Microsoft Defender for Cloud Appsのデータ損失防止 (DLP) では、コンテンツ検査を使用してファイル内の機密情報を検出します。 コンテンツ検査が有効になっている場合、Defender for Cloud Appsは、式によって定義されたテキスト パターンのファイルを分析します。 これらの式を満たすテキストは一致として扱われ、ポリシー違反を判断するために使用できます。
プリセット式またはカスタム式を使用し、一致が違反を構成する場合のしきい値を定義できます。 たとえば、しきい値を 10 に設定して、ファイルに少なくとも 10 個のクレジット カード番号が含まれている場合にアラートを生成できます。
一致したテキストは "X" 文字に置き換えられ、周囲のコンテキスト (一致前後の 100 文字) がマスクされます。 コンテキスト内の数値は "#" に置き換えられ、格納されません。 一致の最後の 4 桁を公開するには、ファイル ポリシーで [ 一致の最後の 4 文字のマスクを解除 する] 設定を有効にします。
また、検査するファイル要素 (コンテンツ、メタデータ、またはファイル名) を定義することもできます。 既定では、検査はコンテンツとメタデータの両方に適用されます。 このアプローチにより、保護されたファイルの検査、機密データの検出、コンプライアンスの適用、ガバナンス制御の適用が可能になり、誤検知を減らし、内部分類標準に準拠できます。
前提条件
暗号化されたファイルを検査し、ラベルのスキャンを有効にするには、グローバル管理者が最初に、Microsoft Entra IDのDefender for Cloud Appsに対して 1 回限りの管理者の同意を付与する必要があります。
これを行うには、Defender ポータルの [設定] > [Cloud Apps > Microsoft Information Protection > で保護されたファイルを検査する] に移動し、[アクセス許可の付与] を選択します。
保護されたファイルのコンテンツ検査
同意が付与されると、Defender for Cloud Appsはテナント内の Microsoft Cloud App Security (内部) アプリをプロビジョニングします。 アプリは、Azure Rights Management Services > Content.SuperUser アクセス許可を使用して、保護されたファイルの暗号化を解除して検査します。
次のアプリ ID は、Microsoft クラウド環境に基づいて適用されます。
アプリ ID
| 環境 | アプリ ID |
|---|---|
| パブリック | 25a6a87d-1e19-4c71-9cb0-16e88ff608f1 |
| フェアファックス | bd5667e4-0484-4262-a9db-93faa0893899 |
| GCCM | 23105e90-1dfc-497a-bb5d-8b18a44ba061 |
注:
アプリ ID は、パブリック、Fairfax、GCC-M 環境のDefender for Cloud Appsが保護されたファイルに対して DLP ポリシーを検査して適用するために使用する内部サービス プリンシパルです。 これらのアプリ ID を削除または無効にしないでください。 これにより、検査が中断され、DLP ポリシーが保護されたファイルに適用されるのを防ぐことができます。 環境のアプリ ID が存在し、有効になっていることを常に確認します。
Microsoft Information Protection設定を構成する
Defender for Cloud Appsに必要なアクセス許可を付与するには、次の手順を実行します。
[設定>Microsoft Information Protection] に移動します。
[Microsoft Information Protection設定] で、次のオプションの 1 つまたは両方を構成します。
Microsoft Information Protection秘密度ラベルとコンテンツ検査警告の新しいファイルを自動的にスキャンします。 有効にすると、アプリ コネクタは、Microsoft Information Protectionからの埋め込み秘密度ラベルの新しいファイルをスキャンします。
Microsoft Information Protection秘密度ラベルとこのテナントからのコンテンツ検査警告のファイルのみをスキャンします。 有効にすると、テナント内に適用された秘密度ラベルのみがスキャンされます。 外部テナントによって適用されるラベルは無視されます。
オプションを選択したら、[ 保存 ] を選択して変更を適用します。
保護されたファイルのファイル ポリシーを構成する
Defender ポータルで、[ 設定] > [Cloud Apps > ポリシー] > [ポリシー管理] に移動します。
手順に従って 、新しいファイル ポリシーを作成します。
[ すべてのファイルに適用] または [ 選択したファイルに適用] を選択して 、スキャンするファイルを指定します。 このオプションは、ポリシーから除外する標準キーワード (keyword)内部分類がある場合に便利です。
[ 検査方法>Data Classification Service ] を選択して、ポリシーのコンテンツ検査を有効にします。
両方のチェック ボックス - 保護されたファイルを検査 し、 一致の最後の 4 文字のマスクを解除します。
次の手順
- チュートリアル: organizationで機密情報を検出して保護する
- ポリシーを使用してクラウド アプリを制御する方法について説明します
- 情報保護のために Microsoft Purview と統合する
問題が発生した場合は、こちらにお問い合わせください。 製品の問題に関するサポートを受ける場合は、サポート チケットを開いてください。