ダイナミックアクセス制御とファイル管理タスク

前回、前々回とダイナミックアクセス制御について投稿してきましたが、ダイナミックアクセス制御は設定することが多く、実装が難しいと感じるかもしれません。そのような思いにさせている、ひとつの要素にファイルサーバーリソースマネージャーから設定するファイル管理タスクがあると思います。ごっちゃになりやすいダイナミックアクセス制御とファイル管理タスクの関係ですが、私はいつも次のように紹介しています。

ダイナミックアクセス制御は、特定のタグ(重要度=高)を設定されたファイルに対して、
特定の属性(役職=部長)を持ったユーザーからのアクセス許可を制御する機能であり、
ファイルに対するタグ付け(重要度=高)であったり、特定のタグを持つファイルに対する各種操作は
ダイナミックアクセス制御の機能でなく、ファイルサーバーリソースマネージャーの機能なのです。

image

たとえば、ダイナミックアクセス制御との組み合わせで上図のようにファイルに対して「重要度=高」というタグを設定するケースをはじめ、RMSによる暗号化であったり、ファイルの移動・コピーなどであったり、実用的な例がよく紹介されているものを見かけます。しかし、これらのファイルに対する各種操作はファイルサーバーリソースマネージャーの分類管理やファイル管理タスクの中で行われる機能です。
では、ファイルサーバーリソースマネージャーの[ファイル管理タスク]で何ができるか?
ユーザーインターフェイスを載せておきます。

image

ファイルサーバーリソースマネージャーから、ファイル管理タスクを作成し、条件として「重要度=高」(「重要度」というプロパティは事前に分類管理で設定しておきます)のように指定すると、

image

条件に合致するファイルに対して、上のダイアログで指定した日数を経過したファイルを下のダイアログで指定したフォルダーに自動的に移動するように指定したり、

image

RMSを利用してファイルに対する暗号化を設定したり、

image

実行可能ファイルとして、あらかじめ用意したPowerShellスクリプトなどを実行してファイルに対する各種操作を行うことが可能なのです。

image

サーバーリソースマネージャーのファイル管理タスクを使えば、色々できることがわかると思いますが、
私が一番面白いと思ったファイル管理タスクの活用方法は下記のブログで紹介されている、ファイル内にクレジットカード番号が含まれることを検出し、ファイルを自動的に別のフォルダーへ検疫(移動)するという、DLP(Data Loss Prevention)的な活用方法です。
アイデア次第で 色々な活用ができて面白いですね。

■分類管理によるクレジットカード番号が含まれるファイルの検疫(英語)
http://blogs.technet.com/b/wincat/archive/2012/08/20/document-quarantine-with-windows-server-2012-dynamic-access-control.aspx