Chrome 用 Microsoft Purview 拡張機能の概要
次の手順に従って、Chrome 用 Microsoft Purview 拡張機能をロールアウトします。
ヒント
Microsoft Copilot for Security の使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を探ります。 Microsoft Purview の Microsoft Copilot for Security の詳細については、こちらをご覧ください。
注:
Chrome 用の Microsoft Purview 拡張機能は、Windows デバイスにのみ適用されます。 macOS デバイスでのデータ損失防止の適用には、この拡張機能は必要ありません。
開始する前に
Chrome 用の Microsoft Purview 拡張機能を使用するには、デバイスをエンドポイント データ損失防止 (DLP) にオンボードする必要があります。 DLP またはエンドポイント DLP を初めて使用する場合は、次の記事を確認してください。
- Chrome 用 Microsoft Purview 拡張機能の詳細
- Microsoft Purview データ損失防止についての説明
- データ損失防止ポリシーの作成と展開
- エンドポイント データ損失防止について
- エンドポイント データ損失防止を開始する
- Windows 10/11 デバイスのオンボード ツールと方法
- 情報保護のためにデバイス プロキシとインターネット接続の設定を構成する
- エンドポイントのデータ損失防止の使用
SKU /サブスクリプション ライセンス
開始する前に、「Microsoft 365サブスクリプション」とアドオンを確認しなければなりません。 エンドポイント DLP 機能にアクセスして使用するには、次のいずれかのサブスクリプションまたはアドオンが必要です。
- Microsoft 365 E5
- Microsoft 365 A5 (EDU)
- Microsoft 365 E5 コンプライアンス
- Microsoft 365 A5 コンプライアンス
- Microsoft 365 E5 の情報保護とガバナンス
- Microsoft 365 A5 の情報保護とガバナンス
ライセンスのガイダンスに関する詳細については、「セキュリティとコンプライアンスのための Microsoft 365 ライセンス ガイダンス」を参照してください。
- 組織にはエンドポイント DLP のライセンスが必要です。
- デバイスで Windows 10 x64 (ビルド 1809 以降) が実行されている必要があります。
- デバイスにはマルウェア対策クライアント バージョン 4.18.2202.x 以降が必要です。 Windows セキュリティ アプリを開いて現在のバージョンを確認し、[設定] アイコンを選択し、[バージョン情報] を選択します。
アクセス許可
Endpoint DLP からのデータは、Activity エクスプローラーで表示します。 アクティビティ エクスプローラーを表示および操作するためのアクセス許可を付与する 7 つのロールがあります。 データへのアクセスに使用するアカウントは、少なくとも 1 つのメンバーである必要があります。
- グローバル管理者
- コンプライアンス管理者
- セキュリティ管理者
- コンプライアンスデータ管理者
- グローバルリーダー
- セキュリティ閲覧者
- レポート閲覧者
重要
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は、特権の低いロールを使用できないシナリオでのみ使用する必要がある、高い特権を持つロールです。
ロールと役割グループ
アクセス制御を微調整するために使用できるロールと役割グループがあります。
該当するロールの一覧を次に示します。 詳細については、 Microsoft Purview コンプライアンス ポータルの「アクセス許可」を参照してください。
- Information Protection 管理者
- Information Protection アナリスト
- Information Protection 調査員
- Information Protection 閲覧者
該当する役割グループの一覧を次に示します。 詳細については、 Microsoft Purview コンプライアンス ポータルの「アクセス許可」を参照してください。
- 情報保護
- Information Protection レベル
- Information Protection アナリスト
- Information Protection 調査担当者
- Information Protection 閲覧者
インストールの全体的なワークフロー
拡張機能の導入は、複数の手順を踏まえて行われます。 一度に 1 台のコンピューターにインストールすることも、組織全体の展開に Microsoft Intune またはグループ ポリシーを使用することもできます。
- デバイスを準備します。
- 基本的なセットアップ シングル マシンのセルフホスト
- Microsoft Intune を使用して展開する
- グループ ポリシーを使用して展開する
- 拡張機能をテストする アラート管理ダッシュボードを使用して Chrome DLP アラートを表示する
- Activity エクスプローラーでの Chrome DLPデータの表示
インフラストラクチャの準備
監視対象のすべての Windows 10/11 デバイスに拡張機能をロールアウトする場合は、許可されていないアプリと未適用のブラウザー リストから Google Chrome を削除する必要があります。 詳細については、「許可されていないブラウザー」を参照してください。 一部のデバイスにのみロールアウトする場合は、許可されていないブラウザーまたは未適用のアプリ リストに Chrome を残すことができます。 拡張機能は、インストールされているコンピューターの両方のリストの制限をバイパスします。
デバイスを準備する
- デバイスをオンボードするには、次の記事の手順を使用します。
Chrome Enterprise Policy List & Management に従う |組織内のキーに
ExtensionManifestV2Availability
レジストリ文字列をデプロイするためのドキュメント:Software\Policies\Google\Chrome\ExtensionManifestV2Availability
基本的なセットアップ シングル マシンのセルフホスト
これは推奨される方法です。
Microsoft Purview Extension - Chrome Web Store (google.com) に移動します。
Chrome Web ストアのページに記載されている手順で、拡張機能をインストールします。
Microsoft Intune を使用して展開する
この設定方法は、組織全体の展開に使用します。
Microsoft Intune の強制インストール手順
設定カタログを使用して、次の手順に従って Chrome 拡張機能を管理します。
Microsoft Intune 管理センターにサインインします。
構成プロファイルに移動します。
[プロファイルの作成] を選択します。
プラットフォームとして [Windows 10 以降 ] を選択します。
プロファイルの種類として [設定カタログ] を選択します。
テンプレート名として [ カスタム ] を選択します。
[作成] を選択します。
[ 基本 ] タブに名前と省略可能な説明を入力し、[ 次へ] を選択します。
[構成設定] タブで [設定の 追加] を 選択 します。
[ Google>Google Chrome>Extensions] を選択します。
[ 強制インストールされたアプリと拡張機能の一覧を構成する] を選択します。
トグルを [有効] に変更します。
拡張機能とアプリ ID と更新 URL に次の値を入力します:
echcggldkblhodogklpincgchnpgcdco;https://clients2.google.com/service/update2/crx
。[次へ] を選択します。
必要に応じて [スコープ タグ] タブで スコープ タグ を追加または編集し、[ 次へ] を選択します。
[ 割り当て ] タブに必要な展開ユーザー、デバイス、グループを追加し、[ 次へ] を選択します。
必要に応じて [適用規則] タブに 適用規則 を追加し、[ 次へ] を選択します。
[作成] を選択します。
グループ ポリシーを使用して展開する
Microsoft Intune を使用しない場合は、グループ ポリシーを使用して組織全体に拡張機能を展開できます。
Chrome 拡張機能を ForceInstall リストに追加する
グループ ポリシー管理エディターで、OU に移動します。
以下のパスを展開します。[コンピューター/ユーザーの構成] >>[ポリシー] >>[管理用テンプレート] >>[クラシック管理用テンプレート] >>[Google] >>[Google Chrome] >>[拡張機能] このパスは、お使いの構成によって異なる場合があります。
[強制インストールした拡張機能リストの構成] を選択します。
右クリックして、[編集] を選択します。
[有効] を選択します。
[表示] を選択します。
[値] の下で、以下のエントリを追加します。
echcggldkblhodogklpincgchnpgcdco;https://clients2.google.com/service/update2/crx
[OK]、[適用] の順に選択します。
拡張機能をテストする
クラウド サービスへのアップロード、または許可されていないブラウザー クラウド エグレスによるアクセス
- 機密性の高いアイテムを作成または取得し、組織の制限付きサービス ドメインのいずれかにファイルをアップロードします。 機密データは、組み込みの [機密情報の種類] のいずれか、またはご所属の組織の機密情報の種類のいずれかに一致する必要があります。 ファイルが開いているときにこのアクションが許可されていないことを示す、テスト元のデバイスで DLP トースト通知を受け取る必要があります。
Chrome で他の DLP シナリオをシミュレートする
許可されていないブラウザー/アプリの一覧から Chrome を削除したので、以下の シミュレーション シナリオ を実行して、動作が組織の要件を満たしていることを確認できます。
- クリップボードを使用して、機密アイテムのデータを他のドキュメントにコピーする
- テストするには、クリップボードへのコピー操作に対して保護されているファイルを Chrome ブラウザーで開き、ファイルからデータのコピーを試します。
- 予期される結果: ファイルが開いているときにこのアクションが許可されていないことを示す DLP トースト通知。
- 文書を印刷する
- テストするには、クリップボードへの印刷操作に対して保護されているファイルを Chrome ブラウザーで開き、ファイルの印刷を試します。
- 予期される結果: ファイルが開いているときにこのアクションが許可されていないことを示す DLP トースト通知。
- USB リムーバブル メディアにコピーする
- テストするには、リムーバブル メディア ストレージにファイルを保存してみてください。
- 予期される結果: ファイルが開いているときにこのアクションが許可されていないことを示す DLP トースト通知。
- ネットワーク共有へのコピー
- テストするには、ネットワーク共有へのファイルの保存を試します。
- 予期される結果: ファイルが開いているときにこのアクションが許可されていないことを示す DLP トースト通知。
アラート管理ダッシュボードを使用して Chrome DLP アラートを表示する
Microsoft Purview コンプライアンス ポータルのデータ損失防止ページを開き、アラートを選択します。
エンドポイント DLP ポリシーのアラートを表示するには、「 データ損失防止アラート ダッシュボードの概要 」および 「Microsoft Defender XDR でデータ損失インシデントを調査 する」の手順を参照してください。
Activity エクスプローラーでのエンドポイント DLP データの表示
Microsoft Purview コンプライアンス ポータルでドメインのデータ分類ページを開き、Activity エクスプローラーを選択します。
エンドポイントデバイスのすべてのデータにアクセスしてフィルタリングするには、「Activity エクスプローラースタートガイド」の手順に従ってください。
既知の問題と制限事項
- シークレット モードはサポートされていないため、無効にする必要があります。
次の手順
デバイスをオンボードし、アクティビティ エクスプローラーでアクティビティ データを表示できるようになったので、機密アイテムを保護する DLP ポリシーを作成する次の手順に進む準備ができました。