OneDriveのセキュリティをRMSで強化する:Office 365運用管理入門(7)
「Office 365」ではドキュメントやメールの情報漏えい対策として「Rights Management Services(RMS)」が利用できる。今回は、OneDrive for Businessで確認してみよう。
OneDriveにRMSを実装するには
「Office 365」で利用できるクラウドストレージサービス「OneDrive for Business」は、1ユーザーごとに1TB(※2015年4月末現在)の容量が確保されている(マイクロソフトは、容量を無制限にすることを発表済み。次期は未定)。ドキュメントや画像などを保存しておけば、PCやスマートフォンなど、さまざまなデバイスから利用したり、他のユーザーと共有して作業を進めたりできるなど、非常に便利に使えるサービスだ。
- OneDrive for Businessとは(マイクロソフト Office Webサイト)
最近、利用者が増えつつあるOneDrive for Businessを管理したい、という要望を耳にすることも多くなった。今回は、OneDrive for Businessのセキュリティ対策の一つとして「Rights Management Services(RMS)」を利用する方法を紹介する。
Rights Management Servicesとは?
Rights Management Services(RMS)は、デジタル情報を不正利用から保護するマイクロソフトの情報保護テクノロジである。ドキュメントや電子メールに対し、データ暗号化やユーザー権限によるアクセス制御(有効期限/読み取り/編集/コピー&ペースト/転送/保存/印刷など)を付与することで、情報漏えいや不正利用を防止する。
PC以外にも多彩なデバイス(スマートフォン/タブレット/携帯電話)での電子メールやドキュメントの扱いにも対応しており、重要な情報を組織の内外で保護することができる。
すでに、オンプレミスのActive Directoryでは「Active Directory Rights Management Services」(以下、AD RMS)という情報保護機能が提供されていたので、RMSをご存じの方もいるだろう。Office 365で利用するMicrosoft Azure上のRMSとAD RMSの違いについては、以下のサイトを参照してほしい。
- Azure Rights ManagementとAD RMSを構成する(マイクロソフト TechNet)
OneDrive for BusinessへのRMSの実装
Office 365へのRMSの実装には、「Azure Rights Management Services」(Azure RMS)を利用する(図1)。標準でAzure RMSが利用可能なプランは、企業向けの「E3」以上の契約となる。
Azure RMSを実装する前に、最初にAzure AD上に登録されているユーザーに与えられた権限を確認し、暗号化の解除などを行っておこう。
(1)Azure RMSを有効化する
まずは、Office 365上でRMSの機能を有効化する。Office 365管理画面にサインインし、「Office 365管理センター」を表示する。左メニューの「サービス設定」→「アクセス権管理」をクリックして、「情報を保護」画面が表示されたら「管理を行う」をクリックする。すると、「rights management」画面が表示されるので、この画面で「アクティブ化」をクリックする(画面1)。
Office 365のテナントにRMSの有効化が反映されるまでには数時間かかることもあるので、その時間も考慮して作業スケジュールを設定してほしい。
なお、「追加の構成」にある「高度な機能」をクリックすると、Microsoft Azureの管理画面に移動して「RMSテンプレート」をカスタマイズすることができる(Microsoft Azure管理画面にサインイン可能なサブスクリプションが必要)。
column:RMSテンプレート
Rights Management Services(RMS)は、電子メールやOfficeファイルなどを暗号化して特定のユーザーにのみ閲覧/編集権限などを与える仕組みだ。既定ではドキュメントに対しての「社外秘」「社外秘(閲覧のみ)」、メールではこれらに加えて「転送不可」のテンプレートが利用できる。
さらにMicrosoft Azureで機能をアップデートすることにより、例えば特定のグループ(営業部、人事部など)だけにドキュメントへのアクセスを許可したり、「有効期限」「オフラインでアクセスできる日数」「コピーや印刷のみを禁止」などの細かい権限を設定したりできるテンプレートをMicrosoft Azure管理画面で作成することができる。
(2)RMSテンプレートを作成する
次に、「RMSテンプレート」の作成手順を確認する。「追加の構成」で「高度な機能」をクリックし、Microsoft Azure管理画面に移動して左メニューから「Active Directory」を選択する。
「Active Directory」ページに移動するので、この画面で「Rights Management」をクリックし、対象のディレクトリを選択すると「Rights Managementの使用を開始」ページが表示される。ここで「管理」から「新しい権利テンプレートを作成する」をクリックして、新規テンプレートを作成する。テンプレートには「言語」「テンプレート名」「説明」を入力する(画面2)。新規テンプレートを作成したら、次は「テンプレートの構成」を行う。
「テンプレートの構成」では、テンプレートを利用する範囲(スコープ)を設定する。既定ではテナント全体がこのテンプレートを利用できるが、スコープを設定することで、テンプレートを利用するグループやユーザーを限定することができる(画面3)。
次に、スコープを設定したいユーザーまたはグループに権限を割り振る。割り振ることが可能な権限は、以下の5項目だ。
割り振れる権限 | 内容 |
---|---|
ビューアー | 表示/返信/全員に返信 |
レビューアー | 表示/編集/返信/全員に返信/転送 |
共同作成者 | 表示/編集/印刷/コピー/返信/全員に返信/転送 |
共同所有者 | 全ての権利 |
カスタム | 個別で権限を割り当てる |
最後に、状態を「アーカイブ」から「発行」に変更し、保存したら設定は完了だ。メニューの「テンプレート」からは、作成したテンプレートの一覧を確認できる(画面4)。
今回は、次の二つのテンプレートを作成した。
テンプレート名 | New_rmstemplate |
---|---|
スコープ | testuser01@ipii.co.jp |
テンプレート名 | IRMReviewersample |
---|---|
スコープ | 指定なし |
カスタムテンプレートの作成手順とスコープの設定方法は、以下のサイトを参照してほしい。
- Azure Rights Managementのカスタムテンプレートを構成する(マイクロソフト TechNet)
(3)SharePoint管理センターでRMSを有効化する
「SharePoint管理センター」では、最初に「Information Rights Management(IRM)」設定の更新を行う。手順(1)でもOffice 365に対してRMSを有効化しているが、RMSを実装するサービスごとに有効化の作業を行う必要がある。
まずは、「SharePoint管理センター」の左側メニューで「設定」をクリックする。表示される画面を下方にスクロールしていくと「Information Rights Management(IRM)」の項目が表示されるので、「構成で指定したIRMサービスを使う」をチェックして「IRM設定の更新」をクリックする(画面5)。
次に、管理対象のユーザーのOneDrive for Business(個人サイト)に管理者を追加する。「SharePoint管理センター」→「ユーザープロファイル」→「ひと」カテゴリの「ユーザープロファイルの管理」で管理対象となるユーザーを検索し、表示されたアカウント名の「▼」をクリックするとリストが表示される。ここで、「サイトコレクションの所有者の管理」をクリックして、サイトコレクション管理者を追加する(画面6)。
管理者を追加したら、同様のリストから「個人用サイトの管理」をクリックして、対象ユーザーの個人サイト(OneDrive for Business)にアクセスする。「サイトの設定」画面が表示されるので左側メニューの「ドキュメント」をクリックと、対象ユーザー(この場合は田中太郎)のOneDrive for Business画面が表示される(画面7)。
OneDrive for Business画面では、上部のタブから「ライブラリ」→「ライブラリの設定」→「権限と管理」カテゴリを選択して、「Information Right Management」をクリックし、制限したい設定を行って「OK」をクリックする。今回は「ダウンロード時にこのライブラリの権限を制限する」を設定して、ポリシーのタイトルを「OneDrive for Business IRM」としている(画面8)。
RMS関連の設定は以上で完了だが、今回は「Office Online」上ではなく、PC上に同期した状態を確認したい。再度、左側のメニューで「ドキュメント」をクリックして「ドキュメント」画面に戻り、「同期」ボタンをクリックしよう。
「今すぐ同期」をクリックするとメッセージが表示され、オフラインでも「Windowsエクスプローラー」上でOneDrive for Businessのファイルを利用できるようになる。インターネットに接続されていれば、PC上で変更した内容がすぐにOneDrive for Businessに反映されるので便利だ。
(4)OneDrive for Business IRMの確認とRMSテンプレートの実装
最後に、同期したExcelファイルをPC上のWindowsエクスプローラーで開いてみよう。RMS(IRM)が実装されていることが確認できる(画面9)。
Windowsエクスプローラーから同期フォルダー上に新規作成したドキュメントにも、同様にRMSの設定が反映される。これは、SharePoint Onlineの「ドキュメントライブラリ」を同期した場合も同様だ。
なお、Microsoft Azure管理画面で作成したRMSテンプレートは、他のドキュメントでも利用することが可能だ。上段メニューの「ファイル」をクリックして「情報」画面を表示し、「プレゼンテーションの保護」→「アクセスの制御」をクリックすると利用可能なテンプレートが表示される。手順(2)で作成した2種類のテンプレートのうち、スコープ設定をした「New_RMSTemplate」は対象ユーザーではないため表示されない(こちらはPowerPoint画面で作成したため)(画面10)。
RMSテンプレートで作成したポリシーは、OneDrive for BusinessやSharePoint Onlineの同期フォルダー以外に存在するドキュメントにも適用可能だ。PDFファイルは別途ビューアーが必要になるなど、まだ制限はあるものの、Azure RMSは頻繁にアップデートされるので、柔軟な適用や運用が可能になってきている。もちろん抜け道はあるだろうが、エンドユーザーに情報漏えい対策を行っていることを示すことは、セキュリティ対策を進める上での大きな一歩となるだろう。
- Azure Active Directory(Azure AD)
- Office 365のセキュリティとコンプライアンスをさらに強化する
- Office 2016を社内で展開する二つの方法
- 最新のディレクトリ同期ツール「Azure Active Directory Connect」でシングルサインオン環境を構築する
- Active Directoryのオブジェクトを「ディレクトリ同期ツール」でクラウドに同期する
- 「コンプライアンスセンター」でOffice 365のコンプライアンス管理を強化する
- OneDriveのセキュリティをRMSで強化する
- Office 365のモバイルデバイス管理機能
- Office 365のセキュリティを強化する「多要素認証」
- Office 365の監視とトラブル解決に使えるツール
- Exchange Onlineでメールのセキュリティ対策を設定する
- Officeアプリケーションを展開する
- Office 365のユーザーアカウントを作成する
筆者紹介
宮川 麻里(みやかわ まり)
株式会社IPイノベーションズ所属のマイクロソフト認定トレーナー。主に、Windows Server Active Directory、SQL Server、Office 365などを担当し、マイクロソフト認定コースや要望に沿ったカスタマイズコースを実施している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- Active Directoryとクラウドの連携
今回は、オンプレミスとクラウドを並行して利用する際のActive Directoryの効果的な活用方法と、将来におけるクラウド連携を考慮した管理方法を紹介する。 - クラウド・サービス「Office 365」は運用コスト削減につながるか?
クラウド・ベースでOffice機能や電子メール機能などが提供されるマイクロソフトの「Office 365」を紹介。Office 365で運用コスト削減は実現可能か? - “新しいOffice”はいろいろと新しい
これまで常識と思っていたことが、新しいバージョンでは通用しなくなるというのは戸惑うものです。最近、マイクロソフトの“新しいOffice”の更新に振り回された人は多いのではないでしょうか。 - Office 365とのアイデンティティ基盤連携を実現する
クラウド・サービスであるOffice 365でも、社内のActive Directoryアカウントを利用してシングル・サインオンできると便利だ。でも、その方法は? 社内ADをID管理基盤として利用する場合の環境構築手順を詳しく解説する。