Shieldアクセスポリシーのルール設定は、アクセスポリシーの構成に使用されます。 アクセスポリシーには、セキュリティコントロールの種類が1つ以上含まれているほか、すべてのポリシーとセキュリティコントロールの種類に共通する設定と、各セキュリティコントロールの種類に固有の設定があります。 このトピックのセクションは以下のとおりです。
アクセスポリシーの共通設定
すべてのアクセスポリシーに共通する設定は以下のとおりです。
- ポリシー名
- 一意の短くてわかりやすい名前を入力します。 最大文字数は80文字です。
- 説明
- ポリシーの目的や機能をまとめた説明を入力します (省略可)。 最大文字数は255文字です。
- コンテンツの種類
-
アクセスポリシーの適用先となるコンテンツを定義します。 次のいずれかを選択します。
- [分類ラベルがないすべてのコンテンツに適用する] - 組織内のすべてのコンテンツにポリシーを適用する場合。
- [次の分類ラベルを含むコンテンツにのみ適用する] (デフォルト) の後に分類ラベルを1つ選択する (必須) - 組織内の定義された分類ラベルを含むコンテンツにのみポリシーを適用する場合。
セキュリティコントロールの共通設定
アクセスポリシーには1つ以上のセキュリティコントロールを含めることができます。 いくつかのセキュリティコントロールの種類 ([外部コラボレーションの制限]、[共有リンクの制限]、[ダウンロードと印刷の制限]、[アプリケーションの制限]、[FTPの制限]) には、以下の設定が含まれています。
- 適用するアクション
- セキュリティコントロールによってアクセスポリシーが開始されたときに発生するアクションを定義します。 次のいずれかを選択します。
- [制限の適用] (デフォルト) - アクセスポリシーを開始後に有効にします。 ユーザーに対してポリシーを適用する準備ができている場合は、このオプションを選択します。
- [制限違反の監視] - ユーザーに警告や制限を行わずに、アクセスポリシーに違反するユーザー操作を監視します。 このアクセスポリシーがユーザーに及ぼす影響についてデータを収集する場合は、このオプションを選択します。
固有のセキュリティコントロール設定
次のセクションでは、アクセスポリシーに追加できるセキュリティコントロールの設定について説明します。
[外部コラボレーションの制限] の設定
以下の設定は、アクセスポリシーに [外部コラボレーションの制限] セキュリティコントロールを追加する際に構成できます。
- Domain and User Restriction (ドメインとユーザーの制限)
- ポリシーによって外部コラボレーションが許可またはブロックされるドメインとユーザーを定義します。 次のいずれかを選択します。
- [指定されたドメインと外部ユーザーのみを許可する] を選択した後、[選択] をクリックして、外部ドメインやメールアドレスを1つ以上入力します。 ポリシーに一致するファイルの外部コラボレーションは、指定されたドメインおよびメールアドレスのみに限定され、他のすべてのユーザーでブロックされます。
-
[指定されたドメインをブロックする] を選択した後、[選択] をクリックして、ポリシーによって外部コラボレーションをブロックする相手を定義する外部ドメインを1つ以上入力します。 ポリシーに一致するファイルの外部コラボレーションは、指定されたドメインおよびメールアドレスでブロックされ、他のすべてのユーザーで許可されます。
[ブロックされたドメインを選択] ダイアログボックスでは、[一部の外部ユーザーを許可する] を有効にし、1つ以上のメールアドレスを入力することもできます。 このフィールドのメールアドレスのうち、ブロックされたドメインのリストに含まれているものについては、外部コラボレーションがブロックされることはありません。
- [すべての外部コラボレーションをブロックする] を選択すると、ポリシーに一致するファイルのコンテンツでの外部コラボレーションがすべてブロックされます。
- 適用先
- ポリシーが適用されるコラボレーションを定義します。 次のいずれかを選択します。
- [新規の外部コラボレーションのみ] - ポリシーが適用された後に作成されたコラボレーションにのみポリシーを適用する場合。
- [既存および新規の外部コラボレーション] - すべてのコラボレーションにポリシーを適用する場合。 ポリシーが有効になった後、ポリシーが適用される既存のコラボレーションが特定されるまでに若干時間がかかる可能性があります。また、コラボレーションが制限されてもコラボレータに通知されないことに注意してください。
注
既存のコラボレータは、ポリシーに一致するファイルの表示が制限されますが、コラボレーションから削除されることはありません。 この制限が解除されると、コラボレーションはそのままであるため、コラボレータは再度コラボレーションファイルにアクセスできます。
- ユーザーの正当な理由
- 任意の新規コラボレーションに対して、定義済みの業務上の正当な理由を指定することで、ユーザーがこれらの制限を回避できるようにするかどうかを決定します。 [ユーザーの正当な理由を許可する] を有効にした場合は、管理対象ユーザーが外部コラボレーションの作成時にポリシーによる制限を回避するために選択できる業務上の正当な理由を1~10個追加する必要があります。
業務上の正当な理由を追加するには
- [ユーザーの正当な理由を許可する] を有効にします。
- 業務上の正当な理由を1つ以上入力します。 追加するには、[正当な理由を追加] をクリックします (最大10個まで)。
- [完了] をクリックします。
セキュリティコントロールに業務上の正当な理由を追加したら、正当な理由を変更、追加、削除するには [正当な理由を編集] をクリックします。
[プレビュー] をクリックすると、ユーザーに表示される内容のサンプルが表示されます。
[共有リンクの制限] の設定
以下の設定は、アクセスポリシーに [共有リンクの制限] セキュリティコントロールを追加する際に構成できます。
- 共有リンクの制限
- ポリシーに一致するファイルの共有リンクにアクセスできるユーザーを決定します。 次のいずれかを選択します。
- [リンクを知っている全員] - 社外のユーザーを含む全員が共有リンクを介して、ポリシーに一致するファイルにアクセスできるようにする場合。サインインは不要です。
- [会社のユーザーと招待されたユーザー] - 会社のすべてのユーザーやファイルまたはフォルダに招待されたユーザーが共有リンクを介して、ポリシーに一致するファイルにアクセスできるようにする場合。
- [招待されたユーザーのみ] - ファイルまたはフォルダに招待されたユーザーのみが共有リンクを介して、ポリシーに一致するファイルにアクセスできるようにする場合。
[ダウンロードと印刷の制限] の設定
以下の設定は、アクセスポリシーに [ダウンロードと印刷の制限] セキュリティコントロールを追加する際に構成できます。
- ダウンロードと印刷の制限
- ポリシーに一致するファイルについてダウンロードと印刷の制限を適用する場所とユーザーを決定します。 アクセスポリシーに追加されると、最大レベルの制限がデフォルトで選択されます。 次のいずれかを選択します。
- [Boxウェブアプリ向け] - ウェブブラウザでBoxを使用する場合にファイルアクティビティに対して制限が適用されます。 このオプションでは、デスクトップでの編集 (Box Editを使用)、Microsoft Office Onlineでの編集時の印刷操作、Boxウェブアプリまたはブラウザからの印刷操作も制限されます。
- [モバイル向け] - Box Mobileアプリを使用する場合にファイルアクティビティに対して制限が適用されます。
- [Boxデスクトップ向け] - 以下の機能内でのファイルアクティビティに対して制限が適用されます。
- Box Drive
- Box Sync
- Box for Microsoft Office共同編集機能
- Box for Office
上記の各オプションでは、制限を適用するユーザーも選択します。 デフォルトでは、最も厳しい制限が選択されます。 各オプションでは、以下を含めることも除外することもできます。
- [管理対象ユーザーを制限する] を選択し、以下から選択します。
- 所有者/共同所有者を除くすべてのユーザーを制限する
- 所有者/共同所有者と編集者を除くすべてのユーザーを制限する
- すべての外部ユーザーを制限する
[アプリケーションの制限] の設定
以下の設定は、アクセスポリシーに [アプリケーションの制限] セキュリティコントロールを追加する際に構成できます。
- アプリケーションによるコンテンツのダウンロード制限を指定
- ポリシーに一致するファイルのダウンロードを制限するアプリケーションを決定します。 次のいずれかを選択します。
- [すべてのアプリケーションに対してコンテンツのダウンロードをブロックする] (デフォルト) - 統合アプリケーション (ウェブ版のMicrosoft Office、Google Workspace、Apple iWork、Adobe Acrobatオンラインサービスを除く) および公開カスタムアプリケーションでは、ポリシーに一致するファイルをダウンロードできなくなります。
- [指定したアプリケーションに対してコンテンツのダウンロードをブロックする] を選択した後、ポリシーに一致するファイルをダウンロードできないようにする統合アプリケーションや公開カスタムアプリケーションを1つ以上入力します。
- [指定したアプリケーションにのみコンテンツのダウンロードを許可する] を選択した後、ポリシーに一致するファイルのダウンロードを許可する統合アプリケーションや公開カスタムアプリケーションを1つ以上入力します。
注
以下のアプリケーションでは、ここで指定していなくても、ユーザーがファイルを右クリックして [開く] コマンドを選択すると、コンテンツをダウンロードできます。
- ウェブ版のMicrosoft Office
- Google Workspace
- Apple iWork
- Adobe Acrobat Online
[FTPの制限] の設定
以下の設定は、アクセスポリシーに [FTPの制限] セキュリティコントロールを追加する際に構成できます。
- FTPダウンロードを制限する
- ポリシーに一致するファイルに対して、FTP (ファイル転送プロトコル) を介したダウンロードを無効にするかどうかを決定します。 デフォルトでは無効です。
注
[FTPの制限] はBox Notesではサポートされていません。
[電子すかしの適用] の設定
以下の設定は、アクセスポリシーに [電子すかしの適用] セキュリティコントロールを追加する際に構成できます。
- 電子すかしを有効にする
-
ポリシーに一致するファイルのドキュメントコンテンツ全体に、現在のビューアーのユーザー名とアクセス時刻を示す半透明のオーバーレイを適用するかどうかを決定します。 次のいずれかを選択します。
- [有効] (デフォルト) - ポリシーに一致するファイルに電子すかしを適用します。
- [無効] - ポリシーに一致するファイルの既存の電子すかしを削除します。
この適用された電子すかしは、すべてのコラボレータのロールでファイルをプレビューしたときに表示されるほか、特定のコラボレータのロールでダウンロードしたファイルと印刷したファイルにも適用されます。 Box Notesおよび一部のファイルの種類では、電子すかしはサポートされていません。 Boxの電子すかしの詳細については、ファイルの電子すかしを参照してください。
[Box Signリクエスト制限] の設定
以下の設定は、アクセスポリシーに [Box Signリクエスト制限] セキュリティコントロールを追加する際に構成できます。
- Box Signを使用したコンテンツの署名リクエストを制限する
- ポリシーに一致するファイルに対してBox Signリクエストを制限するか特別に有効にするかを決定します。 次のいずれかを選択します。
- [有効] (デフォルト) - ポリシーに一致するファイルに対して、ユーザーがBox Signリクエストを開始できないようにします。
- [無効] - ポリシーに一致するファイルに対して、ユーザーがBox Signリクエストを開始することを特別に許可します。この設定は、[ダウンロードと印刷の制限] および [共有リンク制限] よりも優先されます。