Symantec 用 Microsoft Purview データ損失防止移行アシスタントを使用する

  • [アーティクル]

この記事では、Symantec のMicrosoft Purview データ損失防止移行アシスタントの使用について説明します。

移行を開始する前に、次の前提条件を満たしていることを確認してください。

  • 始める前 に」セクションの手順を完了します。
  • Symantec DLP インスタンスから必要な XML ファイルがエクスポートされていることを確認します。

ポリシーが移行されたら、Microsoft Purview DLP でポリシーをテストして微調整できます。

移行の手順

DLP ポリシーの移行を実行するには、次の手順に従います。

対話型のガイド

移行プロセスの視覚的なチュートリアルについては、この 対話型ガイド を参照してください。

手順 1: アカウントにログインする

移行アシスタントをインストールして起動したら、ログインする必要があります。

重要

移行アシスタントを初めて起動するときは、[管理者として実行] オプションを選択してください。 これは、移行アシスタントコンピューターでまだ使用できない場合に追加のコンポーネントをインストールする必要がある場合があるため、必須です。

以降のすべての起動では、移行アシスタントを正常に起動できます。管理者として実行する必要はありません。

[移行アシスタント管理者として実行] ダイアログ ボックスのスクリーンショット。

  1. ウェルカム画面が表示されます。
    1. [開始] を選択すると、環境が正しく設定されている場合、移行アシスタントがチェックされます。
    2. [次へ] を選択します。
  2. ユーザー名を入力し、[ログイン] を選択 します

    • 開いたブラウザー ウィンドウにパスワードを入力し、[サインイン] を選択 します

      注:

      このアプリケーションでは、Exchange Online PowerShell モジュールを使用します。 ローカル コンピューターの WinRM で基本認証を有効にする必要があります。 詳細については、「Exchange Online PowerShell モジュールの前提条件」を参照してください。

  3. ログインが検証されるまで待ちます。 同時に、移行アシスタントは、移行プロセスの後の段階で必要な情報をフェッチします。 画面のフェッチの詳細のスクリーンショット。
  4. ログインしたら、[ 次へ] を選択します。

手順 2: Symantec ポリシーをアップロードする

移行アシスタントの入力として機能する Symantec DLP ポリシー エクスポートをアップロードする必要があります。 アップロードするポリシーは、Microsoft Purview DLP プラットフォームに移行されます。

  1. ファイルをアップロードするには、[参照] を選択 します

  2. [エクスプローラー] ポップアップ ウィンドウで必要なポリシー ファイルを選択し、[開く] を選択します。

    1. 複数の XML ファイルを選択して、一度に複数のポリシーを移行できます。 移行プロセスの後の段階で混乱を避けるために、一度に 1 つから 3 つのポリシーに移行することをお勧めします。

      注:

      アップロードする XML ファイルが Symantec DLP ポリシーのエクスポートのみであり、他の種類の XML がないことを確認します。

  3. ツールには、選択した入力ポリシー ファイルの一覧が表示されます。

    1. 以前に選択したポリシー ファイルの選択を解除する場合は、そのポリシーに対応する削除アイコンを選択できます。 移行する DLP ポリシーのアップロードのスクリーンショット。

  4. 移行するポリシー ファイルの選択が完了したら、[ 次へ ] を選択し、次の手順に進みます。

手順 3: ポリシー設定を編集する

移行するポリシーを入力すると、移行アシスタントはこれらのファイルを処理し、Symantec DLP ポリシー要素を Microsoft DLP 要素にマップします。

重要

レビューが必要なアイテムがいくつかあり、"確認が必要" という警告記号でマークされる場合があります。

DLP ポリシー設定の編集のスクリーンショット。

キーワード、データ識別子、正規表現

Symantec DLP とMicrosoft Purview 情報保護は、ユーザーが保護する必要がある機密情報を定義する方法が異なります。

Microsoft Purview 情報保護を使用すると、保護が必要な機密アイテムを機密情報の種類 (SID) として、またはトレーニング可能な分類子を使用して定義できます。 Microsoft では、事前構成されているクレジット カード番号などの一般的に使用される SID が多数用意されています。 これらがニーズを満たしていない場合は、独自のカスタム SID を作成できます。

Symantec ユーザーが保護する必要がある機密情報の種類を指定する最も一般的な方法は次のとおりです。

  • すぐに使用する (OOB) データ識別子
  • OOB データ識別子のカスタマイズ
  • DLP ルールでの正規表現やキーワードの定義

移行アシスタントは、上記の各シナリオを次の 2 つの方法のいずれかで処理します。

  • 既存の OOB SIT にマップします。Microsoft DLP に同等の SIT がある機密データ型ごとに、移行アシスタントは 1:1 マッピングの作成を試みます。 OOB Symantec データ識別子は、同等のものがある場合に、事前構成済みの Microsoft SID に自動的にマップされます。 Symantec データ識別子をそのまま使用する場合は、次の手順で説明するように新しい SIT を作成できます。

  • 新しいカスタム SIT として移行する:Microsoft DLP で使用可能な同等の SIT がない機密データの種類ごとに、移行アシスタントによって新しい SIT が自動的に作成されます。 同様に、ルールで直接定義された正規表現またはキーワード (keyword)は、新しいカスタム SIT として引き継がれるようになります。

注:

Symantec ポリシーのルール レベルで直接定義された正規表現やキーワードは、ルール自体の名前を受け取り、[ ソース ] 列に表示されます。 複数の正規表現やキーワードの場合、ルール名の後にローマ数字が続きます。

これらはそれぞれ、カスタム SIT として個別に移行されます。 これは混乱につながる可能性があります。 できるだけ早くこれらの SID を確認して名前を変更することをお勧めします。

移行アシスタント内でこれらの SID の名前を編集することはできません。 これらのカスタム SID の名前は、ポリシーの移行が完了した後、Microsoft Purview コンプライアンス ポータルまたは PowerShell を使用して編集できます。

包含、除外、応答ルール

移行アシスタントの現在のバージョンでは、既定のアクションとして "インシデント レポートの生成" を使用するポリシーが適用されます。 また、Microsoft DLP の DLP ポリシーでは、統合監査ログにイベントが自動的に記録され、Symantec DLP の "Syslog" と同等の別のアクションは必要ありません。

Symantec のその他のすべての応答ルールは、現在、移行アシスタントではサポートされていないため、他のポリシー要素と共に移行されません。 ただし、移行アシスタントがポリシーを正常に移行した後、コンプライアンス ポータルを使用してポリシーにアクションを手動で追加 (または削除) できます。

その中のすべてのポリシーとルールの一覧と、その状態を確認できます。 左側の列から異なるポリシーを選択して、各ポリシーの詳細を表示できます。 既定では、レビューが必要なすべての項目がツールに表示されます。 [詳細] セクションの上部にある [すべてのアイテムを表示] ボタンを選択すると、特定のポリシー 内のすべての項目 を表示するように切り替えることができます。 [すべての項目を表示] のスクリーンショット。

ポリシーの詳細

[ポリシー名] - 移行前にポリシーの名前を編集できます。

各ポリシーは、次の 2 つのセクションに分かれています。

  • キーワード、データ識別子、正規表現 - Microsoft DLP では機密情報の種類 (SID) として移行されます。

  • ルール - これらは、さまざまな Microsoft DLP 条件に自動的にマップされます。 テーブル内の各行は、

    • 移行時に SIT に付ける名前
    • 移行に影響する可能性がある潜在的な問題
    • 入力ポリシーから検出されたルールの種類
    • 状態:
      • 空白/空の状態 - この行要素は問題なく移行されます。
      • 要確認 - この行要素には 1 つ以上の問題があり、ユーザーからの入力が必要な場合があります。
      • 情報 - この行要素には、移行に 1 つ以上の変更が必要な場合がありますが、自動解決されます。
      • サポート対象外 - この行要素はツールによる移行ではサポートされていないため、ツールが終了した後に手動で移行する必要がある場合があります。
    • [編集] ボタン

ポリシー カバレッジを他の Microsoft の場所に拡張します。 - ポリシーの元のスコープに加えて、現在の Symantec ポリシーを他の Microsoft の場所に拡張できます。

たとえば、メールを対象とする Purview DLP ポリシーは、SharePoint、OneDrive、Teams、エンドポイント デバイスに拡張できます。

移行アシスタントでは、元のポリシーに基づいて新しいポリシーが自動的に作成され、そのワークロードに対してサポートされているすべてのルールが作成されます。 特定のワークロードでサポートされていない場合、1 つ以上のルールが削除される可能性があります。

たとえば、メール (Exchange) DLP ポリシーを OneDrive に拡張しているときに、Emailの件名が条件として削除される場合があります。

拡張された場所でサポートされている条件がない場合、一部のチェック ボックスは既定で無効になることがあります。

行要素の編集 - 1 つ以上の行要素を編集すると、その行要素の詳細が 表示された [編集] 画面に移動します。 問題がある場合は、画面の上部にある黄色いバナーを介して報告されます。 編集可能なセクションのコンテンツを変更する必要がある場合があります。 これらの変更は、移行時に組み込まれます。 コンテンツの問題を解決すると、黄色のバナーが消えます。

テナントの既存の SID を使用して、現在の SIT を自動的に置き換えます。 現在の SIT (編集中) をテナントの別の SIT に置き換えることができます。 SIT コンテンツの編集のスクリーンショット。

[ターゲット] 列で対応する行を選択することで、マッピングを手動で変更できます。 これにより、ドロップダウン リストが開き、すべての既製の SID (OOB SID) と、以前に作成したすべてのカスタム SID (存在する場合) が表示されます。 [ソース] 行項目にマップするオプションを選択できます。 または、ドロップダウンから [ 新しい SIT ] オプションを選択することもできます。 移行アシスタントでは、ソース SIT が新しいカスタム SIT として引き継がれるようになります。

既存の SID を使用して、可能な限り現在の SID を置き換えて、重複する SID の作成を減らし、同じ種類の複数のカスタム SID を最適化する労力を減らすことを強くお勧めします。 機密情報の種類のエンティティ定義について詳しくは、こちらをご覧ください。

警告

Microsoft DLP プラットフォームには、テナントごとに最大 10 個のルール パッケージのしきい値があります。 この制限はほとんどのお客様に十分ですが、多数の重複するカスタム SID を作成すると、新しいカスタム SID を作成することなく、このしきい値に達する可能性があります。

すべてのポリシーとその中のルールを確認したら、[ 次へ] を選択します。 1 つ以上のポリシーに [確認が必要] 状態の要素が少なくとも 1 つ含まれている場合は、[次へ] ではなく [エラーの続行] ボタンが表示されます。

手順 4: 移行前の実現可能性レポートを確認する

事前移行の実現可能性レポートには、ポリシーの移行を期待する方法が示されています。 このレポートを確認し、移行実行を開始する前に必要な調整を行います。

ポリシーの確認のスクリーンショット。

これらの詳細を確認し、[ 次へ] を選択します。

手順 5: ポリシーをテストまたはオンにする

インポートすると、DLP ポリシーは次の 3 つの状態のいずれかになります。

  • オン (はい、すぐにオンにします)
  • シミュレーション (シミュレーション モードでポリシーを実行 し、 ポリシーヒントを表示する)
  • オフ (いいえ、オフのままにします)。後でオンにします)

次の 2 つの手順を使用して、ポリシーを移行する前に、移行アシスタントの状態を設定できます。

  1. 次の 3 つのオプションから、オンまたはオフを切り替えるかどうかを選択します。

    • ポリシーをすぐに有効にします。
    • 最初にシミュレーション モードでポリシーをオンにします。 後で手動でシミュレーション モードから削除します。
    • オフのままにします。 後で手動でオンにします。

    最初にシミュレーション モードでポリシーを引き継ぐようお勧めします。 ポリシーによって生成されるアラートを監視し、organizationで必要に応じて微調整できます。 ポリシーが微調整されたら、ポリシーを有効にするか、運用環境に配置できます。

  2. [ 移行の開始] を選択して、ポリシーをインポートします。 もう一度サインインするように求める新しい PowerShell ウィンドウが開きます。

    サインインすると、PowerShell スクリプトが実行され、入力ポリシー ファイル内のすべてのデータと、前の移行アシスタント手順で行ったその他の設定を含む新しいポリシーが Microsoft DLP に作成されます。

    成功/失敗メッセージでスクリプトが完了するまで待ちます。 その後、コンプライアンス ポータルにも新しい SID とポリシーが表示されます。

DLP ポリシーの移行のスクリーンショット。

手順 6: 移行中

この手順では、移行ツールによってMicrosoft Purview コンプライアンス ポータルに DLP ポリシーが作成されます。

注:

ポリシーの作成中にツール ウィンドウを閉じるのを控えます。不完全な SID やポリシーが発生する可能性があるため、後で手動でクリーンする必要があります。

処理中の移行のスクリーンショット。

移行中にエラーが発生した場合は、これらのアクションのいずれかを選択して、次の手順として試して修正できます。

  • 再試行 - ポリシーの作成が再試行されます。
  • すべての変更をロールバック する - そのセッションのすべての SID とポリシーが削除されます。
  • 失敗したポリシーのロールバック - 失敗した SID とそのセッションのポリシーのみが削除されます。

重要

変更をロールバックする場合、ロールバック全体が実行されるまでに 2 ~ 4 時間かかることがあります。 移行アシスタントツール ウィンドウは、ロールバックが正常に完了するまで、全体を開いたままにする必要があります。

移行プロセス中に発生する可能性があるエラーのスクリーンショット。

ポリシーが移行されたら、[ 次へ ] を選択して移行レポートを表示します。

移行プロセスが完了したスクリーンショット。

手順 7: 移行レポートを表示する

ポリシーがインポートされ、移行プロセスが完了すると、移行レポートを表示できます。

移行レポートのスクリーンショット。

各セッションは、独自のレポートを取得します。 セッションは、アプリを起動したときに開始され、アプリを終了したとき、または移行プロセスが完了したときに終了します。

技術レポート

[ 技術レポートの保存 ] ボタンを選択すると、次の 3 つのシートに分割されたより詳細な Excel ベースのレポートを保存できます。

  • 概要
  • ポリシーの詳細
  • SIT 詳細

概要シート - このシートでは、移行セッションの概要と次の詳細を示します。

  • テナントの名前。
  • セッションのタイムスタンプ。
  • そのセッションの全体的な概要統計。
  • 入力ポリシー レベルの詳細、移行の状態、コメント/推奨事項。

Overview-excel のスクリーンショット。

ポリシーの詳細 - このシートには、次の情報を含む、作成または作成されていない移行された各ポリシーの詳細ビューが表示されます。

  • 作成されたソース ポリシーとターゲット ポリシーのマッピング。
  • 各ポリシーが適用されるワークロードの一覧。
  • ポリシーが完全に移行されているか、部分的に移行されるか、移行できないかどうかを示す分析状態。
    • Exchange 以外のワークロードの場合、コンテンツに条件が含まれるポリシーを作成するため、通常は [完了] と表示されます。これはすべてのワークロードでサポートされます。
  • ポリシーの移行が成功または失敗したかどうかを示す移行状態。
  • そのポリシーの詳細を含むコメント/推奨事項。

ポリシーの作成状態 -excel のスクリーンショット。

SIT の詳細 - このシートでは、次の情報と共に移行されたすべての機密情報の種類 (SID) に関する情報を提供します。

  • 作成された入力 SID と出力 SID のポリシーごとのマッピング。
  • 移行プロセス中に発生した検証エラーに関する情報を含む検証修正。
  • SIT 自動マッピングと修復手順に関するコメント。

移行された EXCEL の SID のスクリーンショット。

次の手順: ポリシーのインポート後

コンプライアンス ポータルにアクセスし、移行したポリシーを検証する必要があります。

機密情報の種類を確認する

  1. SID が作成されたことを検証するには、 データ分類>分類子>の機密情報の種類 に移動し、SID を探します。 パブリッシャーでリストを並べ替え、パブリッシャー名が "DLP Migration Tool" である SID のチェックすることもできます。

  2. 必要に応じて、SID の名前を変更します。 多くの SID では、よく似た名前があり、その後にローマ数字が続く場合があります。 移行後の混乱や重複を回避するには、これらの SID の名前を変更する必要があります。 これは、入力 Symantec DLP ポリシー内のルールで正規表現とキーワードが直接定義されている場合に当てはまります。

  3. 必要に応じて、SID をテストして微調整します。 移行された SID をテストして微調整する必要があります。 移行アシスタントでは、いくつかの標準設定で新しい SID が作成されます。これはテナントに適していない可能性があるため、次の点に注意してください。

    1. 正規表現: サポートされていない正規表現または削除された正規表現 (移行中)
    2. キーワード
      1. 大文字と小文字を区別しないキーワードと区別されないキーワード
      2. 文字列と単語の一致
      3. 近接性
      4. オプションのバリデーター

DLP ポリシーを確認する

  1. 作成された DLP ポリシーを検証する

    左側のパネルから [データ損失防止] を選択し、新しいポリシーが作成された場合にチェックします。

  2. 不足しているポリシー要素を追加する

    入力 Symantec DLP ポリシー要素 (条件、除外、アクションなど) のほとんどは移行されますが、多くの場合、移行プロセス中に入力 Symantec DLP ポリシーからいくつかの要素が削除される場合があります。 これは、移行アシスタントの既知の制限事項です。 このシナリオでは、Microsoft Purview DLP プラットフォームでサポートされているため、これらの要素をポリシーに手動で追加する必要があります。

  3. ポリシーをテストして微調整する

    ポリシーをテストし、organizationのニーズに応じて微調整できます。

  4. ポリシーを有効にする

    微調整が完了したら、このポリシーを有効にするか、ポリシーを運用モードにすることができます。

  5. 残りのポリシーを引き継ぐ

    移行アシスタントを使用して、次のポリシーまたはポリシーの次のバッチを引き継ぐに戻ることができます。

トラブルシューティング

[開始] を選択した後にようこそ画面にエラーが表示される場合は、次の手順に従います。

  1. 「開始する前に」で説明されているリンク/バージョンを使用して、すべての前提条件がインストールされていることを確認します。
  2. 前提条件をインストールした後、コンピューターを再起動したことを確認します。
  3. アプリケーションを起動するときに、[管理者として実行] オプションを使用して、ツールを管理モードで実行していることを確認します。
  4. 次の手順を使用して、PowerShell モジュール パスが正しく設定されていることを確認します。
    1. [ システム環境変数の編集] に移動します。
    2. PsModulePath ユーザー変数にこのパスを追加します。 C:\Program Files\PowerShell\7\Modules
    3. これを上に移動し、上部に保持します。
    4. 管理者モードでツールを再起動します。

別のアプリ/プロセスのインストールが原因でインストール/アンインストールできない場合は、次の手順に従います。

  1. タスク バーを右クリックしてタスク マネージャーを開きます。 必要に応じて、[詳細] を選択 します
  2. [ 詳細 ] タブで、 msiexec.exe を探し、[ タスクの終了] を選択します。
  3. もう一度インストールまたはアンインストールするか、インストールが完了するまで待ちます。

Microsoft に問題を報告するには:

  1. ログの収集 - ローカル コンピューター上の移行アシスタントによって生成されたログを、次のパスで検索しますC:\Users\<username>\AppData\Local\Temp\MigrationAssistantforMicrosoftPurviewDLP\Logs
  2. メールの送信 - 問題に関する詳細を最新のログ dlpmigrations@microsoft.com と共に送信するか、CXE/FastTrack/Microsoft パートナーにお問い合わせください。フィードバックや提案を共有してください。

フィードバックを提供 & エラーを報告する

エラーの報告、機能要求の発生、またはフィードバックの共有を行う場合は、 dlpmigrations@microsoft.com CXE/FastTrack/Microsoft パートナーにお問い合わせください。

テレメトリに関する通知

データ収集: このソフトウェアは、お客様と本ソフトウェアの使用に関する情報を収集し、Microsoft に送信する場合があります。 Microsoft は、この情報を当社の製品およびサービスの改善に使用する場合があります。 テレメトリをオフにする場合は、Microsoft にお問い合わせください。また、テレメトリがオフになっている別のバージョンのツールが提供されます。

ソフトウェアには、お客様と Microsoft がアプリケーションのユーザーからデータを収集できる機能もあります。 これらの機能を使用する場合は、アプリケーションのユーザーに Microsoft のプライバシーに関する声明のコピーを適切に通知する適用法を遵守する必要があります。 プライバシーに関する声明は、 Microsoft のプライバシーに関する声明に記載されています。 データ収集の詳細については、ヘルプ ドキュメントとプライバシーに関する声明を参照してください。 お客様による本ソフトウェアの使用は、これらのプラクティスに対する同意として動作します。

関連項目