次の方法で共有

Just-In-Time 保護Microsoft Purview データ損失防止使用を開始する

エンドポイント データ損失防止 (DLP) Just-In-Time (JIT) 保護を使用して、ポリシー評価の完了中に監視対象ファイルのエグレス アクティビティを検出およびブロックします。

JIT によって、保護されたファイルに対するこれらのユーザー アクティビティが監査され、ブロックされます。

  • リムーバブル メディアにコピーする
  • ネットワーク共有にコピーする
  • 印刷
  • リモート デスクトップ プロトコル (RDP) を使用してコピーまたは移動する
  • ブロックされたBluetooth アプリを使用してコピーまたは移動する
  • クリップボードにコピー: 既定で JIT 監査
  • 制限付きクラウド サービス ドメインにアップロードする

デバイスに対して JIT が有効になっている場合、ポリシーのスコープに含まれていないユーザーのアクティビティであっても、すべてのユーザー アクティビティが監査されます。 エグレス アクティビティは、ポリシーのスコープ内にあるユーザーに対して監査およびブロックされます。

Terms

次の用語について説明します。

  • JIT 候補ファイル: 分類されていないファイル、または古いポリシーで分類されているファイル。
  • JIT 監査: JIT を有効にすると、エンドポイント DLP によって、JIT 候補ファイルごとに アクティビティ エクスプローラー でイベントが生成されます。 JIT アクティビティ エクスプローラー イベントでは、 JIT によってトリガーされる フィールドの値が trueされ、 強制モード の値が Audit
  • JIT ブロック: JIT を有効にすると、エンドポイント DLP によってアクティビティがブロックされ、JIT 候補ファイルごとにアクティビティ エクスプローラーでイベントが生成されます。 JIT アクティビティ エクスプローラー イベントでは、 JIT によってトリガーされる フィールドの値は true強制モード フィールドの値は Block

注:

エンドポイント DLP では、 DLPRuleMatch イベントやアラートは生成されません。

  • JIT 進行中の通知: JIT のスコープ内のユーザーが JIT 候補ファイルでエグレス アクティビティを試みると、エンドポイント DLP によってエグレス アクティビティがブロックされ、トースト通知が表示されることがあります。 このトーストは、進行中のトーストで JIT と呼ばれます。
  • JIT 評価の完了通知: エンドポイント DLP が JIT 候補ファイルのポリシー評価を完了すると、エンドポイント DLP にトースト通知が表示され、ユーザーに通知されます。 この通知は、JIT 評価完了トーストと呼ばれます。
  • JIT イベント: エンドポイント DLP は、JIT 監査または JIT ブロック アクショントリガー時にアクティビティ エクスプローラーで JIT イベントを記録して表示します。 イベントの JIT triggered 値は true に設定されています。

JIT トリガーが true に設定され、適用モードが [ブロック] に設定されていることを示すアクティビティ エクスプローラー イベントのスクリーンショット。

適用対象

エンドポイント DLP の JIT 保護では、次のデバイスがサポートされています。

  • Windows 10
  • Windows 11
  • macOS (最新の 3 つのバージョン)

Just-In-Time 保護をデプロイするためのベスト プラクティス

注:

JIT を無効にしてクライアント デバイスにプッシュするなど、JIT 設定の更新に少なくとも 1 時間を許可します。

手順 1: 環境を準備する

Just-In-Time 保護を展開する前に、マルウェア対策クライアント バージョン 4.18.23080 以降を展開する必要があります。 Just-In-Time 保護のエンド ユーザー エクスペリエンス が 4.18.25080 以降で改善されました。

Mocamp バージョンpage_Defenderオンボード

注:

マルウェア対策クライアントの古いバージョンのマシンの場合は、次のいずれかの KB をインストールして Just-In-Time 保護を無効にすることをお勧めします。

  1. 必要なマルウェア対策クライアントを持つデバイスを確認するには、 セキュリティ ポータル>Investigation & 応答>Advanced ハンティングにアクセスし、このクエリを実行します。
`DeviceRegistryEvents`
| where InitiatingProcessVersionInfoInternalFileName == "MsMpEng.exe" and Timestamp >= ago(60d)
| summarize arg_max(Timestamp, *) by DeviceId
| distinct DeviceName, DeviceId, vTimeStamp = Timestamp, AntiMalwareClientVersion = InitiatingProcessVersionInfoProductVersion
| extend Meet_Minimum_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.23080") // whether the device has required minimum JIT version
| extend Meet_Latest_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.25080") // whether the device has latest JIT improvement
| project DeviceId, Meet_Latest_JIT_Version, Meet_Minimum_JIT_Version, AntiMalwareClientVersion
| summarize dcount(DeviceId) by AntiMalwareClientVersion // distribution of AntiMalwareClientVersion
// | summarize dcount(DeviceId) by Meet_Minimum_JIT_Version //how many devices meet minimum JIT version
// | summarize dcount(DeviceId) by Meet_Latest_JIT_Version //how many devices meet latst JIT improvements
| order by dcount_DeviceId desc

クエリの出力の例を次に示します。

マルウェア対策クライアントのバージョンを持つデバイスの数の一覧を示すクエリの出力の画像

[データ損失防止>Diagnostics] ページに移動し、[Endpoint DLP not working カード] を選択して、特定のデバイスが JIT 前提条件を満たしているかどうかをチェックすることもできます。

選択したデバイスのマルウェア対策クライアント バージョンを示すレビュー 診断 ポップアップのスクリーンショット

手順 2: JIT 保護をデプロイする

  1. [Microsoft Purview ポータル] にサインインします。

  2. [設定>Data Loss Prevention>Just-in-time protection] を選択します。

  3. [ 監視する場所の選択] で、[デバイス] の横にあるチェック ボックスをオン にします

  4. [ 失敗した場合のフォールバック アクション] で、[ ユーザーによるアクションの完了を許可する] を選択します。 これにより、分類が失敗した場合にユーザー アクションを完了できます。

エンドポイント DLP は、スコープ内にあるかどうかにかかわらず、すべてのユーザーエグレス アクティビティに対して JIT 監査イベントを作成します。

注意

この機能の影響を完全に理解するまで、[ ユーザーのアクションの完了をブロック する] オプションを選択しないでください。

[ ユーザーによるアクションの完了を許可する ] または [ここでユーザーがアクションを完了できないようにブロックする] を 選択しても、 JIT ブロック がトリガーされるかどうかにかかわらず変更されません。 JIT によるブロックは、ユーザーがスコープ内にある場合に適用されます。 分類に失敗した場合の Endpoiint DLP の適用は 、[ユーザーによるアクションの完了を許可する] または [ ユーザーによるアクションの完了をブロックする] によって制御されます。 [ ユーザーによるアクションの完了を許可する] を選択した場合、エンドポイント DLP は分類が失敗したときにエグレス アクティビティを許可します。 [ユーザーのブロック] を選択してアクションを完了すると、エンドポイント DLP は分類が失敗したときにエグレス アクティビティを許可します。

イベントの数が安定し、次のテレメトリ計算に基づいて、適用モードを適用するユーザー グループの可能なサイズを十分に理解するまで、各ステージで設定を検証する必要があります。

手順 3: デプロイの JIT 保護イベントの数を見積もる

アクティビティ エクスプローラーのイベントに基づいて次の計算を実行して、JIT 保護のデプロイの影響を見積もる。

  • N = JIT イベントを発生させる一意のマシンの数。

  • S = デプロイのスコープ内のマシンの合計数。

N/S は、JIT 保護 "ブロック" イベントが発生する可能性があるマシンの割合を示します。

この情報を使用すると、スコープを拡張するときに JIT ブロック モードを実装することで影響を受けるマシンの数と、表示される可能性のあるサポート チケットの数を把握する必要があります。 次に、スコープを拡張するかどうかを決定できます。

手順 4: その他の追加設定を使用して JIT 保護を微調整する

手順 1 で説明されているように、 障害が発生した場合のフォールバックに加えて、次の設定を使用して JIT 保護を微調整することもできます。

  • クリップボードへのコピーを制御する: JIT 保護でファイルが評価されている間に、ユーザーがクリップボードにコンテンツをコピーできないようにする場合は、これをオンにします。

注:

[ クリップボードへのコピーの制御] を オンにすると、ユーザーの生産性に影響する可能性があります。 この設定をオンにする前に、生産性への影響をテストしてください。

  • Windows のアプリの除外: ここに含めるアプリは、Windows デバイスの JIT 保護によって評価されません。
  • Mac のアプリの除外: ここに含めるアプリは、macOS デバイスの JIT 保護によって評価されません。
  • ファイル拡張子の除外: ここで追加された拡張子を持つファイルは、JIT 保護によって評価されません。
  • Windows のファイル パスの除外: これらの場所のファイルは JIT 保護によって評価されません。
  • Mac のファイル パスの除外: これらの場所のファイルは JIT 保護によって評価されません。

これらの設定をすべてチューニングした後で JIT 保護のスコープを変更する場合は、手順 2 に戻ることができます。

除外の詳細

JIT のファイル パスの除外設定は、データ損失防止>Settings>Endpoint 設定>Windows のファイル パスの除外によって検出される Windows 設定のファイル パスの除外とは異なります。

  • JIT でのファイル パスの除外では、JIT 保護から特定のファイル パスのみが除外されます。 それ以外の場合でも、Microsoft Purview は、これらのフォルダー内のファイルに対してエンドポイント DLP 分類と保護を引き続き適用します。

  • Windows 設定のファイル パスの除外 により、指定したフォルダーの下にあるファイルに対して、Purview がエンドポイント DLP 分類と保護を適用できなくなります。

  • ファイル拡張子の除外: これらの拡張子を持つファイルは JIT 保護によって評価されません。

手順 5: [失敗した場合のフォールバック アクション] 設定の [ユーザーによるアクションの完了をブロックする] に JIT 保護をデプロイする

この構成は、DLP が分類に失敗したときに適用される適用モードを制御します。 JIT 候補ファイルの JIT ブロックまたは JIT 監査、JIT ブロック、または JIT 監査は、スコープによって制御されません。 ここで選択した値に関係なく、関連するテレメトリがアクティビティ エクスプローラーに表示されます。

Just-In-Time 保護のユーザー エクスペリエンス

この記事では、マルウェア対策クライアント バージョン 4.18.25080 以降のユーザー エクスペリエンスについて説明します。

各アクティビティのサポートを再開する

エンドポイント DLP は、ポリシーの評価が 3 秒以内に完了すると、これらのアクティビティを自動的に再開します。

  • リムーバブル メディアにコピーする
  • ネットワーク共有にコピーする

ポリシーの評価に 3 秒を超える時間がかかる場合は、JIT ポリシー評価の完了トーストが表示された後にアクティビティを繰り返す必要があります。

エンドポイント DLP がポリシーの評価を完了した後、これらのアクティビティを繰り返します。

  • 印刷
  • リモート デスクトップ プロトコル (RDP) を使用してコピーまたは移動する
  • 許可されていない Bluetooth アプリを使用したコピーまたは移動
  • クリップボードにコピー: 既定で JIT 監査

エンドポイント DLP がポリシーの評価を完了した後、ユーザーはこれらのアクティビティを繰り返す必要があります。

  • 印刷
  • リモート デスクトップ プロトコル (RDP) を使用してコピーまたは移動する
  • 許可されていない Bluetooth アプリを使用したコピーまたは移動
  • クリップボードにコピー: 既定で JIT 監査

1 つのファイルでアクティビティを実行する

ユーザーが 1 つのファイルに対してアクティビティを実行すると、エンドポイント DLP は次の場合に JIT 監査アクションを実行します。

  • ユーザーが JIT スコープ設定に含まれていない
  • アクティビティのオーバーライドを含むブロックまたはブロックはありません
  • アクティビティは、許可されているプリンター、リムーバブル メディア、ネットワーク共有、または Web サイトです
  • ファイルのポリシー評価は、JIT 再開をサポートするアクティビティの場合は 5 秒以内に完了するか、JIT 再開をサポートしていないアクティビティの場合は 2 秒以内に完了します。

エンドポイント DLP は、通知 (アラートなし) でアクティビティをブロックし、ポリシーの評価に 5 秒以上かかる場合にのみ JIT ブロックを適用します。

複数のファイルに対してアクティビティを実行する

ユーザーが複数のファイルに対してアクティビティを同時に実行すると、エンドポイント DLP は次の場合に JIT 監査アクションを実行します。

  • ユーザーが JIT スコープ設定に含まれていない
  • 実行されたアクティビティのオーバーライドを含むブロックまたはブロックはありません
  • アクティビティは、許可されたプリンター、許可されたリムーバブル メディア、または許可されたネットワーク共有に対するアクティビティです

JIT 候補ファイルの場合、エンドポイント DLP はポリシー評価をトリガーし、再開をサポートするアクティビティに対して 5 秒以内に終了するファイルの通知を統合し、アクティビティを自動的に再開します。 アクティビティが再開をサポートしていない場合、エンドポイント DLP はポリシーの評価をトリガーし、2 秒以内に終了するファイルの通知を統合します。 どちらの場合も、エンドポイント DLP は進行中の JIT トーストを生成しません。 統合トーストでの最終的なポリシーの判定のみが表示されます。

  • Last updated on