。

  1. コンピューターで Windows PowerShell ウィンドウを開き、次のコマンドを実行します。

  2. Microsoft Graph に接続します。

    Connect-MgGraph

  3. organizationの現在のグループ設定をフェッチします。

    $Setting = Get-MgDirectorySetting -Id (Get-MgDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id

    注:

    この Azure AD 組織に対してグループ設定が作成されていない場合、最初に設定を作成する必要があります。 この Azure AD 組織にグループの設定を作成するには、「グループの設定を構成するための Azure Active Directory コマンドレット」の手順に従います。

  4. 機能を有効にする :

    $Setting["EnableMIPLabels"] = "True"

  5. 次に、変更を保存し、設定を適用します。

    Set-MgDirectorySetting -Id $Setting.Id -DirectorySetting $Setting

    注:

    2019 年 9 月より前に秘密度ラベルを使用していた場合は、秘密度ラベルをAzure ADに同期する必要もあります。

詳細と手順については、「 コンテナーの秘密度ラベルを有効にし、ラベルを同期する方法」を参照してください。

秘密度ラベルを作成して発行する

グローバル管理者は、Microsoft Purview コンプライアンス ポータルから秘密度ラベルを作成および管理できます。

その他のガイダンスと手順については、「 秘密度ラベルを作成して発行する」を参照してください。

  1. Microsoft Purview コンプライアンス ポータル>Information protection に移動します。

  2. [ラベル] タブで、[+ ラベルの作成] を選択して、[新しい秘密度ラベル] ウィザードを起動します。

  3. [ラベルに名前を付けてヒントを作成する] ページで情報を入力します。

  4. [このラベルのスコープを定義する] ページで、[グループとサイト] または他の範囲を選択します。

    選択したオプションによって、構成できる設定のラベルのスコープと、公開時に表示される場所が決まります。

  5. ウィザードで、ラベル設定の指示に従い、作成を完了します。

    [サイトとグループの設定] タブのスクリーンショット。

秘密度ラベルを作成したら、ラベル ポリシーを作成して、秘密度ラベルを発行する必要があります。 このラベルを含む秘密度ラベル ポリシーが割り当てられているユーザーには、サイトとグループ用にそのラベルを選択できます。

チーム、グループ、またはサイトにラベルを適用すると、それらのサイトとグループの設定のみが有効になります。 暗号化やコンテンツ マーキングなどのその他のラベル設定は、チーム、グループ、またはサイト内のコンテンツに適用されません。

Teams で秘密度ラベルを使用する

管理者は秘密度ラベルを作成でき、ユーザーは、チームの作成中にこのラベルを適用することで、特定のプライバシー (パブリックまたはプライベート) 設定を持つチームを作成できます。

たとえば、管理者は「社外秘」という秘密度ラベルを作成し、このラベルが付いたチームはプライベート チームにする必要があるというポリシーを設定します。 ユーザーが新しいチームを作成し、[社外秘] ラベルを選択すると、ユーザーが使用できる唯一のプライバシー オプションは [非公開] になります。 他のプライバシー オプション (公開や組織全体など) は、ユーザーに対して無効になっています。

「社外秘」秘密度ラベルのスクリーンショット。

チームが作成されると、チーム内のチャネルの右上隅に秘密度ラベルが表示されます。

チーム チャネル ウィンドウでの秘密度ラベルのスクリーンショット。

チームの所有者は、チームを開いて [チームの編集] をクリックすることで、チームの秘密度ラベルとプライバシー設定をいつでも変更できます。

[自分のチーム チャネルの編集] ページのスクリーンショット。

注:

コンテナーの秘密度ラベルを有効にすると、Microsoft 365 は新しい Microsoft 365 のグループおよび SharePoint サイト向けに古い分類をサポートしなくなります。 ただし、秘密度ラベルをサポートしている既存のグループおよびサイトには、秘密度ラベルを使用するように変換しない限り、古い分類値が引き続き表示されます。 詳細については、「Microsoft 365 グループの Azure Active Directory と秘密度ラベル」を参照してください。

詳細については、以下を参照してください。

秘密度ラベルのシナリオの例

organizationで Teams で秘密度ラベルを使用する方法のシナリオの例を次に示します。

  • チームのプライバシー レベル (公開または非公開) の設定
  • チームへのゲスト アクセスの制御

チームへのゲスト アクセスの制御

秘密度ラベルを使用して、チームへのゲスト アクセスを制御できます。 ゲスト アクセスを許可しないラベルで作成された Teams は、組織内のユーザーのみが使用できます。 組織外のユーザーをチームに追加することはできません。

Microsoft Teams 管理センター

秘密度ラベルは、Microsoft Teams管理センターでチームを作成または編集するときに適用できます。 秘密度ラベルは、チーム プロパティや、Microsoft Teams管理センターの [チームの管理] ページの [分類] 列にも表示されます。

制限事項

Teams に秘密度ラベルを使用する前に、次の制限事項に注意してください。

  • 秘密度ラベルは、Teams Graph API と PowerShell コマンドレットではサポートされていません

    Teams Graph API または Teams PowerShell コマンドレットを使用してチームを直接作成するときに、ユーザーは秘密度ラベルを指定できません。 ただし、Modern Groups Graph API と PowerShell コマンドレットを使用すると、秘密度ラベルを持つグループを作成できます。 つまり、これらの方法を使用して秘密度ラベルを持つグループを作成し、これらのグループをチームに変換できます。

  • プライベート チャネルのサポート

    チームで作成されたプライベート チャネルは、チームに適用された秘密度ラベルを継承します。 同じラベルが、プライベート チャネルの SharePoint サイト コレクションに自動的に適用されます。

    ただし、ユーザーがプライベート チャネルの SharePoint サイトの秘密度ラベルを直接変更した場合、そのラベルの変更は Teams クライアントには反映されません。 このシナリオでは、ユーザーはプライベート チャネル ヘッダーでチームに適用された元の秘密度ラベルを引き続き表示します。

Teams の秘密度ラベルを作成して構成する方法

Microsoft Purview ドキュメントの手順を使用して、Teams の秘密度ラベルを作成して構成します。

秘密度ラベルと会議テンプレートに対するポリシーの管理の影響

ロビーの設定や表示可能なユーザーなど、一部の管理者ポリシーでは、会議開催者が変更できる既定値を指定しますが、ほとんどの管理者ポリシーは、特定の機能をユーザーが利用できるかどうかを決定します。

秘密度ラベルは、会議の開催者に対して関連する管理ポリシーがオフになっている場合でも、エンドツーエンドの暗号化、透かし、自動記録を適用できます。 ただし、テンプレートではこれを行うことはできません。 管理ポリシーは、テンプレート設定よりも優先されます。

たとえば、 機密性の高い ラベルを作成し、透かしとエンドツーエンドの暗号化を適用するように構成した場合、管理者ポリシーで会議の開催者に対して透かしとエンドツーエンドの暗号化が無効になっている場合でも、その適用が行われます。 ただし、テンプレートを使用して同じ会議開催者の透かしとエンドツーエンドの暗号化を有効にした場合、管理ポリシーが優先されるため、これらの機能は会議では使用できません。

会議テンプレートと秘密度ラベルを計画するときは、必要に応じて管理ポリシーで制御する設定が有効になっていることを確認します。

秘密度ラベルとテンプレートの組み合わせ

一部の設定は秘密度ラベルでのみ使用でき、一部の設定はテンプレートでのみ使用できます。 次の両方で使用できます。

  • チャット
  • エンドツーエンドの暗号化
  • ロビーの設定
  • 会議の記録
  • 透かし

秘密度ラベルを使用すると、ラベルで構成された設定がテンプレートまたは会議開催者の設定よりも優先されます。

秘密度ラベルの設定は、ラベルの作成時に制御を解除したままにして、テンプレートまたは会議の開催者がこれらの設定を制御できるようにします。

秘密度ラベルは、多くの場合、ドキュメント、サイト、電子メール、会議のラベル付けなど、複数の目的で使用されます。 テンプレートとラベルを使用して、特定の種類の会議内のバリエーションを考慮することで、会議専用の追加ラベルを作成しないようにすることができます。

たとえば、マーケティング部門の要件は、機密性の高い会議の調査部門とは異なる場合があります。 秘密度ラベルの両方に共通する設定を構成し、2 つのグループで個別のテンプレートを使用できるようにして、そのグループの会議設定をさらに絞り込むことができます。 どちらのテンプレートも同じラベルを使用できます。

ユーザーベースのポリシーと会議ベースのポリシー

Teams ポリシー (会議ポリシーを含む) は、ユーザーまたはグループ レベルで適用されます。 秘密度ラベルとテンプレートの設定は、それらのラベルとテンプレートが使用される個々の会議レベルで適用されます。 Teams 管理ポリシーと秘密度ラベルまたはテンプレートの設定を構成するのが意味のある場所を検討してください。

いくつかの例を示します。

調査部門とマーケティング部門に対して異なる既定のロビー設定が必要な場合は、管理ポリシーを使用してこれらの既定値を構成し、ラベルまたはテンプレートを使用してさらに変更できます。

ガバナンス担当者のみが透かしを使用できるようにする場合は、管理者ポリシーを使用してそれらのユーザーに対してのみ透かしを有効にすることができます。 その後、透かしを適用するテンプレートを作成できますが、透かしはガバナンス関係者が主催する会議でのみ使用されます。

同じ秘密度を持つさまざまな会議の種類

テンプレートとラベルを一緒に使用すると、同じ秘密度を持つさまざまな種類の会議がある場合に役立ちます。 たとえば、機密性の高い会議の一部が対話型で、出席者からの最小限の操作があるプレゼンテーションがある場合は、次の 2 つのテンプレートを作成できます。

  • 出席者のビデオとオーディオをオフにするプレゼンテーションに使用するもの。
  • 会議の開催者の裁量でビデオとオーディオを残す対話型会議に使用するもの。

どちらのテンプレートでも 機密 ラベルを使用できます。これにより、ロビーをバイパスできるユーザーや表示できるユーザーなど、追加の設定を制御できます。

会議の開催者が変更できる既定値を指定する

ラベルは一般に特定の設定を適用しますが、テンプレートは設定を適用するか、会議の開催者に変更を許可することができます。 これにより、コンプライアンスのニーズを満たす既定の設定を実装しながら、会議の開催者に必要に応じて設定をオーバーライドするオプションを提供できます。

たとえば、ベースライン レベルの保護では、秘密度ラベルを使用して透かしをオフにすることができます。 同時に、テンプレートを使用して、ロビーをバイパスできるユーザーの既定値を設定できますが、必要に応じて会議の開催者が設定を変更できるようにします。

会議の開催者がそのテンプレートを選択したときに両方が使用されるように、ベースライン保護ラベルをテンプレートに割り当てることができます。

一部の管理ポリシーを使用して、会議の開催者が変更できる既定値を設定することもできます。 これには、ロビー コントロールと、表示できるユーザーが含まれます。

詳細については、「Teams 会議テンプレート、秘密度ラベル、および管理ポリシーを機密会議に一緒に使用する」を参照してください。

Microsoft Teams Premiumの秘密度ラベル

Microsoft Teams Premiumは、秘密度ラベルとポリシーを構成可能な会議機能と共に提供します。 organizationがラベルを構成する方法に応じて、Teams Premiumは、セキュリティとコンプライアンスを強化するために設計されたテンプレート化された一連の指定された会議オプションを適用します。

これらのオプションは次のとおりです。

  • 会議ロビーで待機する必要があるユーザー
  • 会議への参加を依頼する必要があるユーザー
  • 予定表ラベル ("転送しない" など)
  • 自動記録の適用
  • 会議チャットからの制限付きコピーと貼り付け
  • オーディオ ビデオ ストリームの高度な暗号化制御
  • ライブ コンテンツとビデオの透かし

詳細については、「 秘密度ラベルを使用して予定表アイテム、Teams 会議、チャットを保護する」を参照してください。