データ損失防止と Microsoft Teams
組織に Microsoft Purview データ損失防止 (DLP) がある場合は、Microsoft Teams チャネルまたはチャット セッションで機密情報を共有できないようにするポリシーを定義できます。 この保護のしくみの例を次に示します。
- メッセージ内の機密情報の保護。 誰かが Teams のチャットまたはチャネルで機密情報をゲスト (外部ユーザー) と共有しようとしていたとします。 これを防ぐために DLP ポリシーが定義されている場合、外部ユーザーに送信される機密情報を含むメッセージは削除されます。 これは、DLP ポリシーの構成方法に応じて、自動的に数秒以内に発生します。
注:
Microsoft Teams の DLP は、次のような Microsoft Teams ユーザーと共有すると機密コンテンツをブロックします。
外部チャット セッションの DLP は、送信者と受信者の両方が Teams Only モードであり、Microsoft Teams ネイティブ フェデレーションを使用している場合にのみ機能します。 Skype または非ネイティブのフェデレーション チャット セッションとの相互運用の場合、Teams の DLP はメッセージをブロックしません。
ドキュメント内の機密情報の保護。 誰かが Microsoft Teams チャネルまたはチャットでゲストとドキュメントを共有しようとしていて、ドキュメントに機密情報が含まれているとします。 これを防ぐために DLP ポリシーが定義されている場合、ドキュメントはそれらのユーザーには開きません。 保護を適用するには、DLP ポリシーに SharePoint と OneDrive を含める必要があります。 これは Microsoft Teams に表示される SharePoint の DLP の例であるため、ユーザーは Office 365 DLP (Office 365 E3 に含まれる) のライセンスを取得する必要がありますが、Office 365 Advanced Compliance のライセンスを取得する必要はありません。
Teams 共有チャネルでの通信の保護。 共有チャネルの場合、ホストの Teams チーム DLP ポリシーが適用されます。 たとえば、Contoso のチーム A が所有する共有チャネルがあるとします。 チーム A には DLP ポリシー P1 があります。 チャネルを共有するには、次の 3 つの方法があります。
- メンバーと共有する: Contoso の User1 をチーム A のメンバーにせずに共有チャネルに参加するよう招待します。User1 を含む、この共有チャネルのすべてのユーザーが P1 の対象となります。
- チームと (内部的に) 共有する: Contoso の別のチームであるチーム B とチャネルを共有します。その別のチームには異なる DLP ポリシーがある可能性がありますが、それは問題ではありません。 P1 は、チーム A とチーム B の両方のユーザーを含む、この共有チャネルのすべてのユーザーに適用されます。
- チームと共有する (テナント間): Fabrikam のチーム F とチャネルを共有します。 Fabrikam には独自の DLP ポリシーがある場合がありますが、それは問題ではありません。 P1 は、チーム A (Contoso) とチーム F (Fabrikam) の両方のユーザーを含む、この共有チャネルのすべてのユーザーに適用されます。
Microsoft Teams で外部ユーザーとチャットするときの通信の保護。 外部アクセス機能を使用している Microsoft 365 のさまざまな組織のユーザーは、すべて同じチャット セッションに参加できます。 各ユーザーには、それぞれの組織の DLP ポリシーが適用されます。 たとえば、Contoso の UserA、UserB、UserC と Fabrikam の UserX、UserY、UserZ が同じTeamsチャットに参加しているとします。 Teams での情報共有に関する Contoso の DLP ポリシーは UserA、UserB、UserC に適用され、Fabrikam の DLP ポリシーは UserX、UserY、UserZ に適用されます。 Microsoft Teams を使用して組織の外部のユーザーとチャットする方法の詳細については、「Microsoft ID を使用して外部会議とユーザーや組織とのチャットを管理する」を参照してください。
ヒント
Microsoft Copilot for Security の使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を検討します。 Microsoft Purview のセキュリティMicrosoft Copilotの詳細については、こちらをご覧ください。
Microsoft Teams 用の DLP ライセンス
データ損失防止機能には、次のプライベート チャネル メッセージを含む Microsoft Teams のチャットとチャネル メッセージが含まれます。
- Office 365 E5/A5/G5
- Microsoft 365 E5/A5/G5
- Microsoft 365 E5/A5/G5 Information Protection とガバナンス
- Microsoft 365 E5/A5/G5/F5 Compliance and F5 Security & Compliance
Office 365 と Microsoft 365 E3 には、SharePoint、OneDrive、Exchange の DLP 保護が含まれています。 Teams が SharePoint と OneDrive を使用してファイルを共有するため、これには Teams で共有されるファイルも含まれます。
Teams チャットでの DLP 保護のサポートには、E5 ライセンスが必要です。
重要
ライセンスの詳細については、「Microsoft 365、Office 365、Enterprise Mobility + Security、Windows 11 Subscriptions for Enterprises」を参照してください。
ヒント
DLP は、チャットまたはチャネル スレッド内の実際のメッセージにのみ適用されます。 ユーザーの通知設定に基づいて表示される短いメッセージのプレビューを含むアクティビティ通知は、Teams DLP には含まれません。 プレビューに表示されるメッセージの一部に存在する機密情報は、DLP ポリシーが適用されてメッセージ自体から機密情報が削除された後でも、通知に表示されたままになります。
DLP 保護のスコープ
DLP 保護は、次の表に示すように、Teams エンティティに異なる方法で適用されます。
DLP Teams ポリシーをすべてのチャットの種類にスコープ設定するには、ポリシーを [すべての場所] にスコープ設定するか、各 Teams ユーザーが Microsoft 365 グループに所属しており、かつポリシーにスコープ設定されているセキュリティ グループまたは配布グループに所属していることを確認してください。 詳細については、「メンバーシップの同期方法に関する詳細情報」を参照してください。
ポリシーの範囲 | Teams エンティティ | DLP 保護 |
---|---|---|
個別のユーザー アカウント | - 1:1 またはグループ チャット - 標準チャネル メッセージと共有チャネル メッセージ - プライベート チャネル メッセージ |
- はい - いいえ - はい |
セキュリティ グループ/配布グループ/メールが有効でないセキュリティ グループ | - 1:1 またはグループ チャット - 標準チャネル メッセージと共有チャネル メッセージ - プライベート チャネル メッセージ |
- はい - いいえ - はい |
Microsoft 365 グループ | - 1:1 またはグループ チャット - 標準チャネル メッセージと共有チャネル メッセージ - プライベート チャネル メッセージ |
- はい - はい - いいえ |
注:
DLP ポリシーのスコープが Microsoft 365 グループの場合、DLP 保護は、所属するすべての Microsoft 365 グループに関連付けられている標準チャネルと共有チャネルを使用するグループ メンバーに適用されます。また、Teams チャットとチャネル メッセージに 光学文字認識 が構成されている場合を除き、すべての 1:1/n チャットもグループ メンバーに適用されます。
ユーザー教育に役立つポリシー ヒント
Exchange、Outlook、SharePoint、OneDrive、Windows デバイスでの DLP ポリシー ヒントの動作と同様に、アクションが DLP ポリシーをトリガーすると、Teams のポリシー ヒントが表示されます。 ポリシー ヒントの例を次に示します。
ここでは、送信者が Microsoft Teams チャネルで社会保障番号を共有しようとしました。 [操作方法] リンクをクリックすると、送信者が問題を解決するためのオプションを提供するダイアログ ボックスが開きます。 送信者はポリシーをオーバーライドするか、管理者に通知して問題を確認および解決してもらうことを選択できます。
組織内のユーザーに DLP ポリシーのオーバーライドを許可することを選択できます。 DLP ポリシーを構成するときに、既定のポリシー ヒントを使用するか、組織に合わせてポリシー ヒントをカスタマイズできます。
この例に戻ると、送信者が Teams チャネルで社会保障番号を共有している場合、受信者に表示される内容は次のとおりです。
ポリシーのヒントをカスタマイズするには
このタスクを実行するには、DLP ポリシーを編集する権限を持つロールを割り当てる必要があります。 詳細については、「Microsoft Purview コンプライアンス ポータルのアクセス許可」を参照してください。
現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。
[Microsoft Purview ポータル]>[データ損失防止]>[ポリシー] にサインインします。
ポリシーを選択し、[ポリシーの編集] (鉛筆アイコン) を選択 します。
[高度な DLP ルールのカスタマイズ] 画面が表示されるまで、ツール内を移動します。
新しいルールを作成するか、ポリシーの既存のルールを編集します。
[ユーザー通知] まで下にスクロールし、[通知を使用してユーザーに通知し、機密情報の適切な使用についてユーザーを教育する] トグルを [オン] に切り替えます。
[Microsoft 365 サービス] で、[Office 365 サービスのユーザーにポリシー ヒントの通知を表示する] を選択 します。
[ポリシー ヒント] で、[ポリシー ヒント テキストをカスタマイズする] を選択します。
ポリシー ヒントに使用するテキストを指定します。
ポリシー ヒントが Microsoft Exchange のユーザー アクティビティに適用され、メールの送信前にダイアログ ボックスにヒントを表示する場合は、[送信前に、エンド ユーザーのダイアログとしてポリシー ヒントを表示する] を選択します。
[保存]、[次へ] の順に選択 します。
[ポリシー モード] ページで、必要に応じて [シミュレーション モードでポリシー ヒントを表示する] の横にあるチェック ボックスをオンにします。
[次へ] を選択し、[送信] を選択して、その後 [完了] を選択 します。
Microsoft Teams を場所として既存の DLP ポリシーに追加する
このタスクを実行するには、DLP ポリシーを編集する権限を持つロールを割り当てる必要があります。 詳細については、「Microsoft Purview コンプライアンス ポータルのアクセス許可.md#permissions」を参照してください。
現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。
[Microsoft Purview ポータル]>[データ損失防止]>[ポリシー] にサインインします。
ポリシーを選択し、[ポリシーの編集] (鉛筆アイコン) を選択 します。
[ポリシーを適用する場所の選択] ページが表示されるまでツールを移動します。
[Teams チャットおよびチャネル メッセージ] を選択します。
[次へ] を選択し、プロセスの最後まで進みます。
[送信] を選択します。
変更がデータセンターを通過してユーザー アカウントに同期されるまでに、約 1 時間かかります。
Microsoft Teams の新しい DLP ポリシーを定義する
新しい DLP ポリシーを作成して実装する方法については、「データ損失防止ポリシーの作成と展開」を参照してください。
機密文書への外部アクセスを防止する
既定で新しいファイルを機密としてマークすることで、DLP がスキャンして共有しても安全であるとマークするまで、ドキュメントを確実に保護することができます。
推奨される DLP ポリシー構造
条件
コンテンツには、これらの機密情報の種類のいずれかが含まれています: [該当する情報をすべて選択]
[コンテンツが Microsoft 365 から共有されている]>[組織外の連絡先]
アクション
操作を追加する
[Microsoft 365 の場所にあるコンテンツへのアクセスを制限または暗号化する]>[組織外のユーザーのみをブロックする]
[通知を使用してユーザーに通知し、機密情報の適切な使用についてユーザーを教育します]>[Office 365 サービスのユーザーにポリシー ヒントの通知を表示する]
これらのユーザーに通知する [該当するすべてのユーザーを選択]
ポリシー ヒント [該当する項目をすべて選択]
注:
インシデント レポートの送信者アドレスは現在 no-reply-MicrosoftInformationProtectionOnline@microsoft.com です。