エンドポイント データ損失防止の使用

エンドポイント DLP 機能、および DLP ポリシーで表示される方法を把握するために、いくつかのシナリオをまとめてましたので、確認してください。

重要

これらのエンドポイント DLP シナリオは、DLP ポリシーの作成と調整に関する公式な手順ではありません。 一般的な状況で DLP ポリシーを使用する必要がある場合は、次のトピックを参照してください。

はじめに

SKU /サブスクリプションライセンス

ライセンスの詳細については、「情報保護に関する Microsoft 365 ライセンス ガイダンス」を参照してください。

シナリオ 1: テンプレートからポリシーを作成 (監査のみ)

これらのシナリオでは、デバイスが既にオンで、アクティビティエクスプローラーに報告されている必要があります。 まだデバイスをオンにしていない場合は、エンドポイントのデータ損失防止 (プレビュー) を開始を参照してください。

  1. データ損失防止ポリシー ページを開きます。

  2. [ポリシーの作成] を選びます。

  3. このシナリオでは、[プライバシー] を選択して、"米国の個人情報 (PII) データ" を選んでから、[次へ] を選びます。

  4. [デバイス] を除くすべての場所で [状態] フィールドをオフにします。[次へ] を選択します。

  5. 規定の 確認してテンプレートから設定をカスタマイズ の選択を承認して、次へ を選択します。

  6. 既定の 保護アクション の値を承認して、次へ を選択します。

  7. [Windows デバイスでアクティビティを監査または制限する] を選択して、[監査のみ] に設定されたアクションはそのままにしておきます。[次へ] を選択します。

  8. 既定の [先にテストを行います] を承認し、[テスト モードでポリシーのヒントを表示] を選択します。[次へ] を選択します。

  9. 設定を確認し、送信 を選択します。

  10. 新しい DLP ポリシーがポリシー一覧に表示されます。

  11. 監視対象エンドポイントのデータについてアクティビティ エクスプローラーを確認します。デバイスの [場所] フィルターを設定してポリシーを追加してから、ポリシー名でフィルター処理して、このポリシーの影響を確認します。必要な場合は、「アクティビティ エクスプローラーを使用して作業を開始する」を参照してください。

  12. 米国の個人情報 (PII) データの条件をトリガーするコンテンツを含むテストを組織外のユーザーと共有してみます。この試行により、ポリシーがトリガーされます。

  13. イベントのアクティビティエクスプローラーを確認します。

シナリオ 2: 既存のポリシーを変更し、通知を設定

  1. データ損失防止ポリシーを開く。

  2. シナリオ 1 で作成した 米国の個人情報 (PII) データ ポリシーを選択します。

  3. [ポリシーの編集] を選びます。

  4. 詳細な DLP ルール ページに移動し、米国の個人を特定できる情報が検出された低ボリュームのコンテンツ を編集します。

  5. インシデントリポート セクションまでスクロールして、ルールが一致する場合、管理者に通知を送信オン に設定します。 メールの通知は、管理者と、受信者のリストに追加する他のユーザーに自動的に送信されます。

turn-on-incident-reports。

  1. このシナリオの目的で、アクティビティーがこのルールに一致する度に通知を送信 を選択します。

  2. [保存] を選択します。

  3. 次へ を選択して、ポリシーの変更を 送信 を選択することで、すべての前の設定を保持します。

  4. 米国の個人情報 (PII) データの条件をトリガーするコンテンツを含むテストを組織外のユーザーと共有してみます。この試行により、ポリシーがトリガーされます。

  5. イベントのアクティビティエクスプローラーを確認します。

シナリオ 3: 既存のポリシーを変更し、上書きを許可する操作をブロック

  1. データ損失防止ポリシーを開く。

  2. シナリオ 1 で作成した 米国の個人情報 (PII) データ ポリシーを選択します。

  3. [ポリシーの編集] を選びます。

  4. 詳細な DLP ルール ページに移動し、米国の個人を特定できる情報が検出された低ボリュームのコンテンツ を編集します。

  5. Windows デバイスでアクティビティを監査または制限 セクションまでスクロールして、アクティビティごと対応するアクションに 上書きをブロック を設定します。

    上書きアクションのブロックを設定。

  6. [保存] を選択します。

  7. 米国の個人情報が検出された大量のコンテンツ の手順4から手順7を繰り返します。

  8. 次へ を選択して、ポリシーの変更を 送信 を選択することで、すべての前の設定を保持します。

  9. 米国の個人情報 (PII) データの条件をトリガーするコンテンツを含むテストを組織外のユーザーと共有してみます。この試行により、ポリシーがトリガーされます。

    クライアントデバイスに次のようなポップアップが表示されます。

    エンドポイント DLP クライアントが上書き通知をブロックしました。

  10. イベントのアクティビティエクスプローラーを確認します。

シナリオ 4: 自動検疫を使用して、クラウド同期アプリからの DLP 通知のループを回避する (プレビュー)

始める前に

このシナリオでは、非常に機密性の高い社外秘 の秘密度ラベルを持つファイルの OneDrive への同期がブロックされます。 これは、複数のコンポーネントと手順からなる複雑なシナリオです。 以下が必要です。

3 つの手順があります。

  1. エンドポイント DLP の自動検疫設定を構成します。
  2. 非常に機密性の高い社外秘 の秘密度ラベルが付けられた機密性の高いアイテムをブロックするポリシーを作成します。
  3. ポリシーの対象となる Windows 10 デバイスで Word ドキュメントを作成し、ラベルを適用して、同期されるユーザー アカウントのローカル OneDrive フォルダーにコピーします。

エンドポイント DLP の許可されていないアプリと自動検疫設定を構成する

  1. [エンドポイント DLP 設定] を開きます

  2. [許可されていないアプリ] を展開します。

  3. [許可されていないアプリの追加または編集] を選択し、表示名に [OneDrive]、実行名に [onedrive.exe] を追加して、onedrive.exe による「非常に機密性の高い社外秘」ラベルのアイテムへのアクセスを禁止します。

  4. [自動検疫] を選んでから [保存] を選びます。

  5. [自動検疫設定][自動検疫設定の編集] を選びます。

  6. [許可されていないアプリへの自動検疫] を有効にします。

  7. オリジナルの機密ファイルを移動させるローカル マシン上のフォルダーへのパスを入力します。次に例を示します。

    ユーザー名 Isaiah langer 向けの '%homedrive%%homepath%\Microsoft DLP\Quarantine' は、移動済みアイテムを次の名前のフォルダーに配置します。

    C:\Users\IsaiahLanger\Microsoft DLP\Quarantine\OneDrive

    元のファイル名に日付とタイム スタンプを追加します。

    注意

    DLP 自動検疫では、許可されていないアプリごとにファイルのサブフォルダーが作成されます。 つまり、許可されていないアプリの一覧に NotepadOneDrive の両方が入っている場合、\OneDrive 用のサブフォルダーと \Notepad 用のサブフォルダーが作成されます。

  8. [次のテキストを含む .txt ファイルでファイルを置き換える] を選択し、プレースホルダー ファイルに必要なテキストを入力します。たとえば、auto quar 1.docx という名前のファイルの場合:

    %%FileName%% には、組織がデータ損失防止 (DLP) ポリシーで保護している %%PolicyName%% が含まれ、検疫フォルダー %%QuarantinePath%% に移動されました。

    は、以下のメッセージを含むテキスト ファイルを残します。

    auto quar 1.docx には、組織でデータ損失防止 (DLP) ポリシーで保護されている機密情報が含まれており、検疫フォルダー「C:\Users\IsaiahLanger\Microsoft DLP\Quarantine\OneDrive\auto quar 1_20210728_151541.docx」に移動されました。

  9. [保存] を選択します。

秘密度ラベルが「非常に機密性の高い社外秘」であるファイルの OneDrive 同期をブロックするポリシーを構成します。

  1. データ損失防止ポリシー ページを開きます。

  2. [ポリシーの作成] を選びます。

  3. このシナリオでは、[カスタム] を選択し、[カスタム ポリシー] を選択して、[次へ] を選択します。

  4. [名前] フィールドおよび [説明] フィールドに入力し、[次へ] を選択します。

  5. 状態 フィールドを デバイス を除くすべての場所でオフにします。 テストする特定のエンド ユーザー アカウントがある場合は、必ず範囲内で選択してください。 次へ を選択します。

  6. 既定の [高度な DLP ルールの作成またはカスタマイズ] の選択を承諾し、[次へ] を選択します。

  7. 以下の値でルールを作成します。

    1. [名前] > [シナリオ 4 自動検疫]
    2. [条件] > [コンテンツに含まれている] > [秘密度ラベル] > [非常に機密性の高い社外秘]
    3. [アクション] > [Windows デバイス上のアクティビティの監査または制限] > [許可されていないアプリでアクセス] > [ブロック]。 このシナリオでは、他のアクティビティをすべてクリアします。
    4. [ユーザー通知] > [オン]
    5. [エンドポイント デバイス] から、[アクティビティの場合にユーザーにポリシー ヒント通知を表示する] がまだ有効になっていない場合は選択します。
  8. [保存][次へ] を選択します。

  9. [すぐにオンにする] を選択します。[次へ] を選択します。

  10. 設定を確認し、送信 を選択します。

    注意

    新しいポリシーが複製され、対象の Windows 10 コンピューターに適用されるまで 1 時間以上かかります。

  11. 新しい DLP ポリシーがポリシー一覧に表示されます。

Windows 10 デバイスでの自動検疫のテスト

  1. 秘密度ラベルが「非常に機密性の高い社外秘」であるファイルの OneDrive 同期をブロックするポリシーを構成します」の手順 5 で指定したユーザー アカウントを使用して Windows 10 コンピューターにログインします。

  2. 内容が OneDrive に同期されないフォルダーを作成します。次に例を示します。

    C:\auto-quarantine ソース フォルダー

  3. Microsoft Word を開き、自動検疫ソース フォルダーにファイルを作成します。 機密性の高い社外秘 の秘密度ラベルを貼付します。「Office のファイルとメールに秘密度ラベルを適用する」を参照してください。

  4. 作成したばかりのファイルを、OneDrive 同期フォルダーにコピーします。 アクションが許可されておらず、ファイルが検疫される予定であることを伝えるユーザー通知トーストが表示されます。 たとえば、ユーザー名「Isaiah Langer」、タイトル「auto-quarantine doc 1.docx」のドキュメントの場合、次のようなメッセージが表示されます。

    指定されたファイルに OneDrive 同期アクションが許可されておらず、ファイルが検疫されることを示すデータ損失防止ユーザー通知ポップアップ。

    メッセージは以下のとおりです。

    autoquarantine doc 1.docx をこのアプリで開くことは許可されていません。 このファイルは 'C:\Users\IsaiahLanger\Microsoft DLP\OneDrive' に検疫されます

  5. [無視] を選択します。

  6. プレース ホルダー テキスト ファイルを開きます。 auto-quarantine doc 1.docx_ date_time.txt という名前が付けられます。

  7. 検疫フォルダーを開き、元のファイルがそこにあることを確認します。

  8. 監視対象エンドポイントのデータについてアクティビティ エクスプローラーを確認します。デバイスの [場所] フィルターを設定してポリシーを追加してから、ポリシー名でフィルター処理して、このポリシーの影響を確認します。必要な場合は、「アクティビティ エクスプローラーを使用して作業を開始する」を参照してください。

  9. イベントのアクティビティエクスプローラーを確認します。

シナリオ 5: 意図しない共有を許可されていないクラウド アプリとサービスに制限する

エンドポイント DLP と Microsoft Edge Web ブラウザを使用すると、許可されていないクラウド アプリとサービスへの意図しない機密アイテムの共有を制限できます。 Microsoft Edge では、アイテムがエンドポイント DLP ポリシーによって制限される場合を把握して、アクセス制限を適用しています。

適切に設定された DLP ポリシーで [デバイス] を場所として選択し、Microsoft Edge ブラウザを使用すると、これらの設定で定義した許可されていないブラウザは、DLP ポリシーの制御に一致する機密アイテムにアクセスすることができなくなります。 代わりに、ユーザーは Microsoft Edge を使用するためにリダイレクトされます。DLP に課される制限を理解すると、DLP ポリシーの条件が満たされた場合にアクティビティをブロックまたは制限できます。

この制限を使用するには、次の 3 つの重要な要素を構成する必要があります。

  1. 機密アイテムの共有を禁止する場所 (サービス、ドメイン、IP アドレス) を指定します。

  2. DLP ポリシーが一致した場合に、特定の機密アイテムへのアクセスを許可しないブラウザーを追加します。

  3. クラウドサービスへアップロード許可していないブラウザーからのアクセス の設定をオンにし、DLP ポリシーを構成してから、これらの場所でアップロードを制限する機密アイテムの種類を定義します。

新しいサービス、アプリ、およびポリシーを継続的に追加して、制限を拡張、強化しながら、ビジネスへのニーズを満たし機密データを保護できます。

この構成により、データが安全に維持でき、ユーザーが機密情報以外のアイテムにアクセスしたり、共有したりすることを禁止または制限する不必要な制約も回避できます。

シナリオ 6 機密性の高いサービス ドメインでのユーザー アクティビティを監視または制限する

このシナリオは、Web サイトでこれらのユーザー アクティビティを監査、オーバーライドしてブロック、またはブロックする場合に使用します。

  • Web サイトから印刷する
  • Web サイトからデータをコピーする
  • Web サイトをローカル ファイルとして保存する

ユーザーは、Microsoft Edge経由で Web サイトにアクセスしている必要があります。

Web サイト グループ内の Web サイトを指定するためのサポートされている構文

柔軟な構文を使用して、Web サイト グループにドメイン、サブドメイン、Web サイト、サブサイトを含め、除外できます。

  • ワイルドカードとして * を使用して、すべてのドメインまたはすべてのサブドメインを指定します
  • URL の末尾にある終端として / を使用して、その特定のサイトのみに検索範囲を設定します。

終端の / なしで URL を追加すると、その URL はそのサイトとすべてのサブサイトにスコープされます。

この構文は、すべての http/https Web サイトに適用されます。

次に、いくつかの例を示します:

Web サイト グループに追加する URL URL が一致します URL が一致しません
contoso.com //contoso.com
//contoso.com/
//contoso.com/allsubsites1
//contoso.com/allsubsites1/allsubsites2
//allsubdomains.contoso.com
//allsubdomains.contoso.com.au
contoso.com/ //contoso.com
//contoso.com/
//contoso.com/allsubsites1
//contoso.com/allsubsites1/allsubsites2
//allsubdomains.contoso.com
//allsubdomains.contoso.com/au
*.contoso.com //contoso.com
//contoso.com/allsubsites
//contoso.com/allsubsites1/allsubsites2
//allsubdomains.contoso.com
//allsubdomains.contoso.com/allsubsites
//allsubdomains1/allsubdomains2/contoso.com/allsubsites1/allsubsites2
//allsubdomains.contoso.com.au
*.contoso.com/xyz //contoso.com
//contoso.com/xyz
//contoso.con/xyz/allsubsites/
//allsubdomains.contoso.com/xyz
//allsubdomains.contoso.com/xyz/allsubsites
//allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites
//allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites1/allsubsites2
//contoso.com/xyz
//allsubdomains.contoso.com/xyz/
*.contoso.com/xyz/ //contoso.com/xyz
//allsubdomains.contoso.com/xyz
//contoso.com
//contoso.com/xyz/allsubsites/
//allsubdomains.contoso.com/xyz/allsubsites/
//allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites/
//allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites1/allsubsites2

機密性の高いサービス ドメインを構成する

  1. Microsoft Purview コンプライアンス ポータルで、データ損失防止 > エンドポイント DLP 設定 > 機密データに対するブラウザーとドメインの制限 > 機密サービス ドメイン を開きます。
  2. [機密性の高いサービス ドメインの新しいグループを追加する] を選択します。
  3. グループに名前を付けます。
  4. 希望する [一致の種類] を選択します。 [URL][IP アドレス][IP アドレス範囲] から選択できます。
  5. [このグループに新しいサービス ドメインを追加する] に適切な値を入力します。 複数の Web サイトをグループに追加し、ワイルドカードを使用してサブドメインをカバーできます。 たとえば、corp.contoso.com、 www.contoso.com hr.contoso.com、fin.contoso.com の最上位の Web サイトまたは *.contoso.com の場合などです。
  6. [保存] を選択します。
  7. [ポリシー] を選択します。
  8. デバイス にのみ適用されるポリシーを作成して検索範囲を設定します。 ポリシーの作成方法の詳細については、「DLP ポリシーの作成、テスト、チューニングする」を参照してください。
  9. "Edge から機密サイトにアクセスしたユーザー" を使用したルールと、"ユーザーが Windows デバイス上の Microsoft Edge ブラウザーで機密サイトにアクセスした場合にアクティビティを監査または制限する" アクションを作成します。
  10. アクションで、[機密サイト グループを追加または削除する] を選択します。
  11. 希望する [機密サイト グループ] を選択します。
  12. [追加] を選択します。
  13. 監視または制限するユーザー アクティビティと、それらのアクティビティに応答して DLP が実行するアクションを選択します。
  14. ルールとポリシーの構成を完了し、適用します。

関連項目