次の方法で共有

ユーザーがビジネス向け Edge のクラウド アプリと機密情報を共有できないようにする

この記事では、「 データ損失防止ポリシーの設計 」で学習したプロセスを使用して、管理対象デバイスから AI アプリへの機密情報の共有を防ぐのに役立つ Microsoft Purview データ損失防止 (DLP) ポリシーを作成する方法について説明します。 テスト環境でこのシナリオを実行して、ポリシー作成 UI について理解します。

重要

この記事では、仮定の値を持つ架空のシナリオについて説明します。 これは説明のみを目的としています。 独自の機密情報の種類、秘密度ラベル、配布グループ、およびユーザーを置き換えます。

ポリシーをデプロイする方法は、ポリシー設計と同じくらい重要です。 この記事 では、コストのかかるビジネスの中断を回避しながらポリシーが意図を達成できるように、デプロイ オプションを使用する方法について説明します。

このシナリオを使用して、Edge を使用して、ServiceNow や Workday などのビジネスマネージド アプリからの機密情報の流出をブロックします。 アプリは、セッション 制御が適用されたMicrosoft Entra条件付きアクセスにオンボードする必要があります。 保護されたアプリへのアクセスは、Edge 作業プロファイルの外部でブロックする必要があります。

前提条件と前提事項

この手順では、External という名前の架空の配布グループを使用 します。 ブラウザーで適用される DLP 保護の詳細については、 ブラウザーのデータ セキュリティ リソースに関するページを参照してください。

重要

この手順 を開始する前に、「Edge for Business のクラウド アプリのデータ損失防止」を参照してください 。 このシナリオの前提条件と前提条件に関する重要な情報を提供します。

ブラウザーでMicrosoft Entraマネージド アプリとのデータ共有を保護するためのポリシーを設定するには、次のフェーズに従います。

  1. アプリを条件付きアクセス アプリ制御にオンボードする。
  2. カスタム セッション コントロールを有効にして構成されたMicrosoft Entra条件付きアクセス ポリシーを作成します。
  3. すべてのデバイスでビジネス アプリの Edge 仕事用プロファイル サインインを適用するように構成された、Edge for Business のブラウザー内保護を有効にします。
  4. マネージド アプリとのユーザー操作を対象とする Purview DLP ポリシーを作成します。
  5. (省略可能)Microsoft Edge の Microsoft 管理 ポータル設定で、保護されたクリップボードとスクリーン キャプチャ防止機能をアクティブ化します。

重要

ユーザーとアプリの両方が、ポリシーが Edge のユーザーに適用されるすべての前提条件保護のスコープ内にある必要があります。

請求

この機能では、Microsoft Purview 機能またはその両方に従量課金制またはユーザーごとのライセンスが使用されます。 使用状況の理解と管理に役立つよう、Microsoft Purview では、Microsoft Purview ポータルに 使用状況センター が用意されています。 詳細については、「 従量課金制とユーザーごとのライセンス使用量の管理」を参照してください。

ポリシー意図ステートメントとマッピング

ユーザーが BYOD や個人用デバイスからビジネス アプリのリソースにアクセスできるようにする必要がありますが、それらのデバイスへのデータのダウンロードをブロックする必要があります。 請負業者とベンダーの従業員は、これらの種類のデバイスを使用して、作業活動のために共同作業を行います。 顧客の銀行情報などの機密情報を含むファイルをダウンロードしようとすると、アクションをブロックする必要があります。 また、アラートの要件を満たす必要があります。 最後に、これをできるだけ早く有効にしたいと考えています。

Statement 構成に関する質問の回答と構成マッピング
ユーザーが BYOD や個人用デバイスから Workday などのビジネス アプリのリソースにアクセスできるようにする必要がありますが、デバイスへのデータのダウンロードをブロックする必要があります。 - ポリシーを適用する場所を選択する: インライン Web トラフィック
-管理スコープ: フル ディレクトリ
- ポリシーを適用する場所: Managed apps > Workday
請負業者とベンダーの従業員は、これらの種類のデバイスを使用して、作業作業のために共同作業を行います。... - アプリと共にスコープを設定する " 特定のユーザーとグループ、ユーザーとグループを含める>External
顧客の銀行情報などの機密情報を含むファイルをダウンロードしようとすると、アクションをブロックする必要があります。 監視対象: - カスタム ポリシー テンプレートを使用します
- 一致の条件: コンテンツには機密情報の種類>ABA ルーティング番号オーストラリア銀行口座番号カナダ銀行口座番号国際銀行口座番号 (IBAN)イスラエル銀行口座番号日本銀行口座番号、ニュージーランドの銀行口座番号SWIFT Code米国銀行口座番号
- アクションが含まれます。ブラウザーとネットワークのアクティビティを制限します> **ファイルのダウンロード ** >Block
また、アラートの要件を満たす必要があります。 セキュリティ チームは、ポリシーの一致結果に対して調査し、アクションを実行する方法を持っている必要があります。 - インシデント レポート: ルールの一致が既定でオンになっている場合に管理者にアラートを送信 する
...最後に、これをできるだけ早く有効にしたいと考えています。... ポリシー モード: **on **

前提条件を設定する手順

  1. アプリを条件付きアクセス アプリ制御にオンボードする。 詳細については、「条件付きアクセス アプリ制御用の Microsoft 以外の IdP カタログ アプリのオンボード」および「条件付きアクセス アプリ制御用の Microsoft IdP 以外のカスタム アプリのオンボード」を参照してください。 

  2. Microsoft Entra 管理センターにサインインします

  3. セッション制御を使用してクラウド アプリを対象とする新しい条件付きアクセス ポリシーを作成しますカスタム ポリシー は、[セッション コントロール] ドロップダウンで選択する必要があります。

  4. https://security.microsoft.com) のMicrosoft Defender ポータルで、[System > Settings > Cloud apps >条件付きアクセス アプリ制御] セクション> [Edge for Business Protection] に移動します。 または、Edge for Business 保護ページに直接移動するには、 https://security.microsoft.com/cloudapps/settings?tabid=edgeIntegrationを使用します。

  5. Edge のブラウザー内保護をオンに構成し、[Edge とすべてのデバイスからのアクセスのみを許可する] を選択します

重要

マネージド クラウド アプリを対象とするポリシーにグループを含める場合は、 接続されているアプリからユーザー グループもインポートする必要があります。

ポリシーを作成する手順

  1. [Microsoft Purview ポータル] にサインインします。
  2. [データ損失防止]>[ポリシー]>+ [ポリシーの作成] を選択します。
  3. [ インライン Web トラフィック] を選択します。
  4. [カテゴリ] ボックスの一覧から [カスタム] を選択し、[規制] の一覧から [カスタム ポリシー] を選択します。
  5. [次へ]を選択します。
  6. ポリシー名を指定し、説明を入力します。 ここでポリシー インテント ステートメントを使用できます。
  7. [次へ] を選択します。
  8. 既定の [完全なディレクトリ][管理単位の割り当て] ページでそのまま使用します。
  9. [次へ]を選択します。
  10. [マネージド クラウド アプリ] を選択します
  11. [ 特定のユーザーとグループ] を選択します
  12. [ + 含める] を選択し、[ グループを含める] を選択します。
  13. [ 外部] を選択します。
  14. [完了] を選んでから、[次へ] を選びます。
  15. [ + 管理対象アプリを含める] を選択します。
  16. [Workday] を選択します
  17. [ 完了] を選択します
  18. [ポリシー設定の定義] ページで、[高度な DLP ルールを作成またはカスタマイズする] オプションが既に選択されているはずです。
  19. [次へ]を選択します。
  20. [高度な DLP ルールのカスタマイズ] ページで、+ [ルールの作成] を選択します。
  21. ルールに名前を付け、説明を入力します。
  22. [条件の追加] を選択し、これらの値を使用します:
    1. [コンテンツに含まれるもの] を選択します。
    2. [ Add>Sensitive information types>Sensitive info types>ABA Routing NumberAustralia Bank Account NumberCanada Bank Account NumberInternational Bank Account Number (IBAN)イスラエル銀行口座番号日本銀行口座番号ニュージーランドの銀行口座番号SWIFT Code米国銀行口座番号を選択します。
  23. [追加] を選択します。
  24. [アクション] で、次の値があるアクションを追加します:
    1. ブラウザーとネットワークのアクティビティを制限する
    2. ファイルのダウンロード>ブロック
  25. [ インシデント レポート ] で[2] を選択します。 [ルールの一致が発生したときに管理者にアラートを送信 する] のトグルは既定で [オン] になります
  26. [保存] を選んでから、[次へ] を選びます。
  27. [ ポリシー モード ] ページで、[ オン] を選択します。
  28. [次へ] を選択してから、[送信] を選びます。
  29. [完了] を選択します。

##Steps Microsoft Edge for Business保護されたクリップボードとスクリーン キャプチャの保護をアクティブ化する (省略可能) 保護されたクリップボードの概要に関する手順Microsoft Edge for Business参照してください。

重要

DLP ポリシーは、すべての要件が満たされるまで Edge では適用されません。

  • Last updated on