ポップアップ過剰共有の概要

適切なMicrosoft Purview データ損失防止 (DLP) ポリシーを構成すると、DLP は、ラベル付けされた情報または機密情報に対して電子メール メッセージを送信する前に電子メール メッセージをチェックし、DLP ポリシーで定義されているアクションを適用します。 この機能には、Microsoft 365 E5 サブスクリプションと、それをサポートするバージョンの Outlook が必要です。 必要な Outlook の最小バージョンを特定するには、 Outlook の機能テーブルを使用し、[ DLP ポリシーヒントとしてオーバーシェアリングを防止する ] 行を参照してください。

重要

仮定の値を持つ架空のシナリオを次に示します。 これは説明のみを目的としています。 この機能を実装するときは、独自の機密情報の種類、秘密度ラベル、配布グループ、およびユーザーを置き換える必要があります。

ヒント

Microsoft Copilot for Security の使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を検討します。 Microsoft Purview のセキュリティMicrosoft Copilotの詳細については、こちらをご覧ください。

はじめに

SKU /サブスクリプションライセンス

DLP ポリシーの使用を開始する前に、 Microsoft 365 サブスクリプション とアドオンを確認してください。

ライセンスの詳細については、「Microsoft 365、Office 365、Enterprise Mobility + Security、Windows 11 Subscriptions for Enterprises」を参照してください。

アクセス許可

ポリシーの作成と展開に使用するアカウントは、次のいずれかのロール グループのメンバーである必要があります

• コンプライアンス管理者
• コンプライアンス データ管理者
• 情報保護
• Information Protection 管理者
• セキュリティ管理者

重要

開始する前に 「管理単位 」を読み、 無制限の管理者 と 管理単位の制限付き管理者の違いを理解してください。

きめ細かいロールとロール グループ

アクセス制御の微調整に使用できるロールと役割グループがいくつかあります。

該当するロールの一覧を次に示します。 詳細については、「Microsoft Purview コンプライアンス ポータルのアクセス許可」を参照してください。

• DLP コンプライアンス管理
• Information Protection 管理者
• Information Protection アナリスト
• Information Protection 調査員
• Information Protection 閲覧者

該当する役割グループの一覧を次に示します。 詳細については、Microsoft Purview コンプライアンス ポータルのアクセス許可に関するページを参照してください。

• 情報保護
• Information Protection レベル
• Information Protection アナリスト
• Information Protection 調査担当者
• Information Protection 閲覧者

前提条件と前提事項

Outlook for Microsoft 365では、メッセージが送信される前に、オーバーシェアリング ポップアップにポップアップが表示されます。 これらのポップアップを有効にするには、まずポリシーのスコープを Exchange の場所に設定し、そのポリシーの DLP ルールを作成するときに、ポリシー ヒントの [送信前にユーザーのダイアログとして ポリシー ヒントを表示する] オプションを選択します。

このシナリオの例では、 機密性の高い ラベルを使用するため、秘密度ラベルを作成して公開する必要があります。 詳細については、次を参照してください。

• 秘密度ラベルの詳細
• 秘密度ラベルの使用を開始する
• 機密ラベルとそのポリシーを作成して構成する

この手順では 、contoso.com を使用します。 架空の会社のドメイン。

ポリシーの意図とマッピング

この例では、ポリシー意図ステートメントは次のとおりです。

受信者ドメインが contoso.com されていない限り、"機密性の高い" 秘密度ラベルが適用されているすべての受信者へのメールをブロックする必要があります。 ユーザーが電子メールを送信するときに、ポップアップ ダイアログでユーザーに通知する必要があります。 ブロックのオーバーライドをユーザーに許可することはできません。

Statement	構成に関する質問に回答し、構成マッピングを行う
"すべての受信者へのメールをブロックする必要があります。..	- 監視する場所: Exchange - 管理スコープ: 完全なディレクトリ - Action: Microsoft 365 の場所のコンテンツへのアクセスを制限または暗号化 > ユーザーがメールを受信したり、共有の SharePoint、OneDrive、Teams ファイルにアクセスしたりできないように > すべてのユーザーをブロックする
"..."機密性の高い" 秘密度ラベルが適用されています。..	- 監視対象: 一致にカスタム テンプレート - Conditions を使用する: 機密性の高いラベルを追加するように編集する
"...unless..."	条件グループの構成 - ブール値 AND を使用して、最初の条件に結合された入れ子になったブール値 NOT 条件グループを作成します
"...受信者ドメインが contoso.com。	一致の条件: 受信者ドメインは
"...Notify..."	ユーザー通知: 有効
"...ユーザーが送信するときにポップアップ ダイアログが表示されます。..	ポリシー ヒント: [ - 送信前にエンド ユーザーのダイアログとしてポリシー ヒントを表示する] を選択しました。
"...ブロックをオーバーライドするユーザーは許可されません。...	M365 サービスからのオーバーライドを許可する: 選択されていません

既定のテキストを使用してオーバーシェアリング ポップアップを構成するには、DLP ルールに次の条件が含まれている必要があります。

• コンテンツに含まれています>秘密度ラベル>秘密度ラベルを選択する

および次の受信者ベースの条件の 1 つ以上

• 受信者が
• 受信者が次のメンバーの場合
• 受信者ドメインが

これらの条件が満たされると、ユーザーが Outlook でメールを送信する前に、信頼されていない受信者がポリシー ヒントに表示されます。

"送信待機" を構成する手順

必要に応じて、過剰共有ポップアップの "送信待機" を実装するすべてのデバイス で dlpwaitonsendtimeout Regkey (dword の値) を設定できます。 このレジストリ キー (RegKey) は、ユーザーが [送信] を選択したときに電子メールを保持する最大時間を定義します。 これにより、ラベル付けされたコンテンツまたは機密性の高いコンテンツの DLP ポリシー評価を完了できます。 この RegKey は、次の下にあります。

*Software\Policies\Microsoft\office\16.0\Outlook\options\Mail*

この RegKey は、グループ ポリシー (機密性の高いコンテンツを評価するための待機時間の指定)、スクリプト、またはレジストリ キーを構成するためのその他のメカニズムを使用して設定できます。

グループ ポリシーを使用している場合は、Microsoft 365 Apps for enterprise用のグループ ポリシー管理用テンプレート ファイルの最新バージョンをダウンロードしたことを確認し、[ユーザー構成] >> [管理用テンプレート] >> [Microsoft Office 2016 >> セキュリティ設定] からこの設定に移動します。 Microsoft 365 の Cloud Policy サービスを使用している場合は、名前で設定を検索して構成します。

この値を設定し、DLP ポリシーを構成すると、電子メール メッセージが送信される前に機密情報のチェックが行われます。 ポリシーで定義されている条件と一致するメッセージが含まれている場合は、ユーザーが [送信] をクリックする前にポリシー ヒント通知が表示されます。

この RegKey を使用すると、Outlook クライアントの 送信待機 動作を指定できます。

各設定の意味を次に示します。

[未構成] または [無効] : これが既定値です。 dlpwaitonsendtimeout が構成されていない場合、ユーザーが送信する前にメッセージはチェックされません。 [送信] をクリックすると、電子メール メッセージがすぐに送信されます。 DLP データ分類サービスはメッセージを評価し、DLP ポリシーで定義されているアクションを適用します。

有効: [送信] がクリックされたときに、メッセージが実際に 送信 される前に、電子メール メッセージがチェックされます。 DLP ポリシーの評価が完了するまでの待機時間 (T 値 (秒単位) に時間制限を設定できます。 指定した時間内にポリシー評価が完了しない場合は、[送信方法] ボタンが表示され、ユーザーは事前送信チェックをバイパスできます。 T 値の範囲は 0 ~ 9999 秒です。

重要

T 値が 9999 より大きい場合は、10000 に置き換えられ、[Send Anyway]\(とにかく送信\) ボタンは表示されません。 これにより、ポリシー評価が完了するまでメッセージが保持され、ユーザーに オーバーライド オプションは提供されません。 評価を完了する期間は、インターネットの速度、コンテンツの長さ、定義されているポリシーの数などの要因によって異なる場合があります。 一部のユーザーは、メールボックスに展開されているポリシーに応じて、他のユーザーよりも頻繁にポリシー評価メッセージが表示される場合があります。

GPO の構成と使用の詳細については、「Microsoft Entra Domain Services マネージド ドメインでのグループ ポリシーの管理」を参照してください。

オーバーシェアリング ポップアップの DLP ポリシーを作成する手順

現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

Microsoft Purview ポータル

1. Microsoft Purview ポータルにサインインします>データ損失防止>Policies

2. [ + ポリシーの作成] を選択します。

3. [カテゴリ] の一覧から [カスタム] を選択します。

4. [規制] の一覧から [カスタム] を選択します。

5. ポリシーに名前を付けます。

   重要

   ポリシーの名前を変更することはできません。

6. 説明を入力します。 ポリシー意図ステートメントは、ここで使用できます。

7. [次へ] を選択します。

8. [管理 ユニット] で [完全なディレクトリ] を選択します。

9. Exchange メールの場所のみを選択します。

10. [次へ] を選択します。

11. [ ポリシー設定の定義 ] ページで、[ 高度な DLP 規則の作成またはカスタマイズ] を選択します。

12. [ 高度な DLP ルールの作成またはカスタマイズ ] オプションが既に選択されている必要があります。

13. [次へ] を選択します。

14. [ ルールの作成] を選択します。 ルールに名前を付け、説明を入力します。

15. [ Add condition>Content contains>Add>Sensitivity labels>Highly confidential を選択します。 [追加] を選択します。

16. [ Add group>AND>NOT>Add condition] を選択します。

17. [ Recipient domain is>contoso.com] を選択します。 [追加] を選択します。

    ヒント

    [Recipient is]\( 受信者\) または [ Recipient is a member ]\(受信者がのメンバーである\) を 使用して、過剰共有ポップアップをトリガーすることもできます。

18. [ Add an action>Restrict access or encrypt the content in Microsoft 365 locations] を選択します。

19. [ ユーザーがメールを受け取るか、共有 SharePoint、OneDrive、Teams ファイル、Power BI アイテムにアクセスできないようにブロックする] を選択します。

20. [ すべてのユーザーをブロックする] を選択します。

21. [ユーザー通知] トグルを [オン] に設定します。

22. [ポリシー ヒント] を選択します>送信前にエンド ユーザーのダイアログとしてポリシー ヒントを表示します (Exchange ワークロードでのみ使用できます)。

23. 既に選択されている場合は、[ M365 サービスからのオーバーライドを許可する] オプションを オフにします。

24. 保存] を選択します。

25. [状態] トグルを [オン] に変更し、[次へ] を選択します。

26. [ポリシー モード] ページで、[テスト モードでポリシーを実行する] を選択し、[シミュレーション モード中にポリシー ヒントを表示する] オプションのボックスをチェックします。

27. [ 次へ ] を選択し、[送信] を選択 します。

28. [完了] を選択します。

コンプライアンス ポータル

1. Microsoft Purview コンプライアンス ポータル>Solutions>Data loss prevention>Policies>+ Create ポリシーにサインインします。

2. [カテゴリ] の一覧から [カスタム] を選択します。

3. [テンプレート] の一覧から [ カスタム ] を 選択します。

4. ポリシーに名前を付けます。

   重要

   ポリシーの名前を変更することはできません。

5. 説明を入力します。 ポリシー意図ステートメントは、ここで使用できます。

6. [次へ] を選択します。

7. [管理 ユニット] で [完全なディレクトリ] を選択します。

8. Exchange メールの場所のみを選択します。

9. [次へ] を選択します。

10. Include = All と Exclude = None の既定値をそのまま使用します。

11. [ 高度な DLP ルールの作成またはカスタマイズ ] オプションが既に選択されている必要があります。

12. [次へ] を選択します。

13. [ ルールの作成] を選択します。 ルールに名前を付け、説明を入力します。

14. [ Add condition>Content contains>Add>Sensitivity labels>Highly confidential を選択します。 [追加] を選択します。

15. [ Add group>AND>NOT>Add condition] を選択します。

16. [ Recipient domain is>contoso.com] を選択します。 [追加] を選択します。

    ヒント

    Recipient は であり 、Recipient は のメンバー でもあり、前の手順で使用でき、オーバーシェアリング ポップアップがトリガーされます。

17. [アクションの追加>Microsoft 365 の場所のコンテンツへのアクセスまたは暗号化> Microsoft 365 の場所のコンテンツへのアクセスまたは暗号化>ユーザーのメールの受信や共有 SharePoint、OneDrive、Teams ファイルへのアクセスをブロックするを選択します>すべてのユーザーをブロックします。

18. [ユーザー通知] を[オン] に設定します。

19. [ポリシー ヒント] を選択します>送信前にエンド ユーザーのダイアログとしてポリシー ヒントを表示します。

20. [M365 サービスからのオーバーライドを許可する]が選択されていないことを確認します。

21. 保存] を選択します。

22. [ Next>Keep off>Next>Submit を選択します。

ポリシーを作成するための PowerShell の手順

DLP ポリシーとルールは、PowerShell で構成することもできます。 PowerShell を使用してオーバーシェアリング ポップアップを構成するには、まず DLP ポリシー (PowerShell を使用) を作成し、警告、正当化、またはブロックポップアップの種類ごとに DLP ルールを追加します。

New-DlpCompliancePolicy を使用して、DLP ポリシーを構成してスコープを設定します。 次に、New-DlpComplianceRule を使用して各オーバーシェアリング ルールを構成します

オーバーシェアリング ポップアップ シナリオの新しい DLP ポリシーを構成するには、次のコード スニペットを使用します。

PS C:\> New-DlpCompliancePolicy -Name <DLP Policy Name> -ExchangeLocation All

このサンプル DLP ポリシーのスコープは、organization内のすべてのユーザーです。 -ExchangeSenderMemberOfと-ExchangeSenderMemberOfExceptionを使用して DLP ポリシーのスコープを設定します。

パラメーター	構成
-ContentContainsSensitiveInformation	1 つ以上の秘密度ラベル条件を構成します。 このサンプルには 1 つが含まれています。 少なくとも 1 つのラベルが必須です。
-ExceptIfRecipientDomainIs	信頼されたドメインの一覧。
-NotifyAllowOverride	"WithJustification" では、正当な理由ラジオ ボタンが有効になり、"WithoutJustification" によって無効になります。
-NotifyOverrideRequirements	"WithAcknowledgement" では、新しい受信確認オプションが有効になります。 これは省略可能です。

信頼されたドメインを使用して 警告 ポップアップを生成するように新しい DLP ルールを構成するには、次の PowerShell コードを実行します。

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator="Or";name="Default";labels=@(@{name=<Label GUID>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")

信頼されたドメインを使用して 正当 なポップアップを生成するように新しい DLP ルールを構成するには、次の PowerShell コードを実行します。

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com") -NotifyAllowOverride "WithJustification"

信頼されたドメインを使用して ブロック ポップアップを生成するように新しい DLP ルールを構成するには、次の PowerShell コードを実行します。

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")

ビジネス上の正当な理由 X ヘッダーにアクセスするには、次の手順に従います。

関連項目

• データ損失防止アラート ダッシュボードの概要
• データ損失防止ポリシーの作成と展開