この設定により、Microsoft Purview Information Protection クライアントを使用して Office および PDF 用以外のファイルの種類にラベルを付け、暗号化するユーザーの生産性が向上します。 Office や PDF 以外のファイルの種類の一般的な例としては、サード パーティ製アプリケーションの .txt、.jpg、.csv、ファイルなどがあります。
ユーザーが情報保護クライアントを使用し、高度なラベルベースの保護のためにこの設定なしでこれらのファイルにラベルを付けて暗号化する場合:
暗号化されたファイルは、ファイル名拡張子を変更し、読み取り専用になり、元のファイル名拡張子をサポートするアプリによって開けなくなります。 代わりに、Microsoft Purview Information Protection ビューアーでファイルが開きます。 ファイルを変更するには、暗号化を使用してラベルを手動で削除する必要があります。
暗号化には、特定のユーザーのコピーと保存を許可しないなどの制限付きアクセス許可を含めることができますが、すべてのファイルでこれらの制限をサポートできるわけではありません。 その結果、これらのファイルが情報保護ビューアーで開かれると、構成されたアクセス許可がユーザーに通知されますが、アクセス許可を適用することはできません。 この種類の暗号化は、ネイティブではなくジェネリックと呼ばれます。
暗号化されたファイルのファイル名拡張子の変更について詳しくは、情報保護クライアントのドキュメントの 「サポートされているファイルの種類 」をご覧ください。 また、 コンピューター操作に不可欠なファイルに対する標準のクライアント例外にも注意してください。
エンドポイント データ損失防止設定の [デバイス上のすべてのファイルに対する高度なラベルベースの保護 ] 設定にユーザーを構成し、情報保護クライアントを使用すると、Office でサポートされていないファイルの種類または PDF ファイルに対して次の変更が行われます。
- ユーザーが暗号化を適用する秘密度ラベルを選択しても、ファイル名拡張子は変更されません。 その結果、標準アプリケーションでファイルを引き続き表示および編集できるため、ユーザー ワークフローに変更はありません。 エンドポイント DLP は、情報保護ビューアーを必要とせずに構成されたアクセス許可を適用して、ファイルを追跡および監視します。
注:
ファイル名の拡張子は変更されていないため、ユーザーは Microsoft Purview Information Protection File Labeler を使用してラベルが適用されていることを確認できます。
- ユーザーがコンピューターからファイルをコピーまたは移動した場合にのみ、ファイル名が変更されます。
- ファイルがネットワーク ドライブまたは USB デバイスにコピーまたは移動された場合、ファイルには、情報保護ビューアーがファイルを開く必要がある変更されたファイル名拡張子があります。
- ファイルが他の場所 (Bluetooth デバイス、リモート デスクトップ経由、またはクラウドにアップロードされている) にコピーまたは移動された場合、ファイルのローカル コピーが作成され、ファイル名拡張子が変更され、情報保護ビューアーがファイルを開く必要があります。 エンドポイント DLP は、このバージョンのファイルを手動でコピーまたは新しい場所に移動する必要があることをユーザーに通知します。
- ファイルを暗号化する操作が失敗した場合、暗号化されていないファイルがデバイス上に残り、流出しないように、コピーまたは移動アクティビティはブロックされます。
Office と PDF 以外のファイルにラベルを付け、エンドポイント DLP の高度なラベルベースの保護を持つクライアントではなく、情報保護クライアントのみを使用する場合の違いの概要を次に示します。
| ラベル付けの動作 | クライアントのみ | エンドポイント DLP 設定が有効になっているクライアント |
|---|---|---|
| 暗号化でラベル付けされたファイルは、元のファイル名拡張子を保持します | 不要 ファイル名拡張子は常に変更されます |
はい エグレスが発生すると、ファイル拡張子が変更されます。 |
| 暗号化でラベル付けされたファイルは、元のアプリケーションまたは元のファイルの種類をサポートする他のアプリケーションで開いて編集できます | 不要 常に情報保護ビューアーが必要 |
はい エグレスが発生すると、ファイル拡張子が変更されます。 |
| ラベル付けされたファイルと暗号化されたファイルに対して構成されたアクセス許可が適用されます | ネイティブ暗号化: はい 汎用暗号化: いいえ |
はい エグレスまで、次のアクセス許可が適用されます。表示、抽出、印刷 |
Windows デバイスを準備する
オンボードする必要がある Windows デバイスが次の要件を満たしていることを確認します。
マルウェア対策クライアント バージョン 4.18.25050 以降が必要です。
ウィンドウ ビルド:
Windows 10: 更新プログラムの詳細を表示する
Windows 11 22H2: 更新プログラムの詳細を確認する
Windows 11 23H2: 更新プログラムの詳細を確認する
Windows 11 24H2: 更新プログラムの詳細を参照してください
情報保護クライアントのバージョン: 3.1.309 以降が必要です。
ユーザー エクスペリエンス
| ラベル付けシナリオ | アクティビティ | ユーザー エクスペリエンス | アクティビティ エクスプローラー |
|---|---|---|---|
| ラベル付けされているファイル | 情報保護ファイル ラベラー | ユーザーが右クリックしてビューアー Information Protection開き、特定のファイルにラベルを付けます。 ユーザーはビューアーを介してラベルを割り当てることができます。Endpoint DLP はファイルにラベルを割り当てますが、ファイルは元の拡張子のままにします。 | ラベルの適用、DLP ルールの一致なし、アラートなし |
| デバイスから移動されるラベル付きファイル | リムーバブル メディアにコピーされたファイル、ネットワーク共有にコピーされたファイル | ユーザーはラベル付きファイルをリムーバブル メディアまたはネットワーク共有に移動します。ファイルは、Windows トーストを使用してネットワーク共有またはリムーバブル メディアに移動すると、.ptxt ファイル拡張子など、暗号化されます。 このバージョンのファイルは、情報保護ビューアーで開く必要があり、DLP によって監視することはできません。 | USB リムーバブル デバイスにコピーされたファイル、またはネットワーク共有にコピーされたファイル、DLP ルールが一致しない、アラートなし |
| デバイスから移動されるラベル付きファイル | Bluetooth経由で転送されたファイル、リモート デスクトップ経由で転送されたファイル、またはクラウドにアップロードされたファイル | ユーザーは、表示されたチャネルを介してマシンからラベル付きファイルをアップロードし、アクティビティがブロックされ、ファイルのコピーが作成され、コピーされたファイルが暗号化されます(例: .ptxt ファイル拡張子)。トーストが表示され、ラベル付けされた新しいコピーで操作を再試行するように求めるトーストが表示されます。 このバージョンのファイルは、情報保護ビューアーで開く必要があり、DLP によって監視することはできません。 コンピューター上の元のファイルは .txt ファイル拡張子を保持し、任意のテキスト エディターで開いて編集できます。 DLP は引き続きこのファイルを監視します。 | 未適用のBluetooth アプリを使用してコピーまたは移動されたファイル、RDP またはクラウド アプリにコピーされたファイルを使用してコピーまたは移動されたファイル |
| この機能を使用しているデバイス上で移動される暗号化されたファイル (例: .ptxt) | 情報保護ビューアー | ユーザーは、暗号化されたラベル付きファイルを、この機能がオンボードされているマシンに移動します。ファイルは暗号化された拡張機能に保持され、ユーザーはダブルクリックしてInformation Protectionビューアーを開くことができます。 Information Protectionビューアーに通知が表示され、ユーザーは [続行] ボタンをクリックして、ラベルが割り当てられた元のファイル拡張子にファイルを復号化できます。 | |
| オンボードされたこの機能を使用しているデバイス上で移動されている暗号化されたファイル (例: .ptxt) | 情報保護ファイル ラベラー | ユーザーは、暗号化されたラベル付きファイルを、この機能がオンボードされているマシンに移動します。ファイルは暗号化された拡張機能に保持され、ユーザーは右クリックしてInformation Protectionビューアーを開くことができます。 ユーザーはビューアーを介してラベルを変更することができ、ファイルは暗号化された形式で保持されます。 | ラベルの変更、ラベルの削除、保護の適用、保護の削除。 |
| ネイティブ アプリケーションを介して開かれているラベル付きファイル | 該当なし | ユーザーがネイティブ アプリケーションを介してラベル付きファイルを開き、ラベルに関連付けられているアクセス許可に違反する印刷またはCopy アクティビティを実行すると、アクティビティはトーストでブロックされます。 | クリップボードにコピーされたファイルまたは印刷されたファイル、DLP ルールの一致なし、アラートなし |
考慮事項
暗号化を適用する秘密度ラベルに対してのみサポートされます。 暗号化のない秘密度ラベルの場合、動作とサポートされるファイルの種類は 、情報保護クライアントの場合と同じです。
ネットワークの場所または USB ドライブ上のファイルにラベルを付ける場合はサポートされていません。
適用された秘密度ラベルは、送信前 の DLP ポリシーの条件 として検出されません。
ラベル付けに複数のファイルが選択されていて、Office ファイルまたは PDF ファイルが含まれている場合、Office ファイルと PDF ファイルはラベル付けまたは暗号化されません。 Information Protection File Labeler アプリケーションにエラー メッセージが表示されます。
エンドポイント DLP では、エグレスの前にすべての 権限管理の使用権限 が適用されるわけではありません。VIEW、EXTRACT、および PRINT がサポートされています。
[名前を付けて保存] オプションは、現在のラベルと暗号化設定を自動的に継承しません。 ユーザーは新しいファイルにラベルを付ける必要があります。
Microsoft Purview Information Protection PowerShell モジュールは DLP 設定を認識しません。 PowerShell を使用してファイルにラベルを付けると、ファイル拡張子が暗号化されて変更されます。 DLP 設定を有効にした場合にのみ、Microsoft Purview Information Protection ファイル ラベラーを使用します。