マイクロソフト情報保護、ライセンス、証明書に関する洞察

マイクロソフト情報保護、ライセンス、証明書に関する洞察

MIPプロから学ぶ

マイクロソフト情報保護 (MIP) に関心がある場合は、MIP チームが製品の動作に関する情報を共有する Yammer グループへの参加を検討する必要があります。私が出くわした場所です (何らかの理由で) 誰かが RMS 保護テンプレートを削除する状況をカバーするスレッド.RMS (Rights Management Services) テンプレートは、Office ドキュメントや PDF を保護するためにユーザーが使用する機密ラベルなどのコンポーネントを支えているため、これは良いことではありません。それは合理的な懸念です。

発行ライセンスのバックストップ

スレッドで説明されているように、発行ライセンスは、削除されたテンプレートの問題からユーザーを救出するのに役立ちます。発行ライセンス (PL) は、ドキュメント所有者がアイテムに秘密ラベルを適用したときに、テンプレートから継承された詳細を保持します。PL は、テンプレートで指定されたアクセス制御リスト (電子メール アドレスのリスト (テナント内の他のユーザーや認証されたユーザーのような特殊なアドレスを含む) と各ユーザーに割り当てられた権限を保持します。例えば:

利用者 権利
Office365itpros.com のみんな 表示、印刷
Tony.Redmond@Office365itpros.com すべての
認証されたユーザー 眺める
Senior.Executives@Office365itpros.com 表示、印刷、編集

PL は暗号化され、権限管理サービスだけがその内容にアクセスできるように、クライアントによって署名されます。

機密ラベルで保護されたアイテムを開こうとすると、権利管理サービスから使用ライセンス (UL) を取得します。Outlook などのオフライン アクセスをサポートするクライアントは、使用ライセンスをプリロードできます。ULは、 XrML 証明書 アイテムにアクセスするユーザーの権利を示します。UL はアイテムのコンテンツにアクセスするために必要な暗号化キーも保持し、有効期限 (通常は認可の時点から 30 日) を保持します。UL の有効期限が切れると、ユーザー認証によって更新されます。この時点で、秘密度ラベルの事前割り当て済み権限に対する変更がアクティブになります。アドホックまたはユーザー定義のアクセス許可は、アイテムで更新されない限りそのまま維持されます。

UL と RM アカウント証明書 (RAC) の組み合わせにより、保護されたファイルにアクセスできます。RAC は、誰かが最初にワークステーション上で権利管理を使用し、31 日ごとに自動的に更新されたときに取得されます。

機密機密ラベルで使用される Confidential テンプレートを削除すると仮定します (最近では、機密ラベルが作成されたときにほとんどのテンプレートが作成され、同じ名前を持つ場合)。機密ラベルが割り当てられた多くのドキュメントは、 ビジネス向けの SharePoint オンラインおよび OneDrive に格納される.これらのドキュメントのいずれかにアクセスする権限を持つユーザーがファイルを開こうとすると、この時点で、アプリ (SharePoint Online) は、権利管理サービスから UL を要求し、ファイルから PL を含めます。RMS サービスはテンプレートを見つけることができないため、PL にフォールバックし、そこに記載されているアクセス権に基づいて使用ライセンスを発行します。通常、これは、アクセス権を持つことを期待するユーザーがファイルにアクセスし続けることができ、すべてがうまくいくことを意味します。ただし、管理者がアクセス リストに時間の経過に伴う変更を行った場合、ドキュメントからの PL が削除前にテンプレート内の最新のアクセス リストと一致しない可能性があります。この場合、アクセス リストに含まれていないユーザーはファイルを開くことができません。

テンプレートを削除しない

スレッドは、テンプレートを削除しないことを強く推奨して終了します。PLバックストップは存在し、(理性の範囲内で)動作しますが、それはあなたが頼りになりたいものではありません。秘密度ラベルとそのテンプレートの使用を停止する場合は、ユーザーが新しいコンテンツにラベルを適用できないように、すべての公開ポリシーからラベルを削除します。MIP がライセンスを使用する方法の詳細については、 この投稿 (古いが、まだ有益)。


未分類

Posted by admin