皆さんこんにちは。国井です。
先日もお話ししましたが、私の周りでは最近Microsoft 365 E5 Compliance系のトレーニングのご相談をいただくことが多く、AIPって何ができるの?DLPって何ができるの?などのテーマで話をする機会が多くなっています。
そんな中で秘密度ラベルを割り当ててコンテンツの暗号化ができるAIPについて、PDFでも設定できることだったり、設定方法だったりという話はよく聞かれるのでここに書いておきます。
AIP秘密度ラベル x Adobe Acrobat
いつの頃からかわからないのですが、Acrobatでは秘密度ラベルを割り当てることができるようになっており、さらに2022年6月リリースのAcrobatからMIPプラグインというのがバンドルされているため、Acrobatに特別なツールを入れなくても設定だけで秘密度ラベルの割り当てができるようになっています。
秘密度ラベルの設定をMicrosoft Purview管理センターから行ない、Acrobat側の設定も済ませておくと、ファイル > PDF を保護 > Microsoft 秘密度ラベル を選択することで
こんな感じの画面からラベル設定ができるようになります。
なお、ここに出てくるラベル一覧はMicrosoft Purview管理センターで作成したポリシーに沿って表示されます。そのため、初めてこの画面にアクセスするときはAzure ADのユーザー名とパスワードを入力する画面が登場します。
Adobe Acrobatで秘密度ラベルを利用するための設定
じゃあAcrobat側の設定ってなにか?というのを見ていきます。
設定としてはAcrobatがインストールされるコンピューターのレジストリで以下の設定を行います。
HKEY_CURRENT_USER\SOFTWARE\Adobe\Adobe Acrobat\DC\MicrosoftAIP
bShowDMBの値を1に設定
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Adobe\Adobe Acrobat\DC\FeatureLockDown
bMIPLabellingの値を1に設定
設定はなんとこれだけ。これをPowerShellスクリプトにしてIntuneから皆のデバイスに展開しましょう。設定が適用されたらAcrobat Adobeを再起動することでラベルの割り当てができます。ここまでで紹介した内容はAdobeのサイトでも確認できます。
ラベルが割り当てられたPDFファイルへのアクセス
ラベルの割り当てにはAcrobatが必要ですが、
ラベルが割り当てられたPDFファイルへのアクセスにはAdobe Readerで十分です。
Adobe Readerからファイルを開こうとするとAcrobatの時と同じようにサインイン画面が登場するので、Azure ADのユーザー名とパスワードを入力すると、、
ファイルにアクセスすることができます。(※デバイスがAzure ADに登録されている場合、パスワードを入力することなくサインインが完了します)
もちろん、アクセス許可に基づくアクセス制御や透かし、ヘッダー/フッターも適用されています。(下の画面はAcrobatですが、ちゃんとAdobe Readerでもアクセスできます)
一方、ブラウザー(Microsoft Edge)の場合はMicrosoft Edgeに最初からAzureADユーザーでサインインしておくことで、その情報を利用して自動的にファイルへのアクセスを行ってくれます。
そしてGoogle Chromeの場合はこちら。Adobe Readerの拡張機能を入れてアクセスしないと、そもそもファイルが開けません。
自動ラベル付け
Adobeのドキュメントによると以下のレジストリ設定により、
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Adobe\Adobe Acrobat\DC\FeatureLockDown
bMIPCheckPolicyOnDocSaveの値を1に設定
ラベルに設定されたラベルの自動適用設定がPDFファイルを開いたタイミングで確認できるとのことだったので、こんな感じに設定してみたのですが、
ラベル設定が上書きされたなかったのか、そもそも利用できないのか、または自分の設定方法が悪かったのか、よくわからないのですが自動適用される様子を確認することは現時点でできませんでした。
こちらは継続してチェックしてみたいと思います。
