Microsoft Purview データ損失防止 (DLP) の監視と保護は、Microsoft Edge for Business ブラウザーに組み込まれています。 デバイスを Microsoft Purview にオンボードする必要はありません。 この統合により、Edge for Business を使用して、ユーザーがクラウド アプリとの間で機密情報を共有するのを防ぐことができます。
開始する前に
Microsoft Purview コレクション ポリシー、Microsoft Purview 従量課金制課金モデル、または Microsoft Purview DLP を初めて利用する場合は、次の記事の情報を確認してください。
ライセンス
ライセンスの詳細については、次を参照してください。
マネージド デバイスから Edge for Business のアンマネージド アプリに共有されるデータの保護は、従量課金制の機能です。 詳細については、「従量課金制機能と要求定義の詳細」を参照してください。従量課金制課金モデルの設定方法については、「新しいお客様の Microsoft Purview 従量課金制機能を有効にする」を参照してください。
Edge for Business の使用中に Microsoft Entra 登録済み (マネージド) アプリのデータが保護されるシナリオは、Microsoft 365 E5 または同等のライセンスに含まれます。
アクセス許可
Microsoft Purview DLP ポリシーを作成および展開するためのアクセス許可については、こちらを参照してください。
また、Microsoft Purview 以外の前提条件および構成に対するアクセス許可も必要です。 必要なアクセス許可の詳細については、「サポートされているクラウド アプリ」を参照してください。
管理対象デバイス
Microsoft Intune によって管理 される Windows 10 と Windows 11 デバイスを保護できます。 ユーザーは職場または学校アカウントを使用してサインインする必要があります。
これらのデバイスでは、Edge for Business は Microsoft Purview および Microsoft Edge サービスと直接接続して、ポリシーの更新プログラムを取得し、保護を適用します。 Microsoft Edge 構成ポリシー は、ユーザーが保護されていないブラウザーで保護されているアンマネージド クラウド アプリを使用できないようにします。 保護されていないブラウザーでアンマネージド アプリにアクセスしようとすると、ユーザーはブロックされ、Edge for Business を使用する必要があります。
Microsoft Purview DLP ポリシーは、マネージド デバイスからアンマネージド AI アプリへの Edge for Business 経由での共有を防ぐのに役立ちます。
Microsoft Purview コレクション ポリシー は、マネージド デバイスからのアンマネージド AI アプリとの対話に適用できます。
非管理対象デバイス
アンマネージド デバイスは、Intune に接続されていないか、Microsoft Entra を使用して組織に参加していません。 ユーザーは職場または学校アカウントでデバイスにサインインしません。 代わりに、Edge for Business 仕事用プロファイルにサインインして、組織が管理するアプリにアクセスします。
Edge for Business では、アンマネージド デバイスの DLP ポリシーが仕事用プロファイルにのみ適用されます。 これらのポリシーは、ユーザーが個人用または InPrivate プロファイルを選択した場合には適用されません。 アンマネージド デバイス上のマネージド アプリにポリシーをターゲット設定にする場合は、Edge for Business で仕事用プロファイルを適用する必要があります。 アンマネージド デバイスの保護は、ユーザーが Edge for Business のクラウド アプリと機密情報を共有できないようにするのに役立ちます。
サポートされているクラウド アプリ
Microsoft Entra 接続 (マネージド) アプリ
Microsoft Entra 接続 (マネージド) アプリは、Microsoft Entra シングル サインオン (SSO) 用に設定されたビジネス アプリです。 ポリシーは、ユーザーが職場または学校アカウントを使用してアクセスするときに適用されます。 Edge for Business のマネージド アプリのポリシーは、アンマネージド デバイスとマネージド デバイスでサポートされています。
マネージド アプリに適用されるポリシーをアクティブ化するには、条件付きアクセス管理 と Microsoft Defender for Edge のブラウザ内保護 に対する追加のアクセス許可が必要です。
アンマネージド クラウド アプリ
組織はこれらのアプリを管理していません。 ユーザーは、Microsoft の職場または学校アカウントを使用してサインインせずにアクセスします。 Intune マネージド デバイス上の Edge for Business では、アンマネージド クラウド アプリのポリシーを使用できます。 アンマネージド クラウド アプリ DLP 機能は、コンシューマー バージョンの Microsoft 365 Copilot にのみ適用されます。 エンタープライズ バージョンおよび利用可能な DLP 機能の詳細については、「Microsoft 365 Copilot エンタープライズ保護の詳細」を参照してください。
マネージド デバイスからアンマネージド アプリへの共有を保護するのに役立つ DLP ポリシーを作成するには、Microsoft Intune の管理と Microsoft Edge の管理 に対する追加のアクセス許可が必要です。
Edge for Business のブラウザー ポリシーでは、次のアンマネージド アプリがサポートされています。
- Adobe Firefly
- CapCut
- ChatGPT (コンシューマー)
- Cohere
- DeepAI
- DeepL
- DeepSeek
- Google Gemini
- Grok (xAI)
- Meta AI
- Microsoft Copilot 365 Chat
- Notion AI
- Otter.ai
- Perplexity AI
- QwenAI
- Qwen Chat
- Runway
- Textcortex
- Textcortex Zenochat
- You (You.com)
- Zapier
注:
Runway や Meta AI などの一部のアンマネージド AI アプリは、エンコードされた形式でコンテンツを動的に生成されたエンドポイントに断続的に送信することがあり、ポリシーの適用に影響を与える可能性があります。
重要
同じアプリに対してエントリ名が異なる複数のカタログ エントリ (例: QwenAI と Qwen Chat) が存在する場合は、意図しないカバレッジのギャップを避けるためにそのアプリのすべてのエントリを含めてください。 ポリシーは、指定したアプリにのみ適用されます。
サポートされるブラウザー
ブラウザーのクラウド アプリの DLP ポリシーは、Edge for Business で直接機能します。
Edge for Business
これらの機能は、バージョン 144 以降の 2 つの最新の安定したバージョンの Edge for Business で利用できます。 Edge for Business のバージョンの詳細については、「Microsoft Edge リリース」を参照してください。
重要
Microsoft Purview ブラウザーのデータ セキュリティ ポリシーは、B2B ゲスト ユーザーには適用されません。
ヒント
Microsoft Security Copilot の使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を発見しましょう。 Microsoft Purview の Microsoft Security Copilot に関する詳細情報をご覧ください。
監視と対処が必要なアクティビティ
ブラウザーで機密アイテムに対するこれらのアクティビティを監査および管理できます。
| アクティビティ | デバイス タイプ | アプリの種類 | サポート対象のポリシー アクション |
|---|---|---|---|
| テキストのアップロード | 管理対象 | アンマネージド | 許可、ブロック、両方のアクションの監査 |
| ファイルのアップロード | マネージド、アンマネージド | マネージド、アンマネージド | 許可、ブロック、両方のアクションの監査 |
| ファイルをダウンロードする | マネージド、アンマネージド | 管理対象 | 許可、ブロック、両方のアクションの監査 |
| データの切り取り/コピー | マネージド、アンマネージド | 管理対象 | 許可、ブロック、両方のアクションの監査 |
| データの貼り付け | マネージド、アンマネージド | 管理対象 | 許可、ブロック、両方のアクションの監査 |
| データの印刷 | マネージド、アンマネージド | 管理対象 | 許可、ブロック、両方のアクションの監査 |
| 保護されたクリップボード (プレビュー段階) | マネージド、アンマネージド | 管理対象 | Microsoft Edge で保護されたクリップボード (プレビュー段階) を参照する |
| スクリーン キャプチャ (プレビュー段階) | マネージド、アンマネージド | 管理対象 | Microsoft Edge で保護されたクリップボード (プレビュー段階) を参照する |
重要
一部のアクティビティには制限があります。
- データの切り取り/コピー、データの貼り付け、およびデータの印刷アクティビティは、マネージド デバイスまたはアンマネージド デバイスの条件でのみ使用できます。
- ファイルのダウンロード アクティビティは、Microsoft Edge for Business のダウンロード パイプラインに従わないアプリではサポートされていません。
マネージド アプリの操作に関するポリシー
ブラウザーでマネージド アプリを対象とする DLP ポリシーは、ユーザーが Edge for Business 仕事用プロファイルにサインインするときに、Windows 10/11 の Edge for Business および macOS デスクトップ デバイスに適用されます。
Edge for Business では、ポリシーがマネージド アプリに適用されると (監査モードおよびブロック モードの両方で)、開発者ツールが自動的に無効化され、ネイティブ クライアントでのアプリの起動がブロックされます。
マネージド アプリの Microsoft Edge for Business 仕事用プロファイルで保護を有効にするには:
- アプリの条件付きアクセス制御 にアプリをオンボードします。
- 接続されているアプリからユーザー グループをインポートします。
- カスタム セッション コントロールを使用して Microsoft Entra 条件付きアクセス ポリシーを設定します。
- Edge for Business のブラウザー内保護 を構成します。
- マネージド アプリの操作を対象とする Microsoft Purview DLP ポリシー を作成します。
- (省略可能)Microsoft Edge の Microsoft 管理 ポータル設定で、保護されたクリップボードとスクリーン キャプチャ防止機能をアクティブにします。
実装の詳細については、「ユーザーが Edge for Business のクラウド アプリと機密情報を共有できないようにする」を参照してください。
重要
ユーザーが Microsoft Purview マネージド クラウド アプリ DLP ポリシー と Microsoft Defender セッション ポリシー の両方、または Microsoft Purview エンドポイント DLP ポリシーのスコープ内に存在する場合、Microsoft Purview ブラウザー ポリシーに含まれるマネージド アプリに対する保護は、Edge for Business では適用されない可能性があります。 Edge for Business ポリシーでマネージド クラウド アプリを適用するには、Microsoft Defender とエンドポイント DLP ポリシーからユーザーを削除または除外する必要があります。
ユーザーを初めてポリシーに追加すると、アプリに既にサインインしている場合、ポリシーがすぐに適用されない可能性があります。 ポリシーは、トークンの有効期限が切れ、再度サインインした後に適用されます。 条件付きアクセス セッション制御を使用して サインインの頻度を変更 すると、待機時間を短縮できます。
条件付きアクセス アプリ制御の既知の制限の一部は、ブラウザーでマネージド アプリを対象とする Microsoft Purview ポリシーに影響を与える可能性があります。 詳細については、「条件付きアクセス アプリ制御の既知の制限」を参照してください。
アンマネージド アプリの操作に関するポリシー
ブラウザーでのアンマネージド アプリを対象とする DLP ポリシーは、Microsoft Intune によって管理 される Windows 10 と Windows 11 のデスクトップ デバイスの Microsoft Edge for Business に適用されます。 セットアップの詳細については、「マネージド デバイスからアンマネージド AI アプリへの Edge for Business 経由での共有を防止する」を参照してください。
アンマネージド クラウド アプリに対する Microsoft Purview DLP ポリシーを有効にすると、必要な Microsoft Edge 構成ポリシーに含まれるユーザーが自動的に追加されます。 Microsoft Purview DLP ポリシーがブロックに設定されている場合、ポリシーが適用されてない保護されていないブラウザーの使用はブロックされます。 Edge for Business でのエクスペリエンスは影響を受けません。 詳細については、「Microsoft Edge で Microsoft Purview ポリシーをアクティブ化する」を参照してください。
Microsoft Edge for Businessでの保護のアクティブ化は、次のフェーズに従います。
- アンマネージド アプリの操作を対象とする Microsoft Purview DLP ポリシー を作成します。
- Microsoft Edge 管理サービスは、Microsoft Edge for Business で DLP ポリシーを有効にする構成ポリシーを自動的に作成します。 構成ポリシーでは Microsoft Intune ポリシー を使用して、Microsoft Edge for Businessで Microsoft Purview ポリシーをアクティブ化します。
- ブラウザーでアンマネージド アプリを対象とする コレクション ポリシー を作成し、組織全体で発生する可能性がある追加の機密データ共有を特定します。
重要
自動動作 が同期に失敗した場合、Microsoft Purview にエラー メッセージが表示され、ポリシーは Microsoft Edge for Business に適用されません。 必要なアクセス許可 を持つ管理者が再同期して、エラーを解決する必要があります。 詳細については、「Microsoft Edge で Microsoft Purview ポリシーをアクティブ化する」を参照してください。
AI 用 Microsoft データ セキュリティ態勢管理のアンマネージド AI アプリの既定のポリシー
AI 用 Microsoft Purview データ セキュリティ態勢管理 (DSPM for AI) は、サポートされているアンマネージド生成型 AI アプリを監視およびブロックするための推奨ポリシーを提供します。 AI 用 DSPM でワンクリック ポリシー を使用して適用します。
マネージド アプリの操作からのデータへのアクセス
ポリシー データとアラートは、Defender XDR 調査 で表示できます。
アンマネージド アプリの操作からのデータへのアクセス
アクティビティ エクスプローラー、監査ログ、および Defender XDR 調査 でアクティビティと監査ログ エントリを表示できます。 アクティビティ エクスプローラーで、適用プレーンをブラウザーに設定してフィルター処理します。 AI アプリに固有のデータは、AI 用 DSPM にも表示されます。