Microsoft Purview を使用した "既定のセキュリティ保護" の概要

Microsoft Purview の秘密度ラベル付けでは、データを保護するための効率的で堅牢な機能が提供されます。 この保護は、データの暗号化とオーバーシェアリングの防止を中心にしています。 ラベルは、Microsoft Purview データ損失防止 (DLP) やMicrosoft Purview インサイダー リスク管理などの他のソリューションの条件として使用できます。

従来の "クロールウォークラン" アプローチは、多くの場合、次の理由で採用が困難または遅くなります。

• ラベル分類の定義
• エンド ユーザーと基幹業務アプリケーションに影響を与える暗号化に関する懸念
• 手動ラベル付けや自動ラベル付けを使用したラベル付けによる限定的な導入

このガイドでは、保護戦略に基づいて大規模なラベル付けに焦点を当てた代替デプロイ モデルを提供します。 次の方法を示します。

• 既定でセキュリティで保護された秘密度ラベル付けを構成します。
• Office クライアントでラベル発行の既定値と自動ラベル付けを使用します。
• 展開速度を迅速に実現するには、SharePoint サイトでコンテキストの既定値を使用します。

Teams と SharePoint サイトのラベル付けをファイル ラベルに派生させると、エンド ユーザーの操作が制限された高いラベル付けボリュームに到達できます。 これはまた、従来の課題を克服するのに役立つ測定されたアプローチを達成します。

ヒント

既定では、SharePoint サイトからラベルを派生させてセキュリティ保護することで、organizationを使用すると、意図しない意図的な過剰共有に関連するリスクを迅速に軽減できます。 保護するタイミングではなく、例外を管理する方法についてエンド ユーザーをトレーニングすることで、導入速度を加速できます。

開始する前に

このガイドは、Microsoft Purview Information Protection、DLP、および Insider Risk Management に関する知識を持つ管理者向けです。 Purview を初めて使用する場合は、以下の記事を参照して Purview の詳細を確認してください。

• 機密ラベルについて詳しく見る
• データ損失防止について
• インサイダー リスク管理の詳細

このガイドには、次の記事が含まれています。

• 概要 (このページ)
• フェーズ 1: 基本 – 既定のラベル付けから始める
• フェーズ 2: マネージド – 最も機密性の高いファイルにアドレスを指定する
• フェーズ 3: 最適化 – Microsoft 365 データ資産全体への保護を拡大する
• フェーズ 4: M365 を超えて保護を運用、拡張し、既存のコンテンツに対する遡及的なアクション

これらの記事では、次について説明します。

• モデルのシナリオの目標のみを満たすために必要なソリューションに焦点を当てます。
• デプロイの出発点。エンジニアリング チームが推奨します。
• 実装の計画に役立つ高レベルのアクティビティとデプロイのヒント。
• より多くのシナリオで成長し、強化するための強固な基盤。

これらの記事では、次の内容は取り上げられません。

• 完全なプロジェクト計画
• 詳細なテクニカル リファレンス (ただし、このガイドには、Microsoft Learn に関するいくつかの記事へのリンクが含まれています)。詳細については、
• Microsoft Purview のすべてのソリューションの包括的なガイド

ライセンスとサブスクリプション

このガイドから展開する機能をサポートするサブスクリプションの詳細については、セキュリティ & コンプライアンスに関する Microsoft 365 ガイダンスを参照してください。

• 秘密度ラベル (SharePoint での自動ラベル付けと既定のライブラリ ラベル付け)
• データ損失防止
• Insider Risk Management (アダプティブ保護)

ライセンスの詳細については、「Microsoft 365、Office 365、Enterprise Mobility + Security、Windows 11 Subscriptions for Enterprises」を参照してください。

次のアクションを使用してデプロイ戦略を簡略化する

戦略名が示すように、目的は既定で情報をセキュリティで保護し、保護を削除するタイミングに関するユーザーのトレーニングを開始することです。

1. 既定でセキュリティで保護し、 すべての従業員 (および ID エコシステム内のユーザー) に情報を保護します。
2. サイト (コンテナー) ラベルからファイル ラベルを派生して、スケールにすばやく到達します。
3. (保護する場合ではなく) 例外を共有するためのラベルを更新するようにユーザーをトレーニングします。
4. 自動ラベル付けは、より高い感度の推奨事項とより多くの制限を目的とします。
5. ラベル付きコンテンツの共有を制限するために、データ損失防止の展開を高速化します。
6. Insider Risk Management を使用して、疑わしいユーザーのラベル付けと共有の動作 (意図的および意図しない) を特定します。

次のように、既定で適用する保護を制御できます。

• 既定のラベルを持つコンテンツに対する DLP ポリシー
• 既定のラベルを使用したコンテンツの暗号化
• 既定のラベルを持つワークロードを選択する

これらのオプションを使用すると、小規模から開始し、ユーザーをトレーニングし、デプロイ のマイルストーンを反復処理できます。 デプロイ マイルストーンのメジャーリストの例:

1. SharePoint の既定のラベルは Confidential\All employees に設定され、暗号化は行わないが、DLP による外部共有は禁止されています。 その他のワークロードは、既定で [全般] に設定されています。
2. 既定のラベルをすべてのファイル (クライアントの既定値) に昇格し、ドキュメント ラベルから継承するように電子メールを設定します。
3. Confidential\All 従業員に暗号化を追加します。

コンテンツを保護する上でラベル付けが重要なのはなぜですか?

• ドキュメントを使用した保護 旅行 - すべてのユーザーに簡単に使用できる暗号化
• シンプル、統合、一貫性 – 組み込みの Office、Acrobat Reader、Teams、Power BI、Defender for Cloud Appsなど
• Copilot – Copilot 対話による機密情報のエンドツーエンド保護
• Microsoft 365 を超える保護 – Azure、アマゾン ウェブ サービス (AWS) などのデータ資産を保護する

Microsoft Purview デプロイブループリント

ブループリントには次のものが用意されています。

• organizationを開始するために推奨されるラベル分類
• エンド ユーザーが例外を管理するためのオプション (暗号化によって効果的に機能しなくなる場合)
• は、organizationを有効にしてデータ セキュリティを迅速に強化するのに役立ちます

既存のデプロイ、データ セキュリティの目的、エクスペリエンスに基づいて、このブループリントを確認して適応することが重要です。 ステージでのデプロイに役立つその他のオプションがあります。 デプロイ エクスペリエンスを完全に制御できます。

注:

このブループリントは、Microsoft の内部戦略と密接に連携しています。 Microsoft ラベル付けの展開の詳細については、「秘密度ラベルを使用して Microsoft のセキュリティを強化する方法」を参照してください

このブループリントは、 PDF、 PowerPointもダウンロードできます。

フェーズ 1 ~ 4 に関する記事では、詳細が提供されます。 フェーズ 1: 基本から始める – 既定のラベル付けから始める