Contoso の金融部門には、ドキュメントが保管されている多くのファイル サーバーがあります。 これらのドキュメントは、一般的なドキュメントである場合も、ビジネスに大きな影響を与えるもの (HBI) である場合もあります。 たとえば、機密情報が含まれているドキュメントは、ビジネスに大きな影響を与えるものと Contoso によって見なされます。 Contoso では、すべてのドキュメントに最小限の保護を施し、HBI ドキュメントが適切なユーザーに制限されるようにしたいと考えています。 これを実現するために、Contoso では、Windows Server 2012 で使用可能なファイル分類インフラストラクチャ (FCI) と AD RMS の使用を検討しています。 Contoso では、FCI を使用することで、コンテンツに基づいてファイル サーバー上のすべてのドキュメントを分類してから、AD RMS を使用して適切な権利ポリシーを適用する予定です。
このシナリオでは、次の手順を実行します。
| タスク | 説明 |
|---|---|
| リソースのプロパティを有効にする | 影響と個人を特定できる情報リソースのプロパティを有効にします。 |
| 分類ルールを作成する | 次の分類規則を作成します。 HBI 分類規則 と PII 分類規則です。 |
| ファイル管理タスクを使用して AD RMS でドキュメントを自動的に保護する | 自動的に AD RMS を使用して個人を特定できる情報 (PII) が含まれたドキュメントを保護するファイル管理タスクを作成します。 PII が含まれたドキュメントにアクセスできるのは、FinanceAdmin グループのメンバーのみにします。 |
| 結果を表示する | ドキュメントの分類を調べ、ドキュメントのコンテンツの変更に伴いどのように変更されるのかを監視します。 また、ドキュメントが AD RMS によってどのように保護されているのかを確認します。 |
| AD RMS 保護を確認する | ドキュメントが AD RMS によって保護されていることを確認します。 |
手順 1:リソース プロパティを有効にする
リソース プロパティを有効にするには
Hyper-V マネージャーでサーバー ID_AD_DC1 に接続します。 パスワード pass@word1で Contoso\Administrator を使用してサーバーにサインインします。
Active Directory 管理センターを開き、[ ツリー ビュー] をクリックします。
[動的アクセス制御] を展開し、[リソースのプロパティ] を選択します。
[表示名] 列の Impact プロパティまで下にスクロールします。 [影響] を右クリックし、[有効] をクリックします。
[表示名] 列の [個人を特定できる情報] プロパティまで下にスクロールします。 [個人を特定できる情報] を右クリックし、[有効] をクリックします。
グローバル リソース リストでリソース プロパティを発行するには、左側のウィンドウで [リソース プロパティ リスト] をクリックし、[グローバル リソース プロパティ リスト] をダブルクリックします。
[ 追加] をクリックし、下にスクロールして [ 影響 ] をクリックして一覧に追加します。 個人を特定できる情報に対して同じ操作を行います。 [ OK] を 2 回クリックして完了します。
Windows PowerShell と同等のコマンド
次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。
Set-ADResourceProperty -Enabled:$true -Identity:"CN=Impact_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"
Set-ADResourceProperty -Enabled:$true -Identity:"CN=PII_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"
手順 2:分類規則を作成する
この手順では、影響度の 高い 分類ルールを作成する方法について説明します。 この規則では、ドキュメントのコンテンツを検索し、文字列 "Contoso Confidential" が見つかった場合に、そのドキュメントを HBI (ビジネスに大きな影響を与えるもの) と分類します。 この分類は、以前に割り当てられた LBI (ビジネスへの影響が小さいもの) の分類をオーバーライドします。
また、High PII ルールも作成します。 この規則では、ドキュメントのコンテンツを検索し、社会保障番号が見つかった場合に、ドキュメントを高 PII と分類します。
「High Impact」分類規則を作成するには
Hyper-V マネージャーでサーバー ID_AD_FILE1 に接続します。 パスワード pass@word1で Contoso\Administrator を使用してサーバーにサインインします。
Active Directory からグローバル リソース プロパティーを更新する必要があります。 Windows PowerShell を開きます。「
Update-FSRMClassificationPropertyDefinition」と入力し、Enter キーを押します。 Windows PowerShell を閉じます。ファイル サーバー リソース マネージャーを開きます。 ファイル サーバー リソース マネージャーを開くには、[ スタート] をクリックし、「 ファイル サーバー リソース マネージャー」と入力して、[ ファイル サーバー リソース マネージャー] をクリックします。
ファイル サーバー リソース マネージャーの左側のウィンドウで、[ 分類の管理] を展開し、[ 分類規則] を選択します。
[操作] ウィンドウで、[分類スケジュールの構成] をクリックします。 [ 自動分類 ] タブで、[ 固定スケジュールを有効にする] を選択し、[ 曜日] を選択して、[ 新しいファイルの継続的な分類を許可 する] チェック ボックスをオンにします。 [ OK] をクリックします。
[操作] ウィンドウで、[分類ルールの作成] をクリックします。 [ 分類規則の作成 ] ダイアログ ボックスが開きます。
[ ルール名 ] ボックスに、「 High Business Impact」と入力します。
[説明] ボックスに、「Contoso Confidential」という文字列の存在に基づいて、ドキュメントがビジネスに大きな影響を与えるかどうかを判断します
[ スコープ ] タブで、[ フォルダー管理のプロパティの設定] をクリックし、[ フォルダーの使用状況]、[ 追加] の順にクリックし、[ 参照] をクリックし、パスとして D:\Finance Documents を参照し、[ OK] をクリックして、 グループ ファイル という名前のプロパティ値を選択し、[ 閉じる] をクリックします。 管理プロパティを設定したら、[ ルール スコープ ] タブで [ グループ ファイル] を選択します。
[ 分類 ] タブをクリックします。[ ファイルにプロパティを割り当てる方法の選択] で、ドロップダウン リストから [コンテンツ分類子 ] を選択します。
[ ファイルに割り当てるプロパティの選択] で、ドロップダウン リストから [影響 ] を選択します。
[ 値の指定] で、ドロップダウン リストから [高 ] を選択します。
「パラメーター」の下の「構成」をクリックします。 [ 分類パラメーター ] ダイアログ ボックスの [ 式の種類 ] ボックスの一覧で、[文字列] を選択 します。 [ 式 ] ボックスに「 Contoso Confidential」と入力し、[ OK] をクリックします。
[ 評価の種類 ] タブをクリックします。[ 既存のプロパティ値を再評価] をクリックし、[既存の値を 上書きする] をクリックし、[ OK] を クリックして完了します。
Windows PowerShell と同等のコマンド
次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。
Update-FSRMClassificationPropertyDefinition
$date = Get-Date
$AutomaticClassificationScheduledTask = New-FsrmScheduledTask -Time $date -Weekly @(3, 2, 4, 5,1,6,0) -RunDuration 0;
Set-FsrmClassification -Continuous -schedule $AutomaticClassificationScheduledTask
New-FSRMClassificationRule -Name "High Business Impact" -Property "Impact_MS" -Description "Determines if the document has a high business impact based on the presence of the string 'Contoso Confidential'" -PropertyValue "3000" -Namespace @("D:\Finance Documents") -ClassificationMechanism "Content Classifier" -Parameters @("StringEx=Min=1;Expr=Contoso Confidential") -ReevaluateProperty Overwrite
「High PII」分類規則を作成するには
Hyper-V マネージャーでサーバー ID_AD_FILE1 に接続します。 パスワード pass@word1で Contoso\Administrator を使用してサーバーにサインインします。
デスクトップで、 正規表現という名前のフォルダーを開き、 RegEx-SSN という名前のテキスト ドキュメントを開きます。 次の正規表現文字列を強調表示してコピーします: ^(?!000)([0-7]\d{2}|7([0-7]\d|7[012])([ -]?)(?!00)\d\d\3(?!0000)\d{4}$ です。 この文字列は、この手順の後半で使用するため、クリップボードに保持しておいてください。
ファイル サーバー リソース マネージャーを開きます。 ファイル サーバー リソース マネージャーを開くには、[ スタート] をクリックし、「 ファイル サーバー リソース マネージャー」と入力して、[ ファイル サーバー リソース マネージャー] をクリックします。
ファイル サーバー リソース マネージャーの左側のウィンドウで、[ 分類の管理] を展開し、[ 分類規則] を選択します。
[操作] ウィンドウで、[分類スケジュールの構成] をクリックします。 [ 自動分類 ] タブで、[ 固定スケジュールを有効にする] を選択し、[ 曜日] を選択して、[ 新しいファイルの継続的な分類を許可 する] チェック ボックスをオンにします。 [OK] をクリックします。
[ ルール名 ] ボックスに「 High PII」と入力します。 [説明] ボックスに、「社会保障番号の有無に基づいて、ドキュメントの PII が高いかどうかを判断する」と入力します。
[ スコープ ] タブをクリックし、[ グループ ファイル ] チェック ボックスをオンにします。
[ 分類 ] タブをクリックします。[ ファイルにプロパティを割り当てる方法の選択] で、ドロップダウン リストから [コンテンツ分類子 ] を選択します。
[ ファイルに割り当てるプロパティの選択] で、ドロップダウン リストから [個人を特定できる情報 ] を選択します。
[ 値の指定] で、ドロップダウン リストから [高 ] を選択します。
「パラメーター」の下の「構成」をクリックします。 分類パラメーター ウィンドウの 式の種類 リストから 正規表現。 [式] ボックスに、クリップボードのテキスト ^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$ を貼り付け、[OK] をクリックします。
注意
この式により、無効な社会保障番号が許可されます。 これにより、デモで架空の社会保障番号を使用できます。
[ 評価の種類 ] タブをクリックします。[ 既存のプロパティ値の再評価]、[既存の値の 上書き] の順に選択し、[ OK] をクリックして完了します。
Windows PowerShell と同等のコマンド
次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。
New-FSRMClassificationRule -Name "High PII" -Description "Determines if the document has a high PII based on the presence of a Social Security Number." -Property "PII_MS" -PropertyValue "5000" -Namespace @("D:\Finance Documents") -ClassificationMechanism "Content Classifier" -Parameters @("RegularExpressionEx=Min=1;Expr=^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$") -ReevaluateProperty Overwrite
これで、次の 2 つの分類規則が作成されました。
ビジネスへの影響が大きい
高いPII
手順 3:ファイル管理タスクを使用して、AD RMS でドキュメントを自動的に保護する
コンテンツに基づいてドキュメントを自動的に分類する規則を作成したので、次の手順では、ファイル管理タスクを作成します。このタスクでは、AD RMS を使用して、分類に基づいて特定のドキュメントを自動的に保護します。 この手順では、高 PII のすべてのドキュメントを自動的に保護するファイル管理タスクを作成します。 PII が含まれたドキュメントにアクセスできるのは、FinanceAdmin グループのメンバーのみにします。
AD RMS を使用してドキュメントを保護するには
Hyper-V マネージャーでサーバー ID_AD_FILE1 に接続します。 パスワード pass@word1で Contoso\Administrator を使用してサーバーにサインインします。
ファイル サーバー リソース マネージャーを開きます。 ファイル サーバー リソース マネージャーを開くには、[ スタート] をクリックし、「 ファイル サーバー リソース マネージャー」と入力して、[ ファイル サーバー リソース マネージャー] をクリックします。
左側のウィンドウで、[ ファイル管理タスク] を選択します。 [操作] ウィンドウで、[ファイル管理タスクの作成] を選択します。
[ タスク名: ] フィールドに「 High PII」と入力します。 [ 説明 ] フィールドに、「 高 PII ドキュメントの自動 RMS 保護」と入力します。
[ スコープ ] タブをクリックし、[ グループ ファイル ] チェック ボックスをオンにします。
[ アクション ] タブをクリックします。[ 種類] で 、[ RMS 暗号化] を選択します。 [ 参照 ] をクリックしてテンプレートを選択し、 Contoso Finance 管理者専用 テンプレートを選択します。
[ 条件 ] タブをクリックし、[ 追加] をクリックします。 [ プロパティ] で、[ 個人を特定できる情報] を選択します。 [ 演算子] で [ 等しい] を選択します。 値で高を選択します。 [ OK] をクリックします。
[ スケジュール ] タブをクリックします。[ スケジュール ] セクションで、[ 毎週] をクリックし、[日曜日] を選択 します。 1 週間に 1 回タスクを実行することで、サービス障害などの中断イベントのために処理されなかった可能性があるドキュメントを捕捉できます。
[ 連続操作 ] セクションで、[ 新しいファイルでタスクを継続的に実行] を選択し、[ OK] をクリックします。 これで、「High PII」という名前のファイル管理タスクが作成されました。
Windows PowerShell と同等のコマンド
次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。
$fmjRmsEncryption = New-FSRMFmjAction -Type 'Rms' -RmsTemplate 'Contoso Finance Admin Only'
$fmjCondition1 = New-FSRMFmjCondition -Property 'PII_MS' -Condition 'Equal' -Value '5000'
$date = get-date
$schedule = New-FsrmScheduledTask -Time $date -Weekly @('Sunday')
$fmj1=New-FSRMFileManagementJob -Name "High PII" -Description "Automatic RMS protection for high PII documents" -Namespace @('D:\Finance Documents') -Action $fmjRmsEncryption -Schedule $schedule -Continuous -Condition @($fmjCondition1)
手順 4:結果を表示する
ここでは、新しい自動分類と、有効になっている AD RMS 保護規則を確認します。 この手順では、ドキュメントの分類を調べ、ドキュメントのコンテンツの変更に伴いどのように変更されるのかを監視します。
結果を表示するには
Hyper-V マネージャーでサーバー ID_AD_FILE1 に接続します。 パスワード pass@word1で Contoso\Administrator を使用してサーバーにサインインします。
エクスプローラーで D:\Finance Documents にナビゲートします。
財務メモ文書を右クリックし、[ プロパティ] をクリックします。[ 分類 ] タブをクリックすると、Impact プロパティに現在値がないことに注意してください。 [ キャンセル] をクリックします。
[採用の承認の要求] ドキュメントを右クリックし、[プロパティ] を選択します。
[ 分類 ] タブをクリックすると、 現在、個人を特定できる情報プロパティに 値がないことに注意してください。 [ キャンセル] をクリックします。
CLIENT1 に切り替えます。 サインインしているユーザーをサインオフし、パスワード pass@word1を使用して Contoso\MReid としてサインインします。
デスクトップから、 Finance Documents 共有フォルダーを開きます。
財務メモ文書を開きます。 ドキュメントの下部近くに、[ 社外秘] という単語が表示されます。 次のように変更します: Contoso Confidential ドキュメントを保存して閉じます。
[採用の承認要求] ドキュメントを開きます。 [ 社会保障]#: セクションに、「777-77-7777」と入力します。 ドキュメントを保存して閉じます。
注意
分類が行われるまで 30 秒間待機する必要が生じることがあります。
ID_AD_FILE1 に切り替えて戻ります。 エクスプローラーで D:\Finance Documents にナビゲートします。
財務メモ文書を右クリックし、[ プロパティ] をクリックします。 [ 分類 ] タブをクリックします。 Impact プロパティが High に設定されていることに注意してください。 [ キャンセル] をクリックします。
[採用依頼] ドキュメントを右クリックし、[ プロパティ] をクリックします。
= [ 分類 ] タブをクリックします。 [個人を特定できる情報 ] プロパティが [高] に設定されていることに注意してください。 [ キャンセル] をクリックします。
手順 5:AD RMS による保護を確認する
ドキュメントが保護されていることを確認するには
ID_AD_CLIENT1 に切り替えて戻ります。
「採用承認依頼書」ドキュメントを開いてください。
[ OK] を クリックして、ドキュメントが AD RMS サーバーに接続できるようにします。
これで、社会保障番号が含まれているため、ドキュメントが AD RMS によって保護されていることが確認できます。