こんにちは。Azure Security サポートチームです。
今回は AIP クライアント (分類して保護する) を利用してドキュメントに対してカスタム アクセス許可を設定した場合に、アクセスの有効期限が適用されないシナリオが確認できたため共有させていただきます。
【具体的なシナリオ】
任意のファイルまたはフォルダ上で右クリック オプションの [分類して保護する] をクリックして起動する AIP クライアント コンソールの操作メニューにある [カスタム アクセス許可で保護する] を使用することで、組織の管理者が事前に定義した保護設定を使用するのではなく、ユーザー独自の保護設定を指定することができます。
カスタム アクセス許可は、アクセス許可レベルとして以下の 5 種類を選択できます。
閲覧者 - 表示のみ
レビュー担当者 – 表示、編集
共同作成者 - 表示、編集、コピー、印刷
共同所有者 – すべてのアクセス許可
自分のみ
上記のアクセス許可レベルを組織の内外を含め、任意の Azure AD ユーザーを指定してコンテンツを保護することができるため、例えば組織外のユーザーに対して個別に重要なデータを保護した状態で共有したい場合に活用できます。
<参考情報>
エクスプローラーを使用してファイルを分類および保護する
このカスタム アクセス許可設定では、”アクセスの有効期限” を定義できるため、保護されたコンテンツをユーザーが利用できる期間を制限することもできます。
上記のアクセス許可レベルの内 “共同所有者 – すべてのアクセス許可” を設定した場合には、”アクセスの有効期限” の設定が適用されませんのでご注意ください。 (※ファイルの保護を設定したユーザー自身にも常にフル コントロール権限が付与されるため “自分のみ” を選択した場合にも有効期限は適用されません。)
保護設定の解除まで行える “共同所有者” のアクセス許可については、許可を与えられたユーザーがコンテンツを受信したタイミングで保護設定を解除できてしまい、コンテンツの有効期限自体も無効化することが可能な状態となります。
共有前などのドキュメントの保護 (暗号化) 設定にあたって、アクセス許可レベルを選択する場合には上記の動作仕様を踏まえて注意いただきますようお願いいたします。
【補足】
Office アプリ上からも [ファイル] > [情報] > [文書/ブック/スライドの保護] > [アクセスの制限] > “アクセス制限あり“ を選択することでアドホック保護を適用することができます。
このアドホック保護機能においても “その他のオプション” の箇所からアクセス レベルを設定することに加えてコンテンツの有効期限を設定できます。
Office アプリの保護機能を利用する場合には、アクセス レベルを “フル コントロール” に設定した場合でもコンテンツの有効期限が動作する仕様となっております。
アプリケーションの違い (AIP クライアントによるものか Office アプリによるか等) によって、有効期限の動作処理に違いがありますのでご留意ください。
なお、AIP クライアントで保護する場合や Office アプリで保護する場合のいずれも、アクセス許可レベルでフル コントロール権限を付与している場合には、コンテンツを受信したユーザーは、そのコンテンツに対して付与されている保護 (暗号化) 設定を解除できてしまいます。
有効期限の反映有無は異なりますが、Office アプリで保護した場合にも受信したユーザーが有効期限内に Office アプリを使用して保護設定を解除 (“アクセス制限なし” に設定して保存) した場合には、当初のユーザーが設定された有効期限は適用されなくなりますので、アクセス許可レベルの設定についてはご注意くださいますようお願いいたします。
※本ブログ記事化にあたり、弊社サポートによる調査にご協力いただきましたお客様に深く感謝いたします。
※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。