秘密度ラベルの使用を開始する

セキュリティとコンプライアンスのための Microsoft 365 ライセンス ガイダンス

秘密度ラベルの概要とそれらが組織のデータを保護する方法の詳細については、「秘密度ラベルの詳細」を参照してください。

Azure Information Protection を使用していて、Azure ポータルから管理されている Azure Information Protection ラベルを引き続き使用している場合は、これらのラベルを統合ラベル付けプラットフォームに移行する必要があります。 Windows コンピューターの場合、公開された機密ラベルに使用するラベル付けクライアントを選択できます。

秘密度ラベルを使用して組織のデータを保護する準備ができたら、次の手順に従います。

  1. ラベルを作成する。 コンテンツのさまざまなレベルに対する組織の分類方法に従って、秘密度ラベルを作成して名前を付けます。 ユーザーにとって意味のある、一般的な名前または用語を使用します。 分類方法がまだ確率していない場合は、「個人用」、「パブリック」、「一般」、「社外秘」、および「極秘」などのラベル名を使って使用開始することを検討してください。 サブラベルを使用すると、類似したラベルをカテゴリ別にグループ化できます。 ラベルを作成するときは、ユーザーが適切なラベルを選択できるよう、ツールヒントのテキストを使用します。

    分類法を定義するためのより広範なガイダンスについては、Service Trust Portal のホワイト ペーパー「データ分類と秘密度ラベルの分類」をダウンロードしてください。

  2. 各ラベルの機能を定義する。 各ラベルに関連付ける必要がある保護設定を構成します。 たとえば、"一般" ラベルなどの秘密度の低いコンテンツには単にヘッダーやフッターを適用し、"社外秘" ラベルなどの秘密度のより高いコンテンツには透かしや暗号化を適用する、といったことができます。

  3. ラベルを発行する。 秘密度ラベルの構成が完了したら、ラベル ポリシーを使用してラベルを公開します。 ラベルを使用する必要があるユーザーとグループおよび使用するポリシー設定を決定します。 1 つのラベルは再利用できます。 一度定義したラベルは、異なるユーザーに割り当てる複数のラベル ポリシーに含めることができます。 たとえば、ラベル ポリシーをごく少数のユーザーに対して適用して、秘密度ラベルを試験運用することができます。 組織全体に対してラベルを展開する準備ができたら、ラベルの新しいラベル ポリシーを作成し、今回はすべてのユーザーを指定することができます。

既定のラベルの自動作成と、手順 1 - 3 の管理を行う既定のラベル ポリシーの対象となる場合があります。 詳細については、「Microsoft Information Protection の既定のラベルとポリシー」を参照してください。

秘密度ラベルを展開して適用するための基本的な流れ:

秘密度ラベルのワークフローを示す図。

秘密度ラベルのサブスクリプションとライセンスの要件

秘密度ラベルはさまざまな異なるサブスクリプションに対応しており、ユーザーのライセンス要件は使用する機能によって異なります。

Microsoft 365 コンプライアンス機能のメリットを得られるようにユーザーにライセンスを付与するためのオプションを確認するには、「セキュリティとコンプライアンスのための Microsoft 365 ライセンス ガイダンス」を参照してください。 秘密度ラベルについては、「情報保護: 秘密度ラベルセクション」および機能レベルのライセンス要件に関する PDF ダウンロード ファイルを参照してください。

機密ラベルの作成と管理に必要なアクセス許可

機密ラベルを作成するコンプライアンス チームのメンバーには、Microsoft 365 コンプライアンス センターへのアクセス許可が必要です。

既定では、テナントのグローバル管理者はこの管理センターへのアクセス権を所有し、コンプライアンス責任者や他のユーザーにアクセス権を付与できます (テナント管理者が持つすべての権限を付与する必要はありません)。この委任された制限付き管理者アクセス許可については、ユーザーを [コンプライアンス データ管理者][コンプライアンス管理者]、または [セキュリティ管理者] 役割グループに追加します。

既定の役割を使用する代わりに、新しい役割グループを作成し、 秘密度ラベル管理者 または 組織の構成 の役割をこのグループに追加することもできます。読み取り専用の役割の場合は、秘密度ラベル リーダー を使用します。

注意

プレビュー段階では、次の役割グループを使用できます。

  • 情報保護
  • Information Protection 管理者
  • Information Protection アナリスト
  • Information Protection 調査担当者
  • Information Protection 閲覧者

それぞれの役割とその役割に含まれる新しい役割の説明については、Microsoft 365 コンプライアンス センター > [アクセス許可と役割] > [コンプライアンス センター] > [役割] を選択し、次にポップアップ ウィンドウで説明を確認します。 または、「セキュリティ/コンプライアンス センターの役割グループ」を参照してください。

ユーザーを既定の役割グループに追加する手順、または独自の役割グループを作成する手順については、「Microsoft 365 コンプライアンス センターのアクセス許可」を参照してください。

これらのアクセス許可は、機密ラベルとそのラベル ポリシーの作成と構成を行う場合にのみ必要です。 アプリまたはサービスでラベルを適用するためには必要はありません。 秘密度ラベルに関連する特定の構成に追加のアクセス許可が必要な場合、それらのアクセス許可はそれぞれのドキュメントの説明に記載されています。

秘密度ラベルの展開戦略

組織の秘密度ラベルの展開戦略を成功させるには、ビジネス要件と技術要件、概念実証テスト、内部チェックポイントと承認、運用環境の最終的な展開を特定し管理する作業仮想チームを作成します。

次のセクションの表を使用して、最も影響力のあるビジネス要件にマッピングされる上位 1 つまたは 2 つのシナリオを特定することをお勧めします。 これらのシナリオが展開されたら、リストに戻り、次に展開する優先順位の 1 つまたは 2 つを特定します。

Customer Acceleration Team (CAT) サイトのリソースの 1 つである、「Microsoft の情報保護およびデータ損失防止の導入加速ガイド」に、追加の一般的な展開ガイダンスとベスト プラクティスがあります。

秘密度ラベルの一般的なシナリオ

すべてのシナリオで、秘密度ラベルとそのポリシーを作成して構成する必要があります。

必要な作業... ドキュメント
Office アプリの秘密度ラベルを管理して、コンテンツの作成時にラベルを付けられるようにする (すべてのプラットフォームでの手動によるラベル付けのサポートを含む) Office アプリの秘密度ラベルを管理する
Windows 上の Office アプリの追加機能で (必要な場合)、ラベル付けをエクスプローラーと PowerShell に拡張する Windows 用のAzure Information Protection 統合ラベル付けクライアント
秘密度ラベルを使用してドキュメントやメールを暗号化し、そのコンテンツにアクセスできるユーザーとその使用方法を制限する 秘密度ラベルを使用して暗号化を適用してコンテンツへのアクセスを制限する
ドキュメントが暗号化されている場合でも、共同編集、電子情報開示、データ損失防止、検索をサポートし、Office on the web の秘密度ラベルを有効にする SharePoint および OneDrive で Office ファイルの機密度ラベルを有効にする
ドキュメントが暗号化されている場合に、Office デスクトップ アプリで共同編集と自動保存を使用する 機密度ラベルを使用して暗号化されたファイルの共同編集を有効にする
秘密度ラベルをドキュメントとメールに自動的に適用する 機密ラベルをコンテンツに自動的に適用する
秘密度ラベルを使用して、Teams や SharePoint のコンテンツを保護する Microsoft Teams、Microsoft 365 グループ、SharePoint サイトで秘密度ラベルを使用する
ドキュメント理解モデルに機密ラベルを適用すると、SharePoint ライブラリ内の識別されたドキュメントが自動的に分類および保護されます Microsoft SharePoint Syntex のモデルに秘密度ラベルを適用する
特定の感度ラベルを持つファイルまたはメールをユーザーが共有しないように、または警告します。 DLP ポリシーで秘密度ラベルを条件として使用する
保持ラベルを適用して、特定の秘密度ラベルを持つファイルまたはメールを保持または削除する 保持ラベルを自動的に適用してコンテンツを保持または削除する
オンプレミスのデータ ストアに保存されているファイルを検出、ラベル付け、保護する ファイルを自動的に分類および保護するための Azure Information Protection スキャナーを展開する
クラウドのデータ ストアに保存されているファイルを検出、ラベル付け、保護する クラウドに保存されている規制対象および機密データを検出、分類、ラベル付け、保護する
Power BI でラベルの適用と表示をし、サービスの外部に保存されたデータを保護する Power BI の秘密度ラベル
組織で秘密度ラベルがどのように使用されているかを監視し、理解する データ分類の説明
秘密度ラベルの適用をサード パーティ製アプリやサービスに拡大する Microsoft Information Protection SDK
Azure Blob Storage、Azure Files、Azure Data Lake Storage、マルチクラウド データ ソースなど、Azure Purview アセットのコンテンツ全体に秘密度ラベルを拡張する Azure Purview でのラベル付け

機密度ラベルのエンド ユーザー向けのドキュメント

最も効果的なエンド ユーザー向けのドキュメントは、選択したラベル名と構成に関するカスタマイズされたガイダンスと手順です。 ラベル ポリシー設定 [カスタム ヘルプ ページへのリンクをユーザーに提供する] を使用して、このドキュメントへの内部リンクを指定することができます。 ユーザーは、[秘密度] ボタンから簡単にアクセスすることができます。

  • 組み込みのラベル付けの場合: [詳細] メニュー オプション。
  • Azure Information Protection 統合ラベル付けクライアントの場合: [ヘルプとフィードバック] メニュー オプション > [Microsoft Azure Information Protection] ダイアログ ボックスの [詳細情報] リンク。

カスタマイズしたドキュメントの提供に役立てるために、次のページを表示して、ユーザーのトレーニングに使用できるアイテムをダウンロードします。秘密度ラベルのエンド ユーザー トレーニング

基本的な手順については、次のリソースを使用することもできます:

秘密度ラベルを PDF ドキュメントの暗号化に適用する場合は、Windows または Mac で Microsoft Edge を使用して、これらのドキュメントを開くことができます。 詳細および代替リーダーについては、「保護された PDF をサポートする PDF リーダー」を参照してください。