久しぶりの記事。Azure Information Protectionについての情報があまり見当たらず自分自身なりに検証やスクショをとってみた。DLPという単語が使われることもあるが、ファイルが盗難や誤って添付してメール送信されても「しかるべき権限を持った人」でないとファイルにアクセスできないようにしたりファイル操作のログを取得したりするツールだと思ってよい。例えば社内にファイル閲覧を制限しておきAzure Active Directoryの認証なくしてファイルの中身が見れないようにすることができる。ラベル付けでファイルに対して暗号化がかかり暗号化を(自動)解除できる権限がなければ何もできなくなる。
#必要ライセンスとソフト
Azure Information Protection P1以上(Enterprise Mobility & Security E3などAzure Information Protectionが含まれているライセンスでも使用可)。Azure Information ProtectionクライアントをPCにインストールする必要がありグループポリシーなどでプッシュするのがよい。
#できること
ラベル付けを行い、フォルダー/ファイルに対して大きく次の許可を与えることができる。
・読み取り
・編集
・保存
・印刷
・抽出
・返信
・転送
・すべて
操作ログはAzureのログに貯めていくことができ検索ができる。ログがたまればたまるほど課金対象になる。
#ラベル付け
あらかじめシステム管理者がラベルを定義しておき、ラベルを使用してもよいユーザー/グループを設定しておく。または、ラベルが何らかの条件を基に自動適用されるようにする。手動で適用する場合は都度、フォルダーやファイルに対してラベル付けをすることができる。
#ラベルの作成と利用者付与
日本の銀行情報、運転免許番号、パスポート番号、マイナンバー番号、年金番号、在留カード番号などはメールやファイルの中身を自動で検知できた場合にラベルを自動適用することもできる模様だ。
#ラベル付け=暗号化された場合の挙動
・テキストファイルなどはAzure Information Protection Viewerを介して閲覧する
例
https://docs.microsoft.com/ja-jp/azure/information-protection/rms-client/protected-pdf-readers
・WordやExcelなどは最新のOfficeはネイティブ対応しておりラベル付け(暗号化)を意識することなく使える