次の方法で共有


エンドポイント データ損失防止の設定を構成する

エンドポイント データ損失防止 (DLP) 動作の多くの側面は、デバイスのすべての DLP ポリシーに適用される一元的に構成された設定によって制御されます。 これらの設定を使用して、次の動作を制御します。

  • クラウドの出力制限
  • アプリケーションごとのユーザー アクティビティに対する制限付きアクションのさまざまな種類
  • Windows および macOS デバイスのファイル パスの除外
  • ブラウザーとドメインの制限
  • ポリシーヒントでポリシーをオーバーライドするためのビジネス上の正当な理由の外観
  • Office、PDF、CSV ファイルに対して実行されたアクションが自動的に監査されるかどうか

これらの設定にアクセスするには、Microsoft Purview コンプライアンス ポータルから [データ損失防止] >[Overview>Data loss prevention settings>Endpoint 設定] に移動します。

ヒント

Microsoft Copilot for Security の使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を検討します。 Microsoft Purview のセキュリティMicrosoft Copilotの詳細については、こちらをご覧ください。

重要

PDF ファイルでMicrosoft Purview データ損失防止 (DLP) 機能を使用するための Adobe の要件については、Adobe: Microsoft Purview 情報保護 サポートの記事を参照してください。

エンドポイント DLP Windows 10/11 および macOS 設定

エンドポイント DLP を使用すると、次のバージョンの Windows Server を実行しているデバイスをオンボードすることもできます。

注:

サポートされている Windows Server KB をインストールすると、サーバー上の 分類 機能が無効になります。 つまり、エンドポイント DLP はサーバー上のファイルを分類しません。 ただし、エンドポイント DLP は、これらの KB がサーバーにインストールされる前に分類されたサーバー上のファイルを保護します。 この保護を確保するには、バージョン 4.18.23100 (2023 年 10 月) 以降Microsoft Defenderインストールします。

既定では、Windows サーバーが最初にオンボードされるときに、エンドポイント DLP は有効になりません。 アクティビティ エクスプローラーでサーバーのエンドポイント DLP イベントを表示するには、まず Windows サーバーのエンドポイント DLP を有効にする必要があります。

適切に構成すると、同じデータ損失保護ポリシーを Windows PC と Windows サーバーの両方に自動的に適用できます。

設定 サブ設定 Windows 10、1809 以降、Windows 11、Windows Server 2019、Windows Server 2022 (21H2 以降) for Endpoints (X64) macOS (3 つの最新リリース バージョン) メモ
高度な分類のスキャンと保護 割り当てられた帯域幅の制限 サポート サポート 高度な分類により、macOS の次の機能が有効になります。 - ドキュメントフィンガープリント
- Exact データ一致ベースの機密情報の種類
- トレーニング可能な分類子
- 名前付きエンティティについて学習する
Windows のファイル パスの除外 該当なし サポート 該当なし
Mac のファイル パスの除外 該当なし 該当なし サポート macOS には、既定でオンになっている除外の推奨リストが含まれています
デバイス上のファイル アクティビティの証拠収集を設定する デバイスに証拠キャッシュを設定する サポートされている 非サポート
ネットワーク共有のカバレッジと除外 該当なし サポート サポート対象外
制限されたアプリとアプリ グループ 制限されたアプリ グループ サポート サポート
制限されたアプリとアプリ グループ 制限されたアプリ サポート サポートされている
制限されたアプリとアプリ グループ 自動検疫設定 サポート サポート
許可されていない Bluetooth アプリ 該当なし サポート サポート
機密データに対するブラウザーとドメインの制限 許可されていないブラウザー サポート サポート
機密データに対するブラウザーとドメインの制限 サービスドメイン サポート サポート
機密データに対するブラウザーとドメインの制限 機密性の高いサービス ドメイン グループ サポート サポート
エンドポイント DLP の追加設定 ポリシー ヒントでの業務上の正当な理由 サポート サポート
デバイスのファイル アクティビティを常に監査する 該当なし サポート サポート
プリンター グループ 該当なし サポート サポート
リムーバブル USB デバイス グループ 該当なし サポート サポート
ネットワーク共有グループ 該当なし サポート サポート
VPN の設定 該当なし サポート 非サポート

その他の設定

Setting Windows 10/11、Windows 10、1809 以降、Windows 11 エンドポイント (X64) の Windows Server 2019、Windows Server 2022 (21H2 以降) macOS (3 つの最新リリース バージョン)
アーカイブ ファイル サポート サポートされている サポートされている
ファイルの種類とファイル拡張子 サポートされている サポート サポートされている
Windows サーバーのエンドポイント DLP を有効にする 非サポート サポート 非サポート

Windows サーバーのエンドポイント DLP を有効にする

エンドポイント DLP では、次のバージョンの Windows Server がサポートされています。

Windows Server をオンボードしたら、エンドポイント保護が適用される前に、エンドポイント DLP サポートを有効にする必要があります。

DLP アラート管理ダッシュボードを操作するには:

  1. Microsoft Purview ポータルで、[ データ損失防止>Overview] に移動します。
  2. 右上隅にある [設定] を 選択します。
  3. [ 設定] ページで、[ エンドポイントの設定 ] を選択し、[ オンボードされたサーバーのエンドポイント DLP サポート] を展開します。
  4. トグルを [オン] に設定します。

高度な分類のスキャンと保護

高度な分類スキャンと保護により、Microsoft Purview クラウドベースのデータ分類サービスは、項目をスキャンし、分類し、結果をローカル コンピューターに返すことができます。 そのため、DLP ポリシーでは、 正確なデータ一致 分類、 トレーニング可能な分類子資格情報分類子名前付きエンティティ などの分類手法を利用できます。

注:

[ブラウザーに貼り付け] アクションでは、高度な分類はサポートされていません。

高度な分類を有効にすると、コンテンツはスキャンと分類のためにローカル デバイスからクラウド サービスに送信されます。 帯域幅の使用量が懸念される場合は、ローリング 24 時間で使用できる帯域幅の上限を設定できます。 制限は エンドポイント設定 で構成され、デバイスごとに適用されます。 帯域幅の使用制限を設定し、その使用制限を超えた場合、DLP はユーザー コンテンツのクラウドへの送信を停止します。 その時点で、データ分類はデバイス上でローカルに続行されますが、正確なデータ一致、名前付きエンティティ、トレーニング可能な分類子、および資格情報分類子を使用した分類は使用できません。 累積帯域幅の使用量がローリング 24 時間の制限を下回ると、クラウド サービスとの通信が再開されます。

帯域幅の使用に問題がない場合は、[ 制限なし ] を選択して無制限の帯域幅の使用を許可します。

高度な分類ファイルスキャンサイズの制限

高度な分類に 対して [制限なし ] が有効になっている場合でも、スキャンできる個々のファイルのサイズに制限があります。

  • テキスト ファイルには 64 MB の制限があります。
  • 光学式文字認識 (OCR) が有効になっている場合、イメージ ファイルには 50 MB の制限があります。

帯域幅の制限が [制限なし] に設定されている場合でも、高度な分類は 64 MB を超えるテキスト ファイルでは機能しません。

次の Windows バージョン (以降) では、高度な分類スキャンと保護がサポートされています。

  • すべてのWindows 11バージョン
  • Windows 10 バージョン 20H1/21H1 以降 (KB 5006738)
  • Windows 10 RS5 (KB 5006744)

注:

  • 高度な分類のサポートは、Office (Word、Excel、PowerPoint) および PDF ファイルの種類で利用できます。

  • DLP ポリシーの評価は、ユーザー コンテンツが送信されていない場合でも、常にクラウドで行われます。

ヒント

Windows 10 デバイスに高度な分類を使用するには、KB5016688をインストールする必要があります。 Windows 11 デバイスに高度な分類を使用するには、それらのWindows 11 デバイスにKB5016691をインストールする必要があります。 さらに、 アクティビティ エクスプローラー で DLP ルールに一致したイベントのコンテキスト テキストが表示される前に、高度な分類を有効にする必要があります。 コンテキスト テキストの詳細については、「コンテキストの 概要」を参照してください。

ファイルパスの除外

デバイスの DLP 監視、DLP アラート、DLP ポリシーの適用から特定のパスを除外する場合は、ファイル パスの除外を設定して、これらの構成設定をオフにすることができます。 除外された場所のファイルは監査されず、それらの場所で作成または変更されたファイルは DLP ポリシーの適用の対象になりません。 DLP 設定でパスの除外を構成するには、Microsoft Purview コンプライアンス ポータル>Data loss prevention>Overview>Data loss prevention settings>Endpoint settings>File path exclusions for Windows に移動します。

Windows 10/11 デバイス

次のロジックを使用して、Windows 10/11 デバイスの除外パスを構築できます。

  • \で終わる有効なファイル パスは、指定したフォルダーのすぐ下にあるファイルのみが除外されることを意味します。
    例: C:\Temp\

  • \*で終わる有効なファイル パスは、指定したフォルダーのサブフォルダー内のファイルのみが除外されることを意味します。 指定したフォルダー自体のすぐ下にあるファイルは除外されません。
    例: C:\Temp\*

  • \または\*なしで終了する有効なファイル パスは、指定されたフォルダーのすぐ下にあるすべてのファイルとそのサブフォルダーが除外されることを意味します。
    例: C:\Temp

  • 両側の \ の間にあるワイルドカードを使用したパス。
    例: C:\Users\*\Desktop\

  • 除外するサブフォルダーの正確な数を指定するための(number)を使用して、各側から\間のワイルドカードを含むパス。
    例: C:\Users\*(1)\Downloads\

  • システム環境変数を含むパス。
    例: %SystemDrive%\Test\*

  • ここで説明するすべてのパターンの組み合わせ。
    例: %SystemDrive%\Users\*\Documents\*(2)\Sub\

既定で除外されている Windows ファイル パス

  • %SystemDrive%\\Users\\*(1)\\AppData\\Roaming
  • %SystemDrive%\\Users\\*(1)\\AppData\\Local\\Temp
  • %%SystemDrive%\\Users\\*(1)\\AppData\\Local\\Microsoft\\Windows\\INetCache

macOS デバイス

macOS デバイスに対して独自の除外を追加することもできます。

  • ファイル パス定義では大文字と小文字が区別されないため、 Useruser

  • ワイルドカード値がサポートされています。 そのため、パス定義には、パスの中央またはパスの末尾にアスタリスク (*) を含めることができます。
    例: /Users/*/Library/Application Support/Microsoft/Teams/*

既定で除外されている macOS ファイル パス

/System

パフォーマンス上の理由から、エンドポイント DLP には、macOS デバイスに推奨されるファイル パスの除外の一覧が含まれています。 [Mac の推奨ファイル パスの除外を含める] トグルが [オン] に設定されている場合、次のパスも除外されます。

  • /Applications
  • /usr
  • /Library
  • /private
  • /opt
  • /Users/*/Library/Logs
  • /Users/*/Library/Containers
  • /Users/*/Library/Application Support
  • /Users/*/Library/Group Containers
  • /Users/*/Library/Caches
  • /Users/*/Library/Developer

このトグルは [オン] のままにすることをお勧めします。 ただし、トグルを [オフ] に設定すると、これらのパスの除外を停止できます。

デバイス上のファイル アクティビティの証拠収集を設定する

デバイス上のポリシーに一致する項目を識別すると、DLP は それらを Azure ストレージ アカウントにコピーできます。 この機能は、ポリシー アクティビティの監査と特定の一致のトラブルシューティングに役立ちます。 このセクションを使用して、ストレージ アカウントの名前と URL を追加します。

注:

この機能を有効にする前に、Azure ストレージ アカウントとそのストレージ アカウントにコンテナーを作成する必要があります。 また、アカウントのアクセス許可を構成する必要もあります。 Azure ストレージ アカウントを設定するときは、おそらく、テナントと同じ Azure リージョン/地政学的境界にあるストレージ アカウントを使用する必要があることに注意してください。 また、Azure ストレージ アカウントのアクセス層と Azure ストレージ アカウントの価格の構成も検討する必要があります。

ネットワーク共有のカバレッジと除外

ネットワーク共有のカバレッジと除外により、 エンドポイント DLP ポリシーとアクションが、ネットワーク共有とマップされたネットワーク ドライブ上の新しいファイルと編集されたファイルに拡張されます。 ジャスト イン タイム保護も有効になっている場合は、Just In Time Protection のカバレッジと除外がネットワーク共有とマップされたドライブに拡張されます。 監視対象のすべてのデバイスの特定のネットワーク パスを除外する場合は、「 これらのネットワーク共有パスを除外する」のパス値を追加します。

次の表は、ネットワーク共有カバレッジと除外の既定の設定を示しています。

ネットワーク共有のカバレッジと除外 Just In Time Protection 結果の動作
有効 無効 - デバイスを対象とする DLP ポリシーは、デバイスが接続されているすべてのネットワーク共有とマップされたドライブに適用されます。 サポートされるアクション: デバイス
無効 有効 - Just-In-Time 保護は、エンドポイントに対してローカルなストレージ デバイス上のファイルにのみ適用されます。
有効 有効 - デバイスを対象とする DLP ポリシーは、デバイスが接続されているすべてのネットワーク共有とマップされたドライブに適用されます。 サポートされているアクション: デバイス
- Just-In-Time 保護は、デバイスが接続されているすべてのネットワーク共有とマップされたドライブに適用されます。

ネットワーク共有のカバレッジと除外は、DLP オンプレミスのリポジトリ アクションを補完します。 次の表は、オンプレミス リポジトリで DLP が有効か無効かに応じて、除外設定と結果の動作を示しています。

ネットワーク共有のカバレッジと除外 DLP オンプレミス リポジトリ 結果の動作
有効 無効 - デバイスを対象とする DLP ポリシーは、デバイスが接続されているすべてのネットワーク共有とマップされたドライブに適用されます。 サポートされるアクション: デバイス
無効 有効 - オンプレミス リポジトリを対象とするポリシーは、ファイル共有と SharePoint ドキュメント ライブラリとフォルダー内のオンプレミスの保存データに対して保護アクションを適用できます。 DLP オンプレミスリポジトリアクション
有効 有効 - デバイスを対象とする DLP ポリシーは、デバイスが接続されているすべてのネットワーク共有とマップされたドライブに適用されます。 サポートされているアクション: デバイス
- オンプレミス リポジトリを対象とするポリシーは、ファイル共有と SharePoint ドキュメント ライブラリとフォルダー内のオンプレミスの保存データに対して保護アクションを適用できます。 DLP オンプレミスリポジトリアクション

制限されたアプリとアプリ グループ

制限されたアプリ

[制限付きアプリ] リスト (以前は "未適用アプリ" と呼ばれる) は、作成するアプリケーションのカスタム リストです。 ユーザーが一覧のアプリを使用してデバイス上の DLP で保護されたファイルに アクセス するときに DLP が実行するアクションを構成します。 制限付きアプリの一覧は、Windows 10/11 および 3 つの最新の macOS リリースのいずれかを実行している macOS デバイスで使用できます。

重要

  • 実行可能ファイルへのパスは含めないでください。 実行可能ファイル名 (browser.exe など) のみを含めます。

  • 制限付きアプリの一覧にあるアプリに対して定義されているアクション (auditblock with override、または block) は、ユーザーが保護されたアイテムに アクセス しようとしたときにのみ適用されます。

ポリシーで制限付きアプリによるアクセスが選択され、ユーザーが制限付きアプリの一覧にあるアプリを使用して保護されたファイルにアクセスすると、制限付きアプリの一覧の構成方法に応じて、アクティビティがauditedblocked、またはblocked with overrideされます。 例外: [制限付きアプリ ] リストのアプリが 制限付きアプリ グループのメンバーでもある場合、[ 制限付きアプリ] グループ のアクティビティに対して構成されたアクションは、[ 制限付きアプリ ] リストに構成されているアクションよりも優先されます。 すべてのアクティビティが監査され、アクティビティ エクスプローラーで確認できます。

制限付きアプリ グループ (プレビュー)

制限付きアプリ グループは、DLP 設定で作成し、ポリシーのルールに追加するアプリのコレクションです。 制限付きアプリ グループをポリシーに追加すると、次の表で定義されているアクションを実行できます。

制限付きアプリ グループ オプション これを使用して実行できること
ファイル アクティビティを制限しない ユーザーが クリップボードへのコピーUSB リムーバブル ドライブへのコピーネットワーク ドライブへのコピー、またはアプリからの 印刷 を試みた場合に何も行わずに、アプリ グループ内のアプリを使用して DLP で保護されたアイテムにユーザーがアクセスできるように DLP に指示します。
すべてのアクティビティに制限を適用する ユーザーが関連するアプリ グループ内のアプリを使用して DLP で保護されたアイテムにアクセスしようとしたときに、DLP に Audit onlyBlock with override、または Block するように DLP に指示します
特定のアクティビティに制限を適用する この設定を使用すると、ユーザーはアプリ グループ内のアプリを使用して DLP で保護されたアイテムにアクセスできます。 また、ユーザーがクリップボードへのコピーUSB リムーバブル ドライブへのコピーネットワーク ドライブへのコピー、印刷を試みたときに DLP が実行する既定のアクション (Audit onlyBlock、またはBlock with override) を選択することもできます。

重要

制限付きアプリ グループ の設定は、制限付きアプリ の一覧 で設定されている制限が同じルール内にある場合にオーバーライドされます。 そのため、アプリが制限付きアプリの一覧にあり、制限付きアプリ グループのメンバーでもある場合は、制限付きアプリ グループの設定が適用されます。

DLP がアクティビティに制限を適用する方法

制限付きアプリ グループ内のアプリのファイル アクティビティすべてのアプリのファイル アクティビティ、制限付きアプリ アクティビティの一覧の間の相互作用は、同じルールにスコープが設定されます。

制限付きアプリ グループのオーバーライド

制限付きアプリ グループ内のアプリのファイル アクティビティで定義されている構成は、同じルール内の制限付きアプリ アクティビティのリストとすべてのアプリのファイル アクティビティをオーバーライドします。

すべてのアプリの制限付きアプリ アクティビティとファイル アクティビティ

制限付きアプリ アクティビティすべてのアプリのファイル アクティビティの構成は、制限付きアプリ アクティビティに対して定義されたアクションが同じルールで Audit only、または Block with override されている場合、連携して動作します。 どうしてでしょうか? 制限付きアプリ アクティビティに対して定義されたアクションは、ユーザーがリストにあるアプリを使用してファイルにアクセスする場合にのみ適用されます。 ユーザーがアクセスできるようになると、すべてのアプリのファイル アクティビティのアクティビティに対して定義されたアクションが適用されます。

たとえば、次の例を見てみましょう。 Notepad.exe が 制限付きアプリに追加され、 すべてのアプリのファイル アクティビティ特定のアクティビティに制限を適用するように構成されており、両方とも次の表に示すように構成されているとします。

ポリシーでの設定 アプリ名 ユーザー アクティビティ 実行する DLP アクション
制限されたアプリのアクティビティ メモ帳 DLP で保護されたアイテムにアクセスする 監査のみ
すべてのアプリ向けファイル アクティビティ すべてのアプリ クリップボードにコピーする 監査のみ
すべてのアプリ向けファイル アクティビティ すべてのアプリ USB リムーバブル デバイスにコピーする ブロック
すべてのアプリ向けファイル アクティビティ すべてのアプリ ネットワーク共有にコピーする 監査のみ
すべてのアプリ向けファイル アクティビティ すべてのアプリ 印刷 ブロック
すべてのアプリ向けファイル アクティビティ すべてのアプリ 許可されていない Bluetooth アプリを使用したコピーまたは移動 Blocked
すべてのアプリ向けファイル アクティビティ すべてのアプリ リモート デスクトップ サービス オーバーライド付きブロック

ユーザー A がメモ帳を使用して DLP で保護されたファイルを開くと、DLP によってアクセスが許可され、アクティビティが監査されます。 メモ帳に残っている間、ユーザー A は保護された項目からクリップボードにコンテンツをコピーしようとします。 このアクションは成功し、DLP によってアクティビティが監査されます。 その後、ユーザー A がメモ帳から保護されたアイテムを印刷しようとすると、アクティビティはブロックされます。

注:

制限付きアプリアクティビティで実行する DLP アクションが block に設定されていると、すべてのアクセスがブロックされ、ユーザーはファイルに対してアクティビティを実行できません。

すべてのアプリ向けのみのファイル アクティビティ

制限付きアプリ グループ内のアプリのファイル アクティビティまたは制限付きアプリ アクティビティの一覧にアプリまれていない場合、または制限付きアプリ アクティビティの一覧にAudit onlyまたはBlock with overrideのいずれかのアクションがある場合、すべてのアプリのファイル アクティビティで定義されているすべての制限が同じルールで適用されます。

macOS デバイス

また、macOS アプリが機密データにアクセスできないようにするには、[ 制限付きアプリ アクティビティ ] の一覧で機密データを定義します。

注:

クロスプラットフォーム アプリは、実行している OS に対応する一意のパスで入力する必要があります。

Mac アプリの完全なパスを検索するには:

  1. macOS デバイスで、アクティビティ モニター を開きます。 制限するプロセスを見つけてダブルクリックします。

  2. [ ファイルとポートを開く ] タブを選択します。

  3. アプリの名前を含め、完全なパス名を書き留めます。

自動検疫

onedrive.exeなどのクラウド同期アプリによって機密項目がクラウドに同期されないようにするには、自動検疫を使用してクラウド同期アプリを [制限付きアプリ] リストに追加します。

有効にすると、制限されたアプリが DLP で保護された機密アイテムにアクセスしようとすると、自動検疫がトリガーされます。 自動検疫では、機密性の高い項目が管理者が構成したフォルダーに移動します。 そのように構成されている場合、オートクォランティンは元のファイルの代わりにプレースホルダー (.txt) ファイルを残すことができます。 プレースホルダー ファイル内のテキストを構成して、アイテムの新しい場所やその他の関連情報をユーザーに伝えることができます。

許可されていないクラウド同期アプリが、ブロックしている DLP ポリシーによって保護されているアイテムにアクセスしようとすると、自動クォランティン機能を使用します。 DLP によって繰り返し通知が生成される場合があります。 自動検疫を有効にすると、これらの繰り返しの通知を回避できます。

また、自動検疫を使用して、ユーザーと管理者に対する DLP 通知の無限のチェーンを防ぐことができます。 詳細については、「 シナリオ 4: 自動検疫を使用してクラウド同期アプリからの DLP 通知をループしないようにする」を参照してください。

アプリの未承認 (制限付き) Bluetooth

特定のBluetooth アプリを介してポリシーによって保護されたファイルを転送できないようにするには、エンドポイント DLP 設定の [許可されていないBluetooth アプリ ] の一覧にそれらのアプリを追加します。

機密データに対するブラウザーとドメインの制限

ポリシーに一致する機密ファイルが、無制限のクラウド サービス ドメインと共有されるのを制限します。

許可されていないブラウザー

Windows デバイスの場合、指定された Web ブラウザーの使用を制限できます。その実行可能ファイル名によって識別されます。 指定されたブラウザーは、アップロードからクラウドへのサービスの制限が block または block override に設定されている、適用された DLP ポリシーの条件に一致するファイルへのアクセスがブロックされます。 これらのブラウザーがファイルへのアクセスをブロックされると、エンド ユーザーに Microsoft Edge 経由でファイルを開くように求めるトースト通知が表示されます。

macOS デバイスの場合は、完全なファイル パスを追加する必要があります。 Mac アプリの完全なパスを検索するには:

  1. macOS デバイスで、アクティビティ モニター を開きます。 制限するプロセスを見つけてダブルクリックします。

  2. [ファイルとポートを開く] タブを選択します。

  3. アプリの名前を含め、完全なパス名を必ず書き留めておきます。

サービスドメイン

ここで のサービス ドメインは、 DLP ポリシー内にルールを作成するためのワークフローで見つかった [監査] または [デバイスでのアクティビティの制限 ] 設定と連携します。

ルールを作成するときは、特定の条件が満たされたときにアクションを使用してコンテンツを保護します。 エンドポイント デバイスのルールを作成するときは、[デバイス でのアクティビティの監査または制限 ] オプションを選択し、次のいずれかのオプションを選択する必要があります。

  • 監査のみ
  • オーバーライド付きブロック
  • ブロック

ポリシーによって保護されている機密ファイルを特定のサービス ドメインにアップロードできるかどうかを制御するには、次に[エンドポイント DLP 設定]、[Browser>]、[ドメイン制限] の順に移動して機密データに移動し、既定でサービス ドメインブロックするか許可するかを選択する必要があります。

注:

サービス ドメイン設定は、Microsoft Edge を使用してアップロードされたファイル、または Microsoft Purview Chrome 拡張機能がインストールされている Google Chrome または Mozilla Firefox のインスタンスを使用するファイルにのみ適用されます。

ブロック

[サービス ドメイン] リストが [ブロック] に設定されている場合は、[クラウド サービス ドメインの追加] を使用して、ブロックする必要があるドメインを指定します。 その他のサービス ドメインはすべて許可されます。 この場合、DLP ポリシーは、ユーザーが機密ファイルを一覧にないドメインにアップロードしようとした場合にのみ適用されます。

たとえば、次の構成を考えてみましょう。

  • DLP ポリシーは、物理アドレスを含む機密性の高い項目を検出するように構成され、[ デバイスでのアクティビティの監査または制限 ] オプションが [監査のみ] に設定されています。
  • [サービス ドメイン] 設定が [ブロック] に設定されています。
  • contoso.com が一覧に表示されません。
  • 一覧に IS を wingtiptoys.com します。

この場合、ユーザーが物理アドレスを持つ機密ファイルを contoso.com にアップロードしようとすると、アップロードが完了し、監査イベントが生成されますが、アラートはトリガーされません。

これに対し、ユーザーがクレジットカード番号を持つ機密ファイルを wingtiptoys.com にアップロードしようとすると、ユーザー アクティビティ --the upload--も完了でき、監査イベントとアラートの両方が生成されます。

別の例として、次の構成を考えてみましょう。

  • DLP ポリシーは、物理アドレスを含む機密性の高いアイテムを検出するように構成され、[ デバイスでのアクティビティの監査または制限 ] オプションが [ブロック] に設定されています。
  • [サービス ドメイン] 設定が [ブロック] に設定されています。
  • contoso.com が一覧に表示されません。
  • 一覧に IS を wingtiptoys.com します。

この場合、ユーザーが物理アドレスを持つ機密ファイルを contoso.com にアップロードしようとすると、アップロードが完了し、監査イベントがトリガーされますが、監査イベントは生成されますが、アラートはトリガーされません。

一方、ユーザーがクレジットカード番号を持つ機密ファイルを wingtiptoys.com にアップロードしようとすると、ユーザー アクティビティ --the upload-is blocked され、監査イベントとアラートの両方が生成されます。

許可

[サービス ドメイン] の一覧が [許可] に設定されている場合は、[クラウド サービス ドメインの追加] を使用して、許可されるドメインを指定します。 その他のサービス ドメインはすべてブロックされます。 この場合、DLP ポリシーは、ユーザーが機密ファイルを一覧表示されているドメインのいずれかにアップロードしようとした場合にのみ適用されます。

たとえば、次の 2 つの開始構成を次に示します。

  • DLP ポリシーは、クレジット カード番号を含む機密性の高いアイテムを検出するように構成され、[デバイスでのアクティビティの監査または制限] オプションが [オーバーライドありでブロック] に設定されています。
  • [サービス ドメイン] 設定が [許可] に設定されています。
  • [ 許可] ボックスの一覧に表示されない contoso.com。
  • [ 許可] ボックスの一覧に IS を wingtiptoys.com します。

この場合、ユーザーがクレジットカード番号を持つ機密ファイルを contoso.com にアップロードしようとすると、アップロードがブロックされ、警告が表示され、ブロックをオーバーライドするオプションがユーザーに与えられます。 ユーザーがブロックのオーバーライドを選択すると、監査イベントが生成され、アラートがトリガーされます。

ただし、ユーザーがクレジットカード番号を含む機密ファイルを wingtiptoys.com にアップロードしようとすると、ポリシーは適用されません。 アップロードの完了が許可され、監査イベントが生成されますが、アラートはトリガーされません。

  • DLP ポリシーは、物理アドレスを含む機密性の高い項目を検出するように構成され、[デバイスでのアクティビティの監査または制限] オプションが [監査のみ] に設定されています。
  • [サービス ドメイン] 設定が [許可] に設定されています。
  • contoso.com が一覧に表示されません。
  • 一覧に IS を wingtiptoys.com します。

この場合、ユーザーが物理アドレスを持つ機密ファイルを contoso.com にアップロードしようとすると、アップロードが完了し、監査イベントとアラートの両方が生成されます。

これに対し、ユーザーがクレジット カード番号を持つ機密ファイルを wingtiptoys.com にアップロードしようとすると、ユーザー のアクティビティ (upload- も許可されます) も完了できます。監査イベントは生成されますが、アラートはトリガーされません。

重要

サービス制限モードが [許可] に設定されている場合、制限が適用される前に、少なくとも 1 つのサービス ドメインが構成されている必要があります。

概要テーブル: 許可/ブロック動作

次の表は、一覧表示されている設定に応じてシステムがどのように動作するかを示しています。

エンドポイント DLP サービス ドメインの設定 DLP ポリシー ルール [デバイスでのアクティビティの監査または制限] 設定 ユーザーが一覧表示されたサイトに移動する ユーザーが一覧にないサイトに移動する
許可 監査のみ - ユーザー アクティビティが監査される
- アラートが生成されない
- DLP ポリシーは適用されません
- ユーザー アクティビティが監査される
- アラートが生成される
- DLP ポリシーが監査モードで適用される
許可 オーバーライド付きブロック - ユーザー アクティビティが監査される
- アラートが生成されない
- DLP ポリシーは適用されません
- ユーザー アクティビティが監査される
- アラートが生成される
- DLP ポリシーがオーバーライド モードでブロックで適用される
許可 ブロック - ユーザー アクティビティが監査される
- アラートが生成されない
- DLP ポリシーは適用されません
- ユーザー アクティビティが監査される
- アラートが生成される
- DLP ポリシーがブロック モードで適用される
ブロック 監査のみ - ユーザー アクティビティが監査される
- アラートが生成される
- DLP ポリシーが監査モードで適用される
- ユーザー アクティビティが監査される
- アラートが生成されない
- DLP ポリシーは適用されません
ブロック オーバーライド付きブロック - ユーザー アクティビティが監査される
- アラートが生成される
- DLP ポリシーがオーバーライド モードでブロックで適用される
- ユーザー アクティビティが監査される - アラートは生成されません
- DLP ポリシーは適用されません
ブロック ブロック - ユーザー アクティビティが監査される
- アラートが生成される
- DLP ポリシーがブロック モードで適用される
- ユーザー アクティビティが監査される
- アラートが生成されない
- DLP ポリシーは適用されません

一覧にドメインを追加する場合は、終了期間 (.) なしでサービス ドメインの FQDN 形式を使用します。

次に例を示します。

Input URL 照合動作
CONTOSO.COM 指定されたドメイン名と任意のサブサイトに一致します:

://contoso.com

://contoso.com/

://contoso.com/anysubsite1

://contoso.com/anysubsite1/anysubsite2 (など)

サブドメインまたは指定されていないドメインと一致しません:

://anysubdomain.contoso.com

://anysubdomain.contoso.com.AU

* .CONTOSO.COM 指定されたドメイン名、任意のサブドメイン、および任意のサイトに一致します:

://contoso.com

://contoso.com/anysubsite

://contoso.com/anysubsite1/anysubsite2

://anysubdomain.contoso.com/

://anysubdomain.contoso.com/anysubsite/

://anysubdomain1.anysubdomain2.contoso.com/anysubsite/

://anysubdomain1.anysubdomain2.contoso.com/anysubsite1/anysubsite2 (など)

指定されていないドメインと一致しません

://anysubdomain.contoso.com.AU/

www.contoso.com 指定されたドメイン名と一致します:

www.contoso.com

指定されていないドメインまたはサブドメインと一致しません

*://anysubdomain.contoso.com/、この場合、FQDN ドメイン名自体を配置する必要があります www.contoso.com

[機密サービス ドメイン] で最大 50 個のドメインを構成できます。

機密性の高いサービス ドメイン グループ

機密サービス ドメインに Web サイトを一覧表示すると、ユーザーが次のいずれかのアクションを実行しようとしたときに、ユーザー アクティビティをauditblock with override、または完全にblockできます。

  • Web サイトから印刷する
  • Web サイトからデータをコピーする
  • Web サイトをローカル ファイルとして保存する
  • 機密性の高いファイルを除外された Web サイトにアップロードまたはドラッグ アンド ドロップする
  • 除外された Web サイトに機密データを貼り付ける

次の表は、これらの機能をサポートするブラウザーを示しています。

ブラウザー サポートされている機能
Microsoft Edge - サイトを印刷する
- サイトからデータをコピーする
- サイトをローカル ファイルとして保存する (名前を付けて保存)
- サポートされているブラウザーに貼り付ける
- 制限付きクラウド サービス ドメインにアップロードする
Google Chrome (Microsoft Purview 拡張機能付き) - サポートされているブラウザーに貼り付ける
- 制限付きクラウド サービス ドメインにアップロードする
Mozilla Firefox (Microsoft Purview 拡張機能付き) - 制限付きクラウド サービスへのアップロード
- サポートされているブラウザーに貼り付ける

[サポートされているブラウザーに貼り付け] アクションの場合、ユーザーが Web ページにテキストを貼り付けようとしたときと、システムがテキストの分類を完了して応答するまでの短いタイム ラグが発生する可能性があります。 この分類の待機時間が発生した場合は、Chrome と Firefox の Edge またはポリシー評価トーストに、ポリシー評価とチェック完了通知の両方が表示される場合があります。 通知の数を最小限に抑えるためのヒントを次に示します。

  1. ターゲット Web サイトのポリシーがブロックまたはブロックに構成され、そのユーザーのサポートされているブラウザーへの貼り付けがオーバーライドされると、通知がトリガーされます。 全体的なアクションを [監査] に構成し、[ターゲット Web サイトを ブロック する] という例外を使用できます。 または、全体的なアクションを [ブロック ] に設定し、[セキュリティで保護された Web サイトの 監査] という例外を使用することもできます。
  2. 最新のマルウェア対策クライアント バージョンを使用します。
  3. Microsoft Edge のバージョンが 120 以上であることを確認します。
  4. 次の Windows KB をインストールします。
    1. Windows 10: KB5032278KB5023773
    2. Windows 11 21H2: KB5023774
    3. Win 11 22H2: KB5032288KB5023778

注:

サービス ドメイン設定は、Microsoft Edge を使用してアップロードされたファイル、または Microsoft Purview Chrome 拡張機能がインストールされている Google Chrome または Mozilla Firefox のインスタンスにのみ適用されます。

デバイスの場合は、DLP ポリシーの制限付きクラウド サービス ドメインへのアップロードアクションを使用するように機密サービス ドメインの一覧を構成する必要があります。 グローバル Web サイト グループのアクションとは異なるポリシー アクションを割り当てる Web サイト グループを定義することもできます。 1 つのグループに最大 100 個の Web サイトを追加でき、最大 150 個のグループを作成できます。 詳細については、「 シナリオ 6: 機密サービス ドメインでのユーザー アクティビティの監視または制限」を参照してください。

重要

[サポートされているブラウザーに貼り付け] アクションについて。 この機能のルールで [エンドポイントで選択したすべてのファイル アクティビティの証拠として元のファイルを収集する] が有効になっている場合、ユーザーの Windows デバイスにマルウェア対策クライアント バージョン 4.18.23110 以降がインストールされていない場合、ソース テキストにガベージ文字が表示されることがあります。 [ アクション>ダウンロード ] を選択して、実際のコンテンツを表示します。

詳細については、「 シナリオ 7: 機密コンテンツをブラウザーに貼り付けるのを制限する」を参照してください

Web サイト グループ内の Web サイトを指定するためのサポートされている構文

URL を使用して Web サイトを識別する場合は、URL の一部としてネットワーク プロトコルを含めないでください (たとえば、 https://file://)。 代わりに、柔軟な構文を使用して、Web サイト グループにドメイン、サブドメイン、Web サイト、サブサイトを含め、除外します。 例えば、

  • *をワイルドカードとして使用して、すべてのドメインまたはすべてのサブドメインを指定します。
  • URL の末尾にあるターミネータとして / を使用して、その特定のサイトのみにスコープを設定します。

終了スラッシュ マーク ( /) のない URL を追加すると、その URL はそのサイトとすべてのサブサイトにスコープが設定されます。

この構文は、すべての http/https Web サイトに適用されます。 次に、いくつかの例を示します:

Web サイト グループに追加された URL URL が一致します URL が一致しない
contoso.com // contoso.com
//contoso.com/
//contoso.com/allsubsites1
//contoso.com/allsubsites1/allsubsites2
// allsubdomains.contoso.com
//allsubdomains.contoso.com.au
contoso.com/ // contoso.com
//contoso.com/
// contoso.com/allsubsites1
//contoso.com/allsubsites1/allsubsites2
//allsubdomains.contoso.com
//allsubdomains.contoso.com/au
*.contoso.com // contoso.com
//contoso.com/allsubsites
//contoso.com/allsubsites1/allsubsites2
//allsubdomains.contoso.com
//allsubdomains.contoso.com/allsubsites
//allsubdomains1/allsubdomains2/contoso.com/allsubsites1/allsubsites2
// allsubdomains.contoso.com.au
*.contoso.com/xyz // contoso.com
//contoso.com/xyz
//contoso.com/xyz/allsubsites/
//allsubdomains.contoso.com/xyz
//allsubdomains.contoso.com/xyz/allsubsites
//allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites
//allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites1/allsubsites2
// contoso.com/xyz/
//allsubdomains.contoso.com/xyz/
*.contoso.com/xyz/ // contoso.com/xyz
//allsubdomains.contoso.com/xyz
// contoso.com
//contoso.com/xyz/allsubsites/
//allsubdomains.contoso.com/xyz/allsubsites/
//allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites/
//allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites1/allsubsites2

重要

URL では、次のアクションがサポートされています。

  • サイトを印刷する
  • サイトからデータをコピーする
  • サイトをローカル ファイルとして保存する (名前を付けて保存)
  • サポートされているブラウザーに貼り付ける
  • 制限付きクラウド サービス ドメインへのアップロード

IP アドレスと IP アドレス範囲では、次のアクションがサポートされます。

  • サイトを印刷する
  • サイトからデータをコピーする
  • サイトをローカル ファイルとして保存する (名前を付けて保存)

エンドポイント DLP の追加設定

ポリシー ヒントでの業務上の正当な理由

ポリシーヒントを構成するためのオプションで、ユーザーがビジネス上の正当な理由オプションと対話する方法を制御できます。 このオプションは、DLP ポリシーの [オーバーライド付きブロック] 設定で保護されているアクティビティをユーザーが実行したときに表示されます。 これはグローバル設定です。 以下のいずれかのオプションを選択できます。

  • 既定のオプションとカスタム テキスト ボックスを表示する: 既定では、ユーザーは組み込みの業務上の正当な理由を選択するか、独自のテキストを入力できます。
  • [既定のオプションのみを表示する]: ユーザーは、組み込みの理由の一覧からの選択に制限されます。
  • [カスタム テキスト ボックスのみを表示する]: ユーザーは、カスタムの正当な理由を入力することに限定されます。 テキスト ボックスがエンド ユーザー ポリシー ヒント通知に表示され、オプションの一覧は表示されません。

ドロップダウン メニューのオプションのカスタマイズ

[オプションのカスタマイズ] ドロップダウン メニューを選択すると、ユーザーがポリシー通知ヒントを操作するときに表示されるカスタマイズされた オプションを最大 5 つ作成できます。

オプション 既定のテキスト
オプション 1 これは、確立されたビジネス ワークフローの一部 であるか、カスタマイズされたテキストを入力できます
オプション 2 マネージャーがこのアクションを承諾します または、カスタマイズされたテキストを入力できます
オプション 3 緊急アクセスが必要です。自分のマネージャーに別途通知を送信します または、カスタマイズされたテキストを入力できます
誤検知オプションの表示 これらのファイルの情報は機密情報ではありません または、カスタマイズされたテキストを入力できます
オプション 5 その他 または、カスタマイズされたテキストを入力できます

デバイスのファイル アクティビティを常に監査する

既定では、デバイスがオンボードされると、Office、PDF、CSV ファイルのアクティビティが自動的に監査され、アクティビティ エクスプローラーで確認できるようになります。 オンボードされたデバイスがアクティブなポリシーに含まれている場合にのみ、このアクティビティを監査する場合は、この機能をオフにします。

アクティブなポリシーに含まれているかどうかに関係なく、オンボードされたデバイスのファイル アクティビティは常に監査されます。

プリンター グループ

この設定を使用して、グローバル印刷アクションとは異なるポリシー アクションを割り当てるプリンターのグループを定義します。

プリンター グループを作成するための最も一般的なユース ケースは、契約の印刷を、organizationの法務部門のプリンターのみに制限するために使用することです。 ここでプリンター グループを定義した後、デバイスを対象とするすべてのポリシーで使用できます。 承認グループを使用するようにポリシー アクションを構成する方法の詳細については、「 シナリオ 8 承認グループ 」を参照してください。

最大 20 個のプリンター グループを作成できます。 各グループには、最大 50 台のプリンターを含めることができます。

重要

macOS 15/Sequoia のユーザーには、このダイアログ "com.microsoft.dlp.daemon" がローカル ネットワーク上のデバイスを見つけたい 場合があります。管理者は、[ 許可] を選択してエンドポイント DLP がプリンター保護を正しく実行することを許可するようにユーザーに指示できます。

ユーザーのイメージ

注:

この機能は、次のいずれかの Windows バージョンを実行しているデバイスで使用できます。

例を見てみましょう。 DLP ポリシーで、法務部門のプリンターを除くすべてのプリンターへの契約の印刷をブロックするとします。

  1. 各グループにプリンターを割り当てるには、次のパラメーターを使用します。

    • フレンドリ プリンター 名 - デバイス マネージャーのプリンター デバイス プロパティの詳細からフレンドリ プリンター名の値を取得します。
    • USB プリンター - コンピューターの USB ポートを介して接続されたプリンター。 USB 製品 ID と USB ベンダー ID の選択を解除したまま、USB プリンターを適用する場合は、このオプションを選択します。 また、USB 製品 ID と USB ベンダー ID を指定して、特定の USB プリンターを割り当てることもできます。
    • USB 製品 ID - デバイス マネージャーのプリンター デバイス プロパティの詳細から Device Instance パスの値を取得します。 その値を Product ID とベンダー ID の形式に変換します。 詳細については、「 Standard USB 識別子」を参照してください。
    • USB ベンダー ID - デバイス マネージャーのプリンター デバイス プロパティの詳細からデバイス インスタンス パスの値を取得します。 その値を製品 ID とベンダー ID の形式に変換します。 詳細については、「 Standard USB 識別子」を参照してください。
    • IP 範囲
    • ファイルに印刷 - Microsoft PDF または Microsoft XPS ドキュメント ライターに印刷します。 Microsoft Print to PDF のみを適用する場合は、"Microsoft Print to PDF" でフレンドリ プリンター名を使用する必要があります。
    • プリンターに展開されるユニバーサル印刷 - ユニバーサル プリンターの詳細については、「 ユニバーサル印刷のセットアップ」を参照してください。
    • 会社のプリンター - ドメイン内のオンプレミスの Windows プリント サーバーを介して共有される印刷キューです。 そのパスは、\print-server\contoso.com\legal_printer_001 のようになります。
    • ローカルに印刷する - Microsoft 印刷ポートを介して接続するすべてのプリンターが、上記の種類ではありません。 たとえば、リモート デスクトップまたはリダイレクト プリンターを使用して印刷します。

注:

USB プリンターIP 範囲ファイルへの印刷プリンターに展開されたユニバーサル印刷会社のプリンターローカルへの印刷の複数のパラメーターを使用しないでください。

  1. グループ内の各プリンターに 表示名を割り当てます。 これらの名前は、Microsoft Purview コンソールにのみ表示されます。

  2. Legal printers という名前のプリンター グループを作成し、フレンドリ名で個々のプリンター (エイリアス付き) を追加します。たとえば、legal_printer_001legal_printer_002legal_color_printerなどです。 (特定のプリンターを明確に識別するのに役立つ複数のパラメーターを一度に選択できます)。

  3. DLP ポリシーのグループにポリシー アクションを割り当てます。

    • Allow (ユーザー通知やアラートのない監査)
    • Audit only (通知とアラートを追加できます)
    • Block with override (アクションはブロックされますが、ユーザーはオーバーライドできます)
    • Block (何があってもブロック)

プリンター グループを作成する

  1. Microsoft Purview コンプライアンス ポータルを開き、データ損失防止>Overview>Data loss prevention 設定>Endpoint 設定>Printer グループに移動します。
  2. [ プリンター グループの作成] を選択します
  3. グループに名前を付けます。
  4. [ プリンターの追加] を選択します
  5. プリンターに フレンドリ名を付けます。 選択した名前は、ここにだけ表示されます。
  6. パラメーターを選択し、特定のプリンターを明確に識別するための値を指定します。
  7. [追加] を選択します。
  8. 必要に応じて他のプリンターを追加します。
  9. [ 保存] を選択 し、[ 閉じる] を選択します

リムーバブル USB デバイス グループ

この設定を使用して、グローバル印刷アクションとは異なるポリシー アクションを割り当てるリムーバブル 記憶域デバイスのグループ (USB サム ドライブなど) を定義します。 たとえば、DLP ポリシーで、オフサイト ストレージのデータのバックアップに使用される指定された USB 接続ハード ドライブを除き、エンジニアリング仕様の項目がリムーバブル ストレージ デバイスにコピーされないようにする必要があるとします。

最大 20 個のグループを作成でき、各グループには最大 50 個のリムーバブル 記憶域デバイスを作成できます。

注:

この機能は、次のいずれかの Windows バージョンを実行しているデバイスで使用できます。

  • KB 5018482を使用したWindows 10以降 (21H1、21H2)
  • KB 5018483で Win 11 21H2、22H2
  • Windows 10 RS5 (KB 5006744) と Windows Server 2022

リムーバブル 記憶域デバイスを定義するには、次のパラメーターを使用します。

  • ストレージ デバイスフレンドリ名 - デバイス マネージャーのストレージ デバイス プロパティの詳細からフレンドリ名の値を取得します。 ワイルドカード値がサポートされています。
  • USB 製品 ID - デバイス マネージャーの USB デバイス プロパティの詳細からデバイス インスタンス パスの値を取得します。 製品 ID とベンダー ID の形式に変換します。 詳細については、「 Standard USB 識別子」を参照してください。
  • USB ベンダー ID - デバイス マネージャーの USB デバイス プロパティの詳細からデバイス インスタンス パスの値を取得します。 製品 ID とベンダー ID の形式に変換します。 詳細については、「 Standard USB 識別子」を参照してください。
  • シリアル番号 ID - デバイス マネージャーのストレージ デバイス プロパティの詳細からシリアル番号 ID 値を取得します。 ワイルドカード値がサポートされています。
  • デバイス ID - デバイス マネージャーのストレージ デバイス プロパティの詳細からデバイス ID の値を取得します。 ワイルドカード値がサポートされています。
  • インスタンス パス ID - デバイス マネージャーのストレージ デバイス プロパティの詳細からデバイス ID の値を取得します。 ワイルドカード値がサポートされています。
  • ハードウェア ID - デバイス マネージャーのストレージ デバイス プロパティの詳細からハードウェア ID 値を取得します。 ワイルドカード値がサポートされています。

グループ内の各リムーバブル ストレージ デバイスに エイリアスを割り当てます。 エイリアスは、Microsoft Purview コンソールにのみ表示されるフレンドリ名です。 そのため、この例を続けて、 Backup という名前のリムーバブル ストレージ デバイス グループを作成し、 backup_drive_001backup_drive_002などのフレンドリ名で個々のデバイス (エイリアス) を追加します。

パラメーターを複数選択すると、プリンター グループには、これらのパラメーターを満たすすべてのデバイスが含まれます。

DLP ポリシー内のグループにこれらのポリシー アクションを割り当てることができます。

  • Allow (ユーザー通知やアラートのない監査)
  • Audit only (通知とアラートを追加できます)
  • Block with override (アクションをブロックしますが、ユーザーはオーバーライドできます)
  • Block (何があってもブロック)

リムーバブル USB デバイス グループを作成する

  1. Microsoft Purview コンプライアンス ポータル>Data loss prevention>Overview>Data loss prevention settings>Endpoint 設定>移動可能なストレージ デバイス グループを開きます。
  2. [ リムーバブル 記憶域デバイス グループの作成] を選択します。
  3. グループ名を指定します
  4. [ リムーバブル ストレージ デバイスの追加] を選択します。
  5. エイリアスを指定 します
  6. パラメーターを選択し、特定のデバイスを明確に識別するための値を指定します。
  7. [追加] を選択します。
  8. 必要に応じて、他のデバイスをグループに追加します。
  9. [ 保存] を選択 し、[ 閉じる] を選択します

リムーバブル 記憶域グループを作成するための最も一般的なユース ケースは、ユーザーがファイルをコピーできるリムーバブル 記憶域デバイスを指定するために使用することです。 通常、コピーは、指定された バックアップ グループ内のデバイスに対してのみ許可されます。

リムーバブル ストレージ デバイス グループを定義した後、デバイスを対象とするすべてのポリシーで使用できます。 承認グループを使用するようにポリシー アクションを構成する方法の詳細については、「 シナリオ 8: 承認グループ」を参照してください。

ネットワーク共有グループ

この設定を使用して、グローバル ネットワーク共有パス アクションとは異なるポリシー アクションを割り当てるネットワーク共有パスのグループを定義します。 たとえば、DLP ポリシーを使用して、特定のグループ内のネットワーク共有を除くネットワーク共有に保護されたファイルをユーザーが保存またはコピーできないようにするとします。

注:

この機能は、次のいずれかの Windows バージョンを実行しているデバイスで使用できます。

  • KB 5018482を使用したWindows 10以降 (21H1、21H2)
  • KB 5018483で Win 11 21H2、22H2
  • Windows 10 RS5 (KB 5006744) と Windows Server 2022

グループにネットワーク共有パスを含める場合は、すべての共有が開始するプレフィックスを定義します。 以下に例を示します。

  • '\Library' が一致します。

    • \Library フォルダーとそのすべてのサブフォルダー。
  • ワイルドカードを使用できます。たとえば、'\Users*\Desktop' が一致します。

    • '\Users\user1\Desktop'
    • '\Users\user1\user2\Desktop'
    • '\Users*\Desktop'
  • 環境変数は、次のように使用することもできます。

    • %AppData%\app123

DLP ポリシー内のグループに次のポリシー アクションを割り当てることができます。

  • Allow (ユーザー通知やアラートのない監査)
  • Audit only (通知とアラートを追加できます)
  • Block with override (アクションはブロックされますが、ユーザーはオーバーライドできます)
  • Block (何があってもブロック)

ネットワーク共有グループを定義したら、 デバイスを対象とするすべての DLP ポリシーで使用できます。 承認グループを使用するようにポリシー アクションを構成する方法の詳細については、「 シナリオ 8 承認グループ」を参照してください。

ネットワーク共有グループを作成する

  1. Microsoft Purview コンプライアンス ポータル>Data loss prevention>Overview>Data loss prevention settings>Endpoint settings>Network 共有グループを開きます。 1.[ ネットワーク共有グループの作成] を選択します。
  2. グループ名を指定します
  3. ファイル パスを共有に追加します。
  4. [追加] を選択します。
  5. 必要に応じて、グループに他の共有パスを追加します。
  6. [ 保存] を選択 し、[ 閉じる] を選択します

VPN の設定

VPN リストを使用して、その VPN で実行されているアクションのみを制御します。

注:

この機能は、次のいずれかのバージョンの Windows を実行しているデバイスで使用できます。

  • KB 5018482を使用したWindows 10以降 (21H1、21H2)
  • WINDOWS 11 21H2、22H2、KB 5018483
  • Windows 10 RS5 (KB 5006744)

VPN 設定に VPN を一覧表示すると、次のポリシー アクションを割り当てることができます。

  • Allow (ユーザー通知やアラートのない監査)
  • Audit only (通知とアラートを追加できます)
  • Block with override (アクションはブロックされますが、ユーザーはオーバーライドできます)
  • Block (何があってもブロック)

これらのアクションは、次のユーザー アクティビティに個別またはまとめて適用できます。

  • クリップボードにコピーする
  • USB リムーバブル デバイスにコピーする
  • ネットワーク共有にコピーする
  • 印刷
  • アプリで許可されていない (制限付き) Bluetoothを使用してコピーまたは移動する
  • RDP を使用してコピーまたは移動する

DLP ポリシーを構成してデバイス上のアクティビティを制限する場合は、一覧表示されている VPN 内でユーザーがorganizationに接続されたときに実行される各アクティビティの動作を制御できます。

サーバー アドレスまたはネットワーク アドレス パラメーターを使用して、許可される VPN を定義します。

サーバー アドレスまたはネットワーク アドレスを取得する

  1. DLP 監視対象の Windows デバイスで、管理者としてWindows PowerShell ウィンドウを開きます。
  2. 複数のフィールドと値を返す次のコマンドレットを実行します。
Get-VpnConnection
  1. コマンドレットの結果の中で、 ServerAddress フィールドを見つけて、その値を記録します。 VPN リストに VPN エントリを作成するときは、 ServerAddress を使用します。
  2. [名前] フィールドを見つけて、その値を記録します。 [名前] フィールドは、VPN リストに VPN エントリを作成するときに [ネットワーク アドレス] フィールドにマップされます。

VPN を追加する

  1. Microsoft Purview コンプライアンス ポータル>Data loss prevention>Overview>Data loss prevention settings>Endpoint settings>VPN 設定を開きます。
  2. [ VPN アドレスの追加または編集] を選択します
  3. Get-VpnConnectionの実行後に記録したサーバー アドレスまたはネットワーク アドレスを指定します。
  4. [保存] を選択します。
  5. アイテムを閉じます。

重要

[ ネットワーク制限 ] 設定の下に、オプションとして [企業ネットワーク ] も表示されます。 企業ネットワーク 接続は、組織リソースへのすべての接続です。 デバイスが 企業ネットワーク を使用しているかどうかを確認するには、管理者として Get-NetConnectionProfile コマンドレットを実行します。 出力の NetworkCategoryIdDomainAuthenticatedされている場合は、マシンが企業ネットワークに接続されていることを意味します。 出力がそれ以外の場合、マシンは ではありません。 場合によっては、マシンを VPN 接続と企業ネットワークの両方に接続できます。 [ ネットワーク制限] で両方が選択されている場合、エンドポイント DLP は順序に基づいてアクションを適用します。 VPN のアクションを適用する場合は、 企業ネットワーク のアクションよりも優先順位が高くなるように、VPN エントリを 企業ネットワークの上に移動します。

ネットワーク例外を使用するようにポリシー アクションを構成する方法の詳細については、「 シナリオ 9: ネットワーク例外」を参照してください。

関連項目