インサイダー リスクの管理。

重要

Microsoft Purview インサイダー リスク管理は、IP の盗難、データの漏洩、セキュリティ違反など、悪意のある、または不注意の可能性のあるインサイダー リスクを特定するために、さまざまな信号を関連付けます。 Insider Risk Management を使用すると、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシーを設計して構築されたユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するためにロールベースのアクセス制御と監査ログが用意されています。

インサイダー リスク管理ポリシーには、範囲内のユーザーとアラートに設定されているリスク インジケーターの種類が定義されています。 組織内のすべてのユーザーに適用されるセキュリティ ポリシーをすばやく作成したり、ポリシーの管理のために個々のユーザーまたはグループを定義したりできます。 ポリシーは、複数または特定の Microsoft Teams、SharePoint サイト、データの秘密度レベルの種類、およびデータ ラベルにポリシー条件をフォーカスするためのコンテンツの優先度をサポートしています。 テンプレートを使用すると、特定のリスク インジケーターを選択し、ポリシー インジケーター用にイベントのしきい値をカスタマイズし、リスク スコア、リスク レベルと頻度を効果的にカスタマイズできます。

また、最新の分析の結果に基づいてポリシー条件を自動的に定義するユーザー ポリシーを削除することで、クイック データ 漏洩ポリシーとデータ盗難ポリシーを構成することもできます。 また、リスク スコア ブースターと異常検出は、重要度が高い、または異常なリスクの可能性のあるユーザー アクティビティを特定するのに役立ちます。 ポリシー ウィンドウを使用すると、ポリシーを適用してアクティビティにアラートを発する期間を定義することができます。また、一度アクティブ化されたポリシーの期間を決定することもできます。

組み込みのポリシー テンプレートを使用して作成されたポリシーが潜在的なリスクに迅速に対処する方法の概要については、 Insider リスク管理ポリシーの構成ビデオ を参照してください。

ヒント

E5 のお客様でない場合は、Microsoft Purview のすべてのプレミアム機能を無料で試すことができます。 90 日間の Purview ソリューション試用版を使用して、堅牢な Purview 機能が組織がデータのセキュリティとコンプライアンスのニーズを管理するのにどのように役立つかを調べます。 Microsoft Purview コンプライアンス ポータル試用版ハブから今すぐ開始します。 サインアップと試用版の条件の詳細について説明します。

ポリシー ダッシュボード

[ポリシー] ダッシュボードを使用すると、組織内のポリシー、ポリシーの正常性をすばやく確認したり、セキュリティ ポリシーにユーザーを手動で追加したり、各ポリシーに関連付けられているアラートの状態を表示したりできます。

  • ポリシー名: ポリシー ウィザードでポリシーに割り当てられた名前。
  • 状態: 各ポリシーの正常性状態。 ポリシーの警告と推奨事項の数、または問題のないポリシー [正常性] の状態が表示されます。 ポリシーを選択すると、警告または推奨事項の正常性状態の詳細を表示できます。
  • アクティブなアラート: 各ポリシーのアクティブなアラートの数。
  • 確認されたアラート: 過去 365 日間にポリシーから発生したアラートの合計数。
  • アラートに対して実行されたアクション: 過去 365 日間に確認または却下されたアラートの合計数。
  • ポリシー アラートの有効性: 確認されたアラートの合計によって決定される割合を、アラートに対して実行された合計アクションで割った割合 (過去 1 年間に確認または却下されたアラートの合計)。

インサイダー リスク管理ポリシーのダッシュボード

分析からのポリシーの推奨事項

インサイダー リスク分析では、セキュリティとコンプライアンスに関連する匿名化されたユーザー アクティビティの集計ビューが提供され、インサイダー リスク ポリシーを構成することなく、組織内の潜在的なインサイダー リスクを評価できます。 この評価は、組織がリスクの高い潜在的な領域を特定するのに役立ち、構成を検討する可能性のあるインサイダー リスク管理ポリシーの種類と範囲を決定するのに役立ちます。 ユーザー ポリシーを逸脱して データ リークデータ盗難 の分析スキャン結果に対処する場合は、これらの結果に基づいて迅速なポリシーを構成することもできます。

インサイダー リスク分析とポリシーの推奨事項の詳細については、「 Insider リスク管理設定: 分析」を参照してください。

多くの組織にとって、最初のポリシーの使用を開始することは困難な場合があります。 インサイダー リスク管理を初めて行い、推奨されるアクションを使用して作業を開始する場合は、 一般的なデータ 漏洩またはデータ の盗難を迅速に行うために、 ユーザーポリシーを逸脱して 迅速にポリシーを構成できます。 クイック ポリシー設定は、組織内の最新の分析スキャンの結果に基づいて自動的に設定されます。 たとえば、チェックで潜在的なデータ リーク アクティビティが検出された場合、クイック ポリシーには、それらのアクティビティを検出するために使用されるインジケーターが含まれます。

開始するには、クイック ポリシー設定を確認し、1 つの選択でポリシーを構成します。 クイック ポリシーをカスタマイズする必要がある場合は、初期構成中またはポリシーの作成後に条件を変更できます。 また、ポリシー警告が発生するたびに、またはポリシーによって重大度の高いアラートが生成されるたびに電子メール通知を構成することで、クイック ポリシーの検出結果を最新の状態に保つことができます。

ポリシー テンプレート

インサイダー リスク管理テンプレートは、ポリシーによって監視されるリスク指標の種類を定義する、事前に定義されたポリシー条件です。 ポリシーを作成する前に、各ポリシーにポリシー作成ウィザードでテンプレートが割り当てられている必要があります。 インサイダー リスク管理では、各ポリシー テンプレートに対して最大 5 つのポリシーをサポートします。 ポリシー ウィザードを使用して新しいインサイダー リスク ポリシーを作成する場合は、次のいずれかのポリシー テンプレートから選択します。

離職するユーザーによるデータ盗難

ユーザーが組織を離れるとき、通常、ユーザーを離れることによるデータの盗難の可能性に関連する特定のリスク インジケーターがあります。 このポリシー テンプレートでは、リスクのスコアリングに抜粋のインジケーターを使用し、このリスク領域の検出とアラートに重点を当てにします。 離職するユーザーによるデータ盗難には、離職が近づく時期と離職日に、SharePoint Online からのファイルのダウンロード、ファイルの印刷、個人のクラウド メッセージングやストレージ サービスへのデータのコピーなどがあり得ます。 Microsoft HR コネクタまたはオプションを使用して、組織の Azure Active Directory でユーザー アカウントの削除を自動的にチェックすることで、このテンプレートは、これらのアクティビティに関連するリスク インジケーターと、ユーザーの雇用状態との関連付け方法のスコア付けを開始します。

重要

このテンプレートを使用すると、Microsoft 365 HR コネクタが組織内のユーザーの離職と最終日の情報を定期的にインポートするように構成できます。 Microsoft 365 HR コネクタを構成するための詳細なガイダンスについては、 HR コネクタを使用したデータのインポート に関する記事を参照してください。 HR コネクタを使用しない場合は、ポリシー ウィザードでトリガー イベントを構成するときに、[Azure Active Directory から削除されたユーザー アカウント] オプションを選択する必要があります。

データ漏えい

データの保護とデータ リークの防止は、ほとんどの組織にとって絶え間ない課題です。特に、ユーザー、デバイス、サービスによって作成された新しいデータが急速に増加します。 データ漏洩の管理をますます複雑で困難にさせているサービスやデバイス全体で、ユーザーはサービスやデバイス全体で情報の作成、保存、共有を行う権限を持ってます。 データ漏えいには、組織外での情報の偶発的な過度の共有や、悪意を持ったデータの盗用が含まれます。 割り当てられたMicrosoft Purview データ損失防止 (DLP) ポリシー、組み込み、またはカスタマイズ可能なトリガー イベントを使用して、このテンプレートは、疑わしい SharePoint Online データのダウンロード、ファイルとフォルダーの共有、ファイルの印刷、個人用クラウド メッセージングおよびストレージ サービスへのデータのコピーのリアルタイム検出のスコア付けを開始します。

データ漏洩 テンプレートを使用する場合、DLP ポリシーを割り当て、組織内の重要度が高いアラートのインサイダー リスク ポリシーのインジケーターをトリガーすることができます。 DLP ポリシー ルールによって重大度 High のアラートが生成されるたびに、Office 365 監査ログに追加されると、このテンプレートで作成されたインサイダー リスク ポリシーは、重大度の高い DLP アラートを自動的に検証します。 アラートにインサイダー リスク ポリシーで定義された範囲内のユーザーが含まれている場合、アラートはインサイダー リスク ポリシーによって新しいアラートとして処理され、Insider リスクの重大度とリスク スコアが割り当てられます。 選択したインジケーターをポリシーのトリガー イベントとして割り当てることもできます。 この柔軟性とカスタマイズは、インジケーターの対象となるアクティビティのみにポリシーのスコープを設定するのに役立ちます。 このポリシーを使用すると、ケースに含まれる他のアクティビティとコンテキストでこのアラートを評価することができます。

データ漏洩ポリシーのガイドライン

インサイダー リスク管理ポリシーで使用するデータ損失防止ポリシーを作成または変更する場合は、次のガイドラインを考慮してください。

  • DLP ポリシーでルールを構成するときに、データ流出イベントを優先順位付けし インシデント レポート 設定を High に割り当てるのを選択的にします。 たとえば、機密性の高いドキュメントを既知の競合他社にメールで送信するには、 High アラート レベルの流出イベントとする必要があります。 インシデント レポート の設定で High レベルを他の DLP ポリシー ルールに割り当て過ぎた場合、インサイダー リスク マネジメント アラート ワークフローのノイズが増える可能性があります。また、データ分析者がこれらのアラートを適切に評価するのが難しくなります。 たとえば、DLP ポリシーに High アラート レベルを割り当てると、本当に危険なユーザーの動作とアクティビティを評価するのが難しくなります。

  • DLP ポリシーをトリガー イベントとして使用する場合は、DLP とインサイダーの両方のリスク管理ポリシーでスコープ内ユーザーを理解し、適切に構成してください。 データ漏洩 テンプレートを使用して、インサイダー リスク管理ポリシーの範囲として定義されているユーザーに対してだけ、重大度の高い DLP ポリシーのアラートが処理されます。 さらに、重大度の高い DLP アラートのルールでスコープ内として定義されたユーザーのみが、考慮のためにインサイダー リスク管理ポリシーによって分析されます。 DLP と Insider の両方のリスク ポリシーでスコープ内ユーザーを無意識のうちに競合する方法で構成しないようにすることが重要です。

    たとえば、DLP ポリシー ルールのスコープが営業チームのユーザーのみに限定され、 データ リーク テンプレートから作成されたインサイダー リスク ポリシーによってすべてのユーザーがスコープ内として定義されている場合、インサイダー リスク ポリシーは、営業チームのユーザーに対する重大度の高い DLP アラートのみを処理します。 この場合、インサイダー リスク ポリシーは、この例で DLP ルールで定義されていない処理対象のユーザーについての高重大度の DLP アラートを受け取れなくなります。 逆に、データ漏洩 テンプレートから作成されたインサイダー リスク ポリシーで営業チームだけを範囲に含めており、割り当てられた DLP ポリシーがすべてのユーザーを範囲内として定義されている場合、インサイダー リスク ポリシーは、営業チームのユーザーに対する高重大度の DLP アラートのみを処理することになります。 この場合、インサイダー リスク管理ポリシーでは、営業チームではないすべてのユーザーに対して重要度の高い DLP 警告を無視してしまいます。

  • このインサイダー リスク管理テンプレートに使う DLP ポリシー設定での インシデント レポート のルール設定が重大度 High のアラートに設定されていることを確認してください。 重大度 High は、イベントをトリガーするもので、インサイダー リスク管理のアラートは、インシデント レポート フィールドが Low または Mediumに設定された DLP ポリシーのルールからは生成されません。

    DLP ポリシー アラート設定。

    注:

    組み込みテンプレートを使用して新しい DLP ポリシーを作成する場合は、[高度な DLP ルールを作成またはカスタマイズする] オプションを選択して、のHigh 重大度レベルの [インシデント レポート] 設定を構成する必要があります。

データ リーク テンプレートから作成された各インサイダー リスク管理ポリシーには、このトリガー イベント オプションを使用する場合に割り当てることができる DLP ポリシーは 1 つだけです。 データ リーク テンプレートを使用するインサイダー リスク ポリシーのイベントを検出してトリガーする役割を果たしたいさまざまなアクティビティを組み合わせた専用の DLP ポリシーを作成することを検討してください。

組織の DLP ポリシーを構成する方法については、「DLP ポリシーの作成、テスト、調整」の記事をご覧ください。

優先度の高いユーザーによるデータ漏洩 (プレビュー)

組織内のユーザーのデータを保護し、データの漏洩を防ぐ方法は、機密情報へのアクセス レベル、リスク履歴によって異なる場合があります。 データ漏洩には、組織外での情報の偶発的な過度の共有や、悪意のあるデータの盗難が含まれます。 トリガー イベント オプションとして割り当てられたデータ損失防止 (DLP) ポリシーを使用すると、このテンプレートは疑わしいアクティビティのリアルタイム検出のスコア付けを開始し、その結果、重大度レベルが高いインサイダー リスク アラートとアラートの可能性が高まります。 優先度のユーザーは、インサイダー リスク管理設定領域で 優先ユーザー グループ として定義されます。

データ リーク テンプレートと同様に、DLP ポリシーを選択して、組織内の重大度の高いアラートのインサイダー リスク ポリシーのインジケーターをトリガーできます。 このテンプレートを使用する場合は、DLP オプションを使用してポリシーを作成するときに、DLP ポリシーのデータ リーク ポリシー ガイドラインに従ってください。 選択したインジケーターをポリシーのトリガー イベントとして割り当てることもできます。 この柔軟性とカスタマイズは、インジケーターの対象となるアクティビティのみにポリシーのスコープを設定するのに役立ちます。 さらに、Insider リスク管理>設定>で作成された優先度ユーザー グループ優先度ユーザー グループをポリシーに割り当てる必要があります。

危険なユーザーによるデータ リーク (プレビュー)

ユーザーが雇用ストレッサーを経験すると、リスクの高いユーザーになる可能性があり、インサイダー リスク アクティビティの可能性が高まる可能性があります。 このテンプレートは、危険なユーザーに関連付けられているインジケーターが識別されると、ユーザー アクティビティのスコア付けを開始します。 たとえば、パフォーマンス向上の通知、パフォーマンスの低いレビュー、ジョブ レベルの状態の変更、またはリスク アクティビティを通知する可能性のある電子メールやその他のメッセージなどがあります。 リスクの高いユーザーのデータ リークには、SharePoint Online からファイルをダウンロードし、個人のクラウド メッセージングおよびストレージ サービスにデータをコピーすることが含まれる場合があります。

このテンプレートを使用する場合は、HR コネクタを構成するか、ユーザー メッセージからの 通信コンプライアンス リスク信号を統合 するオプションを選択するか、両方を選択する必要があります。 HR コネクタを使用すると、組織内のユーザーのパフォーマンス向上通知、パフォーマンスレビューの状態の低下、またはジョブ レベルの変更情報を定期的にインポートできます。 コミュニケーション コンプライアンス リスク統合は、潜在的に脅威、嫌がらせ、または差別的なテキスト コンテンツを含む可能性のあるユーザー メッセージのシグナルをインポートします。 コミュニケーション コンプライアンスで生成された関連アラートは、インサイダー リスク管理ポリシーと統合するために、状態をトリアージ、修復、または変更する必要はありません。

HR コネクタを構成するには、HR コネクタを 使用したデータのインポートに関する記事を 参照してください。 通信コンプライアンスとの統合を構成するには、ポリシーを構成するときにウィザードでこのオプションを選択します。

セキュリティ ポリシー違反 (プレビュー)

多くの組織では、ユーザーは自分のデバイスにソフトウェアをインストールしたり、タスクに役立つデバイスの設定を変更したりする権限を持っています。 誤って、または悪意のあるユーザーが、マルウェアをインストールしたり、デバイスやネットワーク リソースの情報を保護するのに役立つ重要なセキュリティ機能を無効にしたりする可能性があります。 このポリシー テンプレートでは、Microsoft Defender for Endpoint からのセキュリティ アラートを使用して、これらのアクティビティのスコアを開始し、このリスク領域へのフォーカス検出とアラートを開始します。 このテンプレートを使用して、インサイダー リスクの可能性があるセキュリティー ポリシー違反履歴をしているかもしれないシナリオで。セキュリティー ポリシー違反に関する分析情報を得られます。

セキュリティ違反警告をインポートするには、組織に Microsoft Defender for Endpoint を構成し、Defender セキュリティ センターで Microsoft Defender for Endpoint とインサイダー リスク管理統合を有効にする必要があります。 インサイダー リスク管理統合のために Microsoft Defender for Endpoint を構成する方法の詳細については、「Microsoft Defender for Endpoint で高度な機能を構成する」を参照してください。

患者データの誤用 (プレビュー)

医療記録データの保護と患者の個人データの誤用の防止は、医療業界の組織にとって大きな懸念事項です。 この誤用には、承認されていない人への機密データ漏洩、患者記録の不正な変更、または患者の医療記録の盗難が含まれる場合があります。 この患者データの誤用を防止することは、ユーザーによる認識、過失、または詐欺の欠如によっても、医療保険の移植性と説明責任に関する法律 (HIPAA) と医療情報技術 (HITECH) 法の規制要件を満たす上で重要な要素です。これらの両方の行為は、患者の保護された健康情報(PHI)を保護するための要件を確立します。

このポリシー テンプレートを使用すると、既存の電子カルテ (EMR) システムでホストされているレコードに関連する疑わしいアクティビティを検出する内部ユーザーのリスク スコアリングが可能になります。 検出では、患者データの不正アクセス、表示、変更、エクスポートに焦点を当てます。 EMR システムでのアクセス、流出、または難読化アクティビティの検出をサポートするには、 Microsoft Healthcare コネクタ または Epic コネクタのコネクタ を構成する必要があります。

このテンプレートを使用する場合は、組織内のユーザーの組織プロファイル データを定期的にインポートするように Microsoft HR コネクタも構成する必要があります。 Microsoft 365 HR コネクタを構成するための詳細なガイダンスについては、HR データをインポートするためのコネクタの設定 に関する記事を参照してください。

危険なブラウザーの使用 (プレビュー)

組織のデバイスやネットワーク上の不適切または許容できない可能性のある Web サイトへのユーザーアクセスを特定することは、セキュリティ、法的、規制上のリスクを最小限に抑える上で重要な部分です。 これらの種類の Web サイトに誤ってまたは意図的にアクセスするユーザーは、組織を他のユーザーからの法的措置に公開したり、規制要件に違反したり、ネットワーク セキュリティ リスクを高めたり、現在および将来のビジネス運用や機会を危険にさらしたりする可能性があります。 この誤用は、多くの場合、ユーザー デバイスと組織のネットワーク リソースに対する組織の許容される使用ポリシーで定義されますが、多くの場合、迅速に識別して対処するのが困難です。

これらのリスクから保護するために、このポリシーは、脅威を引き起こしたサイト (フィッシング サイトなど) や成人向けコンテンツを含むサイトへのアクセスなど、組織の許容される使用ポリシーに違反している可能性がある Web 閲覧のリスク スコアリングを検出して有効にするのに役立ちます。 スコープ内ユーザーによる Web 閲覧アクティビティの自動分類には、いくつかの種類のカテゴリを使用できます。

このポリシー テンプレートを使用する場合は、いくつかの前提条件が必要です。 詳細については、「 インサイダー リスク管理ブラウザーシグナル検出の詳細と構成」を参照してください。

離職するユーザーによるセキュリティ ポリシー違反 (プレビュー)

理由がポジティブであってもネガティブであっても、離職するユーザーはセキュリティ ポリシー違反のリスクが高くなる可能性があります。 離職するユーザーの不注意または悪意のあるセキュリティ違反から保護するために、このポリシー テンプレートでは Defender for Endpoint のアラートを使用して、セキュリティ関連のアクティビティの分析情報を提供します。 これらのアクティビティとして、ユーザーによるデバイスへのマルウェアその他有害な可能性のあるアプリケーションのインストール、セキュリティ機能の無効化などがあります。 Microsoft HR コネクタまたはオプションを使用して、組織の Azure Active Directory でユーザー アカウントの削除を自動的にチェックすることで、このテンプレートは、これらのセキュリティ アクティビティに関連するリスク インジケーターと、ユーザーの雇用状態との関連付け方法のスコア付けを開始します。

組織でMicrosoft Defender for Endpoint構成し、Defenfder Security Center で Defender for Endpoint for Insider リスク管理統合を有効にして、セキュリティ違反アラートをインポートする必要があります。 インサイダー リスク管理統合のために Microsoft Defender for Endpoint を構成する方法の詳細については、「Microsoft Defender for Endpoint で高度な機能を構成する」を参照してください。

優先ユーザーによるセキュリティ ポリシー違反 (プレビュー)

組織内のユーザーのセキュリティ違反を防ぐ方法は、ユーザーの地位、機密情報へのアクセス レベル、リスク履歴によって異なる場合があります。 優先度ユーザーによるセキュリティ違反は組織の重要な領域に大きな影響を与える可能性があるため、このポリシー テンプレートはこれらのインジケーターのスコア付けを開始し、Microsoft Defender for Endpointアラートを使用して、これらのユーザーのセキュリティ関連のアクティビティに関する分析情報を提供します。 これらのアクティビティとして、優先ユーザーによるデバイスへのマルウェアその他有害な可能性のあるアプリケーションのインストール、セキュリティ機能の無効化などがあります。 優先ユーザーは、インサイダー リスク管理設定領域で優先ユーザー グループとして定義されます。

セキュリティ違反警告をインポートするには、組織に Microsoft Defender for Endpoint を構成し、Defender セキュリティ センターで Microsoft Defender for Endpoint とインサイダー リスク管理統合を有効にする必要があります。 インサイダー リスク管理統合のために Microsoft Defender for Endpoint を構成する方法の詳細については、「Microsoft Defender for Endpoint で高度な機能を構成する」を参照してください。 さらに、Insider リスク管理>設定>で作成された優先度ユーザー グループ優先度ユーザー グループをポリシーに割り当てる必要があります。

危険なユーザーによるセキュリティ ポリシー違反 (プレビュー)

就業上のストレスを経験しているユーザーには、不注意または悪意のあるセキュリティ ポリシー違反のリスクが高くなる可能性があります。 これらのストレッサーは、ユーザーがパフォーマンス向上計画に配置される動作、パフォーマンスレビューの状態の低下、現在の位置からの降格、または危険な動作を通知する可能性のある電子メールやその他のメッセージを送信するユーザーにつながる可能性があります。 このポリシー テンプレートは、こういったインジケーターおよびこれらユーザーに関するこうしたイベントに関連するアクティビティに基づいて、リスク スコアリングを開始します。

このテンプレートを使用する場合は、HR コネクタを構成するか、ユーザー メッセージからの 通信コンプライアンス リスクシグナルを統合 するオプション、またはその両方を選択する必要があります。 HR コネクタを使用すると、組織内のユーザーのパフォーマンス向上通知、パフォーマンスレビューの状態の低下、またはジョブ レベルの変更情報を定期的にインポートできます。 コミュニケーション コンプライアンス リスク統合は、潜在的に脅威、嫌がらせ、または差別的なテキスト コンテンツを含む可能性のあるユーザー メッセージのシグナルをインポートします。 コミュニケーション コンプライアンスで生成された関連アラートは、インサイダー リスク管理ポリシーと統合するために、状態をトリアージ、修復、または変更する必要はありません。 HR コネクタを構成するには、HR コネクタを 使用したデータのインポートに関する記事を 参照してください。 通信コンプライアンスとの統合を構成するには、ポリシーを構成するときにウィザードでこのオプションを選択します。

セキュリティ違反アラートをインポートするには、組織に Microsoft Defender for Endpoint を構成し、Defender セキュリティ センターで Microsoft Defender for Endpoint とインサイダー リスク管理統合を有効にする必要があります。 インサイダー リスク管理統合のために Microsoft Defender for Endpoint を構成する方法の詳細については、「Microsoft Defender for Endpoint で高度な機能を構成する」を参照してください。

ポリシー テンプレートの前提条件とトリガーとなるイベント

インサイダー リスク管理ポリシーに選択したテンプレートに応じて、トリガーとなるイベントとポリシーの前提条件は異なります。 トリガーとなるイベントは、ユーザーをインサイダー リスク マネジメント ポリシーでアクティブにするかどうかを決定する前提条件です。 ユーザーがインサイダー リスク管理ポリシーに追加されてもトリガー イベントがない場合、ユーザー アクティビティは、ユーザー ダッシュボードで手動で追加されない限り、ポリシーによって評価されません。 ポリシーの前提条件は、ポリシーがリスクの評価に必要なシグナルまたはアクティビティを受信するために必要なアイテムです。

次の表は、各インサイダー リスク管理ポリシー テンプレートから作成されたポリシーのトリガーとなるイベントと前提条件を示しています。

ポリシー テンプレート ポリシーでトリガーとなるイベント 前提条件
離職するユーザーによるデータ盗難 HR コネクタまたは Azure Active Directory アカウントの削除からの辞任または終了日インジケーター (オプション) 辞職または離職日のインジケーター用に構成された Microsoft 365 HR コネクタ
データ漏えい 重大度 High のアラートを作成する、または組み込みのデータ流出イベントのトリガーとなるデータ漏洩ポリシー アクティビティ 重大度の高いアラート用に構成された DLP ポリシー

または

カスタマイズされたトリガー インジケーター
優先ユーザーによるデータ漏洩 重大度 High のアラートを作成する、または組み込みのデータ流出イベントのトリガーとなるデータ漏洩ポリシー アクティビティ 重大度の高いアラート用に構成された DLP ポリシー

または

カスタマイズされたトリガー インジケーター

インサイダー リスク設定で構成された優先ユーザー グループ
危険なユーザーによるデータ 漏洩 - パフォーマンスの向上、パフォーマンスの低下、または人事コネクタからのジョブ レベルの変更インジケーター。
- 潜在的に脅威、嫌がらせ、または差別的な言語を含むメッセージ
不満インジケーター用に構成された Microsoft 365 HR コネクタ



コミュニケーション コンプライアンスの統合と専用の不適合ポリシー
セキュリティ ポリシー違反 Microsoft Defender for Endpointによって検出されたセキュリティ制御または不要なソフトウェアの防御回避 アクティブな Microsoft Defender for Endpoint のサブスクリプション

構成Microsoft Defender for Endpoint Microsoft Purview コンプライアンス ポータルとの統合
患者データの誤用 EMR システムからのセキュリティ制御の防御回避

人事システムのユーザーと患者のアドレス一致インジケーター
ポリシーまたはインサイダー リスク設定で選択された医療アクセス インジケーター

アドレス一致用に構成された Microsoft 365 HR コネクタ

Microsoft Healthcare または Epic コネクタの構成
危険なブラウザーの使用 選択した 1 つ以上の閲覧インジケーターに一致するセキュリティに関連するユーザー閲覧アクティビティ ブラウザー信号検出に関する記事の前提条件の完全な一覧を参照してください
離職するユーザーによるセキュリティ ポリシー違反 HR コネクタまたは Azure Active Directory アカウントの削除からの辞職または離職日のインジケーター (オプション) 辞職または離職日のインジケーター用に構成された Microsoft 365 HR コネクタ

アクティブな Microsoft Defender for Endpoint のサブスクリプション

構成Microsoft Defender for Endpoint Microsoft Purview コンプライアンス ポータルとの統合
優先ユーザーによるセキュリティ ポリシー違反 Microsoft Defender for Endpointによって検出されたセキュリティ制御または不要なソフトウェアの防御回避 アクティブな Microsoft Defender for Endpoint のサブスクリプション

構成Microsoft Defender for Endpoint Microsoft Purview コンプライアンス ポータルとの統合

インサイダー リスク設定で構成された優先ユーザー グループ
危険なユーザーによるセキュリティ ポリシー違反 - パフォーマンスの向上、パフォーマンスの低下、または人事コネクタからのジョブ レベルの変更インジケーター。
- 潜在的に脅威、嫌がらせ、または差別的な言語を含むメッセージ
リスク インジケーター用に構成された Microsoft 365 HR コネクタ



コミュニケーション コンプライアンスの統合と専用のリスクの高いユーザー ポリシー

および

アクティブな Microsoft Defender for Endpoint のサブスクリプション

構成Microsoft Defender for Endpoint Microsoft Purview コンプライアンス ポータルとの統合

ポリシー内のコンテンツの優先化

インサイダー リスク管理ポリシーでは、コンテンツの保存場所、コンテンツの種類、またはコンテンツの分類方法に応じて、コンテンツの優先度を高く指定することがサポートされています。 また、ポリシーによって検出されたすべてのアクティビティにリスク スコアを割り当てるか、優先度の高いコンテンツを含むアクティビティにのみリスク スコアを割り当てるかを選択することもできます。 コンテンツを優先と指定すると、関連するアクティビティのリスク スコアが高くなります。その結果、重大度 High のアラートが生成される確率が高くなります。 ただし、関連するコンテンツに組み込みの機密情報の種類またはカスタムの機密情報の種類が含まれているか、ポリシーで優先として指定されていない限り、一部のアクティビティは通知を生成しません。

たとえば、組織に機密性の高いプロジェクト用の SharePoint 専用サイトがある場合です。 この SharePoint サイトの情報が漏洩すると、プロジェクトが侵害され、プロジェクトの成功に大きな影響を与える可能性があります。 データ漏洩ポリシーでこの SharePoint サイトを優先化すると、条件を満たすアクティビティのリスク スコアが自動的に上がっていきます。 この優先化の方法では、これらのアクティビティでインサイダー リスクのアラートが生成される可能性が高まり、アラートの重大度レベルが上がります。

さらに、このプロジェクトの優先度コンテンツのみを含む SharePoint サイト アクティビティに対して、このポリシーに焦点を当てることもできます。 リスク スコアが割り当てられ、指定されたアクティビティに優先度コンテンツが含まれている場合にのみアラートが生成されます。 優先度の高いコンテンツのないアクティビティはスコア付けされませんが、アラートが生成された場合でも確認できます。

注:

優先度コンテンツを含むアクティビティに対してのみアラートを生成するようにポリシーを構成した場合、リスク スコア ブースターに変更は適用されません。

ポリシー ウィザードでインサイダー リスク管理ポリシーを作成する場合、次の優先度から選択できます。

  • SharePoint サイト: 定義された SharePoint サイト内のすべての種類のファイルに関連付けられたすべてのアクティビティに、より高いリスク スコアが割り当てられます。 ポリシーを構成し、優先 SharePoint サイトを選択するユーザーは、アクセス許可を持つ SharePoint サイトを選択できます。 現在のユーザーがポリシーで SharePoint サイトを選択できない場合は、必要なアクセス許可を持つ別のユーザーが後でポリシーのサイトを選択するか、現在のユーザーに必要なサイトへのアクセス権を付与する必要があります。
  • 機密情報の種類: 機密情報の種類 を含むコンテンツに関連するすべてのアクティビティに、より高いリスク スコアが割り当てられます。
  • 秘密度ラベル: 秘密度ラベル を有するコンテンツに関連するすべてのアクティビティに、より高いリスク スコアが割り当てられます。
  • ファイル拡張子: 特定のファイル拡張子を持つコンテンツに関連付けられているすべてのアクティビティ。 ポリシー ウィザードで [ファイル拡張子を優先するファイル拡張子 ] を選択するデータ盗難/漏洩ポリシーを構成するユーザーは、ポリシーに優先順位を付けるために最大 50 個のファイル拡張子を定義できます。 入力された拡張機能には、優先順位付けされた拡張機能の最初の文字として '.' を含めたり省略したりできます。
  • トレーニング可能な分類子: トレーニング可能な分類子に含まれるコンテンツに関連付けられているアクティビティ。 ポリシー ウィザードで [トレーニング可能な分類子] を選択するポリシーを構成しているユーザーは、ポリシーに適用するトレーニング可能な分類子を最大 5 つ選択できます。 これらの分類子には、社会保障、クレジット カード、銀行口座番号などの機密情報のパターンを識別する既存の分類子、または組織で作成されたカスタム分類子を指定できます。

シーケンスの検出 (プレビュー)

リスク管理アクティビティは、分離されたイベントとして発生しない可能性があります。 これらのリスクは、多くの場合、大規模なイベント シーケンスの一部となっています。 シーケンスは、リスクが高まる可能性がある 2 つ以上のリスクのあるアクティビティのグループです。 これらの関連するユーザー アクティビティを特定することは、全体的なリスクを評価する上で重要な部分です。 データの盗難またはデータ 漏洩ポリシーに対してシーケンス検出が選択されると、インサイダー リスク管理ケース内の [ ユーザー アクティビティ ] タブにシーケンス情報アクティビティからの分析情報が表示されます。 次のポリシー テンプレートは、シーケンス検出をサポートしています。

  • 離職するユーザーによるデータ盗難
  • データ漏えい
  • 優先ユーザーによるデータ漏洩
  • 危険なユーザーによるデータ 漏洩

これらのインサイダー リスク管理ポリシーでは、特定のインジケーターと、それらインジケーターの発生する順序を利用して、リスクのシーケンスの各ステップを検出します。 優先ユーザー テンプレートによるデータ リークとデータ リークから作成されたポリシーの場合は、ポリシーをトリガーするシーケンスを選択することもできます。 ファイル名は、シーケンス全体でアクティビティをマッピングするときに使用します。 これらのリスクは、 4 つ主なアクティビティ カテゴリに分類されます。

  • コレクション: スコープ内のポリシー ユーザーによるダウンロード アクティビティを検出します。 リスク管理アクティビティの例としては、SharePoint サイトからファイルをダウンロードしたり、圧縮されたフォルダーにファイルを移動したりします。
  • 流出: スコープ内ポリシー ユーザーによる内部および外部ソースへの共有または抽出アクティビティを検出します。 リスク管理アクティビティの例としては、組織の添付ファイルを含むメールを外部の受信者に送信する方法があります。
  • 難読化: スコープ内のポリシー ユーザーによるリスクの可能性のあるアクティビティのマスクを検出します。 リスク管理アクティビティの例としては、デバイス上のファイルの名前の変更、SharePoint ファイルでの秘密度ラベルの削除またはダウングレードなどがあります。
  • クリーンアップ: スコープ内のポリシー ユーザーによる削除アクティビティを検出します。 リスク管理アクティビティの例としては、デバイスからのファイルの削除が含まれます。

注:

シーケンス検出では、インサイダー リスク管理のグローバル設定で有効になっているインジケーターが使用されます。 適切なインジケーターが選択されていない場合は、ポリシー ウィザードのシーケンス検出手順でこれらのインジケーターを有効にすることができます。

ポリシーで構成されている場合、シーケンス検出の種類ごとに個別のしきい値の設定をカスタマイズできます。 これらのしきい値設定は、シーケンスの種類に関連付けられているファイルの量に基づいてアラートを調整します。

[ユーザー アクティビティ] 管理] ビューでのシーケンス検出の詳細については、「インサイダー リスク管理ケース: ユーザー アクティビティ」をご覧ください。

累積流出検出 (プレビュー)

プライバシーを既定でオンにすると、インサイダー リスク インジケーターは、インサイダー リスク ポリシーのスコープ内のユーザーに対して毎日評価される異常なレベルのリスク アクティビティを特定するのに役立ちます。 累積流出検出では、機械学習モデルを使用して、ユーザーが一定の時間にわたって実行する流出アクティビティが、複数の流出アクティビティの種類で過去 30 日間に組織内のユーザーによって実行された通常の量を超える場合に識別するのに役立ちます。 たとえば、ユーザーが過去 1 か月間にほとんどのユーザーよりも多くのファイルを共有した場合、このアクティビティは検出され、累積流出アクティビティとして分類されます。

インサイダー リスク管理アナリストと調査担当者は、累積的な流出検出分析情報を使用して、通常 はアラート を生成しない可能性がありますが、組織の一般的な機能を上回る流出アクティビティを特定するのに役立ちます。 一部の例では、ユーザーが一連の日数にわたってデータを徐々に流出させたり、ユーザーが組織のデータ共有のために通常よりも多くの複数のチャネル間でデータを繰り返し共有したり、ピア グループと比較したりすることがあります。

注:

既定では、累積流出検出では、組織の規範と比較して、ユーザーの累積流出アクティビティに基づいてリスク スコアが生成されます。 [Insider リスク管理設定] ページの [ポリシー インジケーター] セクションで、累積流出検出オプションを有効にすることができます。 より高いリスク スコアは、SharePoint サイト、機密情報の種類、および秘密度ラベルがポリシーの優先度コンテンツとして構成されているコンテンツ、またはMicrosoft Purview 情報保護で優先度が高いラベルが構成されたアクティビティに対する累積流出アクティビティに割り当てられます。

次のポリシー テンプレートを使用すると、既定で累積流出検出が有効になります。

  • 離職するユーザーによるデータ盗難
  • データ漏えい
  • 優先ユーザーによるデータ漏洩
  • 危険なユーザーによるデータ 漏洩

累積流出検出用のピア グループ

インサイダー リスク管理は、ユーザーによって実行される流出アクティビティを分析するための 3 種類のピア グループを識別します。 ユーザーに対して定義されたピア グループは、次の条件に基づいています。

SharePoint サイト: Insider リスク管理は、類似の SharePoint サイトにアクセスするユーザーに基づいてピア グループを識別します。

同様の組織: 組織階層に基づいてレポートとチーム メンバーを持つユーザー。 このオプションでは、組織が Azure Active Directory (Azure AD) を使用して組織の階層を維持する必要があります。

類似の役職: 組織の距離と類似の役職の組み合わせを持つユーザー。 たとえば、同じ組織内のリードセールスマネージャーと同様のロール指定を持つシニアセールスマネージャータイトルを持つユーザーは、同様の役職として識別されます。 このオプションでは、組織が Azure AD を使用して組織の階層、ロールの指定、役職を維持する必要があります。 組織の構造と役職用に Azure AD を構成していない場合、インサイダー リスク管理は、共通の SharePoint サイトに基づいてピア グループを識別します。

累積流出検出を有効にした場合、組織は、組織の階層や役職など、コンプライアンス ポータルと Azure AD データを共有することに同意しています。 組織が Azure AD を使用してこの情報を維持していない場合、検出の精度が低下する可能性があります。

注:

累積流出検出では、インサイダー リスク管理のグローバル設定で有効になっている流出インジケーターと、ポリシーで選択されている流出インジケーターを使用します。 そのため、累積流出検出は、選択された必要な流出インジケーターに対してのみ評価されます。 優先度コンテンツで構成された 秘密度ラベル の累積流出アクティビティにより、リスク スコアが高くなります。

データの盗難またはデータ漏洩のポリシーで累積流出検出を有効にすると、インサイダー リスク管理ケース内の [ユーザー アクティビティ] タブに累積流出アクティビティからの分析情報が表示されます。 ユーザー アクティビティ管理の詳細については、「 Insider リスク管理ケース: ユーザー アクティビティ」を参照してください。

ポリシーの正常性

ポリシーの正常性状態は、インサイダー リスク管理ポリシーで発生する可能性のある問題の分析情報が得られます。 [ポリシー] タブの [状態] 列では、ユーザー アクティビティの報告を妨げる可能性があるポリシーの問題や、アクティビティ アラートの数が異常な理由を警告できます。 ポリシーの正常性の状態は、ポリシーが正常であり、注意や構成変更を必要としないということも確認できます。

ポリシーに問題がある場合、ポリシーの正常性の状態には、ポリシーの問題を解決するためのアクションを実行するのに役立つ通知の警告と推奨事項が表示されます。 これらの通知は、次の問題を解決するのに役立ちます:

  • 構成が不完全なポリシー。 これらの問題には、ポリシーにユーザーやグループが不足している場合や、その他のポリシー構成段階が不完全な場合が含まれます。
  • インジケーターの構成に関する問題があるポリシー。 インジケーターは、各ポリシーの重要な部分です。 インジケーターが構成されていない場合、またはインジケーターが少なすぎる場合は、ポリシーでリスクの高いアクティビティが期待通り評価されない場合があります。
  • ポリシー トリガーが機能しないか、ポリシー トリガーの要件が正しく構成されていません。 ポリシー機能は、ポリシー内のユーザーにリスク スコアの割り当てをアクティブ化するトリガー イベントを効果的に検出するために、他のサービスや構成要件に依存する場合があります。 この依存関係には、コネクタの構成の問題、Microsoft Defender for Endpoint のアラート共有、データ損失防止ポリシー構成設定が含まれる場合があります。
  • ボリュームの制限が近いか、制限を超えています。 インサイダー リスク管理ポリシーでは、多数の Microsoft 365 サービスとエンドポイントを使用して、リスク アクティビティ シグナルを集計しています。 ポリシーのユーザー数に応じて、ボリューム制限により、リスクアクティビティの識別やレポートが遅れる場合があります。 これらの制限の詳細については、この記事の「ポリシー テンプレートの制限」セクションを参照してください。

ポリシーの正常性状態をすばやく表示するには、[ ポリシー ] タブと [ 状態 ] 列に移動します。 ここでは、各ポリシーの次のポリシー正常性状態オプションが表示されます。

  • 正常: ポリシーで問題が特定されていません。
  • 推奨事項: ポリシーが予期したとおりに動作しなくなる可能性があるポリシーに関する問題。
  • 警告: リスクの高い可能性のあるアクティビティを特定できなくなる可能性があるポリシーに関する問題。

推奨事項または警告の詳細については、[ポリシー] タブでポリシーを選択して、ポリシーの詳細カードを開きます。 これらの問題に対処する方法に関するガイダンスなど、推奨事項と警告の詳細については、詳細カードの [通知 ] セクションに表示されます。

インサイダー リスク管理ポリシーの正常性。

通知メッセージ

次の表では、推奨事項、警告通知、および潜在的な問題を解決するために実行するアクションについて説明します。

通知メッセージ ポリシー テンプレート 原因 / このアクションを試して解決する
ポリシーによるアクティビティへのリスク スコアの割り当ては行われていません。 すべてのポリシー テンプレート ポリシーがアクティビティにリスク スコアを割り当てることができるように、ポリシースコープとトリガー イベント構成を確認できます

1. ポリシーに対して選択されているユーザーを確認します。 選択したユーザーが少数の場合は、追加のユーザーを選択できます。
2. HR コネクタを使用している場合は、HR コネクタが正しいデータを送信していることを確認します。
3. DLP ポリシーをトリガー イベントとして使用している場合は、DLP ポリシーの構成を確認して、このポリシーで使用するように構成されていることを確認します。
4. セキュリティ違反ポリシーの場合は、[Insider risk settings Intelligent detections]\(インサイダー リスク設定>\) で選択されているMicrosoft Defender for Endpointアラートトリアージの状態を確認します。 アラート フィルターが狭すぎないかを確認します。
ポリシーはアラートを生成していません。 すべてのポリシー テンプレート 最も関連性の高いスコアリング アクティビティを分析できるように、ポリシー構成を確認できます。

1. スコアを付けしたいインジケーターを選択していることを確認します。 選択したインジケーターの数が多いほど、多くのアクティビティにリスク スコアが割り当てられます。
2. ポリシーのしきい値のカスタマイズを確認します。 選択したしきい値が組織のリスク許容度と一致しない場合は、推奨されるしきい値に基づいてアラートが作成されるように、選択内容を調整します。
3.. ポリシーに対して選択されているユーザーおよびグループを確認します。 該当するユーザーおよびグループのすべてを選択していることを確認します。
4. セキュリティ違反ポリシーの場合、設定のインテリジェント検出で Microsoft Defender for Endpoint アラートのスコアを付けしたいアラート トリアージ状態が選択済みであることを確認します。
このポリシーには、ユーザーまたはグループは含まれません。 すべてのポリシー テンプレート ユーザーまたはグループがポリシーに割り当てられていない。

ポリシーを編集し、ポリシーのユーザーまたはグループを選択します。
このポリシーに対してインジケーターが選択されていない すべてのポリシー テンプレート このポリシーに対してインジケーターが選択されていません。

ポリシーを編集し、ポリシーに適したポリシー インジケーターを選択します。
このポリシーには、優先ユーザー グループは含まれません。 - 優先ユーザーによるデータ漏洩
- 優先ユーザーによるセキュリティ ポリシー違反
優先ユーザー グループがポリシーに割り当てられていない。

さらに、インサイダー リスクマネジメント設定で優先ユーザー グループを構成し、優先ユーザー グループをポリシーに割り当てます。
トリガーとなるイベントがこのポリシーでは選択されていません。 すべてのポリシー テンプレート トリガーとなるイベントがポリシーに対して構成されていない

リスク スコアは、ポリシーを編集してトリガーとなるイベントを選択するまで、ユーザー アクティビティには割り当てられません。
HR コネクタが構成されていないか、期待どおりに機能していない - 離職するユーザーによるデータ盗難
- 離職するユーザーによるセキュリティ ポリシー違反
- リスクの高いユーザーによるデータ リーク
- 危険なユーザーによるセキュリティ ポリシー違反
HR コネクタに問題があります。

1. HR コネクタを使用している場合は、HR コネクタが正しいデータを送信していることを確認します。

または

2. Azure AD アカウント削除のトリガーとなるイベントを選択します。
デバイスがオンボードされていない。 - 離職するユーザーによるデータ盗難
- データ リーク
- リスクの高いユーザーによるデータ リーク
- 優先ユーザーによるデータ漏洩
デバイス インジケーターが選択されているが、コンプライアンス ポータルにオンボードされているデバイスがない

デバイスがオンボード済みであり、要件を満たしていることを確認します。
HR コネクタが最近データをアップロードしていない - 離職するユーザーによるデータ盗難
- 離職するユーザーによるセキュリティ ポリシー違反
- リスクの高いユーザーによるデータ リーク
- 危険なユーザーによるセキュリティ ポリシー違反
HR コネクタは、7 日を超える間にデータをインポートしていません。

HR コネクタが正しく構成され、データを送信しているかを確認します。
HR コネクタの状態を確認できません。後でもう一度確認してください - 離職するユーザーによるデータ盗難
- 離職するユーザーによるセキュリティ ポリシー違反
- リスクの高いユーザーによるデータ リーク
- 危険なユーザーによるセキュリティ ポリシー違反
インサイダー リスク管理ソリューションでは、HR コネクタの状態を確認できません。

HR コネクタが正しく構成され、データを送信しているかを確認します。または、戻ってポリシー状態を確認します。
トリガー イベントとして DLP ポリシーが選択されていません。 - データ リーク
- 優先ユーザーによるデータ漏洩
DLP ポリシーがトリガー イベントとして選択されていないか、選択した DLP ポリシーが削除されました。

ポリシーを編集して、ポリシー構成でアクティブな DLP ポリシーを選択するか、トリガーとなるイベントとして 'ユーザーが流出アクティビティを実行する' を選択します。
このポリシーで使用される DLP ポリシーがオフになっている - データ リーク
- 優先ユーザーによるデータ漏洩
このポリシーで使用される DLP ポリシーがオフになっています。

1. このポリシーに割り当てられている DLP ポリシーを有効にする。

または

2. ポリシーを編集して、ポリシー構成でアクティブな DLP ポリシーを選択するか、トリガーとなるイベントとして 'ユーザーが流出アクティビティを実行する' を選択します。
DLP ポリシーが要件を満たしていない - データ リーク
- 優先ユーザーによるデータ漏洩
トリガーとなるイベントとして使用される DLP ポリシーを、高重大度 High のアラートを生成するように構成する必要があります。

1. DLP ポリシーを編集して、重大度 High として適正なアラートを割り当てます。

または

2. このポリシーを編集し、トリガーとなるイベントとして ユーザーが流出アクティビティを実行 を選択します。
組織に Microsoft Defender for Endpoint サブスクリプションがない - セキュリティ ポリシー違反
- 離職するユーザーによるセキュリティ ポリシー違反
- 危険なユーザーによるセキュリティ ポリシー違反
- 優先ユーザーによるセキュリティ ポリシー違反
組織に Microsoft Defender for Endpoint のアクティブなサブスクリプションが見つかりませんでした。

Microsoft Defender for Endpoint のサブスクリプションが追加されるまで、これらのポリシーによりユーザー アクティビティにリスク スコアは割り当てられません。
Microsoft Defender for Endpointアラートがコンプライアンス ポータルと共有されていない - セキュリティ ポリシー違反
- 離職するユーザーによるセキュリティ ポリシー違反
- 危険なユーザーによるセキュリティ ポリシー違反
- 優先ユーザーによるセキュリティ ポリシー違反
Microsoft Defender for Endpointアラートはコンプライアンス ポータルと共有されていません。

Microsoft Defender for Endpoint のアラートの共有を構成します。
このポリシー テンプレートに対してアクティブにスコア付けされるユーザーの上限に近づいている すべてのポリシー テンプレート 各ポリシー テンプレートには、範囲内のユーザーの最大数があります。 テンプレートの制限に関するセクションの詳細を参照してください。

[ユーザー] タブでユーザーを確認し、スコア付けする必要がなくなったユーザーを削除します。
このポリシーの 15% を超えるユーザーに対してイベントのトリガーが繰り返し発生している すべてのポリシー テンプレート トリガー イベントを調整して、ユーザーがポリシー スコープに取り込まれる頻度を減らすのに役立ちます。

ポリシー テンプレートの限界

インサイダー リスク管理ポリシー テンプレートでは、制限を使用して、範囲内のユーザーのリスク アクティビティの処理量と速度を管理するための制限を設けてり、このプロセスと Microsoft 365 サービスのサポートとの統合方法を管理しています。 各ポリシー テンプレートには、リスクの可能性のあるアクティビティをサポートし、効果的に処理して報告できるポリシーのリスク スコアをアクティブに割り当てることができるユーザーの最大数があります。 範囲内のユーザーは、ポリシーのトリガーとなるイベントを持つユーザーです。

各ポリシーの制限は、ポリシー テンプレートの種類別にリスク スコアを受け取る一意のユーザーの総数に基づいて計算されます。 ポリシー テンプレートの種類のユーザー数がユーザーの制限に近い、または超過している場合、ポリシーのパフォーマンスは低下します。 ポリシーの現在のユーザー数を表示するには、[ポリシー] タブと [範囲内のユーザー] 列に移動します。 どのポリシー テンプレートにも、最大 5 つのポリシーを設定できます。 これらの上限は、任意のポリシー テンプレートを使用するすべてのポリシーにわたってユーザーに適用されます。

次の表を使用して、各ポリシー テンプレートでサポートされる範囲内のユーザーの最大数を決定します。

ポリシー テンプレート 現在の範囲内の最大ユーザー数
一般的なデータ漏洩 15,000
リスクの高いユーザーによるデータ 漏洩 7,500
優先ユーザーによるデータ漏洩 1,000
離職するユーザーによるデータ盗難 20,000
セキュリティ ポリシー違反 1,000
患者データの誤用 5,000
危険なブラウザーの使用 7,000
優先ユーザーによるセキュリティ ポリシー違反 1,000
離職するユーザーによるセキュリティ ポリシー違反 15,000
危険なユーザーによるセキュリティ ポリシー違反 7,500
フォレンジック証拠 プレビュー リリースの 5 人のユーザー

新しいポリシーの作成

新しいインサイダー リスク管理ポリシーを作成するには、通常、Microsoft Purview コンプライアンス ポータルの Insider リスク管理ソリューションのポリシー ウィザードを使用します。 また、必要に応じてユーザーを分析チェックから離すことで、一般的なデータ 漏洩やデータの盗難に関するクイック ポリシーを作成することもできます。

ポリシー ウィザードを使用して新しいポリシーを作成するには、次の手順を実行します。

  1. Microsoft Purview コンプライアンス ポータルで、[Insider リスク管理] に移動し、[ポリシー] タブ選択します。

  2. [ポリシーの作成] を選択し、ポリシー ウィザードを開きます。

  3. [ポリシー テンプレート] ページで、ポリシー カテゴリを選択し、新しいポリシーのテンプレートを選択します。 これらのテンプレートは、検出および調査するリスク アクティビティを定義する条件とインジケーターで構成されています。 テンプレートの前提条件を確認し、トリガーとなるイベントと検出されたアクティビティを確認し、このポリシー テンプレートがニーズに適していることを確認します。

    重要

    一部のポリシー テンプレートには、ポリシーに関連するアラートを生成するための構成が必要となる前提条件があります。 該当するポリシーの前提条件を構成していない場合は、「インサイダー リスク管理の概要」の手順 4 を参照してください。

  4. [次へ] を選んで続行します。

  5. [名前と説明] ページで、次のフィールドを入力します。

    • 名前 (必須): ポリシーのフレンドリ名を入力します。 この名前は、ポリシーの作成後は変更できません。
    • 説明 (省略可能): ポリシーの説明を入力します。
  6. [次へ] を選んで続行します。

  7. [ユーザーとグループ] ページで、[すべてのユーザーとグループを含める] または [特定のユーザーとグループを含める] を選び、ポリシーに含めるユーザーまたはグループを定義するか、優先ユーザーに基づくテンプレートを選んでいた場合には、[優先ユーザー グループを追加または編集する] を選択します。 [すべてのユーザーとグループを含める] を選択すると、ポリシーのリスク スコアの割り当てを開始するために、組織内のすべてのユーザーとグループのトリガー イベントを探すことになります。 [特定のユーザーとグループを含める] を選択すると、どのユーザーとグループにポリシーを適用するかを定義できます。 ゲスト ユーザー アカウントはサポートされていません。

  8. [次へ] を選んで続行します。

  9. [優先するコンテンツ] ページで、(必要に応じて) 優先するソースを割り当てることができるので、その結果、これらのソースに対して重大度 High のアラートが生成される可能性が高くなります。 次のいずれかを選択します。

    • コンテンツに優先順位を付けたい。 このオプションを選択すると、 SharePoint サイト秘密度ラベル機密情報の種類およびファイル拡張子 のコンテンツ タイプに優先順位を付けられます。 このオプションを選択する場合は、少なくとも 1 つの優先度コンテンツ タイプを選択する必要があります。
    • 今は優先度の高いコンテンツを指定したくありません。 このオプションを選択すると、ウィザードの優先コンテンツの詳細ページはスキップされます。
  10. [次へ] を選んで続行します。

  11. 前の手順で [コンテンツに優先順位を付ける ] を選択した場合は、 SharePoint サイト機密情報の種類秘密度ラベルファイル拡張子スコアリングの詳細ページが表示されます。 これらの詳細ページを使用して、ポリシーで優先する SharePoint、機密情報の種類、秘密度ラベル、ファイル拡張子を定義します。 スコアリングの詳細ページでは、ポリシーのスコープを設定して、優先度コンテンツにリスク スコアのみを割り当てることができます。

    • SharePoint サイト: [SharePoint サイトの追加] を選択し、アクセスして優先化する SharePoint サイトを選択します。 たとえば、 "group1@contoso.sharepoint.com/sites/group1" です。
    • 機密情報の種類: [優先する機密情報 の種類を追加する] を選択し、優先順位を付ける機密性の高い種類を選択します。 たとえば、"米国の銀行口座番号" と "クレジット カード番号" を入力。
    • 秘密度ラベル: [秘密度ラベルの追加] を選択して優先化したいラベルを選択します。 たとえば、"機密情報""シークレット"
    • ファイル拡張子: 最大 50 個のファイル拡張子を追加します。 '.' をファイル拡張子と共に含めたり省略したりできます。 たとえば、 .py または py は Python ファイルに優先順位を付けます。
    • スコアリング: このポリシーで検出されたすべてのアクティビティにリスク スコアを割り当てるか、優先度の高いコンテンツを含むアクティビティにのみリスク スコアを割り当てるかを決定します。 [ すべてのアクティビティのアラートを取得する ] または [優先度の高いコンテンツを含むアクティビティについてのみアラートを取得する] を選択します。

    注:

    ポリシーを構成し、優先する SharePoint サイトを決定するユーザーは、アクセス許可を持つ SharePoint サイトを選択できます。 現在のユーザーがポリシーで SharePoint サイトを選択できない場合は、必要なアクセス許可を持つ別のユーザーが後でポリシーのサイトを選択するか、現在のユーザーに必要なサイトへのアクセス権を付与する必要があります。

  12. [次へ] を選んで続行します。

  13. [優先ユーザーによるデータ リーク] または [データ リーク] テンプレートを選択した場合は、カスタム トリガー イベントとポリシー インジケーターの [このポリシーのトリガー] ページにオプションが表示されます。 アクティビティ スコアリングのスコープ内でユーザーをポリシーに割り当てるイベントをトリガーするための DLP ポリシーまたはインジケーターを選択できます。 [ ユーザーがデータ損失防止 (DLP) ポリシートリガー イベントに一致する ] オプションを選択した場合は、DLP ポリシードロップダウン リストから DLP ポリシーを選択して、このインサイダー リスク管理ポリシーの DLP ポリシーのトリガー インジケーターを有効にする必要があります。 [ ユーザーが流出アクティビティトリガー イベントを実行する ] オプションを選択した場合は、ポリシー トリガー イベントの一覧に表示されているインジケーターの 1 つ以上を選択する必要があります。

    重要

    一覧表示されているインジケーターを選択できない場合は、組織で有効になっていないためです。 ポリシーを選択して割り当てるようにするには、Insider リスク管理>設定>ポリシーインジケーターのインジケーターを有効にします。

    他のポリシー テンプレートを選択した場合、カスタム トリガー イベントはサポートされません。 組み込みのポリシー トリガー イベントが適用され、ポリシー属性を定義せずに手順 23 に進みます。

  14. 危険なユーザーによるデータ リークまたは危険なユーザーによるセキュリティ ポリシー違反テンプレートを選択した場合は、[このポリシーのトリガー] ページに、コミュニケーション コンプライアンスと人事データ コネクタ イベントとの統合に関するオプションが表示されます。 危険なユーザー イベントが人事システムで報告された後、ユーザーが脅威、嫌がらせ、または差別的な言語を含むメッセージを送信する場合、またはユーザーをポリシー スコープに取り込むときに、リスク スコアを割り当てることができます。 [ 通信コンプライアンスからのリスク トリガー (プレビュー)] オプションを選択した場合は、既定の通信コンプライアンス ポリシー (自動的に作成) を受け入れるか、このトリガーに対して以前に作成したポリシー スコープを選択するか、別のスコープポリシーを作成できます。 HR データ コネクタ イベントを選択する場合は、組織の HR データ コネクタを構成する必要があります。

  15. [次へ] を選んで続行します。

  16. [優先ユーザーによるデータ リーク] または [データ リーク] テンプレートを選択し、[ユーザーが流出アクティビティと関連インジケーターを実行する] を選択した場合は、選択したイベントをトリガーするインジケーターのカスタムしきい値または既定のしきい値を選択できます。 [既定の しきい値を使用する (推奨)] または [ トリガーするイベントにカスタムしきい値を使用する] を選択します。

  17. [次へ] を選んで続行します。

  18. [ トリガーするイベントにカスタムしきい値を使用する] を選択した場合は、手順 13 で選択したトリガー イベント インジケーターごとに、適切なレベルを選択して目的のレベルのアクティビティ アラートを生成します。

  19. [次へ] を選んで続行します。

  20. [ポリシー インジケーター] ページの [Insider リスク設定>インジケーター] ページで、使用可能として定義したインジケーターが表示されます。 ポリシーに適用するインジケーターを選択します。

    重要

    このページのインジケーターを選択できない場合、すべてのポリシーを有効にするインジケーターを選択する必要があります。 ウィザードの [インジケーターをオンにする] ボタンを使用するか、または インサイダー リスクマネジメント>設定>ポリシー インジケーター ページにあるインジケーターを選択します。

    Office または Device インジケーターが少なくとも 1 つ以上選択されている場合は、必要に応じて リスク スコアブースター を選択します。 リスク スコア ブースターは、選択されたインジケーターにのみ適用されます。 データの盗難 または データ漏洩 ポリシー テンプレートを選択した場合は、ポリシーに適用する シーケンス検出 メソッドを少なくとも 1 つ以上と、累積流出検出 メソッドを 1 つ選択します。 危険なブラウザー使用状況ポリシー テンプレートを選択した場合は、1 つ以上の閲覧インジケーターを選択します。

  21. [次へ] を選んで続行します。

  22. [ 既定のインジケーターしきい値とカスタム インジケーターのしきい値のどちらを使用するかを決定する ] ページで、選択したポリシー インジケーターのカスタムしきい値または既定のしきい値を選択します。 [ すべてのインジケーターに既定のしきい値を使用する ] または [選択したポリシー インジケーターの カスタムしきい値を指定 する] を選択します。 [カスタムしきい値の指定] を選択した場合は、適切なレベルを選択して、ポリシー インジケーターごとに目的のレベルのアクティビティ アラートを生成します。

  23. [次へ] を選んで続行します。

  24. [レビュー] ページで、ポリシーに選択した設定、選択に対する提案または警告を確認します。 [編集] を選んで、ポリシー値を変更するか、ポリシーを作成してアクティブ化するには [送信] を選択します。

ポリシーの更新

既存のインサイダー リスク管理ポリシーを更新するには、Microsoft Purview コンプライアンス ポータルの Insider リスク管理ソリューションのポリシー ウィザードを使用します。

既存のポリシーを管理するには、次の手順を実行します。

  1. Microsoft Purview コンプライアンス ポータルで、[Insider リスク管理] に移動し、[ポリシー] タブ選択します。

  2. ポリシー ダッシュボードで、管理するポリシーを選択します。

  3. [ポリシーの詳細] ページで、[ポリシーの編集] を選択します。

  4. ポリシー ウィザードでは、次の内容を編集することはできません。

    • ポリシー テンプレート: ポリシーによってチェックされるリスク インジケーターの種類を定義するために使用されるテンプレート。
    • 名前: ポリシーのフレンドリ名
  5. [名前と説明] ページで [説明] フィールドでポリシーの説明を更新します。

  6. [次へ] を選んで続行します。

  7. [ユーザーとグループ] ページで、[すべてのユーザーとグループを含める] または [特定のユーザーとグループを含める] を選び、ポリシーに含めるユーザーまたはグループを定義するか、優先ユーザーに基づくテンプレートを選んでいた場合には、[優先ユーザー グループを追加または編集する] を選択します。 [ すべてのユーザーとグループを含める] を選択すると、組織内のすべてのユーザーとグループに対するセキュリティとコンプライアンス関連のイベントのトリガーが検索され、ポリシーのリスク スコアの割り当てが開始されます。 [特定のユーザーとグループを含める] を選択すると、どのユーザーとグループにポリシーを適用するかを定義できます。 ゲスト ユーザー アカウントはサポートされていません。

  8. [次へ] を選んで続行します。

  9. [優先するコンテンツ] ページで、(必要に応じて) 優先するソースを割り当てることができるので、その結果、これらのソースに対して重大度 High のアラートが生成される可能性が高くなります。 次のいずれかを選択します。

    • コンテンツに優先順位を付けたい。 このオプションを選択すると、 SharePoint サイト秘密度ラベル機密情報の種類およびファイル拡張子 のコンテンツ タイプに優先順位を付けられます。 このオプションを選択する場合は、少なくとも 1 つの優先度コンテンツ タイプを選択する必要があります。
    • 今は優先度の高いコンテンツを指定したくありません。 このオプションを選択すると、ウィザードの優先コンテンツの詳細ページはスキップされます。
  10. [次へ] を選んで続行します。

  11. 前の手順で [コンテンツに優先順位を付ける ] を選択した場合は、 SharePoint サイト機密情報の種類秘密度ラベルファイル拡張子スコアリングの詳細ページが表示されます。 これらの詳細ページを使用して、ポリシーで優先する SharePoint、機密情報の種類、秘密度ラベル、ファイル拡張子を定義します。 スコアリングの詳細ページでは、ポリシーのスコープを設定して、優先度コンテンツにリスク スコアのみを割り当てることができます。

    • SharePoint サイト: [SharePoint サイトの追加] を選択し、アクセスして優先化する SharePoint サイトを選択します。 たとえば、 "group1@contoso.sharepoint.com/sites/group1" です。
    • 機密情報の種類: [優先する機密情報 の種類を追加する] を選択し、優先順位を付ける機密性の高い種類を選択します。 たとえば、"米国の銀行口座番号" と "クレジット カード番号" を入力。
    • 秘密度ラベル: [秘密度ラベルの追加] を選択して優先化したいラベルを選択します。 たとえば、"機密情報""シークレット"
    • ファイル拡張子: 最大 50 個のファイル拡張子を追加します。 '.' をファイル拡張子と共に含めたり省略したりできます。 たとえば、 .py または py は Python ファイルに優先順位を付けます。
    • スコアリング: このポリシーで検出されたすべてのアクティビティにリスク スコアを割り当てるか、優先度の高いコンテンツを含むアクティビティにのみリスク スコアを割り当てるかを決定します。 [ すべてのアクティビティのアラートを取得する ] または [優先度の高いコンテンツを含むアクティビティについてのみアラートを取得する] を選択します。

    注:

    ポリシーを構成し、優先 SharePoint サイトを選択するユーザーは、アクセス許可を持つ SharePoint サイトを選択できます。 現在のユーザーがポリシーで SharePoint サイトを選択できない場合は、必要なアクセス許可を持つ別のユーザーが後でポリシーのサイトを選択するか、現在のユーザーに必要なサイトへのアクセス権を付与する必要があります。

  12. [次へ] を選んで続行します。

  13. [ 一般的なデータ リーク ] または [優先ユーザーによるデータ リーク ] テンプレートを選択した場合は、[カスタム トリガー イベントとポリシー インジケーターの [このポリシーのトリガー ] ページにオプションが表示されます。 アクティビティ スコアリングのスコープ内でユーザーをポリシーに割り当てるイベントをトリガーするための DLP ポリシーまたはインジケーターを選択できます。 [ ユーザーがデータ損失防止 (DLP) ポリシートリガー イベントに一致する ] オプションを選択した場合は、DLP ポリシードロップダウン リストから DLP ポリシーを選択して、このインサイダー リスク管理ポリシーの DLP ポリシーのトリガー インジケーターを有効にする必要があります。 [ ユーザーが流出アクティビティトリガー イベントを実行する ] オプションを選択した場合は、ポリシー トリガー イベントの一覧に表示されているインジケーターの 1 つ以上を選択する必要があります。

    重要

    一覧表示されているインジケーターを選択できない場合は、組織で有効になっていないためです。 ポリシーを選択して割り当てるようにするには、Insider リスク管理>設定>ポリシーインジケーターのインジケーターを有効にします。 他のポリシー テンプレートを選択した場合、カスタム トリガー イベントはサポートされません。 組み込みのポリシー トリガー イベントが適用され、ポリシー属性を定義せずに手順 23 に進みます。

  14. 危険なユーザーによるデータ リークまたは危険なユーザーによるセキュリティ ポリシー違反テンプレートを選択した場合は、[このポリシーのトリガー] ページに、コミュニケーション コンプライアンスと人事データ コネクタ イベントとの統合に関するオプションが表示されます。 危険なユーザー イベントが人事システムで報告された後、ユーザーが脅威、嫌がらせ、または差別的な言語を含むメッセージを送信する場合、またはユーザーをポリシー スコープに取り込むときに、リスク スコアを割り当てることができます。 [ 通信コンプライアンスからのリスク トリガー (プレビュー)] オプションを選択した場合は、既定の通信コンプライアンス ポリシー (自動的に作成) を受け入れるか、このトリガーに対して以前に作成したポリシー スコープを選択するか、別のスコープポリシーを作成できます。 HR データ コネクタ イベントを選択する場合は、組織の HR データ コネクタを構成する必要があります。

  15. [次へ] を選んで続行します。

  16. [優先ユーザーによるデータ リーク] または [データ リーク] テンプレートを選択し、[ユーザーが流出アクティビティと関連インジケーターを実行する] を選択した場合は、選択したイベントをトリガーするインジケーターのカスタムしきい値または既定のしきい値を選択できます。 [既定の しきい値を使用する (推奨)] または [ トリガーするイベントにカスタムしきい値を使用する] を選択します。

  17. [次へ] を選んで続行します。

  18. [ トリガーするイベントにカスタムしきい値を使用する] を選択した場合は、手順 13 で選択したトリガー イベント インジケーターごとに、適切なレベルを選択して目的のレベルのアクティビティ アラートを生成します。

  19. [次へ] を選んで続行します。

  20. [ポリシー インジケーター] ページの [Insider リスク設定>インジケーター] ページで、使用可能として定義したインジケーターが表示されます。 ポリシーに適用するインジケーターを選択します。

    重要

    このページのインジケーターを選択できない場合、すべてのポリシーを有効にするインジケーターを選択する必要があります。 ウィザードの [インジケーターをオンにする] ボタンを使用するか、または インサイダー リスクマネジメント>設定>ポリシー インジケーター ページにあるインジケーターを選択します。

    Office または Device インジケーターが少なくとも 1 つ以上選択されている場合は、必要に応じて リスク スコアブースター を選択します。 リスク スコア ブースターは、選択されたインジケーターにのみ適用されます。 データの盗難 または データ漏洩 ポリシー テンプレートを選択した場合は、ポリシーに適用する シーケンス検出 メソッドを少なくとも 1 つ以上と、累積流出検出 メソッドを 1 つ選択します。

  21. [次へ] を選んで続行します。

  22. [ 既定のインジケーターしきい値とカスタム インジケーターのしきい値のどちらを使用するかを決定する ] ページで、選択したポリシー インジケーターのカスタムしきい値または既定のしきい値を選択します。 [ すべてのインジケーターに既定のしきい値を使用する ] または [選択したポリシー インジケーターの カスタムしきい値を指定 する] を選択します。 [カスタムしきい値の指定] を選択した場合は、適切なレベルを選択して、ポリシー インジケーターごとに目的のレベルのアクティビティ アラートを生成します。

  23. [次へ] を選んで続行します。

  24. [レビュー] ページで、ポリシーに選択した設定、選択に対する提案または警告を確認します。 [編集] を選んで、ポリシー値を変更するか、ポリシーを作成してアクティブ化するには [送信] を選択します。

ポリシーのコピー

既存のポリシーに似た新しいポリシーを作成する必要がある場合がありますが、構成の変更はわずかで済みます。 新しいポリシーを最初から作成する代わりに、既存のポリシーをコピーし、新しいポリシーで更新する必要がある領域を変更することができます。

既存のポリシーをコピーするには、次の手順を実行します。

  1. Microsoft Purview コンプライアンス ポータルで、[Insider リスク管理] に移動し、[ポリシー] タブ選択します。
  2. ポリシー ダッシュボードで、コピーするポリシーを選択します。
  3. [ポリシーの詳細] ページで、[コピー] を選択します。
  4. ポリシー ウィザードで、新しいポリシーの名前を指定し、必要に応じてポリシーの構成を更新します。

インサイダー リスク管理のトリガー イベント ワークフロー以外でユーザーに対してインサイダー リスク ポリシーを使ってリスク スコアの割り当てをすぐに開始する必要があるシナリオがあるでしょう。 [ポリシー] タブで、[ユーザーのスコア付けアクティビティを開始する] を使って、特定の時間、の 1 つ以上の インサイダー リスク ポリシーにユーザーを手動で追加し、リスク スコアをアクティビティにすぐに割り当て始め、ユーザーにトリガー インジケーター (DLP ポリシーの一致など) を設定するという要件をバイパスします。 また、ユーザーをポリシーに追加する理由を追加することもできます。この理由は、ユーザーのアクティビティ タイムラインに表示されます。 ポリシーに手動で追加したユーザーは ユーザー ダッシュボードに表示され、アクティビティがポリシー アラートのしきい値を満たす場合にアラートが生成されます。 即時スコア付けのためにユーザーを追加する場合、ポリシーごとに最大 4,000 人のユーザーを追加できます。

ユーザー アクティビティにすぐにスコアを付け始める必要があるシナリオには次のものがあります。

  • ユーザーがリスクに関する問題で特定され、1 つ以上のポリシーに対してリスク スコアをアクティビティにすぐに割り当て始める場合。
  • 1 つ以上のポリシーについて、関連するユーザーのアクティビティにリスク スコアの割り当てを直ちに開始する必要があるインシデントがある場合。
  • HR コネクタをまだ構成していないが、ユーザーの.csv ファイルをアップロードして、HR イベントのユーザー アクティビティにリスク スコアを割り当て始める必要がある場合。

注:

手動で追加した新しいユーザーが [ユーザー] ダッシュボードに表示されるのに数時間かかる場合があります。 これらのユーザーの過去 90 日間のアクティビティは、表示に最大 24 時間かかる場合があります。 手動で追加したユーザーのアクティビティを表示するには、[ユーザー] タブに移動し、 [ユーザー] ダッシュボードでユーザーを選び、詳細ウィンドウで [ユーザー アクティビティ] タブを開きます。

1 つ以上のインサイダー リスク マネジメント ポリシーでユーザーのスコアリングを手動で開始するには、次の手順を実行します。

  1. Microsoft Purview コンプライアンス ポータルで、[Insider リスク管理] に移動し、[ポリシー] タブ選択します。

  2. ポリシー ダッシュボードで、ユーザーを追加するポリシーを選択します。

  3. [ユーザーのスコアリングを開始] を選択します。

  4. [複数のポリシーにユーザーを追加する] ウィンドウの [理由] フィールドには、そのユーザーを追加する理由を入力します。

  5. [ This should last for (5 日から 30 日を選択)] フィールドで、追加するポリシーに対してユーザーのアクティビティをスコア付けする日数を定義します

  6. Active Directory でユーザーを検索するには、[ユーザーを検索してポリシーに追加する] フィールドを使用します。 ポリシーに追加するユーザーの名前を入力します。 ユーザー名を選び、これを繰り返して、追加のユーザーをポリシーに割り当てします。 選択したユーザーのリストが、[複数のポリシーにユーザーを追加] ウィンドウの [ユーザー] セクションに表示されます。

  7. ポリシーに追加するユーザーのリストをインポートするには、[インポート] を選択して、.csv (コンマ区切り値) ファイルをインポートします。 ファイルは次の形式である必要があります。ファイルにユーザー プリンシパル名をリストする必要があります。

    user principal name
    user1@domain.com
    user2@domain.com
    
  8. [ポリシーにユーザーを追加] を選び、変更を承諾してユーザーをポリシーに追加するか、[キャンセル] を選び、変更を破棄してダイアログ ボックスを閉じます。

ポリシーでユーザーのスコアリングを停止する

ポリシー内のユーザーに対してスコアリングを停止するには、「インサイダー リスク管理ユーザー: ポリシーの範囲内割り当てからユーザーを削除する」 を参照してください。

ポリシーを削除する

注:

ポリシーを削除しても、そのポリシーから生成されたアクティブなアラートまたはアーカイブ済みアラートは削除されません。

既存のインサイダー リスク管理ポリシーを削除するには、次の手順を実行します。

  1. Microsoft Purview コンプライアンス ポータルで、[Insider リスク管理] に移動し、[ポリシー] タブ選択します。
  2. ポリシー ダッシュボードで、削除する場所のポリシーを選択します。
  3. ダッシュボード ツール バーで [削除] を選択します。
  4. [削除 ] ダイアログで、[はい] を選択してポリシーを削除するか、[キャンセル] 選択してダイアログを閉じます。