Azure Information Protection 用の自動および推奨分類の条件を構成する方法

  • [アーティクル]

ラベルの条件を構成するときに、ドキュメントまたは電子メールにラベルを自動的に割り当てることができます。 または、自分が推奨するラベルを選択するようにユーザーに求めることもできます。

これらの条件を構成するときには、クレジット カード番号米国社会保障番号 (SSN) などの定義済みのパターンを使用できます。 または、自動分類の条件として、ユーザー指定の文字列またはパターンを定義することもできます。 これらの条件は、ドキュメントや電子メールの本文とヘッダーおよびフッターに適用されます。 条件の詳細については、次の手順の手順 5 をご覧ください。

最良のユーザー エクスペリエンスとビジネスの継続性を確保するために、自動分類ではなく、ユーザーが推奨する分類から始めることをお勧めします。 この構成の場合、ユーザーは、分類や関連付けられている保護を受け入れるか、それらの提案が自分のドキュメントまたは電子メール メッセージに適していない場合はオーバーライドすることを選択できます。

ラベルを推奨される操作として適用するように条件を構成したときのプロンプトの例を、カスタム ポリシー ヒントと共に示します。

Azure Information Protection の検出と推奨事項

この例では、ユーザーは [今すぐ変更] をクリックして推奨されたラベルを適用するか、[閉じる] を選択することでその推奨をオーバーライドできます。 ユーザーが推奨を無視することを選択しても、ドキュメントを次に開いたときに条件がまだ適用される場合は、ラベルの推奨がもう一度表示されます。

推奨されている分類ではなく自動分類を構成した場合、ラベルは自動的に適用され、ユーザーには Word、Excel、PowerPoint 内に引き続き通知が表示されます。 ただし、[今すぐ変更] および [閉じる] ボタンは [OK] で置き換えられます。 Outlook では、自動分類の場合に通知は表示されず、電子メールの送信時にラベルが適用されます。

重要

自動分類とユーザー定義のアクセス許可にはラベルを構成しないでください。 ユーザー定義のアクセス許可オプションは、アクセス許可を与える人をユーザーが指定できるという保護設定となります。

自動分類とユーザー定義のアクセス許可にラベルを構成すると、条件に対してコンテンツがチェックされ、ユーザー定義のアクセス許可設定は適用されません。 推奨されている分類とユーザー定義のアクセス許可を使用できます。

  • 自動分類は、Word、Excel、PowerPoint でドキュメントを保存するときと、Outlook でメールを送信するときに適用されます。

    以前に手動でラベル付けされていた、またはより高度な分類で自動的にラベル付けされていたドキュメントやメールに対しては、自動分類を使用することはできません。

  • 推奨分類は、Word、Excel、および PowerPoint でドキュメントを保存するときに適用されます。 現在プレビュー段階にある高度なクライアント設定を構成しない限り、推奨分類を Outlook に使用することはできません。

    以前に上位の分類でラベルが付けられているドキュメントには推奨分類を使用できません。

ドキュメントに指定された条件規則が Azure Information Protection クライアントによって定期的にチェックされるように、この動作を変更できます。 たとえば、これは、Microsoft SharePoint、職場または学校用の OneDrive、または自宅用の OneDrive で自動的に保存される Office アプリで自動保存を使用している場合に適しています。 このシナリオをサポートするには、現在プレビュー版の高度なクライアント設定を構成できます。 この設定により、分類がバックグラウンドで継続的に実行されるようになります。

複数のラベルに適用するときの複数の条件の評価方法

  1. ラベルは、ポリシーに指定した位置に従って評価の順序が決まります。先頭に配置されたラベルが最下位 (秘密度が最も低い) になり、最後に配置されたラベルが最上位 (秘密度が最も高い) ものになります。

  2. 最も秘密度の高いラベルが適用されます。

  3. 最後のサブラベルが適用されます。

  1. まだ実行していない場合は、新しいブラウザー ウィンドウを開いて、Azure Portal にサインインします。 次に、 [Azure Information Protection] ペインに移動します。

    たとえば、リソース、サービス、ドキュメントの検索ボックスで次のようにします: 「Information」と入力し、 [Azure Information Protection] を選択します。

  2. [分類]>[ラベル] メニュー オプションから: [Azure Information Protection - ラベル] ペインで、構成するラベルを選択します。

  3. [ラベル] ペインで、[Configure conditions for automatically applying this label] (このラベルに自動的に適用する条件を構成する) セクションの [新しい条件の追加] をクリックします。

  4. [条件] ペインで、定義済みの条件を使用する場合は [情報の種類] を、独自の条件を指定する場合は [カスタム] を選択します。

    • [情報の種類] を選択した場合: 使用可能な条件の一覧から選択し、最小出現回数と、出現で出現回数に一意の値を含めるかどうかを選択します。

      情報の種類では、Microsoft 365 データ損失防止 (DLP) の機密情報の種類とパターン検出が使われます。 多くの共通の機密情報の種類から選ぶことができ、これらの一部は異なるリージョンに固有です。 詳しくは、Microsoft 365 ドキュメントの検索される機密情報の種類に関するページをご覧ください。

      Azure Portal から選択できる情報の種類の一覧は、定期的に更新され、Office DLP の新しいデータが追加されます。 ただし、ルール パッケージとして定義され、Office 365 セキュリティ/コンプライアンス センターにアップロードされたユーザー設定の機密情報の種類は、一覧から除外されます。

      重要

      一部の情報には、クライアントの最小バージョンが必要な情報もあります。 詳細情報

      Azure Information Protection は、選択された情報の種類を評価するとき、Office DLP 信頼レベルの設定を使わず、最も低い信頼度に従って一致させます。

    • [カスタム] を選択した場合: 一致させる名前とフレーズを指定します。引用符と特殊文字は除外する必要があります。 次に、正規表現として一致させるかどうか、大文字と小文字を区別するかどうか、最小出現回数、出現で出現回数に一意の値を含めるどうかを選択します。

      正規表現では、Office 365 の正規表現パターンが使用されます。 カスタム条件に正規表現を指定するために、次の Boost から参照できる「Perl Regular Expression Syntax」 (Perl 正規表現構文) の特定のバージョンをご覧ください。 カスタム正規表現は、.NET のドキュメントに準拠している必要があります。 また、Unicode を指定するために使用される Perl 5 文字エスケープ (形式 \x{####…}。ここで、####… は連続した 16 進数字) はサポートされていません

  5. [最小出現回数][一意の値のみを含む出現回数をカウント] を変更する必要があるかどうかを決定し、[保存] を選択します。

    出現オプションの例: 社会保障番号の情報タイプを選択し、最小出現回数として 2 を設定したときに、ドキュメントに同じ社会保障番号が 2 回記載されていたとします。[一意の値のみを含む出現回数をカウント][オン] に設定した場合、条件は満たされません。 このオプションを [オフ] に設定した場合、条件は満たされます。

  6. [ラベル] ペインで、次のように構成し、[保存] をクリックします。

    • 自動分類または推奨分類を選択します。[Select how this label is applied: automatically or recommended to user] (ラベルの適用方法を選択してください: 自動またはユーザーに推奨) で、[自動] または [推奨] を選択します。

    • ユーザー プロンプトまたはポリシー ヒント用のテキストを指定します。既定のテキストを維持するか、独自の文字列を指定します。

[保存] をクリックすると、変更内容がユーザーとサービスに対して自動的に利用可能になります。 独立した公開オプションはなくなりました。

クライアントの最小バージョンが必要な機密情報の種類

次の機密情報の種類には、Azure Information Protection クライアントのバージョン 1.48.204.0 以降が必要です。

  • Azure Service Bus 接続文字列
  • Azure IoT 接続文字列
  • Azure Storage アカウント
  • Azure IAAS データベースの接続文字列および Azure SQL の接続文字列
  • Azure Redis Cache 接続文字列
  • Azure SAS
  • SQL Server 接続文字列
  • Azure DocumentDB 認証キー
  • Azure 発行設定パスワード
  • Azure Storage アカウント キー (汎用)

これらの機密情報の種類の詳細については、次のブログ記事を参照してください: Azure Information Protection は資格情報の自動検出でセキュリティを強化するのに役立ちます

さらに、Azure Information Protection クライアントの 1.48.204.0 以降では、次の機密情報の種類はサポートされておらず、Azure portal に表示されなくなります。 これらの機密情報の種類を使用するラベルがある場合、それらを正しく検出することは保証されず、スキャナー レポートではそれらへの参照を無視する必要があるため、これらを削除することをお勧めします。

  • EU の電話番号
  • EU の GPS 座標

次の手順

Azure Information Protection スキャナーのデプロイについて検討します。このスキャナーは自動分類規則を利用し、ネットワーク共有やオンプレミス ファイル ストアのファイルを検出、分類、保護できます。

Azure Information Protection ポリシーの構成の詳細については、「組織のポリシーの構成」セクションのリンクを使用してください。