データ損失防止のオンプレミス スキャナーの詳細

データ損失防止オンプレミス スキャナーは、Microsoft 365 サービス全体で機密アイテムを検出して保護する Microsoft Purview Data Loss Prevention (DLP) スイートの機能の一部です。 MicrosoftのすべてのDLP製品の詳細については、「データ損失防止の概要」を参照してください。

DLP オンプレミス スキャナー は、ファイル共有と SharePoint ドキュメント ライブラリおよびフォルダー内のオンプレミスの保存データをクロールして、漏洩した場合に組織にリスクをもたらしたり、コンプライアンス ポリシー違反のリスクをもたらしたりする機密アイテムを探します。 これにより、機密性の高いアイテムが適切に使用および保護されていることを確認し、危険にさらされる可能性のある動作を防止するために必要な可視性と制御を得ることができます。 DLP オンプレミス スキャナーは、組み込みまたはカスタムの機密情報タイプ、機密ラベル、またはファイル プロパティを使用して機密情報を検出します。 機密アイテムを使用してユーザーが行っていることに関する情報がActivity Explorerに表示され、DLPポリシーを通して、それらのアイテムに保護アクションを適用できます。

DLP オンプレミス スキャナーは Azure Information Protection スキャナーに依存しています

DLP オンプレミス スキャナーは、Azure Information Protection (AIP) スキャナーの完全な実装に依存して、機密性の高いアイテムを監視、ラベル付け、保護します。 AIP スキャナーに慣れていない場合は、AIP スキャナーに慣れておくことを強くお勧めします。 次の記事を参照してください。

DLP オンプレミス スキャナーのアクション

DLP オンプレミス スキャナーは、次の 4 つの方法のいずれかを使用してファイルを検出します。

  • 機密情報の種類
  • 機密度ラベル
  • ファイル拡張子
  • Office ファイルのみのカスタム ドキュメント プロパティ

検出されたファイルがリークまたはコンプライアンス ポリシー違反の場合に潜在的なリスクをもたらす場合、DLP オンプレミス スキャナーはこれらの4つのアクションのいずれかを実行できます。

アクション 説明
これらの人々がオンプレミス スキャナーに保存されているファイルにアクセスするのをブロックします - 全員 適用されると、このアクションは、コンテンツ所有者、アイテムを変更した最後のアカウント、および管理者を除くすべてのアカウントへのアクセスをブロックします。これは、ファイル所有者、リポジトリ所有者 ([コンテンツ スキャン ジョブのリポジトリ所有者設定の設定] で設定)、最後の修飾子 (SharePoint でのみ識別可能)、および管理者を除く、ファイルレベルで NTFS/SharePoint アクセス許可からすべてのアカウントを削除することによって行われます。 スキャナー アカウントには、ファイルに対する FC 権限も付与されます。
これらの人々がオンプレミス スキャナーに保存されているファイルにアクセスするのをブロックします - 組織全体の (パブリック) アクセスをブロック このアクションを実行すると、EveryoneNT AUTHORITY\authentication users、およびDomain Users SIDがファイルアクセス制御リスト (ACL) から削除されます。 ファイルまたは親フォルダへの権限が明示的に付与されているユーザーとグループのみがファイルにアクセスできます。
ファイルに権限を設定する 適用されると、このアクションはファイルにその親フォルダーのアクセス許可を継承させます。 デフォルトでは、このアクションは、親フォルダーのアクセス許可が、ファイルに既に存在するアクセス許可よりも制限されている場合にのみ適用されます。 たとえば、ファイルの ACL が 特定のユーザーのみを許可するように設定されており、親フォルダーがDomain Users_グループを許可するように構成されている場合、親フォルダーのアクセス許可はファイルに継承されません。 親のアクセス許可の制限が緩い場合でも、[継承]を選択すると、この動作を上書きできます
不適切な場所からファイルを削除する 強制されると、このアクションは元のファイルを .txt 拡張子の付いたスタブ ファイルに置き換え、元のファイルのコピーを検疫フォルダーに配置します。

オンプレミス スキャナーの違い

オンプレミス スキャナーを掘り下げる前に知っておく必要のあるいくつかの追加の概念があります。

AIP リポジトリとコンテンツ スキャン ジョブ

AIP コンテンツ スキャン ジョブを作成し、DLP エンジンで評価するファイルをホストするリポジトリを特定する必要があります。 作成した AIP コンテンツ スキャン ジョブで DLP ルールが有効になっていることを確認してください。

ポリシー ヒント

ポリシー ヒントは、オンプレミス スキャナーでは利用できません。

DLP オンプレミス スキャナー イベントの表示

DLP オンプレミス スキャナー データは、M365 コンプライアンス センター アクティビティ エクスプローラーで表示します。

次のステップ

ここまで DLP オンプレミス スキャナーについて学びましたので、次のステップは以下になります:

  1. DLP オンプレミス スキャナーの使用を開始する
  2. DLP オンプレミス スキャナーを使用する

関連項目