エンドポイント データ損失防止について
Microsoft Purview データ損失防止 (DLP) を使用して、機密と判断したアイテムに対して実行されているアクションを監視し、それらのアイテムの意図しない共有を防ぐことができます。
エンドポイント データ損失防止 (エンドポイント DLP) は、DLP のアクティビティ監視と保護機能を、Windows 10/11 および macOS (最新リリースの 3 つのメジャー バージョン) デバイスに物理的に格納されている機密アイテムに拡張します。 デバイスが Microsoft Purview ソリューションにオンボードされると、ユーザーが機密性の高い項目を使用して行っていることに関する情報が アクティビティ エクスプローラーに表示されます。 その後、 DLP ポリシーを使用して、これらの項目に対して保護アクションを適用できます。
ヒント
リムーバブル記憶域のデバイス コントロールを探している場合は、「Microsoft Defender for Endpoint Device Control のリムーバブル記憶域アクセス制御」 を参照してください。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。
監視と対処が必要なエンドポイントのアクティビティ
エンドポイント DLP を使用すると、ユーザーが物理的に Windows 10、Windows 11、または macOS デバイスに保存されている機密アイテムに対して行う次の種類のアクティビティを監査および管理できます。
| 最新情報 | 説明 | エンドポイント (X64) の Windows 10 (21H2、22H2)、Windows 11 (21H2、22H2)、Windows Server 2019、Server 2022 (21H2 以降) | エンドポイント用 Windows 11 (21H2、22H2) (ARM64) | macOS 3 つの最新リリース バージョン | 監査/ 制限可能 |
|---|---|---|---|---|---|
| 制限付きクラウド サービス ドメインにアップロードするか、許可されていないブラウザーからアクセスする | ユーザーが制限されたサービス ドメインにアイテムをアップロードしようとした場合、またはブラウザーを介してアイテムにアクセスしようとした場合に検出します。 ユーザーが許可されていないブラウザーを使用している場合、アップロード アクティビティはブロックされ、ユーザーは Microsoft Edge を使用するようにリダイレクトされます。 Microsoft Edge では、DLP ポリシー構成に基づいてアップロードまたはアクセスを許可またはブロックします。 [ データ損失防止] 設定の許可/未適用ドメインの一覧に基づいて、保護されたファイルをアップロードしたり、クラウド サービスにアップロードできないようにしたりできる場合は、ブロック、警告、監査を行うことができます。 構成されたアクションが警告またはブロックに設定されている場合、他のブラウザー ([ データ損失防止の設定] の下の [未適用のブラウザー] の一覧で定義されている) は、ファイルへのアクセスをブロックされます。 | サポート | サポート | サポート | 監査可能で制限可能 |
| サポートされているブラウザーに貼り付ける | ユーザーが制限付きサービス ドメインにコンテンツを貼り付けようとしたときに検出します。 評価は、貼り付けるコンテンツに対して実行されます。 この評価は、コンテンツのソースアイテムの分類方法とは無関係です。 | サポート | サポート | 非サポート | 監査可能で制限可能 |
| クリップボードにコピーする | ユーザーが保護されたファイルからコンテンツをコピーしようとすると、エンドポイント デバイス上のクリップボードへの保護されたファイルのコピーをブロック、ブロック、オーバーライド、または監査できます。 上書きコピーでブロックまたはブロックするようにルールが構成されている場合、コピー元のコンテンツが機密である場合は、転送先が同じ Microsoft 365 Office アプリ内にある場合を除き、ブロックされます。 このアクティビティは、Windows 365 で Azure Virtual Desktop を使用する場合に、リダイレクトされたクリップボードにも適用されます。 | サポート | サポート | サポートされている | 監査可能で制限可能 |
| USB リムーバブル デバイスにコピーする | このアクティビティが検出されると、エンドポイント デバイスから USB リムーバブル メディアへの保護されたファイルのコピーまたは移動をブロック、警告、または監査できます。 | サポート | サポート | サポート | 監査可能で制限可能 |
| ネットワーク共有にコピーする | このアクティビティが検出されると、エンドポイント デバイスから任意のネットワーク共有に保護されたファイルのコピーまたは移動をブロック、警告、または監査できます。これには、Windows 365 を使用した Azure Virtual Desktop 上のネットワーク共有として表示されるリダイレクトされた USB デバイスが含まれます。 | サポート | サポートされている | サポートされている | 監査可能で制限可能 |
| 印刷 | このアクティビティが検出されると、エンドポイント デバイスから保護されたファイルの印刷をブロック、警告、または監査できます。 このアクティビティは、Windows 365 と共に Azure Virtual Desktop を使用する場合に、リダイレクトされたプリンターにも適用されます。 | サポートされている | サポートされている | サポートされている | 監査可能で制限可能 |
| 許可されていない Bluetooth アプリを使用したコピーまたは移動 | ユーザーが未適用のBluetooth アプリにアイテムをコピーしようとしたときに検出します ([データ損失防止] 設定の [許可されていないBluetooth アプリの一覧で定義されている場合>Endpoint 設定)。 | サポートされている | サポートされている | サポートされている | 監査可能で制限可能 |
| RDP を使用してコピーまたは移動する | ユーザーがリモート デスクトップ セッションにアイテムをコピーしようとしたときに検出します。 | サポート | サポート | 非サポート | 監査可能で制限可能 |
| アイテムを作成 | 項目の作成を検出します。 | サポート | サポートされている | サポート | 監査 |
| アイテムの名前を変更する | 項目の名前変更を検出します。 | サポート | サポートされている | サポート | 監査 |
| 制限付きアプリによるアクセス | 制限付きアプリの一覧にあるアプリケーション (制限付き アプリとアプリ グループで定義されている) が、エンドポイント デバイス上の保護されたファイルへのアクセスを試行するタイミングを検出します。 | サポート | サポート | サポート |
クリップボードにコピーする動作
ユーザーがポリシーに一致するファイルのコンテンツに対してクリップボードへのコピー アクティビティを試みると、オーバーライドでブロックまたはブロックするようにルールを構成すると、エンド ユーザーは次の構成でこの動作を確認できます。
Word ファイル 123 には、クリップボードへのコピーブロックルールに一致する機密情報が含まれています。
Excel ファイル 123 には、クリップボードへのコピーブロック規則に一致する機密情報が含まれています。
PowerPointファイル123には、クリップボードへのコピーブロックルールに一致する機密情報が含まれている。
Word ファイル 789 には機密情報が含まれません。
Excel ファイル 789 には機密情報が含まれません。
PowerPointファイル 789 には機密情報が含まれません。
メモ帳 (または Microsoft Office ベース以外のアプリまたはプロセス) ファイル XYZ には、クリップボードへのコピーブロック規則に一致する機密情報が含まれています。
メモ帳 (または Microsoft Office ベース以外のアプリまたはプロセス) ファイル ABC には機密情報が含まれません。
| ソース | Destination (転送先) | 動作 |
|---|---|---|
| Word ファイル 123/Excel ファイル 123/PowerPoint ファイル 123 | Word ファイル 123/Excel ファイル 123/PowerPoint ファイル 123 | コピーと貼り付けが許可されます。つまり、ファイル内のコピーと貼り付けが許可されます。 |
| Word ファイル 123/Excel ファイル 123/PowerPoint ファイル 123 | Word ファイル 789/Excel ファイル 789/PowerPoint ファイル 789 | コピーと貼り付けはブロックされます。つまり、ファイル間のコピーと貼り付けはブロックされます。 |
| Word ファイル 789/Excel ファイル 789/PowerPoint ファイル 789 | Word ファイル 123/Excel ファイル 123/PowerPoint ファイル 123 | コピーと貼り付けは許可されます |
| Word ファイル 123/Excel ファイル 123/PowerPoint ファイル 123 | メモ帳ファイル ABC | コピーと貼り付けがブロックされる |
| メモ帳ファイル XYZ | any | コピーがブロックされている |
| メモ帳ファイル ABC | any | コピーと貼り付けは許可されます |
エンドポイント DLP ポリシーのベスト プラクティス
たとえば、財務部門ユーザーのエンドポイントから、クレジットカード番号を含むすべての項目をブロックしたいとします。 次のようにお勧めします。
- ポリシーを作成し、エンドポイントとそのユーザー グループにスコープを設定します。
- 保護する情報の種類を検出するルールをポリシーに作成します。 この場合、コンテンツに含まれている機密情報の種類*を設定し、[クレジット カード] を選択します。
- 各アクティビティのアクションを [ブロック] に設定します。
DLP ポリシーの設計の詳細については、「 データ損失防止ポリシーの設計 」を参照してください。
注:
Microsoft Purview では、機密項目の DLP ポリシー評価が一元的に行われるため、ポリシーとポリシー更新が個々のデバイスに配布されるまでのタイム ラグはありません。 コンプライアンス センターでポリシーが更新されると、それらの更新がサービス全体で同期されるまでに通常約 1 時間かかります。 ポリシーの更新が同期されると、対象のデバイス上のアイテムは、次回アクセスまたは変更されたときに自動的に再評価されます。 (プレビュー)承認されたグループの変更の場合、ポリシーの同期には 24 時間が必要です。
監視対象ファイル
ポリシーを使用して監視されるファイル
エンドポイント DLP は、Windows 10、11、および macOS の最新の 3 つの主要なリリースのポリシーを使用して、これらのファイルの種類を監視します。
| Windows 10, 11 | macOS |
|---|---|
| .doc、.docx、.docm、.dotx、.dotx、.dotm、.docb、.xls、.xlsx、.xlt、.xlsm、.xlsm、.xltx、.xltm、.xlsb、.xlw、.ppt、.pptx、pos、.pps、.pptm、.potx、.potm、.ppam、.ppsx、ppsx、ppsx、 .pbix、.pdf、.csv、.tsv、.zip、.zipx、.rar、.7z、.tar、.war、.gz、.dlp、.txt、.c、.class、.cpp、.cs、.h、.java、.html、.htm、.rtf、.json、.config | .doc、.docx、.docm、.dotx、.dotx、.dotm、.docb、.xls、.xlsx、.xlt、.xlm、.xlsm、.xltx、.xltm、.xlsb、.xlw、 .ppt、.pptx、.pos、.pps、.pptm、.potx、.potm、.ppam、.ppsx、.pbix、.pdf、.csv、.tsv、.txt、.c、.cpp、.cs、.h、.java、.html、.htm、.rtf、.json、.config |
ポリシーの一致に関係なく監査されたファイル
ポリシーの一致が存在しない場合でも、Windows 10、11、および macOS の最新の 3 つの主要リリースでは、これらのファイルの種類に対してアクティビティを監査できます。
| Windows 10, 11 | macOS |
|---|---|
| .doc、.docx、.docm、.dotx、.dotm、.docb、.xls、.xlsx、.xlt、.xlsm、.xlsm、 .xltx、.xltm、.xlsb、.xlsb、.ppt、.pptx、.pos、.pps、.pptm、.potx、.potm、.ppam、.ppsx、.pbix、.pdf、.csv、.tsv、.zip、.zipx、.rar、.7z、.tar、.war、.gz、.dlp | .doc、.docx、.docm、.dot、.dotx、 .dotm、.docb、.xls、.xlsx、.xlt、.xlm、.xlsm、.xltx、.xltm、.xlsb、.xlw、.ppt .pptx、.pos、.pps、.pptm、.potx、.ppam、.ppam、.ppsx、.ppsx、.pdf、.csv、.tsv、tsv、.pps |
注:
これらのファイルの種類は、ポリシーの一致に関係なく、 OCR が有効になっている限り、Windows 10、11 では監査できます。
.jpg、.png、.tif、.tiff、.bmp、.jpeg
重要
PDF ファイルで Microsoft Purview データ損失防止 (DLP) 機能を使用するための Adobe の要件については、 Adobe: Microsoft Purview Information Protection Support in Acrobat のこちらの記事を参照してください。
ポリシーの一致からのデータのみを監視する場合は、[データ損失防止] 設定の [Endpoint] 設定でデバイスの [ファイルの常に監査] アクティビティ>オフにすることができます。
[ デバイスのファイル アクティビティを常に監査 する] 設定がオンの場合、デバイスがポリシーの対象ではない場合でも、すべての Word、PowerPoint、Excel、PDF、.csv ファイルのアクティビティは常に監査されます。
サポートされているすべてのファイルの種類についてアクティビティが監査されるようにするには、カスタム DLP ポリシーを作成します。
エンドポイント DLP は MIME の種類に基づいてアクティビティを監視するため、ファイル拡張子が変更された場合でも、これらのファイルの種類に対してアクティビティがキャプチャされます。
拡張子が他のファイル拡張子に変更された後:
- .doc
- .docx
- .xls
- .xlsx
- .ppt
- .pptx
拡張子がサポートされているファイル拡張子にのみ変更された場合:
- .txt
- .msg
- .rtf
- .c
- .cpp
- .h
- .cs
- 。ジャワ
- .tsv
コンテンツをスキャンしたファイルの種類
DLP ポリシーでは、条件として 1 つ以上のファイルの種類を使用できます。
| ファイルの種類 | アプリ | 監視対象のファイル拡張子 |
|---|---|---|
| 文書処理 | Word、PDF | .doc、.docx、.docm、.dot、dotx、.dotm、.docb、.pdf |
| スプレッドシート | Excel、CSV、TSV | .xls、.xlsx、.xlt、.xlm、.xlsm、xltx、xltm、xlsb、.xlw、.csv、.tsv |
| プレゼンテーション | PowerPoint | .ppt、.pptx、.pos、.pps、.pptm、.potx、.potm、.ppam、.ppsx |
| アーカイブ | ファイル アーカイブおよび圧縮ツール | .zip、.zipx、.dll、.7z、.tar、.gz |
| メール | Outlook | .msg |
エンドポイント DLP との違い
エンドポイント DLP を掘り下げる前に知っておく必要がある追加の概念がいくつかあります。
デバイス管理を有効にする
デバイス管理は、デバイスからテレメトリを収集できる機能です。これは、エンドポイント DLP やインサイダー リスク管理などの Microsoft Purview ソリューションに導入する機能です。 DLP ポリシーで場所として使用するすべてのデバイスをオンボードする必要があります。
オンボードとオフボードは、デバイス管理センターからダウンロードしたスクリプトを介して処理されます。 デバイス管理センターには、次の展開方法ごとにカスタム スクリプトがあります。
- ローカル スクリプト (最大 10 台のマシン)
- グループ ポリシー
- System Center Configuration Manager ( バージョン 1610以降 )
- Mobile Device Management/Microsoft Intune
- 非永続的マシン用の VDI のオンボードスクリプト
デバイスをオンボードにするには、Microsoft 365 エンドポイント DLPの使用を開始するの手順を使用します。
デバイスを Defender にオンボードすると、DLP にもオンボードされます。 そのため、 Microsoft Defender for Endpoint を使用してデバイスをオンボードしている場合、それらのデバイスはデバイスの一覧に自動的に表示されます。 エンドポイント DLP を使用するには、 デバイス監視を有効にする 必要があります。
エンドポイント DLP データの表示
エンドポイント デバイスに適用される DLP ポリシーに関連するアラートを表示するには、 DLP アラート管理ダッシュボード に移動し、 Microsoft Defender XDR を使用してデータ損失インシデントを調査します。
関連するイベントの詳細と豊富なメタデータを同じダッシュボードで表示することもできます
デバイスがオンボードされると、場所としてデバイスを使用する DLP ポリシーを構成し、展開する前でも、監査されたアクティビティに関する情報がアクティビティエクスプローラーに流れます。
エンドポイント DLP は、監査済みアクティビティに関する広範囲にわたる情報を収集します。
たとえば、ファイルがリムーバブル USB メディアにコピーされた場合、アクティビティの詳細に次の属性が表示されます:
- アクティビティの種類
- クライアント IP
- 対象ファイルのパス
- 発生したタイムスタンプ
- ファイル名
- ユーザー
- ファイル拡張子
- ファイル サイズ
- 機密情報の種類(該当する場合)
- sha1 値
- sha256 値
- 以前のファイル名
- 場所
- 親
- FilePath
- ソースの場所の種類
- platform
- デバイス名
- 場所の宛先の種類
- コピーを実行したアプリケーション
- Microsoft Defender for Endpoint デバイス ID (該当する場合)
- リムーバブルメディアデバイスの製造元
- リムーバブルメディアデバイスのモデル
- リムーバブルメディアデバイスのシリアル番号
エンドポイント DLP とオフライン デバイス
Windows エンドポイント デバイスがオフラインの場合、既存のポリシーは引き続き既存のファイルに適用されます。 さらに、Just-In-Time 保護を有効にし、"ブロック" モードでは、オフライン デバイスに新しい ファイル を作成しても、デバイスがデータ分類サービスに接続して評価が完了するまで、ファイルは共有されません。 サーバーに新しい ポリシー が作成された場合、または既存のポリシーが変更された場合、インターネットに再接続すると、それらの変更がデバイスで更新されます。
次のユース ケースを検討してください。
- デバイスにプッシュされたポリシーは、デバイスがオフラインになった後でも、既に機密として分類されているファイルに適用されます。
- デバイスがオフラインの間にコンプライアンス ポータルで更新されたポリシーは、そのデバイスにプッシュされません。 同様に、このようなポリシーは、デバイスがオンラインに戻るまで、そのデバイスに適用されません。 ただし、オフライン デバイスに存在する古いポリシーは引き続き適用されます。 Just-In-Time 保護
通知が表示されるように構成されている場合、デバイスがオンラインかどうかに関係なく、DLP ポリシーがトリガーされたときに常に表示されます。
注:
既にオフライン デバイスにプッシュされているポリシーは適用されますが、デバイスがオンラインに戻るまで、適用イベントはアクティビティ エクスプローラーに表示されません。
DLP ポリシーは、エンドポイント デバイスと定期的に同期されます。 デバイスがオフラインの場合、ポリシーを同期できません。 この場合、[デバイス] の一覧 には、デバイスがサーバー上のポリシーと同期されていないことが反映されます。
重要
この機能は、macOS エンドポイント デバイスではサポートされていません。
Just-In-Time 保護
Just-In-Time 保護は、ポリシーの評価が正常に完了するまで、次の監視対象ファイルのすべてのエグレス アクティビティをブロックします。
- 評価されていない項目。
- 評価が古くなった項目。 これらは、ポリシーの現在の更新されたクラウド バージョンによって再評価されていない、以前に評価された項目です。
Just-In-Time 保護を展開する前に、まずマルウェア対策クライアント バージョン 4.18.23080 以降を展開する必要があります。
注:
マルウェア対策クライアントの古いバージョンのマシンの場合は、次のいずれかの KB をインストールして Just-In-Time 保護を無効にすることをお勧めします。
Microsoft Purview コンプライアンス ポータルで Just-In-Time 保護を有効にするには、左側のナビゲーション ウィンドウで [設定] を選択し、[ Just-In-Time protection] を選択し、目的の設定を構成します。
監視する場所を選択する
- [デバイス] を選択します。
- [ 編集] を選択します。
- ポップアップ ウィンドウで、Just-In-Time 保護を適用するアカウントと配布グループのスコープを選択します。 (ポリシー評価の処理中に、エンドポイント DLP は、アカウントが選択されたスコープ内にある各ユーザーのすべてのエグレス アクティビティをブロックします。 エンドポイント DLP は、(除外設定を使用して) 明示的に除外された、またはスコープ内にないすべてのユーザー アカウントのエグレス アクティビティを監査します。
注:
[スコープ] で選択したすべてのユーザーに対して、エンドポイント DLP はポリシーの評価が完了するのを待っている間、すべてのエグレス アクティビティをブロックすることに注意してください。スコープに含まれていないユーザーまたは [除外] 設定の下にあるユーザーの場合、エンドポイント DLP はエグレス アクティビティを監査します。
- 失敗した場合のフォールバック アクション: この構成では、ポリシーの評価が完了しない場合に DLP が適用する適用モードを指定します。 どの値を選択しても、関連するテレメトリがアクティビティ エクスプローラーに表示されます。
ヒント
ユーザーの生産性を最大化するためのヒント:
- Just-In-Time 保護を有効にする前に、エンドポイント DLP ポリシーを構成してデバイスに展開し、ポリシー評価中にユーザー アクティビティを不必要にブロックしないようにします。
- エグレス アクティビティの設定は慎重に構成してください。 Just-In-Time 保護は、そのアクティビティに 1 つ以上の Block または Block とオーバーライド ポリシーがある場合にのみ、エグレス アクティビティをブロックします。 つまり、特にブロックされていないエグレス アクティビティは、該当するポリシーのスコープに含まれるユーザーに対してのみ監査されます。
- Just-In-Time 保護は、そのアクティビティにオーバーライド ポリシーを含むブロックまたはブロックが 1 つ以上ある場合にのみエグレス アクティビティをブロックするため、つまり、スコープ内であってもエンド ユーザーに DLP ポリシーがない場合、または DLP ポリシーのみを監査する場合、Just-In-Time 保護はエグレス アクティビティのみを監査します。
詳細については、「 Just-In-Time 保護の概要」を参照してください。
次の手順
ここまでエンドポイント DLP について学びましたので、次のステップの手順は以下になります:
- Windows 10 デバイスまたは Windows 11 デバイスを Microsoft Purview にオンボードする概要
- macOS デバイスを Microsoft Purview にオンボードする概要
- エンドポイント データ損失防止の設定を構成する
- エンドポイントのデータ損失防止の使用
関連項目
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示