データ損失防止と Microsoft Teams

organizationにMicrosoft Purview データ損失防止 (DLP) がある場合は、Microsoft Teams チャネルまたはチャット セッションでユーザーが機密情報を共有できないようにするポリシーを定義できます。 この保護のしくみの例を次に示します。

• メッセージ内の機密情報を保護する。 Teams チャットまたはチャネル内の機密情報をゲスト (外部ユーザー) と共有しようとするとします。 これを防ぐために DLP ポリシーが定義されている場合、外部ユーザーに送信される機密情報を含むメッセージは削除されます。 これは、DLP ポリシーの構成方法に従って、数秒で自動的に実行されます。

注:

Dlp for Microsoft Teams では、次の機能を持つ Microsoft Teams ユーザーと共有すると、機密コンテンツがブロックされます。

• チームとチャネルでのゲスト アクセス、または
• 会議やチャット セッションの外部アクセス。

外部チャット セッションの DLP は、送信者と受信者の両方が Teams 専用モードであり、 Microsoft Teams ネイティブフェデレーションを使用している場合にのみ機能します。 DLP for Teams では、Skype またはネイティブではないフェデレーション チャット セッションとの 相互運用 中のメッセージはブロックされません。

• ドキュメント内の機密情報の保護。 Microsoft Teams チャネルまたはチャットのゲストとドキュメントを共有しようとしたときに、そのドキュメントに機密情報が含まれているとします。 これを防ぐために DLP ポリシーが定義されている場合、ドキュメントはそれらのユーザーには開きません。 保護を適用するには、DLP ポリシーに SharePoint と OneDrive が含まれている必要があります。 これは、Microsoft Teams に表示される SharePoint 向け DLP の例であり、そのため、ユーザーには Office 365 DLP のライセンスが付与されている必要がありますが (Office 365 E3に含まれています)、ユーザーにOffice 365 Advanced Complianceのライセンスを付与する必要はありません。

• Teams 共有チャネルでの通信の保護。 共有チャネルの場合、ホスト Teams チーム DLP ポリシーが適用されます。 たとえば、Contoso のチーム A が所有する共有チャネルがあるとします。 チーム A には DLP ポリシー P1 があります。 チャネルを共有するには、次の 3 つの方法があります。

  • メンバーと共有する: Contoso から User1 を招待して、チーム A のメンバーにせずに共有チャネルに参加させます。この共有チャネルのすべてのユーザー (User1 を含む) は P1 でカバーされます。
  • チームと共有する (内部的に): Contoso、チーム B 内の別のチームとチャネルを共有します。その他のチームは別の DLP ポリシーを持っている可能性がありますが、それは問題ではありません。 P1 は、チーム A ユーザーとチーム B ユーザーの両方を含め、この共有チャネルのすべてのユーザーに適用されます。
  • チームと共有する (テナント間): Fabrikam のチーム (チーム F) とチャネルを共有します。 Fabrikam には独自の DLP ポリシーがある可能性がありますが、それは問題ではありません。 P1 は、チーム A (Contoso) ユーザーとチーム F (Fabrikam) ユーザーの両方を含む、この共有チャネルのすべてのユーザーに適用されます。

• Microsoft Teams で外部ユーザーとチャットするときの通信の保護。 外部アクセス機能を使用しているさまざまな Microsoft 365 組織のPeopleは、すべて同じチャット セッションに参加できます。 各ユーザーは、独自のorganizationの DLP ポリシーの対象となります。 たとえば、すべて Contoso、UserX、UserY、UserZ の UserA、UserB、UserC が Fabrikam から同じ Teams チャットに含まれているとします。 Teams で情報を共有するための Contoso の DLP ポリシーは UserA、UserB、UserC に適用され、Fabrikam の DLP ポリシーは UserX、UserY、UserZ に適用されます。 Microsoft Teams を使用してorganization外部のユーザーとチャットする方法の詳細については、「Microsoft ID を使用して外部会議を管理し、ユーザーや組織とチャットする」を参照してください。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

Microsoft Teams の DLP ライセンス

データ損失防止 機能には、Microsoft Teams チャットとチャネル メッセージが 含まれます。これには、次のプライベート チャネル メッセージが含まれます 。

• Office 365 E5/A5/G5
• Microsoft 365 E5/A5/G5
• Microsoft 365 E5/A5/G5 Information Protection とガバナンス
• Microsoft 365 E5/A5/G5/F5 Compliance and F5 Security & Compliance

Office 365とMicrosoft 365 E3には、SharePoint、OneDrive、Exchange の DLP 保護が含まれます。 また、Teams では SharePoint と OneDrive を使用してファイルを共有するため、Teams を介して共有されるファイルも含まれます。

Teams チャットでの DLP 保護のサポートには、E5 ライセンスが必要です。

重要

ライセンスの詳細については、「Microsoft 365、Office 365、Enterprise Mobility + Security、Windows 11 サブスクリプション for Enterprises」を参照してください。

ヒント

DLP は、チャット スレッドまたはチャネル スレッド内の実際のメッセージにのみ適用されます。 短いメッセージ プレビューを含み、ユーザーの通知設定に基づいて表示されるアクティビティ通知は、Teams DLP には含 まれません 。 プレビューに表示されるメッセージの一部に存在する機密情報は、DLP ポリシーが適用され、メッセージ自体から機密情報が削除された後でも、通知に表示されます。

DLP 保護のスコープ

DLP 保護は、次の表で説明するように、Teams エンティティに異なる方法で適用されます。

DLP Teams ポリシーをすべてのチャットの種類にスコープを設定するには、ポリシーのスコープを [すべての場所] にするか、各 Teams ユーザーが Microsoft 365 グループ内にあり、ポリシーのスコープが設定されたセキュリティ グループまたは配布グループ内にあることを確認します。 詳細については、「 メンバーシップを同期する方法の詳細」を参照してください。

ポリシー スコープ	Teams エンティティ	DLP Protection
個々のユーザー アカウント	- 1:1/n チャット - 標準および共有チャネル メッセージ - プライベート チャネル メッセージ	-はい -いいえ -はい
セキュリティ グループ/配布グループ/メール非対応セキュリティ グループ	- 1:1/n チャット - 標準および共有チャネル メッセージ - プライベート チャネル メッセージ	-はい -いいえ -はい
Microsoft 365 グループ*	- 1:1/n チャット - 標準および共有チャネル メッセージ - プライベート チャネル メッセージ	-いいえ -はい -いいえ

注:

DLP ポリシーのスコープが Microsoft 365 グループの場合、DLP 保護は、所属するグループに関連付けられている標準チャネルと共有チャネルを使用するグループ メンバーに適用されます。

ポリシーヒントは、ユーザーの教育に役立ちます

DLP ポリシー ヒント (Exchange、Outlook、SharePoint、OneDrive、Windows デバイス) と同様に、アクションが DLP ポリシーを使用してトリガーされると、Teams のポリシー ヒントが表示されます。 ポリシーヒントの例を次に示します。

ここでは、送信者が Microsoft Teams チャネルで社会保障番号を共有しようとしました。 [ 操作方法 ] リンクが開き、送信者が問題を解決するためのオプションを提供するダイアログ ボックスが開きます。 送信者は、ポリシーをオーバーライドするか、管理者に通知して問題を確認して解決することを選択できることに注意してください。

organizationのユーザーが DLP ポリシーをオーバーライドすることを許可するように選択できます。 DLP ポリシーを構成するときは、既定のポリシー ヒントを使用するか、organizationのポリシー ヒントをカスタマイズできます。

この例に戻ると、送信者が Teams チャネルで社会保障番号を共有している場合、受信者に表示される内容を次に示します。

ポリシーのヒントをカスタマイズするには

このタスクを実行するには、DLP ポリシーを編集する権限を持つロールを割り当てる必要があります。 詳細については、「Microsoft Purview コンプライアンス ポータルのアクセス許可」を参照してください。

使用しているポータルの適切なタブを選択します。 Microsoft Purview ポータルの詳細については、 Microsoft Purview ポータルに関するページを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

Microsoft Purview ポータル

1. Microsoft Purview ポータル>のデータ損失防止>ポリシーにサインインします。

2. ポリシーを選択し、[ポリシーの 編集 ] (鉛筆アイコン) を選択します。

3. [高度な DLP ルールのカスタマイズ] 画面に移動するまで、ツール内を移動します。

4. 新しいルールを作成するか、ポリシーの既存のルールを編集します。

5. [ ユーザー通知 ] まで下にスクロールし、[ 通知を使用してユーザーに通知し、機密情報の適切な使用に関する教育に役立つ ] トグルを [オン] に設定します。

6. [Microsoft 365 サービス] で、[ポリシー ヒントを使用してサービスOffice 365ユーザーに通知する] を選択します。

7. [ ポリシー ヒント ] で、[ ポリシー ヒント テキストのカスタマイズ] を選択します。

8. ポリシー ヒントに使用するテキストを指定します。

9. ポリシー ヒントが Microsoft Exchange のユーザー アクティビティに適用され、電子メールが送信される前にヒントを表示するダイアログ ボックスが必要な場合は、[ 送信前にエンド ユーザーのダイアログとしてポリシー ヒントを表示する] を選択します。

10. [ 保存] を 選択し、[ 次へ] を選択します。

11. [ポリシー モード] ページで、[必要に応じてシミュレーション モードでポリシー ヒントを表示する] の横にあるボックスをチェックします。

12. [ 次へ] を選択 し、[送信] を選択し、[完了] を選択 します。

コンプライアンス ポータル

1. Microsoft Purview コンプライアンス ポータル>データ損失防止>ポリシーにログインします。

2. ポリシーを選択し、[ 編集 ] (鉛筆アイコン) を選択します。

3. [高度な DLP ルールのカスタマイズ] 画面に移動するまで、ツール内を移動します。

4. 新しいルールを作成するか、ポリシーの既存のルールを編集します。

5. [ユーザー通知] まで下にスクロールし、[ポリシー ヒントを使用してサービスOffice 365ユーザーに通知する] を選択し、[ポリシー ヒントのテキストをカスタマイズする] を選択します。

6. メール通知やポリシーヒントに使用するテキストを指定し、[保存] を選択 します。

7. 保存] を選択します。

8. ツールの作業を完了します。 最後の画面で、[送信] を選択 します。

変更がデータ センターを通じて動作し、ユーザー アカウントに同期されるまでに約 1 時間を許可します。

Microsoft Teams を場所として既存の DLP ポリシーに追加する

このタスクを実行するには、DLP ポリシーを編集する権限を持つロールを割り当てる必要があります。 詳細については、「Microsoft Purview コンプライアンス ポータル.md#permissions)」の「アクセス許可」を参照してください。

使用しているポータルの適切なタブを選択します。 Microsoft Purview ポータルの詳細については、 Microsoft Purview ポータルに関するページを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

Microsoft Purview ポータル

1. Microsoft Purview ポータル>のデータ損失防止>ポリシーにサインインします。

2. ポリシーを選択し、[ポリシーの 編集 ] (鉛筆アイコン) を選択します。

3. [場所の選択] に移動して ポリシー ページを適用するまで、ツール内を 移動します。

4. [Teams チャットとチャネル メッセージ] を選択します。

5. [ 次へ ] を選択し、プロセスの最後まで作業します。

6. [送信] を選択します。

変更がデータ センターを通じて動作し、ユーザー アカウントに同期されるまでに約 1 時間を許可します。

コンプライアンス ポータル

1. Microsoft Purview コンプライアンス ポータルに移動し、サインインします。

2. [ データ損失防止>ポリシー] を選択します。

3. ポリシーを選択し、[ポリシーの 編集] を選択します。

4. [場所の選択] に移動して ポリシー ページを適用するまで、ツール内を 移動します。

5. [Teams チャットとチャネル メッセージ] オプションを [オン] に切り替えます。

6. [ 次へ ] を選択し、プロセスの最後まで作業します。

7. [送信] を選択します。

変更がデータ センターを通じて動作し、ユーザー アカウントに同期されるまでに約 1 時間を許可します。

Microsoft Teams の新しい DLP ポリシーを定義する

新しい DLP ポリシーを作成して実装する方法については、「 データ損失防止ポリシーの作成と展開」を参照してください。

機密文書への外部アクセスを防止する

DLP スキャンまでドキュメントが保護されていることを確認し、 新しいファイルを既定で機密性の高いファイルとしてマークすることで、ドキュメントを安全に共有できるようにマークすることができます。

推奨される DLP ポリシー構造

• 条件

  • コンテンツには、次のいずれかの機密情報の種類が含まれています: [適用するすべてを選択]

  • コンテンツは Microsoft 365> から共有されます私のorganizationの外の人々と

  

• アクション

  • アクションを追加する

  • Microsoft 365 の場所でコンテンツへのアクセスを制限または暗号化する>organization外のユーザーのみをブロックする

    

  • 通知を使用してユーザーに通知し、機密情報の適切な使用に関する教育を支援する>ポリシー ヒントを使用してOffice 365でユーザーに通知する

  • これらのユーザーに通知 する [該当するすべてのユーザーを選択]

  • ポリシーのヒント [適用するすべてを選択]

    

注:

インシデント レポートの送信者アドレスが になりました no-reply-MicrosoftInformationProtectionOnline@microsoft.com。

関連記事

• データ損失防止ポリシーを作成して展開する
• メール通知を送信して、DLP ポリシーのヒントを表示する