ポップアップ過剰共有の概要

適切な Microsoft Purview データ損失防止 (DLP) ポリシーを構成すると、DLP は、ラベル付けされた情報または機密情報を送信する前に電子メール メッセージを確認し、DLP ポリシーで定義されているアクションを適用します。 この機能には、Microsoft 365 E5 サブスクリプションと、それをサポートするバージョンの Outlook が必要です。 必要な Outlook の最小バージョンを特定するには、 Outlook の機能テーブルを使用し、[ DLP ポリシーヒントとしてオーバーシェアリングを防止する ] 行を参照してください。

重要

仮定の値を持つ架空のシナリオを次に示します。 これは説明のみを目的としています。 この機能を実装するときは、独自の機密情報の種類、秘密度ラベル、配布グループ、およびユーザーを置き換える必要があります。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

はじめに

SKU /サブスクリプションライセンス

DLP ポリシーの使用を開始する前に、 Microsoft 365 サブスクリプション とアドオンを確認してください。

ライセンスの詳細については、「 Microsoft 365、Office 365、Enterprise Mobility + Security、および Windows 11 Subscriptions for Enterprises」を参照してください。

アクセス許可

ポリシーの作成と展開に使用するアカウントは、次のいずれかのロール グループのメンバーである必要があります

• コンプライアンス管理者
• コンプライアンス データ管理者
• 情報保護
• Information Protection 管理者
• セキュリティ管理者

重要

開始する前に 「管理単位 」を読み、 無制限の管理者 と 管理単位の制限付き管理者の違いを理解してください。

きめ細かいロールとロール グループ

アクセス制御の微調整に使用できるロールと役割グループがいくつかあります。

該当するロールの一覧を次に示します。 詳細については、 Microsoft Purview コンプライアンス ポータルの「アクセス許可」を参照してください。

• DLP コンプライアンス管理
• Information Protection 管理者
• Information Protection アナリスト
• Information Protection 調査員
• Information Protection 閲覧者

該当する役割グループの一覧を次に示します。 詳細については、 Microsoft Purview コンプライアンス ポータルの「アクセス許可」を参照してください。

• 情報保護
• Information Protection レベル
• Information Protection アナリスト
• Information Protection 調査担当者
• Information Protection 閲覧者

前提条件と前提事項

Outlook for Microsoft 365 では、メッセージが送信される前に、オーバーシェアリング ポップアップにポップアップが表示されます。 これらのポップアップを有効にするには、まずポリシーのスコープを Exchange の場所に設定し、そのポリシーの DLP ルールを作成するときに、ポリシー ヒントの [送信前にユーザーのダイアログとして ポリシー ヒントを表示する] オプションを選択します。

このシナリオの例では、 機密性の高い ラベルを使用するため、秘密度ラベルを作成して公開する必要があります。 詳細については、次を参照してください。

• 秘密度ラベルの詳細
• 秘密度ラベルの使用を開始する
• 機密ラベルとそのポリシーを作成して構成する

この手順では 、contoso.com を使用します。 架空の会社のドメイン。

ポリシーの意図とマッピング

この例では、ポリシー意図ステートメントは次のとおりです。

受信者ドメインが contoso.com されていない限り、"機密性の高い" 秘密度ラベルが適用されているすべての受信者へのメールをブロックする必要があります。 ユーザーが電子メールを送信するときに、ポップアップ ダイアログでユーザーに通知する必要があります。 ブロックのオーバーライドをユーザーに許可することはできません。

Statement	構成に関する質問に回答し、構成マッピングを行う
"すべての受信者へのメールをブロックする必要があります。..	- 監視する場所: Exchange - 管理スコープ: 完全なディレクトリ - Action: Microsoft 365 の場所のコンテンツへのアクセスを制限または暗号化 > ユーザーがメールを受信したり、共有の SharePoint、OneDrive、Teams ファイルにアクセスしたりできないように > すべてのユーザーをブロックする
"..."機密性の高い" 秘密度ラベルが適用されています。..	- 監視対象: 一致にカスタム テンプレート - Conditions を使用する: 機密性の高いラベルを追加するように編集する
"...unless..."	条件グループの構成 - ブール値 AND を使用して、最初の条件に結合された入れ子になったブール値 NOT 条件グループを作成します
"...受信者ドメインが contoso.com。	一致の条件: 受信者ドメインは
"...Notify..."	ユーザー通知: 有効
"...ユーザーが送信するときにポップアップ ダイアログが表示されます。..	ポリシー ヒント: [ - 送信前にエンド ユーザーのダイアログとしてポリシー ヒントを表示する] を選択しました。
"...ブロックをオーバーライドするユーザーは許可されません。...	M365 サービスからのオーバーライドを許可する: 選択されていません

既定のテキストを使用してオーバーシェアリング ポップアップを構成するには、DLP ルールに次の条件が含まれている必要があります。

• コンテンツに含まれています>秘密度ラベル>秘密度ラベルを選択する

および次の受信者ベースの条件の 1 つ以上

• 受信者が
• 受信者が次のメンバーの場合
• 受信者ドメインが

これらの条件が満たされると、ユーザーが Outlook でメールを送信する前に、信頼されていない受信者がポリシー ヒントに表示されます。

"送信待機" を構成する手順

必要に応じて、過剰共有ポップアップの "送信待機" を実装するすべてのデバイス で dlpwaitonsendtimeout Regkey (dword の値) を設定できます。 このレジストリ キー (RegKey) は、ユーザーが [送信] を選択したときに電子メールを保持する最大時間を定義します。 これにより、ラベル付けされたコンテンツまたは機密性の高いコンテンツの DLP ポリシー評価を完了できます。 この RegKey は、次の下にあります。

*Software\Policies\Microsoft\office\16.0\Outlook\options\Mail*

この RegKey は、グループ ポリシー (機密性の高いコンテンツを評価するための待機時間の指定)、スクリプト、またはレジストリ キーを構成するためのその他のメカニズムを使用して設定できます。

グループ ポリシーを使用している場合は、Microsoft 365 Apps for enterprise 用のグループ ポリシー管理テンプレート ファイルの最新バージョンをダウンロードしたことを確認し、[ ユーザー構成] >> [管理用テンプレート] >> [Microsoft Office 2016 >> セキュリティ設定] からこの設定に移動します。 Microsoft 365 の Cloud Policy サービスを使用している場合は、名前で設定を検索して構成します。

この値を設定し、DLP ポリシーを構成すると、電子メール メッセージが送信される前に機密情報のチェックが行われます。 ポリシーで定義されている条件と一致するメッセージが含まれている場合は、ユーザーが [送信] をクリックする前にポリシー ヒント通知が表示されます。

この RegKey を使用すると、Outlook クライアントの 送信待機 動作を指定できます。

各設定の意味を次に示します。

[未構成] または [無効] : これが既定値です。 dlpwaitonsendtimeout が構成されていない場合、ユーザーが送信する前にメッセージはチェックされません。 [送信] をクリックすると、電子メール メッセージがすぐに送信されます。 DLP データ分類サービスはメッセージを評価し、DLP ポリシーで定義されているアクションを適用します。

有効: [送信] がクリックされたときに、メッセージが実際に 送信 される前に、電子メール メッセージがチェックされます。 DLP ポリシーの評価が完了するまでの待機時間 (T 値 (秒単位) に時間制限を設定できます。 指定した時間内にポリシー評価が完了しない場合は、[ 送信方法 ] ボタンが表示され、ユーザーは事前送信チェックをバイパスできます。 T 値の範囲は 0 ~ 9999 秒です。

重要

T 値が 9999 より大きい場合は、10000 に置き換えられ、[Send Anyway]\(とにかく送信\) ボタンは表示されません。 これにより、ポリシー評価が完了するまでメッセージが保持され、ユーザーに オーバーライド オプションは提供されません。 評価を完了する期間は、インターネットの速度、コンテンツの長さ、定義されているポリシーの数などの要因によって異なる場合があります。 一部のユーザーは、メールボックスに展開されているポリシーに応じて、他のユーザーよりも頻繁にポリシー評価メッセージが表示される場合があります。

GPO の構成と使用の詳細については、「 Microsoft Entra Domain Services マネージド ドメインでのグループ ポリシーの管理」を参照してください。

オーバーシェアリング ポップアップの DLP ポリシーを作成する手順

現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

Microsoft Purview ポータル

1. Microsoft Purview ポータルにサインインします>データ損失防止>Policies

2. [ + ポリシーの作成] を選択します。

3. [カテゴリ] の一覧から [カスタム] を選択します。

4. [規制] の一覧から [カスタム] を選択します。

5. ポリシーに名前を付けます。

   重要

   ポリシーの名前を変更することはできません。

6. 説明を入力します。 ポリシー意図ステートメントは、ここで使用できます。

7. [次へ] を選択します。

8. [管理ユニット] で [完全なディレクトリ] を選択します。

9. Exchange メールの場所のみを選択します。

10. [次へ] を選択します。

11. [ ポリシー設定の定義 ] ページで、[ 高度な DLP 規則の作成またはカスタマイズ] を選択します。

12. [ 高度な DLP ルールの作成またはカスタマイズ ] オプションが既に選択されている必要があります。

13. [次へ] を選択します。

14. [ ルールの作成] を選択します。 ルールに名前を付け、説明を入力します。

15. [ Add condition>Content contains>Add>Sensitivity labels>Highly confidential を選択します。 [追加] を選択します。

16. [ Add group>AND>NOT>Add condition] を選択します。

17. [ Recipient domain is>contoso.com] を選択します。 [追加] を選択します。

    ヒント

    [Recipient is]\( 受信者\) または [ Recipient is a member ]\(受信者がのメンバーである\) を 使用して、過剰共有ポップアップをトリガーすることもできます。

18. [ Add an action>Restrict access or encrypt the content in Microsoft 365 locations] を選択します。

19. [ ユーザーがメールを受け取るか、共有 SharePoint、OneDrive、Teams ファイル、Power BI アイテムにアクセスできないようにブロックする] を選択します。

20. [ すべてのユーザーをブロックする] を選択します。

21. [ユーザー通知] トグルを [オン] に設定します。

22. [ポリシー ヒント] を選択します>送信前にエンド ユーザーのダイアログとしてポリシー ヒントを表示します (Exchange ワークロードでのみ使用できます)。

23. 既に選択されている場合は、[ M365 サービスからのオーバーライドを許可する] オプションを オフにします。

24. 保存] を選択します。

25. [状態] トグルを [オン] に変更し、[次へ] を選択します。

26. [ ポリシー モード ] ページで、[ テスト モードでポリシーを実行する ] を選択し、[ シミュレーション モード中にポリシー ヒントを表示する] オプションのチェック ボックスをオンにします。

27. [ 次へ ] を選択し、[送信] を選択 します。

28. [完了] を選択します。

コンプライアンス ポータル

1. Microsoft Purview コンプライアンス ポータル>Solutions>Data loss prevention>Policies>+ Create ポリシーにサインインします。

2. [カテゴリ] の一覧から [カスタム] を選択します。

3. [テンプレート] の一覧から [ カスタム ] を 選択します。

4. ポリシーに名前を付けます。

   重要

   ポリシーの名前を変更することはできません。

5. 説明を入力します。 ポリシー意図ステートメントは、ここで使用できます。

6. [次へ] を選択します。

7. [管理ユニット] で [完全なディレクトリ] を選択します。

8. Exchange メールの場所のみを選択します。

9. [次へ] を選択します。

10. Include = All と Exclude = None の既定値をそのまま使用します。

11. [ 高度な DLP ルールの作成またはカスタマイズ ] オプションが既に選択されている必要があります。

12. [次へ] を選択します。

13. [ ルールの作成] を選択します。 ルールに名前を付け、説明を入力します。

14. [ Add condition>Content contains>Add>Sensitivity labels>Highly confidential を選択します。 [追加] を選択します。

15. [ Add group>AND>NOT>Add condition] を選択します。

16. [ Recipient domain is>contoso.com] を選択します。 [追加] を選択します。

    ヒント

    Recipient は であり 、Recipient は のメンバー でもあり、前の手順で使用でき、オーバーシェアリング ポップアップがトリガーされます。

17. [アクションの追加>Microsoft 365 の場所のコンテンツへのアクセスまたは暗号化> Microsoft 365 の場所のコンテンツへのアクセスまたは暗号化>ユーザーのメールの受信や共有 SharePoint、OneDrive、Teams ファイルへのアクセスをブロックするを選択します>すべてのユーザーをブロックします。

18. [ユーザー通知] を[オン] に設定します。

19. [ポリシー ヒント] を選択します>送信前にエンド ユーザーのダイアログとしてポリシー ヒントを表示します。

20. [M365 サービスからのオーバーライドを許可する]が選択されていないことを確認します。

21. 保存] を選択します。

22. [ Next>Keep off>Next>Submit を選択します。

ポリシーを作成するための PowerShell の手順

DLP ポリシーとルールは、PowerShell で構成することもできます。 PowerShell を使用してオーバーシェアリング ポップアップを構成するには、まず DLP ポリシー (PowerShell を使用) を作成し、警告、正当化、またはブロックポップアップの種類ごとに DLP ルールを追加します。

New-DlpCompliancePolicy を使用して、DLP ポリシーを構成してスコープを設定します。 次に、New-DlpComplianceRule を使用して各オーバーシェアリング ルールを構成します

オーバーシェアリング ポップアップ シナリオの新しい DLP ポリシーを構成するには、次のコード スニペットを使用します。

PS C:\> New-DlpCompliancePolicy -Name <DLP Policy Name> -ExchangeLocation All

このサンプル DLP ポリシーのスコープは、組織内のすべてのユーザーです。 -ExchangeSenderMemberOfと-ExchangeSenderMemberOfExceptionを使用して DLP ポリシーのスコープを設定します。

パラメーター	構成
-ContentContainsSensitiveInformation	1 つ以上の秘密度ラベル条件を構成します。 このサンプルには 1 つが含まれています。 少なくとも 1 つのラベルが必須です。
-ExceptIfRecipientDomainIs	信頼されたドメインの一覧。
-NotifyAllowOverride	"WithJustification" では、正当な理由ラジオ ボタンが有効になり、"WithoutJustification" によって無効になります。
-NotifyOverrideRequirements	"WithAcknowledgement" では、新しい受信確認オプションが有効になります。 これは省略可能です。

信頼されたドメインを使用して 警告 ポップアップを生成するように新しい DLP ルールを構成するには、次の PowerShell コードを実行します。

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator="Or";name="Default";labels=@(@{name=<Label GUID>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")

信頼されたドメインを使用して 正当 なポップアップを生成するように新しい DLP ルールを構成するには、次の PowerShell コードを実行します。

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com") -NotifyAllowOverride "WithJustification"

信頼されたドメインを使用して ブロック ポップアップを生成するように新しい DLP ルールを構成するには、次の PowerShell コードを実行します。

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")

ビジネス上の正当な理由 X ヘッダーにアクセスするには、次の手順に従います。

関連項目

• データ損失防止アラート ダッシュボードの概要
• データ損失防止ポリシーを作成して展開する