Chrome 用 Microsoft Purview 拡張機能の概要

  • [アーティクル]

次の手順に従って、Chrome 用 Microsoft Purview 拡張機能をロールアウトします。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

注:

Chrome 用の Microsoft Purview 拡張機能は、Windows デバイスにのみ適用されます。 macOS デバイスでのデータ損失防止の適用には、この拡張機能は必要ありません。

はじめに

Chrome 用の Microsoft Purview 拡張機能を使用するには、デバイスをエンドポイント DLP にオンボードする必要があります。 DLP またはエンドポイント DLP を初めて使用する場合は、これらの記事を確認してください

SKU /サブスクリプション ライセンス

開始する前に、「Microsoft 365サブスクリプション」とアドオンを確認しなければなりません。 Endpoint DLP 機能にアクセスして使用するには、次のいずれかのサブスクリプションまたはアドオンが必要です。

  • Microsoft 365 E5
  • Microsoft 365 A5 (EDU)
  • Microsoft 365 E5 コンプライアンス
  • Microsoft 365 A5 コンプライアンス
  • Microsoft 365 E5 の情報保護とガバナンス
  • Microsoft 365 A5 の情報保護とガバナンス

ライセンスのガイダンスに関する詳細については、「セキュリティとコンプライアンスのための Microsoft 365 ライセンス ガイダンス」を参照してください。

  • organizationはエンドポイント DLP のライセンスが必要です。
  • デバイスで Windows 10 x64 ビルド 1809 以降を実行している必要があります。
  • デバイスにはマルウェア対策クライアント バージョン 4.18.2202.x 以降が必要です。 Windows セキュリティ アプリを開いて現在のバージョンを確認し、[設定] アイコンを選択し、[バージョン情報] を選択します。

アクセス許可

Endpoint DLP からのデータは、Activity エクスプローラーで表示します。 Activity エクスプローラーに権限を付与する役割は 7 つあります。データへのアクセスに使用するアカウントは、次のいずれかのメンバーでなければなりません。

  • グローバル管理者
  • コンプライアンス管理者
  • セキュリティ管理者
  • コンプライアンスデータ管理者
  • グローバルリーダー
  • セキュリティ閲覧者
  • レポート閲覧者

ロールと役割グループ

アクセス制御を微調整するために使用できるロールと役割グループがあります。

該当するロールの一覧を次に示します。 詳細については、Microsoft Purview コンプライアンス ポータルのアクセス許可に関するページを参照してください。

  • Information Protection 管理者
  • Information Protection アナリスト
  • Information Protection 調査員
  • Information Protection 閲覧者

該当する役割グループの一覧を次に示します。 詳細については、Microsoft Purview コンプライアンス ポータルのアクセス許可に関するページを参照してください。

  • 情報保護
  • Information Protection レベル
  • Information Protection アナリスト
  • Information Protection 調査担当者
  • Information Protection 閲覧者

インストールの全体的なワークフロー

拡張機能の導入は、複数の手順を踏まえて行われます。 一度に 1 台のマシンにインストールするか、organization全体のデプロイにMicrosoft Intuneまたはグループ ポリシーを使用できます。

  1. デバイスを準備します
  2. 基本的なセットアップ シングル マシンのセルフホスト
  3. Microsoft Intuneを使用してデプロイする
  4. グループ ポリシーを使用して展開する
  5. 拡張機能をテストする
  6. アラート管理ダッシュボードを使用して、Chrome DLP アラートを表示する
  7. Activity エクスプローラーでの Chrome DLPデータの表示

インフラストラクチャの準備

監視されているすべてのWindows 10/11 デバイスに拡張機能をロールアウトする場合は、許可されていないアプリと未適用のブラウザー リストから Google Chrome を削除する必要があります。 詳細については、「許可されていないブラウザー」を参照してください。 少数のデバイスにしかロールアウトしない場合は、Chrome を許可されていないブラウザーまたは許可されていないアプリのリストに残しておくことができます。 拡張機能がインストールされているコンピューターでは、両方のリストの表示制限が回避されます。

デバイスを準備する

  1. これらのトピックの手順を使用して、デバイスをオンボードします。
    1. エンドポイント データ損失防止の使用を開始する
    2. Windows 10 および Windows 11 デバイスのオンボード
    3. 情報保護のためにデバイス プロキシとインターネット接続の設定を構成する

基本的なセットアップ シングル マシンのセルフホスト

これは推奨される方法です。

  1. Microsoft Purview Extension - Chrome Web Store (google.com) に移動します。

  2. Chrome Web ストアのページに記載されている手順で、拡張機能をインストールします。

Microsoft Intuneを使用してデプロイする

この設定方法は、組織全体の展開に使用します。

強制的にインストールする手順をMicrosoft Intuneする

設定カタログを使用して、次の手順に従って Chrome 拡張機能を管理します。

  1. Microsoft Intune 管理センターにサインインします。

  2. 構成プロファイルに移動します。

  3. [プロファイルの作成] を選択します。

  4. プラットフォームとして [Windows 10 以降] を選択します。

  5. プロファイルの種類として [設定カタログ] を選択します。

  6. テンプレート名として [ カスタム ] を選択します。

  7. [作成] を選択します。

  8. [ 基本 ] タブに名前と省略可能な説明を入力し、[ 次へ] を選択します。

  9. [構成設定] タブで [設定の 追加]選択 します。

  10. [Google>Google Chrome> 拡張機能] を選択します

  11. [ 強制インストールされたアプリと拡張機能の一覧を構成する] を選択します

  12. トグルを [有効] に変更します。

  13. 拡張機能とアプリ ID と更新 URL に次の値を入力します。 echcggldkblhodogklpincgchnpgcdco;https://clients2.google.com/service/update2/crx

  14. [次へ] を選択します。

  15. 必要に応じて [スコープ タグ] タブで スコープ タグ を追加または編集し、[ 次へ] を選択します。

  16. [ 割り当て ] タブに必要な展開ユーザー、デバイス、グループを追加し、[ 次へ] を選択します。

  17. 必要に応じて [適用規則] タブに 適用規則 を追加し、[ 次へ] を選択します。

  18. [作成] を選択します。

グループ ポリシーを使用して展開する

Microsoft Intuneを使用しない場合は、グループ ポリシーを使用して、organization全体に拡張機能を展開できます。

Chrome 拡張機能を ForceInstall リストに追加する

  1. グループ ポリシー管理エディターで、OU に移動します。

  2. 以下のパスを展開します。[コンピューター/ユーザーの構成] >>[ポリシー] >>[管理用テンプレート] >>[クラシック管理用テンプレート] >>[Google] >>[Google Chrome] >>[拡張機能] このパスは、お使いの構成によって異なる場合があります。

  3. [強制インストールした拡張機能リストの構成] を選択します。

  4. 右クリックして、[編集] を選択します。

  5. [有効] を選択します。

  6. [表示] を選択します。

  7. [値] の下で、以下のエントリを追加します。echcggldkblhodogklpincgchnpgcdco;https://clients2.google.com/service/update2/crx

  8. [OK][適用] の順に選択します。

拡張機能をテストする

クラウド サービスへのアップロード、または許可されていないブラウザー クラウド エグレスによるアクセス

  1. 機密アイテムをCreateまたは取得し、organizationの制限されたサービス ドメインのいずれかにファイルをアップロードしてみてください。 機密データは、組み込みの [機密情報の種類] のいずれか、またはご所属の組織の機密情報の種類のいずれかに一致する必要があります。 テストを行っているデバイスでは、ファイルを開いた場合にこのアクションが許可されていないことを示す DLP トースト通知が表示されることが必要です。

Chrome で他の DLP シナリオをシミュレートする

許可されていないブラウザー/アプリの一覧から Chrome を削除したので、以下のシミュレーション シナリオを実行して、動作がorganizationの要件を満たしていることを確認できます。

  • クリップボードを使用して、機密アイテムのデータを他のドキュメントにコピーする
    • テストするには、クリップボードへのコピー操作に対して保護されているファイルを Chrome ブラウザーで開き、ファイルからデータのコピーを試します。
    • 予想される結果ファイルを開いた場合に、この操作が許可されていないことを示す DLP トースト通知が表示されます。
  • 文書を印刷する
    • テストするには、クリップボードへの印刷操作に対して保護されているファイルを Chrome ブラウザーで開き、ファイルの印刷を試します。
    • 予想される結果ファイルを開いた場合に、この操作が許可されていないことを示す DLP トースト通知が表示されます。
  • USB リムーバブル メディアにコピーする
    • テストするには、リムーバブル メディア ストレージにファイルを保存してみてください。
    • 予想される結果ファイルを開いた場合に、この操作が許可されていないことを示す DLP トースト通知が表示されます。
  • ネットワーク共有へのコピー
    • テストするには、ネットワーク共有へのファイルの保存を試します。
    • 予想される結果ファイルを開いた場合に、この操作が許可されていないことを示す DLP トースト通知が表示されます。

アラート管理ダッシュボードを使用して、Chrome DLP アラートを表示する

  1. Microsoft Purview コンプライアンス ポータルデータ損失防止ページを開き、アラートを選択します。

  2. エンドポイント DLP ポリシーのアラートを表示するには、「データ損失防止アラートダッシュボードの概要」および「Microsoft Defender XDRを使用してデータ損失インシデントを調査する」の手順を参照してください。

Activity エクスプローラーでのエンドポイント DLP データの表示

  1. Microsoft Purview コンプライアンス ポータルでドメインのデータ分類ページを開き、Activity エクスプローラーを選択します。

  2. エンドポイントデバイスのすべてのデータにアクセスしてフィルタリングするには、「Activity エクスプローラースタートガイド」の手順に従ってください。

    エンドポイント デバイスのアクティビティ エクスプローラー フィルター。

既知の問題と制限事項

  1. シークレット モードはサポートされていないため、無効にする必要があります。

次の手順

デバイスがオンボードされ、Activity Explorer でアクティビティデータを表示できるようになりました。次の手順に進み、機密アイテムを保護する DLP ポリシーを作成します。

関連項目