注:
情報保護スキャナーの新しいバージョンがあります。 詳細については、「Microsoft Purview Information Protection スキャナーのアップグレード」を参照してください。
この記事では、DLP ポリシーでオンプレミスリポジトリの場所Microsoft Purview データ損失防止使用するための前提条件と構成について説明します。
ヒント
Microsoft Security Copilot の使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を発見しましょう。 Microsoft Purview の Microsoft Security Copilot に関する詳細情報をご覧ください。
開始する前に
ライセンス
ライセンスの詳細については、次を参照してください。
重要
ファイルの追加またはファイルの使用によってスキャンされた場所に貢献するすべてのユーザーは、スキャナー ユーザーだけでなく、ライセンスを持っている必要があります。
アクセス許可
DLP からのデータは 、アクティビティ エクスプローラーで表示できます。 Activity エクスプローラーに権限を付与する役割は4つあります。データへのアクセスに使用するアカウントは、次のいずれかのメンバーでなければなりません。
- コンプライアンス管理者
- セキュリティ管理者
- コンプライアンス データ管理者
- グローバル管理者
重要
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は、特権の低いロールを使用できないシナリオでのみ使用する必要がある、高い特権を持つロールです。
ロールと役割グループ
には、アクセス制御を微調整するためにテストできるロールとロール グループがあります。
該当する役割の一覧を次に示します。 詳細については、 Microsoft Purview ポータルの「アクセス許可」を参照してください。
- Information Protection 管理者
- Information Protection アナリスト
- Information Protection 調査員
- Information Protection 閲覧者
該当する役割グループの一覧を次に示します。 詳細については、「Microsoft Purview ポータルのアクセス許可」を参照してください。
- 情報保護
- Information Protection レベル
- Information Protection アナリスト
- Information Protection 調査担当者
- Information Protection 閲覧者
DLP オンプレミス リポジトリの前提条件
- Microsoft Purview Information Protection スキャナーは、DLP ポリシーの照合とポリシーの適用を実装します。 スキャナーは情報保護クライアントの一部としてインストールされるため、インストールは、権限管理暗号化サービス、情報保護クライアント、および情報保護スキャナーのすべての前提条件を満たす必要があります。
- クライアントとスキャナーをデプロイします。 詳細については、「 情報保護クライアントのインストールまたはアップグレード 」および「情報保護 スキャナーの構成とインストール」を参照してください。
- すべての検出ルールが機密情報タイプのみに基づいている場合でも、テナントには少なくとも 1 つのラベルとポリシーが公開されている必要があります。
DLP オンプレミス スキャナーを展開する
[Microsoft Purview ポータル] にサインインします。
情報保護スキャナーの構成とインストールの手順に従って、スキャナーのインストールを完了します。
- コンテンツ スキャン ジョブを作成し、DLP エンジンによって評価されるファイルをホストするリポジトリを指定する必要があります。
- 作成したコンテンツ スキャン ジョブで DLP ルールを有効にし、[ 適用 ] オプションを [オフ ] に設定します (DLP 強制ステージに直接進む場合を除く)。
コンテンツ スキャン ジョブが適切なクラスターに割り当てられていることを確認します。 コンテンツ スキャン ジョブを作成していない場合は、新しいジョブを作成し、スキャナー ノードを含むクラスターに割り当てます。
Microsoft Purview ポータルに接続し、スキャンを実行するコンテンツ スキャン ジョブにリポジトリを追加します。
次のいずれかの操作を実行して、スキャンを実行します。
- スキャナーのスケジュールを設定する
- ポータルで手動 の [今すぐスキャン ] オプションを使用する
- Start-Scan PowerShell コマンドレットを実行する
重要
スキャナーは既定でリポジトリのデルタ スキャンを実行し、ファイルが変更されたか、完全再スキャンを開始しない限り、以前のスキャン サイクルでスキャンされたファイルはスキップされることに注意してください。 完全再スキャンは、UI の [すべてのファイルを再スキャン する] オプションを使用するか、 Start-Scan -Reset を実行して開始できます。
Microsoft Purview ポータル>データ損失防止>ポリシーを開きます。
[ + ポリシーの作成 ] を選択し、テスト DLP ポリシーを作成します。 ポリシー の作成に関するヘルプが必要な場合は、「データ損失防止ポリシーの作成と展開 」を参照してください。 この機能に慣れるまで、 必ずシミュレーション モードでポリシーを実行 してください。 ポリシーには、次のパラメータを使用します。
- 必要に応じて、DLP オンプレミス リポジトリ ルールを特定の場所にスコープを設定します。 場所を [すべて] にスコープを設定すると、スキャンされたすべてのファイルが DLP ルールの照合と適用の対象になります。
- 場所を指定するときは、除外リストまたは包含リストのいずれかを使用できます。 ルールは、包含リストにリストされているパターンの 1 つに一致するパスにのみ関連するか、包含リストにリストされているパターンに一致するファイルを除くすべてのファイルに関連するように定義できます。 ローカル パスはサポートされていません。 有効なパスの例を次に示します。
- \\server\share
- \\server\share\folder1\subfolderabc
- *\folder1
- *secret*.docx
- *秘密*。*
- https:// sp2010.local/sites/HR
- https://*/HR
- 許容できない値の使用例を次に示します。
- *
- *\ある
- Aaa
- c:\
- C:\test
重要
除外リストは、包含リストよりも優先されます。
DLP アラートの表示
Microsoft Purview ポータルで [データ損失防止 ] を開き、[アラート] を選択 します。
オンプレミス DLP ポリシーのアラートを表示するには、「データ損失防止アラートダッシュボードの概要」および「Microsoft Defender XDRを使用してデータ損失インシデントを調査する」の手順を参照してください。
アクティビティ エクスプローラーと監査ログでの DLP データの表示
注:
Information Protection スキャナーでは、監査を有効にする必要があります。 Microsoft 365 では、監査が既定で有効になっています。
Microsoft Purview ポータルでドメインの [データ分類] ページ を開き、[ アクティビティ エクスプローラー] を選択します。
オンプレミス スキャナーの場所のすべてのデータにアクセスしてフィルタリングするには、「Activity エクスプローラースタートガイド」の手順に従ってください。
監査ログを開きます。 DLP ルールの一致は、監査ログ UI で使用することも、PowerShell の Search-UnifiedAuditLog からアクセスすることもできます。
次の手順
DLP オンプレミスの場所のテスト ポリシーをデプロイし、アクティビティ エクスプローラーでアクティビティ データを表示できるようになったので、次の手順に進み、機密アイテムを保護する DLP ポリシーを作成する準備ができました。