カスタム メタデータ ラベル検出器を作成する

コンテンツ内の特定のメタデータ ラベルを検出するように Sensitive Data Protection を構成できます。メタデータは、サポートされているファイル形式から自動的に抽出するか、検査リクエストでアプリケーションから提供できます。Sensitive Data Protection でメタデータ基準に一致するコンテンツが見つかった場合、検出結果が生成されます。

メタデータ ラベルをスキャンするには、カスタム メタデータ ラベルの infoType を作成します。次に、その infoType を検索するように検査または検出スキャンを構成します。

利点と使用例

この機能を使用すると、既存の分類タクソノミーを検査とポリシーの適用に使用できます。ドキュメントにメタデータ ラベルを適用するカスタムまたはサードパーティの分類システムを使用している場合は、検査または検出オペレーション中にこれらのメタデータ ラベルを検出するように Sensitive Data Protection を構成できます。

使用例には、次のようなものがあります。

  • 特定の Key-Value ペアを含む Microsoft の機密ラベルの有無をファイルでスキャンします。
  • メタデータ ラベル検出と標準の InfoType 検出を組み合わせて、多層アプローチを実現します。
  • メタデータがファイルに埋め込まれていない場合でも、アプリケーションによってコンテンツとともに渡されるメタデータをスキャンします。
  • 特定のメタデータラベルに基づいて、Model Armor を使用してドキュメントをサニタイズします。この機能を Model Armor(または Gemini Enterprise などの Model Armor を使用するサービス)で使用するには、このカスタム メタデータ ラベル検出器を参照する Model Armor で Sensitive Data Protection の詳細の構成を作成する必要があります。

サポートされているファイル形式

  • DOCX
  • PDF
  • PPTX
  • XLSX

サポートされているメタデータ形式

この機能は、Microsoft Purview Information Protection のメタデータとクライアントが提供するメタデータを検出できます。

Microsoft Purview Information Protection メタデータ

この機能は、次の名前形式の Microsoft Purview 情報保護メタデータを検出できます。

MSIP_Label_GUID_ATTRIBUTE

次のように置き換えます。

  • GUID: メタデータのグローバル一意識別子。

  • ATTRIBUTE: メタデータの Microsoft Information Protection 属性。指定可能な値は次のとおりです。

    • ActionId
    • ContentBits
    • Enabled
    • Method
    • Name
    • SetDate
    • SiteId

クライアント提供のメタデータ

カスタム メタデータは InspectContent リクエストで直接指定できます。クライアントが指定したメタデータは、ContentItemContentMetadata フィールドで渡される Key-Value ペアのリストです。

制限事項

次の機能では、MetadataKeyValueExpression タイプのカスタム infoType はサポートされていません。

メタデータ ラベルのカスタム infoType 検出機能を作成する

メタデータ ラベルのカスタム infoType 検出機能を作成するには、InspectConfig オブジェクト内で MetadataKeyValueExpression タイプの CustomInfoType を定義します。CustomInfoType オブジェクトには次のプロパティがあります。

{
  "inspect_config": {
    "custom_info_types": [
      {
        "info_type": {
          "name": "CUSTOM_METADATA_LABEL_NAME"
        },
        "likelihood": "LIKELIHOOD",
        "sensitivityScore":{
          "score": "SENSITIVITY_SCORE"
        },
        "metadata_key_value_expression": {
          "key_regex": "KEY_REGULAR_EXPRESSION",
          "value_regex": "VALUE_REGULAR_EXPRESSION"
        }
      }
    ]
  }
}

次のように置き換えます。

  • CUSTOM_METADATA_LABEL_NAME: カスタム infoType 検出機能に割り当てる名前。
  • LIKELIHOOD:(省略可)このカスタム infoType に一致するすべての検出結果に割り当てる Likelihood 値。このフィールドを省略すると、デフォルトの可能性レベルは VERY_LIKELY になります。

  • SENSITIVITY_SCORE:(省略可)このカスタム infoType に一致するすべての検出結果に割り当てる SensitivityScore。このフィールドを省略すると、デフォルトの機密性スコアは HIGH になります。

    機密性スコアはデータ プロファイルで使用されます。データのプロファイリング時に、機密データの保護は、infoType の機密性スコアを使用して機密性レベルを計算します。

  • KEY_REGULAR_EXPRESSION: メタデータ ラベルのキーで検索する正規表現。

  • VALUE_REGULAR_EXPRESSION: メタデータ ラベルの値で検索する正規表現。

Microsoft 秘密度ラベルの検出項目の例

この inspect_config の例では、CUSTOM_MIP_HIGHLY_CONFIDENTIAL という名前のカスタム infoType を定義しています。このカスタム infoType は、GUID 12345678-9012-3456-7890-123456789012 を含み、有効になっている Microsoft Purview Information Protection ラベルを検出します。

{
  "inspect_config": {
    "custom_info_types": [
      {
        "info_type": {
          "name": "CUSTOM_MIP_HIGHLY_CONFIDENTIAL"
        },
        "likelihood": "VERY_LIKELY",
        "metadata_key_value_expression": {
          "key_regex": "MSIP_Label_12345678-9012-3456-7890-123456789012_Enabled",
          "value_regex": "true"
        }
      }
    ],
    "min_likelihood": "POSSIBLE"
  }
}

この構成を検査ジョブで使用すると、メタデータキー MSIP_Label_12345678-9012-3456-7890-123456789012_Enabled の値が true であるコンテンツが見つかった場合、Sensitive Data Protection は CUSTOM_MIP_HIGHLY_CONFIDENTIAL の検出結果を生成します。

クライアント提供のメタデータをスキャンする

クライアントが提供したメタデータ ラベルをスキャンする手順は次のとおりです。

  1. カスタム メタデータ ラベルの infoType 検出機能を作成します。
  2. スキャンするメタデータを ContentItemContentMetadata フィールドに含めます。

クライアント提供のメタデータのスキャン リクエストの例

次の例は、PDF ファイルとクライアント提供のメタデータの両方を含む InspectContent リクエストを示しています。リクエストは、CUSTOM_MIP_CONFIDENTIAL_INTERNAL_USE という名前のカスタム infoType を使用して、ファイルと、機密または社内使用とマークされたファイルの提供されたメタデータの両方をスキャンします。

{
  "inspect_config": {
    "custom_info_types": [
      {
        "info_type": {
          "name": "CUSTOM_MIP_CONFIDENTIAL_INTERNAL_USE"
        },
        "likelihood": "VERY_LIKELY",
        "metadata_key_value_expression": {
          "key_regex": "MSIP_Label_.*_Name",
          "value_regex": "Confidential|Internal Use"
        }
      }
    ]
  },
  "item": {
    "byte_item": {
      "type": "PDF",
      "data": "BASE64_ENCODED_PDF"
    },
    "content_metadata": {
      "properties": [
        {
          "key": "MSIP_Label_174b6716-c2ea-4041-b631-5633733fbe46_Name",
          "value": "Confidential"
        }
      ]
    }
  }
}

BASE64_ENCODED_PDF は、スキャンする base64 でエンコードされたファイルに置き換えます。

Sensitive Data Protection がクライアントから提供されたメタデータで一致するものを検出した場合、MetadataLocation の検出結果の MetadataTypeCLIENT_PROVIDED_METADATA になります。一致がファイル抽出メタデータ(MSIP ラベルなど)にある場合、値は CONTENT_METADATA です。

MetadataLocationMetadataType は、一致がファイル抽出されたメタデータとクライアント提供のメタデータのどちらにあるかに基づいて入力されます。

次のステップ