FCI または他のプロパティを使用したドキュメントを保護する DLP ポリシーを作成する

  • [アーティクル]

Microsoft Purview データ損失防止 (DLP) ポリシーでは、分類プロパティまたはアイテム プロパティを使用して、機密性の高いアイテムを識別できます。 たとえば、次を使用できます。

  • Windows Server ファイル分類インフラストラクチャ (FCI) プロパティ
  • SharePoint ドキュメントのプロパティ
  • サード パーティのシステム ドキュメント プロパティ

Office 365と外部分類システムを示す図。

たとえば、organizationは、Windows Server FCI を使用して、社会保障番号などの個人データを持つアイテムを識別し、各ドキュメントで見つかった個人データの種類と出現回数に基づいて [個人を特定できる情報] プロパティを [高]、[中]、[]、[パブリック]、[PII 以外] に設定して、それらのドキュメントを分類します。

Microsoft 365 では、そのプロパティが特定の値 ( HighMedium など) に設定されているドキュメントを識別し、それらのファイルへのアクセスをブロックするなどのアクションを実行する DLP ポリシーを作成できます。 プロパティが [] に設定されている場合には (電子メールの通知送信などの) 異なるアクションを実行する別のルールを同じポリシーに含めることができます。 これにより、DLP は Windows Server FCI と統合され、Windows Server ベースのファイル サーバーから Microsoft 365 にアップロードまたは共有される Office ドキュメントを保護するのに役立ちます。

DLP ポリシーは、特定のプロパティ名と値のペアを検索するだけです。 プロパティに SharePoint 検索に対応する管理プロパティがある限り、任意のドキュメント プロパティを使用できます。 たとえば、SharePoint サイト コレクションでは、 Trip Report という名前のコンテンツ タイプと Customer という名前の必須フィールドを使用できます。 ユーザーが旅行レポートを作成するたびに、顧客名を入力する必要があります。 このプロパティ名と値のペアは、DLP ポリシーでも使用できます。たとえば、[ 顧客 ] フィールドに Contoso が含まれているときにゲストのドキュメントへのアクセスをブロックするルールが必要な場合などです。

特定の Microsoft 365 ラベルを持つコンテンツに DLP ポリシーを適用する場合は、こちらの手順に従ってください。 代わりに、「l データ損失防止ポリシーの作成と展開」を参照してください。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

DLP ポリシーを作成する前に

DLP ポリシーで Windows Server FCI プロパティまたはその他のプロパティを使用するには、 SharePoint 管理センターで管理プロパティを作成する必要があります。 その理由は次のとおりです。

SharePoint と OneDrive では、サイト上のコンテンツをクロールすることで検索インデックスが作成されます。 クローラは、クロールされたプロパティの形式でドキュメントからコンテンツとメタデータを取得します。 検索スキーマは、クローラーが取得するコンテンツとメタデータを決定するのに役立ちます。 (メタデータの例としては、作成者とドキュメントのタイトルがあります)。ただし、ドキュメントから検索インデックスにコンテンツとメタデータを取得するには、クロールされたプロパティを管理プロパティにマップする必要があります。 管理プロパティのみがインデックスに保持されます。 たとえば、作成者に関連するクロールされたプロパティは、作成者に関連する管理プロパティにマップされます。

注:

条件を使用して DLP ルールを作成するときは、クロールされたプロパティ名ではなく、管理プロパティ名を ContentPropertyContainsWords 使用してください。 DLP では検索クローラーを使用してサイトの機密情報を特定して分類し、その機密情報を検索インデックスの安全な部分に格納するため、これは重要です。 ドキュメントをOffice 365にアップロードすると、SharePoint はドキュメント プロパティに基づいてクロールされたプロパティを自動的に作成します。 ただし、DLP ポリシーで FCI またはその他のプロパティを使用するには、クロールされたプロパティを管理プロパティにマップして、そのプロパティを持つコンテンツがインデックスに保持されるようにする必要があります。

検索プロパティと管理プロパティの詳細については、「 SharePoint Online で検索スキーマを管理する」を参照してください。

手順 1: 必要なプロパティが含まれるドキュメントを Office 365 にアップロードする

まず、DLP ポリシーで参照するプロパティを含むドキュメントをアップロードする必要があります。 Microsoft 365 によってプロパティが検出され、クロールされたプロパティが自動的に作成されます。 次の手順では、管理プロパティを作成し、管理プロパティをこのクロールされたプロパティにマップします。

手順 2: 管理プロパティを作成する

  1. Microsoft 365 管理センターにサインインします。

  2. 左側のナビゲーション ウィンドウで、[管理センター>SharePoint] を選択します。 これで、SharePoint 管理センターに移動します。

  3. 左側のナビゲーション ウィンドウで、[検索] を選択 します検索管理ページで、[検索スキーマの管理] を選択します。

    SharePoint 管理センターの検索管理ページ。

  4. [管理プロパティ] ページで、[新しい管理プロパティ] を>クリックします。

    [新しい管理プロパティ] ボタンが強調表示されている [管理プロパティ] ページ。

  5. プロパティの名前と説明を入力します。 この名前が、DLP ポリシーに表示されます。

  6. [] で [テキスト] を選択します。

  7. [主な特徴] では [クエリ可能] と [取得可能] を選択します。

  8. [ クロールされたプロパティへのマッピング] で 、[ マッピングの追加] を選択します。

  9. [クロールされたプロパティの選択] ダイアログ ボックスで、DLP ポリシーで使用する Windows Server FCI プロパティまたはその他のプロパティに対応するクロールされたプロパティを見つけて選択し、[OK] を選択します

    クロールされたプロパティの選択ダイアログ ボックス。

  10. ページの下部にある [OK] を選択します

FCI プロパティまたは他のプロパティを使用する DLP ポリシーを作成する

この例では、organizationは Windows Server ベースのファイル サーバーで FCI を使用しています。具体的には、個人を特定できる情報という名前の FCI 分類プロパティを、HighModerateLowPublicNot PII の値で使用しています。 次に、Office 365の DLP ポリシーで既存の FCI 分類を使用します。

まず、上記の手順に従って SharePoint Online で管理プロパティを作成します。これは、FCI プロパティから自動的に作成されたクロールされたプロパティにマップされます。

次に、条件 Document プロパティに次のいずれかの値が含まれている 2 つのルールを持つ DLP ポリシーを作成します。

  • FCI PII コンテンツ - 高、中FCI 分類プロパティ [個人を特定できる情報] が High または Moderate に等しく、ドキュメントがorganization外のユーザーと共有されている場合、最初のルールはドキュメントへのアクセスを制限します。

  • FCI PII コンテンツ - 低2 番目のルールは、FCI 分類プロパティ [個人を特定できる情報] が [低] に等しく、ドキュメントがorganization外のユーザーと共有されている場合に、ドキュメント所有者に通知を送信します。

DLP ポリシーを作成した後に

前のセクションの手順を完了すると、そのプロパティを使用してコンテンツをすばやく検出する DLP ポリシーが作成されますが、そのコンテンツが新しくアップロードされた場合 (コンテンツのインデックスが作成された場合)、またはコンテンツが古くても編集された (コンテンツのインデックスが再作成されるように) 場合にのみ作成されます。

すべての場所でそのプロパティを持つコンテンツを検出するには、DLP ポリシーがそのプロパティを持つすべてのコンテンツを認識できるように、ライブラリ、サイト、またはサイト コレクションのインデックスを再作成する必要があります。 SharePoint では、コンテンツが編集されると、コンテンツが自動的にクロールされます。 特定の SharePoint サイトに手動でインデックスを再作成することはできません。

注意

DLP シナリオ用にサイトのインデックスを再作成することはできません。

詳細については、「サイト、ライブラリ、またはリストのクロールおよび再インデックスの手動要求」を参照してください。

サイトのインデックスを再作成する (省略可能)

  1. サイトで、[設定] (右上の歯車アイコン) > [サイトの設定] を選択します

  2. [検索] で、[検索とオフラインの可用性>][サイトのインデックスの再作成] を選択します。

詳細情報