秘密度ラベルを使用して、Microsoft Teams、Microsoft 365 グループ、SharePoint サイトのコンテンツを保護するUse sensitivity labels to protect content in Microsoft Teams, Microsoft 365 groups, and SharePoint sites

セキュリティとコンプライアンスのための Microsoft 365 ライセンス ガイダンスMicrosoft 365 licensing guidance for security & compliance.

秘密度ラベル を使用して、ドキュメントやメールを分類および保護するだけでなく、Microsoft Teams サイト、Microsoft 365 グループ (以前は Office 365 グループ)、およびSharePoint サイトなどのコンテナーにあるコンテンツを保護するために、秘密度ラベルを使用することもできます。In addition to using sensitivity labels to classify and protect documents and emails, you can also use sensitivity labels to protect content in the following containers: Microsoft Teams sites, Microsoft 365 groups (formerly Office 365 groups), and SharePoint sites. コンテナー レベルの分類と保護を設定するには、次のラベル設定を使用します。For this container-level classification and protection, use the following label settings:

  • チーム サイトおよび Microsoft 365 グループのプライバシー (パブリックまたはプライベート)Privacy (public or private) of teams sites and Microsoft 365 groups
  • 外部ユーザーのアクセスExternal user access
  • SharePoint サイトからの外部共有External sharing from SharePoint sites
  • 非管理対象デバイスからのアクセスAccess from unmanaged devices
  • 認証コンテキスト (プレビュー段階)Authentication contexts (in preview)

重要

非管理対象デバイスと認証コンテキストの設定は、Azure Active Directory の条件付きアクセスと連動しています。The settings for unmanaged devices and authentication contexts work in conjunction with Azure Active Directory Conditional Access. これらの設定に秘密度ラベルを使用したい場合は、この依存機能を設定する必要があります。You must configure this dependent feature if you want to use a sensitivity label for these settings. 追加情報については、以下の手順を参照してください。Additional information is included in the instructions that follow.

サポートされているコンテナーにこの秘密度ラベルを適用すると、分類および構成された保護の設定がサイトまたはグループに自動的に適用されます。When you apply this sensitivity label to a supported container, the label automatically applies the classification and configured protection settings to the site or group.

ただし、これらのコンテナーのコンテンツは、視覚的なマーキング、および暗号化の分類またはファイルとメールの設定のラベルを継承しません。Content in these containers however, do not inherit the labels for the classification or settings for files and emails, such as visual markings and encryption. ユーザーが SharePoint サイトまたはチーム サイトでドキュメントにラベルを付けられるようにするには、SharePoint および OneDrive で Office ファイルの秘密度ラベルを有効にしますSo that users can label their documents in SharePoint sites or team sites, make sure you've enabled sensitivity labels for Office files in SharePoint and OneDrive.

注意

コンテナーの秘密度ラベルは、Office 365 のコンテンツ配信ネットワーク (CDNs) ではサポートされていません。Sensitivity labels for containers aren't supported with Office 365 Content Delivery Networks (CDNs).

Microsoft Teams、Microsoft 365 グループ、およびSharePoint サイトで秘密度ラベルを使用するUsing sensitivity labels for Microsoft Teams, Microsoft 365 groups, and SharePoint sites

コンテナーの秘密度ラベルを有効化し、新しい設定の秘密度ラベルを構成する前に、ユーザーはアプリで秘密度ラベルを表示および適用できます。たとえば、Word では次のようなことができます。Before you enable sensitivity labels for containers and configure sensitivity labels for the new settings, users can see and apply sensitivity labels in their apps. For example, from Word:

Word デスクトップ アプリに表示される機密ラベル

コンテナーの秘密度ラベルを有効にして構成すると、ユーザーは追加で秘密度ラベルを表示し、Microsoft チーム サイト、Microsoft 365 グループ、および SharePoint サイトに適用することができます。たとえば、SharePoint から新しいチーム サイトを作成する場合:After you enable and configure sensitivity labels for containers, users can additionally see and apply sensitivity labels to Microsoft team sites, Microsoft 365 groups, and SharePoint sites. For example, when you create a new team site from SharePoint:

SharePoint でチーム サイトを作成するときの機密ラベル

コンテナーの秘密度ラベルを有効化してラベルを同期する方法How to enable sensitivity labels for containers and synchronize labels

まだコンテナーの秘密度ラベルを有効にしていない場合は、以下の一連の手順を一度だけ実行してください。If you haven't yet enabled sensitivity labels for containers, do the following set of steps as a one-time procedure:

  1. この機能は Azure AD 機能を使用するため、Azure AD のドキュメント 「Azure Active Directory で Microsoft 365 グループに秘密度ラベルを割り当てる」 の指示に従い、秘密度ラベルのサポートを有効にします。Because this feature uses Azure AD functionality, follow the instructions from the Azure AD documentation to enable sensitivity label support: Assign sensitivity labels to Microsoft 365 groups in Azure Active Directory.

  2. 秘密度ラベルを Azure AD に同期することが必要になります。You now need to synchronize your sensitivity labels to Azure AD. まず、セキュリティ/コンプライアンス センターの PowerShell に接続しますFirst, connect to Security & Compliance Center PowerShell.

    たとえば、管理者として実行している PowerShell セッションで、グローバル管理者アカウントでサインインします。For example, in a PowerShell session that you run as administrator, sign in with a global administrator account.

  3. 秘密度ラベルを Microsoft 365 グループで使用できるように、次のコマンドを実行します。Then run the following command to ensure your sensitivity labels can be used with Microsoft 365 groups:

    Execute-AzureAdLabelSync
    

グループとサイト設定を構成する方法How to configure groups and site settings

前のセクションで説明したとおり、コンテナーの秘密度レベルを有効にすると、秘密度レベル ウィザードでグループとサイトの保護設定を構成できるようになります。After sensitivity labels are enabled for containers as described in the previous section, you can then configure protection settings for groups and sites in the sensitivity labeling wizard. コンテナーの秘密度ラベルが有効になるまでは、ウィザードに設定が表示されますが、構成することはできません。Until sensitivity labels are enabled for containers, the settings are visible in the wizard but you can't configure them.

  1. 一般的な手順に従って、秘密度レベルを作成または編集し、ラベルのスコープとして [グループとサイト] を選択していることを確認します。Follow the general instructions to create or edit a sensitivity label and make sure you select Groups & sites for the label's scope:

    ファイルとメールの秘密度レベル スコープ オプション

    ラベルにこのスコープのみが選択されている場合、秘密度レベルをサポートする Office アプリにはラベルが表示されず、ファイルやメールに適用できません。When only this scope is selected for the label, the label won't be displayed in Office apps that support sensitivity labels and can't be applied to files and emails. このようにラベルを分離すると、ユーザーと管理者の両方に役立ちますが、ラベルの展開が複雑になる可能性もあります。Having this separation of labels can be helpful for both users and administrators, but can also add to the complexity of your label deployment.

    たとえば、SharePoint はラベル付きドキュメントがラベル付きサイトにアップロードされたことを検出するため、ラベルの順序を注意深く確認する必要があります。For example, you need to carefully review your label ordering because SharePoint detects when a labeled document is uploaded to a labeled site. このシナリオでは、ドキュメントの秘密度ラベルの優先度がサイトのラベルよりも高い場合、監査イベントとメールが自動的に生成されます。In this scenario, an audit event and email are automatically generated when the document has a higher priority sensitivity label than the site's label. 詳細については、このページの「秘密度レベル アクティビティの監査」セクションを参照してください。For more information, see the Auditing sensitivity label activities section on this page.

  2. 次に、[グループとサイトの保護設定の定義] ページで、使用可能なオプションの 1 つまたは両方を選択します。Then, on the Define protection settings for groups and sites page, select one or both of the available options:

    • [プライバシーと外部ユーザーのアクセス設定] を使用して、[プライバシー][外部ユーザーのアクセス] 設定を構成します。Privacy and external user access settings to configure the Privacy and External users access settings.
    • [外部共有および条件付きアクセスの設定] で、[ラベル付けされた SharePoint サイトからの外部共有を制御する] および [Azure AD 条件付きアクセスを使用して、ラベル付き SharePoint サイトを保護] 設定を構成します。External sharing and Conditional Access settings to configure the Control external sharing from labeled SharePoint sites and Use Azure AD Conditional Access to protect labeled SharePoint sites setting.
  3. [プライバシーと外部ユーザー アクセス設定] を選択した場合は、次の設定を構成します。If you selected Privacy and external user access settings, now configure the following settings:

    • プライバシー: 組織内の誰かがこのラベルが適用されているチーム サイトまたはグループにアクセスできるようにする場合は、既定の [パブリック] をそのまま使用します。Privacy: Keep the default of Public if you want anyone in your organization to access the team site or group where this label is applied.

      組織内の承認されたメンバーのみにアクセスを制限する場合は、[プライベート] を選択します。Select Private if you want access to be restricted to only approved members in your organization.

      秘密度ラベルを使用してコンテナー内のコンテンツを保護し、ユーザーが自分でプライバシー設定を構成できるようにする場合は、[なし] を選択します。Select None when you want to protect content in the container by using the sensitivity label, but still let users configure the privacy setting themselves.

      このラベルをコンテナーに適用すると、[パブリック] または [プライベート] の設定によってプライバシー設定が設定およびロックされます。The settings of Public or Private set and lock the privacy setting when you apply this label to the container. 選択した設定は、チームまたはグループに構成されている可能性がある以前のプライバシー設定を置き換え、プライバシー値をロックします。これにより、コンテナーから最初に秘密度ラベルを削除することによってのみ、変更できるようになります。Your chosen setting replaces any previous privacy setting that might be configured for the team or group, and locks the privacy value so it can be changed only by first removing the sensitivity label from the container. 秘密度ラベルを削除しても、ラベルからのプライバシー設定は維持され、ユーザーは再びラベルを変更することができます。After you remove the sensitivity label, the privacy setting from the label remains and users can now change it again.

    • 外部ユーザー アクセス: グループの所有者が ゲストをグループに追加できるかどうかを制御します。External user access: Control whether the group owner can add guests to the group.

  4. [デバイスの外部共有とデバイス アクセスの設定] を選択した場合は、次の設定を構成します。If you selected Device external sharing and device access settings, now configure the following settings:

    • [ラベル付き SharePoint サイトからの外部共有を制御]: このオプションを選択して、すべてのユーザー、新規および既存のゲストを選択するか、組織内のユーザのみを選択します。Control external sharing from labeled SharePoint sites: Select this option to then select either external sharing for anyone, new and existing guests, existing guests, or only people in your organization. この構成と設定の詳細については、「SharePoint ドキュメント」で サイトへのの外部共有を有効または無効にする を参照します。For more information about this configuration and settings, see the SharePoint documentation, Turn external sharing on or off for a site.

    • Azure AD 条件付きアクセスを使用して、ラベル付き SharePoint サイトを保護: Azure Active Directory の条件付きアクセスを構成して使用している場合のみ、このオプションを選択します。Use Azure AD Conditional Access to protect labeled SharePoint sites: Select this option only if your organization has configured and is using Azure Active Directory Conditional Access. 次に、次のいずれかの設定を選択します。Then, select one of the following settings:

      • ユーザーが管理外のデバイスから SharePoint サイトにアクセスできるかどうかを決定する: このオプションでは、Azure ADの条件付きアクセスを使用して、管理されていないデバイスからの SharePoint および OneDrive コンテンツへのアクセスをブロックまたは制限する SharePoint 機能を使用します。Determine whether users can access SharePoint sites from unmanaged devices: This option uses the SharePoint feature that uses Azure AD Conditional Access to block or limit access to SharePoint and OneDrive content from unmanaged devices. 詳細については、SharePoint ドキュメントの「非管理対象デバイスからのアクセスの制御」を参照してください。For more information, see Control access from unmanaged devices from the SharePoint documentation. このラベル設定を指定するオプションは、SharePoint の手順から「特定の SharePoint サイトまたは OneDrive からのアクセスをブロックまたは制限する」セクションの手順 3 - 5 で説明しているように、サイトの PowerShell コマンドを実行することと同じです。The option you specify for this label setting is the equivalent of running a PowerShell command for a site, as described in steps 3-5 from the Block or limit access to a specific SharePoint site or OneDrive section from the SharePoint instructions.

        追加の構成情報については、このセクションの最後にある「非管理対象デバイス オプションの依存関係に関する詳細情報」を参照してください。For additional configuration information, see More information about the dependencies for the unmanaged devices option at the end of this section.

      • 既存の認証コンテキストを選択する: 現在プレビュー版ですが、このラベルが適用されている SharePoint サイトにユーザーがアクセスする場合に、より厳しいアクセス条件を適用することができます。Choose an existing authentication context: Currently in preview, this option lets you enforce more stringent access conditions when users access SharePoint sites that have this label applied. これらの条件は、組織の条件付きアクセスを展開するために作成され、公開された既存の認証コンテキストを選択した場合に適用されます。These conditions are enforced when you select an existing authentication context that has been created and published for your organization's Conditional Access deployment. ユーザーが構成された条件を満たさない場合や、認証コンテキストをサポートしていないアプリを使用している場合は、アクセスが拒否されます。If users don't meet the configured conditions or if they use apps that don't support authentication contexts, they are denied access.

        追加の構成情報については、このセクションの最後にある「認証コンテキスト オプションの依存関係に関する詳細情報」を参照してください。For additional configuration information, see More information about the dependencies for the authentication context option at the end of this section.

        このラベルの構成例は、以下のとおりです。Examples for this label configuration:

        • 多要素認証 (MFA) を必要とするように構成された認証コンテキストを選択します。You choose an authentication context that is configured to require multi-factor authentication (MFA). このラベルは、非常に機密性の高い社外秘のアイテムを含む SharePoint サイトに適用されます。This label is then applied to a SharePoint site that contains highly confidential items. その結果、信頼されていないネットワークのユーザーがこのサイトのドキュメントにアクセスしようとすると、ドキュメントにアクセスする前に完了する必要がある MFA プロンプトが表示されます。As a result, when users from an untrusted network attempt to access a document in this site, they see the MFA prompt that they must complete before they can access the document.

        • 使用条件 (ToU) ポリシーに基づいて構成された認証コンテキストを選択します。You choose an authentication context that is configured for terms of use (ToU) policies. このラベルは、法務上またはコンプライアンス上の理由から使用条件の承認が必要なアイテムを含む SharePoint サイトに適用されます。This label is then applied to a SharePoint site that contains items that require a terms of use acceptance for legal or compliance reasons. その結果、ユーザーがこのサイト内の文書にアクセスしようとすると、使用条件のドキュメントが表示され、それに同意しないと元の文書にアクセスできないようになっています。As a result, when users attempt to access a document in this site, they see a terms of use document that they must accept before they can access the original document.

重要

チーム、グループ、またはサイトにラベルを適用すると、それらのサイトとグループの設定のみが有効になります。Only these site and group settings take effect when you apply the label to a team, group, or site. ラベルのスコープにファイルとメールが含まれている場合、暗号化やコンテンツ マーキングなどのその他のラベル設定は、チーム、グループ、またはサイト内のコンテンツに適用されません。If the label's scope includes files and emails, other label settings such as encryption and content marking aren't applied to the content within the team, group, or site.

秘密度ラベルがまだ公開されていない場合は、秘密度ラベル ポリシーに追加して公開します。If your sensitivity label isn't already published, now publish it by adding it to a sensitivity label policy. このラベルを含む秘密度ラベル ポリシーが割り当てられているユーザーには、サイトとグループ用にそのラベルを選択できます。The users who are assigned a sensitivity label policy that includes this label will be able to select it for sites and groups.

非管理対象デバイス オプションの依存関係に関する詳細情報More information about the dependencies for the unmanaged devices option

アプリによる制限の使用」に記載されているように SharePoint の依存条件付きアクセス ポリシーを構成しない場合は、ここで指定したオプションに影響ありません。If you don't configure the dependent conditional access policy for SharePoint as documented in Use app-enforced restrictions, the option you specify here will have no effect. また、テナントレベルで構成された設定よりも制限が少ない場合は影響はありません。Additionally, it will have no effect if it's less restrictive than a configured setting at the tenant level. 管理されていないデバイスの組織全体の設定を構成している場合は、同じかより制限の厳しいレベルのラベル設定を選択しますIf you have configured an organization-wide setting for unmanaged devices, choose a label setting that's either the same or more restrictive

たとえば、テナントが [制限されたWebのみのアクセスを許可する] に構成されている場合、フルアクセスを許可するラベル設定は制限が少ないため、効果がありません。For example, if your tenant is configured for Allow limited, web-only access, the label setting that allows full access will have no effect because it's less restrictive. このテナントレベルの設定では、アクセスをブロックするためのラベル設定 (より制限的) または制限付きアクセスのためのラベル設定 (テナント設定と同じ) を選択します。For this tenant-level setting, choose the label setting to block access (more restrictive) or the label setting for limited access (the same as the tenant setting).

SharePoint 設定はラベル構成とは別に構成できるため、秘密度ラベル ウィザードで依存関係が設定されているかどうかのチェックは行われません。Because you can configure the SharePoint settings separately from the label configuration, there's no check in the sensitivity label wizard that the dependencies are in place. これらの依存関係は、ラベルが作成および公開された後、およびラベルが適用された後でも構成できます。These dependencies can be configured after the label is created and published, and even after the label is applied. ただし、ラベルがすでに適用されている場合、ラベル設定は、ユーザーが次に認証するまで有効になりません。However, if the label is already applied, the label setting won't take effect until after the user next authenticates.

認証コンテキスト オプションの依存関係に関する詳細情報More information about the dependencies for the authentication context option

ドロップダウン リストに表示して選択するには、Azure Active Directory 条件付きアクセスの構成の一部として、認証コンテキストを作成し、構成して公開する必要があります。To display in the drop-down list for selection, authentication contexts must be created, configured, and published as part of your Azure Active Directory Condition Access configuration. 詳細および手順については、Azure AD 条件付きアクセス ドキュメントの[認証コンテキストの構成] セクションを参照してください。For more information and instructions, see the Configure authentication contexts section from the Azure AD Conditional Access documentation.

すべてのアプリが認証コンテクストをサポートするわけではありません。サポートされていないアプリを使用しているユーザーが、認証コンテキストを構成済みのサイトにアクセスすると、アクセス拒否のメッセージが表示されるか、認証を求められるものの拒否される問題が発生します。現在、認証コンテクストをサポートするアプリは以下のとおりです。Not all apps support authentication contexts. If a user with an unsupported app connects to the site that's configured for an authentication context, they see either an access denied message or they are prompted to authenticate but rejected. The apps that currently support authentication contexts:

  • Office for the Web (Web 用 Office を含む)Office for the web, which includes Outlook for the web

  • Windows および macOS 用の Microsoft Teams (Teams Web アプリを除く)Microsoft Teams for Windows and macOS (excludes Teams web app)

  • Microsoft PlannerMicrosoft Planner

  • Microsoft 365 Apps for Word、Excel、PowerPoint の最小バージョンは以下のとおりです。Microsoft 365 Apps for Word, Excel, and PowerPoint; minimum versions:

    • Windows: 2103Windows: 2103
    • macOS: 16.45.1202macOS: 16.45.1202
    • iOS: 2.48.303iOS: 2.48.303
    • Android: 16.0.13924.10000Android: 16.0.13924.10000
  • Microsoft 365 Apps for Outlook の最小バージョンは以下のとおりです。Microsoft 365 Apps for Outlook; minimum versions:

    • Windows: 2103Windows: 2103
    • macOS: 16.45.1202macOS: 16.45.1202
    • iOS: 4.2109.0iOS: 4.2109.0
    • Android: 4.2025.1Android: 4.2025.1
  • OneDrive 同期アプリの最小バージョンは以下のとおりです。OneDrive sync app, minimum versions:

    • Windows: 21.002Windows: 21.002
    • macOS: 21.002macOS: 21.002
    • iOS: 12 月 30 日にロールアウトiOS: Rolling out in 12.30
    • Android: まだサポートされていませんAndroid: Not yet supported

このプレビューでの既知の制限事項は以下のとおりです。Known limitations for this preview:

  • OneDrive 同期アプリについては、OneDrive のみサポートし、他のサイトはサポートしていません。For the OneDrive sync app, supported for OneDrive only and not for other sites.

  • 次の機能やアプリは、認証コンテキストとの互換性がない場合があるため、ユーザーが認証コンテキストを使用してサイトへのアクセスに成功した後、これらの機能が継続して動作するかどうかを確認することをお勧めします。The following features and apps might be incompatible with authentication contexts, so we encourage you to check that these continue to work after a user successfully accesses a site by using an authentication context:

    • PowerApps や Power Automate を使用したワークフローWorkflows that use PowerApps or Power Automate
    • サードパーティ製アプリThird-party apps

機密ラベルの管理Sensitivity label management

サイトとグループに対して構成されている秘密度ラベルを作成、変更、または削除する場合は、次のガイダンスを使用します。Use the following guidance for when you create, modify, or delete sensitivity labels that are configured for sites and groups.

サイトとグループに対して構成されているラベルを作成して発行するCreating and publishing labels that are configured for sites and groups

新しい機密ラベルを作成して公開すると、チーム、グループ、およびサイトでユーザーには、1 時間以内に表示されます。When a new sensitivity label is created and published, it's visible for users in teams, groups, and sites within one hour. ただし、既存のラベルを変更する場合は、最大で 24 時間かかります。However, if you modify an existing label, allow up to 24 hours. このラベルがサイトおよびグループの設定に対して構成されている場合、次のガイダンスを使用して、ユーザーのラベルを発行します。Use the following guidance to publish a label for your users when that label is configured for site and group settings:

  1. 秘密度ラベルを作成し構成したら、少数のテスト ユーザーにのみ適用されるラベル ポリシーにこのラベルを追加します。After you create and configure the sensitivity label, add this label to a label policy that applies to just a few test users.

  2. 変更がレプリケートされるまで待機します。Wait for the change to replicate:

    • 新規ラベル: 1 時間待機します。New label: Wait for one hour.
    • 既存のラベル: 24 時間待機します。Existing label: Wait for 24 hours.
  3. この待ち時間の後、テスト ユーザー アカウントのいずれかを使用して、手順 1 で作成したラベルを持つチーム、Microsoft 365 グループ、または SharePoint サイトを作成します。After this wait period, use one of the test user accounts to create a team, Microsoft 365 group, or SharePoint site with the label that you created in step 1.

  4. この作成操作中にエラーが発生しなかった場合、テナント内のすべてのユーザーに安全にラベルを発行できます。If there are no errors during this creation operation, you know it's safe to publish the label to all users in your tenant.

サイトとグループに対して構成されている発行済みのラベルを変更するModifying published labels that are configured for sites and groups

ベスト プラクティスとして、秘密度ラベルを複数のチーム、グループ、またはサイトに適用した後に、ラベルのサイトとグループの設定を変更しないようにします。As a best practice, don't change the site and group settings for a sensitivity label after the label has been applied to teams, groups, or sites. この場合、ラベルが適用されているすべてのコンテナーに変更を複製されるまで 24 時間待機することを忘れないでください。If you do, remember to wait for 24 hours for the changes to replicate to all containers that have the label applied.

また、外部ユーザーのアクセス 設定を含む変更は、次のようになります。In addition, if your changes include the External users access setting:

  • 新しい設定は新しいユーザーに適用されますが、既存のユーザーには適用されません。たとえば、この設定は以前に選択されていて、その結果、ゲスト ユーザーがサイトにアクセスした場合、この設定をラベル構成で解除した後も、これらのゲスト ユーザーはサイトにアクセスできます。The new setting applies to new users but not to existing users. For example, if this setting was previously selected and as a result, guest users accessed the site, these guest users can still access the site after this setting is cleared in the label configuration.

  • HiddenMembership および roleEnabled グループ プロパティのプライバシー設定は更新されません。The privacy settings for the group properties hiddenMembership and roleEnabled aren't updated.

サイトとグループに対して構成されている発行済みラベルを削除するDeleting published labels that are configured for sites and groups

サイトとグループの設定を有効にして秘密度ラベルの削除を行い、そのラベルが 1 つ以上のラベル ポリシーに含まれている場合、新しいチーム、グループ、サイトの作成に失敗してしまう可能性があります。この状況を回避するには、次のガイダンスを使用してください。If you delete a sensitivity label that has the site and group settings enabled, and that label is included in one or more label policies, this action can result in creation failures for new teams, groups, and sites. To avoid this situation, use the following guidance:

  1. ラベルを含むすべてのラベル ポリシーから、機密ラベルを削除します。Remove the sensitivity label from all label policies that include the label.

  2. 1 時間待機します。Wait for one hour.

  3. この待ち時間の後、チーム、グループ、またはサイトを作成し、ラベルが表示されなくなったことを確認してください。After this wait period, try creating a team, group, or site and confirm that the label is no longer visible.

  4. 秘密度ラベルが表示されていない場合は、ラベルを安全に削除できます。If the sensitivity label isn't visible, you can now safely delete the label.

コンテナーに秘密度ラベルを適用するHow to apply sensitivity labels to containers

これで、1つまたは複数の秘密度ラベルを次のようなコンテナーに適用する準備ができました。You're now ready to apply the sensitivity label or labels to the following containers:

複数のサイトに秘密度ラベルを適用する 必要がある場合、PowerShell を使用できます。You can use PowerShell if you need to apply a sensitivity label to multiple sites.

Microsoft 365 グループに秘密度ラベルを適用するApply sensitivity labels to Microsoft 365 groups

これで、1 つまたは複数の秘密度ラベルを Microsoft 365 グループに適用する準備ができました。You're now ready to apply the sensitivity label or labels to Microsoft 365 groups. 手順については、Azure AD のドキュメントに戻ります。Return to the Azure AD documentation for instructions:

新しいチームに機密ラベルを適用するApply a sensitivity label to a new team

ユーザーは、Microsoft Teams で新しいチームを作成する際に機密ラベルを選択できます。Users can select sensitivity labels when they create new teams in Microsoft Teams. [秘密度] ドロップダウンからラベルを選択すると、プライバシー設定によってラベル構成が変更される場合があります。When they select the label from the Sensitivity dropdown, the privacy setting might change to reflect the label configuration. ラベルに対し選択した外部ユーザーのアクセス設定に応じて、ユーザーは組織外のユーザーをチームに追加することができたり、できなかったりします。Depending on the external users access setting you selected for the label, users can or can't add people outside the organization to the team.

Teams の機密ラベルの詳細についてLearn more about sensitivity labels for Teams

新しいチームを作成する際のプライバシー設定

チームを作成すると、すべてのチャネルの右上隅に機密ラベルが表示されます。After you create the team, the sensitivity label appears in the upper-right corner of all channels.

チームに表示される機密ラベル

このサービスは、Microsoft 365 グループおよび接続された SharePoint チーム サイトに対して同じ秘密度ラベルを自動的に適用します。The service automatically applies the same sensitivity label to the Microsoft 365 group and the connected SharePoint team site.

Outlook on the web の新しいグループに機密ラベルを適用するApply a sensitivity label to a new group in Outlook on the web

Outlook on the web では、新しいグループを作成するときに、公開されたラベルの [機密] オプションを選択または変更できます。In Outlook on the web, when you create a new group, you can select or change the Sensitivity option for published labels:

グループを作成し、[機密] 下でオプションを選択する

新しいサイトに機密ラベルを適用するApply a sensitivity label to a new site

管理者およびエンド ユーザーは、最新のチーム サイトやコミュニケーション サイトを作成する際に秘密度ラベルを選択し、以下のような 詳細設定 を行うことができます。Admins and end users can select sensitivity labels when they create modern team sites and communication sites, and expand Advanced settings:

サイトを作成し、[秘密度] 下でオプションを選択する

ドロップダウン ボックスには選択したラベル名が表示され、ヘルプ アイコンにはすべてのラベル名とヒントが表示されます。これにより、ユーザーは適用するラベルを正しく選ぶことができます。The dropdown box displays the label names for the selection, and the help icon displays all the label names with their tooltip, which can help users determine the correct label to apply.

ラベルが適用され、ユーザーがサイトを参照すると、ラベルの名前および適用されているポリシーが表示されます。When the label is applied, and users browse to the site, they see the name of the label and applied policies. たとえば、以下のサイトでは、秘密 のラベル付けがされており、プライバシー設定は プライベート になっています。For example, this site has been labeled as Confidential, and the privacy setting is set to Private:

機密ラベルが適用されているサイト

PowerShell を使用して、複数のサイトに秘密度ラベルを適用するUse PowerShell to apply a sensitivity label to multiple sites

Set-SPOSiteSet-SPOTenant コマンドレットを使用して、現在の SharePoint Online 管理シェルSensitivityLabel パラメーターによって、多くのサイトに秘密度ラベルを適用できます。You can use the Set-SPOSite and Set-SPOTenant cmdlet with the SensitivityLabel parameter from the current SharePoint Online Management Shell to apply a sensitivity label to many sites. サイトには、任意の SharePoint サイトコレクション、または OneDrive サイトを使用できます。The sites can be any SharePoint site collection, or a OneDrive site.

SharePoint Online 管理シェルのバージョン16.0.19418.12000 以降があることを確認します。Make sure you have version 16.0.19418.12000 or later of the SharePoint Online Management Shell.

  1. [管理者として実行] オプションを使用して PowerShell セッションを開きます。Open a PowerShell session with the Run as Administrator option.

  2. ラベルの GUID がわからない場合、セキュリティ/コンプライアンス センターの PowerShellに接続し、秘密度ラベルとそれらの GUID のリストを取得します。If you don't know your label GUID: Connect to Security & Compliance Center PowerShell and get the list of sensitivity labels and their GUIDs.

    Get-Label |ft Name, Guid
    
  3. ここでは、SharePoint Online PowerShellに接続して、ラベルの GUID を変数として保存します。Now connect to SharePoint Online PowerShell and store your label GUID as a variable. 例:For example:

    $Id = [GUID]("e48058ea-98e8-4940-8db0-ba1310fd955e")
    
  4. URL に共通の識別文字列が含まれる複数のサイトを特定する新しい変数を作成します。例:Create a new variable that identifies multiple sites that have an identifying string in common in their URL. For example:

    $sites = Get-SPOSite -IncludePersonalSite $true -Limit all -Filter "Url -like 'documents"
    
  5. これらのサイトにラベルを適用するには、次のコマンドを実行します。例:Run the following command to apply the label to these sites. Using our examples:

    $sites | ForEach-Object {Set-SPOTenant $_.url -SensitivityLabel $Id}
    

この一連のコマンドを使用すると、テナント全体の複数のサイトに同じ秘密度ラベルを付けることができます。そのため、サイトごとの構成用の Set-SPOSite コマンドレットではなく、Set-SPOTenant コマンドレットを使用します。This series of commands lets you label multiple sites across your tenant with the same sensitivity label, which is why you use the Set-SPOTenant cmdlet, rather than the Set-SPOSite cmdlet that's for per-site configuration. ただし、特定のサイトに異なるラベルを適用する必要がある場合は、サイトごとに次のコマンドを繰り返して、Set-SPOSite コマンドレットを使用します。Set-SPOSite -Identity <URL> -SensitivityLabel "<labelguid>"However, use the Set-SPOSite cmdlet when you need to apply a different label to specific sites by repeating the following command for each of these sites: Set-SPOSite -Identity <URL> -SensitivityLabel "<labelguid>"

SharePoint 管理センターで秘密度ラベルを表示し管理するView and manage sensitivity labels in the SharePoint admin center

適用された秘密度ラベルを表示、並べ替え、および検索するには、新しい SharePoint 管理センターの [アクティブなサイト] ページを使用します。To view, sort, and search the applied sensitivity labels, use the Active sites page in the new SharePoint admin center. 最初に、[機密] 列を追加する必要がある場合があります。You might need to first add the Sensitivity column:

[アクティブなサイト] ページの [機密] 列

列を追加する方法など、[アクティブなサイト] ページからサイトを管理する方法の詳細については、「新しい SharePoint 管理センターでサイトを管理する」 を参照してください。For more information about managing sites from the Active sites page, including how to add a column, see Manage sites in the new SharePoint admin center.

このページからラベルを変更して適用することもできます。You can also change and apply a label from this page:

  1. [詳細] ウィンドウを開くには、サイト名を選択します。Select the site name to open the details pane.

  2. [ポリシー] タブを選択し、秘密度 の設定で [編集] を選択します。Select the Policies tab, and then select Edit for the Sensitivity setting.

  3. [秘密度の設定の編集] ウィンドウで、サイトに適用する秘密度ラベルを選び、[保存] を選択します。From the Edit sensitivity setting pane, select the sensitivity label you want to apply to the site, and then select Save.

秘密度ラベルのサポートSupport for sensitivity labels

次のアプリとサービスで、サイトとグループの設定用に構成した秘密度ラベルをサポートしています。The following apps and services support sensitivity labels configured for sites and group settings:

  • 管理センター:Admin centers:

    • SharePoint 管理センターSharePoint admin center
    • Azure Active Directory ポータルAzure Active Directory portal
    • Microsoft 365 管理センターMicrosoft 365 admin center
    • Microsoft 365 コンプライアンス センター、Microsoft 365 セキュリティ センター、セキュリティ/コンプライアンス センターMicrosoft 365 compliance center, Microsoft 365 security center, Security & Compliance Center
  • ユーザーのアプリとサービス:User apps and services:

    • SharePointSharePoint
    • TeamsTeams
    • Outlook on the web、Outlook for Windows、MacOS、iOS、AndroidOutlook on the web and for Windows, macOS, iOS, and Android
    • フォームForms
    • StreamStream
    • PlannerPlanner

次のアプリとサービスで、サイトとグループの設定用に構成した秘密度ラベルをサポートしています。The following apps and services don't currently support sensitivity labels configured for sites and group settings:

  • 管理センター:Admin centers:

    • Teams 管理センターTeams admin center
    • Exchange 管理センターExchange admin center
  • ユーザーのアプリとサービス:User apps and services:

    • Dynamics 365Dynamics 365
    • YammerYammer
    • ProjectProject
    • Power BIPower BI

従来の Azure AD グループの分類Classic Azure AD group classification

コンテナーの秘密度ラベルを有効にすると、Microsoft 365 は新しい Microsoft 365 のグループおよび SharePoint サイト向けに古い分類をサポートしなくなります。Microsoft 365 no longer supports the old classifications for new Microsoft 365 groups and SharePoint sites after you enable sensitivity labels for containers. ただし、秘密度ラベルをサポートしている既存のグループおよびサイトには、秘密度ラベルを使用するように変換しない限り、古い分類値が引き続き表示されます。However, existing groups and sites that support sensitivity labels still display the old classification values until you convert them to use sensitivity labels.

SharePoint の古いグループ分類を使用した場合の例として、「SharePoint の "モダン" サイトの分類」を参照してください。As an example of how you might have used the old group classification for SharePoint, see SharePoint "modern" sites classification.

これらの分類は、Azure AD PowerShell または PnP コア ライブラリを使用し、ClassificationList 設定に値を定義することによって構成されています。These classifications were configured by using Azure AD PowerShell or the PnP Core library and defining values for the ClassificationList setting. テナントに分類値が定義されている場合は、AzureADPreview PowerShell モジュールから次のコマンドを実行すると、それらが表示されます。If your tenant has classification values defined, they are shown when you run the following command from the AzureADPreview PowerShell module:

($setting["ClassificationList"])

古い分類を機密ラベルに変換するには、次のいずれかの操作を行います。To convert your old classifications to sensitivity labels, do one of the following:

  • 既存のラベルを使用: 既に公開されている既存の機密ラベルを編集して、サイトおよびグループに必要なラベル設定を指定します。Use existing labels: Specify the label settings you want for sites and groups by editing existing sensitivity labels that are already published.

  • 新しいラベルの作成: 既存の分類と同じ名前を持つ新しい機密ラベルを作成および公開して、サイトおよびグループに必要なラベル設定を指定します。Create new labels: Specify the label settings you want for sites and groups by creating and publishing new sensitivity labels that have the same names as your existing classifications.

その後で以下の手順に従います。Then:

  1. PowerShell を使用し、既存の Microsoft 365 グループおよび SharePoint サイトに名前のマッピングを使用して秘密度ラベルを適用します。手順については、次のセクションを参照してください。Use PowerShell to apply the sensitivity labels to existing Microsoft 365 groups and SharePoint sites by using name mapping. See the next section for instructions.

  2. 既存のグループおよびサイトから古い分類を削除します。Remove the old classifications from the existing groups and sites.

機密ラベルをまだサポートしていないアプリやサービスでユーザーが新しいグループを作成できないようにすることはできませんが、定期的な PowerShell スクリプトを実行して、ユーザーが古い分類で作成した新しいグループを探し、機密ラベルを使用するようにそれらを変換することができます。Although you can't prevent users from creating new groups in apps and services that don't yet support sensitivity labels, you can run a recurring PowerShell script to look for new groups that users have created with the old classifications, and convert these to use sensitivity labels.

サイトとグループの秘密度ラベルと Azure AD の分類の共存を管理する方法については、「Microsoft 365 グループの Azure Active Directory の分類と秘密度ラベル」 を参照してください。To help you manage the coexistence of sensitivity labels and Azure AD classifications for sites and groups, see Azure Active Directory classification and sensitivity labels for Microsoft 365 groups.

PowerShell を使用して Microsoft 365 グループの分類を秘密度ラベルに変換するUse PowerShell to convert classifications for Microsoft 365 groups to sensitivity labels

  1. まず、セキュリティ/コンプライアンス センターの PowerShell に接続しますFirst, connect to Security & Compliance Center PowerShell.

    たとえば、管理者として実行している PowerShell セッションで、グローバル管理者アカウントでサインインします。For example, in a PowerShell session that you run as administrator, sign in with a global administrator account:

  2. Get-Label コマンドレットを使用して、機密ラベルおよびその GUID のリストを取得します。Get the list of sensitivity labels and their GUIDs by using the Get-Label cmdlet:

    Get-Label |ft Name, Guid
    
  3. Microsoft 365 グループに適用する秘密度ラベルの GUID をメモします。Make a note of the GUIDs for the sensitivity labels you want to apply to your Microsoft 365 groups.

  4. ここでは、別の Windows PowerShell ウィンドウで Exchange Online PowerShell に接続しますNow connect to Exchange Online PowerShell in a separate Windows PowerShell window.

  5. 次のコマンドを例として使用して、現在 "一般" の分類を持つグループのリストを取得します。Use the following command as an example to get the list of groups that currently have the classification of "General":

    $Groups= Get-UnifiedGroup | Where {$_.classification -eq "General"}
    
  6. グループごとに、新しい機密ラベル GUID を追加します。例:For each group, add the new sensitivity label GUID. For example:

    foreach ($g in $groups)
    {Set-UnifiedGroup -Identity $g.Identity -SensitivityLabelId "457fa763-7c59-461c-b402-ad1ac6b703cc"}
    
  7. 残りのグループ分類について、手順 5 と 6 を繰り返します。Repeat steps 5 and 6 for your remaining group classifications.

機密ラベル アクティビティの監査Auditing sensitivity label activities

重要

コンテナを保護するラベルの [グループとサイト] スコープのみを選択してラベル分離を使用する場合: このセクションで説明する 検出されたドキュメントの機密性の不一致 の監査イベントとメールのため、ファイルとメール のスコープを持つラベルの前に これらのラベルの順序付けを検討してください。If you use label separation by selecting just the Groups & sites scope for labels that protect containers: Because of the Detected document sensitivity mismatch audit event and email described in this section, consider ordering these labels before labels that have a scope for Files & emails.

誰かが機密ラベルで保護されているサイトにドキュメントをアップロードし、そのドキュメントの機密ラベルが、サイトに適用されている機密ラベルよりも優先度が高くなっている場合、このアクションはブロックされません。If somebody uploads a document to a site that's protected with a sensitivity label and their document has a higher priority sensitivity label than the sensitivity label applied to the site, this action isn't blocked. たとえば、「一般」ラベルを SharePoint サイトに適用し、誰かがこのサイトに「社外秘」というラベルの付けられたドキュメントをアップロードしたとします。For example, you've applied the General label to a SharePoint site, and somebody uploads to this site a document labeled Confidential. 優先度の高い機密ラベルは、優先順位の低いコンテンツよりも機密性の高いコンテンツを識別するため、この状況はセキュリティ上の懸念になる可能性があります。Because a sensitivity label with a higher priority identifies content that is more sensitivity than content that has a lower priority order, this situation could be a security concern.

アクションはブロックされていませんが、監査され、既定で、ドキュメントをアップロードした人とサイト管理者にメールが自動的に生成されます。Although the action isn't blocked, it is audited and by default, automatically generates an email to the person who uploaded the document and the site administrator. 結果として、ユーザーと管理者の両方が、この不適切なラベルの優先順位を設定し、必要に書類を特定することができます。As a result, both the user and administrators can identify documents that have this misalignment of label priority and take action if needed. たとえば、アップロードされたドキュメントをサイトから削除または移動します。For example, delete or move the uploaded document from the site.

ドキュメントの機密ラベルが、サイトに適用されている機密ラベルよりも優先度が低い場合、セキュリティ上の懸念にはなりません。It wouldn't be a security concern if the document has a lower priority sensitivity label than the sensitivity label applied to the site. たとえば、「一般」というラベルの付いたドキュメントが、「社外秘」というラベルの付いたサイトにアップロードされている場合です。For example, a document labeled General is uploaded to a site labeled Confidential. このシナリオでは、監査イベントとメールが生成されません。In this scenario, an auditing event and email aren't generated.

このイベントの監査ログを検索するには、[ファイルとページのアクティビティ] カテゴリから [検出されたドキュメントの機密度の不一致] を探します。To search the audit log for this event, look for Detected document sensitivity mismatch from the File and page activities category.

自動生成されたメールには、サブジェクト の互換性がない秘密度ラベルが検出されました とメールメッセージは、アップロードされたドキュメントとサイトへのリンクとのラベルの不一致を説明します。The automatically generated email has the subject Incompatible sensitivity label detected and the email message explains the labeling mismatch with a link to the uploaded document and site. ユーザーが感度ラベルを変更できるようにするドキュメントリンクも含まれています。It also contains a documentation link that explains how users can change the sensitivity label. これらの自動メールはカスタマイズできませんが、Set-SPOTenant から次の PowerShell コマンドを使用すると、送信されないようにすることができます。These automated emails cannot be customized but you can prevent them from being sent when you use the following PowerShell command from Set-SPOTenant:

Set-SPOTenant -BlockSendLabelMismatchEmail $True

サイトまたはグループに対して、または、ある人が機密ラベルを追加または削除する場合、これらのアクティビティも監査されますが、メールは自動的に生成されません。When somebody adds or removes a sensitivity label to or from a site or group, these activities are also audited but without automatically generating an email.

これらの監査イベントはすべて、秘密ラベルのアクティビティ カテゴリに記載されています。All these auditing events can be found in the Sensitivity label activities category. 監査ログを検索する手順については、「セキュリティ/コンプライアンス センターで監査ログを検索する」を参照してください。For instructions to search the audit log, see Search the audit log in the Security & Compliance Center.

コンテナーの秘密度ラベルを無効にする方法How to disable sensitivity labels for containers

PowerShell で秘密度ラベルのサポートを有効にする」と同じ手順で、Microsoft Teams、Microsoft 365 グループ、SharePoint サイトの秘密度ラベルをオフにすることができます。You can turn off sensitivity labels for Microsoft Teams, Microsoft 365 groups, and SharePoint sites by using the same instructions from Enable sensitivity label support in PowerShell. ただし、この機能を無効にするには、手順5で $setting["EnableMIPLabels"] = "False"を指定します。However, to disable the feature, in step 5, specify $setting["EnableMIPLabels"] = "False".

秘密度ラベルを作成または編集するときに、グループおよびサイトですべての設定を使用できないようにすることに加えて、この操作では、コンテナーが構成に使用するプロパティは元に戻ります。In addition to making all the settings unavailable for groups and sites when you create or edit sensitivity labels, this action reverts which property the containers use for their configuration. Microsoft Teams、Microsoft 365 グループ、SharePoint サイトで秘密度ラベルを有効にすると、分類 (Azure AD グループの分類 に使用) に使用されているプロパティが 秘密度 に切り替わります。Enabling sensitivity labels for Microsoft Teams, Microsoft 365 groups, and SharePoint sites switches the property used from Classification (used for Azure AD group classification) to Sensitivity. コンテナーの秘密度ラベルを無効にすると、コンテナーは秘密度プロパティを無視して、もう一度分類プロパティを使用します。When you disable sensitivity labels for containers, the containers ignore the Sensitivity property and use the Classification property again.

つまり、以前コンテナーに適用されたサイトとグループのラベル設定が適用されなくなり、コンテナーにはラベルが表示されなくなります。This means that any label settings from sites and groups previously applied to containers won't be enforced, and containers no longer display the labels.

これらのコンテナーに Azure AD 分類値が適用されている場合、コンテナーは再び分類を使用します。If these containers have Azure AD classification values applied to them, the containers revert to using the classifications again. この機能を有効にした後に作成された新しいサイトやグループにはラベルが表示されず、分類もされないので注意してください。Be aware that any new sites or groups that were created after enabling the feature won't display a label or have a classification. これらのコンテナー、および新しいコンテナーの場合、分類値を適用できるようになりました。For these containers, and any new containers, you can now apply classification values. 詳細については、「SharePoint の 「最新の」 サイト分類」 および 「組織の Office グループの分類を作成する」 を参照してください。。For more information, see SharePoint "modern" sites classification and Create classifications for Office groups in your organization.

その他のリソースAdditional resources

Microsoft Teams、O365 グループおよび SharePoint Online サイトでの秘密度ラベルの使用については、ウェビナーのレコーディングと回答をご覧ください。See the webinar recording and answered questions for Using Sensitivity labels with Microsoft Teams, O365 Groups and SharePoint Online sites.

このウェビナーは、当該機能がまだプレビューに含まれているときに記録されているので、UI にいくつかの矛盾が見つかる可能性があります。This webinar was recorded when the feature was still in preview, so you might notice some discrepancies in the UI. ただし、このページに記載されている新しい機能があれば、この機能の情報は正確です。However, the information for this feature is still accurate, with any new capabilities documented on this page.