Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Microsoft 365 マルチテナント問題と中国テナントから見る Microsoft P...

seafay
November 28, 2022

Microsoft 365 マルチテナント問題と中国テナントから見る Microsoft Purview

seafay

November 28, 2022
Tweet

More Decks by seafay

Other Decks in Technology

Transcript

  1. 自己紹介 自宅ラック的エンジニア 所属: NSW株式会社 業務: Azure / Microsoft 365 などの

    コンサルティング 近況: 最近は Azure / M365 まわりの Microsoft認定資格 を取ることに注力 Blog: https://contoso.pw/ 高橋 憲太郎 @seafay 2
  2. Microsoft Purview 「近年で最も資料修正コスト(&学習コスト)を要求された Microsoftソリューション」 旧名Azure Purview の場合 Azure 上のサブスクリプションに紐づいて利用するデータ管理サービス Azure

    上のリソースのデータに対し、秘密度ラベルなどを適用するといった機能を指しま す。 Microsoft 365 E5 Compliance(Purview)の場合 • Microsoft Purview データ損失防止(旧名:Office 365 DLP) • Microsoft Purview 情報保護(旧名:Azure Information Protection) • Microsoft Purview eDiscovery(旧名:Office 365 eDiscovery) • Microsoft Purview 監査 等からなる Microsoft 365 向け データ管理サービス機能を指します。 5
  3. 個人情報の具体例(GB/T 35273-2020) 【基本的な個人情報】 氏名、生年月日、性別、民族、国籍、家族関係、住所 電話番号、電子メールアドレスなど 【個人識別情報】 身分証明書、軍人証明書、パスポート、運転免許証、社員証、パス、社会保障カード、住民票など 【個人バイオメトリクス情報】 個人遺伝子、指紋、声紋、掌紋、耳介、虹彩、顔認識機能など 【オンライン識別情報】

    個人情報の対象者のアカウント、IPアドレス、個人用電子証明書 【生理・健康情報】 病理情報、入院記録、医師の指示、検査報告、手術・麻酔記録、看護記録、投薬記録、薬剤・食物アレルギー、不妊情報、病歴、診断・治療、家族病歴、現病歴、 感染歴等の医療に関連する記録、体重・身長・肺活量等の個人健康情報 【個人教育情報】 個人の職業、地位、勤務先、学歴、学位、教育歴、職歴、研修歴、成績表など 【個人資産情報】 銀行口座、認証情報(パスワード)、銀行預金情報(資金額、支払、回収記録等)、不動産情報、信用記録、取引・消費記録、銀行取引明細書等、および仮想通貨、 仮想取引、ゲームCDキー等の仮想資産情報など 【個人コミュニケーション情報】 通信記録およびコンテンツ、SMS、MMS、電子メール、個人的な通信を記述するデータ(しばしばメタデータと呼ばれる)など 【連絡先情報】 連絡先、友達リスト、チャットグループのリスト、メールアドレスリストなど 【個人のウェブ閲覧記録】 ログに保存されたPI対象者の操作の記録(ウェブ閲覧記録、ソフトウェア使用記録、クリック記録、お気に入りなど)等を指す 【個人がよく使用する機器の情報】 ハードウェアのシリアル番号、機器のMACアドレス、ソフトウェアの一覧、機器固有の識別子(IMEI/Android ID/IDFA/Open UDID/GUID、SIMカードのIMSI情 報)など、個人がよく使う機器の一般的な状態を記述した情報を指す 【個人の位置情報】 居場所の記録、正確な位置情報、宿泊施設情報、経度・緯度などを含む 【その他の情報】 結婚歴、宗教的嗜好、性的指向、未公表の犯罪歴など 7
  4. Microsoft 365 の情報保護対応 第1ステップ データ主体の要求 (DSR)に対応するために、コンプライアンス センターのコンテンツ検索と電子情報 開示を使用して、組織全体の個人データを検出する。 DSR への対応に関する社内ガイドラインを整備する。

    組織内のユーザーによって送信された DSR に対応できるように運用準備を行う。 ・user data search(UDR) ケース ツール ・役割設計 E5があれば! Microsoft Purview eDiscovery (Premium) を使って機械学習ベースの検索が可能 第2ステップ データ損失防止 (DLP) ポリシーを使用して機密データを識別する。 E5があれば! Microsoft Teams DLPが利用可能 ・メッセージ内の機密情報を保護する ・ドキュメント内の機密情報を保護する Endpoint DLP が利用可能 ・クライアント上のコンテンツを監視・保護する 第3ステップ データ保持ポリシーを使い、必要な期間だけ個人データを保持する。 E5があれば! ドキュメントやメールの個人情報を自動的に識別可能 12
  5. マルチテナントとは 小規模な機関には、シングルテナント アーキテクチャをお勧めします。 ただし、ユーザー数が 100 万人を超える組織の場合は、パフォーマンスの問題やテナントの 制限 ( Azure サブスクリプションとクォータ、Azure

    AD サービスの制限と制限など) を軽減 するために、マルチテナント アーキテクチャをお勧めします。 ユーザー数が 100 万人未満の組織では、他の基準で複数のテナントが必要であることが示さ れない限り、単一のテナントを作成することを強くお勧めします。 100 万以上のユーザー オブジェクトを持つ組織の場合は、地域的なアプローチを使用して 複数のテナントを使用することをお勧めします。 Microsoft Learnより 14
  6. Azure / Microsoft 365 / Dynamics 365 は 1つの Azure

    AD に紐づいて管理されます。 例1: Microsoft Power Platform Microsoft Power Platform は Power Automate や Power BI といったビジネスの効率化に向けたソリューションです。 Microsoft 365 と だけ連携するのではなく、 Dynamics 365 のような ERP/CRM システム との連携も行えるように設計されています。 マルチテナントとしての利用も行えますが、そうした場合、ユーザー アカウント、ID、セキュリティ グループ、サブスクリプショ ン、ライセンス、ストレージデータはテナント間で共有することはできません。 例2: Microsoft Sentinel Microsoft Sentinel は Microsoft 365 や Azure 、オンプレミス環境、その他のクラウドサービスのログデータを横断的に監視する SIE M&SOAR サービスです。 Microsoft 365 の監査ログやアクティビティログを取り込むには、同一Azure AD に紐づいた Microsoft Sentinel 環境が必要です。 例3: Exchange Online Azure AD / Microsoft 365 に関連付けることができる カスタムドメイン(承認済みドメイン)は 1ドメイン:1テナント であり、1つのドメインを複数のテナントに関連付けることができません。 例4: Active Directory 1つのドメインフォレストは、1つのAzure AD テナントとのみ同期できます。 Windows 10 /11 では 「Hybrid Azure AD 参加」 または 「Azure AD 参加」 の管理シナリオ以外の構成では サポートされる機能が制限されます。 抑えておくべき基本的な情報 15
  7. テナント分けると? Hybrid Azure AD Join が できない → 1つのADが同期できる AAD

    は1つ (現地ADが別にある場合はなんとかなる) 同じドメインが利用できない テナント毎に機能設計および運用設計が必要 テナント毎にアドオン機能の導入が必要 現地法人への対応や教育が必要 IT担当者一同「運用管理が一番しんどいやつ(2回目)」 16
  8. シングルテナントvsマルチテナント コラボレーションを考えたら、マルチテナントは非現実的 個人情報・機密情報をどのように配置し、共有可能な情報とするか、 またその制御をテナント単位で考慮する必要があるかを検討する必要があります。 シングルテナント シングルテナント Multi-Geo マルチテナント データが置かれる場所 契約時のロケーション

    複数の地域・国 契約テナント毎 GDPR対応 一部注意 OK OK コラボレーション 制約なし 制約なし 制約あり 機能差分 制約なし 制約あり 制約あり データの制御 テナント内 テナント内 テナント間 地域外ネットワークアクセス 一部遅延あり 影響なし 影響なし Microsoft 365 Multi-Geoでは、データを保管する地域を選択できます。 そのため、複数のテナントを契約せずに幅広い地域でグローバルにデータの展開・運用が可能。 17
  9. Microsoft 365 Multi-Geo の利用可能地域 Microsoft 365 Multi-Geo は、テナント内に 250 以上の

    Micr osoft 365 シートがあり、そのうち 5% 以上が複数地域を使 用している Enterprise Agreement 顧客向けに、アドオンと して利用可能できます。 18
  10. 中国法 ひと目でわかる中国法 または、ひと目でわかる 21Vianet が運用する Microsoft 365 が求められる 中国のデータ関連法で特に抑えておく必要があるのは以下の通り。 2017年6月1日施行

    中国サイバーセキュリティ法(CSL) 2020年1月1日施行 中国暗号法 2021年9月1日施行 中国データセキュリティ法(DSL) 2021年11月1日施行 中国個人情報保護法(PIPL) 2022年9月1日 施行 データ国外移転安全評価弁法(CAC) 現地法人のある地域や分野によって一部追加がある場合もあります。 20
  11. Office 365 はどういう扱い? Office 365 は SaaS に該当するため、Microsoft が ネットワーク運用者となり、契約者は

    「利用者」という扱いになります。 そのため、等級保護認証 の 企業側での取得は不要ですが 21Vianet が運用する Office 365 で ある必要があります。 23
  12. 21Vianetが運用するOffice 365 24 シングルテナント 中国テナント データが置かれる場所 契約時のロケーション 中国 中国サイバーセキュリティ法 注意

    OK コラボレーション 制約なし 制約あり 機能差分 制約なし 制約あり データの制御 テナント内 テナント間 地域外ネットワークアクセス 一部遅延あり 一部遅延あり 中国アクセス GFW影響懸念あり GFWの影響なし
  13. 21Vianet のライセンス提供モデル 26 21Vianetが運営する Microsoft 365 Business Basic 21Vianetが運営する Microsoft

    365 Apps for business 21Vianetが運営する Microsoft 365 Business Standard 21Vianetが運営する Office 365 Enterprise E1 21Vianetが運営する Office 365 Enterprise E3 21Vianetが運営する Office 365 Enterprise F3 21Vianetが運営する Enterprise Mobility + Security E3 21Vianetが運営する Microsoft Power Platform 21Vianet「現地法人が契約してね」
  14. 21Vianet が運用する Office 365 Exchange Online / SharePoint Online /

    OneDrive for Business が利用可能です。 Microsoft Forms / Microsoft Planner / Microsoft Stream / Microsoft Teams などは 提供されません。 27
  15. 21Vianetが運用するコンプライアンス ポータル 32 機能 対応 Archiving 〇 Alert policies ×

    Availability forthcoming Microsoft Purview Audit (Standard) 〇 Content Search 〇 Microsoft Purview Data Loss Prevention 〇 eDiscovery cases 〇 eDiscovery export 〇 eDiscovery holds 〇 Microsoft Purview Data Lifecycle Management 〇 Manual sensitivity labels 〇 Microsoft Purview Message Encryption (Basic) 〇 https://learn.microsoft.com/en-us/office365/servicedescriptions/office-365-platform-service-description/office-365-operated-by-21vianet