Exchange データ損失防止ポリシーをMicrosoft Purview コンプライアンス ポータルに移行する

Exchange データ損失防止 (DLP) ポリシー は非推奨になっています。 Exchange DLP を含む、より豊富な DLP 機能は、Microsoft Purview コンプライアンス ポータルで提供されます。 DLP ポリシー移行ウィザードを使用すると、Exchange DLP ポリシーを管理するコンプライアンス ポータルに移動できます。

移行ウィザードは、Exchange で DLP ポリシーの構成を読み取り、コンプライアンス ポータルで重複するポリシーを作成することで機能します。 既定では、ウィザードは [シミュレーション モードでポリシーを実行する] でポリシーの新しいバージョンを作成します。そのため、どのアクションも適用することなく、環境に与える影響を確認できます。 コンプライアンス ポータルのバージョンに完全に移行する準備ができたら、次の 操作を行う必要があります。

1. Exchange 管理 センター (EAC) でソース ポリシーを非アクティブ化または削除します。
2. ポリシーのコンプライアンス ポータル バージョンを編集し、その状態を [ シミュレーション モードでポリシーを実行する] から [ すぐに有効にする ] モードに変更します。

警告

[コンプライアンス センターのバージョン] を [強制] に設定する前に、EAC でソース ポリシーを削除または非アクティブ化しない場合、両方のポリシー セットがアクションの適用を試み、重複したイベントを受け取ります。 これはサポートされていない構成です。

移行ウィザードでは、Exchange DLP ポリシーと関連するメール フロー ルールのみが移行されます。 スタンドアロン Exchange メール フロー ルールは移行されません。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

移行ワークフロー

コンプライアンス ポータルで DLP ポリシーを Exchange から統合 DLP 管理コンソールに移行するには、4 つのフェーズがあります。

1. 移行の準備
   1. 重複する機能について、Exchange Online (EXO) DLP ポリシーとコンプライアンス ポータル DLP ポリシーを評価して比較します。
   2. どの EXO DLP ポリシーをそのまま引き継ぐかを決定します。ウィザードを使用してこれらを移行できます。
   3. Exchange 管理センターで統合して統合する EXO DLP ポリシーを決定し、移行ウィザードを使用してコンプライアンス ポータルに移動します。
2. 移行を実行する - ウィザードを使用する
3. テストと検証 - 結果を調べる
4. 移行されたポリシーをアクティブ化する

開始する前に

SKU/サブスクリプションとライセンス

DLP ポリシーの使用を開始する前に、 Microsoft 365 サブスクリプション とアドオンを確認してください。

ライセンスの詳細については、「Microsoft 365、Office 365、Enterprise Mobility + Security、Windows 11 サブスクリプション for Enterprises」を参照してください。

アクセス許可

移行ウィザードの実行に使用するアカウントは、Exchange 管理 コンソール DLP ページとコンプライアンス ポータルの統合 DLP コンソールの両方にアクセスできる必要があります。

移行の準備

1. DLP、コンプライアンス ポータル DLP コンソール、または Exchange 管理 センター DLP コンソールに慣れていない場合は、ポリシーの移行を試みる前に理解しておく必要があります。
   1. Exchange Online データ損失防止 (DLP) ポリシー
   2. エンドポイント データ損失防止について
   3. データ損失防止ポリシーを作成して展開する
2. Exchange DLP とコンプライアンス ポータルのポリシーを評価するには、次の質問を行います。

質問	アクション	移行手順
ポリシーは引き続き必要ですか?	それ以外の場合は、削除または非アクティブ化します	移行しない
他の Exchange またはコンプライアンス ポータル DLP ポリシーと重複していますか?	はいの場合、重複するポリシーを統合できますか?	- 別の Exchange ポリシーと重複している場合は、Exchange 管理 センターで統合 DLP ポリシーを手動で作成し、移行ウィザードを使用します。 - 既存のコンプライアンス ポータル ポリシーと重複している場合は、既存のコンプライアンス ポータル ポリシーを一致するように変更できます。Exchange バージョンを移行しないでください
Exchange DLP ポリシーのスコープは厳しく、適切に定義された条件、アクション、包含、除外がありますか?	はいの場合は、ウィザードを使用して移行することをお勧めします。ポリシーを書き留め、後で削除するために必ず元に戻るようにします	ウィザードを使用して移行する

移行

すべての Exchange およびコンプライアンス ポータル DLP ポリシーをニーズと互換性について評価したら、移行ウィザードを使用できます。

使用しているポータルの適切なタブを選択します。 Microsoft Purview ポータルの詳細については、 Microsoft Purview ポータルに関するページを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

Microsoft Purview ポータル

1. Microsoft Purview ポータルにサインインします。

2. 移行できる Exchange DLP ポリシーがある場合は、ページの上部にバナーが表示されます。

3. バナーで [ ポリシーの移行 ] を選択して、移行ウィザードを開きます。 すべての Exchange DLP ポリシーが一覧表示されます。 以前に移行したポリシーは選択できません。

4. 移行するポリシーを選択します。 段階的なアプローチまたはすべてを一度に使用して、個別に、またはグループ内で移行できます。 [次へ] を選択します。

5. ポップアップ ウィンドウで警告またはメッセージを確認します。 続行する前に問題を解決します。

6. 新しいコンプライアンス ポータル ポリシーを作成するモードを選択し、 すぐに有効にする、 シミュレーション モードでポリシーを実行する、または オフのままにします。 既定値は [ シミュレーション モードでポリシーを実行する] です。 [次へ] を選択します。

7. 他の統合 DLP の場所の Exchange DLP ポリシーに基づいて、さらに多くのポリシーを作成できます。 これにより、移行された Exchange ポリシー用の 1 つの新しい統合 DLP ポリシーと、ここで選択した他の場所に対して 1 つの新しい統合 DLP ポリシーが作成されます。

コンプライアンス ポータル

1. [Microsoft Purview コンプライアンス ポータル>データ損失防止>の設定] を>開きます。

2. Microsoft Purview コンプライアンス ポータル DLP コンソールを開きます。

3. 移行できる Exchange DLP ポリシーがある場合は、ページの上部にバナーが表示されます。

4. バナーで [ ポリシーの移行 ] を選択して、移行ウィザードを開きます。 すべての Exchange DLP ポリシーが一覧表示されます。 以前に移行したポリシーは選択できません。

5. 移行するポリシーを選択します。 段階的なアプローチまたはすべてを一度に使用して、個別に、またはグループ内で移行できます。 [次へ] を選択します。

6. ポップアップ ウィンドウで警告またはメッセージを確認します。 続行する前に問題を解決します。

7. 新しいコンプライアンス ポータル ポリシーを作成するモードを選択し、 すぐに有効にする、 シミュレーション モードでポリシーを実行する、または オフのままにします。 既定値は [ シミュレーション モードでポリシーを実行する] です。 [次へ] を選択します。

8. 他の統合 DLP の場所の Exchange DLP ポリシーに基づいて、さらに多くのポリシーを作成できます。 これにより、移行された Exchange ポリシー用の 1 つの新しい統合 DLP ポリシーと、ここで選択した他の場所に対して 1 つの新しい統合 DLP ポリシーが作成されます。

重要

デバイス、SharePoint、OneDrive、オンプレミス、MCAS、または Teams のチャットメッセージやチャネル メッセージなど、他の DLP の場所でサポートされていない Exchange DLP ポリシーの条件とアクションは、追加のポリシーから削除されます。 また、他の場所に対して実行する必要がある事前作業もあります。 参照:

• エンドポイント データ損失防止について
• エンドポイント データ損失防止を開始する
• エンドポイントのデータ損失防止の使用
• データ損失防止のオンプレミス スキャナーの詳細
• データ損失防止のオンプレミス スキャナーの使用を開始する
• Microsoft Purview データ損失防止オンプレミス スキャナーを使用する
• Microsoft 以外のクラウド アプリにデータ損失防止ポリシーを使用する

9. 移行ウィザードのセッション設定を確認します。 [次へ] を選択します。
10. 移行レポートを確認します。 Exchange メール フロー ルールに関連するエラーに注意してください。 それらを修正し、関連するポリシーを再割り当てできます。

移行されたポリシーが、コンプライアンス ポータル DLP コンソールの DLP ポリシーの一覧に表示されるようになります。

一般的なエラーと軽減策

エラー メッセージ	理由	軽減策/推奨手順
名前 <Name of the policy> を持つコンプライアンス ポリシーは、シナリオ Dlpに既に存在します。	このポリシーの移行は、以前に行われた後、同じセッションで再試行された可能性があります。	セッションを更新して、移行に使用できるポリシーの一覧を更新します。 以前に移行されたすべてのポリシーが状態である Already migrated 必要があります。
名前 <Name of the policy> を持つコンプライアンス ポリシーは、シナリオ Holdに既に存在します。	同じ名前のアイテム保持ポリシーが同じテナントに存在します。	- EAC の DLP ポリシーの名前を別の名前に変更します。 - 影響を受けるポリシーの移行を再試行します。
DLP-group@contoso.com は配布グループまたはメールが有効なセキュリティ グループであるため、条件の値 Shared By として使用できません。 述語を使用して Shared by Member of 、特定のグループのメンバーによるアクティビティを検出します。	トランスポート ルールを使用すると、グループを sender is 条件で使用できますが、統合 DLP では使用できません。	トランスポート ルールを更新して、すべてのグループメール アドレスを sender is 条件から削除し、必要に応じてグループを条件に sender is a member of 追加します。 影響を受けるポリシーの移行を再試行する
受信者 DLP-group@contoso.comが見つかりませんでした。 新しく作成した場合は、しばらくしてから操作を再試行してください。 削除または期限切れになった場合は、有効な値でリセットしてやり直してください。	または recipient is a member of 条件でsender is a member of使用されるグループ アドレスの有効期限が切れているか、無効である可能性があります。	- Exchange 管理センターのトランスポート ルール内のすべての無効なグループメール アドレスを削除または置換します。 - 影響を受けるポリシーの移行を再試行します。
述語で FromMemberOf 指定する値は、メールが有効なセキュリティ グループである必要があります。	トランスポート ルールを使用すると、個々のユーザーを sender is a member of 条件で使用できますが、統合 DLP では使用できません。	- トランスポート ルールを更新して、すべての個々のユーザー メール アドレスを sender is a member of 条件から削除し、必要に応じてユーザーを条件に sender is 追加します。 - 影響を受けるポリシーの移行を再試行します。
述語で SentToMemberOf 指定する値は、メールが有効なセキュリティ グループである必要があります。	トランスポート ルールを使用すると、個々のユーザーを条件で recipient is a member of 使用できますが、統合 DLP では使用できません。	- トランスポート ルールを更新して、すべての個々のユーザー メール アドレスを recipient is a member of 条件から削除し、必要に応じてユーザーを条件に recipient is 追加します。 - 影響を受けるポリシーの移行を再試行します。
パラメーターの <Name of condition> 使用は、Exchange でのみサポートされます。 このパラメーターを削除するか、Exchange の場所のみを有効にします。	同じ名前の別のポリシーが、前述の条件がサポートされていない SPO/ODB/Teams などの他の場所とのコンプライアンス ポータルに存在する可能性があります。	Exchange 管理センターで DLP ポリシーの名前を変更し、移行を再試行します。

テストと検証

ポリシーをテストして確認します。

1. 「シミュレーション モードの概要」の手順に従い、DLP ポリシーの手順をテストします。
2. ポリシーの simulaiton モード ダッシュボードと アクティビティ エクスプローラーで、ポリシーによって作成されたイベントを確認します。

Exchange 管理 Center DLP と Microsoft Purview 統合 DLP の間のポリシーの一致を確認する

移行されたポリシーが期待どおりに動作するようにするには、両方の管理センターからレポートをエクスポートし、ポリシーの一致を比較します。

1. Exchange Online PowerShell に接続する

2. EAC DLP レポートをエクスポートします。 このコマンドレットをコピーし、適切な値を挿入できます。

   Get-MailDetailDlpPolicyReport -StartDate <dd/mm/yyyy -EndDate <dd/mm/yyyy> -PageSize 5000 | select Date, MessageId, DlpPolicy, TransportRule -Unique | Export-CSV <"C:\path\filename.csv">
   

3. 統合 DLP レポートをエクスポートします。 このコマンドレットをコピーし、適切な値を挿入できます。

   Get-DlpDetailReport -StartDate <dd/mm/yyyy> -EndDate <dd/mm/yyyy> -PageSize 5000 | select Date, Location, DlpCompliancePolicy, DlpComplianceRule -Unique | Export-CSV <"C:\path\filename.csv">
   

移行されたポリシーをアクティブ化する

移行されたポリシーがどのように機能しているかに満足したら、それらを [強制] に設定できます。

1. Exchange 管理 Center DLP コンソールを開きます。
2. ソース ポリシーを非アクティブ化または削除します。
3. Microsoft Purview コンプライアンス ポータル DLP コンソールを開き、アクティブにするポリシーを選択して編集します。
4. 状態を [オン] に変更します。

関連記事

• Exchange Online データ損失防止 (DLP) ポリシー
• データ損失防止について
• Activity Explorer を使い始める
• データ損失防止ポリシーを作成して展開する
• Exchange Online データ損失防止 (DLP) ポリシー