Microsoft Purview Firefox 拡張機能の概要

  • [アーティクル]

Microsoft Purview Firefox 拡張機能をロールアウトするには、次の手順に従います。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、追加の Purview 機能がデータのセキュリティとコンプライアンスのニーズを管理organizationにどのように役立つかを調べます。 Microsoft Purview コンプライアンス ポータル試用版ハブから今すぐ開始します。 サインアップと試用版の条件の詳細について説明します。

はじめに

Microsoft Purview Extension を使用するには、デバイスがエンドポイント DLP に搭載されている必要があります。 DLP やエンドポイント DLP に慣れていない場合は、これらの記事をレビューします

SKU /サブスクリプション ライセンス

開始する前に、「Microsoft 365サブスクリプション」とアドオンを確認しなければなりません。 Endpoint DLP 機能にアクセスして使用するには、次のいずれかのサブスクリプションまたはアドオンが必要です。

  • Microsoft 365 E5
  • Microsoft 365 A5 (EDU)
  • Microsoft 365 E5 コンプライアンス
  • Microsoft 365 A5 コンプライアンス
  • Microsoft 365 E5 の情報保護とガバナンス
  • Microsoft 365 A5 の情報保護とガバナンス

詳細なライセンス ガイダンスについては、 セキュリティ & コンプライアンスに関する Microsoft 365 ライセンス ガイダンスに関するページを参照してください。

  • ご所属の組織で エンドポイント DLP のライセンスを取得している必要があります。
  • デバイスで Windows 10 x64 ビルド 1809 以降を実行している必要があります。
  • デバイスで Antimalware Client バージョン 4.18.2202.x 以降を実行している必要があります。 Windows セキュリティ アプリを開いて現在のバージョンを確認し、[設定] アイコンを選択して、[バージョン情報] を選択します。

アクセス許可

Endpoint DLP からのデータは、Activity エクスプローラーで表示します。 Activity エクスプローラーに権限を付与する役割は 7 つあります。データへのアクセスに使用するアカウントは、次のいずれかのメンバーでなければなりません。

  • グローバル管理者
  • コンプライアンス管理者
  • セキュリティ管理者
  • コンプライアンスデータ管理者
  • グローバルリーダー
  • セキュリティ閲覧者
  • レポート閲覧者

ロールと役割グループ

アクセス制御を微調整するために使用できるロールと役割グループがあります。

該当するロールの一覧を次に示します。 詳細については、Microsoft Purview コンプライアンス ポータルのアクセス許可に関するページを参照してください。

  • Information Protection 管理者
  • Information Protection アナリスト
  • Information Protection 調査員
  • Information Protection 閲覧者

該当する役割グループの一覧を次に示します。 の詳細については、「Microsoft Purview コンプライアンス ポータルのアクセス許可」を参照してください。

  • 情報保護
  • Information Protection レベル
  • Information Protection アナリスト
  • Information Protection 調査担当者
  • Information Protection 閲覧者

インストールの全体的なワークフロー

拡張機能の導入は、複数の手順を踏まえて行われます。 一度に 1 台のマシンにインストールするか、organization全体のデプロイにMicrosoft Intuneまたはグループ ポリシーを使用できます。

  1. デバイスを準備します
  2. 基本的なセットアップ シングル マシンのセルフホスト
  3. Microsoft Intuneを使用してデプロイする
  4. グループ ポリシーを使用して展開する
  5. 拡張機能をテストする
  6. アラート管理ダッシュボードを使用して Firefox DLP アラートを表示する
  7. アクティビティ エクスプローラーでの Firefox DLP データの表示

インフラストラクチャの準備

監視されているすべてのWindows 10デバイスに拡張機能をロールアウトする場合は、許可されていないアプリと未適用のブラウザー リストから Mozilla Firefox を削除する必要があります。 詳細については、「許可されていないブラウザー」を参照してください。 いくつかのデバイスにのみロールアウトする場合は、Firefox を未適用のブラウザーまたは未適用のアプリリストに残すことができます。 拡張機能がインストールされているコンピューターでは、両方のリストの表示制限が回避されます。

デバイスを準備する

  1. これらのトピックの手順を使用して、デバイスをオンボードします。
    1. エンドポイント データ損失防止の使用を開始する
    2. Windows 10 および Windows 11 デバイスのオンボード
    3. 情報保護のためにデバイス プロキシとインターネット接続の設定を構成する

基本的なセットアップ シングル マシンのセルフホスト

これは推奨される方法です。

  1. 最初の XPI ファイルをダウンロードします。

  2. エクスプローラーで拡張機能を見つけて、ファイルを開いている Mozilla Firefox ウィンドウにドラッグします。

  3. インストールを確認します。

Microsoft Intuneを使用してデプロイする

この設定方法は、組織全体の展開に使用します。

強制的にインストールする手順をMicrosoft Intuneする

拡張機能を強制インストールされた拡張機能の一覧に追加する前に、Firefox ADMX を取り込む必要があります。 Microsoft Intuneのこのプロセスの手順を以下に示します。 これらの手順を開始する前に、 Firefox GitHub から最新の Firefox ADMX をダウンロードしていることを確認してください。

ADMX を取り込んだ後、以下の手順でこの拡張機能の構成プロファイルを作成します。

  1. Microsoft Intune管理センターにサインインします。

  2. 構成プロファイルに移動します。

  3. [プロファイルの作成] を選択します。

  4. Windows 10 をプラットフォームとして選択します。

  5. プロファイルの種類として [カスタム] を選択します。

  6. [設定] タブを選択します。

  7. [追加] を選択します。

  8. 次のポリシー情報を入力します。

    OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Firefox~Policy~firefox~Extensions/ExtensionSettings
    データ型: String
    値: <enabled/><data id="ExtensionSettings" value='{ "microsoft.defender.browser_extension.native_message_host@microsoft.com": { "installation_mode": "force_installed", "install_url": “https://firefoxdlp.blob.core.windows.net/packages-prod/prod-1.1.0.210.xpi”, “updates_disabled”: false } }'/>

  9. 注: 拡張機能が時間の経過と同時に自動的に更新されるように、updates_disabledを false に設定することが重要です。

  10. [作成] をクリックします。

グループ ポリシーを使用して展開する

Microsoft Intuneを使用しない場合は、グループ ポリシーを使用して、organization全体に拡張機能を展開できます。

Chrome 拡張機能を ForceInstall リストに追加する

  1. グループ ポリシー管理エディターで、OU に移動します。

  2. 次のパス を展開コンピューター/ユーザー構成>ポリシー>管理用テンプレート>クラシック管理用テンプレート>Firefox>拡張機能。 このパスは、お使いの構成によって異なる場合があります。

  3. [インストールする拡張機能] を選択します

  4. 右クリックして、[編集] を選択します。

  5. [有効] を選択します。

  6. [表示] を選択します。

  7. [値] の下で、以下のエントリを追加します。https://firefoxdlp.blob.core.windows.net/packages-prod/prod-1.1.0.210.xpi

  8. [OK][適用] の順に選択します。

拡張機能をテストする

クラウド サービスへのアップロード、または許可されていないブラウザー クラウド エグレスによるアクセス

  1. 機密性の高いアイテムを作成または取得し、組織の制限されたサービス ドメインの 1 つへのファイルのアップロードを試します。 機密データは、組み込みの [機密情報の種類] のいずれか、またはご所属の組織の機密情報の種類のいずれかに一致する必要があります。 テストを行っているデバイスでは、ファイルを開いた場合にこのアクションが許可されていないことを示す DLP トースト通知が表示されることが必要です。

Firefox で他の DLP シナリオをテストする

許可されていないブラウザー/アプリの一覧から Firefox を削除したので、以下のシナリオをテストして、動作がorganizationの要件を満たしていることを確認できます。

  • クリップボードを使用して、機密アイテムのデータを他のドキュメントにコピーする
    • テストするには、Firefox ブラウザーでクリップボードへのコピーアクションから保護されているファイルを開き、ファイルからデータをコピーします。
    • 予想される結果ファイルを開いた場合に、この操作が許可されていないことを示す DLP トースト通知が表示されます。
  • 文書を印刷する
    • テストするには、Firefox ブラウザーで印刷アクションから保護されているファイルを開き、ファイルの印刷を試みます。
    • 予想される結果ファイルを開いた場合に、この操作が許可されていないことを示す DLP トースト通知が表示されます。
  • USB リムーバブル メディアへのコピー
    • テストするには、リムーバブル メディア ストレージへのファイルの保存を試します。
    • 予想される結果ファイルを開いた場合に、この操作が許可されていないことを示す DLP トースト通知が表示されます。
  • ネットワーク共有へのコピー
    • テストするには、ネットワーク共有へのファイルの保存を試します。
    • 予想される結果ファイルを開いた場合に、この操作が許可されていないことを示す DLP トースト通知が表示されます。

アラート管理ダッシュボードを使用して Firefox DLP アラートを表示する

  1. Microsoft Purview コンプライアンス ポータルデータ損失防止ページを開き、アラートを選択します。

  2. エンドポイント DLP ポリシーの警告を表示するには、「DLP ポリシーの警告を構成および表示する方法」の手順を参照してください。

アクティビティ エクスプローラーでの Firefox DLP データの表示

  1. Microsoft Purview コンプライアンス ポータルでドメインのデータ分類ページを開き、Activity エクスプローラーを選択します。

  2. エンドポイントデバイスのすべてのデータにアクセスしてフィルタリングするには、「Activity エクスプローラースタートガイド」の手順に従ってください。

    エンドポイント デバイスのアクティビティ エクスプローラー フィルター。

既知の問題と制限事項

  1. シークレット モードはサポートされていないため、無効にする必要があります。

次の手順

デバイスがオンボードされ、Activity Explorer でアクティビティデータを表示できるようになりました。次の手順に進み、機密アイテムを保護する DLP ポリシーを作成します。

関連項目