エンドポイント データ損失防止の設定を構成する

  • [アーティクル]

エンドポイント データ損失防止 (DLP) 動作の多くの側面は、デバイスのすべての DLP ポリシーに適用される一元的に構成された設定によって制御されます。 これらの設定を使用して、次の動作を制御します。

  • クラウドの出力制限
  • アプリケーションごとのユーザー アクティビティに対するさまざまな種類の制限付きアクション。
  • Windows および macOS デバイスのファイル パスの除外。
  • ブラウザーとドメインの制限。
  • ポリシーのオーバーライドに関する業務上の正当な理由がポリシー ヒントにどのように表示されるか。
  • Office、PDF、CSV ファイルに対して実行されたアクションが自動的に監査されるかどうか。

これらの設定にアクセスするには、Microsoft Purview コンプライアンス ポータルから、[データ損失防止概要>] [データ損失防止>の設定] [エンドポイント設定>] の順に移動します。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

重要

PDF ファイルでMicrosoft Purview データ損失防止 (DLP) 機能を使用するための Adobe の要件については、Adobe: Microsoft Purview 情報保護 サポートの記事を参照してください。

エンドポイント DLP Windows 10/11 および macOS 設定

エンドポイント DLP を使用すると、次のバージョンの Windows Server を実行しているデバイスをオンボードすることもできます。

注:

サポートされている Windows Server KB をインストールすると、サーバー上の 分類 機能が無効になります。 つまり、エンドポイント DLP はサーバー上のファイルを分類しません。 ただし、エンドポイント DLP は、これらの KB がサーバーにインストールされる前に分類されたサーバー上のファイルを保護します。 この保護を確保するには、バージョン 4.18.23100 (2023 年 10 月) 以降Microsoft Defenderインストールします。

既定では、Windows サーバーが最初にオンボードされるときに、エンドポイント DLP は有効になりません。 アクティビティ エクスプローラーでサーバーのエンドポイント DLP イベントを表示するには、まず Windows サーバーのエンドポイント DLP を有効にする必要があります。

適切に構成すると、同じデータ損失保護ポリシーを Windows PC と Windows サーバーの両方に自動的に適用できます。

設定 サブ設定 Windows 10、1809 以降、Windows 11、Windows Server 2019、Windows Server 2022 (21H2 以降) for Endpoints (X64) macOS (3 つの最新リリース バージョン) Notes (メモ)
高度な分類のスキャンと保護 割り当てられた帯域幅の制限 サポートされている サポートされている 高度な分類により、macOS に対して次の機能が-
有効になります。 - ドキュメント フィンガープリント正確なデータ一致ベースの機密情報の種類
- トレーニング可能な分類子
- 名前付きエンティティについて学習する
Windows のファイル パスの除外 該当なし サポート 該当なし
Mac のファイル パスの除外 該当なし 該当なし サポート macOS には、既定でオンになっている除外の推奨リストが含まれています
デバイス上のファイル アクティビティの証拠収集を設定する デバイスに証拠キャッシュを設定する サポートされている サポート対象外
ネットワーク共有のカバレッジと除外 該当なし サポート サポート対象外
制限されたアプリとアプリ グループ 制限されたアプリ グループ サポートされている サポートされている
制限されたアプリとアプリ グループ 制限されたアプリ サポートされている サポートされている
制限されたアプリとアプリ グループ 自動検疫設定 サポートされている サポートされている
許可されていない Bluetooth アプリ 該当なし サポート サポートされている
機密データに対するブラウザーとドメインの制限 許可されていないブラウザー サポートされている サポートされている
機密データに対するブラウザーとドメインの制限 サービスドメイン サポートされている サポートされている
機密データに対するブラウザーとドメインの制限 機密性の高いサービス ドメイン グループ サポートされている サポート対象外
エンドポイント DLP の追加設定 ポリシー ヒントでの業務上の正当な理由 サポートされている サポートされている
デバイスのファイル アクティビティを常に監査する 該当なし サポート サポートされている
プリンター グループ 該当なし サポート サポートされている
リムーバブル USB デバイス グループ 該当なし サポート サポート
ネットワーク共有グループ 該当なし サポート サポートされている
VPN の設定 該当なし サポート サポート対象外

その他の設定

Setting Windows 10/11、Windows 10、1809 以降、Windows 11 エンドポイント (X64) の Windows Server 2019、Windows Server 2022 (21H2 以降) macOS (3 つの最新リリース バージョン)
アーカイブ ファイル サポートされている サポートされている サポート対象外
ファイルの種類とファイル拡張子 サポートされている サポートされている サポート対象外
Windows サーバーのエンドポイント DLP を有効にする 非サポート サポートされている サポート対象外

Windows サーバーのエンドポイント DLP を有効にする

エンドポイント DLP では、次のバージョンの Windows Server がサポートされています。

Windows Server をオンボードしたら、エンドポイント保護が適用される前に、エンドポイント DLP サポートを有効にする必要があります。

DLP アラート管理ダッシュボードを操作するには:

  1. Microsoft Purview ポータルで、[データ損失防止>の概要] に移動します。
  2. 右上隅にある [設定] を 選択します。
  3. [ 設定] ページで、[ エンドポイントの設定 ] を選択し、[ オンボードされたサーバーのエンドポイント DLP サポート] を展開します。
  4. トグルを [オン] に設定します。

高度な分類のスキャンと保護

高度な分類スキャンと保護により、Microsoft Purview クラウドベースのデータ分類サービスは、項目をスキャンし、分類し、結果をローカル コンピューターに返すことができます。 そのため、DLP ポリシーでは、 正確なデータ一致 分類、 トレーニング可能な分類子資格情報分類子名前付きエンティティ などの分類手法を利用できます。

高度な分類を有効にすると、コンテンツはスキャンと分類のためにローカル デバイスからクラウド サービスに送信されます。 帯域幅の使用量が懸念される場合は、ローリング 24 時間で使用できる帯域幅の上限を設定できます。 制限は エンドポイント設定 で構成され、デバイスごとに適用されます。 帯域幅の使用制限を設定し、それを超えた場合、DLP はユーザー コンテンツのクラウドへの送信を停止します。 その時点で、データ分類はデバイス上でローカルに続行されますが、正確なデータ一致、名前付きエンティティ、トレーニング可能な分類子、および資格情報分類子を使用した分類は使用できません。 累積帯域幅の使用量がローリング 24 時間の制限を下回ると、クラウド サービスとの通信が再開されます。

帯域幅の使用に問題がない場合は、[ 制限なし ] を選択して無制限の帯域幅の使用を許可します。

次の Windows バージョン以降では、高度な分類スキャンと保護がサポートされています。

  • すべてのWindows 11バージョン
  • Windows 10 バージョン 20H1/21H1 以降 (KB 5006738)
  • Windows 10 RS5 (KB 5006744)

注:

  • 高度な分類のサポートは、Office (Word、Excel、PowerPoint) および PDF ファイルの種類で利用できます。

  • DLP ポリシーの評価は、ユーザー コンテンツが送信されていない場合でも、常にクラウドで行われます。

ヒント

Windows 10 デバイスに高度な分類を使用するには、KB5016688をインストールする必要があります。 Windows 11 デバイスに高度な分類を使用するには、それらのWindows 11 デバイスにKB5016691をインストールする必要があります。 さらに、 アクティビティ エクスプローラー で DLP ルールに一致したイベントのコンテキスト テキストが表示される前に、高度な分類を有効にする必要があります。 コンテキスト テキストの詳細については、「コンテキストの 概要」を参照してください。

ファイルパスの除外

デバイスの DLP 監視、DLP アラート、DLP ポリシーの適用から特定のパスを除外する場合は、ファイル パスの除外を設定して、これらの構成設定をオフにすることができます。 除外された場所のファイルは監査されず、それらの場所で作成または変更されたファイルは DLP ポリシーの適用の対象になりません。 DLP 設定でパスの除外を構成するには、[データ損失防止の Microsoft Purview コンプライアンス ポータル概要] [>データ損失防止>の概要>][エンドポイント設定>][Windows のファイル パスの除外] > の順に移動します。

Windows 10/11 デバイス

次のロジックを使用して、Windows 10/11 デバイスの除外パスを構築できます。

  • \終わる有効なファイル パスは、指定したフォルダーのすぐ下にあるファイルのみが除外されることを意味します。
    例: C:\Temp\

  • \*終わる有効なファイル パスは、指定したフォルダーのサブフォルダー内のファイルのみが除外されることを意味します。 指定したフォルダー自体のすぐ下にあるファイルは除外されません。
    例: C:\Temp\*

  • または \*なしで\終了する有効なファイル パスは、指定したフォルダーのすぐ下にあるすべてのファイルとそのすべてのサブフォルダーが除外されることを意味します。
    例: C:\Temp

  • 両側の \ の間にあるワイルドカードを使用したパス。
    例: C:\Users\*\Desktop\

  • 除外するサブフォルダーの正確な数を指定するための、 と (number) の間\のワイルドカードを含むパス。
    例: C:\Users\*(1)\Downloads\

  • システム環境変数を含むパス。
    例: %SystemDrive%\Test\*

  • 上記のすべてのパターンの組み合わせ。
    例: %SystemDrive%\Users\*\Documents\*(2)\Sub\

既定で除外されている Windows ファイル パス

  • %SystemDrive%\\Users\\*(1)\\AppData\\Roaming
  • %SystemDrive%\\Users\\*(1)\\AppData\\Local\\Temp
  • %%SystemDrive%\\Users\\*(1)\\AppData\\Local\\Microsoft\\Windows\\INetCache

macOS デバイス

macOS デバイスに対して独自の除外を追加することもできます。

  • ファイル パスの定義では大文字と小文字が区別されないため、Useruser と同じです。

  • ワイルドカード値がサポートされています。 そのため、パス定義には、パスの中央またはパスの末尾にアスタリスク (*) を含めることができます。
    例: /Users/*/Library/Application Support/Microsoft/Teams/*

既定で除外されている macOS ファイル パス

/System

パフォーマンス上の理由から、エンドポイント DLP には、macOS デバイスに推奨されるファイル パスの除外の一覧が含まれています。 [Mac の推奨ファイル パスの除外を含める] トグルが [オン] に設定されている場合、次のパスも除外されます。

  • /Applications
  • /usr
  • /Library
  • /private
  • /opt

このトグルは [オン] のままにすることをお勧めします。 ただし、トグルを [オフ] に設定すると、これらのパスの除外を停止できます。

デバイス上のファイル アクティビティの証拠収集を設定する

デバイス上のポリシーに一致する項目を識別すると、DLP は それらを Azure ストレージ アカウントにコピーできます。 これは、ポリシー アクティビティの監査と特定の一致のトラブルシューティングに役立ちます。 このセクションを使用して、ストレージ アカウントの名前と URL を追加します。

注:

この機能を有効にする前に、Azure ストレージ アカウントとそのストレージ アカウントにコンテナーを作成する必要があります。 また、アカウントのアクセス許可を構成する必要もあります。 Azure ストレージ アカウントを設定するときは、おそらく、テナントと同じ Azure リージョン/地政学的境界にあるストレージ アカウントを使用する必要があることに注意してください。 また、Azure ストレージ アカウントのアクセス層と Azure ストレージ アカウントの価格の構成も検討する必要があります。

ネットワーク共有のカバレッジと除外

ネットワーク共有のカバレッジと除外により、 エンドポイント DLP ポリシーとアクションが、ネットワーク共有とマップされたネットワーク ドライブ上の新しいファイルと編集されたファイルに拡張されます。 ジャスト イン タイム保護も有効になっている場合は、Just In Time Protection のカバレッジと除外がネットワーク共有とマップされたドライブに拡張されます。 監視対象のすべてのデバイスの特定のネットワーク パスを除外する場合は、「 これらのネットワーク共有パスを除外する」のパス値を追加します。

重要

ネットワーク共有のカバレッジと除外を使用するには、デバイスに次の更新プログラムが適用されている必要があります。

次の表は、ネットワーク共有カバレッジと除外の既定の設定を示しています。

ネットワーク共有のカバレッジと除外 Just In Time Protection 結果の動作
Enabled 無効 - デバイスを対象とする DLP ポリシーは、デバイスが接続されているすべてのネットワーク共有とマップされたドライブに適用されます。 サポートされるアクション: デバイス
無効 有効 - Just-In-Time 保護は、エンドポイントに対してローカルなストレージ デバイス上のファイルにのみ適用されます。
有効 有効 - デバイスを対象とする DLP ポリシーは、デバイスが接続されているすべてのネットワーク共有とマップされたドライブに適用されます。 サポートされるアクション: デバイス
- Just-In-Time 保護は、デバイスが接続されているすべてのネットワーク共有とマップされたドライブに適用されます。

ネットワーク共有のカバレッジと除外は、DLP オンプレミスのリポジトリ アクションを補完します。 次の表は、オンプレミス リポジトリで DLP が有効か無効かに応じて、除外設定と結果の動作を示しています。

ネットワーク共有のカバレッジと除外 DLP オンプレミス リポジトリ 結果の動作
Enabled 無効 - デバイスを対象とする DLP ポリシーは、デバイスが接続されているすべてのネットワーク共有とマップされたドライブに適用されます。 サポートされるアクション: デバイス
無効 有効 - オンプレミス リポジトリを対象とするポリシーは、ファイル共有と SharePoint ドキュメント ライブラリとフォルダー内のオンプレミスの保存データに対して保護アクションを適用できます。 DLP オンプレミスリポジトリアクション
有効 有効 - デバイスを対象とする DLP ポリシーは、デバイスが接続されているすべてのネットワーク共有とマップされたドライブに適用されます。 サポートされるアクション: デバイス
- オンプレミス リポジトリを対象とするポリシーは、ファイル共有と SharePoint ドキュメント ライブラリとフォルダー内のオンプレミスの保存データに対して保護アクションを適用できます。 DLP オンプレミスリポジトリアクション

制限されたアプリとアプリ グループ

制限されたアプリ

[制限付きアプリ] リスト (以前は "未適用アプリ" と呼ばれる) は、作成するアプリケーションのカスタム リストです。 ユーザーが一覧のアプリを使用してデバイス上の DLP で保護されたファイルに アクセス するときに DLP が実行するアクションを構成します。 制限付きアプリの一覧は、Windows 10/11 および 3 つの最新の macOS リリースのいずれかを実行している macOS デバイスで使用できます。

重要

  • 実行可能ファイルへのパスは含めないでください。 実行可能ファイル名 (browser.exe など) のみを含めます。

  • 制限付きアプリの一覧にあるアプリに対して定義されているアクション (auditblock with override、または block) は、ユーザーが保護されたアイテムに アクセス しようとするときにのみ適用されます。

ポリシーで制限付きアプリによるアクセスが選択され、ユーザーが制限付きアプリの一覧にあるアプリを使用して保護されたファイルにアクセスする場合、制限付きアプリの一覧の構成方法に応じて、アクティビティは auditedblocked、または blocked with overrideです。 例外: [制限付きアプリ ] リストのアプリが 制限付きアプリ グループのメンバーでもある場合、[ 制限付きアプリ] グループ のアクティビティに対して構成されたアクションは、[ 制限付きアプリ ] リストに構成されているアクションよりも優先されます。 すべてのアクティビティが監査され、アクティビティ エクスプローラーで確認できます。

制限付きアプリ グループ (プレビュー)

制限付きアプリ グループは、DLP 設定で作成し、ポリシーのルールに追加するアプリのコレクションです。 制限付きアプリ グループをポリシーに追加すると、次の表で定義されているアクションを実行できます。

制限付きアプリ グループ オプション これを使用して実行できること
ファイル アクティビティを制限しない ユーザーが クリップボードへのコピーUSB リムーバブル ドライブへのコピーネットワーク ドライブへのコピー、またはアプリからの 印刷 を試みた場合に何も行わずに、アプリ グループ内のアプリを使用して DLP で保護されたアイテムにユーザーがアクセスできるように DLP に指示します。
すべてのアクティビティに制限を適用する 関連するアプリ グループ内のアプリをAudit onlyBlock with override使用して、DLP で保護されたアイテムにユーザーがアクセスしようとしたときに、または Block DLP に通知します
特定のアクティビティに制限を適用する この設定を使用すると、ユーザーはアプリ グループ内のアプリを使用して DLP で保護されたアイテムにアクセスできます。 また、ユーザーがクリップボードへのコピーUSB リムーバブル ドライブへのコピーBlockネットワーク ドライブへのコピー、印刷を試みたときに DLP が実行する既定のアクション (Audit only、、またはBlock with override) を選択することもできます。

重要

制限付きアプリ グループ の設定は、制限付きアプリ の一覧 で設定されている制限が同じルール内にある場合にオーバーライドされます。 そのため、アプリが制限付きアプリの一覧にあり、制限付きアプリ グループのメンバーでもある場合は、制限付きアプリ グループの設定が適用されます。

DLP がアクティビティに制限を適用する方法

制限付きアプリ グループ内のアプリのファイル アクティビティすべてのアプリのファイル アクティビティ、制限付きアプリ アクティビティの一覧の間の相互作用は、同じルールにスコープが設定されます。

制限付きアプリ グループのオーバーライド

制限付きアプリ グループ内のアプリのファイル アクティビティで定義されている構成は、同じルール内の制限付きアプリ アクティビティのリストとすべてのアプリのファイル アクティビティをオーバーライドします。

すべてのアプリの制限付きアプリ アクティビティとファイル アクティビティ

制限付きアプリ アクティビティすべてのアプリのファイル アクティビティの構成は、制限付きアプリ アクティビティに対して定義されたアクションが同じルールで Audit only、または Block with override されている場合、連携して動作します。 どうしてでしょうか? 制限付きアプリ アクティビティに対して定義されたアクションは、ユーザーがリストにあるアプリを使用してファイルにアクセスする場合にのみ適用されます。 ユーザーがアクセスできるようになると、すべてのアプリのファイル アクティビティのアクティビティに対して定義されたアクションが適用されます。

たとえば、次の例を見てみましょう。 Notepad.exe が 制限付きアプリに追加され、 すべてのアプリのファイル アクティビティ特定のアクティビティに制限を適用するように構成されており、両方とも次の表に示すように構成されているとします。

ポリシーでの設定 アプリ名 ユーザー アクティビティ 実行する DLP アクション
制限されたアプリのアクティビティ メモ帳 DLP で保護されたアイテムにアクセスする 監査のみ
すべてのアプリ向けファイル アクティビティ すべてのアプリ クリップボードにコピーする 監査のみ
すべてのアプリ向けファイル アクティビティ すべてのアプリ USB リムーバブル デバイスにコピーする ブロック
すべてのアプリ向けファイル アクティビティ すべてのアプリ ネットワーク共有にコピーする 監査のみ
すべてのアプリ向けファイル アクティビティ すべてのアプリ 印刷 ブロック
すべてのアプリ向けファイル アクティビティ すべてのアプリ 許可されていない Bluetooth アプリを使用したコピーまたは移動 Blocked
すべてのアプリ向けファイル アクティビティ すべてのアプリ リモート デスクトップ サービス オーバーライド付きブロック

ユーザー A がメモ帳を使用して DLP で保護されたファイルを開くと、DLP によってアクセスが許可され、アクティビティが監査されます。 メモ帳に残っている間、ユーザー A は保護された項目からクリップボードにコンテンツをコピーしようとします。 このアクションは成功し、DLP によってアクティビティが監査されます。 その後、ユーザー A がメモ帳から保護されたアイテムを印刷しようとすると、アクティビティはブロックされます。

注:

制限付きアプリアクティビティで実行する DLP アクションが block に設定されていると、すべてのアクセスがブロックされ、ユーザーはファイルに対してアクティビティを実行できません。

すべてのアプリ向けのみのファイル アクティビティ

制限付きアプリ グループ内のアプリのファイル アクティビティまたは制限付きアプリ アクティビティの一覧にアプリが含まれていない場合、または制限付きアプリ アクティビティの一覧に 、または Block with overrideのいずれかのAudit onlyアクションがある場合は、[すべてのアプリのファイル アクティビティ] で定義されているすべての制限が同じルールに適用されます。

macOS デバイス

また、macOS アプリが機密データにアクセスできないようにするには、[ 制限付きアプリ アクティビティ ] の一覧で機密データを定義します。

注:

クロスプラットフォーム アプリは、実行している OS に対応する一意のパスで入力する必要があります。

Mac アプリの完全なパスを検索するには:

  1. macOS デバイスで、アクティビティ モニター を開きます。 制限するプロセスを見つけてダブルクリックします。

  2. [ ファイルとポートを開く ] タブを選択します。

  3. アプリの名前を含め、完全なパス名を書き留めます。

自動検疫

onedrive.exeなどのクラウド同期アプリによって機密項目がクラウドに同期されないようにするには、自動検疫を使用してクラウド同期アプリを [制限付きアプリ] リストに追加します。

有効にすると、制限されたアプリが DLP で保護された機密アイテムにアクセスしようとすると、自動検疫がトリガーされます。 自動検疫では、機密性の高い項目が管理者が構成したフォルダーに移動します。 そのように構成されている場合、オートクォランチンは元のファイルの代わりにプレースホルダー (.txt) ファイルを残すことができます。 プレースホルダー ファイル内のテキストを構成して、アイテムの新しい場所やその他の関連情報をユーザーに伝えることができます。

これを使用するのは、許可されていないクラウド同期アプリが、ブロックしている DLP ポリシーによって保護されているアイテムにアクセスしようとすると、DLP によって繰り返し通知が生成される可能性があります。 自動検疫を有効にすると、これらの繰り返しの通知を回避できます。

また、自動検疫を使用して、ユーザーと管理者に対する DLP 通知の無限のチェーンを防ぐことができます。 詳細については、「シナリオ 4: 自動検疫を使用してクラウド同期アプリからの DLP 通知をループしないようにする」を参照してください。

未承認 (制限付き) Bluetooth アプリ

特定の Bluetooth アプリを介してポリシーによって保護されたファイルを転送できないようにするには、それらのアプリを [制限付きアプリ ] の一覧に追加します。

機密データに対するブラウザーとドメインの制限

ポリシーに一致する機密ファイルが、無制限のクラウド サービス ドメインと共有されるのを制限します。

許可されていないブラウザー

Windows デバイスの場合、指定された Web ブラウザーの使用を制限できます。その実行可能ファイル名によって識別されます。 指定したブラウザーは、アップロードからクラウドへのサービスの制限が または block overrideblock設定されている、適用される DLP ポリシーの条件に一致するファイルへのアクセスがブロックされます。 これらのブラウザーがファイルへのアクセスをブロックされると、エンド ユーザーに Microsoft Edge 経由でファイルを開くように求めるトースト通知が表示されます。

macOS デバイスの場合は、完全なファイル パスを追加する必要があります。 Mac アプリの完全なパスを検索するには:

  1. macOS デバイスで、アクティビティ モニター を開きます。 制限するプロセスを見つけて、ダブルクリックします

  2. [ファイルとポートを開く] タブを選択します。

  3. アプリの名前を含め、完全なパス名を必ず書き留めておきます。

サービスドメイン

ポリシーで保護されている機密ファイルを特定のサービス ドメインにアップロードできるかどうかを制御するには、[サービス ドメインの許可] または [ブロック] 設定を選択する必要があります。

注:

サービス ドメイン設定は、Microsoft Edge を使用してアップロードされたファイル、または Microsoft Purview Chrome 拡張機能がインストールされている Google Chrome または Mozilla Firefox のインスタンスを使用するファイルにのみ適用されます。

許可

[サービス ドメイン] リストが [許可] に設定されている場合、ユーザーが機密性の高いファイルをリスト内の任意のドメインにアップロードしようとすると、DLP ポリシーは適用されません。

リスト モードが [許可] に設定されている場合、機密性の高いアイテムとリスト上にあるドメインに関連するすべてのユーザー アクティビティが監査されます。 アクティビティは許可されます。 ユーザーが機密性の高いアイテムと一 覧にないドメイン に関連するアクティビティを試みると、DLP ポリシーと、それらのポリシーで定義されているアクションが適用されます。

たとえば、次の構成を使用します。

  • サービス ドメインの 一覧モードが [許可] に設定されています。
    • Contoso.com が一覧に表示されます。
    • DLP ポリシーは、[クレジット カード番号を含む機密アイテムのアップロードをブロックする] に設定されています。

ユーザーがクレジットカード番号を持つ機密ファイルを contoso.com にアップロードしようとすると、ユーザー アクティビティが許可され、監査され、イベントが生成されます。 ただし、ポリシー名は一覧に表示されません。また、[イベントの詳細] に表示されるトリガールールの名前も表示されません。 アラートは生成されません。

これに対し、ユーザーがクレジット カード番号を持つ機密ファイルを wingtiptoys.com にアップロードしようとすると (制限付きアプリの一覧に表示されません)、ポリシーが適用され、ユーザー アクティビティがブロックされます。 さらに、アラートと同様にイベントが生成されます。

ブロック

[サービス ドメイン] の一覧が [ブロック] に設定されている場合、ユーザーが制限付きアプリの一覧のいずれかのドメインに機密ファイルをアップロードしようとすると、DLP ポリシーが適用されます。

リスト モードが [ブロック] に設定されている場合、ユーザーが機密性の高いアイテムとリスト上にあるドメインを含むアクティビティを試みると、DLP ポリシーとその中で定義されているアクションが適用されます。 機密性の高いアイテムと、リストにないドメインに関連するすべてのアクティビティが監査され、ユーザー アクティビティが許可されます。

別の例を見てみましょう。 次の構成を確認しているとします。

  • サービス ドメインの 一覧モードが [ブロック] に設定されています。
    • Contoso.com が一覧に表示されます。
    • DLP ポリシーは、クレジット カード番号を含む機密アイテムのアップロードをオーバーライドしてブロックに設定されます。

ユーザーがクレジットカード番号を持つ機密ファイルを contoso.com にアップロードしようとすると、アクティビティはブロックされますが、ユーザーはブロックをオーバーライドできます。 ユーザーがブロックをオーバーライドすることを選択した場合、イベントが生成され、アラートがトリガーされます。

ただし、ユーザーがクレジット カード番号を含む機密ファイルを wingtiptoys.com にアップロードしようとすると (制限付きリストに含まれていない)、ポリシーは適用されないため、ユーザー アクティビティは監査されます。 イベントは生成されますが、イベントの詳細にポリシー名やトリガールールの名前は一覧表示されません。 アラートは生成されません。

重要

サービス制限モードが [許可] に設定されている場合、制限が適用される前に、少なくとも 1 つのサービス ドメインが構成されている必要があります。

概要テーブル 次の表は、一覧表示されている設定に応じてシステムがどのように動作するかを示しています。

サービス ドメインの一覧の設定 機密性の高いアイテムをリスト上のサイトにアップロードする 機密性の高いアイテムをリストにないサイトにアップロードする
許可 - DLP ポリシーが適用
されない - ユーザー アクティビティが監査される - イベントが生成される
 - DLP ポリシーが適用
される - 構成済みのアクションが実行
される - イベントが生成される
- アラートが生成される
ブロック - DLP ポリシーが適用
される - 構成済みのアクションが実行
される - イベントが生成される
- アラートが生成される		 - DLP ポリシーが適用
されない - ユーザー アクティビティが監査される - イベントが生成される

一覧にドメインを追加する場合は、サービス ドメインの FQDN 形式を使用し、終了期間 (.) を指定しません。

次に例を示します。

Input URL 照合動作
CONTOSO.COM 指定されたドメイン名と任意のサブサイトに一致します:

://contoso.com

://contoso.com/

://contoso.com/anysubsite1

://contoso.com/anysubsite1/anysubsite2 (など)

サブドメインまたは指定されていないドメインと一致しません:

://anysubdomain.contoso.com

://anysubdomain.contoso.com.AU
*.CONTOSO.COM 指定されたドメイン名、任意のサブドメイン、および任意のサイトに一致します:

://contoso.com

://contoso.com/anysubsite

://contoso.com/anysubsite1/anysubsite2

://anysubdomain.contoso.com/

://anysubdomain.contoso.com/anysubsite/

://anysubdomain1.anysubdomain2.contoso.com/anysubsite/

://anysubdomain1.anysubdomain2.contoso.com/anysubsite1/anysubsite2 (など)

指定されていないドメインと一致しません

://anysubdomain.contoso.com.AU/
www.contoso.com 指定されたドメイン名と一致します:

www.contoso.com

指定されていないドメインまたはサブドメインと一致しません

*://anysubdomain.contoso.com/、この場合、FQDN ドメイン名自体を配置する必要があります www.contoso.com

[機密サービス ドメイン] で最大 50 個のドメインを構成できます。

機密性の高いサービス ドメイン グループ

機密サービス ドメインに Web サイトを一覧表示すると、ユーザーが次のいずれかの操作を実行しようとしたときに、block with override、、または完全blockなユーザー アクティビティを実行できますaudit

  • Web サイトから印刷する
  • Web サイトからデータをコピーする
  • Web サイトをローカル ファイルとして保存する
  • 機密性の高いファイルを除外された Web サイトにアップロードまたはドラッグ アンド ドロップする
  • 除外された Web サイトに機密データを貼り付ける

ブラウザーへの貼り付けアクションの場合、ユーザーが Web ページにテキストを貼り付けようとしたときと、システムがテキストの分類を完了して応答するまでの短いタイム ラグが発生する可能性があります。 この分類の待機時間が発生した場合は、Chrome と Firefox の Edge またはポリシー評価トーストに、ポリシー評価とチェック完了通知の両方が表示される場合があります。 通知の数を最小限に抑えるためのヒントを次に示します。

  1. ターゲット Web サイトのポリシーが、そのユーザーのブラウザーへの貼り付けをオーバーライドしてブロックまたはブロックするように構成されている場合、通知がトリガーされます。 全体的なアクションを [監査 ] に設定し、例外を [ブロック] として使用してターゲット Web サイトを一覧表示するように構成できます。 または、例外を監査として使用して、全体的なアクションを [ブロック] に設定し、セキュリティで保護された Web サイトを一覧表示することもできます。
  2. 最新のマルウェア対策クライアント バージョンを使用します。
  3. 最新の Edge ブラウザー バージョン (特に Edge 120) を使用します。
  4. 次の Windows KB をインストールします。
    1. Windows 10: KB5032278
    2. Windows 11: KB5032288

印刷、データのコピー、保存アクションの場合、各 Web サイトは Web サイト グループに一覧表示されている必要があります。

注:

サービス ドメイン設定は、Microsoft Edge を使用してアップロードされたファイル、または Microsoft Purview Chrome 拡張機能がインストールされている Google Chrome または Mozilla Firefox のインスタンスにのみ適用されます。

次の表は、これらの機能をサポートするブラウザーを示しています。

ブラウザー サポートされている機能
Microsoft Edge -印刷
-コピー
-保存
- 貼り付け
- アップロード
Google Chrome (Microsoft Purview 拡張機能付き) - アップロード
- 貼り付け
Mozilla Firefox (Microsoft Purview 拡張機能付き) - アップロード
- 貼り付け

さらに、デバイスの場合は、DLP ポリシーで 機密サービス ドメインを使用する 必要があります。 グローバル Web サイト グループのアクションとは異なるポリシー アクションを割り当てる Web サイト グループを定義することもできます。 1 つのグループに最大 100 個の Web サイトを追加でき、最大 150 個のグループを作成できます。 詳細については、「 シナリオ 6: 機密サービス ドメインでのユーザー アクティビティの監視または制限」を参照してください。

注:

除外された Web サイトに機密データを貼り付ける場合は、次のソフトウェアがインストールされていることを確認してください。

  • Windows 10 - KB5023773

  • Win 11 21H2 - KB5023774

  • Win 11 22H2 - KB5023778

  • Microsoft Edge を使用する場合は、Edge バージョン 118 以降が必要です。

  • この機能のルールで [エンドポイントで選択したすべてのファイル アクティビティの証拠として元のファイルを収集する] が有効になっている場合、ユーザーの Windows デバイスにマルウェア対策クライアント バージョン 4.18.23110 以降がインストールされていない場合、ソース テキストにガベージ文字が表示されることがあります。 [アクションのダウンロード] を選択して、実際のコンテンツを表示します。

詳細については、「 シナリオ 7: 機密コンテンツをブラウザーに貼り付けるのを制限する」を参照してください

Web サイト グループ内の Web サイトを指定するためのサポートされている構文

URL の一部としてネットワーク プロトコルを含めないでください (たとえば、 https://file://)。 代わりに、柔軟な構文を使用して、Web サイト グループにドメイン、サブドメイン、Web サイト、サブサイトを含め、除外します。 例えば、

  • ワイルドカードとして使用して * 、すべてのドメインまたはすべてのサブドメインを指定します
  • URL の末尾にあるターミネータとして使用 / して、その特定のサイトのみにスコープを設定します。

終了スラッシュ マーク ( /) のない URL を追加すると、その URL は、そのサイトとすべてのサブサイトにスコープが設定されます。

この構文は、すべての http/https Web サイトに適用されます。 次に、いくつかの例を示します:

Web サイト グループに追加された URL URL が一致します URL が一致しない
contoso.com //
//contoso.com contoso.com/ //
contoso.com/allsubsites1 contoso.com/allsubsites1/allsubsites2
//		 //
//allsubdomains.contoso.com allsubdomains.contoso.com.au
contoso.com/ //
//contoso.com contoso.com/		 //
//contoso.com/allsubsites1 contoso.com/allsubsites1/allsubsites2 //
allsubdomains.contoso.com allsubdomains.contoso.com/au
//
*.contoso.com //allsubdomains1/allsubdomains2/contoso.com //

///allsubsites1/allsubsites1/allsubsites2 allsubdomains.contoso.com/allsubsites //
contoso.com/allsubsites contoso.com/allsubsites1/allsubsites2 allsubdomains.contoso.com contoso.com //

//		 //allsubdomains.contoso.com.au
*.contoso.com/xyz //
//contoso.com contoso.com/xyz
//contoso.com/xyz/allsubsites/ allsubdomains.contoso.com/xyz //
allsubdomains.contoso.com/xyz/allsubsites //
allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites1/allsubsites2
//
//		 //
//contoso.com/xyz/ allsubdomains.contoso.com/xyz/
*.contoso.com/xyz/ //
//contoso.com/xyz allsubdomains.contoso.com/xyz		 //
//contoso.com contoso.com/xyz/allsubsites/
//allsubdomains.contoso.com/xyz/allsubsites/ //
allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites/ allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites1/allsubsites2
//

エンドポイント DLP の追加設定

ポリシー ヒントでの業務上の正当な理由

ポリシーヒントを構成するためのオプションで、ユーザーがビジネス上の正当な理由オプションと対話する方法を制御できます。 このオプションは、DLP ポリシーの [オーバーライド付きブロック] 設定で保護されているアクティビティをユーザーが実行したときに表示されます。 これはグローバル設定です。 以下のいずれかのオプションを選択できます。

  • 既定のオプションとカスタム テキスト ボックスを表示する: 既定では、ユーザーは組み込みの業務上の正当な理由を選択するか、独自のテキストを入力できます。
  • [既定のオプションのみを表示する]: ユーザーは、組み込みの理由の一覧からの選択に制限されます。
  • [カスタム テキスト ボックスのみを表示する]: ユーザーは、カスタムの正当な理由を入力することに限定されます。 テキスト ボックスがエンド ユーザー ポリシー ヒント通知に表示され、オプションの一覧は表示されません。

ドロップダウン メニューのオプションのカスタマイズ

[オプションのカスタマイズ] ドロップダウン メニューを選択すると、ユーザーがポリシー通知ヒントを操作するときに表示されるカスタマイズされた オプションを最大 5 つ作成できます。

オプション 既定のテキスト
オプション 1 これは、確立されたビジネス ワークフローの一部 であるか、カスタマイズされたテキストを入力できます
オプション 2 マネージャーがこのアクションを承諾します または、カスタマイズされたテキストを入力できます
オプション 3 緊急アクセスが必要です。自分のマネージャーに別途通知を送信します または、カスタマイズされたテキストを入力できます
誤検知オプションの表示 これらのファイルの情報は機密情報ではありません または、カスタマイズされたテキストを入力できます
オプション 5 その他 または、カスタマイズされたテキストを入力できます

デバイスのファイル アクティビティを常に監査する

既定では、デバイスがオンボードされると、Office、PDF、CSV ファイルのアクティビティが自動的に監査され、アクティビティ エクスプローラーで確認できるようになります。 オンボードされたデバイスがアクティブなポリシーに含まれている場合にのみ、このアクティビティを監査する場合は、この機能をオフにします。

アクティブなポリシーに含まれているかどうかに関係なく、オンボードされたデバイスのファイル アクティビティは常に監査されます。

プリンター グループ

この設定を使用して、グローバル印刷アクションとは異なるポリシー アクションを割り当てるプリンターのグループを定義します。

プリンター グループを作成するための最も一般的なユース ケースは、契約の印刷を、organizationの法務部門のプリンターのみに制限するために使用することです。 ここでプリンター グループを定義した後、デバイスを対象とするすべてのポリシーで使用できます。 承認グループを使用するようにポリシー アクションを構成する方法の詳細については、「 シナリオ 8 承認グループ 」を参照してください。

最大 20 個のプリンター グループを作成できます。 各グループには、最大 50 台のプリンターを含めることができます。

注:

この機能は、次のいずれかの Windows バージョンを実行しているデバイスで使用できます。

例を見てみましょう。 DLP ポリシーで、法務部門のプリンターを除くすべてのプリンターへの契約の印刷をブロックするとします。

  1. 各グループにプリンターを割り当てるには、次のパラメーターを使用します。

    • フレンドリ プリンター 名 - デバイス マネージャーのプリンター デバイス プロパティの詳細からフレンドリ プリンター名の値を取得します。
    • USB プリンター - コンピューターの USB ポートを介して接続されたプリンター。 USB 製品 ID と USB ベンダー ID の選択を解除したまま、USB プリンターを適用する場合は、このオプションを選択します。 また、USB 製品 ID と USB ベンダー ID を指定して、特定の USB プリンターを割り当てることもできます。
      • USB 製品 ID - デバイス マネージャーのプリンター デバイス プロパティの詳細から Device Instance パスの値を取得します。 その値を Product ID とベンダー ID の形式に変換します。 詳細については、「 Standard USB 識別子」を参照してください。
      • USB ベンダー ID - デバイス マネージャーのプリンター デバイス プロパティの詳細からデバイス インスタンス パスの値を取得します。 その値を製品 ID とベンダー ID の形式に変換します。 詳細については、「 Standard USB 識別子」を参照してください。
    • IP 範囲
    • ファイルに印刷 - Microsoft PDF または Microsoft XPS ドキュメント ライターに印刷します。 Microsoft Print to PDF のみを適用する場合は、"Microsoft Print to PDF" でフレンドリ プリンター名を使用する必要があります。
    • プリンターに展開されるユニバーサル印刷 - ユニバーサル プリンターの詳細については、「 ユニバーサル印刷のセットアップ」を参照してください。
    • 会社のプリンター - ドメイン内のオンプレミスの Windows プリント サーバーを介して共有される印刷キューです。 そのパスは次のようになります: \print-server\contoso.com\legal_printer_001
    • ローカルに印刷する - Microsoft 印刷ポートを介して接続するすべてのプリンターが、上記の種類ではありません。 たとえば、リモート デスクトップまたはリダイレクト プリンターを使用して印刷します。

注:

USB プリンターIP 範囲ファイルへの印刷プリンターに展開されたユニバーサル印刷会社のプリンターローカルへの印刷の複数のパラメーターを使用しないでください。

  1. グループ内の各プリンターに 表示名を割り当てます。 これらの名前は、Microsoft Purview コンソールにのみ表示されます。

  2. Legal printers という名前のプリンター グループを作成し、フレンドリ名で個々のプリンター (エイリアス付き) を追加します。たとえば、、legal_printer_001legal_printer_002legal_color_printerです。 (特定のプリンターを明確に識別するのに役立つ複数のパラメーターを一度に選択できます)。

  3. DLP ポリシーのグループにポリシー アクションを割り当てます。

    • Allow (ユーザー通知やアラートのない監査)
    • Audit only (通知とアラートを追加できます)
    • Block with override (アクションはブロックされますが、ユーザーはオーバーライドできます)
    • Block (何があってもブロック)

プリンター グループを作成する

  1. Microsoft Purview コンプライアンス ポータル開き、[データ損失防止の概要>] [データ損失防止>の設定] [エンドポイント設定>>] [プリンター グループ] の順に移動します。
  2. [ プリンター グループの作成] を選択します
  3. グループに名前を付けます。
  4. [ プリンターの追加] を選択します
  5. プリンターに フレンドリ名を付けます。 選択した名前は、ここにだけ表示されます。
  6. パラメーターを選択し、特定のプリンターを明確に識別するための値を指定します。
  7. [追加] を選択します。
  8. 必要に応じて他のプリンターを追加します。
  9. [ 保存] を選択 し、[ 閉じる] を選択します

リムーバブル USB デバイス グループ

この設定を使用して、グローバル印刷アクションとは異なるポリシー アクションを割り当てるリムーバブル 記憶域デバイスのグループ (USB サム ドライブなど) を定義します。 たとえば、DLP ポリシーで、オフサイト ストレージのデータのバックアップに使用される指定された USB 接続ハード ドライブを除き、エンジニアリング仕様の項目がリムーバブル ストレージ デバイスにコピーされないようにする必要があるとします。

最大 20 個のグループを作成でき、各グループには最大 50 個のリムーバブル 記憶域デバイスを作成できます。

注:

この機能は、次のいずれかの Windows バージョンを実行しているデバイスで使用できます。

  • KB 5018482を使用したWindows 10以降 (21H1、21H2)
  • KB 5018483で Win 11 21H2、22H2
  • Windows 10 RS5 (KB 5006744) と Windows Server 2022

リムーバブル 記憶域デバイスを定義するには、次のパラメーターを使用します。

  • ストレージ デバイスフレンドリ名 - デバイス マネージャーのストレージ デバイス プロパティの詳細からフレンドリ名の値を取得します。 ワイルドカード値がサポートされています。
  • USB 製品 ID - デバイス マネージャーの USB デバイス プロパティの詳細からデバイス インスタンス パスの値を取得します。 製品 ID とベンダー ID 形式に変換する方法については、「 Standard USB 識別子」を参照してください。
  • USB ベンダー ID - デバイス マネージャーの USB デバイス プロパティの詳細からデバイス インスタンス パスの値を取得します。 製品 ID とベンダー ID 形式に変換する方法については、「 Standard USB 識別子」を参照してください。
  • シリアル番号 ID - デバイス マネージャーのストレージ デバイス プロパティの詳細からシリアル番号 ID 値を取得します。 ワイルドカード値がサポートされています。
  • デバイス ID - デバイス マネージャーのストレージ デバイス プロパティの詳細からデバイス ID の値を取得します。 ワイルドカード値がサポートされています。
  • インスタンス パス ID - デバイス マネージャーのストレージ デバイス プロパティの詳細からデバイス ID の値を取得します。 ワイルドカード値がサポートされています。
  • ハードウェア ID - デバイス マネージャーのストレージ デバイス プロパティの詳細からハードウェア ID 値を取得します。 ワイルドカード値がサポートされています。

グループ内の各リムーバブル ストレージ デバイスに エイリアスを割り当てます。 エイリアスは、Microsoft Purview コンソールにのみ表示されるフレンドリ名です。 そのため、この例を続けて、Backup という名前のリムーバブル ストレージ デバイス グループを作成し、フレンドリ名 (、、 などbackup_drive_001backup_drive_002) で個々のデバイス (エイリアス付き) を追加します。

パラメーターを複数選択すると、プリンター グループには、これらのパラメーターを満たすすべてのデバイスが含まれます。

DLP ポリシー内のグループにこれらのポリシー アクションを割り当てることができます。

  • Allow (ユーザー通知やアラートのない監査)
  • Audit only (通知とアラートを追加できます)
  • Block with override (アクションをブロックしますが、ユーザーはオーバーライドできます)
  • Block (何があってもブロック)

リムーバブル USB デバイス グループを作成する

  1. [Microsoft Purview コンプライアンス ポータル>データ損失防止の概要>データ損失防止>の設定エンドポイント設定>>リムーバブル ストレージ デバイス グループを開きます。
  2. [ リムーバブル 記憶域デバイス グループの作成] を選択します。
  3. グループ名を指定します
  4. [ リムーバブル ストレージ デバイスの追加] を選択します。
  5. エイリアスを指定 します
  6. パラメーターを選択し、特定のデバイスを明確に識別するための値を指定します。
  7. [追加] を選択します。
  8. 必要に応じて、他のデバイスをグループに追加します。
  9. [ 保存] を選択 し、[ 閉じる] を選択します

リムーバブル 記憶域グループを作成するための最も一般的なユース ケースは、ユーザーがファイルをコピーできるリムーバブル 記憶域デバイスを指定するために使用することです。 通常、コピーは、指定された バックアップ グループ内のデバイスに対してのみ許可されます。

リムーバブル ストレージ デバイス グループを定義した後、デバイスを対象とするすべてのポリシーで使用できます。 承認グループを使用するようにポリシー アクションを構成する方法の詳細については、「 シナリオ 8: 承認グループ」を参照してください。

ネットワーク共有グループ

この設定を使用して、グローバル ネットワーク共有パス アクションとは異なるポリシー アクションを割り当てるネットワーク共有パスのグループを定義します。 たとえば、DLP ポリシーを使用して、特定のグループ内のネットワーク共有を除くネットワーク共有に保護されたファイルをユーザーが保存またはコピーできないようにするとします。

注:

この機能は、次のいずれかの Windows バージョンを実行しているデバイスで使用できます。

  • KB 5018482を使用したWindows 10以降 (21H1、21H2)
  • KB 5018483で Win 11 21H2、22H2
  • Windows 10 RS5 (KB 5006744) と Windows Server 2022

グループにネットワーク共有パスを含める場合は、すべての共有が開始するプレフィックスを定義します。 以下に例を示します。

  • '\Library' が一致します。

    • \Library フォルダーとそのすべてのサブフォルダー。

  • ワイルドカードを使用できます。たとえば、'\Users*\Desktop' が一致します。

    • '\Users\user1\Desktop'
    • '\Users\user1\user2\Desktop'
    • '\Users*\Desktop'

  • 環境変数は、次のように使用することもできます。

    • %AppData%\app123

DLP ポリシー内のグループに次のポリシー アクションを割り当てることができます。

  • Allow (ユーザー通知やアラートのない監査)
  • Audit only (通知とアラートを追加できます)
  • Block with override (アクションはブロックされますが、ユーザーはオーバーライドできます)
  • Block (何があってもブロック)

ネットワーク共有グループを定義したら、 デバイスを対象とするすべての DLP ポリシーで使用できます。 承認グループを使用するようにポリシー アクションを構成する方法の詳細については、「 シナリオ 8 承認グループ」を参照してください。

ネットワーク共有グループを作成する

  1. [Microsoft Purview コンプライアンス ポータル>データ損失防止の概要>] [データ損失防止>] 設定[エンドポイント設定>>][ネットワーク共有グループ] を開きます。 1.[ ネットワーク共有グループの作成] を選択します。
  2. グループ名を指定します
  3. ファイル パスを共有に追加します。
  4. [追加] を選択します。
  5. 必要に応じて、グループに他の共有パスを追加します。
  6. [ 保存] を選択 し、[ 閉じる] を選択します

VPN の設定

VPN リストを使用して、その VPN で実行されているアクションのみを制御します。

注:

この機能は、次のいずれかのバージョンの Windows を実行しているデバイスで使用できます。

  • KB 5018482を使用したWindows 10以降 (21H1、21H2)
  • WINDOWS 11 21H2、22H2、KB 5018483
  • Windows 10 RS5 (KB 5006744)

VPN 設定に VPN を一覧表示すると、次のポリシー アクションを割り当てることができます。

  • Allow (ユーザー通知やアラートのない監査)
  • Audit only (通知とアラートを追加できます)
  • Block with override (アクションはブロックされますが、ユーザーはオーバーライドできます)
  • Block (何があってもブロック)

これらのアクションは、次のユーザー アクティビティに個別またはまとめて適用できます。

  • クリップボードにコピーする
  • USB リムーバブル デバイスにコピーする
  • ネットワーク共有にコピーする
  • 印刷
  • 未承認 (制限付き) Bluetooth アプリを使用してコピーまたは移動する
  • RDP を使用してコピーまたは移動する

DLP ポリシーを構成してデバイス上のアクティビティを制限する場合は、一覧表示されている VPN 内でユーザーがorganizationに接続されたときに実行される各アクティビティの動作を制御できます。

サーバー アドレスまたはネットワーク アドレス パラメーターを使用して、許可される VPN を定義します。

サーバー アドレスまたはネットワーク アドレスを取得する

  1. DLP 監視対象の Windows デバイスで、管理者としてWindows PowerShell ウィンドウを開きます。
  2. 複数のフィールドと値を返す次のコマンドレットを実行します。
Get-VpnConnection
  1. コマンドレットの結果の中で、 ServerAddress フィールドを見つけて、その値を記録します。 VPN リストに VPN エントリを作成するときは、 ServerAddress を使用します。
  2. [名前] フィールドを見つけて、その値を記録します。 [名前] フィールドは、VPN リストに VPN エントリを作成するときに [ネットワーク アドレス] フィールドにマップされます。

VPN を追加する

  1. Microsoft Purview コンプライアンス ポータル>データ損失防止の概要>データ損失防止>の設定 >エンドポイント設定VPN 設定>を開きます。
  2. [ VPN アドレスの追加または編集] を選択します
  3. を実行Get-VpnConnectionした後に記録したサーバー アドレスまたはネットワーク アドレスを指定します。
  4. [保存] を選択します。
  5. アイテムを閉じます。

重要

[ ネットワーク制限 ] 設定の下に、オプションとして [企業ネットワーク ] も表示されます。 企業ネットワーク 接続は、組織リソースへのすべての接続です。 デバイスが 企業ネットワーク を使用しているかどうかを確認するには、管理者としてコマンドレットを Get-NetConnectionProfile 実行します。 出力の が NetworkCategoryId の場合は DomainAuthenticated、マシンが企業ネットワークに接続されていることを意味します。 出力がそれ以外の場合、マシンは ではありません。 場合によっては、マシンを VPN 接続と企業ネットワークの両方に接続できます。 [ ネットワーク制限] で両方が選択されている場合、エンドポイント DLP は順序に基づいてアクションを適用します。 VPN のアクションを適用する場合は、 企業ネットワーク のアクションよりも優先順位が高くなるように、VPN エントリを 企業ネットワークの上に移動します。

ネットワーク例外を使用するようにポリシー アクションを構成する方法の詳細については、「 シナリオ 9: ネットワーク例外」を参照してください。

関連項目