DLP ポリシーの条件、例外、およびアクション
DLP ポリシーの条件と例外は、ポリシーが適用される機密性の高い項目を識別します。 アクションは、例外が満たされた状態の結果として何が起こるかを定義します。
- 条件は、含める内容を定義します
- 例外は、除外対象を定義します。
- アクションは、条件または例外が満たされた結果として何が起こるかを定義します
ほとんどの条件と例外には、1 つ以上の値をサポートする 1 つのプロパティがあります。 たとえば、DLP ポリシーが Exchange メールに適用されている場合、 送信者は メッセージの送信者を必要とする条件です。 プロパティが 2 つある条件もあります。 たとえば、メッセージ ヘッダーにこれらの単語のいずれかが含まれる という条件には、ヘッダーを指定するプロパティ 1 つと、ヘッダー フィールド内で検索するテキストを指定する 2 つめのプロパティが必要です。 いくつかの条件や例外は、プロパティが全くありません。 たとえば、 添付ファイルはパスワードで保護された 状態で、パスワードで保護されたメッセージ内の添付ファイルを探すだけです。
アクションには通常、追加のプロパティが必要になります。 たとえば、DLP ポリシー ルールがメッセージをリダイレクトする場合は、メッセージのリダイレクト先を指定する必要があります。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、追加の Purview 機能がデータのセキュリティとコンプライアンスのニーズを管理organizationにどのように役立つかを調べます。 Microsoft Purview コンプライアンス ポータル試用版ハブから今すぐ開始します。 サインアップと試用版の条件の詳細について説明します。
DLP ポリシーの条件と例外
次のセクションの表では、DLP で使用できる条件と例外について説明します。
送信者
送信者アドレスを条件または例外として使用する場合、値が検索される実際のフィールドは、構成されている送信者アドレスの場所によって異なります。 既定では、DLP ルールでは送信者アドレスとしてヘッダー アドレスが使用されます。
テナント レベルでは、1 つのルールによってオーバーライドされない限り、すべてのルールで使用される送信者アドレスの場所を構成できます。 すべてのルールにわたってエンベロープからの送信者アドレスを評価するようにテナント DLP ポリシー構成を設定するには、次のコマンドを実行します。
Set-PolicyConfig -SenderAddressLocation Envelope
DLP ルール レベルで送信者アドレスの場所を構成するには、パラメーターは SenderAddressLocation です。 使用できる値は次のとおりです:
Header: メッセージ ヘッダー内の送信者 (たとえば、From、Sender、または Reply-To フィールド) のみを確認します。 これは既定の値です。
Envelope: メッセージ エンベロープ (Return-Path フィールドに通常格納されている SMTP 転送に使用された MAIL FROM 値) からの送信者のみを確認します。
ヘッダーまたは封筒 (
HeaderOrEnvelope) メッセージ ヘッダーとメッセージ エンベロープの送信者を調べます。
| DLP の条件または例外 | セキュリティ & コンプライアンス PowerShell の condition/exception パラメーター | プロパティの種類 | 説明 |
|---|---|---|---|
| 送信者が | condition: From exception: ExceptIfFrom |
アドレス | organization内の指定したメールボックス、メール ユーザー、メール連絡先、または Microsoft 365 グループによって送信されるメッセージ。 |
| 送信者が次のメンバーの場合 | FromMemberOf ExceptIfFromMemberOf |
アドレス | 指定した配布グループ、メールが有効なセキュリティ グループ、または Microsoft 365 グループのメンバーによって送信されるメッセージ。 |
| 送信者の IP アドレスが | condition: SenderIPRanges 例外: ExceptIfSenderIPRanges |
IPAddressRanges | 送信者の IP アドレスが、指定した IP アドレスと一致するか、指定した IP アドレスの範囲内にあるメッセージです。 |
| 送信者アドレスに単語が含まれている | condition: FromAddressContainsWords exception: ExceptIfFromAddressContainsWords |
Words | 送信者のメール アドレスに指定の単語が含まれているメッセージです。 |
| 送信者のアドレスがパターンと一致している | condition: FromAddressMatchesPatterns exception: ExceptFromAddressMatchesPatterns |
パターン | 送信者のメール アドレスに、特定の正規表現と一致するテキスト パターンが含まれているメッセージです。 |
| 送信者のドメインが次の場合 | condition: SenderDomainIs exception: ExceptIfSenderDomainIs |
Domainname | 送信者のメール アドレスのドメインが指定された値と一致するメッセージです。 指定したドメイン (ドメインのサブドメインなど) を 含む 送信者ドメインを検索する必要がある場合 は、送信者アドレス matches(FromAddressMatchesPatterns) 条件を使用し、構文 '.domain.com$' を使用してドメインを指定します。 |
| 送信者のスコープ | condition: FromScope 例外: ExceptIfFromScope |
UserScopeFrom | 内部または外部の送信者によって送信されるメッセージ。 |
| 送信者の指定のプロパティが次の単語のいずれかを含む | condition: SenderADAttributeContainsWords 例外: ExceptIfSenderADAttributeContainsWords |
最初のプロパティ: ADAttribute 2 番目のプロパティ: Words |
送信者の指定された Active Directory 属性に、指定した単語のいずれかが含まれているメッセージ。 |
| 送信者の指定のプロパティが次のテキスト パターンと一致する | condition: SenderADAttributeMatchesPatterns exception: ExceptIfSenderADAttributeMatchesPatterns |
最初のプロパティ: ADAttribute 2 番目のプロパティ: Patterns |
送信者の指定された Active Directory 属性に、指定した正規表現に一致するテキスト パターンが含まれているメッセージ。 |
受信者
| DLP の条件または例外 | セキュリティ & コンプライアンス PowerShell の condition/exception パラメーター | プロパティの種類 | 説明 |
|---|---|---|---|
| 受信者が | condition: SentTo exception: ExceptIfSentTo |
アドレス | 受信者の 1 人が組織内の指定されたメールボックス、メール ユーザー、メール連絡先であるメッセージです。 受信者はメッセージの To、Cc、Bcc のフィールドにいることが可能です。 |
| 受信者ドメインが | 条件: RecipientDomainIs exception: ExceptIfRecipientDomainIs |
Domainname | 受信者のメール アドレスのドメインが指定した値と一致するメッセージ。 |
| 受信者のアドレスに単語が含まれている | condition: AnyOfRecipientAddressContainsWords exception: ExceptIfAnyOfRecipientAddressContainsWords |
Words | 受信者のメール アドレスに指定の単語が含まれているメッセージです。 注: この条件が、受信プロキシ アドレスに送信されるメッセージについて考慮していない点に注意してください。 受信者のプライマリ メール アドレスに送信されるメッセージのみを照合します。 |
| 受信者のアドレスがパターンと一致している | condition: AnyOfRecipientAddressMatchesPatterns exception: ExceptIfAnyOfRecipientAddressMatchesPatterns |
パターン | 受信者のメール アドレスに、特定の正規表現と一致するテキスト パターンが含まれているメッセージです。 注: この条件が、受信プロキシ アドレスに送信されるメッセージについて考慮していない点に注意してください。 受信者のプライマリ メール アドレスに送信されるメッセージのみを照合します。 |
| のメンバーに送信されます | condition: SentToMemberOf exception: ExceptIfSentToMemberOf |
アドレス | 指定した配布グループ、メールが有効なセキュリティ グループ、または Microsoft 365 グループのメンバーである受信者を含むメッセージ。 グループはメッセージの To、Cc、または Bcc フィールドにあることが可能です。 |
| 受信者の指定のプロパティが次の単語のいずれかを含む | RecipientADAttributeContainsWords ExceptIfRecipientADAttributeContainsWords |
最初のプロパティ: ADAttribute 2 番目のプロパティ: Words |
受信者の指定された Active Directory 属性に、指定した単語のいずれかが含まれているメッセージ。 Country 属性には、2 文字の国コードの値 (たとえば、ドイツの DE) が必要であることに注意してください。 |
| 受信者の指定のプロパティが次のテキスト パターンと一致する | RecipientADAttributeMatchesPatterns ExceptIfRecipientADAttributeMatchesPatterns |
最初のプロパティ: ADAttribute 2 番目のプロパティ: Patterns |
受信者の指定された Active Directory 属性に、指定した正規表現に一致するテキスト パターンが含まれているメッセージ。 |
| 受信者のスコープ/コンテンツが共有されている | 条件: AccessScope 例外: ExceptIfAccessScope |
UserScopeFrom | 内部または外部の受信者によって受信されるメッセージ。 |
メッセージの件名または本文
| DLP の条件または例外 | セキュリティ & コンプライアンス PowerShell の condition/exception パラメーター | プロパティの種類 | 説明 |
|---|---|---|---|
| 件名に単語または語句が含まれている | condition: SubjectContainsWords 例外: ExceptIf SubjectContainsWords |
Words | Subject フィールドに特定の単語を持つメッセージです。 |
| 件名がパターンと一致している | condition: SubjectMatchesPatterns exception: ExceptIf SubjectMatchesPatterns |
パターン | [件名] フィールドに、指定した正規表現に一致するテキスト パターンが含まれているメッセージ。 |
| コンテンツが含まれている | condition: ContentContainsSensitiveInformation exception ExceptIfContentContainsSensitiveInformation |
SensitiveInformationTypes | Microsoft Purview データ損失防止 (DLP) ポリシーで定義されている機密情報を含むメッセージまたはドキュメント。 |
| 件名または本文がパターンに一致する | condition: SubjectOrBodyMatchesPatterns exception: ExceptIfSubjectOrBodyMatchesPatterns |
パターン | 件名フィールドまたはメッセージ本文に、指定した正規表現に一致するテキスト パターンが含まれているメッセージ。 |
| 件名または本文に単語が含まれている | condition: SubjectOrBodyContainsWords exception: ExceptIfSubjectOrBodyContainsWords |
Words | 件名フィールドまたはメッセージ本文に指定した単語を含むメッセージ |
添付ファイル
| DLP の条件または例外 | セキュリティ & コンプライアンス PowerShell の condition/exception パラメーター | プロパティの種類 | 説明 |
|---|---|---|---|
| 添付ファイルがパスワードで保護されている | condition: DocumentIsPasswordProtected exception: ExceptIfDocumentIsPasswordProtected |
none | 添付ファイルがパスワードで保護された (ゆえにスキャンすることができない) メッセージです。 パスワード検出は、Office ドキュメント、.zip ファイル、および .7z ファイルにのみ有効です。 |
| 添付ファイルの拡張子が | condition: ContentExtensionMatchesWords exception: ExceptIfContentExtensionMatchesWords |
Words | 添付ファイルの拡張子が、以下の指定の単語と一致するメッセージです。 |
| メールの添付ファイルのコンテンツをスキャンできなかった | condition: DocumentIsUnsupported 例外: ExceptIf DocumentIsUnsupported |
該当なし | Exchange Onlineによって添付ファイルがネイティブに認識されないメッセージ。 |
| メールの添付ファイルのコンテンツのスキャンが完了しなかった | condition: ProcessingLimitExceeded exception: ExceptIfProcessingLimitExceeded |
該当なし | ルール エンジンが添付ファイルのスキャンを完了できなかったメッセージです。 内容が完全にスキャンできなかったメッセージを認識し、処理するために協力して作用するルールを作成するために、この条件を使用できます。 |
| ドキュメント名に単語が含まれている | condition: DocumentNameMatchesWords exception: ExceptIfDocumentNameMatchesWords |
Words | 添付ファイルのファイル名が指定した単語のいずれかに一致するメッセージ。 |
| ドキュメント名がパターンと一致する | condition: DocumentNameMatchesPatterns exception: ExceptIfDocumentNameMatchesPatterns |
パターン | 添付ファイル名に特定の正規表現と一致するテキスト パターンが含まれているメッセージです。 これは、SharePoint ワークロードと OneDrive ワークロードでは廃止されます。 既存のルールは変更できません。また、新しいルールを作成することはできません。 既存のお客様は引き続きこの条件を使用できます。 |
| 文書のプロパティが | condition: ContentPropertyContainsWords exception: ExceptIfContentPropertyContainsWords |
Words | 添付ファイルのカスタム プロパティが指定された値と一致するドキュメントを含むメッセージ。 |
| ドキュメント サイズが等しいか、またはより大きい | condition: DocumentSizeOver exception: ExceptIfDocumentSizeOver |
Size | 任意の添付ファイルが指定値以上のメッセージです。 |
| 添付ファイルのコンテンツには、次のいずれかの単語が含まれます | condition: DocumentContainsWords exception: ExceptIfDocumentContainsWords |
Words |
添付ファイルに指定された単語が含まれているメッセージです。 |
| 添付ファイルのコンテンツがこれらのテキスト パターンと一致する | condition: DocumentMatchesPatterns exception: ExceptIfDocumentMatchesPatterns |
Patterns |
添付ファイルに特定の正規表現と一致するテキスト パターンが含まれているメッセージです。 |
メッセージ ヘッダー
| DLP の条件または例外 | セキュリティ & コンプライアンス PowerShell の condition/exception パラメーター | プロパティの種類 | 説明 |
|---|---|---|---|
| ヘッダーに単語または語句が含まれている | condition: HeaderContainsWords 例外: ExceptIfHeaderContainsWords |
ハッシュ テーブル | 指定したヘッダー フィールドを含むメッセージであり、そのヘッダー フィールドの値には指定した単語が含まれています。 |
| ヘッダーがパターンと一致している | condition: HeaderMatchesPatterns 例外: ExceptIfHeaderMatchesPatterns |
ハッシュ テーブル | 指定したヘッダー フィールドを含むメッセージであり、そのヘッダー フィールドの値には指定した正規表現が含まれています。 |
メッセージのプロパティ
| DLP の条件または例外 | セキュリティ & コンプライアンス PowerShell の condition/exception パラメーター | プロパティの種類 | 説明 |
|---|---|---|---|
| 重要度あり | condition: WithImportance exception: ExceptIfWithImportance |
Importance | 指定された重要度レベルでマークされたメッセージ。 |
| コンテンツ文字セットに単語が含まれている | condition: ContentCharacterSetContainsWords ExceptIfContentCharacterSetContainsWords |
CharacterSets | 指定した文字セット名のいずれかを含むメッセージです。 |
| 送信者のオーバーライドがある | condition: HasSenderOverride 例外: ExceptIfHasSenderOverride |
該当なし | 送信者がデータ損失防止 (DLP) ポリシーを上書きすることを選択したメッセージです。 DLP ポリシーの詳細については、「データ損失防止の詳細」を参照してください。 |
| メッセージの種類が一致する | condition: MessageTypeMatches exception: ExceptIfMessageTypeMatches |
MessageType | 指定の種類のメッセージです。 注: 使用可能なメッセージの種類は、自動応答、自動転送、暗号化 (S/MIME)、予定表、アクセス許可制御 (権限管理)、ボイスメール、署名済み、開封確認、承認要求です。 |
| メッセージ サイズが次の値以上の場合 | condition: MessageSizeOver 例外: ExceptIfMessageSizeOver |
Size |
合計サイズ (メッセージ プラス添付ファイル) が指定値以上のメッセージです。 注:メールボックスのメッセージ サイズの制限は、メール フロー ルールの前に評価されます。 この条件を含むルールがメッセージを処理する前に、メールボックスに対して大きすぎるメッセージが拒否されます。 |
DLP ポリシーのアクション
次の表では、DLP で使用できるアクションについて説明します。
| DLP でのアクション | セキュリティ & コンプライアンス PowerShell のアクション パラメーター | プロパティの種類 | 説明 |
|---|---|---|---|
| Microsoft 365 の場所でのアクセスの制限またはコンテンツの暗号化 | BlockAccess | 最初のプロパティ: ブール値 2 番目のプロパティ: BlockAccessScope |
これにより、アクセスをブロックしたり、指定したユーザーへのコンテンツを暗号化したりできます。 |
| ヘッダーの設定 | SetHeader | First プロパティ: ヘッダー名 2 番目のプロパティ: ヘッダー値 |
SetHeader パラメーターは、メッセージ ヘッダーのヘッダー フィールドと値を追加または変更する DLP ルールのアクションを指定します。 このパラメーターは、"HeaderName:HeaderValue" という構文を使用します。 複数のヘッダー名と値のペアをコンマで区切って指定できます |
| ヘッダーを削除する | RemoveHeader | 最初のプロパティ: MessageHeaderField 2 番目のプロパティ: String |
RemoveHeader パラメーターは、メッセージ ヘッダーからヘッダー フィールドを削除する DLP ルールのアクションを指定します。 このパラメーターは、"HeaderName" または "HeaderName:HeaderValue" という構文を使用します。複数のヘッダー名またはヘッダー名と値のペアをコンマで区切って指定できます |
| 特定のユーザーにメッセージをリダイレクトする | RedirectMessageTo | アドレス | 特定の受信者にメッセージをリダイレクトします。 元の受信者にメッセージを配信せず、送信者や元の受信者に通知を送信しません。 |
| 承認のためにメッセージを送信者のマネージャーに転送する | 中 | 最初のプロパティ: ModerateMessageByManager 2 番目のプロパティ: ブール値 |
Moderate パラメーターは、電子メール メッセージをモデレーターに送信する DLP ルールのアクションを指定します。 このパラメーターは、@{ModerateMessageByManager = <$true |$false> という構文を使用します。 |
| 承認のメッセージを特定の承認者に転送する | 中 | 最初のプロパティ: ModerateMessageByUser 2 番目のプロパティ: Addresses |
Moderate パラメーターは、電子メール メッセージをモデレーターに送信する DLP ルールのアクションを指定します。 このパラメーターは、@{ ModerateMessageByUser = @("emailaddress1","emailaddress2",..."emailaddressN")} という構文を使用します。 |
| 受信者の追加 | AddRecipients | 最初のプロパティ: Field 2 番目のプロパティ: Addresses |
メッセージの To/Cc/Bcc フィールドに 1 つ以上の受信者を追加します。 このパラメーターでは、構文 @{<AddToRecipients <CopyTo |BlindCopyTo> = "emailaddress"} |
| 送信者のマネージャーを受信者として追加する | AddRecipients | 最初のプロパティ: AddedManagerAction 2 番目のプロパティ: Field |
送信者の上司を指定の受信者タイプ (To、Cc、Bcc) としてメッセージに追加したり、送信者や受信者に通知することなくメッセージを送信者の上司にリダイレクトします。 このアクションは、送信者の Manager 属性が Active Directory で定義されている場合のみ有効です。 このパラメーターでは、@{AddManagerAsRecipientType = "<To |Cc |Bcc>"} |
| 件名の前に追加する | PrependSubject | 文字列 | メッセージの Subject フィールドの冒頭に指定のテキストを追加します。 元の件名のテキストを区別するために、指定されたテキストの最後の文字としてスペースまたはコロン (:) を使用してください。 件名のテキスト (返信など) が既に含まれているメッセージに同じ文字列が追加されないようにするには、"件名に単語が含まれている" (ExceptIfSubjectContainsWords) 例外をルールに追加します。 |
| HTML 免責事項を適用する | ApplyHtmlDisclaimer | 最初のプロパティ: Text 2 番目のプロパティ: Location 3 番目のプロパティ: フォールバック アクション |
指定した HTML 免責事項をメッセージの必要な場所に適用します。 このパラメーターは、@{ Text = " " という構文を使用します。Location = <Append |先頭に追加>します。FallbackAction = <Wrap |無視 |拒否> } |
| メッセージの暗号化と権限の保護を削除する | RemoveRMSTemplate | 該当なし | メールに適用されているメッセージ暗号化を削除します |
| ホストされた検疫にメッセージを配信する | Quarantine | 該当なし | このアクションは現在 パブリック プレビュー段階です。 このフェーズでは、DLP ポリシーによって検疫されたメールには、ポリシーの種類が ExchangeTransportRule として表示されます。 EOP の検疫にメッセージを配信します。 詳細については、「 EOP で検疫された電子メール メッセージ」を参照してください。 |
| 件名を変更する | ModifySubject | PswsHashTable | 特定のパターンに一致する件名行からテキストを削除し、別のテキストに置き換えます。 以下の例を参照してください。 次の操作を行うことができます: - 件名内のすべての一致を置換テキストに置き換えます - [追加] を選択 すると、件名内のすべての一致が削除され、件名の末尾に置換テキストが挿入されます。 - 先頭 に追加してすべての一致を削除し、件名の先頭に置換テキストを挿入します。 /powershell/module/exchange/new-dlpcompliancerule の ModifySubject パラメーターに関するページを参照してください。 |