Azure Information Protection でファイルのアクセス権をはく奪する機能がパブリックプレビューされました。

この機能を用いると、事前にアクセス権を付与したファイルに対して後からアクセス権を取り消すことができるようになります。間違ってファイルを送ってしまった場合や、何らかの理由でファイルが外部に流出してしまった場合、一定期間後にアクセス権を取り除きたい場合に有用です。

以降では、前提条件のアクセス権を付与する方法から、はく奪までの流れを説明します。

利用条件/前提条件

  • Azure Information Protection P1 ライセンス以上が必要です。
  • Office ファイル( Word, Excel, PowerPoint )のみはく奪が可能です。(2021/2/26時点)
  • はく奪したいファイルが SharePoint / OneDrive / Teams にアップロードされていて手元のローカル上にファイルが無い場合ははく奪ができません。(2021/2/26時点)
  • 既定の設定では、キャッシュを持つために、アクセス権のはく奪後30日はアクセスできてしまいます。即時はく奪するためには PowerShell コマンドの実行が必要です。
    参考URL:Set-AipServiceMaxUseLicenseValidityTime (AIPService) | Microsoft Docs

アクセス権の付与

Azure Information Protection を使ってアクセス権を付与するには、幾つか方法がありますが、ここでは一番簡単な方法をご紹介します。

  1. Outlook アプリを起動しておきます。
  2. Azure Information Protection クライアントのインストール
    以下のサイトから Azure Information Protection クライアントをインストールします
    https://www.microsoft.com/en-us/download/details.aspx?id=53018
    ※ダウンロードサイトは英語ですが、インストールすると日本語バージョンをインストールできます。
  3. 暗号化したいファイルを右クリック – [分類して保護する] をクリックします。
  4. 「カスタムアクセス許可で保護する」をクリックします。
  5. 「アクセス許可の選択」からアクセス権を割り当てるユーザーに対する権限のレベルを指定します。
  6. 「ユーザー、グループ、または組織の選択」欄にある「📖 (アドレス帳)」マークをクリックし、Outlook の連絡先から、アクセス権を付与したいユーザーを選択します。
  7. 「アクセスの有効期限」を任意で指定し、[適用] をクリックします。

画像の設定では、以下のようなアクセス制御が行われます。

  • ユーザー「hakudatsu」は対象ファイルの参照権限のみ与えられます。
  • hakudatsu」以外は対象ファイルを開くことができません。
  • 2021年3月31日を経過すると「hakudatsu」もファイルを開くことができなくなります。

※ファイルを開くことができないユーザーには、以下の画面が表示されます。

アクセス権のはく奪

上記の手順でファイルのアクセス権を付与の付与ができました。
続いては、有効期限前にアクセス権を持つユーザー(ユーザー「hakudatsu」)のアクセス権を取り除く方法です。

  1. はく奪したい Office ファイルを開きます。
  2. [機密度]タブ – [アクセス権の取り消し] をクリックします。
  3. 確認画面から [はい] をクリックします。

以上で、アクセス権を持っていたユーザーからもアクセス権のはく奪を行う事が可能です。

ファイルのセキュリティはゼロトラストの最後の砦

サイバー攻撃の殆どは、機密データの取得を目的にしています。Azure AD や Defender for Endpoint 等で防御をしていたとしても、突破される可能性はゼロではありません。ファイルのアクセス権付与や、後になってのアクセス権のはく奪は、攻撃から組織の情報を守る最後の砦です。

万一、会社のデータにアクセスされてしまっても、対処できる手立てを持っておくためにも、ファイルに対する制御を推進していってみてはいかがでしょうか。