オンプレミスのデータ損失防止リポジトリの概要

注:

情報保護スキャナーの新しいバージョンがあります。 詳細については、「Microsoft Purview 情報保護 スキャナーのアップグレード」を参照してください。

この記事では、DLP ポリシーでオンプレミスリポジトリの場所Microsoft Purview データ損失防止使用するための前提条件と構成について説明します。

ヒント

Microsoft Copilot for Security の使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を検討します。 Microsoft Purview のセキュリティMicrosoft Copilotの詳細については、こちらをご覧ください。

はじめに

SKU /サブスクリプションライセンス

DLP ポリシーの使用を開始する前に、 Microsoft 365 サブスクリプション とアドオンを確認してください。

ライセンスの詳細については、「Microsoft 365、Office 365、Enterprise Mobility + Security、Windows 11 Subscriptions for Enterprises」を参照してください。

重要

ファイルの追加またはファイルの使用によってスキャンされた場所に貢献するすべてのユーザーは、スキャナー ユーザーだけでなく、ライセンスを持っている必要があります。

アクセス許可

DLP からのデータは 、アクティビティ エクスプローラーで表示できます。 Activity エクスプローラーに権限を付与する役割は4つあります。データへのアクセスに使用するアカウントは、次のいずれかのメンバーでなければなりません。

• グローバル管理者
• コンプライアンス管理者
• セキュリティ管理者
• コンプライアンス データ管理者

重要

Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は、特権の低いロールを使用できないシナリオでのみ使用する必要がある、高い特権を持つロールです。

ロールとロールのグループ

には、アクセス制御を微調整するためにテストできるロールとロール グループがあります。

該当するロールの一覧を次に示します。 詳細については、Microsoft Purview コンプライアンス ポータルのアクセス許可に関するページを参照してください。

• Information Protection 管理者
• Information Protection アナリスト
• Information Protection 調査員
• Information Protection 閲覧者

該当する役割グループの一覧を次に示します。 詳細については、「Microsoft Purview コンプライアンス ポータルのアクセス許可」を参照してください。

• 情報保護
• Information Protection レベル
• Information Protection アナリスト
• Information Protection 調査担当者
• Information Protection 閲覧者

DLP オンプレミス リポジトリの前提条件

• Microsoft Purview 情報保護 スキャナーは、DLP ポリシーの照合とポリシーの適用を実装します。 スキャナーは情報保護クライアントの一部としてインストールされるため、インストールは、権限管理暗号化サービス、情報保護クライアント、および情報保護スキャナーのすべての前提条件を満たす必要があります。
• クライアントとスキャナーをデプロイします。 詳細については、「 情報保護クライアントのインストールまたはアップグレード 」および「情報保護 スキャナーの構成とインストール」を参照してください。
• すべての検出ルールが機密情報タイプのみに基づいている場合でも、テナントには少なくとも 1 つのラベルとポリシーが公開されている必要があります。

DLP オンプレミス スキャナーを展開する

現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

Microsoft Purview ポータル

1. Microsoft Purview ポータルにサインインします。

2. 情報保護クライアントのインストールまたはアップグレードに関するページの手順に従います。

3. 情報保護スキャナーの構成とインストールの手順に従って、スキャナーのインストールを完了します。

   1. コンテンツ スキャン ジョブを作成し、DLP エンジンによって評価されるファイルをホストするリポジトリを指定する必要があります。
   2. 作成したコンテンツ スキャン ジョブで DLP ルールを有効にし、[ 適用 ] オプションを [オフ ] に設定します (DLP 強制ステージに直接進む場合を除く)。

4. コンテンツ スキャン ジョブが適切なクラスターに割り当てられていることを確認します。 コンテンツ スキャン ジョブを作成していない場合は、新しいジョブを作成し、スキャナー ノードを含むクラスターに割り当てます。

5. Microsoft Purview ポータルに接続し、スキャンを実行するコンテンツ スキャン ジョブにリポジトリを追加します。

6. 次のいずれかの操作を実行して、スキャンを実行します。

   1. スキャナーのスケジュールを設定する
   2. ポータルで手動 の [今すぐスキャン ] オプションを使用する
   3. Start-Scan PowerShell コマンドレットを実行する

   重要

   スキャナーは既定でリポジトリのデルタ スキャンを実行し、ファイルが変更されたか、完全再スキャンを開始しない限り、以前のスキャン サイクルでスキャンされたファイルはスキップされることに注意してください。 完全再スキャンは、UI の [すべてのファイルを再スキャン する] オプションを使用するか、 Start-Scan -Reset を実行して開始できます。

7. Microsoft Purview ポータル>データ損失防止>ポリシーを開きます。

8. [ + ポリシーの作成 ] を選択し、テスト DLP ポリシーを作成します。 ポリシー の作成に関するヘルプが必要な場合は、「データ損失防止ポリシーの作成と展開 」を参照してください。 この機能に慣れるまで、 必ずシミュレーション モードでポリシーを実行 してください。 ポリシーには、次のパラメータを使用します。

   1. 必要に応じて、DLP オンプレミス リポジトリ ルールを特定の場所にスコープを設定します。 場所を [すべて] にスコープを設定すると、スキャンされたすべてのファイルが DLP ルールの照合と適用の対象になります。
   2. 場所を指定するときは、除外リストまたは包含リストのいずれかを使用できます。 ルールは、包含リストにリストされているパターンの 1 つに一致するパスにのみ関連するか、包含リストにリストされているパターンに一致するファイルを除くすべてのファイルに関連するように定義できます。 ローカル パスはサポートされていません。 有効なパスの例を次に示します。
   • \\server\share
   • \\server\share\folder1\subfolderabc
   • *\folder1
   • *secret*.docx
   • *秘密*。*
   • https:// sp2010.local/sites/HR
   • https://*/HR
   1. 許容できない値の使用例を次に示します。
   • *
   • *\ある
   • Aaa
   • c:\
   • C:\test

重要

除外リストは、包含リストよりも優先されます。

コンプライアンス ポータル

1. Microsoft Purview コンプライアンス ポータルを開きます。

2. 情報保護クライアントのインストールまたはアップグレードに関するページの手順に従います。

3. 情報保護スキャナーの構成とインストールの手順に従って、スキャナーのインストールを完了します。

   1. コンテンツ スキャン ジョブを作成し、DLP エンジンによって評価されるファイルをホストするリポジトリを指定する必要があります。
   2. 作成したコンテンツ スキャン ジョブで DLP ルールを有効にし、[ 適用 ] オプションを [オフ ] に設定します (DLP 強制ステージに直接進む場合を除く)。

4. コンテンツ スキャン ジョブが適切なクラスターに割り当てられていることを確認します。 コンテンツ スキャン ジョブを作成していない場合は、新しいジョブを作成し、スキャナー ノードを含むクラスターに割り当てます。

5. Microsoft Purview コンプライアンス ポータルに接続し、スキャンを実行するコンテンツ スキャン ジョブにリポジトリを追加します。

6. 次のいずれかの操作を実行して、スキャンを実行します。

   1. スキャナーのスケジュールを設定する
   2. ポータルで手動 の [今すぐスキャン ] オプションを使用する
   3. Start-Scan PowerShell コマンドレットを実行する

   重要

   スキャナーは既定でリポジトリのデルタ スキャンを実行し、ファイルが変更されたか、完全再スキャンを開始しない限り、以前のスキャン サイクルでスキャンされたファイルはスキップされることに注意してください。 完全再スキャンは、UI の [すべてのファイルを再スキャン する] オプションを使用するか、 Start-Scan-Reset を実行して開始できます。

7. Microsoft Purview コンプライアンス ポータルのデータ損失防止ページを開きます。

8. [ポリシーの作成] を選択し、テスト DLP ポリシーを作成します。 ポリシー の作成に関するヘルプが必要な場合は、「データ損失防止ポリシーの作成と展開 」を参照してください。 この機能に慣れるまで、 必ずシミュレーション モードでポリシーを実行 してください。 ポリシーには、次のパラメータを使用します。

   1. 必要に応じて、DLP オンプレミス リポジトリ ルールを特定の場所にスコープを設定します。 場所を [すべて] にスコープを設定すると、スキャンされたすべてのファイルが DLP ルールの照合と適用の対象になります。
   2. 場所を指定するときは、除外リストまたは包含リストのいずれかを使用できます。 ルールは、包含リストにリストされているパターンの 1 つに一致するパスにのみ関連するか、包含リストにリストされているパターンに一致するファイルを除くすべてのファイルに関連するように定義できます。 ローカル パスはサポートされていません。 有効なパスの例を次に示します。
   • \\server\share
   • \\server\share\folder1\subfolderabc
   • *\folder1
   • *secret*.docx
   • *秘密*。*
   • https:// sp2010.local/sites/HR
   • https://*/HR
   1. 許容できない値の使用例を次に示します。
   • *
   • *\ある
   • Aaa
   • c:\
   • C:\test

重要

除外リストは、包含リストよりも優先されます。

DLP アラートの表示

1. Microsoft Purview コンプライアンス ポータルのデータ損失防止ページを開き、アラートを選択します。

2. オンプレミス DLP ポリシーのアラートを表示するには、「データ損失防止アラートダッシュボードの概要」および「Microsoft Defender XDRを使用してデータ損失インシデントを調査する」の手順を参照してください。

アクティビティ エクスプローラーと監査ログでの DLP データの表示

注:

Information Protection スキャナーでは、監査を有効にする必要があります。 Microsoft 365 では、監査が既定で有効になっています。

1. Microsoft Purview コンプライアンス ポータルでドメインのデータ分類ページを開き、Activity エクスプローラーを選択します。

2. オンプレミス スキャナーの場所のすべてのデータにアクセスしてフィルタリングするには、「Activity エクスプローラースタートガイド」の手順に従ってください。

3. コンプライアンス センターで監査ログを開きます。 DLP ルールの一致は、監査ログ UI で使用することも、PowerShell の Search-UnifiedAuditLog からアクセスすることもできます。

次の手順

DLP オンプレミスの場所のテスト ポリシーをデプロイし、アクティビティ エクスプローラーでアクティビティ データを表示できるようになったので、次の手順に進み、機密アイテムを保護する DLP ポリシーを作成する準備ができました。

• DLP オンプレミスの使用

関連項目

• データ損失防止のオンプレミス リポジトリについて説明します
• データ損失防止のオンプレミス リポジトリを使用する
• データ損失防止について
• データ損失防止ポリシーの作成と展開
• Activity Explorer を使い始める
• Microsoft 365 サブスクリプション