セキュリティとコンプライアンスのための Microsoft 365 ガイダンス

この記事でのテナント レベルのサービスは、テナント内のすべてのユーザーに対して (スタンドアロン ライセンスまたは Microsoft 365 プランと Office 365 プランのどちらか、または両方の一部として) 一部または完全に有効になるオンライン サービスです。 お客様がオンライン サービスを使用する場合は、適切なサブスクリプション ライセンスが必要です。 Microsoft 365 コンプライアンス機能の恩恵を受けるためにユーザーにライセンスを付与するためのオプションを確認するには、 Microsoft 365 比較表 (Enterprise および Frontline Worker Plans ) または Microsoft 365 比較表 (中小規模ビジネス プラン) をダウンロードします。

Microsoft 365 コンプライアンス機能のユーザーを有効にし、現在ヨーロッパ経済地域 (EEA) 諸国とスイスで利用できるサブスクリプションの詳細なプラン情報については、EEA の Microsoft 365 ビジネス プランの比較EEA のMicrosoft 365 Enterpriseプラン比較に関するページを参照してください。

一部のテナント サービスでは、現在、特定のユーザーにメリットを限定することができません。 Microsoft ライセンス プログラムを通じて取得した Microsoft 製品とプロフェッショナル サービスの使用に関する使用条件を確認するには、 製品使用条件に関するページを参照してください。

Microsoft Entra ID ガバナンス

Microsoft Entra ID ガバナンスを使用すると、セキュリティと従業員の生産性に対するorganizationのニーズと適切なプロセスと可視性のバランスを取ることができます。 資格管理、アクセス レビュー、特権 ID 管理、使用条件ポリシーを使用して、適切なリソースに対する適切なアクセス権を適切なユーザーに付与できるようになります。

ユーザーがサービスのメリットを得る方法について

Microsoft Entra ID ガバナンスは、アプリ、グループ、Microsoft Teams へのアクセスを 1 つのアクセス パッケージで簡単に要求できるようにすることで、ユーザーの生産性を向上させます。 また管理者を関与させることなく、ユーザーを承認者として構成できます。 アクセス レビューでは、ユーザーはスマートな推奨事項を含むグループのメンバーシップを確認して、定期的にアクションを実行できます。

サービスのメリットを得る権限をユーザーに提供するライセンスについて

Microsoft Entra ID ガバナンス機能は現在、Microsoft Entra ID ガバナンスおよびMicrosoft Entra ID P2 のステップ アップMicrosoft Entra ID ガバナンス使用できます。 これら 2 つの製品は、ID ガバナンス機能を持つ購入済みシートがある限り多くのユーザーに権限を提供します。 Microsoft Entra ID ガバナンスは、テナントが P1 (旧称 Azure Active Directory Premium P1) または Microsoft Entra ID P2 (旧称) をMicrosoft Entra IDするためのアクティブなサブスクリプションも持っている必要がありますAzure Active Directory Premium P2) または P1 または P2 Microsoft Entra ID含むサブスクリプション。 Microsoft Entra ID P2 のステップ アップMicrosoft Entra ID ガバナンス、テナントに P2 をMicrosoft Entra IDするためのアクティブなサブスクリプション、または P2 を含むサブスクリプションMicrosoft Entra ID必要があります。

サービスのプロビジョニングおよび展開方法について

Microsoft Entra ID ガバナンス機能はテナント レベルで有効になりますが、ユーザーごとに実装されます。 Microsoft Entra ID ガバナンスの詳細については、「Microsoft Entra ID ガバナンスとは」を参照してください。

サービスのライセンスを取得しているテナント内のユーザーにのみサービスを適用する方法について

管理者は、アクセス パッケージ、アクセス レビュー、ライフサイクル ワークフロー、特権 ID 管理など、Microsoft Entra ID ガバナンス機能の範囲または恩恵を受けるすべての従業員に十分なMicrosoft Entra ID ガバナンスのシートがあることを確認する必要があります。 Microsoft Entra ID ガバナンスデプロイのスコープを設定する方法については、次を参照してください。

Microsoft Entra ID 保護

Microsoft Entra ID 保護は、Microsoft Entra ID P2 プランの機能であり、organizationの ID に影響を与える潜在的な脆弱性を検出し、検出された不審なアクションに対する自動応答を構成organizationの ID を確認し、疑わしいインシデントを調査し、それらを解決するための適切なアクションを実行します。

ユーザーがサービスのメリットを得る方法について

SecOps アナリストとセキュリティ専門家は、機械学習アルゴリズムに基づいて、フラグが設定されたユーザーとリスク イベントの統合ビューを利用できます。 エンド ユーザーは、リスクベースの条件付きアクセスを通じて提供される自動保護と、脆弱性に対処することで提供される強化されたセキュリティを利用できます。

サービスのメリットを得る権限をユーザーに提供するライセンスについて

  • Microsoft 365 E5/A5/G5、Enterprise Mobility & Security A5/E5/G5、Microsoft 365 A5/E5/F5/G5 Security、Microsoft 365 F5 Security & Compliance

使用可能なさまざまなプランに含まれる機能の詳細については、「Microsoft Entra ID 保護とは」を参照してください。

サービスのプロビジョニングおよび展開方法について

既定では、Microsoft Entra ID 保護機能はテナント内のすべてのユーザーに対してテナント レベルで有効になります。 Microsoft Entra ID 保護の詳細については、「Identity Protection とは」を参照してください。

サービスのライセンスを取得しているテナント内のユーザーにのみサービスを適用する方法について

管理者は、パスワード リセットのレベルを定義するリスク ポリシーを割り当て、ライセンスを持つユーザーにのみアクセスを許可することで、Microsoft Entra ID 保護のスコープを設定できます。 デプロイMicrosoft Entra ID 保護スコープを設定する方法については、「リスク ポリシーを構成して有効にする方法」を参照してください。

Microsoft Cloud のコンプライアンス プログラム

Microsoft Cloud のコンプライアンス プログラムは、パーソナライズされたカスタマー サポート、教育、ネットワークの機会を提供するように設計されています。 このプログラムに参加すると、お客様は、セキュリティ、コンプライアンス、プライバシーの分野で、規制機関、業界内の他社、Microsoft エキスパートと直接やり取りするユニークな機会を得ることができます。 このプログラムは、2013 年に作成された既存の金融サービス業界 (FSI) コンプライアンス プログラムに代わるプログラムです。

Microsoft Cloud のコンプライアンス プログラムにアクセスできるお客様について

Microsoft Cloud のコンプライアンス プログラムは、Microsoft 365 ライセンスと Office 365 ライセンスを持つ組織が利用できます。

現在 FSI コンプライアンス プログラムに登録しているお客様は、Microsoft Cloud の新しいコンプライアンス プログラムのサブスクリプションを購入する必要があります。 詳細については、「Microsoft Cloud のコンプライアンス プログラム」を参照してください。

ユーザーがサービスのメリットを得る方法について

リスク評価者、コンプライアンス責任者、内部監査者、プライバシー責任者、規制関連 / 法務、CISO などのクラウドへの移行に Microsoft を利用している企業組織は、このサービスのメリットを得られます。 お客様が受け取ることができる利用可能なメリットのシナリオの例を次に示します。

  • Microsoft クラウド サービスにオンボードして使用するための、リスク評価に対するリスクとコンプライアンスを継続して支援する。
  • Microsoft クラウド サービスに対する Microsoft および顧客管理のコントロールをサポートする。
  • サードパーティのクラウド サービスの使用に関する内部監査、規制機関、またはボード レベルの承認に関する支援を行う。
  • クラウド サービスの使用における複雑なリスクとコンプライアンス要件に関連する技術的な質問を継続してサポートする。
  • 一定数の顧客リスクとコンプライアンス アンケートへの入力を直接支援する。
  • コンプライアンスに関する規制機関や業界の専門家の取り組みの質問を解決するため、規制機関や業界の専門家と連携する。

サービスのプロビジョニングおよび展開方法について

既定では、サービスのメリットが得られるすべてのユーザーに対して、Microsoft Cloud のコンプライアンス プログラムがテナント レベルで有効になっています。 詳細については、「Microsoft Cloud のコンプライアンス プログラム」を参照してください。

Microsoft Defender for Business

Microsoft Defender for Businessは、中小企業 (最大 300 人の従業員) 向けに設計されたエンドポイント セキュリティ ソリューションです。 Microsoft Defender for Business はスタンドアロン ソリューションとして使用でき、Microsoft 365 Business Premium の一部としても含まれています。 このエンドポイント セキュリティ ソリューションを使用すると、中小企業 (SMB) 組織のデバイスは、ランサムウェア、マルウェア、フィッシング、その他の脅威から保護しやすくなります。

詳細については、「Microsoft Defender for Business」に関するページを参照してください。

サービスのメリットを得る権限をユーザーに提供するライセンスについて

Microsoft Defender for Businessは、Microsoft 365 Business Premium サブスクリプション プランの一部として含まれています。

Defender for Business のスタンドアロン バージョンは、最大 300 人の従業員が所属する中小企業 (SMB) のオプションとしても利用できます。 詳細については、「Microsoft Defender for Businessを取得する方法」を参照してください。

ユーザーがサービスのメリットを得る方法について

Microsoft Defender for Business を Microsoft 365 Business Premium に追加すると、エンドポイントの検出と対応、自動調査と修復などのテクノロジを使用して、クロスプラットフォーム エンドポイント保護と高度なランサムウェア防御を追加することで、Business Premium の既存の生産性とセキュリティ オファリングが強化されます。

Defender for Business のスタンドアロン バージョンでは、最大 300 人の従業員が勤務する中小企業が、エンタープライズ レベルのエンドポイント セキュリティ テクノロジをお手頃な料金で入手できます。

サービスのプロビジョニング/デプロイ方法

Microsoft 365 Business Premiumがある場合は、Microsoft Defender ポータルから Defender for Business にアクセスできます。

既定では、テナント内のすべてのユーザーに対して、Microsoft Defender for Business の機能がテナント レベルで有効になります。 Defender for Business を設定して構成する方法については、「Microsoft Defender for Business のドキュメント | Microsoft Docs」を参照してください。

Microsoft Defender for Businessの Defender for Business サーバー アドオンとは

Microsoft Defender for Business serversは、中小企業向けの Windows および Linux サーバーのエンドポイント セキュリティを提供します。 Defender for Business サーバー エクスペリエンスは、Defender for Business 内の 1 つの管理者エクスペリエンス内のクライアントとサーバーの両方に同じレベルの保護を提供し、すべてのエンドポイントを 1 つの場所で保護するのに役立ちます。

詳細については、「Get Microsoft Defender for Business servers |Microsoft Learn

Defender for Business サーバーの最大数量/シート上限は、顧客ごとに 60 ライセンスであることに注意してください。 お客様が 60 を超えるサーバー ライセンスを必要とする場合は、「サーバーのMicrosoft Defender」を参照してください。

サービスのメリットを得る権限をユーザーに提供するライセンスについて

Defender for Business サーバーは、次の機能を備えた組織のアドオンとして使用できます。

  • Microsoft Defender for Business (スタンドアロン)
  • Microsoft 365 Business Premium

お客様は、Microsoft Defender for Business serversを購入して使用するために、Microsoft 365 Business PremiumまたはMicrosoft Defender for Businessのライセンスを少なくとも 1 つ持っている必要があります。

詳細と、その他のリソースへのリンクについては、Microsoft Defender for Business FAQ を参照してください。

Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps はクラウド アクセス セキュリティ ブローカー (CASB) ソリューションであり、コア機能の実装や複数の種類の展開のサポートに柔軟に対応します。 Microsoft Defender for Cloud Apps は、ユーザー ベースのサブスクリプション サービスです。 各ライセンスは、ユーザーごと、月単位のライセンスであり、次に示すように、スタンドアロン製品として、または複数のライセンス プランの一部としてライセンスできます。

サービスのメリットを得る権限をユーザーに提供するライセンスについて

Microsoft Defender for Cloud Apps はスタンドアロン ライセンスとして利用可能で、次のプランの一部としても利用できます。

  • Enterprise Mobility + Security E5
  • Microsoft 365 E5/A5/G5, Microsoft 365 E5/A5/G5/F5 Security
  • Microsoft 365 E5/A5/G5/F5 Compliance
  • Microsoft 365 F5 Security & Compliance
  • Microsoft 365 E5/F5 情報の保護とガバナンス

P1 または P2 Microsoft Entra IDは、Defender for Cloud Apps の一部として含まれている検出機能を利用するユーザーの権限を提供します。

Defender for Cloud Apps の条件付きアクセス アプリ制御機能の恩恵を受けるためには、ユーザーに Microsoft Entra ID P1 のライセンスも付与する必要があります。これは、Enterprise Mobility + Security F1/F3/E3/A3/G3、Enterprise Mobility + Security E5、Microsoft 365 E3/A3/G3、Microsoft 365 E5/A5/G5、および Microsoft 365 E5/A5/G5/F5 Security and Microsoft 365 F5 Security & Compliance。

ユーザーがクライアント側の自動ラベル付けを利用するには、Enterprise Mobility + Security E5/A5/G5、Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 Compliance、Microsoft 365 F5 Security & Compliance、Microsoft 365 E5/F5 Information Protection and Governance に組み込まれる Azure Information Protection P2 のライセンスを取得する必要があります。

注: サーバー側の自動ラベル付けでは、Office 365 - Premium ライセンス (MIP_S_CLP2 または efb0351d-3b08-4503-993d-383af8de41e3) のInformation Protectionが必要です。 リファレンスについては、「 ライセンスの製品名とサービス プラン識別子」を参照してください。

サービスのプロビジョニングおよび展開方法について

既定では、テナント内のすべてのユーザーに対して、アプリ ガバナンスがテナントレベルで有効になります。 詳細については、「Microsoft 365 でのアプリ ガバナンス」と「アプリ ガバナンスの使用を開始する」を参照してください。

サービスのライセンスを取得しているテナント内のユーザーにのみサービスを適用する方法について

管理者は、サービスで利用可能なスコープ付き展開機能を使用して、Microsoft Defender for Cloud Apps の展開の対象を、ライセンスを取得しているユーザーに限定できます。 詳細については、「スコープ付き展開」を参照してください。

アプリ ガバナンスとは

アプリ ガバナンスは、Microsoft Entra IDに登録された OAuth 対応アプリ用に設計されたセキュリティおよびポリシー管理機能です。 これにより、アクション可能な分析情報と自動ポリシーアラートとアクションを通じて、これらのアプリとそのユーザーが Microsoft 365 に保存されている機密データにアクセスし、使用し、共有する方法を完全に可視化、修復、ガバナンスが実現します。

この機能を利用するユーザーの権限を提供するライセンスはどれですか?

2023 年 6 月 1 日の時点で、アプリ ガバナンスは、Defender for Cloud Apps を含むMicrosoft Defender for Cloud Appsおよび製品オファーに含まれています。

  • Microsoft Defender for Cloud Apps (スタンドアロン)
  • Enterprise Mobility + Security E5/A5
  • Microsoft 365 E5/A5
  • Microsoft 365 Security E5/A5/F5
  • Microsoft 365 コンプライアンス E5/A5/F5
  • Microsoft 365 E5/A5 情報の保護とガバナンス
  • Microsoft 365 F5 のセキュリティとコンプライアンス

詳細については、「Microsoft 365 のアプリ ガバナンス」を参照してください。

Microsoft Defender for Endpoint

Microsoft Defender for Endpoint は、次を含むエンドポイント セキュリティ ソリューションです。

  • リスクベースの脆弱性の管理と評価
  • 攻撃面の減少機能
  • 行動ベースとクラウドを活用した次世代の保護
  • エンドポイントでの検出と応答 (EDR)
  • 自動調査と修復
  • 管理された追求サービス

詳細については、「Microsoft Defender for Endpoint」を参照してください。

サービスのメリットを得る権限をユーザーに提供するライセンスについて

Microsoft Defender for Endpoint Plan 1 (P1)

Microsoft Defender for Endpoint P1 は、次世代のマルウェア対策、攻撃面の縮小ルール、デバイス制御、エンドポイント ファイアウォール、ネットワーク保護などの主要なエンドポイント保護機能を提供します。 詳細については、「Microsoft Defender for Endpoint Plan 1 と Plan 2」を参照してください。

Microsoft Defender for Endpoint P1 は、スタンドアロン ユーザー サブスクリプション ライセンスとして、Microsoft 365 E3/A3/G3 の一部として使用できます。

Microsoft Defender for Endpoint Plan 2 (P2)

Microsoft Defender for Endpoint P2 は、エンドポイントでの検出と対応、自動調査と修復、脅威と脆弱性の管理、脅威インテリジェンス、サンドボックス、Microsoft 脅威エキスパートなどの追加機能を備えた Microsoft Defender for Endpoint P1 のすべての機能を含む包括的なエンドポイント保護機能を提供します。 詳細については、「Microsoft Defender For Endpoint のドキュメント」を参照してください。

Microsoft Defender for Endpoint P2 は、スタンドアロン ライセンスとして、および次のプランの一部として使用できます。

  • Windows 11 Enterprise E5/A5
  • Windows 10 Enterprise E5/A5
  • Microsoft 365 E5/A5/G5 (Windows 10 または Windows 11 Enterprise E5 を含む)
  • Microsoft 365 E5/A5/G5/F5 Security
  • Microsoft 365 F5 セキュリティ/コンプライアンス

Microsoft Defender for Endpoint Server

サーバーのMicrosoft Defenderは、従来のオンプレミス サーバー ワークロード用に最適化されていますが、Windows および Linux サーバーもサポートしています。 オペレーティング システム環境 (OSE) ごとに、サーバーまたは仮想マシン用に個別のライセンスが必要です。

IoT のMicrosoft Defender - エンタープライズ IoT セキュリティ

Microsoft Defender IoT – エンタープライズ IoT セキュリティは、Microsoft Defender for Endpointと統合され、1 つのエクスペリエンスからエンタープライズ IoT デバイス全体の脆弱性を検出、継続的に監視、管理できます。

IoT のMicrosoft Defender - Microsoft 365 E5サブスクリプションとMicrosoft 365 E5 Security サブスクリプションに含まれる Enterprise IoT セキュリティ

Microsoft Defender IoT – Enterprise IoT セキュリティは、Microsoft 365 E5サブスクリプションとMicrosoft 365 E5 Security サブスクリプションに含まれています。 これらのサブスクリプションをお持ちのお客様は、対象となるユーザー ライセンスごとに最大 5 台の eIoT デバイスに対して、IoT – Enterprise IoT セキュリティ カバレッジをMicrosoft Defenderする権利があります。

IoT のMicrosoft Defender – デバイス アドオンごとのエンタープライズ IoT セキュリティ

Microsoft Defender IoT – デバイス ごとの Enterprise IoT セキュリティ アドオンは、Microsoft Defender for Endpoint P2 を持つお客様、または Microsoft Defender for Endpoint P2 を含むサブスクリプションで使用できます。

  • Microsoft 365 A5/E5
  • Microsoft 365 A5/E5/F5 セキュリティ
  • Microsoft 365 F5 のセキュリティとコンプライアンス
  • Windows 10/11 Enterprise A5/E5。

Microsoft Defender IoT – Enterprise IoT セキュリティ /デバイス アドオン ライセンスには、ライセンスごとに 1 つの eIoT デバイスが含まれます。

詳細については、「Defender for Endpoint を使用して Microsoft 365 で Enterprise IoT セキュリティを有効にする - IoT のMicrosoft Defender |Microsoft Learn

Microsoft Defender 脆弱性の管理

Microsoft Defender脆弱性管理は、商用および教育機関のお客様向けのスタンドアロン ユーザー サブスクリプション ライセンスとして、また、Microsoft Defender for Endpoint Plan 2 のお客様向けのアドオンとしても使用できます。

Defender 脆弱性の管理には、Windows、macOS、Linux、Android、iOS、ネットワーク デバイス用の資産の可視性、インテリジェントな評価、組み込みの修復ツールが用意されています。 Microsoft 脅威インテリジェンス、侵害の可能性予測、ビジネス コンテキスト、デバイスの評価を活用して、Defender 脆弱性の管理は最も重要な資産に対する最大の脆弱性を迅速かつ継続的に優先し、リスクを軽減するためのセキュリティ推奨事項を提供します。

Defender 脆弱性管理スタンドアロン: Defender for Endpoint Plan 2 をお持ちでないお客様は、脆弱性管理プログラムのニーズを満たすために、エンドポイント検出と応答 (EDR) ソリューションを Defender 脆弱性管理スタンドアロンで補完できます。

Defender 脆弱性管理アドオン: Microsoft Defender for Endpoint プラン 2 には、Microsoft Defender 脆弱性の管理 アドオンに含まれる新しい高度な脆弱性管理ツールを追加することで強化できる脆弱性管理機能が含まれています。

サーバーのMicrosoft Defender for EndpointにアドオンをMicrosoft Defender 脆弱性の管理する: サーバーのMicrosoft Defender for Endpointを持つお客様にプレミアム脆弱性管理機能を提供します。

サーバープラン 1 と Defender for Servers プラン 2 のMicrosoft Defenderには、脆弱性管理機能へのアクセスも含まれています。

詳細については、「Microsoft Defender 脆弱性の管理 |Microsoft LearnCompare Microsoft Defender 脆弱性の管理プランと機能 |Microsoft Learn

ユーザーがサービスの恩恵を受ける権利を提供するライセンスは何ですか?

Microsoft Defender脆弱性は、商用および教育機関のお客様向けのスタンドアロン ユーザー サブスクリプション ライセンスとして利用できます。
Defender 脆弱性管理は、次の機能を備えた組織のアドオンとして利用できます。

  • Microsoft Defender for Endpoint プラン 2 (スタンドアロン)
  • Microsoft 365 E5/A5
  • Microsoft 365 E5/A5/F5 セキュリティ
  • Microsoft 365 F5 セキュリティおよびコンプライアンス アドオン
  • Windows 11 Enterprise E5/A5
  • Windows 10 Enterprise E5/A5

サーバーのMicrosoft Defender for EndpointへのMicrosoft Defender 脆弱性の管理アドオンは、サーバーのMicrosoft Defender for Endpointを持つ組織で使用できます。 含まれている機能の詳細については、「Microsoft Defender 脆弱性の管理プランと機能の比較 |Microsoft Learn

Microsoft Defender for Identity

Microsoft Defender for Identity (以前の Azure Advanced Threat Protection) は、複数の高度な標的型サイバー攻撃や内部関係者による脅威からエンタープライズ ハイブリッド環境を保護するのに役立つクラウド サービスです。 Microsoft Defender for Identityは、ユーザーごとのサブスクリプション ライセンスです。

ユーザーがサービスのメリットを得る方法について

SecOp アナリストとセキュリティ プロフェッショナルは、Microsoft Defender for Identity 機能を利用して、高度な脅威、侵害された ID、悪意のある内部関係者のアクションを検出して調査します。 エンド ユーザーは、Microsoft Defender for Identity によってデータを監視することでメリットを得ることができます。

サービスのメリットを得る権限をユーザーに提供するライセンスについて

Enterprise Mobility + Security E5/A5、Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 Security、Microsoft F5 Security & Compliance、Microsoft Defender for Identity for Users は、Microsoft Defender for Identity のメリットを得る権限をユーザーに提供します。

サービスのプロビジョニングおよび展開方法について

Microsoft Defender for Identity機能は、テナント内のすべてのユーザーに対してテナント レベルで有効になります。 Microsoft Defender for Identity の構成の詳細については、「Microsoft Defender for Identity インスタンスを作成する」を参照してください。

サービスのライセンスを取得しているテナント内のユーザーにのみサービスを適用する方法について

Microsoft Defender for Identityなどの一部のテナント サービスでは、現在、特定のユーザーに特典を制限することはできません。 Microsoft ライセンス プログラムを通じて取得した Microsoft 製品とプロフェッショナル サービスの使用に関する使用条件を確認するには、 製品使用条件に関するページを参照してください。

Microsoft Defender for Office 365

Microsoft Defender for Office 365 (以前の Office 365 Advanced Threat Protection) は、フィッシングやゼロデイ マルウェアなどの高度な攻撃から組織を保護するのに役立ちます。 Microsoft Defender for Office 365は、さまざまなデータからの信号を関連付け、潜在的な脅威に対処する方法を特定、優先順位付けし、セキュリティ管理者に推奨案を提供します。

ユーザーがサービスのメリットを得る方法について

Microsoft Defender for Office 365 は、フィッシングやゼロデイ マルウェアなどの高度な攻撃からユーザーを保護します。 プラン 1 とプラン 2 で提供されるサービスの完全な一覧については、「Microsoft Defender for Office 365」を参照してください。

サービスのメリットを得る権限をユーザーに提供するライセンスについて

Microsoft Defender for Office 365 Plans 1 と Plan 2、Office 365 E5/A5/G5、Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 Security、Microsoft 365 F5 Security & Compliance、Microsoft 365 Business Premium は、Microsoft Defender for Office 365 のメリットを得る権限をユーザーに提供します。

このクイック リファレンスは、Microsoft Defender for Office 365 のそれぞれのサブスクリプションに含まれている機能を理解する上で役立ちます。 EOP の機能に関してすでに理解している内容と組み合わせることで、企業の意思決定者はそれぞれのニーズに最適な Microsoft Defender for Office 365 のプランを特定できます。

Microsoft Defender for Office 365 プラン 1 とプラン 2 の違いに関するクイック ガイド

Microsoft Defender for Office 365 プラン 1 Defender for Office 365 プラン 2
構成、保護、および検出機能:
  • 安全な添付ファイル
  • 安全なリンク
  • SPO、OneDrive、Teams 用の安全な添付ファイル機能
  • Defender for Office 365 のフィッシング対策保護
  • リアルタイムの検出
Defender for Office 365 Automation、
調査、修復、教育機能---加えて、---
1 つの機能を計画します。
  • 脅威トラッカー
  • 脅威エクスプローラー
  • 自動調査および対応
  • 攻撃シミュレーション トレーニング

詳細については、「Microsoft Defender for Office 365 および Exchange Online Protection を含む Office 365 セキュリティ - Office 365 | Microsoft Docs」を参照してください。

サービスのプロビジョニングおよび展開方法について

既定では、テナント内のすべてのユーザーに対して、Microsoft Defender for Office 365 の機能がテナントレベルで有効になります。 ライセンスを取得しているユーザー向けに Microsoft Defender for Office 365 ポリシーを構成する方法については、「Microsoft Defender for Office 365」の関連ページを参照してください。

Information Protection: Microsoft Purview Advanced Message Encryption

Microsoft Purview Advanced Message Encryption は、お客様が、外部の受信者と暗号化されたメールへのアクセスをより柔軟に制御する必要があるコンプライアンス義務を満たすのに役立ちます。 Purview Advanced Message Encryption を使用すると、管理者は、機密情報の種類 (個人識別情報や財務または正常性 ID など) を検出できる自動ポリシーを使用して、organizationの外部で共有される機密性の高いメールを制御できます。また、カスタムメール テンプレートを適用し、セキュリティで保護された Web ポータルを通じて暗号化されたメールへのアクセスを期限切れにすることで、キーワードを使用して保護を強化できます。 また、管理者はアクセス権限をいつでも無効にできるため、安全な Web ポータル経由での暗号化されたメールへの外部からのアクセスをさらに制御できます。

ユーザーがサービスのメリットを得る方法について

メッセージ送信者は、Advanced Message Encryption によって提供される機密性の高いメールに対する制御を強化することでメリットを得られます。

サービスのメリットを得る権限をユーザーに提供するライセンスについて

Office 365 E5/A5/G5、Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 Compliance and F5 Security & Compliance、Microsoft 365 E5/A5/F5/G5 Information Protection and Governance は、Advanced Message Encryption のメリットを得る権限をユーザーに提供します。

サービスのプロビジョニングおよび展開方法について

管理者は、Exchange 管理センターの [メール フロー]>[ルール] の下で、Advanced Message Encryption ポリシーを作成して管理します。 既定では、これらのルールはテナント内のすべてのユーザーに適用されます。 新しいメッセージ暗号化機能を設定する方法の詳細については、「新しい Office 365 Message Encryption 機能を設定する」を参照してください。

サービスのライセンスを取得しているテナント内のユーザーにのみサービスを適用する方法について

管理者は、Advanced Message Encryption のメール フロー ルールを、ライセンスを取得しているユーザーにのみ適用する必要があります。 メール フロー ルールの定義の詳細については、「Office 365 でメール メッセージを暗号化するためにメール フロー ルールを定義する」を参照してください。

Information Protection: Microsoft Purview Message Encryption

Microsoft Purview Message Encryptionは、Azure Rights Management (Azure RMS) に基づいて構築されたサービスで、宛先のメール アドレス (Gmail、Yahoo! Mail、Outlook.com など) に関係なく、organization内または外部のユーザーに暗号化されたメールを送信できます。

暗号化メッセージを表示するために、受信者は 1 回限りのパスコードを取得するか、Microsoft アカウントでサインインするか、Office 365 に関連付けられている職場または学校のアカウントでサインインできます。 受信者は暗号化された返事を送信することもできます。 暗号化されたメッセージを表示したり、暗号化された応答を送信したりするためのサブスクリプションは必要ありません。

ユーザーがサービスのメリットを得る方法について

メッセージ送信者は、Office 365 Message Encryption によって提供される機密性の高いメールに対する制御を強化することでメリットを得られます。

サービスのメリットを得られる権限をユーザーに提供するライセンス:

  • Microsoft 365 F3/E3/A3/G3/E5/A5/G5 と Microsoft Business Premium
  • Office 365 A1/E3/A3/G3/E5/A5/G5
  • Azure Information Protection プラン 1 では、Exchange Online Kiosk、Exchange Online プラン 1、Exchange Online プラン 2、Office 365 F3、Microsoft 365 Business Basic、Office 365 Business Premium、または Office 365 Enterprise E1 のプランに追加すると、組織が Office 365 Message Encryption のメリットを受ける権限も提供されます。

サービスのプロビジョニング/デプロイ方法

管理者は、Exchange 管理センターの [メール フロー]>[ルール] の下で、Office 365 Message Encryption ポリシーを作成して管理します。 既定では、これらのルールはテナント内のすべてのユーザーに適用されます。 新しい Office 365 メッセージ暗号化機能を設定する方法の詳細については、「新しい Message Encryption 機能を設定する」を参照してください。

サービスのライセンスを取得しているテナント内のユーザーにのみサービスを適用する方法について

管理者は、Office 365 Message Encryption のメール フロー ルールを、ライセンスを取得しているユーザーにのみ適用する必要があります。 メール フロー ルールの定義の詳細については、「メール メッセージを暗号化するためのメール フロー ルールを定義」を参照してください。

Microsoft Priva

詳細については、「Microsoft Priva」を参照してください。

Office 365 での特権アクセス管理

特権アクセス管理 (PAM) では、Office 365 の特権的管理タスクを細かくアクセス制限できます。 PAM を有効にした後に、昇格した特権タスクを完了するため、ユーザーは広範囲で時間に制約がある承認ワークフローを介してジャスト イン タイムのアクセスを要求する必要があります。

ユーザーがサービスのメリットを得る方法について

PAM を有効にすると、組織は継続的な特権のない状態で運用されます。 ユーザーは、データに自由なアクセスできる継続的な管理アクセスから生じる脆弱性に対する防御レイヤーを追加することでメリットを得ることができます。

サービスのメリットを得る権限をユーザーに提供するライセンスについて

Office 365 E5/A5、Microsoft 365 E5/A5、Microsoft 365 E5/A5/F5 コンプライアンス、F5 セキュリティ & コンプライアンス、および Microsoft 365 E5/A5/F5 Insider Risk Management は、PAM の恩恵を受ける権利をユーザーに提供します。

サービスのプロビジョニングおよび展開方法について

既定では、テナント内のすべてのユーザーに対して、PAM の機能がテナントレベルで有効になります。 PAM ポリシーの構成の詳細については、「特権アクセス管理の使用を開始する」を参照してください。

サービスのライセンスを取得しているテナント内のユーザーにのみサービスを適用する方法について

お客様は、承認者グループとアクセス ポリシーを通じてユーザーごとに PAM を管理できます。これは、ライセンスを取得しているユーザーに適用されます。

Microsoft Purview 監査

詳細については、「Microsoft Purview 監査 サービスの説明」を参照してください。

Microsoft Purview でのコミュニケーション コンプライアンス

コミュニケーション コンプライアンス (旧称 Microsoft 365 コミュニケーション コンプライアンス) での通信コンプライアンスは、組織内の不適切なメッセージの検出、キャプチャ、修復アクションの実行を支援することで、コミュニケーション リスクを最小限に抑えるのに役立ちます。 組織内外のメール、Microsoft Teams、サード パーティの通信をキャプチャする特定のポリシーを定義できます。 レビュー担当者は適切な修復処置を行い、組織のメッセージ基準に準拠しているかどうかを確認できます。

ユーザーがサービスのメリットを得る方法について

コンプライアンスの専門家は、通信コンプライアンス ポリシーによって組織の通信を監視することで、サービスのメリットを得ます。

サービスのメリットを得る権限をユーザーに提供するライセンスについて

Office 365 E5/A5/G5、Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 Compliance、Microsoft 365 F5 Security & Compliance、Microsoft 365 E5/A5/F5/G5 Insider Risk Management は、通信コンプライアンスのメリットを得る権限をユーザーに提供します。

次のライセンスの組み合わせは、コミュニケーション コンプライアンスを使用して、Copilot のプロンプトと応答でビジネスまたは行動規範違反を検出する権利を提供します。

  • Microsoft 365 E5 + Microsoft 365 Copilot。
  • Microsoft 365 E3 + Microsoft 365 E5 Compliance + Microsoft 365 Copilot。
  • Microsoft 365 E3 + Microsoft 365 E5 Insider Risk Management + Microsoft 365 Copilot。

サービスのプロビジョニング/デプロイ方法

管理者とコンプライアンスの専門家は、通信コンプライアンス ポリシーを Microsoft Purview コンプライアンス ポータルで作成します。 このポリシーでは、組織内でレビュー対象となる通信とユーザーを定義し、通信が満たす必要のある条件を定義して、レビューを実行する担当者を指定します。

サービスのライセンスを取得しているテナント内のユーザーにのみサービスを適用する方法について

管理者は、通信コンプライアンス ポリシーに含める特定のユーザーまたはグループを選択します。 グループを選択する際に、通信コンプライアンス ポリシーから除外するグループ内の特定のユーザーの選択も可能です。 通信コンプライアンス ポリシーの詳細については、「Microsoft Purview の通信コンプライアンスを開始する」を参照してください。

Microsoft Purview コンプライアンス マネージャー

コンプライアンス マネージャーは、組織のコンプライアンス要件をより簡単かつ便利に管理するのに役立つ Microsoft Purview コンプライアンス ポータルの機能です。 コンプライアンス マネージャーは、データ保護リスクのインベントリの作成から、複雑な制御の実装の管理、規制や認証の最新情報の入手、監査人への報告まで、コンプライアンスの過程全体を支援します。

コンプライアンス マネージャーは、以下の機能を提供することにより、コンプライアンスの簡素化とリスクの軽減を支援します。

  • 一般的な業界および地域の標準と規制に関する事前構築済みの評価。
  • 単一のツールを使用してリスク評価を効率的に完了させるためのワークフロー。
  • 組織に最も関連性の高い基準や規制の準拠を支援する、おすすめの改善のための処置について、手順を追って詳しく説明します。 Microsoft によって管理される処置については、実装の詳細と監査結果をご紹介します。
  • 改善のための処置を実行する際の進行状況を測定することで、コンプライアンス体制を理解するのに役立つ、リスクベースのコンプライアンス スコア。

コンプライアンス マネージャーにアクセスできるお客様について

コンプライアンス マネージャーは、Office 365および Microsoft 365 ライセンスを持つ組織、および米国政府機関コミュニティ クラウド (GCC)、GCC High、および国防総省 (DoD) のお客様が利用できます。 評価の可用性や管理機能は、ライセンス契約によって異なります。

プレミアム テンプレートとは

Premium テンプレートは、コンプライアンス マネージャーとヘルプのアドオン値です。

  • 複雑な規制要件を特定のコントロールに変換する
  • おすすめの改善のための処置を提案する
  • 規制に対するコンプライアンスの定量化可能な測定値を提供する

コンプライアンス マネージャーには 300 以上のプレミアム評価があり、お客様は、グローバル、地域、業界のさまざまな規制と標準に対するコンプライアンスを評価するために使用できます。

Microsoft Exchange Online ライセンスを含むサブスクリプションをお持ちのお客様は、Compliance Manager のプレミアム テンプレートを購入できます。

利用できるプレミアム テンプレートはどれですか?

プレミアム テンプレートの一覧を次に示します

既定で含まれているテンプレート (無料) はどれですか?

一部の評価は、コンプライアンス マネージャーとお客様のライセンスの種類の一部として含まれています。 詳細については、次の表とよく寄せられる質問を参照してください。

ライセンスの種類 評価テンプレート (既定で含まれる) 1
  • Microsoft 365 またはOffice 365 A1/E1/F1/G1
  • Microsoft 365 またはOffice 365 A3/E3/F3/G3
  • データ保護のベースライン
  • Microsoft 365 または Office 365 A5/E5/G5
  • Microsoft 365 A5/E5/F5/G5 Compliance
  • Microsoft 365 A5/E5/F5/G5 eDiscovery and Audit
  • Microsoft 365 A5/E5/F5/G5 Insider Risk Management
  • Microsoft 365 A5/E5/F5/G5 Information Protection and Governance
  • 任意の 3 つのプレミアム テンプレートの選択2
  • データ保護のベースライン
  • CMMC レベル 1-5 (G5 でのみ利用可能)
  • カスタム評価

1 規制に対応するテンプレートがすべてグループ化され、1 つのテンプレートとして扱われるようになりました。 たとえば、CMMC - レベル 1、CMMC - レベル 2 が 1 つのテンプレートとしてカウントされるようになりました。 その規制に複数のレベルまたはバージョンがある場合、同じ規制に対して複数のテンプレートを購入する必要はありません。
2 すべてのユーザーにライセンスが必要です。

Microsoft Purview カスタマー ロックボックス

カスタマー ロックボックス (旧称 Office 365 カスタマー ロックボックス) は、サービス操作に明示的なアクセス承認を付与する機能をお客様に提供することで、制御の追加レイヤーを提供します。 カスタマー ロックボックスは、明示的なデータ アクセス承認のための手順を示すことによって、組織が HIPAA や FedRAMP などの特定のコンプライアンス義務を満たすのにも役立つ場合があります。

ユーザーがサービスのメリットを得る方法について

カスタマー ロックボックスを使用すると、お客様の明示的な承認なしに、Microsoft では、サービス操作を実行するために組織のテナントにアクセスすることはできません。 カスタマー ロックボックスでは、お客様はコンテンツへのアクセス要求の承認ワークフローに移動します。 場合によっては、Microsoft のエンジニアがサポート プロセス中に、お客様から報告された問題のトラブルシューティングと修正を行う場合があります。 通常、問題は、Microsoft がサービスのために用意している広範なテレメトリおよびデバッグ ツールによって解決されます。 ただし、場合によっては、Microsoft のエンジニアがお客様のコンテンツにアクセスして、根本的な原因を特定し、問題を修正する必要があります。 カスタマーロックボックスでは、承認ワークフローの最終ステップとして、エンジニアが顧客にアクセスを要求を行う必要があります。 これで、組織にこれらの要求を承認または拒否するオプションが提供され、Microsoft エンジニアが組織のエンドユーザー データにアクセスできるかどうかを直接制御できます。

サービスのメリットを得る権限をユーザーに提供するライセンスについて

Office 365 E5/A5/G5、Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 Compliance and F5 Security & Compliance、Microsoft 365 E5/A5/F5/G5 Insider Risk Management は、カスタマー ロックボックスのメリットを得る権限をユーザーに提供します。

サービスのプロビジョニングおよび展開方法について

管理者は Microsoft 365 管理センターで、カスタマー ロックボックスを有効にできます。 詳細については、「カスタマー ロックボックス」を参照してください。 カスタマー ロックボックスが有効になっている場合、Microsoft はコンテンツにアクセスする前に組織の承認を得る必要があります。

サービスのライセンスを取得しているテナント内のユーザーにのみサービスを適用する方法について

現時点では、カスタマー ロックボックス サービスを特定のユーザーに制限することはできません。 テナント サービスでは現在、特定のユーザーにメリットを限定することはできませんが、ライセンスを取得したユーザーにサービスのメリットを限定するための取り組みを行う必要があります。 これにより、ターゲット設定機能が利用可能になったときに、サービスの一時的な中断を回避できます。

Microsoft Purview データ コネクタ

Microsoft は、Microsoft Purview コンプライアンス ポータルで構成できるサード パーティのデータ コネクタを提供します。 Microsoft が提供するデータ コネクタの一覧については、「サードパーティのデータ コネクタ」の表を参照してください。 この表には、Microsoft 365 でデータをインポートおよびアーカイブした後にサード パーティのデータに適用できるコンプライアンス ソリューションもまとめられ、各コネクタのステップ バイ ステップの手順へのリンクが含まれています。

ユーザーがサービスのメリットを得る方法

データ コネクター (旧称 Microsoft 365 データ コネクター) を使用して Microsoft 365 内のサード パーティのデータをインポートおよびアーカイブする主なメリットは、インポート後にさまざまな Microsoft Purview コンプライアンス ソリューションをデータに適用できる点です。 これにより、組織の Microsoft 以外のデータが、組織に影響を与える規制と標準に確実に準拠できます。

サービスのメリットを得る権限をユーザーに提供するライセンスについて

次のライセンスは、ユーザーがデータ コネクタのメリットを得る権限を提供します。

  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5/F5/G5 Information Protection & ガバナンス
  • Microsoft 365 E5/A5/G5/F5 Compliance
  • Microsoft 365 F5 Security & Compliance
  • Microsoft 365 E5/A5/F5/G5 Insider Risk Management
  • Microsoft 365 E5/A5/F5/G5 eDiscovery and Audit
  • Office 365 E5/A5/G5

Microsoft パートナーが提供する Microsoft Purview コンプライアンス ポータルのデータ コネクタの場合、これらのコネクタを展開する前に、パートナーとのビジネス関係が組織に必要になります。

サービスのプロビジョニング/デプロイ方法

コネクタは、Microsoft Purview コンプライアンス ポータルとコネクタ カタログを使用して構成されます。

サービスのライセンスを取得しているテナント内のユーザーにのみサービスを適用する方法

データ コネクタ サービスは、テナントレベルの値です。 このサービスのメリットを得るすべてのユーザーにライセンスを付与する必要があります。

Microsoft Purview データ ライフサイクル管理と Microsoft Purview レコード管理

Microsoft Purview データ ライフサイクル管理とMicrosoft Purview レコード管理の詳細については、「Microsoft Purview データ ライフサイクルとレコード管理サービスの説明」を参照してください。

Microsoft Purview データ損失防止: エンドポイント データ損失保護 (DLP)

組織は、Microsoft Purview データ損失防止 (DLP) を使用して、機密性が高いと判断されたアイテムのアクティビティを検出し、それらのアイテムの意図しない共有を防ぐことができます。 DLP の詳細については、「データ損失防止ポリシーについて」を参照してください。

エンドポイント データ損失防止 (エンドポイント DLP) は、DLP のアクティビティ検出と保護機能を、Windows 10、Windows 11、macOS (Catalina 10.15 以降) デバイスに物理的に格納される機密アイテムに拡張します。

サービスのメリットを得られる権限をユーザーに提供するライセンス:

  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5/F5/G5 コンプライアンスと F5 セキュリティ & コンプライアンス
  • Microsoft 365 E5/A5/F5/G5 Information Protection & ガバナンス

サービスのプロビジョニングおよび展開方法について

詳細については、「エンドポイントデータ損失防止の概要 - Microsoft Purview (コンプライアンス) |データ損失防止のMicrosoft Docsと詳細情報 - Microsoft Purview (コンプライアンス) |Microsoft Docs

Microsoft Purview コンプライアンス ポータルを使用すると、エンドポイント DLP ポリシーを、オンボードデバイスにログインするユーザーにスコープを設定できます。 ポリシーは、スコープ付きユーザーがオンボードデバイスにログオンしたときに評価されます。 詳細については、 デバイスの Microsoft Endpoint DLP 対話型ガイド を参照してください。

ユーザーは、暗号化されたデータをクラウドに移行できることで二重キー暗号化のメリットを得られます。これにより、キーをユーザーが管理している限り、サード パーティからのアクセスが防止されます。 ユーザーは、他の秘密度ラベルで保護されたコンテンツと同様に、二重キーで暗号化されたコンテンツを保護して使用できます。

サービスのメリットを得る権限をユーザーに提供するライセンスについて

Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/F5/G5 コンプライアンス、Microsoft 365 F5 セキュリティ & コンプライアンス、Microsoft 365 E5/A5/G5 Information Protectionとガバナンス、EMS E5 は、ユーザーがダブル キー暗号化を利用できる権限を提供します。

次のライセンスは、機密データへの Copilot アクセスを防ぐために、ダブル キー暗号化 (DKE) を適用する権限を提供します。

  • Microsoft 365 E5 + Microsoft 365 Copilot
  • Microsoft 365 E3 + Microsoft E5 コンプライアンス + Microsoft 365 Copilot
  • Microsoft 365 E3 + Microsoft 365 E5 Information Protectionとガバナンス + Microsoft 365 Copilot

サービスのプロビジョニングおよび展開方法について

二重キー暗号化は、Windows 版 Microsoft Office のデスクトップ バージョンをサポートします。

サービスのライセンスを取得しているテナント内のユーザーにのみサービスを適用する方法について

Office 365 または Microsoft 365 組織内のデータにライセンスを取得しているユーザーの暗号化キーを割り当てるには、二重キー暗号化の展開手順に従ってください。

Microsoft Purview データ損失防止: Exchange Online、SharePoint Online、OneDrive for Businessのデータ損失防止 (DLP)

Exchange Online、SharePoint Online、OneDrive for BusinessのMicrosoft Purview データ損失防止 (旧称 Microsoft Office 365データ損失防止)、組織は電子メールやファイル (Microsoft Teams ファイル リポジトリに格納されているファイルを含む) 全体の機密情報を識別、監視、および自動的に保護できます。

ユーザーがサービスのメリットを得る方法

ユーザーは、組織の DLP ポリシーで構成されているように、メールやファイルの機密情報を検査する際に、Exchange Online、SharePoint Online、OneDrive for Business 向けの DLP を利用できます。

サービスのメリットを得られる権限をユーザーに提供するライセンス:

  • Microsoft 365 E5/A5/G5/E3/A3/G3、Microsoft 365 Business Premium、SharePoint Online プラン 2、OneDrive for Business (Plan 2)、Exchange Online プラン 2
  • Office 365 E5/A5/G5/E3/A3/G3
  • Microsoft 365 E5/A5/G5/F5 Compliance and F5 Security & Compliance
  • Microsoft 365 E5/A5/F5/G5 Information Protection とガバナンス

サービスのプロビジョニング/デプロイ方法

既定では、Exchange Online のメール、SharePoint サイト、OneDrive アカウントが、テナント内のすべてのユーザーに対して、これらの DLP 機能の有効な場所 (ワークロード) です。 DLP ポリシーの詳細については、「データ損失防止ポリシーの概要」を参照してください。

サービスのライセンスを取得しているテナント内のユーザーにのみサービスを適用する方法

管理者は、Microsoft Purview コンプライアンス ポータルで場所 (ワークロード) のカスタマイズ、ユーザーの追加、ユーザーの除外を行うことができます。

Microsoft Purview データ損失防止: Teams のデータ損失防止 (DLP)

DLP for Teams を使用すると、組織は、財務情報、個人を識別する情報、健康関連の情報、その他の機密情報などの機密情報を含むチャットやチャネル メッセージをブロックできます。

サービスのメリットを得られるユーザーについて

  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5/G5/F5 Compliance and F5 Security & Compliance
  • Microsoft 365 E5/A5/F5/G5 Information Protection とガバナンス
  • Office 365 E5/A5/G5

ユーザーがサービスのメリットを得る方法について

送信者は、組織の DLP ポリシーで構成されているように、送信チャット メッセージとチャネル メッセージで機密情報を検査することでメリットを得ることができます。

サービスのプロビジョニングおよび展開方法について

既定では、Teams チャット メッセージとチャネル メッセージが、テナント内のすべてのユーザーに対して、これらの DLP 機能の有効な場所 (ワークロード) です。 Teams のデータ損失防止を有効にするには、Microsoft 365 管理 ポータルで上記のいずれかのライセンスの下で "Microsoft Communications DLP" サービスを選択する必要があります。 DLP ポリシーの詳細については、「データ損失防止ポリシーの概要」を参照してください。

サービスのライセンスを取得しているテナント内のユーザーにのみサービスを適用する方法

管理者は、Microsoft Purview コンプライアンス センターで、場所 (ワークロード)、含まれるユーザー、除外されるユーザーをカスタマイズできます。

Microsoft Purview データ損失防止: Teams データ損失防止 (DLP) と Teams エクスポート用の Graph API

これらの API を使用すると、開発者は、Microsoft Teams メッセージをほぼリアルタイムで「聞く」ことや、1 対 1 またはグループ チャットあるいは Teams チャネルでチーム メッセージをエクスポートすることが可能なセキュリティおよびコンプライアンス アプリを構築できます。 これらの API を使用すると、お客様と ISV の両方で DLP やその他の情報保護とガバナンスのシナリオを実現できます。 さらに、Microsoft Graph Patch API では、Teams メッセージに DLP アクションを適用できます。

ユーザーがサービスのメリットを得る方法について

データ損失防止 (DLP) 機能は、特に組織がリモート ワークに移行するときに、Microsoft Teams で広く使用されています。 組織に DLP がある場合は、Microsoft Teams チャネルまたはチャット セッションで機密情報を共有できないようにするポリシーを定義できるようになりました。

情報保護とガバナンス機能は、特に組織がリモート ワークに移行するときに、Microsoft Teams で広く使用されています。 Teams Export APIを使用すると、データをサードパーティの電子情報開示またはコンプライアンス アーカイブ アプリケーションにエクスポートして、コンプライアンス プラクティスに確実に準拠します。

サービスのメリットを得られる権限をユーザーに提供するライセンス:

  • Office 365 E5/A5/G5
  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5/F5/G5 コンプライアンスと Microsoft 365 F5 セキュリティ & コンプライアンス
  • Microsoft 365 E5/A5/F5/G5 Information Protection とガバナンス

サービスのプロビジョニングおよび展開方法について

API アクセスはテナント レベルで構成されます。 Teams DLP 用の Microsoft Graph API を有効にするには、Microsoft 365 管理で上記のいずれかのライセンスの下で "Microsoft Communications DLP" サービスを選択する必要があります。

サービスのライセンスを取得しているテナント内のユーザーにのみサービスを適用する方法について

Teams DLP と Teams エクスポート向けのMicrosoft Graph API は、テナント レベルの値を提供します。 このサービスのメリットを得るすべてのユーザーにライセンスを付与する必要があります。 付加価値として、ライセンスを取得しているユーザーごとにシードされた容量を追加し、月単位で計算し、テナント レベルで集計します。 使用量がシードされた容量を超えた場合、アプリの所有者に API の使用分が課金されます。

シードされた容量と使用料の詳細については、「チャット メッセージにアクセスするためのグラフ要件」を参照してください。

Microsoft Purview 電子情報開示

詳細については、「Microsoft Purview eDiscovery」を参照してください。

Microsoft Purview 情報バリア

情報バリアは、ユーザーまたはグループが相互に通信するのを防ぐために、管理者が構成できるポリシーです。 これは、たとえば、ある部門が他の部門と共有してはならない情報を処理している場合や、グループが外部の連絡先と通信できないようにする場合に役立ちます。 情報バリア ポリシーでは、ルックアップとディスカバリーも防止されます。 つまり、コミュニケーションを取る必要がないユーザーと通信しようとすると、そのユーザーはユーザー ピッカーに表示されません。

ユーザーがサービスのメリットを得る方法について

ユーザーは、他のユーザーとの通信が制限されている場合に、情報バリアの高度なコンプライアンス機能を利用できます。 情報バリア ポリシーを定義して、ユーザーの特定のセグメントがそれぞれのセグメントと通信できないようにしたり、特定のセグメントが特定の他のセグメントとのみ通信することを許可したりできます。 情報バリア ポリシーの定義の詳細については、「 情報バリア (IB) ポリシーの定義」を参照してください。 IB ポリシー (ブロックまたは許可) を定義する場合、"割り当てられたセグメント" で定義されたセグメントに属するユーザーにはライセンスが必要です。 次の 2 つのシナリオの例を示します。

シナリオ ライセンスが必要なユーザー
1. IB ブロック ポリシー - 2 つのグループ (グループ 1 とグループ 2) が相互に通信できません (つまり、グループ 1 ユーザーはグループ 2 ユーザーとの通信が制限され、グループ 2 ユーザーはグループ 1 ユーザーとの通信が制限されます)。

例:

New-InformationBarrierPolicy-Name"Group1-Group2" -AssignedSegment"Group1"-SegmentsBlocked"Group2"

New-InformationBarrierPolicy-Name"Group2-Group1" -AssignedSegment"Group2"-SegmentsBlocked"Group1"
グループ 1 とグループ 2 の両方のユーザー
2. IB 許可ポリシー - 3 つのグループ (グループ 1、グループ 2 & グループ 3) は、グループ 4 およびグループ 5 とのみ対話できます。

例:

New-InformationBarrierPolicy-Name"Group1-Group4 Group5" -AssignedSegment"Group1"-SegmentsAllowed"Group4,Group5"

New-InformationBarrierPolicy-Name"Group2-Group4 Group5" -AssignedSegment"Group2"-SegmentsAllowed"Group4,Group5"

New-InformationBarrierPolicy-Name"Group3-Group4 Group5" -AssignedSegment"Group3"-SegmentsAllowed"Group4,Group5"
グループ 1、グループ 2 & グループ 3 のユーザー

サービスのメリットを得る権限をユーザーに提供するライセンスについて

  • Microsoft 365 E5/G5/A5/A3/A1
  • Office 365 E5/A5/A3/A1
  • Microsoft 365 E5/F5 コンプライアンス
  • Microsoft 365 E5/G5/A5 Insider Risk Management
  • Microsoft 365 F5 のセキュリティとコンプライアンス
  • Office 365 E3 + Enterprise Mobility & Security E3 + E5 Compliance
  • Office 365 E3 + Enterprise Mobility & Security E3 + Insider Risk Management
  • Office 365 Advanced Compliance アドオン (新しいサブスクリプションでは使用できなくなりました)

サービスのプロビジョニング/デプロイ方法

管理者は、Microsoft Purview コンプライアンス ポータルで PowerShell コマンドレットを使用して情報バリア ポリシーを作成・管理します。 情報バリア ポリシーを作成するには、管理者に Microsoft 365 Enterprise グローバル管理者、Office 365 グローバル管理者、またはコンプライアンス管理者の役割が割り当てられている必要があります。 既定では、これらのポリシーはテナント内のすべてのユーザーに適用されます。 情報バリアの詳細については、「Microsoft Teams における情報バリア」に関するページを参照してください。

サービスのライセンスを取得しているテナント内のユーザーにのみサービスを適用する方法

管理者は、Microsoft Purview コンプライアンス センターで、場所 (ワークロード)、含まれるユーザー、除外されるユーザーをカスタマイズできます。 詳細については、Microsoft Teams における情報バリアに関するページを参照してください。

Microsoft Purview Information Protection カスタマー キー

カスタマー キー (旧称 Microsoft 365 用カスタマー キー) を使って、組織の暗号化キーを制御し、Microsoft データ センターにある保存データの暗号化にカスタマー キーを使用するよう Microsoft 365 を構成できます。 つまり、カスタマー キーを使用すると、独自のキーを使用して、自分に属する暗号化のレイヤーを追加できるということです。 カスタマー キーは、Microsoft 365 保存データ暗号化サービスを通じて、複数のMicrosoft 365 ワークロードに対する保存データの暗号化をサポートします。 さらに、カスタマー キーは、SharePoint Online とOneDrive for Business データの暗号化と Exchange Online メールボックス レベルの暗号化を行います。

ユーザーがサービスのメリットを得る方法について

ユーザーは、自分の組織で提供、制御、管理する暗号化キーを使用して、保存データをアプリケーション レイヤーで暗号化することで、カスタマー キーのメリットを得ます。

サービスのメリットを得る権限をユーザーに提供するライセンスについて

Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 コンプライアンス、365 F5 セキュリティ & コンプライアンス、Microsoft 365 E5/A5/G5/F5 Information Protectionとガバナンス、および Office 365 E5/A5/G5 は、ユーザーに対する権限を提供します。カスタマー キーのメリットを享受できます。 カスタマー キーを最大限に活用するには、Azure Key Vault のサブスクリプションも必要です。

サービスのプロビジョニングおよび展開方法について

カスタマー キーを設定する」では、必要な Azure リソースの作成と構成を行うための手順について説明し、続いてカスタマー キーを設定する手順について説明します。

サービスのライセンスを取得しているテナント内のユーザーにのみサービスを適用する方法について

複数のワークロード暗号化をサポートする Microsoft 365 保存データ サービスは、テナント レベルのサービスです。 ライセンスのないユーザーの一部は、技術的にはサービスにアクセスできる場合がありますが、サービスのメリットを得る予定のユーザーにはライセンスが必要です。 Exchange Online メールボックス レベルの暗号化の場合、データ暗号化ポリシーを割り当てるには、ユーザー メールボックスにライセンスが必要です。

Microsoft Purview 情報保護: データ分類分析: 概要 コンテンツ & アクティビティ エクスプローラー

データ分類分析機能は、Microsoft Purview コンプライアンス ポータルで使用できます。 概要には、デジタル コンテンツの場所と、最も一般的な既存の機密情報の種類とラベルが表示されます。 コンテンツ エクスプローラーで機密データの量と種類を可視化し、ユーザーがラベルまたは秘密度の種類でフィルター処理して、機密データが格納されている場所の詳細なビューを取得できます。 アクティビティ エクスプローラーには、機密データとラベルに関連するアクティビティ (コンテンツを危険にさらす可能性のあるラベルのダウングレードや外部共有など) が表示されます。

アクティビティ エクスプローラーには、エンド ユーザーが使用している機密情報に関連するアクティビティを管理者が表示するための 1 つのウィンドウが用意されています。 データには、ラベル アクティビティ、データ損失防止 (DLP) ログ、自動ラベル付け、エンドポイント DLP などがあります。

コンテンツ エクスプローラーを使用すると、管理者は、サポート対象の Microsoft 365 ワークロード内に格納されている機密性の高いドキュメントにインデックスを作成し、格納されている機密情報を特定できます。 さらに、コンテンツ エクスプローラーは、秘密度ラベルと保持ラベルで分類されたドキュメントを識別するのに役立ちます。

ユーザーがサービスのメリットを得る方法について

情報保護およびコンプライアンス管理者は、サービスにアクセスし、続いてログとインデックス付きデータにアクセスして、機密データが格納されている場所、このデータに関連してエンド ユーザーが実行するアクティビティを把握できます。

サービスのメリットを得る権限をユーザーに提供するライセンスについて

Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5 コンプライアンス、Microsoft 365 E5/A5/G5 Information Protection & ガバナンスおよびOffice 365 E5のライセンスを持つユーザーは、Microsoft 365 データ分類分析の恩恵を受けることができます。

Microsoft 365 E3/A3/G3 と Office 365 E3/A3/G3 を使用すると、ユーザーは、コンテンツ エクスプローラーのデータ集約のみ利用できます。

サービスのプロビジョニングおよび展開方法について

既定では、テナント内のすべてのユーザーに対して、概要コンテンツとアクティビティ エクスプローラーの機能がテナントレベルで有効になります。 ライセンスを取得しているユーザーのデータ分類分析の構成については、以下を参照してください。

サービスのライセンスを取得しているテナント内のユーザーにのみサービスを適用する方法

この機能は、Microsoft Purview コンプライアンス ポータル内でソリューションをアクティブに使用するユーザーに適用される必要があります。

Microsoft Purview Information Protection: 二重キー暗号化

二重キー暗号化 (旧称 Microsoft 365 向け二重キー暗号化) を使用すると、機密性の高いデータを保護して特別な要件を満たし、暗号化キーを完全に制御できます。 二重キー暗号化では、2 つのキーを使用してデータを保護します。1 つのキーを自身で管理し、2 つ目のキーは Microsoft Azure が安全に格納します。 データを表示するには、両方のキーにアクセスできる必要があります。 Microsoft は 1 つのキーにしかアクセスできず、お客様のキーとデータは Microsoft では利用できないため、お客様はデータのプライバシーとセキュリティを完全に制御できます。

ユーザーがサービスのメリットを得る方法について

ユーザーは、暗号化されたデータをクラウドに移行できることで二重キー暗号化のメリットを得られます。これにより、キーをユーザーが管理している限り、サード パーティからのアクセスが防止されます。 ユーザーは、他の秘密度ラベルで保護されたコンテンツと同様に、二重キーで暗号化されたコンテンツを保護して使用できます。

サービスのメリットを得る権限をユーザーに提供するライセンスについて

Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/F5/G5 コンプライアンス、Microsoft 365 F5 セキュリティ & コンプライアンス、Microsoft 365 E5/A5/G5 Information Protectionとガバナンス、EMS E5 は、ユーザーがダブル キー暗号化を利用できる権限を提供します。

サービスのプロビジョニングおよび展開方法について

二重キー暗号化は、Windows 版 Microsoft Office のデスクトップ バージョンをサポートします。

サービスのライセンスを取得しているテナント内のユーザーにのみサービスを適用する方法について

Office 365 または Microsoft 365 組織内のデータにライセンスを取得しているユーザーの暗号化キーを割り当てるには、二重キー暗号化の展開手順に従ってください。

Microsoft Purview Information Protection: 秘密度ラベル付け

Information Protectionは、組織が機密性の高いドキュメント、メールと会議、グループとサイトを検出、分類、ラベル付け、保護するのに役立ちます。 管理者がラベルを自動的に適用するルールと条件を定義し、ユーザーが手動でラベルを適用します。または、この 2 つを組み合わせて使用することもできます。その場合、ユーザーにはラベルの適用に関する推奨事項が表示されます。

ユーザーがサービスのメリットを得る方法について

ユーザーは、秘密度ラベルを作成、手動で適用、または自動的に適用し、秘密度ラベルが適用されたコンテンツを使用できることでメリットがあります。

サービスのメリットを得る権限をユーザーに提供するライセンスについて

手動による秘密度のラベル付けでは、次のライセンスがユーザー権限を提供します。

  • Microsoft 365 E5/A5/G5/E3/A3/G3/F1/F3/Business Premium/OneDrive for Business (Plan 2)
  • Enterprise Mobility + Security E3/E5
  • Office 365 E5/A5/E3/A3
  • AIP プラン 1
  • AIP プラン 2

スケジュールされた会議の手動秘密度ラベル付けの場合、次のライセンスはユーザー権限を提供します。

  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5/G5/F5 Compliance
  • Microsoft E5/A5/G5/F5 Information Protectionとガバナンス
  • Microsoft 365 F5 セキュリティ/コンプライアンス
  • Office 365 E5/A5

Teams オンライン会議の手動秘密度ラベル付けの場合、次の追加ライセンスによってユーザー権限が提供されます。

  • Microsoft 365 E5/A5/G5 + Teams Premium
  • Microsoft 365 E5/A5/G5/F5 コンプライアンス + Teams Premium
  • Microsoft E5/A5/F5/G5 Information Protectionとガバナンス + Teams Premium
  • Microsoft 365 F5 Security & Compliance + Teams Premium
  • Office 365 E5/A5 + Teams Premium

Microsoft 365 Copilot の入力から出力にラベルを継承する場合、次の追加ライセンスはユーザー権限を提供します。

  • Microsoft 365 E3/E5 + Microsoft 365 Copilot

Microsoft 365 Copilot によって生成されたコンテンツの秘密度ラベルの場合、次の追加ライセンスはユーザー権限を提供します。

  • Microsoft 365 E5 + Microsoft 365 Copilot
  • Microsoft 365 E3 + Microsoft E5 コンプライアンス + Microsoft 365 Copilot
  • Microsoft 365 E3 + Microsoft E5 Information Protectionとガバナンス + Microsoft 365 Copilot

クライアント側とサービス側の自動秘密度ラベル付けでは、次のライセンスがユーザー権限を提供します。

  • Microsoft 365 E5/A5/G5
  • Microsoft E5/F5 コンプライアンス
  • Microsoft F5 セキュリティ & コンプライアンス
  • Microsoft 365 E5/A5/G5 Information Protection and Governance
  • Office 365 E5/A5/G5

クライアント側の自動秘密度ラベル付けのみでは、次のライセンスがユーザー権限を提供します。

  • Enterprise Mobility + Security E5/A5/G5
  • AIP プラン 2

Power BI で秘密度ラベルを適用して表示し、Power BI から Excel、PowerPoint、または PDF にエクスポートするときにデータを保護するには、次のライセンスがユーザー権限を提供します。

  • Microsoft 365 E5/A5/G5/E3/A3/G3/F1/F3/Business Premium
  • Enterprise Mobility + Security E3/E5
  • AIP プラン 1
  • AIP プラン 2

SharePoint ドキュメント ライブラリに既定の秘密度ラベルを適用するには、次のライセンスがユーザー権限を提供します。

  • Microsoft Syntex - SharePoint Advanced Management
  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5/G5/F5 Compliance
  • Microsoft 365 F5 のセキュリティとコンプライアンス
  • Microsoft 365 E5/A5/G5/F5 Information Protectionとガバナンス
  • Office 365 E5/A5/G5

秘密度ラベルを使用して SharePoint サイトに認証コンテキストを介して条件付きアクセス ポリシーを適用する場合、次のライセンスはユーザー権限を提供します。

  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5 Information Protection and Governance
  • Office 365 E5/A5/G5

注:

Set-SPOSite PowerShell コマンドレットを使用して SharePoint サイトに直接認証コンテキストを介して条件付きアクセス ポリシーを適用することもできます。また、次のライセンスはユーザー権限を提供します。

  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/F5 コンプライアンス
  • Microsoft 365 E5 Information Protection and Governance
  • Office 365 E5/A5/G5
  • Microsoft Syntex - SharePoint Advanced Management

これらの機能の詳細については、「 SharePoint サイトの条件付きアクセス ポリシー」および「OneDrive - Microsoft 365 の SharePoint |Microsoft Learn

ユーザーが AIPService PowerShell モジュールを利用して Azure Information Protection 向けに Azure Rights Management 保護サービスを管理する方法については、「Azure Information Protection」を参照してください。

注:

上記のライセンス情報に加えて、

  • Premium ライセンス/プラン 2 が割り当てられている場合でも、ユーザーがOffice 365と AIP のInformation Protectionの秘密度ラベル付けにアクセスするには、Premium/P2 ライセンスに加えて、Standard/Plan 1 ライセンスを割り当てる必要があります。 たとえば、Office 365 Premium のInformation Protectionがユーザーに割り当てられている場合、そのユーザーには、秘密度ラベル付けを使用するために割り当てられている Office 365 Standard のInformation Protectionも必要です。 また、AIP P2 がユーザーに割り当てられている場合は、そのユーザーにも AIP P1 が割り当てられている必要があります。
  • Power BI は Microsoft 365 E5/A5/G5 に含まれています。他のすべてのプランでは、Power BI は個別にライセンスを取得する必要があります。
  • 機械学習に基づく自動分類 (トレーニング可能な分類子) に関するユーザーのメリット情報については、「情報ガバナンス」または「レコード管理」を参照してください。
  • 秘密度ボタン (MIP) はサポートされていないか、Office 365 アプリのデバイス ベースのライセンスでは使用できません。

サービスのプロビジョニングおよび展開方法について

既定では、テナント内のすべてのユーザーに対して、情報保護の機能がテナント レベルで有効になります。 ライセンスを取得しているユーザーのポリシーの構成については、「Azure Rights Management を有効化する」を参照してください。

サービスのライセンスを取得しているテナント内のユーザーにのみサービスを適用する方法について

Microsoft Purview 情報保護スキャナー (以前は AIP スキャナーと呼ばれ、Purview コンプライアンス ポータルからアクセス可能) 機能を使用する場合を除き、ポリシーの範囲を特定のグループまたはユーザーに限定し、ライセンスのないユーザーが分類やラベル付け機能を実行できないようにすることができます。

Microsoft Purview 情報保護スキャナー機能の場合、Microsoft は、ライセンスを持たないユーザーにファイル分類、ラベル付け、または保護機能を提供することにコミットしません。

詳細については、以下を参照してください:

Microsoft Purview インサイダー リスク管理

インサイダー リスク管理 (旧称 Microsoft 365 Insider Risk Management) は、組織内の危険なアクティビティを検出、調査、および対処できるようにすることで、内部リスクを最小限に抑えるソリューションです。

カスタム ポリシーを使用すると、必要に応じて Microsoft Purview 電子情報開示 (プレミアム) (旧称 Microsoft Advanced eDiscovery) にケースをエスカレーションするなど、組織内の悪意のある危険なアクティビティおよび不注意による危険なアクティビティを検出して対処できます。 組織内のリスク アナリストは、ユーザーが組織のコンプライアンス基準に準拠していることを確認するために、適切なアクションをすばやく実行できます。

ユーザーがサービスのメリットを得る方法について

ユーザーは、アクティビティのリスクを監視することでメリットを得ることができます。

サービスのメリットを得る権限をユーザーに提供するライセンスについて

Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 Compliance and F5 Security & Compliance、Microsoft 365 E5/A5/F5/G5 Insider Risk Management は、インサイダー リスク管理のメリットを得る権限をユーザーに提供します。

サービスのプロビジョニング/デプロイ方法

インサイダー リスク管理ポリシーは、Microsoft Purview コンプライアンス ポータルで作成し、ユーザーに割り当てる必要があります。

サービスのライセンスを取得しているテナント内のユーザーにのみサービスを適用する方法

詳細については、「インサイダー リスク管理の概要」を参照してください。

インサイダー リスク管理フォレンジック証拠

Insider Risk Management のフォレンジック証拠アドオンとは

フォレンジック証拠は、ユーザー のプライバシーが組み込まれた、潜在的なインサイダー データ セキュリティ インシデントに関する視覚的な分析情報をセキュリティ チームに提供する、Microsoft Purview インサイダー リスク管理のオプトイン機能、容量アドオン機能です。

お客様がサービスの恩恵を受ける権利を提供するライセンスはどれですか?

Insider Risk Management のフォレンジック証拠アドオンは、Microsoft 365 E5/G5、Microsoft 365 E5/G5 コンプライアンス、または Microsoft 365 E5/G5 Insider Risk Management ライセンスを持つ組織で使用できます。

顧客は、1 か月あたり 100 GB 単位でフォレンジック証拠アドオンを購入できます。 購入した容量は、管理者が構成したフォレンジック証拠ポリシーでスコープを設定したユーザーのテナント レベルでのフォレンジック証拠インジェストに基づいて測定されます。

顧客がサービスにアクセスする方法について

お客様は、Microsoft Purview コンプライアンス ポータルでサービスにアクセスできます。 フォレンジック証拠の詳細については、技術ドキュメントを参照してください