Purviewの各種ポリシーにおける管理単位の意味について
Purview設定できる各種ポリシー(秘密度ラベル発行ポリシー、DLPポリシー、インサイダーリスクポリシー等)作成時に””管理単位”を設定する項目があります(以下は、秘密度ラベル発行ポリシー作成画面の例)。
赤枠の部分には、「ポリシーを特定のユーザまたはグループのセットに制限します」と記載があります。
しかしながら、ポリシーの対象は、「ユーザとグループ」の項目でも指定可能です(以下)
管理単位の設定はどのようない意味を持つのでしょうか。
ラベル発行ポリシーの場合
ラベル発行ポリシーにて管理単位内を指定した場合は、管理単位内のユーザーにのみ秘密度ラベルを発行できます。
さらに、「ユーザとグループ」の項目で、ポリシーの適用対象をユーザ単位やグループ単位で絞り込むことも可能です。
例えば、以下のようなリソースがあった際に、「管理単位Aのメンバー」かつ「グループX」のメンバにのみ、秘密度ラベルを発行したいようなケースで、「管理単位」と「ユーザとグループ」の設定を併用することで実現できます。
補足
管理単位を設定した場合でも、範囲に「すべてのユーザとグループ」と表示されていますが、これは「テナント内のすべてのユーザとグループ」という意味ではなく、「設定した管理単位内のすべてのユーザとグループ」という意味になります。
自動ラベル付けポリシーの場合
管理単位の設定においてSPOサイトは影響を受けるのか
問
自動ラベル付けポリシーにおいて、ラベルを適用する場所としてExO/SharePoint/OneDriveがあります。
自動ラベル付けポリシーにおいて、管理単位を指定した場合、管理単位の影響(ポリシー適用範囲の制限)を受けるのは、個人のアカウントに紐づくリソースであるEXO・OneDriveに限定されるのでしょうか。
たとえば、管理単位XにユーザAのみが存在するとします。管理単位Xを指定したうえで、”場所”設定において、ExO/SharePoint/OneDriveを選択した場合、ExO/OneDriveについては、秘密度ラベルが適用されるのは、ユーザAのExO/Onedrive領域に限定されるのでしょうか。
SPOについては、ユーザAに紐づかないため、秘密度ラベル適用範囲が限定されない(SPOに保存されているすべてのファイルに秘密度ラベルが付与される)と思っていますが、認識は正しいでしょうか。
回答
前提として、自動ラベル付けポリシーでは ExO、OneDrive、SharePoint のすべての場所が管理単位をサポートします。
SPO サイトの指定方法については、管理単位を Microsoft Entra ID ポータルからではなく Purview ポータルの [設定]-[役割とスコープ]-[管理単位] からサイト名、サイト URL、カスタム プロパティ (RefinableString00-RefinableString99) のいずれかをクエリとして追加する動作となります。また、こちらのクエリにて OneDrive を指定することも可能です。
タイトル: SharePoint サイトの管理単位を構成する
自動ラベルポリシーにて管理単位を設定した場合、個人のアカウントに紐づく ExO、OneDrive に加え、SPO サイトも影響を受けます。管理単位に Microsoft Entra ID ポータルから含めたユーザーおよびグループは ExO および OneDrive に、Purview ポータルから指定したクエリは該当する SPO/OneDrive サイトに影響します。
また、Purview ポータルから SharePoint/OneDrive のクエリを設定していない状態で自動ラベル付けポリシーに管理単位を指定し、かつ場所に SharePoint を選択している場合は、管理単位により SPO サイトが指定されないと判定され、いずれの SPO サイトにもポリシーは適用されません。
補足
Purview管理センターにて管理単位に対してSPOサイトの指定できるのですが、管理単位自体はEntra管理センター/Purivewから作成する必要がありそうです(以下の画面の通り、管理単位を作成するボタン等が存在していません)
