Microsoft Purview コレクション ポリシーには、多くの構成オプションがあります。 各オプションで、ポリシーの動作を変更します。 この記事では、構成オプションにマップされるポリシーの一般的な意図シナリオについて説明します。 次に、これらのオプションの構成について説明します。 これらのシナリオについて理解したら、コレクション ポリシー作成 UX を使用して独自のポリシーを作成するために必要な基本的なスキルが得られます。
開始する前に
Microsoft Purview コレクション ポリシーを初めて使用する場合は、前に理解しておくべきコア記事の一覧を次に示します。
SKU /サブスクリプションライセンス
ライセンスの詳細については、次を参照してください。
Microsoft Purview の課金モデルについて説明します
詳細な役割と役割グループ
アクセス制御を微調整するために使用できる役割と役割グループがあります。
該当する役割の一覧を次に示します。
- DLP コンプライアンス管理
詳細については、「Microsoft Purview ポータルのアクセス許可」を参照してください。
該当する役割グループの一覧を次に示します。
- 組織の管理
- コンプライアンス管理者
- セキュリティ管理者
- インサイダーリスク管理管理
- Information Protection レベル
- データ セキュリティ ビューアー (読み取り専用サポート)
ポリシーの作成シナリオ
ポリシー作成フローには非常に多くの構成オプションがあるため、すべての構成、またはほとんどの構成をカバーすることはできません。 そのため、この記事では、最も一般的なコレクション ポリシー シナリオをいくつか取り上めます。 これらの手順を実行すると、さまざまな構成で経験を得られます。
シナリオ 1 アンマネージド クラウド アプリと共有されている機密データをネットワーク経由で検出する (プレビュー)
このシナリオでは、アンマネージド クラウド アプリと共有されている機密データをネットワーク レベルで検出します。 ネットワーク トラフィックの可視性は、統合された Secure Access Service Edge (SASE) プロバイダーによって提供されるため、統合を構成して有効にする必要があります。 これらの手順については、このシナリオで説明します。
注:
これは仮定の値による架空のシナリオです。 これは説明のみを目的としています。 独自の機密情報の種類、秘密度ラベル、配布グループ、およびユーザーに置き換えてください。
シナリオ 1: 前提条件
- サポートされている 1 つ以上の SASE プロバイダーとの既存の関係があるか、デプロイの一部として 1 つを調達することに関心があります。
- Microsoft 365 テナントの Microsoft Purview 従量課金制を構成 しました。
ネットワーク データ セキュリティの構成は、マルチフェーズ プロセスです。
- 1 つ以上の SASE プロバイダーとの Purview 統合のセットアップ。
- アンマネージド クラウド アプリと共有されている機密データをネットワーク レベルで検出するようにコレクション ポリシーを構成します。
- ネットワーク データ セキュリティ データの表示
シナリオ 1: ポリシー インテント ステートメントとマッピング
ChatGPT、Dropbox、Slack、Gmail などの管理されていないクラウド アプリを使用して、ブラウザー、アプリケーション、アドイン、API などを介して "US Sales" グループ内のユーザーが共有するテキストやファイルのorganizationに敏感なデータを検出する必要があります。
| Statement | 構成に関する質問の回答と構成マッピング |
|---|---|
| "organizationに敏感なデータを検出する必要があります" | - 検出するデータ: すべてのフル ネームとすべての物理アドレスを除くすべての分類子 |
| "...テキストまたはファイルで... | - 検出するアクティビティ: クラウドまたは AI アプリに送信または共有されたテキスト と、 クラウドまたは AI アプリにアップロードまたは共有されたファイル |
| "..."US Sales" グループ内の任意のユーザーが、ブラウザー、アプリケーション、アドイン、API などを介して、ChatGPT、Dropbox、Slack、Gmail などの管理されていないクラウド アプリで共有されます。 | - 適用する場所: アンマネージド クラウド アプリ: ChatGPT、Dropbox、Slack、Gmail - スコープ: "US Sales" グループを含める |
シナリオ 1 のポリシーを作成する手順
SASE プロバイダー統合
- Microsoft Purview ポータルで、[設定] (右上隅) >[データ損失防止>Integrations] を開きます。
- 統合する SASE ソリューション プロバイダーの [ はじめ に] を選択します。
- 統合ウィザードに記載されている手順を完了します。 手順は、選択した SASE プロバイダーによって異なります。
ネットワーク データ セキュリティのコレクション ポリシーを構成する
- [Microsoft Purview ポータル] にサインインします。
- データ損失防止ソリューションを開き、分類子>Collection ポリシー (プレビュー) に移動します。
- [+ ポリシーの作成] を選択します。
- ポリシーに [名前] と [説明] (省略可能) を指定 します。 ここでポリシー インテント ステートメントを使用できます。
- [次へ]を選択します。
- [ + 条件の追加] を選択し、[ コンテンツに含まれる] を選択します。
- [ 分類子] を選択し、[ 編集] を選択します。
- [分類子のスコープ] ポップアップで、[分類子の除外] をチェックし、[+ 分類子の除外] を選択します。
- [ 分類子の選択] ポップアップで、[ すべてのフル ネーム] と [ すべての物理アドレス ] を選択し、[完了] を選択 します。
- [ 完了] を 選択し、[ 次へ] を選択します。
- [ + アクティビティの追加] を選択します。
- [クラウドまたは AI アプリに送信または共有されるテキスト] と [クラウドまたは AI アプリにアップロードまたは共有されたファイル] を選択します。
- [ 追加] 、[ 次へ] の順に選択します。
- [ + データ ソースの追加] を選択します。
- [ アンマネージド クラウド アプリ ] タブを選択します。
- ChatGPT、Dropbox、Slack、Gmail を検索して選択し、[追加] を選択します。
- [アンマネージド クラウド アプリ] 行で [スコープの編集] を選択します。
- [ 特定の項目のみを含める ] オプションを選択し、[ 含める ] タブで [ + 包含項目の追加] を選択します。
- US Sales グループを検索して選択し、[追加] を選択します。
- [ 保存して閉じる] を選択し 、[ 次へ] を選択します。
- [ コンテンツをキャプチャしない ] の既定のオプションのままにして、[ 次へ] を選択します。
- [ネットワーク] が有効になっていることを確認し、[次へ] を選択します。
- [オンにする] が有効になっていることを確認し、[次へ] を選択します。
- ポリシー設定を確認し、[ ポリシーの作成] を選択します。
- [次の手順] を確認し、[完了] を選択します。
ネットワーク データ セキュリティ データの表示
ネットワーク機密データの一致は、次の 2 つの Purview ツールで表示できます。
- データ損失防止のアクティビティ エクスプローラー
- AI のデータ セキュリティ態勢管理 (DSPM)。
アクティビティ エクスプローラー
- データ損失防止ソリューションを開き、[エクスプローラー>Activity エクスプローラー] に移動します。
- [ + フィルターの追加] を選択し、[ 適用平面] を選択します。
- [ 適用平面 ] フィルターをクリックし、[ネットワーク] を選択 します。
- [適用] を選択します。
AI のDSPM
- AI ソリューションのDSPMを開きます。
- [レポート] に移動して、コレクション ポリシーによって検出された操作を分解する高レベルのレポートとグラフを表示します。
- [アクティビティ エクスプローラー] に移動して、個々の AI 相互作用と機密情報検出イベントを表示します。
注:
コレクション ポリシーで AI 操作のコンテンツ キャプチャを有効にしていない限り、機密性の高いコンテンツの一致のみを表示できます。