注:
ラベルの移行はプレビュー段階でロールアウトされており、変更される可能性があります。
以前は、親ラベルを使用して 2 層階層の 秘密度ラベル を整理していました。 複雑さを軽減するために、置き換え、ラベル グループは、名前、説明、色、および優先順位以外の設定をサポートしていません。
親ラベルとラベル グループの詳細については、「親ラベルまたはラベル グループ を使用するサブラベル」を参照してください。
親秘密度ラベルを秘密度ラベル グループに移行するには、次の手順で情報バナーが表示されている場合は 、Microsoft Purview ポータル を使用します。
注意
ラベルの移行は元に戻すことはできません。 運用テナントと同じ秘密度ラベル構成を持つテスト テナントを使用して、最初に移行をテストすることを強くお勧めします。
開始する前に
まず、秘密度ラベルを作成および管理するためのアクセス許可があることを確認します。 詳細については、「秘密度レベルの作成と管理に必要なアクセス許可」を参照してください。
次に、親ラベルの影響を理解します。該当する場合は、ラベル グループに加えて、同じ名前のサブラベルに移行されます。 このシナリオが該当する場合は、移行後にこれらの新しいサブラベルを発行したままにするか、発行を解除するかを決定する必要があります。
- これらの新しいサブラベルを発行解除する場合は、これを手動で行うか、 PowerShell スクリプトを使用して自動的に発行を解除できます。
- これらの新しいサブラベルを発行したままにする場合は、移行後に編集する必要があるかどうか、およびユーザーがサブラベルを選択する前に決定します。
この新しいサブラベルの作成により、親ラベルにスタンドアロン ラベルとしてアクセスした可能性があるすべてのユーザーとサービスが、移行後も引き続きアクセスできるようになります。 次のいずれかの条件が適用される場合、親ラベルが適用されると見なされます。
- 暗号化やコンテンツマーキングなどのラベル アクション用に構成されています。
- サブラベルとは異なるラベル スコープがあります。 親ラベルとそのすべてのサブラベルは、親ラベルが適用対象と見なされないように同じラベル スコープを持っている必要があります。
- サブラベルとは異なる発行ポリシーに含まれています。
作成された結果のサブラベルの名前と設定は、元の親ラベルと同じです。 再構成がないと、この新しいサブラベルは、以前は親ラベルとして選択できなかったポリシーで選択できます。
移行プロセスの一環として提案された新しいラベル スキームを確認すると、ラベルが移行される前に、該当する親ラベルがあるかどうかを確認できます。 次の例では、親ラベル Confidential が適用可能な親ラベルとして識別され、結果として同じ名前の新しいサブラベルが作成されます。
該当する親ラベルからサブラベルを発行解除するための PowerShell スクリプト
これらの PowerShell コマンドでは 、セキュリティ & コンプライアンス PowerShell が使用されます。
スクリプト 1: 移行の前に、次のコマンドを実行して、親ラベルを発行するすべてのポリシーをフェッチします。
$parents = (Get-Label | ? { $_.ParentId -ne $null } | %{ echo $_.ParentId } | Sort-Object -Unique)
$parentLabels = ($parents | % { Get-Label -Identity $_.Guid })
$policyPublishingParent = @{}
$policies = Get-LabelPolicy; $parentLabels | % { $parent = $_.Name; $policies | ? { $_.Labels -contains $parent } |
% { echo "$($_.Name) policy has published $parent"; $(If ($policyPublishingParent.Keys -notcontains $_.Name) {
$policyPublishingParent[$_.Name] = @() }); $policyPublishingParent[$_.Name] += $parent } }
PowerShell セッションは閉じず、ラベルの移行中は開いたままにしておきます。
スクリプト 2: 移行が完了したらすぐに、次のスクリプトを実行して、新しく作成されたサブラベルを該当する親ラベルから発行解除します。
$policyPublishingParent.Keys | % { $policyToRemove = $_; $policyPublishingParent.Item($policyToRemove) | % {
Set-LabelPolicy -Identity $policyToRemove -RemoveLabels $_ }
最新のラベル スキームに移行する
移行は段階的にロールアウトされるため、親ラベルをラベル グループに移行しても、テナントではまだ使用できない場合があります。
Microsoft Purview ポータルにサインインします>ソリューション>Information Protection>Sensitivity ラベル
[ 秘密度ラベル ] ページで、情報バナー [ モダン ラベル スキームに移行する] が表示された場合は、テナントでラベルの移行を使用できます。 このバナーから、[ 作業の開始 ] を選択して移行を開始します。
![最新のラベル スキームに移行する [秘密度ラベル] ページの情報バナー。](media/sensitivity-labels-migration-bar.png)
[ モダン ラベル スキームへの移行 ] ポップアップ ウィンドウに、移行の前後に秘密度ラベルの概要が表示されます。 詳細については、ウィンドウの下部にある [ 新しいスキームの確認 ] ボタンを選択します。 例:
![[秘密度ラベル] ページの [ラベル移行ポップアップ] ウィンドウを使用して、最新のラベル スキームに移行します。](media/label-migration-pane.png)
[ 新しいラベル スキーム ] ページには、移行されたラベルが Microsoft Purview ポータルでどのように表示されるかが表示され、親ラベルの横にフォルダー アイコンが表示されます。 このページでは、移行前に解決する必要がある名前付けの競合についても警告します。 たとえば、 General 親ラベルには、 "全般" という名前のサブラベルがあります。 すべてのサブラベルには、親ラベルの一意の名前が必要です。
[ ダウンロード ] ボタンを使用して、コピーを CSV ファイルに保存できます。 既定の名前は NewLabelSchemecsv.csv です。
重要
解決するアラートがない場合でも、この機会を使用してラベルを慎重に確認し、移行前にラベルを変更することを検討して、 不要な場合に新しいサブラベルを作成する該当する親ラベル を削除または最小限に抑えることができます。 変更を行った後、移行を再開し、このページから移行後の情報をもう一度チェックします。
たとえば、スタンドアロン ラベルとして使用したことがないが、暗号化またはコンテンツ マーキング用に構成されている親ラベルがあるとします。 ラベル アクションは、移行によって不要な新しいサブラベルが作成される理由の 1 つです。
ラベルを移行する準備ができたら、[ 移行 ] ボタンを選択します。
注:
新しいサブラベルを作成する適用可能な親ラベルがあり、スクリプトを使用して自動的に発行を解除することにした場合は、[移行] を選択する前にスクリプト 1 を実行します。
移行プロセスには時間はかかりません。通常は数分から 1 時間です。 ただし、予防措置として、最大 24 時間を許可します。 移行が進行中の間は、ラベルの構成に変更を加えるのはお勧めしません。これらの変更は失われる可能性があるためです。
移行が完了すると、ブラウザーが更新され、新しいラベル スキームに移行が完了したことを確認するメッセージが表示されます。
注:
新しいサブラベルを作成する適用可能な親ラベルがあり、スクリプトを使用して自動的に発行を解除することにした場合は、スクリプト 2 を実行します。
次の手順
移行されたラベルを管理する手順については、「 秘密度ラベルの作成と構成」を参照してください。 新しいラベル グループと移行されたラベルを確認し、必要な変更を加えます。 たとえば、親ラベルから作成された新しいラベルを再構成または発行解除します。
ラベル グループに移行された親ラベルの場合、および既存のサブラベルの場合、ユーザーはアプリの変更を表示または表示しません。 たとえば、 優先順位の順序 は同じように動作し、 既定のサブラベル は引き続き受け入れられます。