次の方法で共有


Firefox 用 Microsoft Purview 拡張機能の概要

Firefox 用 Microsoft Purview 拡張機能をロールアウトするには、次の手順に従います。

ヒント

Microsoft Copilot for Security の使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を探ります。 Microsoft Purview の Microsoft Copilot for Security の詳細については、こちらをご覧ください。

開始する前に

Firefox 用の Microsoft Purview 拡張機能を使用するには、デバイスをエンドポイント DLP にオンボードする必要があります。 DLP またはエンドポイント DLP を初めて使用する場合は、これらの記事を確認してください

SKU /サブスクリプション ライセンス

開始する前に、「Microsoft 365サブスクリプション」とアドオンを確認しなければなりません。 Endpoint DLP 機能にアクセスして使用するには、次のいずれかのサブスクリプションまたはアドオンが必要です。

  • Microsoft 365 E5
  • Microsoft 365 A5 (EDU)
  • Microsoft 365 E5 コンプライアンス
  • Microsoft 365 A5 コンプライアンス
  • Microsoft 365 E5 の情報保護とガバナンス
  • Microsoft 365 A5 の情報保護とガバナンス

ライセンスのガイダンスに関する詳細については、「セキュリティとコンプライアンスのための Microsoft 365 ライセンス ガイダンス」を参照してください。

  • 組織にエンドポイント DLP のライセンスが付与されている必要があります
  • デバイスで Windows 10 x64 ビルド 1809 以降を実行している必要があります。
  • デバイスで Antimalware Client バージョン 4.18.2202.x 以降を実行している必要があります。 Windows セキュリティ アプリを開いて現在のバージョンを確認し、[設定] アイコンを選択して、[バージョン情報] を選択します。

アクセス許可

Endpoint DLP からのデータは、Activity エクスプローラーで表示します。 Activity エクスプローラーに権限を付与する役割は 7 つあります。データへのアクセスに使用するアカウントは、次のいずれかのメンバーでなければなりません。

  • グローバル管理者
  • コンプライアンス管理者
  • セキュリティ管理者
  • コンプライアンスデータ管理者
  • グローバルリーダー
  • セキュリティ閲覧者
  • レポート閲覧者

重要

Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は、特権の低いロールを使用できないシナリオでのみ使用する必要がある、高い特権を持つロールです。

ロールと役割グループ

アクセス制御を微調整するために使用できるロールと役割グループがあります。

該当するロールの一覧を次に示します。 詳細については、 Microsoft Purview コンプライアンス ポータルの「アクセス許可」を参照してください。

  • Information Protection 管理者
  • Information Protection アナリスト
  • Information Protection 調査員
  • Information Protection 閲覧者

該当する役割グループの一覧を次に示します。 これらの役割グループの詳細については、 Microsoft Purview コンプライアンス ポータルの「アクセス許可」を参照してください。

  • 情報保護
  • Information Protection レベル
  • Information Protection アナリスト
  • Information Protection 調査担当者
  • Information Protection 閲覧者

インストールの全体的なワークフロー

拡張機能の導入は、複数の手順を踏まえて行われます。 一度に 1 台のコンピューターにインストールするか、組織全体の展開に Microsoft Intune またはグループ ポリシーを使用することを選択できます。

  1. デバイスを準備します
  2. 基本的なセットアップ シングル マシンのセルフホスト
  3. Microsoft Intune を使用して展開する
  4. グループ ポリシーを使用して展開する
  5. 拡張機能をテストする
  6. アラート管理ダッシュボードを使用して Firefox DLP アラートを表示する
  7. アクティビティ エクスプローラーでの Firefox DLP データの表示

インフラストラクチャの準備

監視されているすべての Windows 10 デバイスに拡張機能をロールアウトする場合は、許可されていないアプリと未適用のブラウザー リストから Mozilla Firefox を削除する必要があります。 詳細については、「許可されていないブラウザー」を参照してください。 いくつかのデバイスにのみ展開している場合は、Firefox を未適用のブラウザーまたは未適用のアプリリストに残すことができます。 拡張機能は、インストールされているコンピューターの両方のリストの制限をバイパスします。

デバイスを準備する

  1. デバイスをオンボードするには、次の記事の手順を使用します。
    1. エンドポイント データ損失防止の使用を開始する
    2. Windows 10 および Windows 11 デバイスのオンボード
    3. 情報保護のためにデバイス プロキシとインターネット接続の設定を構成する

基本的なセットアップ シングル マシンのセルフホスト

これは推奨される方法です。

  1. 最初の XPI ファイルをダウンロードします。

  2. エクスプローラーで拡張機能を見つけて、ファイルを開いている Mozilla Firefox ウィンドウにドラッグします。

  3. インストールを確認します。

Microsoft Intune を使用して展開する

この設定方法は、組織全体の展開に使用します。

Microsoft Intune の強制インストール手順

強制インストールされた拡張機能の一覧に拡張機能を追加する前に、Firefox ADMX を取り込む必要があります。 Microsoft Intune でのこのプロセスの手順については、以下を参照してください。 これらの手順を開始する前に、 Firefox GitHub から最新の Firefox ADMX をダウンロードしていることを確認してください。

Firefox ADMX を取り込むには、次の手順に従います。

  1. Microsoft エンドポイント マネージャー管理センターにサインインします。

  2. [ デバイス] に移動し、[ 構成] に移動します。

  3. [ 新しいポリシーの作成] を選択します

  4. プラットフォームとして [Windows 10以降 ] を選択します。

  5. プロファイルの種類として [テンプレート ] と [カスタム ] を選択し、[ 作成] をクリックします。

  6. Firefox ADMX などのわかりやすい名前と、省略可能な説明を入力します。

  7. [OMA-URI 設定の追加] をクリックし、次のポリシー情報を入力します。

    名前: わかりやすい名前。

    説明: 省略可能な説明

    OMA-URI: ./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/Firefox/Policy/FirefoxAdmx

    データ型: String

    値: ダウンロードした firefox.admx ファイルのすべてのテキストを [値 ] フィールドにコピーします

  8. [作成] を選択します。

ADMX を取り込んだ後、以下の手順でこの拡張機能の構成プロファイルを作成します。

  1. Microsoft Intune 管理センターにサインインします。

  2. 構成プロファイルに移動します。

  3. [プロファイルの作成] を選択します。

  4. Windows 10 をプラットフォームとして選択します。

  5. プロファイルの種類として [カスタム] を選択します。

  6. [設定] タブを選択します。

  7. [追加] を選択します。

  8. 次のポリシー情報を入力します。

    OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Firefox~Policy~firefox~Extensions/ExtensionSettings
    データ型: String
    値: <enabled/><data id="ExtensionSettings" value='{"microsoft.defender.browser_extension.native_message_host@microsoft.com":{"installation_mode": "force_installed", "install_url": "https://github.com/microsoft/purview/raw/main/endpointDLP/browser_extension/prod-1.1.0.212.xpi","updates_disabled":false}}'/>

  9. 注: 拡張機能が時間の経過と同時に自動的に更新されるように、 updates_disabledfalse に設定することが重要です。

  10. [作成] を選択します。

グループ ポリシーを使用して展開する

Microsoft Intune を使用しない場合は、グループ ポリシーを使用して組織全体に拡張機能を展開できます。

ForceInstall リストへの Firefox 拡張機能の追加

  1. グループ ポリシー管理エディターで、OU に移動します。

  2. 次のパス [Computer/User configuration>Policies>Administrative templates>Classic 管理用テンプレート>Firefox>Extensions を展開します。 このパスは、お使いの構成によって異なる場合があります。

  3. [インストールする拡張機能] を選択します

  4. 右クリックして、[編集] を選択します。

  5. [有効] を選択します。

  6. [表示] を選択します。

  7. [値] の下で、以下のエントリを追加します。https://github.com/microsoft/purview/raw/main/endpointDLP/browser_extension/prod-1.1.0.212.xpi

  8. [OK][適用] の順に選択します。

拡張機能をテストする

クラウド サービスへのアップロード、または許可されていないブラウザー クラウド エグレスによるアクセス

  1. 機密性の高いアイテムを作成または取得し、組織の制限されたサービス ドメインの 1 つへのファイルのアップロードを試します。 機密データは、組み込みの [機密情報の種類] のいずれか、またはご所属の組織の機密情報の種類のいずれかに一致する必要があります。 ファイルが開いているときにこのアクションが許可されていないことを示す、テスト元のデバイスで DLP トースト通知を受け取る必要があります。

Firefox で他の DLP シナリオをテストする

許可されていないブラウザー/アプリの一覧から Firefox を削除したので、以下のシナリオのポリシーでシミュレーションを実行して、動作が組織の要件を満たしていることを確認できます。

  • クリップボードを使用して、機密アイテムのデータを他のドキュメントにコピーする
    • テストするには、Firefox ブラウザーでクリップボードへのコピーアクションから保護されているファイルを開き、ファイルからデータをコピーします。
    • 予期される結果: ファイルが開いているときにこのアクションが許可されていないことを示す DLP トースト通知。
  • 文書を印刷する
    • テストするには、Firefox ブラウザーで印刷アクションから保護されているファイルを開き、ファイルの印刷を試みます。
    • 予期される結果: ファイルが開いているときにこのアクションが許可されていないことを示す DLP トースト通知。
  • USB リムーバブル メディアにコピーする
    • テストするには、リムーバブル メディア ストレージにファイルを保存してみてください。
    • 予期される結果: ファイルが開いているときにこのアクションが許可されていないことを示す DLP トースト通知。
  • ネットワーク共有へのコピー
    • テストするには、ネットワーク共有へのファイルの保存を試します。
    • 予期される結果: ファイルが開いているときにこのアクションが許可されていないことを示す DLP トースト通知。

アラート管理ダッシュボードを使用して Firefox DLP アラートを表示する

  1. Microsoft Purview コンプライアンス ポータルデータ損失防止ページを開き、アラートを選択します。

  2. エンドポイント DLP ポリシーのアラートを表示するには、「 データ損失防止アラート ダッシュボードの概要 」および 「Microsoft Defender XDR でデータ損失インシデントを調査 する」の手順を参照してください。

アクティビティ エクスプローラーでの Firefox DLP データの表示

  1. Microsoft Purview コンプライアンス ポータルでドメインのデータ分類ページを開き、Activity エクスプローラーを選択します。

  2. エンドポイントデバイスのすべてのデータにアクセスしてフィルタリングするには、「Activity エクスプローラースタートガイド」の手順に従ってください。

既知の問題と制限事項

  1. シークレット モードはサポートされていないため、無効にする必要があります。

次の手順

デバイスをオンボードし、アクティビティ エクスプローラーでアクティビティ データを表示できるようになったので、機密アイテムを保護する DLP ポリシーを作成する次の手順に進む準備ができました。

関連項目