学生個人データの保護
学区では、Office 365とMicrosoft Entra IDで Microsoft の学校データ同期を使用して、学生の個人データに対するアクセス制限やその他の保護を実装できます。 SDS を使用すると、SIS または MIS から学生の一覧をインポートし、自動的に未成年者としてマークして、Microsoft およびサード パーティのアプリケーションでそのように扱うことができます。 また、学生がサード パーティ製アプリケーションを使用できないようにMicrosoft Entra IDを構成することもできます。
オプション A: School Data Sync を使用した簡略化されたソリューション
Office 365 for Education の IT 管理者は、以下の手順に従って、SDS によって同期されたすべての学生に保護を適用するために、簡略化されたソリューションを使用できます。
手順 A1: 学生の個人データ保護
学校データ同期を開き、[設定] -> [学生の個人データ保護] に移動します
![学校データ同期を開き、[設定] -> [学生の個人データ保護] に移動します。](images/protecting-student-personal-data-1.png)
学生を未成年としてマークする場合は、[すべての学生を未成年者としてマークする] を選択します。この設定は、SDS によって同期されたすべての学生の法的年齢グループ分類プロパティを MinorWithParentalConsent に設定します。つまり、保護者または法的保護者が Microsoft からオンライン サービスで使用することを許可した未成年者です。 法的年齢グループ分類プロパティの詳細については、 こちらを参照してください。
学生がサード パーティ製アプリケーションを使用できないようにする場合は、[学生がサード パーティ製アプリを使用できないようにブロックする] を選択します。 この設定では、すべての学生のセキュリティ グループと、すべての学生が Microsoft によって作成されていないアプリを使用できないようにするMicrosoft Entra条件付きアクセス ポリシーが作成されます。
このポリシーをカスタマイズして、学生がMicrosoft Entra 管理センター条件付きアクセス ポリシー エディターで特定のサード パーティ 製アプリケーションを使用できるようにすることができます。
オプション B: 学生のサブセットに保護を適用する
上記の手順は、SDS と同期されているすべての学生に適用されます。 これらの保護を学生のサブセットに適用する場合は、PowerShell と Microsoft Entra IDを使用します。
手順 B1: 未成年者としてマークする学生の一覧を作成する
このリストを作成するには、任意のメソッドを使用できます。 便宜上、Microsoft は、学生向けライセンスのOffice 365 Educationを持つすべてのユーザーの一覧を作成する、ライセンス別の学生向けの SDS 年齢制限のスクリプトを提供しました。
手順 B2: これらの学生を未成年者としてマークする
これらの学生を未成年としてマークして、Microsoft およびサード パーティのアプリケーションでこのような扱いを行うことができます。 保護者の 同意を得て SDS 年齢制限を 使用して、手順 4 で生成した学生の一覧を未成年者としてマークします。
手順 B3: サード パーティ製アプリへのサインインを禁止する学生の一覧を作成する
手順 B1 に記載されているスクリプトを含め、任意のメソッドを使用してこのリストを作成できます。
手順 B4: これらの学生のセキュリティ グループを作成する
手順 B1 のスクリプトで提供される学生の一覧を使用するなど、任意のメソッドを使用してこのグループを作成できます。
手順 B5: 条件付きアクセス ポリシーを作成して、学生がサード パーティ製アプリを使用できないようにする
Microsoft Entra 管理センター条件付きアクセス ポリシー エディターに移動し、条件付きアクセス ポリシーを作成します。
[割り当て-> ユーザーとグループ] で、手順 B4 で作成したセキュリティ グループを選択します。
![[割り当て-> ユーザーとグループ] で、手順 B4 で作成したセキュリティ グループを選択します。](images/protecting-student-personal-data-2.png)
Assignments-Cloud> Apps の場合は、"すべてのクラウド アプリ" を含め、"Microsoft アプリケーション" を除外します
[アクセス制御-> 条件] で、[アクセスのブロック] を選択します。
[ポリシーの有効化] を選択します
[保存] を選択します。
この条件付きアクセス ポリシーをカスタマイズして、学生のグループが特定のサード パーティ アプリケーションも使用できるようにすることができます。 これを行うには、Assignments-Cloud> Apps-Exclude> に移動し、許可するサード パーティ製アプリケーションを選択し、ポリシーを保存します。