データ損失防止ポリシーの作成と展開

Microsoft Purview データ損失防止 (DLP) ポリシーには多くの構成オプションがあります。 各オプションで、ポリシーの動作を変更します。 この記事では、構成オプションにマッピングする一般的なポリシー インテント シナリオについて解説しています。 次に、これらのオプションの構成について説明します。 これらのシナリオについて理解すると、DLP ポリシー作成 UX を使用して独自のポリシーを作成するために必要な基本的なスキルが得られます。

ポリシーの展開方法は、ポリシーの設計と同じくらい重要です。 ポリシーの展開をコントロールするための複数のオプション があります。 この記事では、これらのオプションを使用して、コストのかかる業務中断を回避しながらポリシーで目的を達成できるようにする方法について説明します。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview トライアル ハブ で今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

開始する前に

Microsoft Purview DLP を初めて使用する場合は、DLP を実装する際に以下の一覧にある主要な記事に目を通してください。

1. 管理単位
2. Microsoft Purview データ損失防止の概要 - この記事では、データ損失防止の規範と Microsoft による DLP の実装について解説しています。
3. データ損失防止 (DLP) の計画 - この記事を読み進めながら、次のことが行えます。
   1. 関係者の特定
   2. 保護する機密情報のカテゴリの定義
   3. 目標と戦略の設定
4. データ損失防止ポリシー リファレンス - この記事では、DLP ポリシーのすべてのコンポーネントと、それぞれがポリシーの動作に与える影響を紹介しています。
5. DLP ポリシーの設計 - この記事では、ポリシー インテント ステートメントを作成し、それを特定のポリシー構成にマッピングする方法について説明します。
6. データ損失防止ポリシーの作成と展開 - この記事では、構成オプションにマップするポリシーの一般的なインテントシナリオについて説明します。 次に、これらのオプションの構成について説明し、ポリシーの展開に関するガイダンスを提供します。
7. データ損失防止アラートの調査に関する詳細情報 - この記事では、アラートのライフサイクルについて、作成から最終的な修復とポリシーの調整までが解説されています。 また、アラートの調査に使用するツールも紹介されています。

SKU /サブスクリプションライセンス

ライセンスの詳細については、次を参照してください。

• Microsoft 365 Enterprise プラン
• Microsoft 365 サービスの説明

アクセス許可

ポリシーの作成と展開に使用するアカウントは、これらの役割グループの 1 つのメンバーである必要があります

• コンプライアンス管理者
• コンプライアンス データ管理者
• 情報保護
• Information Protection 管理者
• セキュリティ管理者

重要

開始する前に、無制限の管理者 と 管理単位の制限付き管理者 の違いを理解していることを確認するために、管理単位 をお読みください。

詳細な役割と役割グループ

アクセス制御を微調整するために使用できる役割と役割グループがあります。

該当する役割の一覧を次に示します。 詳細については、「Microsoft Purview ポータルのアクセス許可」を参照してください。

• DLP コンプライアンス管理
• Information Protection 管理者
• Information Protection アナリスト
• Information Protection 調査員
• Information Protection 閲覧者

該当する役割グループの一覧を次に示します。 詳細については、「Microsoft Purview ポータルのアクセス許可」を参照してください。

• 情報保護
• Information Protection レベル
• Information Protection アナリスト
• Information Protection 調査担当者
• Information Protection 閲覧者

ポリシーの作成シナリオ

前の記事「DLP ポリシーの設計」では、ポリシーインテントステートメントを作成し、そのインテントステートメントをポリシー構成オプションにマッピングする方法について説明しました。 このセクションでは、これらの例に加えて、さらにいくつかの例を取り上げ、実際のポリシー作成プロセスについて説明します。 ポリシー作成 UI を理解するには、テスト環境でこれらのシナリオに取り組む必要があります。

ポリシー作成フローには非常に多くの構成オプションがあるため、すべての構成、またはほとんどの構成をカバーすることはできません。 そのため、この記事では、最も一般的な DLP ポリシー シナリオについて説明します。 これらの手順を実行すると、さまざまな構成で経験を得られます。

• シナリオ 1: クレジット カード番号を含むメールをブロックする
• シナリオ 2: Microsoft 365 の SharePoint と OneDrive を介した機密アイテムの外部ユーザーとの共有をブロックする
• シナリオ 3: スキャンに失敗したサポートされているファイルにコントロールを適用する
• シナリオ 4: ポリシー アクションを構成する
• シナリオ 5: サポートされていない一部のファイルにコントロールを適用する
• シナリオ 6: サポートされている一部のファイルのスキャンを無効にし、コントロールを適用する
• シナリオ 7: クレジット カード番号を含む Power BI レポートをブロックする

シナリオ 1: クレジット カード番号を含むメールをブロックする

重要

これは仮定の値による架空のシナリオです。 これは説明のみを目的としています。 独自の機密情報の種類、秘密度ラベル、配布グループ、およびユーザーに置き換えてください。

シナリオ 1: 前提条件

このシナリオでは、「極秘」秘密度ラベルを使用するため、秘密度ラベルを作成して公開する必要があります。 詳細については、次を参照してください。

• 秘密度ラベルの詳細
• 秘密度ラベルの使用を開始する
• 機密ラベルとそのポリシーを作成して構成する

この手順では、Contoso.com の架空の配布グループ「財務チーム」と架空の SMTP 受信者 adele.vance@fabrikam.com を使用します。

この手順では、アラートを使用します。「データ損失防止アラートの概要」を参照してください

シナリオ 1: ポリシー インテント ステートメントとマッピング

クレジット カード番号を含む、または「極秘」秘密度ラベルが適用されているすべての受信者へのメールをブロックする必要があります。ただし、メールが財務チームの誰かから adele.vance@fabrikam.com に送信される場合を除きます。 メールがブロックされるたびにコンプライアンス管理者に通知し、アイテムを送信したユーザーに通知し、ブロックを上書きすることができないようにする必要があります。 このリスクの高いイベントのすべての発生をログで追跡し、すべてのイベントの詳細をキャプチャして調査できるようにする必要があります

Statement	構成に関する質問の回答と構成マッピング
"すべての受信者へのメールをブロックする必要があります..."	- 監視する場所: Exchange - 管理スコープ: [完全なディレクトリ] - アクション: [Microsoft 365 の場所のコンテンツのアクセスを制限または暗号化する]>[ユーザーがメールを受信したり、共有 SharePoint、OneDrive、Teams ファイルにアクセスできないようにブロックする]>[全員をブロックする]
"...クレジット カード番号が含まれているか、'極秘' 秘密度ラベルが適用されています..."	- 監視対象: [カスタム テンプレート] を使用する - 一致する条件: それを編集して 極秘 秘密度ラベルを追加する
"...ただし..."	- 条件グループの構成: ブール値 AND を使用して、最初の条件に結合された入れ子になったブール値 NOT 条件グループを作成する
"...メールは、財務チームの誰かから送信されます..."	- 一致する条件: [送信者が次のメンバーの場合]
"...および..."	- 一致する条件: NOT グループに 2 つ目の条件を追加
"...宛先: adele.vance@fabrikam.com..."	- 一致する条件: [受信者が次の場合]
"...通知する..."	- ユーザー通知: 有効 - ポリシーヒント: 有効
"...コンプライアンス管理者は、メールがブロックされるたびに、アイテムを送信したユーザーに通知します..."	- ポリシー ヒント: 有効 - [これらのユーザーに通知する]: 選択されています - コンテンツを送信、共有、または変更したユーザー: 選択されています - [これらの追加のユーザーにメールを送信する]: コンプライアンス管理者のメール アドレスを追加する
"...ブロックを上書きすることはできません...	- [M365 サービスによる上書きを許可する]: 選択されていません
"...このリスクの高いイベントのすべての発生をログで追跡し、すべてのイベントの詳細をキャプチャして調査できるようにする必要があります。"	- [管理者アラートとレポートでこの重大度レベルを使用する]: 高 - [ルールの一致が発生したときに管理者にアラートを送信する]: 選択されています - [アクティビティがルールに一致する場合に毎回アラートを送信]: 選択されています

シナリオ 1 のポリシーを作成する手順

重要

このポリシー作成手順では、包含/除外の既定値をそのまま使用し、ポリシーをオフのままにします。 ポリシーを展開するときに、これらを変更することになります。

1. [Microsoft Purview ポータル] にサインインする

2. [データ損失防止] ソリューションを開き、[ポリシー]>+ [ポリシーの作成] に移動します。

3. [カスタム] を [カテゴリー] の一覧から選択します。

4. [カスタム] を [規制] の一覧から選択します。

5. [次へ]を選択します。

6. ポリシーに [名前] と [説明] を付けます。 ここでポリシー インテント ステートメントを使用できます。

   重要

   ポリシーの名前を変更できません

7. [次へ] を選択します。

8. 管理単位を割り当てます。 ポリシーをすべてのユーザーに適用するには、既定の設定をそのまま使用します。

9. [次へ]を選択します。

10. このポリシーの適用先を選択します。 Exchange メール の場所のみを選択します。 他のすべての場所の選択を解除します。

11. [次へ]を選択します。

12. [ポリシー設定の定義] ページで、[高度な DLP ルールを作成またはカスタマイズする] オプションが既に選択されているはずです。

13. [次へ] を選択します。

14. [ルールの作成] を選択します。 ルールに名前を付け、説明を入力します。

15. [条件] で、[条件の追加]>[コンテンツに含まれるもの] を選択する

16. (省略可能) [グループ名] を入力します。

17. (省略可能) [グループ演算子] を選択する

18. [追加]>[機密情報の種類]>[クレジット カード番号] を選択します。

19. [追加] を選択します。

20. [コンテンツに含まれるもの] セクションで、[追加]>[秘密度ラベル]>[極秘] を選択してから、[追加] を選びます。

21. 次に、[コンテンツに含まれるもの] セクションの下にある [グループの追加] を選びます。

22. ブール演算子は AND のままにし、トグルを NOT に設定します。

23. [条件の追加] を選択します。

24. [送信者が次のメンバーの場合] を選択します。

25. [配布グループの追加または削除] を選択します。

26. [財務チーム] を選択してから、[追加] を選択します。

27. [条件の追加]>[受信者が次の場合] を選択します。

28. [メール] フィールドにで、「adele.vance@fabrikam.com」と入力し、[追加] を選択します。

29. [アクション] で、[アクションの追加]>[Microsoft 365 の場所のコンテンツのアクセスを制限または暗号化する] を選択する

30. [ユーザーによるメールの受信や、SharePoint、OneDrive、Teams の共有ファイルへのアクセスをブロックする] を選択してから、[全員をブロックする] を選択します。

31. [ユーザー通知] トグルを [オン] に設定します。

32. [メール通知]>[コンテンツを送信、共有、または最後に変更したユーザーに通知する] を選択します。

33. [一致するメール メッセージを通知に添付する] かどうかを選びます。

34. [ポリシー ヒント] を追加するかどうかを選択します。

35. [ユーザーによる上書き] で、[Microsoft 365 のアプリとサービスからの上書きを許可する...] が 選択 されていないこと を確認します。

36. [インシデント レポート] で、[管理者のアラートとレポートでこの重大度レベルを使用する] を [高] に設定します。

37. [アクティビティがルールに一致する場合に毎回アラートを送信] トグルを [オン] に設定します。

38. 保存] を選択します。

39. [次へ] を選び、[シミュレーション モードでポリシーを実行する] を選びます。

40. [次へ] を選択してから、[送信] を選びます。

41. [完了] を選択します。

シナリオ 2: Microsoft 365 の SharePoint と OneDrive を介した機密アイテムの外部ユーザーとの共有をブロックする

Microsoft 365 の SharePoint と OneDrive の場合は、SharePoint と OneDrive を介した機密アイテムの外部ユーザーとの共有をブロックするポリシーを作成します。

シナリオ 2: 前提条件

このシナリオでは、「社外秘」秘密度ラベルを使用するため、秘密度ラベルを作成して公開する必要があります。 詳細については、次を参照してください。

• 秘密度ラベルの詳細
• 秘密度ラベルの使用を開始する
• 機密ラベルとそのポリシーを作成して構成する

この手順では、架空の配布グループ [人事] と、Contoso.com のセキュリティ チームの配布グループを使用します。

この手順では、アラートを使用します。「データ損失防止アラートの概要」を参照してください

シナリオ 2: ポリシー インテント ステートメントとマッピング

社会保障番号、クレジット カード データが含まれているか、または "社外秘" 秘密度ラベルがあるすべての外部受信者に対する SharePoint および OneDrive アイテムのすべての共有をブロックする必要があります。 人事チームのどのメンバーにもこれを適応しないようにする必要があります。 また、アラートの要件を満たす必要があります。 ファイルが共有されてブロックされるたびに、セキュリティ チームにメールで通知する必要があります。 さらに、可能であれば、ユーザーにメールとインターフェイス内でアラートを受信してもらうようにします。 最後に、ポリシーに例外はなく、システム内でこのアクティビティを確認できるようにする必要があります。

Statement	構成に関する質問の回答と構成マッピング
"すべての外部受信者への SharePoint アイテムと OneDrive アイテムの共有をすべてブロックする必要があります...″	- 管理スコープ: [完全なディレクトリ] - 監視する場所: SharePoint サイト、OneDrive アカウント - 一致する条件: 最初の [条件]>[自分の組織外で共有] - アクション: [Microsoft 365 の場所にあるコンテンツへのアクセスを制限またはコンテンツを暗号化する]>[ユーザーによるメールの受信や、共有 SharePoint、OneDrive へのアクセスをブロックする]>[組織外のユーザーのみをブロックする]
"...社会保障番号、クレジット カード データが含まれているか、または "社外秘" 秘密度ラベルがあります...″	- 監視対象: [カスタム] テンプレートを使用する - 一致の条件: [ブール値 AND で最初の条件に結合された 2 つ目の条件を作成する] - 一致の条件: 2 番目の条件、最初の条件グループ >[コンテンツに含まれる機密情報の種類]>[米国社会保障番号 (SSN)]、[クレジット カード番号] - [条件グループの構成] [ブール値 OR で最初の条件に接続された 2 つ目の条件グループを作成する] - 一致する条件: 2 番目の条件グループ、2 番目の条件>[コンテンツに次のいずれかの秘密度レベルが含まれている]>[社外秘]。
"...人事チームのどのメンバーにもこれを適応しないようにする必要があります...″	- 適用する場所: 人事チーム OneDrive アカウントを除外する
"...ファイルが共有されてブロックされるたびに、セキュリティ チームにメールで通知する必要があります..."	- インシデント レポート: [ルールの一致が発生した場合に管理者にアラートを送信する] - [これらのユーザーにメール アラートを送信する (省略可能): セキュリティ チームを追加する] - [アクティビティがルールに一致する場合に毎回アラートを送信]: 選択されています - [ルールの一致が発生したときに管理者にアラートを送信する]: [オン] - [これらのユーザーに通知を送信する]: [必要に応じて個々の管理者を追加] - レポートに次の情報を含めることもできます。[すべてのオプション] を選択する
"...さらに、可能であれば、ユーザーにメールとインターフェイス内でアラートを受信してもらうようにします...”	- ユーザー通知: [オン] - [ポリシー ヒントを使用して Office 365 のユーザーに通知する]: 選択されています
"...最後に、ポリシーに例外はなく、システム内でこのアクティビティを確認できるようにする必要があります...″	-[ユーザーによる上書き]: 選択されていません

条件を構成すると、概要は次のようになります:

シナリオ 2 のポリシーを作成する手順

重要

このポリシー作成手順では、ポリシーをオフのままにします。 ポリシーを展開するときに、これらを変更します。

1. [Microsoft Purview ポータル] にサインインする
2. [データ損失防止]>[ポリシー]>+ [ポリシーの作成] を選択します。
3. [カスタム] を [カテゴリー] の一覧と [規則] の一覧の両方で選択します。
4. [次へ]を選択します。
5. ポリシーに [名前] と [説明] を付けます。 ここでポリシー インテント ステートメントを使用できます。

重要

ポリシーの名前を変更することはできません。

1. [次へ] を選択します。
2. 既定の [完全なディレクトリ] を [管理単位の割り当て] ページでそのまま使用します。
3. [次へ]を選択します。
4. このポリシーの適用先を選択します。
   1. [SharePoint サイト] と [OneDrive アカウント] の場所が選択されていることを確認します。
   2. 他のすべての場所の選択を解除します。
   3. [編集] を [アクション] （[OneDrive アカウント] の横） で選択します。
   4. [すべてのユーザーとグループ] を選択し、[ユーザーとグループの除外] を選択します。
   5. +[除外] を選んでから、[グループを除外] を選択します。
   6. [人事] を選択します。
5. [完了] を選んでから、[次へ] を選びます。
6. [ポリシー設定の定義] ページで、[高度な DLP ルールを作成またはカスタマイズする] オプションが既に選択されているはずです。 [次へ]を選択します。
7. [高度な DLP ルールのカスタマイズ] ページで、+ [ルールの作成] を選択します。
8. ルールに [名前] と [説明] を付けます。
9. [条件の追加] を選択し、これらの値を使用します:
   1. [コンテンツが Microsoft 365 から共有されている] を選びます。
   2. [組織外部のユーザー] を選択します。
10. [条件の追加] を選択して 2 つ目の条件を作成し、これらの値を使用します。
    1. [コンテンツに含まれるもの] を選択します。
11. [追加]>[秘密度レベル]> を選択してから、[秘密] を選択します。
12. [追加] を選択します。
13. [アクション] で、次の値があるアクションを追加します:
    1. Microsoft 365 の場所にあるコンテンツへのアクセスを制限またはコンテンツを暗号化します。
    2. 組織外のユーザーのみをブロックします。
14. [ユーザー通知] トグルを [オン] に設定します。
15. [Office 365 サービスのユーザーにポリシー ヒントの通知を表示する] を選択してから、[コンテンツを送信、共有、または最後に変更したユーザーに通知する] を選択します。
16. [ユーザーによる上書き] で、[Microdoft 365 のアプリとサービスからの上書きを許可する] が選択 されていないこと を確認します。
17. [インシデント レポート] で、
    1. [管理者のアラートとレポートでこの重大度レベルを使用する] を [低] に設定します。
    2. [ルールが一致する場合、管理者に通知を送信] を [オン] に設定します。
18. [これらのユーザーにメール アラートを送信する (省略可能)] で、+ [ユーザーの追加または削除] を選び、セキュリティ チームのメール アドレスを追加します。
19. [保存] を選んでから、[次へ] を選びます。
20. [ポリシー モード] ページで、[シミュレーション モードでポリシーを実行する] と [シミュレーション モード中にポリシー ヒントを表示する] を選びます。
21. [次へ] を選択してから、[送信] を選びます。
22. [完了] を選択します。

シナリオ 3: スキャンに失敗したサポートされているファイルにコントロールを適用する

注:

シナリオ 3: スキャンに失敗したサポートされているファイルへのコントロールの適用は プレビュー 段階です。

このシナリオは、[監視対象ファイル] の一覧にあるが、エンドポイント DLP によってスキャンできなかったファイルのユーザー アクティビティに対して [監査]、[ブロック]、または [オーバーライド コントロールを使用してブロック] を適用する場合に使用します。

シナリオ 3: 前提条件

このシナリオでは、デバイスが既にオンボードされ、アクティビティ エクスプローラーにレポートされている必要があります。 まだデバイスをオンにしていない場合は、エンドポイントのデータ損失防止 (プレビュー) を開始を参照してください。

重要

この機能では、次のアクションの種類のみがサポートされます:

• 制限付きクラウド サービス ドメインにアップロードする
• リムーバブル USB デバイスにコピーする
• ネットワーク共有にコピーする
• 印刷

シナリオ 3: ポリシー インテント ステートメントとマッピング

エンドポイント DLP でサポートされているファイルのスキャンが失敗することがあります。 これらのファイルには機密情報がある可能性がありますが、わかりません。 オンボードされたデバイス上のファイルのスキャンが失敗した場合、ユーザーがそのファイルを USB デバイスまたはネットワーク共有にコピーできないようにする必要があります。

Statement	構成に関する質問の回答と構成マッピング
"オンボードされたデバイスのいずれかでファイルのスキャンが失敗した場合...″	- 管理スコープ: [完全なディレクトリ] - 監視する場所: デバイス スコープ: [Allusers、グループ、デバイス、デバイス グループ] - 条件: [ドキュメントをスキャンできませんでした]
"...ユーザーがそのファイルを USB デバイスまたはネットワーク共有にコピーできないようにする必要があります。"	- アクション: [監査、またはデバイスでのアクティビティの制限] を選択する- [制限されたクラウド サービス ドメインにアップロードするか、許可されていないブラウザーからアクセスする] をクリアする- [特定のアクティビティに制限を適用する] を選択する- [USB リムーバブル デバイスにコピーする] を選択し、[オーバーライドを使用してブロックする] を選択する- [ネットワーク共有にコピーする] と [オーバーライドを使用してブロックする] を選択する- [クリップボードにコピー]、[印刷]、[許可されていない Bluetooth アプリを使用したコピーまたは移動]、[RDP を使用してコピーまたは移動] をクリアする

条件を構成すると、概要は次のようになります:

シナリオ 3: ポリシー アクションを構成する

重要

このポリシー作成手順では、ポリシーをオフのままにします。 ポリシーを展開するときに、これらを変更します。

1. [Microsoft Purview ポータル] にサインインします。
2. [データ損失防止]>[ポリシー] を開きます。
3. [ポリシーの作成] を選択し、[カスタム] を [カテゴリ] から 選択し、[カスタム ポリシー] テンプレートを [規制] から選択します。
4. 新しいポリシーに名前を付け、説明を入力します。
5. [完全なディレクトリ] を [管理単位] で選択します。
6. 場所のスコープを [デバイス] のみにします。
7. 次のルールを作成します:
   1. [条件] で、
      1. [ドキュメントをスキャンできませんでした] を選択する
   2. [アクション] で、
      1. [デバイスでアクティビティを監査または制限する] を選択します。
      2. [制限されたクラウド サービス ドメインにアップロードするか、許可されていないブラウザーからアクセスする] をクリアする
      3. [特定のアクティビティに制限を適用する] を選択する
      4. [リムーバブル USB デバイスにコピーする] を選択し、[オーバーライドを使用してブロックする] を選択する
      5. [ネットワーク共有にコピー] を選択し、[オーバーライドを使用してブロックする] を選択する
      6. [クリア クリップボードにコピー]、[印刷]、[許可されていない Bluetooth アプリを使用してコピーまたは移動]、および [RDP を使用してコピーまたは移動]
8. 保存します。
9. [ポリシーをすぐに有効にする] を選びます。 [次へ] を選択します。
10. 設定を確認し、送信を選択します。

シナリオ 4: サポートされていないすべてのファイルにコントロールを適用する

注:

シナリオ 4: サポートされていないすべてのファイルへのコントロールの適用は プレビュー 段階です。

このシナリオは、監視対象ファイル の一覧に なく、[ファイルの拡張子が指定の拡張子の場合] 条件ですべてのファイル拡張子を列挙する必要がないファイルのユーザー アクティビティに対して [監査]、[ブロック]、または [オーバーライド コントロールを使用してブロック] を適用する場合に使用します。 この構成を使用して、.mp3、.wav、.dat などのファイルにコントロールを配置するブランケット ポリシーを作成します。

注意

すべてのファイルにコントロールを適用する機能は強力な機能であり、適切な注意を払わずに実装すると、意図しない結果になる可能性があります。 このポリシーを運用環境以外の環境でテストから、運用環境に展開するようにしてください。 この例では、特定のファイル拡張子をポリシーのスコープから (必要に応じて) 除外する方法も示します。

重要

この機能では、次のアクションの種類のみがサポートされます:

• 制限付きクラウド サービス ドメインにアップロードする
• リムーバブル USB デバイスにコピーする
• ネットワーク共有にコピーする
• 印刷

シナリオ 4: ポリシー インテント ステートメントとマッピング

エンドポイント DLP がスキャンしないファイルには、追跡できる以上に多くの種類があります。これらのファイルに機密情報があるかどうかはわかりません。そのため、ユーザーが USB デバイスまたはネットワーク共有にそれらのファイルをコピーしようとする前にチェックポイントを設定する必要があります。 データ漏洩の脅威がない周知の abc ファイルの種類に対するユーザー ワークフローを中断したくありません。

Statement	構成に関する質問の回答と構成マッピング
"エンドポイント DLP がスキャンしないファイルの種類は多数あります...″	- 管理スコープ: [完全なディレクトリ] - 監視する場所: デバイス - スコープ: Allusers、グループ、デバイス、デバイス グループ
"...データ漏洩の脅威がない周知の abc ファイルの種類に対するユーザー ワークフローを中断したくありません。"	- エンドポイント設定: サポートされていないファイル拡張子の除外リストを作成し、ファイル拡張子 abc をリストに追加します。
"...追跡できる以上に多くの種類があります。これらのファイルに機密情報があるかどうかはわかりません。そのため、ユーザーが USB デバイスまたはネットワーク共有にそれらのファイルをコピーしようとする前にチェックポイントを設定する必要があります..."	- 一致する条件: [ドキュメントをスキャンできませんでした] - アクション: [監査] または [デバイスでのアクティビティの制限] を選択する- [制限されたクラウド サービス ドメインにアップロードするか、許可されていないブラウザーからアクセスする] をクリアする- [特定のアクティビティに制限を適用する] を選択する- [リムーバブル USB デバイスにコピーする]、[オーバーライドを使用してブロックする] を選択する- [ネットワーク共有にコピーして、オーバーライドを使用してブロックする] を選択する- [クリップボードにコピー]、[印刷]、[許可されていない Bluetooth アプリを使用したコピーまたは移動]、[RDP を使用してコピーまたは移動する] をクリアする- [ファイルをスキャンできませんでした] を選択します。 - [サポートされていないファイル拡張子のみに制限を適用する] を選択します。

重要

この機能と [ファイルの拡張子が指定の拡張子の場合] 条件の違いは次のとおりです:

• エンドポイント DLP で、コンテンツの [ファイルの拡張子が指定の拡張子の場合] 条件をスキャンします。 たとえば、イベントまたはアラートに [機密情報の種類] の値を表示できます。一方で、この機能ではファイルの内容をスキャンできません。
• コンテンツ スキャンをトリガーする [ファイルの拡張子が指定の拡張子の場合] 条件は、CPU やメモリなどのより高いマシン リソースを消費する可能性があり、一部のファイルの種類でアプリケーションのパフォーマンスの問題を引き起こす可能性があります。

サポートされていないファイル拡張子の除外にファイルの種類を追加する

この設定を使用して、ファイル拡張子の除外をポリシーから除外します。

1. [Microsoft Purview ポータル] にサインインする
2. [設定]>[データ損失防止]>[エンドポイント DLP 設定]>[サポートされていないファイル拡張子の除外] を開きます。
3. [ファイル拡張子の追加] を選択します。
4. 拡張機能を指定します。
5. [保存] を選択します。
6. アイテムを閉じます。

シナリオ 4: ポリシー アクションを構成する

1. [Microsoft Purview ポータル] にサインインします。
2. [データ損失防止]>[ポリシー] を開きます。
3. [ポリシーの作成] を選択し、[カスタム] を [カテゴリ] から 選択し、[カスタム ポリシー] テンプレートを [規制] から選択します。
4. 新しいポリシーに名前を付け、説明を入力します。
5. [完全なディレクトリ] を [管理単位] で選択します。
6. 場所のスコープを [デバイス] のみにします。
7. 次のルールを作成します:
   1. [条件] で、
      1. [ドキュメントをスキャンできませんでした] を選択します。
   2. [アクション] で、
      1. [デバイスでアクティビティを監査または制限する] を選択します。
      2. [制限されたクラウド サービス ドメインにアップロードするか、許可されていないブラウザーからアクセスする] をクリアします。
      3. [特定のアクティビティに制限を適用する] を選択します。
      4. [リムーバブル USB デバイスにコピーする] を選択し、[オーバーライドを使用してブロックする] を選択します。
      5. [ネットワーク共有にコピー] を選択し、[オーバーライドを使用してブロックする] を選択します。
      6. [クリア クリップボードにコピー]、[印刷]、[許可されていない Bluetooth アプリを使用してコピーまたは移動]、および [RDP を使用してコピーまたは移動] をクリアします。
      7. [サポートされていないファイル拡張子のみに制限を適用する] を選択します。
8. 保存します。
9. [ポリシーをすぐに有効にする] を選びます。 [次へ] を選択します。
10. 設定を確認し、送信を選択します。

重要

このシナリオでは、[ドキュメントをスキャンできませんでした] を他の条件と共に使用することはできません。

シナリオ 5: サポートされていない一部のファイルにコントロールを適用する

注:

シナリオ 5 一部のファイルの種類にコントロールを適用することは プレビュー段階です。

この構成を使用して、監査、オーバーライドによるブロック、またはブロック コントロールをファイルの種類の一覧に適用します。 たとえば、.mp3 ファイル (EDLP によって監視されない) などのビデオ ファイルにのみコントロールを適用できます。

重要

この機能では、次のアクションの種類のみがサポートされます:

• 制限付きクラウド サービス ドメインにアップロードする
• リムーバブル USB デバイスにコピーする
• ネットワーク共有にコピーする
• 印刷

この構成では、[ファイル拡張子グループ] と [ドキュメントをスキャンできませんでした] 条件の組み合わせを使用しています。 [ファイルの拡張子が指定の拡張子の場合] 条件を使用しません。 つまり、[ファイル拡張子グループ] に含めるファイルの内容はエンドポイント DLP によってスキャンされないため、ポリシーの一致によって生成されるイベントやアラートに 機密情報の種類 の値は表示されません。

シナリオ 5: ポリシー インテント ステートメントとマッピング

Wingtip Toys には、監視対象のファイルの一覧に 含まれていない デバイス上のファイルの種類の一覧があり、コントロールを適用する必要があります。 エンドポイント DLP の監視対象ファイルの一覧に表示されていないことがわかっています。 ユーザーがそれらのファイルを USB デバイスまたはネットワーク共有にコピーできないようにする必要があります。 それでもユーザーが試みる場合は、禁止された行動を試みていることを知らせ、教える必要があります。

Statement	構成に関する質問の回答と構成マッピング
"監視対象ファイルの一覧に含まれていない、コントロールを適用するデバイス上のファイルの種類の一覧があります。...	- 管理スコープ: [完全なディレクトリ] - 監視する場所: デバイス - スコープ: [Allusers、グループ、デバイス、デバイス グループ]
" 監視対象 ファイルの一覧にあるが、エンドポイント DLP スキャンではカバーされていないデバイス上のファイルの種類の一覧にコントロールを適用する必要があります。.	- 一致する条件: ドキュメントをスキャンできませんでした - アクション: [監査] または [デバイスでのアクティビティの制限] を選択します - [保存されていないクラウド サービス ドメインへのアップロード] または [許可されていないブラウザーからのアクセス] をオフにします - [特定のアクティビティに制限を適用する] を選択 - [リムーバブル USB デバイスにコピーする] を選択>Block - Copy をネットワーク共有にコピーします>Block - クリップボードへのコピー、クリップボードへのコピークリア 、未適用のBluetooth アプリを使用してコピーまたは移動し、RDP を使用してコピーまたは移動 - 選択したファイルをスキャンできませんでした - サポートされていないファイル拡張子にのみ制限を適用するを選択します。
"エンドポイント DLP の監視対象ファイルの一覧に表示されていないことがわかっています。″	- エンドポイント設定: [ファイル拡張子グループ] を作成する
"...ユーザーがそれらのファイルを USB デバイスまたはネットワーク共有にコピーできないようにする必要があります。"	- 一致する条件: [ドキュメントをスキャンできませんでした] - アクション: [監査] または [デバイスでのアクティビティの制限] を選択する- [制限されたクラウド サービス ドメインにアップロードするか、許可されていないブラウザーからアクセスする] をクリアする- [特定のアクティビティに制限を適用する] を選択する- [リムーバブル USB デバイスにコピーする]、>[ブロックする] - [ネットワーク共有にコピーする]>[ブロックする] - [クリップボードにコピー]、[印刷]、[許可されていない Bluetooth アプリを使用したコピーまたは移動]、[RDP を使用してコピーまたは移動する] をクリアする- [ファイルをスキャンできませんでした] を選択する- [サポートされていないファイル拡張子のみに制限を適用する] を選択します。
"それでもユーザーが試みる場合は、禁止された行動を試みていることを知らせ、教える必要があります。"	- [通知を使用してユーザーに通知し、機密情報の適切な使用についてユーザーに伝える]: [オン] - エンドポイント デバイス > [アクティビティが制限されているときにユーザーにポリシー ヒント通知を表示する...]: 選択されています - [通知をカスタマイズする]: 選択されています> [通知タイトル]: [Wingtip toys は、ファイルをコピーしません]>[通知コンテンツ]: FYI、Wingtip Toy ポリシーでは、その種類のファイルを USB デバイスまたはネットワーク共有にコピーできません。 (プレビュー) エンドポイントのポリシー ヒント通知にハイパーリンクを追加する機能

ファイル拡張子グループを作成する

現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。

1. [Microsoft Purview ポータル] にサインインする
2. [設定]>[データ損失防止]>[エンドポイント DLP 設定]>[ファイル拡張子グループ] を開きます。
3. [ファイル拡張子グループの作成] を選択し、[グループ名] を入力します。 このシナリオでは、Non-classified file extensions を使用します。
4. 拡張機能を指定します。
5. [保存] を選択します。
6. アイテムを閉じます。

ポリシー アクションを構成する

1. [Microsoft Purview ポータル] にサインインする
2. [データ損失防止]>[ポリシー] を開きます。
3. [ポリシーの作成] を選択し、[カスタム] を [カテゴリ] から 選択し、[カスタム ポリシー] テンプレートを [規制] から選択します。
4. 新しいポリシーに名前を付け、説明を入力します。
5. [完全なディレクトリ] を [管理単位] で選択します。
6. 場所のスコープを [デバイス] のみにします。
7. 次のルールを作成します:
   1. [条件] で。
      1. [ドキュメントをスキャンできませんでした]。
   2. [アクション] で、
      1. [デバイスでアクティビティを監査または制限する] を選択します。
      2. [制限されたクラウド サービス ドメインにアップロードするか、許可されていないブラウザーからアクセスする] をクリアします。
      3. [特定のアクティビティに制限を適用する] を選択します。
      4. [クリップボードにコピー] をクリアします。
      5. [リムーバブル USB デバイスにコピーする]>[ブロック] を選択します。
      6. [ネットワーク共有にコピーする]>[ブロックする] を選択します。
      7. [印刷] をクリアします。
      8. [許可されていない Bluetooth アプリを使用したコピーまたは移動] をクリアします。
      9. [RDP を使用してコピーまたは移動] をクリアします。
      10. [制限されたアプリでアクセス] をクリアします。
      11. [サポートされていないファイル拡張子のみに制限を適用する] を選択します。
      12. [ファイル拡張子グループの追加] を選択し、Non-classified file extensions を選択します。
8. [ユーザー通知] を [オン] に設定します。
   1. [エンドポイント デバイス] で、[アクティビティが制限されているときにポリシー ヒント通知をユーザーに表示する...] を選択します。
   2. [通知のカスタマイズ] を選択します。
      1. 「Wingtip toys don't copy files」と [通知タイトル] に入力します。
      2. 「FYI, Wingtip Toy policy doesn't let you copy that type of file to USB device or a network share」と [通知コンテンツ] に入力します。
9. 保存します。
10. [ポリシーをすぐに有効にする] を選びます。 [次へ] を選択します。
11. 設定を確認し、送信を選択します。

重要

このシナリオでは、この [ドキュメントをスキャンできませんでした] を他の条件と共に使用することはできません。

シナリオ 6: サポートされている一部のファイルのスキャンを無効にし、コントロールを適用する

注:

シナリオ 6: サポートされている一部のファイルのスキャンの無効化とコントロールの適用は プレビュー 段階です。

この構成を使用して、監視対象 ファイルの一覧で一部のファイルの種類のスキャンを無効して、ローカル リソースの消費量を節約します。 これらのファイルの種類には、[監査]、[ブロック]、または [オーバーライド コントロールを使用してブロック] を適用できます。

重要

この機能では、次のアクションの種類のみがサポートされます:

• 制限付きクラウド サービス ドメインにアップロードする
• リムーバブル USB デバイスにコピーする
• ネットワーク共有にコピーする
• 印刷

シナリオ 6: ポリシー インテント ステートメントとマッピング

ベローズ カレッジは、すべてのユーザーの Windows デバイス上のリソースを節約する必要があり、DLP によるファイルのスキャンを減らすことは大きな助けになります。 自動生成されているため、内容がわかっているファイルの種類の一覧があります。 これらのファイルの種類は、サポートされているファイルの種類の一覧にあります。 これらの自動生成されたファイルをスキャンする必要はありませんが、ユーザーが USB デバイスやネットワーク共有にコピーできないようにする必要があります。 それでもユーザーが試みる場合は、禁止された行動を試みていることを知らせ、教える必要があります。

Statement	構成に関する質問の回答と構成マッピング
"ベローズ カレッジは、すべてのユーザーの Windows デバイス上のリソースを節約する必要があり、DLP によるファイルのスキャンを減らすことは大きな助けになります...″	- 管理スコープ: [完全なディレクトリ] - 監視する場所: デバイス - スコープ: [Allusers、グループ、デバイス、デバイス グループ]
"...自動生成されているため、内容がわかっているファイルの種類の一覧があります。 これらのファイルの種類は、サポートされているファイルの種類の一覧にあります。 これらの自動生成されたファイルをスキャンする必要はありません..."	- エンドポイント設定: [ファイル拡張子グループ] を作成する- 分類を無効にする
...ただし、ユーザーが USB デバイスやネットワーク共有にコピーできないようにする必要があります...	- 一致する条件: [ドキュメントをスキャンできませんでした] - アクション: [監査] または [デバイスでのアクティビティの制限] を選択する- [制限されたクラウド サービス ドメインにアップロードするか、許可されていないブラウザーからアクセスする] をクリアする- [特定のアクティビティに制限を適用する] を選択する- [リムーバブル USB デバイスにコピーする]、>[ブロックする] - [ネットワーク共有にコピーする]>[ブロックする] を選択する- [クリップボードにコピー]、[印刷]、[許可されていない Bluetooth アプリを使用したコピーまたは移動]、[RDP を使用してコピーまたは移動する] をクリアする- [ファイルをスキャンできませんでした] を選択します。
"...それでもユーザーが試みる場合は、禁止された行動を試みていることを知らせ、教える必要があります..."	- [通知を使用して、ユーザーに通知し、機密情報の適切な使用について教えられるようにする]: [オン] - エンドポイント デバイス > [アクティビティが制限されているときにユーザーにポリシー ヒント通知を表示する...]: 選択されています - [通知をカスタマイズする]: 選択されています>[通知タイトル]: [ベローズ カレッジ IT ではファイルをコピーしません]>[通知コンテンツ]: FYI、ベローズ カレッジのデータ損失防止ポリシーでは、その種類のファイルを USB デバイスまたはネットワーク共有にコピーすることはできません

ファイル拡張子グループを作成する

現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。

1. [Microsoft Purview ポータル] にサインインします。
2. [設定]>[データ損失防止]>[エンドポイント DLP 設定]>[ファイル拡張子グループ] を開きます。
3. [ファイル拡張子グループの作成] を選択し、[グループ名] を入力します。 このシナリオでは、Student Class Registration file extensions を使用します。
4. 拡張機能を指定します。
5. [保存] を選択します。
6. アイテムを閉じます。

分類を無効にする

この設定を使用して、エンドポイント DLP 分類から特定のファイル拡張子を除外します。

1. [Microsoft Purview ポータル] にサインインします。
2. [設定]>[データ損失防止]>[エンドポイント DLP 設定]>[分類を無効にする] を開きます。
3. [ファイル拡張子を追加または編集する] を選択します。
4. 拡張機能を指定します。
5. [保存] を選択します。
6. アイテムを閉じます。

ポリシー アクションを構成する

1. [Microsoft Purview ポータル] にサインインします。
2. [データ損失防止]>[ポリシー] を開きます。
3. [ポリシーの作成] を選択し、[カスタム] を [カテゴリ] から 選択し、[カスタム ポリシー] テンプレートを [規制] から選択します。
4. 新しいポリシーに名前を付け、説明を入力します。
5. [完全なディレクトリ] を [管理単位] で選択します。
6. 場所のスコープを [デバイス] のみにします。
7. 次のルールを作成します:
   1. [条件] で、
      1. [ドキュメントをスキャンできませんでした]。
   2. [アクション] で、
      1. [デバイスでアクティビティを監査または制限する] を選択します。
      2. [特定のアクティビティに制限を適用する] を選択します。
      3. [クリップボードにコピー] をクリアします。
      4. [リムーバブル USB デバイスにコピーする]>[ブロック] を選択します。
      5. [ネットワーク共有にコピーする]>[ブロックする] を選択します。
      6. [印刷] をクリアします。
      7. [許可されていない Bluetooth アプリを使用したコピーまたは移動] をクリアします。
      8. [RDP を使用してコピーまたは移動] をクリアします。
      9. [制限されたアプリでアクセス] をクリアします。
      10. [サポートされていないファイル拡張子のみに制限を適用する] を選択します。
      11. [ファイル拡張子グループの追加] を選択し、Student Class Registration file extensions を選択します。
   3. 保存します。
8. [今すぐオンにする] を選択します。 [次へ] を選択します。
9. 設定を確認し、送信を選択します。

重要

この場合、この [ドキュメントをスキャンできませんでした] を他の条件と共に使用することはできません。

シナリオ 7: クレジット カード番号を含む Power BI レポートをブロックする

重要

これは仮定の値による架空のシナリオです。 これは説明のみを目的としています。 独自の機密情報の種類、秘密度ラベル、配布グループ、およびユーザーに置き換えてください。

シナリオ 7: 前提条件

このシナリオでは、「極秘 - 内部」秘密度ラベルを使用するため、秘密度ラベルを作成して公開する必要があります。 詳細については、次を参照してください。

• 秘密度ラベルの詳細
• 秘密度ラベルの使用を開始する
• 機密ラベルとそのポリシーを作成して構成する

この手順では、アラートを使用します。「データ損失防止アラートの概要」を参照してください

シナリオ 7: ポリシー インテント ステートメントとマッピング

クレジットカード番号を含むレポートから外部ユーザーをブロックする必要があります。ただし、データに "極秘 - 内部" 秘密度ラベルが付いている場合、保護ポリシーによって選択されたセキュリティ グループへのアクセスが制限されます。 セマンティック モデルがブロックされ、データ所有者が制限が行われたことを認識するたびに、コンプライアンス管理者に通知する必要があります。 また、内部ユーザーに、データが機密性が高く、組織外部で共有してはならないことを認識してもらいたいと考えています。

Statement	構成に関する質問の回答と構成マッピング
"外部ユーザーをブロックする必要があります..."	- 監視する場所: Fabric と Power BI - 管理スコープ: [完全なディレクトリ] - アクション: [Microsoft 365 の場所のコンテンツのアクセスを制限または暗号化する]>[ユーザーによるメールの受信や、SharePoint、OneDrive、Teams の共有ファイル、および Power BI アイテムへのアクセスをブロックする]>[組織外のユーザーのみをブロックする]
"...クレジット カード番号を含むレポートから..."	- 監視対象: [カスタム テンプレート] を使用する - 一致する条件: それを編集して [クレジット カード番号] の機密情報の種類を追加します。
"...ただし、データに 極秘 - 内部 秘密度ラベルが付いている場合は除きます..."	- 条件グループの構成: ブール値 AND を使用して、最初の条件に結合されている入り子になったブール値 NOT 条件グループを作成する - 一致する条件: これを編集して、極秘 - 内部 秘密度ラベルを追加します。
"セマンティック モデルがブロックされるたびに、コンプライアンス管理者に通知する必要があります..."	-インシデント レポート: [ルールの一致が発生したときに管理者にアラートを送信する]: [オン] - [アクティビティがルールと一致するたびにアラートを送信する]: 選択されています
"...データ所有者は、制限が行われたことを認識する必要があります。 また、内部ユーザーに、データが機密性が高く、組織外部で共有してはならないことを認識してもらいたいと考えています。"	- ユーザー通知: [オン] - [Microsoft 365 ファイルと Microsoft Fabric アイテム: Office 365 サービスのユーザーにポリシー ヒントまたはメール通知を使用して通知する]: 選択されています - ポリシー ヒント: [ポリシー ヒントのテキストをカスタマイズする]: 選択されています。 テキスト ボックスに、機密性の高いデータの共有を管理するルールを説明するテキストを追加します。

シナリオ 7 のポリシーを作成する手順

重要

このポリシー作成手順では、包含/除外の既定値をそのまま使用し、ポリシーをオフのままにします。 ポリシーを展開するときに、これらを変更することになります。

Microsoft Purview ポータル

1. [Microsoft Purview ポータル] にサインインします。
2. [データ損失防止] ソリューションを開き、[ポリシー] に移動します。
3. [ポリシーの作成] を選択します。
4. [カスタム] を [カテゴリー] の一覧から選択します。
5. [カスタム ポリシー] を [規制] の一覧から選択します。
6. [次へ]を選択します。
7. ポリシーに [名前] と [説明] を付けます。 ここでポリシー インテント ステートメントを使用できます。

   重要

   ポリシーの名前を変更できません

8. [次へ] を選択します。
9. [完全なディレクトリ] の既定値を、[管理単位] でそのまま使用します。
10. [次へ]を選択します。
11. このポリシーの適用先を選択します。 [Fabric] と [Power BI ワークスペース] の場所のみを選択します。
12. [次へ]を選択します。
13. [ポリシー設定の定義] ページで、[高度な DLP ルールを作成またはカスタマイズする] オプションが既に選択されているはずです。
14. [次へ]を選択します。
15. + [ルールの作成] を選択します。 ルールに名前を付け、説明を入力します。
16. [条件] で、[条件の追加]>[コンテンツに含まれるもの]>[追加]>[機密情報の種類] を選択します。
17. クレジット カード番号に適用される情報の種類を選択します。
18. [追加] を選択します。
19. 次に、[コンテンツに含まれるもの] セクションの下にある [グループの追加] を選びます。
20. ブール演算子は AND のままにし、トグルを NOT に設定します。
21. トグルの下の行で、[条件の追加]>[コンテンツに含まれるもの]>[追加]>[秘密度ラベル] を選択します。
22. 秘密度ラベル [極秘 - 内部] を選択します。
23. [追加] を選択します。
24. [アクション] で、[アクションの追加]>[Microsoft 365 の場所にあるコンテンツへのアクセスを制限またはコンテンツを暗号化する]>[ユーザーによるメールの受信や、SharePoint、OneDrive、Teams の共有ファイル、および Power BI アイテムへのアクセスをブロックする]>[組織外のユーザーのみをブロックする] を選択します。
25. [ユーザー通知] で、トグルを [オン] に設定します。
26. [Office 365 サービスのユーザーにポリシー ヒントまたはメール通知を使用して通知する]>[ポリシー ヒント システムをカスタマイズする] を選択します。
27. レポート内のデータの機密性が高く、組織外部で共有してはいけないことを説明するポリシー ヒントを提供します。
28. [インシデント レポート] で、[管理者のアラートとレポートでこの重大度レベルを使用する] を [高] に設定します。
29. [ルールの一致が発生したときに管理者にアラートを送信する] トグルが [オン] に設定されていることを確認します。
30. [アクティビティがルールに一致する場合に毎回アラートを送信] ラジオ ボタンが選択されていることを確認します。
31. 保存] を選択します。
32. ルールを確認し、[次へ] を選びます。
33. [シミュレーション モードでポリシーを実行する] ラジオ ボタンと [シミュレーション モード中にポリシー ヒントを表示する] チェック ボックスが選択されていることを確認します。
34. [次へ]を選択します。
35. ポリシー設定を確認してから、[送信] を選びます。
36. [完了] を選択します。

展開

成功したポリシーの展開は、ユーザー アクションに対するコントロールを強化するために環境にポリシーを取り込むだけではありません。 無計画で急いで展開すると、ビジネス プロセスに悪影響を及ぼし、ユーザーを困らせることになる場合もあります。 これらの結果、組織での DLP テクノロジの受け入れと、促進される安全な動作に遅れがでます。 最終的に、機密性の高いアイテムの安全性を低下させることになります。

展開を開始する前に、[ポリシーの展開] をよく読むようにしてください。 ポリシーの展開プロセスの概要と一般的なガイダンスを提供します。

このセクションでは、運用環境でポリシーを管理するために一緒に使用する 3 種類のコントロールについて詳しく説明します。 ポリシーの作成時だけでなく、いつでも変更できることに注意してください。

展開管理に関する 3 つの軸

ポリシーの展開プロセス、スコープ、ポリシーの状態、アクションを制御するために使用できる軸は 3 つあります。 最も影響の少ない/シミュレーション モード から完全な適用まで、ポリシーの展開には常に増分アプローチを取る必要があります。

推奨される展開コントロールの構成

ポリシーの状態が	ポリシー スコープは、	ポリシー アクションの影響
シミュレーション モードでポリシーを実行する	場所のポリシー スコープは、狭い場所でも広範でもかまいません	- 任意のアクション を構成できます- 構成されたアクション からのユーザーへの影響はありません- 管理者はアラートを表示し、アクティビティを追跡できます
ポリシー ヒントを使用してシミュレーション モードでポリシーを実行する	ポリシーは、パイロット グループを対象としてスコープが設定されている必要があり、調整するときにはスコープを広める必要があります	- 任意のアクション を構成できます- 構成されたアクション からのユーザーへの影響はありません - ユーザーはポリシー ヒントとアラート を受け取ることができます- 管理者はアラートを表示し、アクティビティを追跡できます
有効にする	対象となるすべての場所のインスタンス	- 構成されたすべてのアクションがユーザー アクティビティ に適用されました- 管理者はアラートを表示し、アクティビティを追跡できます
無効にしておく	該当なし	該当なし

状態コード

状態は、ポリシーのロール アウトに使用するプライマリ コントロールです。 ポリシーの作成が完了したら、ポリシーの状態を [無効にしておく] に設定します。 ポリシー構成に取り組んでいる間、および最終的なレビューを受けてサインオフするまで、この状態のままにしておく必要があります。 状態は次のように設定できます:

• [シミュレーション モードでポリシーを実行する]: ポリシー アクションは適用されません。イベントは監査されます。 この状態では、DLP シミュレーション モードの概要と DLP アクティビティ エクスプローラー コンソールでポリシーの影響を監視できます。
• [シミュレーション モードでポリシーを実行し、シミュレーション モード中ポリシー ヒントを表示する]: アクションは適用されませんが、ユーザーはポリシー ヒントと通知メールを受け取って意識を高め、学習することになります。
• [すぐに有効にする]: これは完全適用モードです。
• [無効にしておく]: ポリシーは非アクティブです。 ポリシー展開中、および展開前の確認段階で、この状態を使用します。

ポリシーの状態はいつでも変更できます。

アクション

アクションとは、機密性の高いアイテムに対するユーザー アクティビティに対するポリシーの動作です。 これらはいつでも変更できるため、影響の少ない [許可] (デバイスの場合) と [監査のみ] (その他のすべての場所) から開始し、監査データを収集して確認し、それを使用してポリシーを調整してから、より制限の厳しいアクションに移行できます。

• [許可]: ユーザー アクティビティの実行が許可されているため、ビジネス プロセスは影響を受けなくなります。 監査データが取得され、ユーザー通知やアラートはありません。

  注:

  [許可] アクションは、[デバイス] の場所にスコープが設定されているポリシーでのみ使用できます。

• [監査のみ]: ユーザー アクティビティの実行が許可されているため、ビジネス プロセスは影響を受けなくなります。 監査データを取得し、通知とアラートを追加して認識を高め、ユーザーが行っていることが危険な動作であることを知らせることができます。 組織が後でさらに制限の厳しいアクションを適用する予定の場合は、ユーザーにもその旨を伝えることができます。

• [オーバーライドを使用してブロックする]: ユーザー アクティビティは既定でブロックされます。 イベントを監査し、アラートと通知を送信することができます。 これはビジネス プロセスに影響を与えますが、ユーザーにはブロックをオーバーライドし、オーバーライドの理由を提供するオプションが与えられます。 ユーザーから直接フィードバックを受け取るため、このアクションは誤検知の一致を特定するのに役立ちます。これは、ポリシーをさらに調整するために使用できます。

  注:

  Microsoft 365 の Exchange Online と SharePoint の場合、オーバーライドはユーザー通知セクションで構成されます。

• [ブロックする]: ユーザー アクティビティは、いずれの場合もブロックされます。 イベントを監査し、アラートと通知を送信することができます。

ポリシーの範囲

すべてのポリシーの範囲は、Exchange、Microsoft 365 の SharePoint、Teams、デバイスなど、1 つ以上の場所に設定されます。 既定では、場所を選択すると、その場所のすべてのインスタンスがスコープに該当し、いずれも除外されません。 場所の包含/除外オプションを構成して、ポリシーが適用される場所のインスタンス (サイト、グループ、アカウント、配布グループ、メールボックス、デバイスなど) をさらに絞り込むことができます。 包含/除外のスコープ設定オプションの詳細については、「場所」を参照してください。

一般に、ポリシーが シミュレーション モードで実行されている 状態のときは、アクションが実行されないため、スコープの柔軟性が高くなります。 まず、ポリシーを設計したスコープから始めるか、範囲を広めて、ポリシーが他の場所の機密アイテムにどのように影響するかを確認してください。

次に、状態を [シミュレーション モードでポリシーを実行して、ポリシー ヒントを表示する] に変更し、フィードバックを提供できるパイロット グループにスコープを絞り込み、オンボード時に他のユーザーのリソースとなる早期導入者になる必要があります。

ポリシーを [すぐに有効にする] に移動させたら、ポリシーの設計時に意図したすべての場所のインスタンスが含まれるようにスコープを広げます。

ポリシー展開の手順

1. ポリシーを作成し、その状態を [無効にしておく] に設定したら、関係者と最終的なレビューを行います。
2. 状態を [シミュレーション モードでポリシーを実行する] に変更します。 場所のスコープはこの時点で広めることができ、複数の場所にわたるポリシーの動作に関するデータを収集したり、単一の場所から開始したりすることができます。
3. 行動データに基づいてポリシーを調整し、ビジネスの意図をより適切に満たすようにします。
4. 状態を [シミュレーション モードでポリシーを実行して、ポリシー ヒントを表示する] に変更します。 必要に応じてパイロット グループをサポートできるように場所のスコープを絞り込み、包含/除外を利用して、ポリシーがまずそのパイロット グループにロールアウトされるようにします。
5. ユーザーのフィードバック、アラート、イベント データを収集し、必要に応じて、ポリシーとプランをさらに調整します。 ユーザーが持ち出すすべての問題に必ず対処してください。 ほとんどの場合、ユーザーが問題に遭遇し、設計フェーズでは考えられなかったことについて質問します。 この時点でスーパー ユーザーのグループを開発します。 ポリシーの範囲が広がり、オンボードするユーザーが増えるにつれて、他のユーザーをトレーニングするのに役立つリソースになる可能性があります。 展開の次の段階に進む前に、ポリシーがコントロール目標を達成していることを確認してください。
6. 状態を [すぐに有効にする] に変更します。 ポリシーは完全に展開されています。 DLP アラートと DLP アクティビティ エクスプローラーを監視します。 アラートに対処します。