オンプレミスのデータ損失防止リポジトリの概要

注:

プレビュー段階で、情報保護スキャナーの新しいバージョンがあります。 詳細については、「Azure Information Protection クライアントからMicrosoft Purview 情報保護 スキャナーをアップグレードする」を参照してください。

この記事では、DLP ポリシーでオンプレミスリポジトリの場所Microsoft Purview データ損失防止使用するための前提条件と構成について説明します。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

はじめに

SKU /サブスクリプションライセンス

DLP ポリシーの使用を開始する前に、 Microsoft 365 サブスクリプション とアドオンを確認してください。

ライセンスの詳細については、「Microsoft 365、Office 365、Enterprise Mobility + Security、Windows 11 サブスクリプション for Enterprises」を参照してください。

重要

ファイルの追加またはファイルの使用によってスキャンされた場所に貢献するすべてのユーザーは、スキャナー ユーザーだけでなく、ライセンスを持っている必要があります。

アクセス許可

DLP からのデータは 、アクティビティ エクスプローラーで表示できます。 Activity エクスプローラーに権限を付与する役割は4つあります。データへのアクセスに使用するアカウントは、次のいずれかのメンバーでなければなりません。

• グローバル管理者
• コンプライアンス管理者
• セキュリティ管理者
• コンプライアンス データ管理者

ロールと役割グループ

には、アクセス制御を微調整するためにテストできるロールとロール グループがあります。

該当するロールの一覧を次に示します。 詳細については、Microsoft Purview コンプライアンス ポータルのアクセス許可に関するページを参照してください。

• Information Protection 管理者
• Information Protection アナリスト
• Information Protection 調査員
• Information Protection 閲覧者

該当する役割グループの一覧を次に示します。 詳細については、「Microsoft Purview コンプライアンス ポータルのアクセス許可」を参照してください。

• 情報保護
• Information Protection レベル
• Information Protection アナリスト
• Information Protection 調査担当者
• Information Protection 閲覧者

DLP オンプレミス リポジトリの前提条件

• Microsoft Purview 情報保護スキャナーは、DLP ポリシーの照合とポリシーの適用を実装します。 スキャナーは AIP クライアントの一部としてインストールされるため、インストールは AIP、AIP クライアント、および AIP 統合ラベル付けスキャナーのすべての前提条件を満たす必要があります。
• AIP クライアントとスキャナーをデプロイします。 詳細については、「 AIP 統合ラベル付けクライアントのインストール 」および「 情報保護スキャナーの構成とインストール」を参照してください。
• すべての検出ルールが機密情報タイプのみに基づいている場合でも、テナントには少なくとも 1 つのラベルとポリシーが公開されている必要があります。

DLP オンプレミス スキャナーを展開する

使用しているポータルの適切なタブを選択します。 Microsoft Purview ポータルの詳細については、 Microsoft Purview ポータルに関するページを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

Microsoft Purview ポータル

1. Microsoft Purview ポータルにサインインします。

2. AIP 統合ラベル クライアントのインストールの手順に従います。

3. 情報保護スキャナーの構成とインストールの手順に従って、スキャナーのインストールを完了します。

   1. コンテンツ スキャン ジョブを作成し、DLP エンジンによって評価されるファイルをホストするリポジトリを指定する必要があります。
   2. 作成したコンテンツ スキャン ジョブで DLP ルールを有効にし、[ 適用 ] オプションを [オフ ] に設定します (DLP 強制ステージに直接進む場合を除く)。

4. コンテンツ スキャン ジョブが適切なクラスターに割り当てられていることを確認します。 コンテンツ スキャン ジョブを作成していない場合は、新しいジョブを作成し、スキャナー ノードを含むクラスターに割り当てます。

5. Microsoft Purview ポータルに接続し、スキャンを実行するコンテンツ スキャン ジョブにリポジトリを追加します。

6. 次のいずれかの操作を実行して、スキャンを実行します。

   1. スキャナーのスケジュールを設定する
   2. ポータルで手動 の [今すぐスキャン ] オプションを使用する
   3. Start-AIPScan PowerShell コマンドレットを実行する

   重要

   スキャナーは既定でリポジトリのデルタ スキャンを実行し、ファイルが変更されたか、完全再スキャンを開始しない限り、以前のスキャン サイクルでスキャンされたファイルはスキップされることに注意してください。 完全再スキャンは、UI の [すべてのファイルを再スキャン ] オプションを使用するか、 Start-AIPScan-Reset を実行して開始できます。

7. Microsoft Purview ポータル>のデータ損失防止>ポリシーを開きます。

8. [ + ポリシーの作成 ] を選択し、テスト DLP ポリシーを作成します。 ポリシー の作成に関するヘルプが必要な場合は、「データ損失防止ポリシーの作成と展開 」を参照してください。 この機能に慣れるまで、 必ずシミュレーション モードでポリシーを実行 してください。 ポリシーには、次のパラメータを使用します。

   1. 必要に応じて、DLP オンプレミス リポジトリ ルールを特定の場所にスコープを設定します。 場所を [すべて] にスコープを設定すると、スキャンされたすべてのファイルが DLP ルールの照合と適用の対象になります。
   2. 場所を指定するときは、除外リストまたは包含リストのいずれかを使用できます。 ルールは、包含リストにリストされているパターンの 1 つに一致するパスにのみ関連するか、包含リストにリストされているパターンに一致するファイルを除くすべてのファイルに関連するように定義できます。 ローカル パスはサポートされていません。 有効なパスの例を次に示します。
   • \\server\share
   • \\server\share\folder1\subfolderabc
   • *\folder1
   • *secret*.docx
   • *秘密*。*
   • https:// sp2010.local/sites/HR
   • https://*/HR
   1. 許容できない値の使用例を次に示します。
   • *
   • *\A
   • Aaa
   • c:\
   • C:\test

重要

除外リストは、包含リストよりも優先されます。

コンプライアンス ポータル

1. Microsoft Purview コンプライアンス ポータルを開きます。

2. AIP 統合ラベル クライアントのインストールの手順に従います。

3. 情報保護スキャナーの構成とインストールの手順に従って、スキャナーのインストールを完了します。

   1. コンテンツ スキャン ジョブを作成し、DLP エンジンによって評価されるファイルをホストするリポジトリを指定する必要があります。
   2. 作成したコンテンツ スキャン ジョブで DLP ルールを有効にし、[ 適用 ] オプションを [オフ ] に設定します (DLP 強制ステージに直接進む場合を除く)。

4. コンテンツ スキャン ジョブが適切なクラスターに割り当てられていることを確認します。 コンテンツ スキャン ジョブを作成していない場合は、新しいジョブを作成し、スキャナー ノードを含むクラスターに割り当てます。

5. Microsoft Purview コンプライアンス ポータルに接続し、スキャンを実行するコンテンツ スキャン ジョブにリポジトリを追加します。

6. 次のいずれかの操作を実行して、スキャンを実行します。

   1. スキャナーのスケジュールを設定する
   2. ポータルで手動 の [今すぐスキャン ] オプションを使用する
   3. Start-AIPScan PowerShell コマンドレットを実行する

   重要

   スキャナーは既定でリポジトリのデルタ スキャンを実行し、ファイルが変更されたか、完全再スキャンを開始しない限り、以前のスキャン サイクルでスキャンされたファイルはスキップされることに注意してください。 完全再スキャンは、UI の [すべてのファイルを再スキャン ] オプションを使用するか、 Start-AIPScan-Reset を実行して開始できます。

7. Microsoft Purview コンプライアンス ポータルのデータ損失防止ページを開きます。

8. [ポリシーの作成] を選択し、テスト DLP ポリシーを作成します。 ポリシー の作成に関するヘルプが必要な場合は、「データ損失防止ポリシーの作成と展開 」を参照してください。 この機能に慣れるまで、 必ずシミュレーション モードでポリシーを実行 してください。 ポリシーには、次のパラメータを使用します。

   1. 必要に応じて、DLP オンプレミス リポジトリ ルールを特定の場所にスコープを設定します。 場所を [すべて] にスコープを設定すると、スキャンされたすべてのファイルが DLP ルールの照合と適用の対象になります。
   2. 場所を指定するときは、除外リストまたは包含リストのいずれかを使用できます。 ルールは、包含リストにリストされているパターンの 1 つに一致するパスにのみ関連するか、包含リストにリストされているパターンに一致するファイルを除くすべてのファイルに関連するように定義できます。 ローカル パスはサポートされていません。 有効なパスの例を次に示します。
   • \\server\share
   • \\server\share\folder1\subfolderabc
   • *\folder1
   • *secret*.docx
   • *秘密*。*
   • https:// sp2010.local/sites/HR
   • https://*/HR
   1. 許容できない値の使用例を次に示します。
   • *
   • *\A
   • Aaa
   • c:\
   • C:\test

重要

除外リストは、包含リストよりも優先されます。

DLP アラートの表示

1. Microsoft Purview コンプライアンス ポータルのデータ損失防止ページを開き、アラートを選択します。

2. オンプレミス DLP ポリシーのアラートを表示するには、「データ損失防止アラートダッシュボードの概要」および「Microsoft Defender XDRを使用してデータ損失インシデントを調査する」の手順を参照してください。

アクティビティ エクスプローラーと監査ログでの DLP データの表示

注:

Information Protection スキャナーでは、監査を有効にする必要があります。 Microsoft 365 では、監査が既定で有効になっています。

1. Microsoft Purview コンプライアンス ポータルでドメインのデータ分類ページを開き、Activity エクスプローラーを選択します。

2. オンプレミス スキャナーの場所のすべてのデータにアクセスしてフィルタリングするには、「Activity エクスプローラースタートガイド」の手順に従ってください。

3. コンプライアンス センターで監査ログを開きます。 DLP ルールの一致は、監査ログ UI で使用するか、PowerShell の Search-UnifiedAuditLog からアクセスできます。

次の手順

DLP オンプレミスの場所のテスト ポリシーをデプロイし、アクティビティ エクスプローラーでアクティビティ データを表示できるようになったので、次の手順に進み、機密アイテムを保護する DLP ポリシーを作成する準備ができました。

• DLP オンプレミスの使用

関連項目

• データ損失防止のオンプレミス リポジトリについて説明します
• データ損失防止のオンプレミス リポジトリを使用する
• データ損失防止について
• データ損失防止ポリシーを作成して展開する
• Activity Explorer を使い始める
• Microsoft 365 サブスクリプション