【Microsoft Purview】秘密度ラベルを使ってドキュメントの保護をする～スーパーユーザーの作成～

本シリーズではMicrosoft Purviewの秘密度ラベルを利用したドキュメントの保護方法について解説します。

今回は、ドキュメント保護機能を利用する上で利用が想定されるコンプライアンス管理に特化したユーザーである、スーパーユーザーの作成方法について解説していきます。

• 前回までのおさらい
• 用語説明
• 事前準備
  • ライセンス
  • メールが有効なグループまたはユーザーの確認
• スーパーユーザーの概要
• スーパーユーザー設定
  • AIPService PowerShell モジュールのインストール
  • スーパーユーザーの作成
  • スーパーユーザーグループの作成
• 最後に

前回までのおさらい

前回までは基本的なラベル作成と配布ポリシーの設定、自動ラベリングの設定について解説しました。

• 【Microsoft Purview】秘密度ラベルを使ってドキュメントを保護する～事前準備～ - JBS Tech Blog
• 【Microsoft Purview】秘密度ラベルを使ってドキュメントの保護をする～秘密度ラベルポリシーの作成と適用～ - JBS Tech Blog

• 【Microsoft Purview】秘密度ラベルを使ってドキュメントの保護をする～秘密度ラベルの自動付与～ - JBS Tech Blog

用語説明

• 秘密度ラベル
  • ユーザーの作成したドキュメントの機密度によって、ドキュメントを保護し暗号化を行うことで、情報漏洩対策を行う機能です。
• Microsoft Purview
  • Microsoftの提供するコンプライアンス対策製品です。

事前準備

ライセンス

Microsoft Purviewの秘密度ラベルを利用する場合、利用したい機能によって必要なライセンスが異なります。

今回は手動での秘密度ラベル機能を利用するため、「Azure Information Protection Premium P1」が必要となります。 

※ライセンス形態は変更される場合があるため最新の情報をご確認ください

learn.microsoft.com

メールが有効なグループまたはユーザーの確認

スーパーユーザーの権限は、グループまたはユーザーに対して付与が可能です。

メールが有効なグループやユーザーがあるかどうかは、Microsoft 365管理センターにて確認/作成が可能です。

[セキュリティグループ]のリストの中で[メール]にアドレスが入っているグループが対象となります。

スーパーユーザーの概要

スーパーユーザーは、AIP（Azure Information Protection）テナントで保護されているドキュメントや電子メールに対してフルコントロール権限を持つ、コンプライアンス管理に特化した管理ユーザーです。

以下のような場合に利用が想定されます。

• 退職者の設定した保護がされたファイルを閲覧する必要がある場合
• ファイルに構成されている現行の保護ポリシーを変更する必要がある場合
• 監査、法律の観点からファイルの暗号化を一括解除する必要がある場合

参考：

learn.microsoft.com

スーパーユーザー設定

スーパーユーザーの設定はPowerShellからのコマンド実行で行います。

AIPService PowerShell モジュールのインストール

初回実施時は、事前にAIPService PowerShell モジュールのインストールが必要となります。

PowerShellを管理者として起動し、以下コマンドを実行してAIPService PowerShell モジュールのインストールを行います。

Install-Module -Name AIPService

NuGetプロバイダや信頼されていないリポジトリからのインストールについて警告が表示された場合は、Y キーを押します。

信頼されたリポジトリとして PowerShell ギャラリーを構成した後、インストールコマンドを再び実行して AIPService モジュールをインストールします。

インストール完了後、以下コマンドを実行しモジュールを最新バージョンに更新します。

Update-Module -Name AIPService

スーパーユーザーの作成

PowerShellからAIPサービスへ接続し、スーパーユーザーを作成します。

PowerShellを管理者として起動し、以下コマンドを実行してAIPサービスへ接続します。

Connect-AipService

管理者アカウントのID、パスワードを入力しサインインします。 

サインインが完了すると、[A connection to the Azure Information Protection service was opened.]と表示され、AIPサービスへ正常に接続されます。

以下コマンドを実行し、対象のユーザーをスーパーユーザーに登録します。

Add-AipServiceSuperUser -EmailAddress "<対象ユーザーメールアドレス>"

[<対象ユーザーメールアドレス>was added to the list of super users for the Azure Information Protection service.]と表示され、スーパーユーザーとして登録が完了です。

以下コマンドを実行すると、スーパーユーザーとして登録されているユーザーが確認可能です。

Get-AipServiceSuperUser

スーパーユーザーグループの作成

クラウド上のユーザーグループを[スーパーユーザーグループ]として登録を行うことで、グループへのユーザー追加のみでスーパーユーザーを設定することが可能です。

グループからユーザーを削除すると、スーパーユーザーの権限ははく奪されます。

以下コマンドを実行し、対象のグループをスーパーユーザーグループに登録します。

Set-AipServiceSuperUserGroup

スーパーユーザーグループのメールアドレスが求められるため、グループのメールアドレスを入力します。

[<対象グループメールアドレス>was set as super usergroup for the Azure Information Protection service.]と表示され、スーパーユーザーグループとして登録が完了します。

スーパーユーザーグループにユーザーを追加することで、ユーザーへスーパーユーザーの権限を付与することが可能となります。

最後に

今回は、コンプライアンス管理に特化した管理ユーザー「スーパーユーザー」の設定方法を解説しました。

今回はPowerShellでのコマンド操作になりましたが、設定自体はそこまで難易度は高くなかったかと思います。

また、スーパーユーザーグループを作成すれば、管理ポータル上のユーザー移動のみでスーパーユーザー権限の付与や剥奪が可能なため、管理側としては楽かもしれません。

ただ、スーパーユーザーがあまりに増えすぎてしまうのもセキュリティ上よくないため、運用方法については別途検討の余地があるかと思います。

本シリーズでは秘密度ラベルの基本的なドキュメント保護方法について４つの記事で解説してきました。

他にも、ファイルサーバー内のファイルを自動でラベリングする「AIPScanner」や、SaaSアプリ上のドキュメント保護など多数の機能があるため、今後ご紹介できたらと思います。