events
11月19日 23時 - 1月10日 23時
Ignite Edition - Microsoft セキュリティ製品のスキルを構築し、1 月 10 日までにデジタル バッジを獲得しましょう。
今すぐ登録このブラウザーはサポートされなくなりました。
Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。
実装する前にポリシーを設計する時間を取ると、意図しない問題を少なくして、目的の結果にすばやく到達できます。作成してから、試行錯誤だけでチューニングするよりも短くなります。 ポリシー設計を文書化すると、コミュニケーション、ポリシー レビュー、トラブルシューティング、さらにチューニングにも役立ちます。
Microsoft Purview DLP を初めて使用する場合は、ポリシーの設計を開始する前に、次の記事を確認することをお勧めします。
ヒント
Microsoft Security Copilotの使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を検討します。 Microsoft Purview のMicrosoft Security Copilotの詳細については、こちらをご覧ください。
Microsoft Purview DLP を初めて使用する場合は、DLP を実装するときに必要となるコア記事の一覧を次に示します。
ポリシーの設計 は、主に ビジネス ニーズを明確に定義し、ポリシー意図ステートメントに文書化し、 それらのニーズをポリシー構成にマッピングすることです。 計画フェーズで行った決定を使用して、ポリシー設計の決定の一部を通知します。
1 つのステートメントで、持っているすべてのポリシーのビジネス意図を要約できる必要があります。 このステートメントを開発すると、organizationでの会話が促進され、完全に具体化されると、このステートメントはポリシーをビジネス目的に直接リンクし、ポリシー設計のロードマップを提供します。 データ 損失防止の計画 (DLP) に関する 記事の手順は、ポリシーの意図に関する声明を開始するのに役立ちます。
DLP ポリシー構成の概要で説明されているように、すべての DLP ポリシーでは次のことを行う必要があります。
たとえば、5 つの質問すべてに対する回答を提供する意図ステートメントの架空の最初のドラフトを次に示します。
"Microsoft は米国に拠点を置くorganizationであり、OneDrive/SharePoint に格納されている HIPAA の対象となる機密性の高い医療情報を含む Office ドキュメントを検出し、Teams チャットおよびチャネル メッセージで共有されるその情報から保護し、承認されていないサード パーティとの共有をすべてのユーザーに制限する必要があります。
ポリシー設計を開発する際に、ステートメントを変更して拡張する可能性があります。
下書きステートメントの例を分解し、DLP ポリシー構成ポイントにマップしてみましょう。 この例では、無制限の DLP 管理者アカウントを使用しており、管理単位が構成されていないことを前提としています。
重要
開始する前に、「管理単位」を読んで、無制限の管理者と管理単位の制限付き管理者の違いを理解していることを確認してください。
Statement | 構成に関する質問に回答し、構成マッピングを行う |
---|---|
"Microsoft は米国に拠点を置くorganizationであり、HIPAA... の対象となる機密性の高い医療情報を含む Office ドキュメントを検出する必要があります。 |
-
監視対象: Office ドキュメント、米国医療保険法 (HIPAA) テンプレート - Conditions を使用して一致する場合: (事前構成されているが編集可能) - 項目には、米国 SSN および薬物執行機関 (DEA) 番号、国際疾病分類 (ICD-9-CM)、国際疾病分類 (ICD-10-CM) が含まれています。コンテンツは、organization 外のユーザーと共有されます- 信頼度レベルやインスタンス数 (リークトレランスと呼ばれる) などの検出のトリガーしきい値を明確にするために会話を駆動します。 |
...OneDrive/SharePoint に格納され、Teams チャットおよびチャネル メッセージで共有されているその情報から保護します。 | - 監視する場所: OneDrive サイトと SharePoint サイト、Teams チャット/チャネル アカウントまたは配布グループを含めたり除外したりして 、場所のスコープ を設定します。 ポリシースコープ (プレビュー): 完全ディレクトリ |
...また、承認されていないサード パーティとのアイテムの共有をすべてのユーザーに制限します。 |
-
実行するアクション: アクセスの制限を追加するか、Microsoft 365 の場所のコンテンツを暗号化します - 共有制限などの保護アクション、通知やアラートなどの認識アクション、ブロックアクションのユーザーオーバーライドを許可するなどのユーザーエンパワーメントアクションなど、ポリシーがトリガーされたときに実行するアクションに関する会話を促進します |
この例では、DLP ポリシーのすべての構成ポイントについては説明しません。拡張する必要があります。 ただし、独自の DLP ポリシー意図ステートメントを開発するときに、適切な方向で考える必要があります。
重要
選択した場所は、機密情報の種類、秘密度ラベル、保持ラベルを使用できるかどうかに影響します。 選択した場所は、使用可能なアクションにも影響します。 詳細については、「 データ損失防止ポリシー リファレンス」 を参照してください。
SharePoint と OneDrive の上記の HIPAA コンテンツは、DLP ポリシーの簡単な例です。 DLP ルール ビルダーでは、ブールロジック (AND、OR、NOT) と入れ子になったグループがサポートされています。
重要
重要
Office デスクトップ クライアント アプリ (Word、Outlook、Excel、PowerPoint) のアクションが複雑な条件を使用するポリシーと一致すると、ユーザーには、コンテンツに機密情報条件が含まれているルールのポリシー ヒントのみが表示されます。
例 1 クレジット カード番号を含むすべての受信者、または "機密性の高い" 秘密度ラベルが適用されているすべての受信者へのメールをブロックする必要がありますが、財務チームの誰かから電子メールが送信された場合はブロックしません。adele.vance@contoso.com
例 2 Contoso は、パスワードで保護されたファイルまたは zip ドキュメント ファイル拡張子 ('zip' または '7z') を含むすべてのメールをブロックする必要がありますが、受信者が contoso.com ドメインまたは fabrikam.com ドメインにある場合、または送信者が Contoso HR グループのメンバーである場合は電子メールをブロックしない必要があります。
重要
重要
Office デスクトップ クライアント アプリ (Word、Outlook、Excel、PowerPoint) のアクションが複雑な条件を使用するポリシーと一致する場合、ユーザーには、コンテンツに機密情報条件が含まれているルールのポリシー ヒントのみが表示されます。
「 データ損失防止 (DLP) の計画 」の手順を完了します。この記事を使用して、次の作業を行います。
DLP ポリシーのすべてのコンポーネントと、それぞれがポリシーの動作にどのように影響するかを理解できるように、 データ損失防止ポリシーリファレンス について理解します。
DLP ポリシー テンプレートに含まれる内容について理解します。
主要な利害関係者と共にポリシー意図ステートメントを作成します。 この記事の前の例を参照してください。
このポリシーが DLP ポリシー戦略全体にどのように適合するかを決定します。
重要
ポリシーは、作成後に名前を変更することはできません。 ポリシーの名前を変更する必要がある場合は、目的の名前を持つ新しいポリシーを作成し、古いポリシーを廃止する必要があります。 そのため、最初から、すべてのポリシーで使用される名前付け構造を決定します。
ポリシー意図ステートメントの項目を構成オプションにマップします。
どのポリシー テンプレートから開始するかを決定します。定義済みまたはカスタム。
テンプレートを参照し、ポリシーを作成する前に必要なすべての情報を組み立てます。 ポリシー意図ステートメントで説明されていない構成ポイントがいくつか存在する可能性があります。 いいですよ。 不足している構成ポイントの要件をアイロンで把握するために、関係者に戻るします。
すべてのポリシー設定の構成を文書化し、関係者に確認します。 ポリシー意図ステートメントの構成ポイントへのマッピングを再利用できます。これで、完全に具体化されています。
下書きポリシーを作成 し、 ポリシーの展開 計画を参照してください。
events
11月19日 23時 - 1月10日 23時
Ignite Edition - Microsoft セキュリティ製品のスキルを構築し、1 月 10 日までにデジタル バッジを獲得しましょう。
今すぐ登録トレーニング
モジュール
Implement Microsoft Purview Data Loss Prevention - Training
This module examines how organizations can use Microsoft Purview Data Loss Prevention to help protect sensitive data and define the protective actions that organizations can take when a DLP rule is violated. MS-102
認定資格
Microsoft 認定: Information Protection and Compliance Administrator Associate - Certifications
Microsoft 365 デプロイを保護するためのデータ セキュリティ、ライフサイクル管理、情報セキュリティ、コンプライアンスの基礎を示します。