機密ラベルポリシーの除外を作成する方法

機密ラベルポリシーの除外を作成する方法

PowerShell は、ポリシーの除外を作成する唯一の方法です。

ほとんどの場合、組織はすべてのユーザーに機密ラベルを公開したいと考えています。これは、誰もがコンテンツを保護するために同じ機密ラベルのセットにアクセスできることを意味するため、理にかなっています。Microsoft Purviewコンプライアンスポータルは、特別な機能をサポートすることで、タスクを容易にします すべての 機密ラベル ポリシーのターゲットとしての宛先。つまり、ポリシーにすべてのメールボックスが含まれることを意味します。または、選択したグループまたは個々のユーザーにラベルを公開することもできます (図 1)。

機密ラベル・ポリシーのターゲット・ロケーションの構成
図 1: 機密ラベル・ポリシーのターゲット・ロケーションの構成

ポリシー除外のGUIなし

機密ラベル ポリシー発行の GUI では、ポリシーで特別なラベルが使用されている場合、特定のユーザー (メールボックス) の除外がサポートされていないことに気付くかもしれません。 すべての 行き先。つまり、一部のメールボックスで OWA や OneDrive for Business などのアプリケーションのラベルが表示されないようにします。たとえば、特定の部門に属するメールボックスを除くすべてのメールボックスに組織全体の機密ラベルを発行する場合、その部門の担当者がドキュメントまたはメッセージに機密ラベルを適用するビジネス上の理由が存在しない可能性があります。

この時点で、パブリケーションによってアイテムに機密ラベルを適用できることは注目に値します。ユーザーは、ポリシーによって発行された機密ラベルによって保護されたコンテンツにアクセスするために、ラベル発行ポリシーのターゲットの場所である必要はありません。すべての Microsoft 365 アカウントは、コンテンツを保護するラベルによってコンテンツを読み取る権利が付与されている場合、コンテンツを読み取ることができます。

Purview に、管理者が機密ラベル ポリシーに除外を適用できるようにする GUI が含まれていないのは不思議です。保持ラベル発行ポリシーの同等の GUI には除外が含まれており、保持ラベルと機密ラベルは異なる目的を果たしますが、展開の管理はほぼ同じです。

PowerShell to the Rescue

また、興味深いのは、PowerShell ラベル設定ポリシー コマンドレットは、機密ラベル ポリシーの除外を設定できます。たとえば、コンプライアンスエンドポイントに接続した後、次のコマンドは、指定されたポリシーで発行されたラベルを受信することから Terry Hegarty と Kim Akers のメールボックスを除外します。

Set-LabelPolicy -Identity "General Sensitivity Policy" -AddExchangeLocationException "Terry.Hegarty@Office365itpros.com", "Kim.Akers@office365itpros.com"

Get-LabelPolicy -Identity "General Sensitivity Policy" | Select ExchangeLocationException

ExchangeLocationException
-------------------------
{Kim Akers, Terry Hegarty}

この方法でラベル発行ポリシーにメールボックスを追加しても、除外されたメールボックスのセットは上書きされません。ラベル発行ポリシーからのメールボックスの除外は、すぐには有効になりません。Outlook クライアントは、情報保護サービスから情報のキャッシュを更新する必要があります。その場合、ユーザーは新しいメールにラベルを適用できなくなります。

除外されたメールボックスを削除するには、次のコマンドを実行します。 ラベル設定ポリシー メールボックス名を RemoveExchangeLocationException パラメーター。

Set-LabelPolicy -Identity "General Sensitivity Policy" -RemoveExchangeLocationException Kim.Akers

複数の除外の処理

実行 ラベル設定ポリシー 除外されたメールボックスを複数追加するコマンドレットは、面倒になることがあります。このような状況では、 Get-ExoMailbox または別の方法 (配布リストのメンバーの読み取りなど) とパイプでメールボックスのセットを ラベル設定ポリシー.

たとえば、部門のすべてのメンバーを除外し、それらがすべて配布リストの一部であるとします。配布リストのメンバーを見つけることは、よく踏まれたパスであり、 Get-DistributionGroupMember コマンドレットは、この場合に使用する必要があるものです。配布リストのすべてのメンバーを追加するのは簡単です。まず、メンバーのプライマリ SMTP アドレスを抽出し、配列に格納します。次に、配列を ラベル設定ポリシー.たとえば、このコードは、配布リストのメンバーシップからユーザーのメールボックスを抽出し、配列を使用して除外を作成します。

[array]$Members = Get-DistributionGroupMember -Identity "Planning Department" | ? {$_.RecipientTypeDetails -eq "UserMailbox"} | Select -ExpandProperty PrimarySmtpAddress
Set-LabelPolicy -Identity "General Sensitivity Policy" -AddExchangeLocationException $Members

Microsoft 365 グループは、メンバーシップ内のユーザーメールボックスのみをサポートするため、これらのグループからメンバーをフィルター処理する必要はありません。

除外されたメールボックスの長いリストを読みやすくするには、いくつかの書式設定が必要です。ここに私が通常やっていることがあります:

[array]$Exclusions = Get-LabelPolicy -Identity "General Sensitivity Policy" | Select -ExpandProperty ExchangeLocationException
$Exclusions.Name
Andy.Ruth@office365itpros.com
Kim.Akers@office365itpros.com
Brian.Weakliam@office365itpros.com
James.A.Abrahams@office365itpros.com
Marc.Vigneau@office365itpros.com
Terry.Hegarty@office365itpros.com
Jane.Sixsmith@office365itpros.com
Lotte.Vettler@office365itpros.com

Microsoft は、コンプライアンス ポータルの GUI を更新して、機密ラベル ポリシーの除外の追加をサポートする可能性があります。暫定的には、PowerShellでそれを行うことができます。

Exchange Online と Office 365 の残りの部分を保護する方法については、 Office 365 for IT プロフェッショナル 電子ブック。私たちの経験を何が重要で、テナントを保護する最善の方法を理解する。

未分類

Posted by admin