インサイダー リスク管理のフォレンジック証拠を管理する

重要

フォレンジック証拠は、Insider Risk Management のオプトイン アドオン機能であり、ユーザー のプライバシーが組み込まれた、潜在的なインサイダー データ セキュリティ インシデントに関する視覚的な分析情報をセキュリティ チームに提供します。 フォレンジック証拠には、カスタマイズ可能なイベント トリガーと組み込みのユーザー プライバシー保護制御が含まれており、セキュリティ チームは機密データの不正なデータ流出などの潜在的なインサイダー データ リスクの調査、理解、対応を強化できます。

組織は、フォレンジック証拠をキャプチャするための最も優先度の高いイベントや、最も機密性の高いデータなど、適切なポリシーを設定します。 フォレンジック証拠は既定ではオフになっています。ポリシーの作成にはデュアル承認が必要であり、ユーザー名は仮名化でマスクできます (Insider Risk Management では既定でオンになっています)。 Insider Risk Management 内でポリシーを設定し、セキュリティ アラートを確認すると、強力なロールベースのアクセス制御 (RBAC) が利用され、organizationの指定された個人が追加の監査機能を使用して適切なアクションを実行できるようになります。

重要

Microsoft Purview Insider Risk Management は、さまざまなシグナルを関連付けて、IP の盗難、データ漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意による内部関係者のリスクを特定します。 インサイダー リスク管理により、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシー バイ デザインで構築されており、ユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するのに役立つロールベースのアクセス制御と監査ログが用意されています。

構成手順を完了し、フォレンジック証拠ポリシーを作成したら、ポリシーで定義されているインジケーターの条件を満たす、リスクの高いセキュリティ関連のユーザー アクティビティに関するアラートの表示を開始します。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

ダッシュボード

フォレンジック証拠ダッシュボードは、organizationのフォレンジック証拠構成の主要領域の概要ビューです。 プレビューの場合、ダッシュボードにはフォ レンジック証拠デバイスの正常性 セクションのみが含まれます。 [ デバイス正常性レポートの表示 ] を選択して、[ デバイスの正常性 ] タブとレポートを開きます。 その他のセクションは、今後のリリースに含まれる予定です。

ユーザーの管理

特定のユーザーがフォレンジック証拠をキャプチャする資格を得る前に、特定のユーザーを要求して承認する必要があります。 フォレンジック証拠ポリシーにユーザーを追加するだけでは、それらのユーザーがキャプチャの対象になるわけではありません。 フォレンジック証拠ポリシーが作成される前または後にユーザーを要求および承認できますが、ポリシー インジケーターに関連付けられているクリップ キャプチャは作成され、ユーザーが承認された後にのみ確認できます。

Insider Risk Management または Insider Risk Management Admins ロール グループに割り当てられたユーザーは、Insider Risk Management 承認者ロール グループに割り当てられたユーザーに承認要求を送信できます。

承認のキャプチャを要求する

特定のユーザーに対してフォレンジック証拠のキャプチャを有効にすることを要求する必要があります。 要求が送信されると、organizationの承認者に電子メールで通知され、要求を承認または拒否できます。 承認された場合、ユーザーまたは は [ 承認済みユーザー ] タブに表示され、キャプチャの対象となります。 アドレス指定されていない場合、要求は送信日から 6 か月後に期限切れになります。

使用しているポータルの適切なタブを選択します。 Microsoft Purview ポータルの詳細については、 Microsoft Purview ポータルに関するページを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

Microsoft Purview ポータル

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。

2. Insider Risk Management ソリューションに移動します。

3. 左側のナビゲーションで [ フォレンジック証拠 ] を選択し、[ ユーザー管理] を選択します。

4. [ フォレンジック証拠要求の管理 ] タブを選択します。

5. [ 要求の作成] を選択します。

6. [ ユーザー ] ページで、[ ユーザーの追加] を選択します。

7. Searchを使用して特定のユーザーを検索するか、一覧から 1 人以上のユーザーを選択します。 [追加] を選択し、[次へ] を選択します。

8. [ フォレンジック証拠ポリシー ] ページで、追加したユーザーのフォレンジック証拠ポリシーを選択します。 選択したポリシーによって、ユーザーに対してキャプチャするアクティビティのスコープが決まります。

9. [次へ] を選択します。

10. [ 正当な理由 ] ページで、[フォレンジック証拠のキャプチャ] テキスト ボックスを オンにするための [正当な理由 ] ボックスに追加したユーザーに対してキャプチャを有効にすることを要求する理由をレビュー担当者に知らせます。 これは必須フィールドです。 完了したら [次へ] を選択します。

11. [Email通知] ページでは、通知テンプレートを使用して、organizationのポリシーに従って、フォレンジック証拠のキャプチャがデバイスに対してオンになっていることをユーザーに知らせるメールをユーザーに送信できます。 電子メールは、要求が承認された場合にのみユーザーに送信されます。

    [承認済みユーザーに電子メール通知を送信する] チェックボックスを選択します。 既存のテンプレートを選択するか、新しいテンプレートを作成します。 新しいテンプレートを作成するには、[ 通知テンプレートの作成 ] を選択し、[ 新しい電子メール通知テンプレート ] ウィンドウで次の必須フィールドに入力します。

12. [次へ] を選択します。

13. [ 完了 ] ページで、要求を送信する前に設定を確認します。 [ ユーザーの編集] または [理由の編集] を選択して要求の値を変更するか、[ 送信 ] を選択して要求を作成し、レビュー担当者に送信します。

コンプライアンス ポータル

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用してコンプライアンス ポータルにサインインします。

2. Insider Risk Management ソリューションに移動します。

3. [フォレンジック証拠>] [ユーザー管理] に移動します。

4. [ フォレンジック証拠要求の管理 ] タブを選択します。

5. [ 要求の作成] を選択します。

6. [ ユーザー ] ページで、[ ユーザーの追加] を選択します。

7. Searchを使用して特定のユーザーを検索するか、一覧から 1 人以上のユーザーを選択します。 [追加] を選択し、[次へ] を選択します。

8. [ フォレンジック証拠ポリシー ] ページで、追加したユーザーのフォレンジック証拠ポリシーを選択します。 選択したポリシーによって、ユーザーに対してキャプチャするアクティビティのスコープが決まります。

9. [次へ] を選択します。

10. [ 正当な理由 ] ページで、[フォレンジック証拠のキャプチャ] テキスト ボックスを オンにするための [正当な理由 ] ボックスに追加したユーザーに対してキャプチャを有効にすることを要求する理由をレビュー担当者に知らせます。 これは必須フィールドです。 完了したら [次へ] を選択します。

11. [Email通知] ページでは、通知テンプレートを使用して、organizationのポリシーに従って、フォレンジック証拠のキャプチャがデバイスに対してオンになっていることをユーザーに知らせるメールをユーザーに送信できます。 電子メールは、要求が承認された場合にのみユーザーに送信されます。

    [承認済みユーザーに電子メール通知を送信する] チェックボックスを選択します。 既存のテンプレートを選択するか、新しいテンプレートを作成します。 新しいテンプレートを作成するには、[ 通知テンプレートの作成 ] を選択し、[ 新しい電子メール通知テンプレート ] ウィンドウで次の必須フィールドに入力します。

12. [次へ] を選択します。

13. [ 完了 ] ページで、要求を送信する前に設定を確認します。 [ ユーザーの編集] または [理由の編集] を選択して要求の値を変更するか、[ 送信 ] を選択して要求を作成し、レビュー担当者に送信します。

保留中の承認要求を表示するには、 Insider リスク管理>のフォレンジック証拠>保留中の要求に関するページを参照してください。 保留中の要求、メール アドレス、要求の送信日、承認要求を送信したユーザーが表示されます。 ユーザーが表示されない場合、ユーザーに対する保留中の承認要求はありません。

Insider Risk Management Approvers ロール グループに割り当てられたユーザーは、[フォレンジック証拠要求] タブでユーザーを選択し、要求を確認できます。 要求を確認した後、これらのユーザーはフォレンジック証拠キャプチャ要求を承認または拒否できます。 キャプチャ要求を承認または拒否すると、このビューからユーザーの保留中の要求が削除されます。

キャプチャ要求を承認または拒否する

要求が完了すると、 Insider Risk Management 承認者 ロール グループに割り当てられたユーザーは、承認要求の電子メール通知を受け取ります。

使用しているポータルの適切なタブを選択します。 Microsoft Purview ポータルの詳細については、 Microsoft Purview ポータルに関するページを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

Microsoft Purview ポータル

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。
2. Insider Risk Management ソリューションに移動します。
3. 左側のナビゲーションで [ フォレンジック証拠 ] を選択し、[ 保留中の要求] を選択します。
4. 確認するユーザーを選択します。
5. [ フォレンジック証拠要求の確認 (プレビュー)] ウィンドウで、要求者によって送信された正当な理由を確認します。 該当する場合は、[ 承認] または [拒否] を選択します 。
6. [ 承認要求 ] ページまたは [ 拒否要求 ] ページで、[ 閉じる] を選択します。

コンプライアンス ポータル

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用してコンプライアンス ポータルにサインインします。
2. Insider Risk Management ソリューションに移動します。
3. [フォレンジック証拠>の保留中の要求] に移動します。
4. 確認するユーザーを選択します。
5. [ フォレンジック証拠要求の確認 (プレビュー)] ウィンドウで、要求者によって送信された正当な理由を確認します。 該当する場合は、[ 承認] または [拒否] を選択します 。
6. [ 承認要求 ] ページまたは [ 拒否要求 ] ページで、[ 閉じる] を選択します。

キャプチャの承認を取り消す

必要に応じて、特定のユーザーの承認を取り消し、フォレンジック証拠のキャプチャから除外できます。 承認を取り消しても、これらのユーザーの既存のキャプチャは削除されません。これらのユーザーのアクティビティの今後のキャプチャのみが無効になります。

使用しているポータルの適切なタブを選択します。 Microsoft Purview ポータルの詳細については、 Microsoft Purview ポータルに関するページを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

Microsoft Purview ポータル

1. Insider Risk Management Approvers ロール グループのメンバーとして Microsoft Purview ポータルにサインインします。
2. Insider Risk Management ソリューションに移動します。
3. 左側のナビゲーションで [ フォレンジック証拠 ] を選択し、[ ユーザー管理] を選択します。
4. [ 承認済みユーザー ] タブを選択します。
5. ユーザーを選択し、[削除] を選択 します。
6. 削除の確認ページで、[ 削除 ] を選択して、キャプチャの承認を取り消します。

コンプライアンス ポータル

1. Insider Risk Management Approvers ロール グループのメンバーとしてコンプライアンス ポータルにサインインします。
2. Insider Risk Management ソリューションに移動します。
3. [フォレンジック証拠>] [ユーザー管理] に移動します。
4. [ 承認済みユーザー ] タブを選択します。
5. ユーザーを選択し、[削除] を選択 します。
6. 削除の確認ページで、[ 削除 ] を選択してキャプチャの承認を取り消すか、[ キャンセル ] を選択して確認ページを閉じます。

通知テンプレートの作成と管理

通知テンプレートを作成して使用すると、organizationのポリシーに従って、フォレンジック証拠のキャプチャがデバイスに対してオンになっていることをユーザーに知らせるメールをユーザーに送信できます。 電子メールは、要求が承認された場合にのみユーザーに送信されます。

新しい通知テンプレートを作成する

使用しているポータルの適切なタブを選択します。 Microsoft Purview ポータルの詳細については、 Microsoft Purview ポータルに関するページを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

Microsoft Purview ポータル

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。
2. Insider Risk Management ソリューションに移動します。
3. 左側のナビゲーションで [ フォレンジック証拠 ] を選択し、[ 通知テンプレート] を選択します。
4. [ 通知テンプレートの作成] を選択します。
5. [ 新しい電子メール通知テンプレート ] ウィンドウで、次の必須フィールドに入力します。
   • テンプレート名
   • 送信元
   • 件名
   • メッセージ本文
6. [保存] を選択します。

コンプライアンス ポータル

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用してコンプライアンス ポータルにサインインします。
2. Insider Risk Management ソリューションに移動します。
3. フォレンジック証拠>通知テンプレートに移動します。
4. [ 通知テンプレートの作成] を選択します。
5. [ 新しい電子メール通知テンプレート ] ウィンドウで、次の必須フィールドに入力します。
   • テンプレート名
   • 送信元
   • 件名
   • メッセージ本文
6. [保存] を選択します。

注:

既存の通知テンプレートを削除するには、テンプレートを選択し、[削除] を選択 します。

キャプチャされたクリップの表示

キャプチャしたクリップを表示および探索するには、Microsoft Purview インサイダー リスク管理を開くときに [フォレンジックの証拠] タブを選択します。 ソリューション内の他の領域から [ フォレンジック証拠 ] タブを選択して、キャプチャされたクリップの一覧をコンテキストで表示することもできます。

• アラート ダッシュボード。 [アラート] ダッシュボードからアクセスできるクリップは、フォレンジック証拠ポリシーの作成時に特定のユーザー アクティビティをキャプチャするオプションに対応します。 キャプチャされたクリップは、フォレンジック証拠ポリシーで選択されたインジケーターによって定義されます。
• ユーザー アクティビティ レポート。 ユーザー アクティビティ レポートからアクセスできるクリップは、フォレンジック証拠ポリシーに含まれるユーザーによって実行されるセキュリティ関連のアクティビティをキャプチャするオプションに対応しています。
• ケース ダッシュボード。 ケース ダッシュボードからアクセスできるクリップは、 ケース にエスカレートされたアラートです。

注:

Insider Risk Management の調査担当者ロール グループと Insider Risk Management Admins ロール グループの両方のメンバーである場合は、Microsoft Purview インサイダー リスク管理を開くと、[キャプチャされたクリップの確認] ボタンが表示されます。 [ キャプチャしたクリップの確認 ] ボタンを選択すると、[ フォレンジック証拠の設定を開く ] ボタンに変わります。 このボタンの目的は、両方のロールがある場合に、キャプチャされたクリップと設定のリストの間を行き来することです。 役割グループの詳細

[ フォレンジックの証拠 ] タブを選択すると、キャプチャされたクリップと関連情報が一覧に表示されます。 一覧でキャプチャしたクリップを選択すると、ビデオ プレーヤーが画面の中央に表示され、クリップのアクティビティとイベントのトランスクリプトがビデオ プレーヤーの右側に表示されます。

キャプチャされた各クリップには、次の情報が含まれます。

• 日付/時刻 (UTC): キャプチャの日付、時刻 (UTC)、期間。 キャプチャの期間は、キャプチャによってスパンされる合計時間です。 インサイダー リスク管理によって同一のフレームが自動的に排除されるため、キャプチャの実際の長さが短くなる可能性があります。
• デバイス: Windows 10/11 のデバイスの名前。
• アクティビティ: キャプチャに含まれるインサイダー リスク管理アクティビティの種類。 これらのアクティビティは、関連するポリシーに割り当てられたグローバル およびポリシー インジケーターに基づいています。
• ユーザー: ユーザーの名前。
• URL (該当する場合): アクティビティが発生したときにユーザーがアクセスしていた URL。
• アプリケーション (該当する場合): アクティビティが発生したときにユーザーがアクセスしていたアプリケーション。
• アクティブウィンドウのタイトル: アクティビティが発生したときにユーザーがアクセスしていたウィンドウのタイトル。

キャプチャしたクリップを表示するには:

1. 必要に応じて、一覧の上部にあるフィルターを構成します。

2. リストからクリップを選択します。

3. ビデオ プレーヤー コントロールを使用して、[再生] コントロール を選択して、クリップ全体を最初から最後まで確認します。

4. クリップ内の特定のアクティビティまたはイベントにレビューのスコープを設定するには、トランスクリプトでアクティビティまたはイベントを選択します。 トランスクリプトの上にある検索ボックスを使用して、特定のアクティビティやイベントを検索することもできます。

   注:

   トランスクリプトの赤い三角形はアクティビティを表します。

キャプチャしたクリップの一覧をフィルター処理する

キャプチャしたクリップ リストの上にあるフィルターを使用して、特定のアクティビティと情報をフィルター処理できます。 各フィルターでは最大 10 個の一意の ID がサポートされるため、たとえば、一度に最大 10 人のユーザーをフィルター処理できます。 次の表では、さまざまなフィルターについて説明します。

フィルター名	説明
ユーザー名	任意のユーザー名でフィルター処理します。
アクティビティ	フィルター処理する特定のアクティビティ ( [ファイルの印刷] や [ デバイスへのサインインに使用されたパスワードが再利用されました] など) を選択します。
デバイス名	任意のデバイス名でフィルター処理します。
URL	ドメイン名をフィルター処理するか、ドメイン名をフィルター処理した後に任意のキーワード (keyword)を検索します。 例: キーワード (keyword)として「SharePoint」と入力すると、URL 内の任意の場所に "SharePoint" を含む任意の URL が返されます。
アプリ	アプリ名でフィルター処理します。 [ すべて含む ] または [ すべて含む] をこのフィルターで選択できます。 例: [任意のものを含む ] を選択し、「Contoso.com,Contoso2.com」と入力すると、Contoso.com をキャプチャするクリップと、Contoso2.com をキャプチャする別のクリップを作成できます。 [すべて含む] を選択し、「Contoso.com,Contoso2.com」と入力した場合、キャプチャには両方のドメインを含める必要があります。
アクティブウィンドウのタイトル	アクティブなウィンドウ タイトルをフィルター処理します。 [ すべて含む ] または [ すべて含む] を選択して、 アプリ フィルターと同じ方法でフィルター処理できます。

クリップの削除

Insider Risk Management の調査担当者ロール グループに割り当てられたユーザーは、キャプチャされたクリップの一覧から個々のクリップを削除できます。 これを行うには、次の手順を実行します。

1. キャプチャの横にある [チェック] ボックスを選択します。
2. [ 削除 ] (ごみ箱) ボタンを選択します。

Insider Risk Management Admins ロール グループに割り当てられたユーザーは、設定を使用して一括削除を実行できます。

一括削除を行う

使用しているポータルの適切なタブを選択します。 Microsoft Purview ポータルの詳細については、 Microsoft Purview ポータルに関するページを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

Microsoft Purview ポータル

1. Insider Risk Management Admins ロール グループのメンバーとして Microsoft Purview ポータルにサインインします。
2. Insider Risk Management ソリューションに移動します。
3. 左側のナビゲーションで [ フォレンジック証拠 ] を選択し、[ フォレンジック証拠の設定] を選択します。
4. [ 管理者または調査担当者によるフォレンジック ユーザー データの削除を許可する] オプションが [オン] に設定されていることを確認します。
5. [ ユーザーのデータの削除 ] で、[ ユーザーの選択] を選択し、クリップを削除するユーザーを選択します。

コンプライアンス ポータル

1. Insider Risk Management Admins ロール グループのメンバーとしてMicrosoft Purview コンプライアンス ポータルにサインインします。
2. Insider Risk Management ソリューションに移動します。
3. フォレンジック証拠>のフォレンジック証拠の設定に移動します。
4. [ 管理者または調査担当者によるフォレンジック ユーザー データの削除を許可する] オプションが [オン] に設定されていることを確認します。
5. [ ユーザーのデータの削除 ] で、[ ユーザーの選択] を選択し、クリップを削除するユーザーを選択します。

重要

フォレンジック証拠クリップは、キャプチャされてから 120 日後に削除されます。 フォレンジック証拠クリップは、削除する前にエクスポートまたは転送できます。

アラート ダッシュボード

ポリシーによって生成されたアラートについては、アラート ダッシュボードの [フォレンジック証拠] タブで フォレンジック証拠 キャプチャ を 確認できます。 アラートに対して 1 つ以上のキャプチャを使用できる場合は、アラート ヘッダー セクションを生成するアクティビティに [フォレンジック証拠 通知の表示] リンクも表示されます。 通知リンクまたは [フォレンジック証拠 ] タブを選択して、アクティビティ キャプチャの一覧を確認できます。

フォレンジック証拠キャプチャを含む可能性のある危険なアクティビティに関するアラートの確認は、基本的にフォレンジック証拠キャプチャなしでアラートを確認する場合と同じです。 大きな違いは、該当するキャプチャを含めることです。 [ フォレンジック証拠 ] タブでは、アラートに関連付けられている使用可能なすべてのキャプチャにアクセスできます。

ケース ダッシュボード

アラートがケースにエスカレートされた場合、関連するすべてのフォレンジック証拠キャプチャがケースの一部として含まれます。 ケースのフォレンジック証拠キャプチャの確認は、アラートのキャプチャを確認するのと同じプロセスに従います。

ユーザー アクティビティ レポート

ユーザー アクティビティ レポートを使用すると、内部リスク管理ポリシーに一時的または明示的に割り当てることなく、定義された期間の特定のユーザーのアクティビティを調べることができます。 これらのユーザー アクティビティにフォレンジック証拠キャプチャでサポートされるアクティビティが含まれている場合、クリップはユーザー アクティビティに含まれます。

フォレンジック証拠ポリシーに含まれているかどうかに関係なく、セキュリティ関連のすべてのユーザー アクティビティをキャプチャするようにフォレンジック証拠を構成した場合は、これらのキャプチャを確認します。

1. [Insider risk managementOverview]\(インサイダー リスク管理>の概要\) を選択します。
2. [概要] 画面の下部にある [ユーザー アクティビティの調査] で、[レポートの管理] を選択します。
3. 特定のユーザーを選択し、[ フォレンジック証拠 ] タブを選択します。
4. 上記の手順を参照してください。

デバイス正常性レポート (プレビュー)

フォレンジック証拠をサポートするようにデバイスを構成した後、Insider リスク管理>フォレンジック証拠>デバイスの正常性に移動することで、organization内のすべてのデバイスの Microsoft Purview クライアントの正常性状態を確認できます。

デバイスと構成の最小要件の一覧については、「 フォレンジック証拠の詳細」を参照してください。 サポートされているデバイスをオンボードするには、Microsoft 365 の概要に関する記事「Windows 10とデバイスのWindows 11のオンボード」で説明されている手順を完了します。

デバイス正常性レポートを使用すると、フォレンジック証拠エージェントがインストールされているすべてのデバイスの状態と正常性を表示できます。 レポートの各レポート ウィジェットには、過去 24 時間の情報が表示されます。

• [オンライン デバイス]: 現在オンラインになっているデバイスの合計数。
• [デバイスがオフライン]: 現在オフラインになっているデバイスの合計数。
• 警告があるデバイス: 警告が表示されたデバイスの合計数。
• エラーがあるデバイス: エラーが発生したデバイスの合計数。

デバイス正常性キューには、organizationのフォレンジック証拠用に構成されているすべてのデバイスが一覧表示されます。 さらに、レポートには、次のデバイス属性の状態が一覧表示されます。

• デバイス名: デバイスの ComputerName 属性によって定義されたデバイスの名前。
• デバイスの状態: デバイス上の Microsoft Purview クライアントの状態。 状態の値は次のとおりです。
  • 正常: デバイス上のクライアントが正常に動作しており、フォレンジック証拠キャプチャ機能が完全にサポートされています。
  • 警告: デバイス上のクライアントに警告があり、フォレンジック証拠キャプチャ機能が完全にサポートされていない可能性があります。
  • エラー: デバイス上のクライアントにエラーがあり、フォレンジック証拠キャプチャ機能が無効になっているか、完全にサポートされていません。
• 状態の詳細: デバイスの状態に関する詳細情報。
• 最終同期 (UTC): デバイスの最後の状態同期の日付と時刻。
• ユーザー名: 状態同期が実行されたときにデバイスにログインしたユーザーのユーザー名。
• Windows バージョン: デバイスにインストールされている Microsoft Windows のバージョン。
• クライアント バージョン: デバイスにインストールされている Microsoft Purview クライアントのバージョン。

デバイスの正常性状態は、デバイスと Microsoft Purview クライアントに関する潜在的な問題に関する分析情報を提供します。 [デバイスの正常性] ページの [デバイスの状態] 列では、ユーザー アクティビティのキャプチャを妨げる可能性があるデバイスの問題や、フォレンジック証拠のキャプチャ量が異常な理由を警告できます。 デバイスの正常性状態は、フォレンジック証拠のキャプチャに含まれるデバイスが正常であり、注意や構成の変更を必要としないことを確認することもできます。 次の表に、警告とエラーに対処するために実行できる可能性のある状態の詳細メッセージと推奨されるアクションを示します。

状態の詳細	状態	推奨されるアクション
内部サーバー エラーが発生しました。 その結果、キャプチャ データが見つからない可能性があります。	Error	詳細な調査のために Microsoft でサポート チケットを作成する
アップロード帯域幅がこのデバイスで構成されている制限の 90% に達しました。 キャプチャは間もなく上書きされる可能性があります。	警告	[フォレンジック証拠の設定] ページでアップロード帯域幅の制限を増やします。
構成されたアップロード帯域幅の制限にこのデバイスで達しました。 その日のキャプチャはこれ以上アップロードされません。	Error	[フォレンジック証拠の設定] ページでアップロード帯域幅の制限を増やします。
オフライン ストレージは、このデバイスで構成されている制限の 90% に達しています。 キャプチャは間もなく上書きされる可能性があります。	警告	[フォレンジック証拠の設定] ページで、オフライン キャプチャ キャッシュの制限を増やします。
このデバイスで、構成されたオフライン ストレージの制限に達しました。 その結果、オフライン キャプチャが上書きされます。	Error	[フォレンジック証拠の設定] ページで、オフライン キャプチャ キャッシュの制限を増やします。
デバイスの CPU 使用率が最大しきい値を超えています。	Error	キャプチャ プロセスが停止し、数分後に再起動します。
デバイスのメモリ使用量が最大しきい値を超えています。	Error	キャプチャ プロセスが停止し、数分後に再起動します。
デバイスでの GPU 使用率が最大しきい値を超えています。	Error	キャプチャ プロセスが停止し、数分後に再起動します。
デバイスにインストールされている Microsoft Purview クライアントは、フォレンジック証拠ポリシーと同期できません。	警告	ネットワークに接続 & クライアントを再インストールする
デバイスにインストールされている Microsoft Purview クライアントが、24 時間以上フォレンジック証拠ポリシーと同期されていません。	Error	ネットワークに接続 & クライアントを再インストールする
Microsoft Purview クライアントは、このデバイスでグラフィックス カードが検出されないため、アクティビティをキャプチャできません。	Error	グラフィックス カードを追加するか、デバイスをグラフィックス カードを持つデバイスに置き換えます
このデバイスでディスプレイ モニターが検出されないため、Microsoft Purview クライアントはアクティビティをキャプチャできません。	Error	このデバイスのディスプレイ モニターを追加する
このデバイスのディスプレイ モニターがオフまたは切断されたため、Microsoft Purview クライアントはアクティビティをキャプチャできません。	Error	デバイスのディスプレイ モニターを接続/オンにする
デバイスは、フォレンジック証拠キャプチャを格納するディレクトリにアクセスできません。	Error	このデバイスにクライアントを再インストールする
エンコーダーの初期化に失敗しました。	Error	このデバイスにクライアントを再インストールします。

推奨されるアクションでクライアントの問題が解決されない場合は、Microsoft サポートにお問い合わせください。

容量と課金

フォレンジック証拠が構成されている場合は、キャプチャしたクリップの Insider Risk Management のフォレンジック証拠アドオンを購入することを選択できます。 アドオンは、Microsoft 365 E5、Microsoft 365 E5 Compliance、Microsoft 365 E5 Insider Risk Management のいずれかのライセンスを持つ組織で使用できます。

組織は、1 か月あたり 100 GB 単位でアドオンを購入できます。 購入容量は、購入日から始まり、月の最初にリセットされるフォレンジック証拠の取り込みに適用されます。 未使用の容量は引き継がれない。 ライセンスの価値を最大化するには、月の初めにライセンスを購入することをお勧めします。 100 GB は、1080p のビデオ解像度で、テナントあたり約 1,100 時間のフォレンジック証拠キャプチャとほぼ同じです。 容量計算ツールをダウンロードして、1 か月に必要な GB の数を見積もることができます。

フォレンジック証拠が取り込まれると、120 日間保持されます。 必要に応じて、120 日間の保持期間の後にフォレンジック証拠をエクスポートできます。

支払いプラン

Microsoft 365 管理センターを使用してアドオンを購入する場合、次の 2 つの支払いプランを利用できます。

• 年払い (すべてのチャネルで利用可能)。 年間コミットメント オプションを使用すると、毎月指定したライセンス数を 12 か月間購入できます。 これは、中断することなくフォレンジック証拠を取り込むための容量を毎月確保したいお客様に適しています。 この支払いプランでは、毎月購入したライセンス数が自動的に補充されます。 購入容量は、購入日から始まり、月の最初にリセットされるフォレンジック証拠の取り込みに適用されます。 未使用の容量は引き継がれない。 顧客は、1 回の請求を選択するか、請求書を 12 か月の支払いに分割することができます。
• 毎月の支払い (Web ダイレクトでのみ利用可能)。 年間コミットメントを行いたくない場合は、毎月必要なライセンスの数を購入できます。 購入容量は、購入日から始まり、月の最初にリセットされるフォレンジック証拠の取り込みに適用されます。 未使用の容量は引き継がれない。

フォレンジック機能を購入する前に試すことができますか?

Microsoft 365 E5、Microsoft 365 E5 Compliance、または Microsoft 365 E5 Insider Risk Management ライセンスを持つ各テナントは、20 GB の試用版ライセンスにサインアップして、フォレンジック証拠機能を試すことができます。

注:

20 GB の試用版ライセンスは、従来のコマース プラットフォームのお客様のみが利用できます。

試用版ライセンスで利用できる 20 GB の容量には時間制限がないため、20 GB を使い切るまで使用できます。 1 年間で完全な 20 GB を使い切らない場合は、再アクティブ化できます。 試用版容量を使用する前にフォレンジック証拠アドオン ライセンスを購入した場合、システムが購入した容量の測定を開始する前に、残りの試用版容量を使用できます。

20 GB の試用版容量を使い切り、その後 Insider Risk Management のフォレンジック アドオンを購入しない場合は、既に取り込んだクリップを表示できますが、新しいクリップを取り込むことはできません。

20 GB 試用版ライセンスにサインアップする

使用しているポータルの適切なタブを選択します。 Microsoft Purview ポータルの詳細については、 Microsoft Purview ポータルに関するページを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

Microsoft Purview ポータル

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。

2. Insider Risk Management ソリューションに移動します。

3. 左側のナビゲーションで [ フォレンジック証拠 ] を選択し、[ 容量と課金] を選択します。

   注:

   また、Insider リスク管理>の [フォレンジック証拠>ダッシュボード] タブから試用版ライセンスにサインアップすることもできます。

4. [ 要求 20 GB の容量] を選択します。

5. Microsoft 365 管理センターの指示に従います。

コンプライアンス ポータル

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用してコンプライアンス ポータルにサインインします。

2. Insider Risk Management ソリューションに移動します。

3. フォレンジック証拠>の容量と課金に移動します。

   注:

   また、Insider リスク管理>の [フォレンジック証拠>ダッシュボード] タブから試用版ライセンスにサインアップすることもできます。

4. [ 要求 20 GB の容量] を選択します。

5. Microsoft 365 管理センターの指示に従います。

Insider Risk Management のフォレンジック アドオンを購入する

1. [Microsoft 365 管理センター>Marketplace>All products] に移動します。
2. "フォレンジック証拠" のSearch。

容量を分析する

容量を購入 (または 20 GB 試用版ライセンスにサインアップ) した後、[ 容量 ] ページを使用して、使用した容量と残りの容量を分析できます。 また、[容量使用量 (GB)] の一覧から選択するか、[すべての容量 使用量 を表示] を選択して、毎月使用している 容量の量を分析することもできます。

注:

コマース プラットフォームには、 従来の課金プラットフォームと最新の課金プラットフォームがあります。 インサイダー リスク管理の課金は、最新の課金プラットフォームと連携するように設計されています。 購入容量は、毎月のフォレンジック証拠の取り込みによって適用されます。購入日から始まり、毎月最初にリセットされます。 購入した容量は、その月に完全に使用でき、翌月の最初にリセットされます。 ライセンスの有効期限が切れるまで、引き続き容量を使用できます。