データ損失防止ポリシーで名前付きエンティティを使用する
名前付きエンティティの使用を開始する前に、「名前付きエンティティについて学習する」を参照してください。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。
はじめに
SKU /サブスクリプションライセンス
ライセンスの詳細については、 サービスの説明を参照してください。
アクセス許可
データ損失防止 (DLP) ポリシーの作成と編集に使用するアカウントには、 DLP コンプライアンス管理 ロールのアクセス許可が必要です。 詳細については、「 Microsoft Purview 組み込みロール グループにユーザーまたはグループを追加する」を参照してください。
サポートされている場所
名前付きエンティティの SID と拡張ポリシーを使用して、次の場所にある機密性の高いアイテムを検出して保護できます。
- SharePoint サイト
- OneDrive アカウント
- Teams チャットおよびチャネル メッセージ
- デバイス (Windows 10/11 エンドポイント デバイス)
- Exchange メールボックス
- Instances
名前付きエンティティの SID と拡張ポリシーは、次の場合にサポートされていません。
- オンプレミスのリポジトリ
- Power BI
拡張ポリシーの作成と編集
DLP ポリシーを作成または編集するには、「 データ損失防止ポリシーの作成と展開」の手順を使用します。
名前付きエンティティをサポートするワークロードとサービス
- Microsoft 365 電子情報開示 では、Substrate サービスでの名前付きエンティティの使用がサポートされています。
- インスタンスは、Defender for Cloud アプリ ポータルのMicrosoft Defender for Cloud Apps ポリシーでの名前付きエンティティの使用をサポートします。
- Insider Risk Management では、Substrate サービスでの名前付きエンティティの使用がサポートされています。
- レコード管理 では、名前付きエンティティの使用がサポートされています。
- 厳密なデータ 一致の機密情報の種類 では、名前付きエンティティの使用がサポートされています。
統合 DLP
| ワークロード/サービス | 名前付きエンティティのサポート |
|---|---|
| Office Win32 クライアントのポリシー ヒント | 非サポート |
| Office WAC クライアントのポリシー ヒント | サポート |
| OWA ポリシーヒント | 非サポート |
| ポリシーのヒントOutlook for Microsoft 365 | サポート |
| エンドポイント (Windows 10、11 台のデバイス) | サポート |
| Exchange トランスポート ルール | サポート |
| 保存データのOneDrive for Business | サポート |
| SharePoint Online の保存データ | サポート |
| Teams の保存データ | サポート |
| 保存データメッセージのEmail | プライバシー サービス プランを使用するテナントでサポートされます |
| Instances |
自動ラベル付け
| ワークロード/サービス | 名前付きエンティティのサポート |
|---|---|
| Office Win32 クライアントをオフラインにする | サポートされている場合、ユーザーはラベルを選択し、手動で適用する必要があります |
| オンライン Office Win32 クライアントオンライン | 古い信頼スキームでサポートされています |
| Outlook online | 古い信頼スキームでサポートされています |
| Office WAC クライアント | サポート |
| OWA | サポート |
| Exchange トランスポート | サポート |
| 保存データのOneDrive for Business | サポート |
| SharePoint Online の保存データ | サポート |
| Microsoft Purview 情報保護 スキャナー | 非サポート |
既知の問題
| 問題 | 影響 |
|---|---|
| DLP ポリシーのヒント (OWA、Outlook、Office Win32 クライアント) | エンティティ条件を持つポリシーヒントは、"一致しない" という結果になります |
| 人名のアジア言語サポート (中国語、日本語、韓国語) | ユーザー名に対してラテンベースの文字セットでのみサポートされている名前付きエンティティ (つまり、漢字はサポートされていません) |
| オンプレミスのリポジトリ | ワークロードとしてサポートされていません |
| Power BI (プレビュー) | サポート対象外 |
名前付きエンティティ SID を使用するためのベスト プラクティス
名前付きエンティティ SIT を使用するポリシーを作成または編集するときに使用できるプラクティスをいくつか次に示します。
スプレッドシート内のデータを探していて、そのデータに対して SIT で必要なキーワード (keyword)が列ヘッダー内にある場合は、インスタンス数が少ない (3 から 5) を使用します。 たとえば、米国社会保障番号を探していて、キーワード (keyword)
Social Security Numberは列ヘッダーでのみ発生するとします。 値 (裏付け証拠) は下のセルに含まれるため、検出されるキーワード (keyword)に対して最初の数個のインスタンスだけが十分に近接している可能性があります。米国社会保障番号の検索に役立つ名前付きエンティティ SIT (すべてのフル ネームなど) を使用している場合は、10 や 50 などのより大きなインスタンス数を使用します。 次に、人物名と SSN の両方が一緒に検出されると、真の陽性を得る可能性が高くなります。
自動ラベル付けシミュレーションを使用して、名前付きエンティティの SID の精度をテストできます。 名前付きエンティティ SIT を使用してシミュレーションを実行して、ポリシーに一致する項目を確認します。 この情報を使用して、カスタム ポリシーまたは拡張テンプレート条件のインスタンス数と信頼度レベルを調整することで、精度を微調整できます。 運用環境で名前付きエンティティを含む DLP または自動ラベル付けポリシーをデプロイする前に、精度が必要になるまでシミュレーションを反復処理できます。 フローの概要を次に示します。
- シミュレーション モードでテストする SIT または SIT の組み合わせを特定する (カスタムまたは複製および編集)
- 自動ラベル付けポリシーが Exchange、SharePoint サイト、または OneDrive アカウントで一致するものを検出したときに適用する秘密度ラベルを特定または作成する
- 手順 1 の SIT を使用し、DLP ポリシーで使用されているのと同じ条件と例外を使用する秘密度自動ラベル付けポリシーを作成する
- ポリシー シミュレーションを実行する
- 結果を表示する
- SIT またはポリシーとインスタンス数と信頼度レベルを調整して、誤検知を減らします。
- 必要な精度の結果が得られるまで繰り返します