データ損失防止のオンプレミス スキャナーの使用を開始する

この記事では、Microsoft Purview データ損失防止オンプレミス スキャナーの前提条件と構成について説明します。

ヒント

E5 のお客様でない場合は、Microsoft Purview のすべてのプレミアム機能を無料で試すことができます。 90 日間の Purview ソリューション試用版を使用して、堅牢な Purview 機能が組織がデータのセキュリティとコンプライアンスのニーズを管理するのにどのように役立つかを調べます。 Microsoft Purview コンプライアンス ポータル試用版ハブから今すぐ開始します。 サインアップと試用版の条件の詳細について説明します。

はじめに

SKU /サブスクリプションライセンス

DLP オンプレミス スキャナーの使用を開始する前に、Microsoft 365 サブスクリプション およびアドオンを確認する必要があります。 DLP ルールを設定する管理者アカウントに次のライセンスのいずれかを割り当てる必要があります:

  • Microsoft 365 E5
  • Microsoft 365 E5 Compliance
  • & Microsoft 365 E5 Information Protection ガバナンス

ライセンスの詳細については、セキュリティ & コンプライアンスに関する Microsoft 365 ライセンス ガイダンスに関するページを参照してください。

重要

ファイルの追加またはファイルの使用によってスキャンされた場所に貢献するすべてのユーザーには、スキャナー ユーザーだけでなくライセンスが必要です。

アクセス許可

Endpoint DLP からのデータは、アクティビティ エクスプローラーで表示します。 Activity エクスプローラーに権限を付与する役割は4つあります。データへのアクセスに使用するアカウントは、次のいずれかのメンバーでなければなりません。

  • グローバル管理者
  • コンプライアンス管理者
  • セキュリティ管理者
  • コンプライアンス データ管理者

ロールと役割グループ

プレビューには、アクセス制御を微調整するためにテストできる役割と役割グループがあります。

プレビュー段階の該当する役割の一覧を次に示します。 詳細については、Microsoft Purview コンプライアンス ポータルのアクセス許可に関するページを参照してください。

  • Information Protection 管理者
  • Information Protection アナリスト
  • Information Protection 調査員
  • Information Protection 閲覧者

プレビュー段階の該当する役割グループの一覧を次に示します。 の詳細については、「Microsoft Purview コンプライアンス ポータルのアクセス許可」を参照してください。

  • 情報保護
  • Information Protection レベル
  • Information Protection アナリスト
  • Information Protection 調査担当者
  • Information Protection 閲覧者

DLP オンプレミス スキャナーの前提条件

  • Azure Information Protection (AIP) スキャナーは、DLP ポリシーの一致とポリシーの適用を実装します。 スキャナーは AIP クライアントの一部としてインストールされるため、インストールは AIP、AIP クライアント、および AIP 統合ラベル付けスキャナーのすべての前提条件を満たす必要があります。
  • AIP クライアントとスキャナーをデプロイします。 詳細については、「 AIP 統合ラベル付けクライアントのインストール 」および「 情報保護スキャナーの構成とインストール」を参照してください。
  • すべての検出ルールが機密情報タイプのみに基づいている場合でも、テナントには少なくとも 1 つのラベルとポリシーが公開されている必要があります。

DLP オンプレミス スキャナーを展開する

  1. AIP 統合ラベル クライアントのインストールの手順に従います。

  2. 情報保護スキャナーの構成とインストールの手順に従って、スキャナーのインストールを完了します。

    1. ネットワーク検出ジョブの構成はオプションの手順です。 これをスキップして、コンテンツ スキャン ジョブでスキャンする特定のリポジトリを定義できます。
    2. コンテンツ スキャン ジョブを作成し、DLP エンジンによる評価が必要なファイルをホストするリポジトリを指定する必要があります。
    3. 作成したコンテンツ スキャン ジョブで DLP ルールを有効にし、DLP 有効化段階に直接進む場合を除いて、[有効にする] オプションを [オフ] に設定します。
  3. コンテンツ スキャン ジョブが適切なクラスターに割り当てられていることを確認します。 それでもコンテンツ スキャン ジョブを作成しなかった場合は、新しいものを作成し、スキャナー ノードを含むクラスターに割り当てます。

  4. Azure ポータルの Azure Information Protection 拡張機能に接続し、スキャンを実行するコンテンツ スキャン ジョブにリポジトリを追加します。

  5. 次のいずれかの操作を実行して、スキャンを実行します。

    1. スキャナーのスケジュールを設定する
    2. ポータルで手動の [今すぐスキャン] オプションを使用する
    3. または、Start-AIPScan PowerShell コマンドレットを実行します

    重要

    スキャナーはデフォルトでリポジトリのデルタ スキャンを実行し、ファイルが変更されたか、完全な再スキャンを開始しない限り、前のスキャン サイクルですでにスキャンされたファイルはスキップされることに注意してください。 完全な再スキャンは、UI の [すべてのファイルを再スキャンする] オプションを使用するか、Start-AIPScan-Reset を実行することで開始できます。

  6. Microsoft Purview コンプライアンス ポータルのデータ損失防止ページを開きます。

  7. [ポリシーの作成] を選択し、テスト DLP ポリシーを作成します。 ポリシーの作成についてサポートが必要な場合は、「テンプレートから DLP ポリシーを作成する」を参照してください。 この機能に慣れるまで、必ずテストで実行してください。 ポリシーには、次のパラメータを使用します。

    1. 必要に応じて、DLP オンプレミス スキャナー ルールを特定の場所にスコープします。 [場所] のスコープを [すべて] に設定すると、スキャナーによってスキャンされたすべてのファイルが DLP ルールの照合と適用の対象になります。
    2. 場所を指定するときは、除外リストまたは包含リストのいずれかを使用できます。 ルールは、包含リストにリストされているパターンの 1 つに一致するパスにのみ関連するか、包含リストにリストされているパターンに一致するファイルを除くすべてのファイルに関連するように定義できます。 ローカル パスはサポートされていません。 有効なパスの例を次に示します。
    • \\server\share
    • \\server\share\folder1\subfolderabc
    • *\folder1
    • *secret*.docx
    • *秘密*。*
    • https:// sp2010.local/sites/HR
    • https://*/HR
    1. 許容できない値の使用例を次に示します。
    • *
    • *\A
    • Aaa
    • c:\
    • C:\test

重要

除外リストは、包含リストよりも優先されます。

DLP アラート管理ダッシュボードでの DLP オンプレミス スキャナー アラートの表示

  1. Microsoft Purview コンプライアンス ポータルのデータ損失防止ページを開き、アラートを選択します。

  2. DLP ポリシーのアラートを構成して表示する方法 」の手順を参照して、オンプレミスの DLP ポリシーのアラートを表示します。

アクティビティ エクスプローラーと監査ログでの DLP オンプレミス スキャナーの表示

注:

オンプレミス スキャナーでは、監査を有効にする必要があります。 Microsoft 365では、監査は既定で有効になっています。

  1. Microsoft Purview コンプライアンス ポータルでドメインのデータ分類ページを開き、Activity エクスプローラーを選択します。

  2. オンプレミス スキャナーの場所のすべてのデータにアクセスしてフィルタリングするには、「Activity エクスプローラースタートガイド」の手順に従ってください。

  3. [コンプライアンス センターの監査ログ] を開きます。 DLP ルールの一致は監査ログ UI で利用可能であるか、Search-UnifiedAuditLog PowerShell からアクセスできます。

次のステップ

DLP オンプレミス の場所のテスト ポリシーを展開し、アクティビティ エクスプローラーでアクティビティ データを表示できるようになったので、機密アイテムを保護する DLP ポリシーを作成する次のステップに進む準備ができました。

関連項目