Microsoft Purview データ損失防止 (DLP) ポリシーには、構成するコンポーネントが多数あります。 効果的なポリシーを作成するには、各コンポーネントの目的とその構成によってポリシーの動作がどのように変化するかを理解する必要があります。 この記事では、DLP ポリシーの詳細な構造について説明します。
ヒント
Microsoft Security Copilot の使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を発見しましょう。 Microsoft Purview の Microsoft Security Copilot に関する詳細情報をご覧ください。
開始する前に
Microsoft Purview DLP を初めて使用する場合は、DLP を実装する際に以下の一覧にある主要な記事が必要となります。
- 管理単位
- Microsoft Purview データ損失防止の概要 - この記事では、データ損失防止の規範と Microsoft による DLP の実装について解説しています
- データ損失防止 (DLP) の計画 - この記事を読み進めながら、次のことが行えます:
- データ損失防止ポリシー リファレンス - 現在ご覧いただいているこの記事では、DLP ポリシーのすべてのコンポーネントと、それぞれがポリシーの動作に与える影響を紹介しています
- DLP ポリシーの設計 - この記事では、ポリシー インテント ステートメントを作成し、それを特定のポリシー構成にマッピングする方法について解説されています。
- データ損失防止ポリシーの作成と展開 - この記事では、構成オプションにマップする一般的なポリシー意図シナリオについて説明します。 これらのオプションの構成についても説明しています。
- データ損失防止アラートの調査に関する詳細情報 - この記事では、アラートのライフサイクルについて、作成から最終的な修復とポリシーの調整までが解説されています。 また、アラートの調査に使用するツールも紹介されています。
また、プラットフォームの次の制約にも注意する必要があります:
- テナント内の MIP + MIG ポリシーの最大数: 10,000
- DLP ポリシーの最大サイズ (100 KB)
- DLP ルールの最大数:
- ポリシーの場合: ポリシーのサイズによって制限されます
- テナントの場合: 600
- 個々の DLP ルールの最大サイズ: 100 KB (102,400 文字)
- GIR 証拠の制限: 100 (各 SIT 証拠については、発生数に比例)
- スキャンのためにファイルから抽出できるテキストの最大サイズ: 抽出可能なテキストの最初の 2 MB
- 予測されたすべての一致の正規表現のサイズ制限: 20 KB
- ポリシー名の長さの制限: 64 文字
- ポリシー ルールの長さの制限: 64 文字
- コメントの長さの制限: 1,024 文字
- 説明の長さの制限: 1,024 文字
ポリシー テンプレート
DLP ポリシー テンプレートは、次の 4 つのカテゴリに分類されています:
- 財務情報の種類を検出して保護できるテンプレート。
- 医療と健康に関する情報の種類を検出して保護できるテンプレート。
- プライバシー情報の種類を検出して保護できるテンプレート。
- 他のいずれのポリシーも組織のニーズを満たしていない場合に独自のポリシーを構築するために使用できるカスタム ポリシー テンプレート。
次の表に、すべてのポリシー テンプレートとそれらの対象となる機密情報の種類 (SIT) を示します。
ポリシースコープ
「管理単位」を参照して、制限のない管理者と管理単位の制限付き管理者の違いを理解していることを確認してください。
DLP ポリシーのスコープは 2 つの異なるレベルで指定されます。 最初のレベルでは、organization内のすべての (選択されている場所に応じて) 無制限の管理スコープ ポリシーを適用するか、管理単位の制限付きポリシーと呼ばれるorganizationのサブグループに適用します。
- users
- groups
- 配布グループ
- アカウント
- sites
- クラウド アプリ インスタンス
- オンプレミスのリポジトリ
- Fabric と Power BI のワークスペース
このレベルでは、管理単位の制限付き管理者は、自分が割り当てられている管理単位からのみ選択できます。
DLP ポリシーのスコープ指定の 2 つ目のレベルは、DLP がサポートする場所ごとに行われます。 このレベルでは、制限なし管理者と管理単位制限付き管理者の両方に、ポリシー スコープの最初のレベルに含まれ、その場所で使用できるユーザー、配布グループ、グループ、アカウントのみが表示されます。
制限のないポリシー
制限のないポリシーは、次の役割グループ内のユーザーによって作成および管理されます:
- コンプライアンス管理者
- コンプライアンス データ管理者
- 情報保護
- Information Protection 管理者
- セキュリティ管理者
詳細については、 アクセス許可に関 する記事を参照してください。
制限のない管理者は、すべてのポリシーを管理し、ポリシーの一致からアラート ダッシュボードと DLP アクティビティ エクスプローラーに流れるすべてのアラートとイベントを表示できます。
管理単位の制限付きポリシー
管理単位はMicrosoft Entra IDのサブセットであり、ユーザー、グループ、配布グループ、およびアカウントのコレクションを管理するために作成されます。 これらのコレクションは、通常、事業グループ ラインまたは地政学的なエリアに沿って作成されます。 管理単位には、役割グループの管理単位に関連付けられている代理管理者がいます。 これらは、管理単位の制限付き管理者と呼ばれます。
DLP では、ポリシーを管理単位に関連付けることがサポートされています。 Microsoft Purview ポータルの実装の詳細については、「 管理単位 」を参照してください。 管理単位の DLP ポリシーを作成および管理するには、管理単位管理者を無制限の DLP ポリシーの管理者と同じロールまたはロール グループのいずれかに割り当てる必要があります。
| DLP 管理役割グループ | できること |
|---|---|
| 制限のない管理者 | - DLP ポリシーを作成して組織全体にスコープ指定する - すべての DLP ポリシーを編集する - DLP ポリシーを作成して管理単位にスコープ指定する - すべての DLP ポリシーからすべてのアラートとイベントを表示する |
| 管理単位制限付き管理者 - DLP を管理できるロール グループ/ロールのメンバー/割り当て済み である必要があります |
- DLP ポリシーを作成し、自分が割り当てられている管理単位にのみスコープ指定する - 自分の管理単位に関連付けられている DLP ポリシーを編集する - 自分の管理単位にスコープ指定されている DLP ポリシーからのみアラートとイベントを表示する |
場所
DLP ポリシーは、機密情報を含むアイテムを複数の場所で検索して保護できます。
| 場所 | 管理単位をサポート | 含まれる/除外されるスコープ | データの状態 | 追加の前提条件 |
|---|---|---|---|---|
| Exchange Online | はい | - 配布グループ - セキュリティ グループ - 電子メールが有効でないセキュリティ グループ - 動的配布リスト - Microsoft 365 グループ (グループ メンバーのみ、エンティティとしてのグループではありません) |
移動中のデータ | 不要 |
| SharePoint Online | いいえ | サイト | 保存データ 使用中のデータ |
不要 |
| OneDrive | はい | - 配布グループ - セキュリティ グループ - 電子メールが有効でないセキュリティ グループ - Microsoft 365 グループ (エンティティとしてのグループではなく、グループ メンバーのみ) |
保存データ 使用中のデータ |
不要 |
| Teams チャットおよびチャネル メッセージ | はい | - 配布グループ - セキュリティ グループ - メールが有効なセキュリティ グループ - Microsoft 365 グループ (グループ メンバーのみ、エンティティとしてのグループではありません) |
移動中のデータ 使用中のデータ |
DLP 保護のスコープに関するページを参照してください |
| Instances | 不要 | クラウド アプリ インスタンス | 保存データ | - Microsoft 以外のクラウド アプリにデータ損失防止ポリシーを使用する |
| デバイス | はい | - 配布グループ - セキュリティ グループ - 電子メールが有効でないセキュリティ グループ - Microsoft 365 グループ (エンティティとしてのグループではなく、グループ メンバーのみ) |
使用中のデータ 移動中のデータ |
-
エンドポイント データ損失防止について - エンドポイント データ損失防止の概要 - 情報保護のためにデバイス プロキシとインターネット接続の設定を構成する |
| オンプレミス リポジトリ (ファイル共有と SharePoint) | 不要 | リポジトリ | 保存データ |
-
データ損失防止のオンプレミス リポジトリの概要 - データ損失防止のオンプレミス リポジトリの概要 |
| ファブリックと Power BI | 不要 | ワークスペース | 使用中のデータ | 不要 |
| サードパーティ製アプリ | なし | 不要 | 不要 | 不要 |
| Microsoft 365 Copilot (プレビュー) | 不要 | アカウントまたは配布グループ | 保存データ 使用中のデータ |
- カスタム ポリシー templace でのみ使用できます - |
Exchange の場所のスコープ指定
Exchange に特定の配布グループを含める場合、DLP ポリシーのスコープは、そのグループのメンバーによって送信されるか、そのグループのメンバーに送信されるメールです。 同様に、配布グループを除外すると、その配布グループのメンバーによって送信されたすべてのメールが除外されるか、ポリシーの評価から除外されます。
| 送信者が | 受信者が | 生じる動作 |
|---|---|---|
| スコープ内 | 該当なし | ポリシーが適用される |
| 対象外 | スコープ内 | ポリシーが適用されない |
注:
Exchange ポリシーは、そのユーザーがポリシーのスコープ内にある限り、電子メールの送信者または受信者に適用されます。
Exchange の場所のスコープの計算
Exchange の場所スコープの計算方法の例を次に示します。
たとえば、組織内に 4 人のユーザーと、Exchange の場所の包含と除外のスコープを定義するために使用する 2 つの配布グループがあるとします。 グループ メンバーシップは次のように設定されています:
| 配布グループ | メンバーシップ |
|---|---|
| Group1 | User1、User2 |
| Group2 | User2、User3 |
| グループなし | User4 |
| "含める" の設定 | 除外設定 | ポリシー適用 | ポリシー非適用 | 動作の説明 |
|---|---|---|---|---|
| すべて | なし | Exchange 組織内のすべての送信者 (User1、User2、User3、User4) | 該当なし | どちらも定義されていない場合、すべての送信者が含まれます |
| Group1 | なし | Group1 のメンバー送信者 (User1、User2) | Group1 のメンバーではないすべての送信者 (User3、User4) | 一方の設定が定義されていて、もう一方の設定が定義されていない場合、定義された設定が使用されます |
| すべて | Group2 | グループ 2 のメンバーではない Exchange 組織内のすべての送信者 (User1、User4) | Group2 のメンバーであるすべての送信者 (User2、User3) | 一方の設定が定義されていて、もう一方の設定が定義されていない場合、定義された設定が使用されます |
| Group1 | Group2 | User1 | User2、User3、User4 | "除外" は "含める" に優先します |
ポリシーを配布リストのメンバー、動的配布グループ、セキュリティ グループの範囲にすることができます。 DLP ポリシーには、このような追加および除外を 50 個まで含めることができます。
OneDrive の場所のスコープ
OneDrive の場所のポリシーをスコープする場合、ORGANIZATION内のすべてのユーザーとグループに DLP ポリシーを適用するだけでなく、ポリシーのスコープを特定のユーザーとグループに制限できます。 DLP では、最大 100 人の個々のユーザーに対するスコープ ポリシーがサポートされています。
たとえば、100 人を超えるユーザーを含める場合は、必要に応じて、まずそれらのユーザーを配布グループまたはセキュリティ グループに配置する必要があります。 その後、ポリシーのスコープを最大 50 グループに設定できます。
場合によっては、ポリシーを 1 つまたは 2 つのグループに加え、これらのグループのいずれかに属していない 2 人または 3 人の個々のユーザーにポリシーを適用できます。 ここでは、 これらの 2 人または 3 人の個人を自分のグループに入れることがベスト プラクティスです。 これは、ポリシーがすべての目的のユーザーにスコープ設定されていることを確認する唯一の方法です。
その理由は、ユーザーのみを一覧表示すると、DLP によってポリシー スコープに指定されたすべてのユーザーが追加されるためです。 同様に、グループのみを追加すると、DLP はすべてのグループのすべてのメンバーをポリシー スコープに追加します。
次のグループとユーザーがあるとします。
| 配布グループ | メンバーシップ |
|---|---|
| Group1 | User1、User2 |
| Group2 | User2、User3 |
ポリシーのスコープをユーザー または グループ のみに 制限する場合、DLP は、次の表に示すように、ポリシーをユーザーに適用します。
| 指定されたスコープ | DLP スコープの評価動作 | スコープ内のユーザー |
|---|---|---|
|
(ユーザーのみ) User1 User2 |
DLP は、指定されたユーザーの和集合を受け取ります | User1、User2 |
|
(グループのみ) Group1 Group2 |
DLP は、指定されたグループの和集合を受け取ります | User1、User2、User3 |
ただし、スコープ構成でユーザーとグループが混在すると、処理が複雑になります。 理由は次のとおりです。DLP は、ポリシーをユーザーのみにスコープし、一覧表示されたグループとユーザーの 交差 部分に移動します。
DLP では、スコープに含めるユーザーとグループを決定するときに、次の操作の順序が使用されます。
- グループ メンバーシップの和集合を評価する
- ユーザーの和集合を評価する
- グループ メンバーとユーザーの積集合 (つまり、結果が重複する部分) を評価する
次に、グループ メンバーとユーザーの共通部分にポリシーのスコープが適用されます。
この例を拡張し、同じグループのセットを操作し、グループに含まれていない User4 を追加してみましょう。
| 配布グループ | メンバーシップ |
|---|---|
| Group1 | User1、User2 |
| Group2 | User2、User3 |
| グループなし | ユーザー 4 |
次の表では、ユーザーとグループの両方がスコープ手順に含まれている場合のポリシー スコープのしくみについて説明します。
| 指定されたスコープ | DLP スコープの評価動作 | スコープ内のユーザー |
|---|---|---|
| Group1 Group2 User3 User4 |
1 番目の評価: グループの和集合: (Group1 + Group2) = User1, User2, User3 2 番目の評価: ユーザーの和集合: (User3 + User4) = User3, User4 3 番目の評価: グループとユーザーの共通部分 (重複): (Group1 + Group2) = User1, User2, User3 (User3 + User4) = User3, User4 |
User3 (User3 は、1 番目と 2 番目の評価の両方の結果に表示される唯一のユーザーです)。 |
| Group1 Group2 User1 User3 User4 |
1 番目の評価: グループの和集合: (Group1 + Group2) = User1, User2, User3 2 番目の評価: ユーザーの和集合: (User1 + User3 + User4) = User1, User3, User4 3 番目の評価: グループとユーザーの共通部分 (重複): (Group1 + Group2) = User1, User3 (User1 + User3, User4) = User1, User3, User4 |
User1、 User3 (これらは、1 番目と 2 番目の評価の両方の結果に表示される唯一のユーザーです)。 |
コンテンツの定義方法に関する場所のサポート
DLP ポリシーは、機密アイテムを検出するのに、それらを機密情報の種類 (SIT) または秘密度ラベルもしくは保持ラベルと照合することによりこれを行います。 それぞれの場所では、機密コンテンツを定義するための異なる方法がサポートされています。 ポリシー内の場所を組み合わせたときにコンテンツを定義する方法は、1 つの場所に制限されている場合のコンテンツの定義方法から変わる可能性があります。
重要
ポリシーで複数の場所を選択した場合、コンテンツの定義カテゴリの "いいえ" 値が "はい" 値よりも優先されます。 たとえば、SharePoint サイトのみを選択すると、ポリシーでは、1 つ以上の SIT、秘密度ラベル、または保持ラベルによる機密アイテムの検出がサポートされます。 しかし、SharePoint サイトおよび Teams チャットとチャネル メッセージの場所を選択すると、ポリシーでは SIT による機密アイテムの検出のみがサポートされます。
| 場所 | コンテンツを SIT で定義できる | コンテンツを秘密度ラベルで定義できる | コンテンツを保持ラベルで定義できる |
|---|---|---|---|
| Exchange メール オンライン | はい | はい | 不要 |
| Microsoft 365 サイトの SharePoint | はい | はい | はい |
| 職場または学校アカウント用の OneDrive | はい | はい | はい |
| Teams チャットとチャネルのメッセージ | はい | 不要 | 不要 |
| デバイス | はい | はい | 不要 |
| Instances | はい | はい | はい |
| オンプレミスのリポジトリ | はい | はい | 不要 |
| ファブリックと Power BI | はい | はい | 不要 |
| Microsoft 365 Copilot (プレビュー) | 不要 | はい | 不要 |
DLP では、機密ドキュメントの検出条件として、トレーニング可能な分類子の使用がサポートされています。 コンテンツは、Exchange、SharePoint サイト、OneDrive アカウント、Teams チャットとチャネル、デバイスで、トレーニング可能な分類子によって定義できます。 詳細については、「トレーニング可能な分類子」をご覧ください。
注:
DLP では、メールと添付ファイルの秘密度ラベルの検出がサポートされています。 詳細については、「DLP ポリシーの条件として秘密度ラベルを使用する」をご覧ください。
ルール
ルールとは、DLP ポリシーのビジネス ロジックです。 次のものにより構成されています:
- 一致した場合にポリシーアクションをトリガーする条件
- ユーザー通知: ポリシーをトリガーする操作がユーザーによって行われた場合にユーザーに通知し、組織が期待する機密情報の扱い方をユーザーに教育するのを支援します
- ユーザーによる上書き: 管理者によって構成されている場合、ユーザーはブロック アクションを選択的に上書きできます
- インシデント レポート: ルールの一致が発生したときに管理者やその他の主要な関係者に通知します
- その他のオプション: ルールの評価の優先順位を定義し、ルールとポリシーのさらなる処理を停止できます。
1 つのポリシーには、1 つまたは複数のルールが含まれます。 ルールは、各ポリシー内の最も高位のルールから順に実行されます。
DLP 分類のしくみ
DLP は、アイテムが作成、読み取り、または変更されたときに、アイテムの機密情報を評価します。 DLP では、オンデマンド分類によって開始された項目も評価されます。これは、長期間分類または変更されていないファイルの手動スキャンです。 ただし、"DLP ルールが一致しました" などのイベントは、ユーザーが機密性の高いアイテムを送信しようとすると、監査ログまたはアクティビティ エクスプローラーにのみ表示されます。 ユーザーが試行するエグレス アクティビティは次のとおりです。
クラウドへのアップロード
- 印刷
- リムーバブル メディアにコピーする
- ネットワーク共有にコピーする
- クリップボードにコピーする
- Bluetooth を使用した転送
- ファイルが許可されていないアプリによってアクセスされました
- ブラウザーに貼り付ける
- リモート デスクトップを使用した転送
作成、読み取り、または変更されたアイテムは、条件とユーザー アクティビティが満たされた場合、クライアントの DLP ルールとポリシーと一致します。 これは、ファイル アクティビティ (FileRead、FileRenamed など) として監査されます。
アクティビティが満たされた場合、DLP ルールの一致イベントが "DLP ルール一致" イベントとしてアクティビティ エクスプローラーに表示されます。 エグレスのモードを説明するイベントも生成されます。
ポリシーはアクションを実行し、アクションは条件とは異なります。 アクションが実行されていない場合でも、ファイルでルールを一致させることができます。
ルールの評価と適用の優先順位
ホステッド サービスの場所
Exchange、SharePoint、OneDrive などのホストされているサービスの場所の場合、各ルールには、作成された順序で優先順位が割り当てられます。 つまり、最初に作成されたルールの優先順位は 1 番目となり、2 番目に作成されたルールの優先順位は 2 番目となるという具合です。
コンテンツがルールに対して評価されると、ルールは優先度順に処理されます。 コンテンツが複数のルールと一致する場合、最初に評価されたルールのうち、最も制限の厳しいアクションを持つものが適用されます。 たとえば、コンテンツが以下のすべてのルールに一致する場合、ルール 3 の優先度が最も高く、制限が最も厳しいため、これが適用されます。
- ルール 1: ユーザーに通知のみを行う
- ルール 2: ユーザーに通知する、アクセスを制限する、ユーザーによる上書きを許可する
- ルール 3: ユーザーに通知する、アクセスを制限する、ユーザーによる上書きを許可しない
- ルール 4: アクセスを制限する
ルール 1、2、4 は評価されますが、適用されません。 この例では、最も制限の厳しいルールのみが適用された場合でも、すべてのルールに一致するものが監査ログに記録され、DLP レポートに表示されます。
ルールを使用して特定の保護要件を満たし、DLP ポリシーを使用して一般的な保護要件をグループ化できます (たとえば、特定の規制に準拠する必要のあるすべてのルール)。
たとえば、Health Insurance Portability and Accountability Act (HIPAA) の対象となる情報の存在を検出する際に役立つ DLP ポリシーがあるとします。 この DLP ポリシーは、organization外のユーザーと共有されているこの機密情報 (条件) を含むドキュメントを検索し、ドキュメントへのアクセスをブロックし、通知 (アクション) を送信することで、すべての SharePoint サイトとすべての OneDrive サイト ("where") で HIPAA データ ("what") を保護するのに役立ちます。 これらの要件は、個別のルールとして保存され、簡単に管理およびレポートする DLP ポリシーとしてまとめてグループ化されます。
エンドポイントの場合
アイテムが複数の DLP ルールと一致すると、DLP は複雑なアルゴリズムを使用して、適用するアクションを決定します。 エンドポイント DLP は、最も制限の厳しいアクションの集計または合計を適用します。 DLP は、計算する際に次の要素を使用します。
ポリシーの優先順位 アイテムが複数のポリシーと一致し、これらのポリシーのアクションが同一である場合、最も優先度の高いポリシーのアクションが適用されます。
ルールの優先順位 アイテムがあるポリシーの複数のルールに一致し、これらのルールのアクションが同一である場合、最も優先度の高いルールのアクションが適用されます。
ポリシーのモード 項目が複数のポリシーと一致し、それらのポリシーのアクションが同一である場合、[ オンにする ] 状態 (強制モード) にあるすべてのポリシーのアクションは、[ ポリシー ヒントを使用してシミュレーション モードでポリシーを実行 する] および [ シミュレーション モード状態でポリシーを実行 する] のポリシーよりも優先的に適用されます。
アクション 項目が複数のポリシーと一致し、それらのポリシーがアクションで異なる場合、最も制限の厳しいアクションの集計または合計が適用されます。
承認グループ の構成 項目が複数のポリシーに一致し、それらのポリシーが動作が異なる場合、最も制限の厳しいアクションの集計 (合計) が適用されます。
上書きオプション アイテムが複数のポリシーと一致し、これらのポリシーの上書きオプションが異なる場合、アクションは次の順序で適用されます。
上書きなし>上書きを許可する
ランタイムの動作を示すシナリオを次に示します。 最初の 3 つのシナリオでは、次のように 3 つの DLP ポリシーが構成されています:
| ポリシー名 | 一致条件 | アクション | ポリシーの優先順位 |
|---|---|---|---|
| ABC | コンテンツにクレジット カード番号が含まれている | 印刷をブロックし、ユーザーによる他のすべての送信アクティビティを監査する | 0 |
| MNO | コンテンツにクレジット カード番号が含まれている | USB へのコピーをブロックし、ユーザーによる他のすべての送信アクティビティを監査する | 1 |
| XYZ | コンテンツに米国の社会保障番号が含まれている | クリップボードへのコピーをブロックし、ユーザーによる他のすべての送信アクティビティを監査する | 2 |
アイテムにクレジット カード番号が含まれている
監視対象デバイス上のアイテムにクレジット カード番号が含まれているため、このアイテムはポリシー ABC とポリシー MNO と一致します。 ABC と MNO の両方が [有効にする] モードになっています。
| ポリシー | クラウドへの送信アクション | クリップボードへのコピー アクション | USB へのコピー アクション | ネットワーク共有へのコピー アクション | 許可されていないアプリのアクション | 印刷アクション | Bluetooth 経由でのコピー アクション | リモート デスクトップへのコピー アクション |
|---|---|---|---|---|---|---|---|---|
| ABC | 監査 | 監査 | 監査 | 監査 | 監査 | Block | 監査 | 監査 |
| MNO | 監査 | 監査 | Block | 監査 | 監査 | 監査 | 監査 | 監査 |
| 実行時に適用されるアクション | 監査 | 監査 | Block | 監査 | 監査 | Block | 監査 | 監査 |
アイテムにクレジット カード番号と米国の社会保障番号が含まれている
監視対象デバイス上のアイテムにクレジット カード番号と米国の社会保障番号が含まれているため、このアイテムはポリシー ABC、ポリシー MNO、ポリシー XYZ と一致します。 3 つのポリシーはすべて [有効にする] モードになっています。
| ポリシー | クラウドへの送信アクション | クリップボードへのコピー アクション | USB へのコピー アクション | ネットワーク共有へのコピー アクション | 許可されていないアプリのアクション | 印刷アクション | Bluetooth 経由でのコピー アクション | リモート デスクトップへのコピー アクション |
|---|---|---|---|---|---|---|---|---|
| ABC | 監査 | 監査 | 監査 | 監査 | 監査 | Block | 監査 | 監査 |
| MNO | 監査 | 監査 | Block | 監査 | 監査 | 監査 | 監査 | 監査 |
| XYZ | 監査 | Block | 監査 | 監査 | 監査 | Block | 監査 | 監査 |
| 実行時に適用されるアクション | 監査 | Block | Block | 監査 | 監査 | Block | 監査 | 監査 |
アイテムにクレジット カード番号が含まれていて、ポリシーの状態が異なる
監視対象デバイス上のアイテムにはクレジット カード番号が含まれているため、ポリシー ABC とポリシー MNO と一致します。 ポリシー ABC が [オン] モードで、ポリシー MNO が [シミュレーション モードでポリシーを実行する ] 状態です。
| ポリシー | クラウドへの送信アクション | クリップボードへのコピー アクション | USB へのコピー アクション | ネットワーク共有へのコピー アクション | 許可されていないアプリのアクション | 印刷アクション | Bluetooth 経由でのコピー アクション | リモート デスクトップへのコピー アクション |
|---|---|---|---|---|---|---|---|---|
| ABC | 監査 | 監査 | 監査 | 監査 | 監査 | Block | 監査 | 監査 |
| MNO | 監査 | 監査 | Block | 監査 | 監査 | 監査 | 監査 | 監査 |
| 実行時に適用されるアクション | 監査 | 監査 | 監査 | 監査 | 監査 | Block | 監査 | 監査 |
アイテムにクレジット カード番号が含まれていて、上書きの構成が異なる
監視対象デバイス上のアイテムにはクレジット カード番号が含まれているため、ポリシー ABC とポリシー MNO と一致します。 ポリシー ABC が [有効にする] 状態になっていて、ポリシー MNO が [有効にする] 状態になっています。 異なる オーバーライド アクションが構成されています。
| ポリシー | クラウドへの送信アクション | クリップボードへのコピー アクション | USB へのコピー アクション | ネットワーク共有へのコピー アクション | 許可されていないアプリのアクション | 印刷アクション | Bluetooth 経由でのコピー アクション | リモート デスクトップへのコピー アクション |
|---|---|---|---|---|---|---|---|---|
| ABC | 監査 | 監査 | オーバーライド付きブロック | 監査 | 監査 | Block | 監査 | 監査 |
| MNO | 監査 | 監査 | ブロック (上書きなし) | 監査 | 監査 | 監査 | 監査 | 監査 |
| 実行時に適用されるアクション | 監査 | 監査 | ブロック (上書きなし) | 監査 | 監査 | Block | 監査 | 監査 |
アイテムにクレジット カード番号が含まれていて、承認グループの構成が異なる
監視対象デバイス上のアイテムにはクレジット カード番号が含まれているため、ポリシー ABC とポリシー MNO と一致します。 ポリシー ABC が [有効にする] 状態になっていて、ポリシー MNO が [有効にする] 状態になっています。 異なる承認グループ アクションが構成されています。
| ポリシー | クラウドへの送信アクション | クリップボードへのコピー アクション | USB へのコピー アクション | ネットワーク共有へのコピー アクション | 許可されていないアプリのアクション | 印刷アクション | Bluetooth 経由でのコピー アクション | リモート デスクトップへのコピー アクション |
|---|---|---|---|---|---|---|---|---|
| ABC | 監査 | 監査 | 承認グループ A - ブロック | 監査 | 監査 | 承認グループ A - ブロック | 監査 | 監査 |
| MNO | 監査 | 監査 | 承認グループ A - オーバーライド付きブロック | 監査 | 監査 | 承認グループ B - ブロック | 監査 | 監査 |
| 実行時に適用されるアクション | 監査 | 監査 | 承認グループ A - ブロック | 監査 | 監査 | 承認グループ A - ブロック、承認グループ B - ブロック | 監査 | 監査 |
条件
条件は、ルールの検索対象と、アイテムが使用されているコンテキストを定義する場所です。 ルールに対して次のような指示を出します: "これ" に似たアイテムが見つかり、"この" ように使用されている場合、そのアイテムは一致なので、それに対してポリシー内の残りのアクションを実行する必要があります。 条件を使用して、さまざまな操作をリスクレベル別に割り当てることができます。 たとえば、組織内で共有されている機密コンテンツは、組織外のユーザーと共有されている機密コンテンツよりリスク レベルが低く、必要なアクションを少なくする、といったことができます。
注:
ホスト organizationの Active Directory または Microsoft Entra テナントにゲスト以外のアカウントを持つユーザーは、organization内のユーザーと見なされます。
コンテンツが含まれている
すべての場所で "コンテンツに含まれている場合" 条件がサポートされています。 各コンテンツ タイプの複数のインスタンスを選択し、"次のいずれか" (OR) または "次のすべて" (AND) 演算子を使用して条件をさらに絞り込むことができます。
ルールは、選択した秘密度ラベルおよび保持ラベルの存在のみを検索します。
SIT には定義済みの信頼度があり、これは必要に応じて変更できます。 詳細については、「信頼度の詳細」をご覧ください。
重要
SIT には、最大固有インスタンス数パラメーターを定義する 2 つの異なる方法があります。 詳細については、「SIT のインスタンス数のサポート値」を参照してください。
Microsoft Purview のアダプティブ保護
適応型保護は、Microsoft Purview インサイダー リスク管理のリスク プロファイルを DLP ポリシーに統合して、DLP が動的に識別された危険な動作から保護できるようにします。 インサイダー リスク管理で構成すると、Adaptive Protection の Insider リスク レベルが、Exchange Online、デバイス、および Teams の場所の条件として表示されます。 詳細については、「 データ損失防止におけるアダプティブ保護 の詳細」を参照してください。
Adaptive Protection がサポートする条件
- Adaptive Protection のインサイダー リスク レベルは...
次の値が使用されます:
- 高いリスク レベル
- 中程度のリスク レベル
- 軽微なリスク レベル
条件のコンテキスト
使用可能なコンテキスト オプションは、選択した場所によって異なります。 複数の場所を選択した場合は、それらの場所に共通する条件のみを使用できます。
Exchange でサポートされる条件
- コンテンツが含まれている
- 適応型保護のインサイダー リスク レベルが次の場合
- コンテンツにラベルが付いていない
- コンテンツが Microsoft 365 から共有されている
- コンテンツが指定の送信者から受信された場合
- 送信者の IP アドレスが
- ヘッダーに指定の単語または語句が含まれている
- 送信者の AD 属性に指定の単語または語句が含まれている
- コンテンツの文字セットに指定の単語が含まれている
- ヘッダーがパターンと一致している
- 送信者の AD 属性がパターンと一致する
- 受信者の AD 属性に指定の単語または語句が含まれている
- 受信者の AD 属性がパターンと一致する
- 受信者が次のメンバーの場合
- 文書のプロパティが
- メールの添付ファイルのコンテンツをスキャンできなかった
- ドキュメントまたは添付ファイルがパスワードで保護されている
- 送信者がポリシー ヒントを上書きした
- 送信者が次のグループのメンバーの場合
- メールの添付ファイルのコンテンツのスキャンが完了しなかった
- 受信者のアドレスに単語が含まれている
- ファイルの拡張子が指定の拡張子の場合
- 受信者ドメインが
- 受信者が
- 送信者が
- 送信者のドメインが次の場合
- 受信者のアドレスがパターンと一致している
- ドキュメント名に指定の単語または語句が含まれている
- ドキュメント名がパターンと一致する
- 件名に指定の単語または語句が含まれている
- 件名がパターンと一致している
- 件名または本文に指定の単語または語句が含まれている
- 件名または本文がパターンと一致する
- 送信者のアドレスに指定の単語が含まれている
- 送信者のアドレスがパターンと一致している
- ドキュメントのサイズが次の値以上の場合
- ドキュメントのコンテンツに指定の単語または語句が含まれている
- ドキュメントのコンテンツがパターンと一致する
- メッセージのサイズが次の値以上の場合
- メッセージの種類が以下の場合
- メッセージの重要度が以下の場合
ヒント
PowerShell の値など、Exchange でサポートされる条件の詳細については、「データ損失防止の Exchange 条件とアクションのリファレンス」をご覧ください。
SharePoint でサポートされる条件
- コンテンツが含まれている
- コンテンツが Microsoft 365 から共有されている
- 文書のプロパティが
- ドキュメントをスキャンできなかった
- ドキュメントまたは添付ファイルがパスワードで保護されている
- ドキュメントのスキャンが完了しなかった
- ファイルの拡張子が指定の拡張子の場合
- ドキュメント名に指定の単語または語句が含まれている
- ドキュメントのサイズが次の値以上の場合
- ドキュメントの作成者が次の場合
OneDrive アカウントがサポートする条件
- コンテンツが含まれている
- コンテンツが Microsoft 365 から共有されている
- 文書のプロパティが
- ドキュメントをスキャンできなかった
- ドキュメントまたは添付ファイルがパスワードで保護されている
- ドキュメントのスキャンが完了しなかった
- ファイルの拡張子が指定の拡張子の場合
- ドキュメント名に指定の単語または語句が含まれている
- ドキュメントのサイズが次の値以上の場合
- ドキュメントの作成者が次の場合
- ドキュメントが共有されている
条件 Teams のチャットとチャネル メッセージのサポート
- コンテンツが含まれている
- 適応型保護のインサイダー リスク レベルが次の場合
- コンテンツが Microsoft 365 から共有されている
- 受信者ドメインが
- 受信者が
- 送信者が
- 送信者のドメインが次の場合
エンドポイントでサポートされる条件
コンテンツには次のものが含まれます。 検出するコンテンツを指定します。 サポートされているファイルの種類の詳細については、「 コンテンツをスキャンしたファイル」を参照してください。
コンテンツにラベルが付かない: 秘密度ラベルが適用されていないコンテンツを検出します。 サポートされているファイルの種類のみが検出されるようにするために、この条件は、"ファイル拡張子が次の場合" 条件または "ファイルの種類が以下の場合" 条件と一緒に使用する必要があります。 PDF ファイルと Office ファイルはサポートされています。
ファイルの種類 フォーマット 監視対象ファイルの拡張子 ワード プロセッシング Word、PDF .doc、.docx、.docm、.dot、.dotx、.dotm、.docb、.pdf スプレッドシート Excel、CSV、TSV .xls、.xlsx、.xlt、.xlm、.xlsm、.xltx、.xltm、.xlsb、.xlw、.csv、.tsv Presentation PowerPoint .ppt、.pptx、.pos、.pps、.pptm、.potx、.potm、.ppam、.ppsx ドキュメントをスキャンできませんでした。 次のいずれかの理由でスキャンできないファイルに適用されます。
- ファイルに 1 つ以上の一時的なテキスト抽出エラーが含まれている
- ファイルがパスワードで保護されている
- ファイル サイズがサポートされている制限を超えています (最大ファイル サイズ: 非圧縮ファイルの場合は 64 MB、圧縮ファイルの場合は 256 MB)
ドキュメント名には、単語または語句が含まれています。 指定した単語または語句 (
file、credit card、patentなど) を含むファイル名を含むドキュメントを検出します。ドキュメント名はパターンと一致します。 ファイル名が特定のパターンと一致するドキュメントを検出します。 パターンを定義するには、ワイルド カードを使用します。 正規表現パターンの詳細については、正規表現に関するドキュメント を参照してください。
注:
パフォーマンスの問題が発生する可能性があるため、この条件は Purview Endpoint DLP から段階的に段階的に廃止されます。 代わりに、"ドキュメント名に単語または語句が含まれている" 条件を使用することをお勧めします。
- ドキュメントまたは添付ファイルはパスワードで保護されています。 開いている保護されたファイルのみを検出します。 次のファイルがサポートされています。
- アーカイブファイル (ZIP、.7z、RAR)
- Office ファイル
- Symantec PGP で暗号化されたファイル
ドキュメントのサイズが次の値以上です。 指定した値以上のファイル サイズを持つドキュメントを検出します。 DLP では、64 MB 未満のファイルのコンテンツ検査のみがサポートされます。
重要
10 KB を超える項目を検出するには、この条件を設定することをお勧めします
ファイルの種類は次のとおりです。 次のファイルの種類を検出します。
ファイルの種類 アプリ 監視対象ファイルの拡張子 ワード プロセッシング Word、PDF doc, .docx, .docm, .dot, dotx, .dotm, .docb, .pdf スプレッドシート Excel、CSV、TSV .xls、.xlsx、.xlt、.xlm、.xlsm、.xltx、.xltm、.xlsb、.xlw、.csv、.tsv Presentation PowerPoint .ppt、.pptx、.pos、.pps、.pptm、.potx、.potm、.ppam、.ppsx 電子メール Outlook .msg 重要
ファイル拡張子とファイルの種類のオプションは、同じ規則の条件として使用できません。 同じポリシーの条件として使用する場合は、個別のルールに含める必要があります。
[ファイルの種類は条件] を使用するには、次のいずれかのバージョンの Windows が必要です。
Windows エンドポイント (X64):
- Windows 10 (21H2、22H2)
Windows エンドポイント (ARM64):
- Windows 11 (21H2、22H2)
ファイル拡張子は次のとおりです。ファイルの種類が条件と同じ拡張子を持つファイル内の機密情報を検出することに加えて、ファイル拡張子は、監視する必要がある任意のファイル拡張子を持つファイルの機密情報を検出するための条件です。 これを行うには、必要なファイル拡張子をコンマで区切ってポリシーのルールに追加します。 File extension is condition is condition is support the File type is condition. ファイル拡張子はアーカイブ ファイルの種類をサポートしていません。
警告
ポリシー 規則に次のいずれかのファイル拡張子を含めると、CPU の負荷が大幅に増加する可能性があります:.dll、.exe、.mui、.ost、.pf、.pst。
スキャンが完了しませんでした。 ファイルのスキャンが開始されたが、ファイル全体がスキャンされる前に停止したときに適用されます。 不完全なスキャンの主な理由は、ファイル内で抽出されたテキストが許可されている最大サイズを超えているということです。 (抽出されたテキストの最大サイズ: 非圧縮ファイル: 抽出可能なテキストの最初の 4 MB。圧縮ファイル: N=1000 / 抽出時間 = 5 分)。
Document プロパティは次のとおりです。 指定した値に一致するカスタム プロパティを持つドキュメントを検出します。 たとえば、
Department = 'Marketing'、Project = 'Secret'。 カスタム プロパティに複数の値を指定するには、二重引用符を使用します。 たとえば、"部署: マーケティング、営業" などです。 サポートされているファイルの種類は Office と PDF です。ファイルの種類 フォーマット 監視対象ファイルの拡張子 ワード プロセッシング Word、PDF .doc、.docx、.docm、.dot、.dotx、.dotm、.docb、.pdf スプレッドシート Excel、CSV、TSV .xls、.xlsx、.xlt、.xlm、.xlsm、.xltx、.xltm、.xlsb、.xlw、.csv、.tsv Presentation PowerPoint .ppt、.pptx、.pos、.pps、.pptm、.potx、.potm、.ppam、.ppsx ユーザーは Microsoft Edge から機密性の高い Web サイトにアクセスしました。 詳細については、「 シナリオ 6 機密性の高いサービス ドメインでのユーザー アクティビティの監視または制限 (プレビュー)」を参照してください。
Adaptive Protection のインサイダー リスク レベルは次のとおりです。 インサイダー リスク レベルを検出します。
「監視 およびアクションを実行できるエンドポイント アクティビティ」も参照してください。
5 つの条件のオペレーティング システム要件
- ドキュメントをスキャンできなかった
- ドキュメント名に指定の単語または語句が含まれている
- ドキュメント名がパターンと一致する
- ドキュメントのサイズが次の値以上の場合
- スキャンが完了しませんでした
これらの条件のいずれかを使用するには、エンドポイント デバイスで次のいずれかのオペレーティング システムが実行されている必要があります。
Windows 11 23H2:2023年 12 月 4 日 — KB5032288 (OS ビルド 22621.2792 および 22631.2792) プレビュー
Windows 11 22H2:2023 年 12 月 4 日 — KB5032288 (OS ビルド 22621.2792 および 22631.2792) プレビュー - Microsoft サポート
Windows 11 21H2:2023年 12 月 12 日 — KB5033369 (OS ビルド 22000.2652) - Microsoft サポート
Windows 10 22H2:2023年 11 月 30 日 — KB5032278 (OS ビルド 19045.3758) プレビュー - Microsoft サポート
Windows 10 21H2:2023年 11 月 30 日 — KB5032278 (OS ビルド 19045.3758) プレビュー - Microsoft サポート
Windows Server 2022/2019:2023 年 11 月 14 日 — KB5032198 (OS ビルド 20348.2113) - Microsoft サポート (以降)
条件 'Document Property is' のオペレーティング システム要件
Windows 11:2024 年 2 月 29 日 — KB5034848 (OS ビルド 22621.3235 および 22631.3235) プレビュー - Microsoft サポート (以降)
Windows 10:2024 年 2 月 29 日 — KB5034843 (OS ビルド 19045.4123) プレビュー - Microsoft サポート (以降)
重要
PDF ファイルで Microsoft Purview データ損失防止 (DLP) 機能を使用するための Adobe の要件については、「Acrobat での Microsoft Purview Information Protection のサポート」の記事をご覧ください。
Conditions Instances でサポートされる
- コンテンツが含まれている
- コンテンツが Microsoft 365 から共有されている
オンプレミス リポジトリがサポートする条件
- コンテンツが含まれている
- ファイルの拡張子が指定の拡張子の場合
- 文書のプロパティが
Conditions Fabric と Power BI のサポート
- コンテンツが含まれている
条件Microsoft 365 Copilot (プレビュー) でサポートされます
- コンテンツに含まれる (感覚ラベル)
条件グループ
場合によっては、1 つのものだけを識別するルールが必要なことがあります。たとえば、1 つの SIT によって定義される、米国の社会保障番号が含まれているすべてのコンテンツなどです。 しかし、識別しようとしているアイテムの種類がより複雑で、そのため定義することがより困難な多くのシナリオでは、条件を定義する際により高い柔軟性を必要とします。
たとえば、米国の健康保険法 (HIPAA) の適用対象のコンテンツを特定するには、次を検索する必要があります。
特定の種類の機密情報 (社会保障番号や麻薬取締局 (DEA) 番号など) を含んでいるコンテンツ。
AND
特定がより難しいコンテンツ (患者の治療に関する通信記録や提供された医療サービスの説明など)。 コンテンツを特定するには、国際疾病分類 (ICD-9-CM または ICD-10-CM) などの大きなキーワード リストからキーワードを一致させる必要があります。
この種類のデータは、条件をグループ化し、グループ間で論理演算子 (AND、OR) を使用して識別できます。
米国医療保険法 (HIPAA) の場合、条件は次のようにグループ化されます。
最初のグループには個人を識別する SIT が含まれており、2 番目のグループには医療診断を識別する SIT が含まれています。
条件は、ブール演算子 (AND、OR、NOT) によってグループ化および結合できるため、含める必要のあるものを指定し、次に、NOT によって最初に結合された別のグループで除外を定義することでルールを定義できます。 Purview DLP がブール値および入れ子になったグループを実装する方法の詳細については、「複雑なルール設計」をご覧ください。
条件に関する DLP プラットフォームの制限事項
| Predicate | Workload | 極限 | 評価コスト |
|---|---|---|---|
| コンテンツに含まれている場合 | EXO/SPO/ODB | ルールあたり 125 の SIT | 高 |
| コンテンツが Microsoft 365 から共有されている | EXO/SPO/ODB | - | 高 |
| 送信者の IP アドレスが | EXO | 個々の範囲の長さ <= 128、数 <= 600 | 低 |
| 送信者がポリシー ヒントを上書きした | EXO | - | 低 |
| 送信者が | EXO | 個々のメールの長さ <= 256、数 <= 600 | 中 |
| 送信者が次のグループのメンバーの場合 | EXO | 数 <= 600 | 高 |
| 送信者のドメインが次の場合 | EXO | ドメイン名の長さ <= 67、数 <= 600 | 低 |
| 送信者のアドレスに指定の単語が含まれている | EXO | 個々の単語長 <= 128、数 <= 600 | 低 |
| 送信者のアドレスがパターンと一致している | EXO | 正規表現の長さ <= 128、文字数 <= 600 | 低 |
| 送信者の AD 属性に指定の単語が含まれている | EXO | 個々の単語長 <= 128、数 <= 600 | 中 |
| 送信者の AD 属性がパターンと一致する | EXO | 正規表現の長さ <= 128、文字数 <= 600 | 中 |
| メールの添付ファイルのコンテンツをスキャンできない | EXO | サポートされているファイルの種類 | 低 |
| メール添付ファイル コンテンツの不完全なスキャン | EXO | 抽出されたコンテンツ サイズ > 2 MB | 低 |
| 添付ファイルがパスワードで保護されている | EXO | ファイルの種類: Office ファイル、.PDF、.ZIP、7z | 低 |
| 添付ファイルの拡張子が | EXO/SPO/ODB | ルールあたりのカウント <= 600 | 高 |
| 受信者が次のメンバーの場合 | EXO | 数 <= 600 | 高 |
| 受信者ドメインが | EXO | ドメイン名の長さ <= 67、数 <= 5000 | 低 |
| 受信者が | EXO | 個々のメールの長さ <= 256、数 <= 600 | 低 |
| 受信者のアドレスに単語が含まれている | EXO | 個々の単語長 <= 128、数 <= 600 | 低 |
| 受信者のアドレスがパターンと一致している | EXO | 数 <= 300 | 低 |
| ドキュメント名に指定の単語または語句が含まれている | EXO | 個々の単語長 <= 128、数 <=600 | 低 |
| ドキュメント名がパターンと一致する | EXO | 正規表現の長さ <= 128、数 <= 300 | 低 |
| 文書のプロパティが | EXO/SPO/ODB | - | 低 |
| ドキュメントのサイズが次の値以上の場合 | EXO | - | 低 |
| 件名に指定の単語または語句が含まれている | EXO | 個々の単語長 <= 128、数 <= 600 | 低 |
| ヘッダーに指定の単語または語句が含まれている | EXO | 個々の単語長 <= 128、数 <= 600 | 低 |
| 件名または本文に指定の単語または語句が含まれている | EXO | 個々の単語長 <= 128、数 <= 600 | 低 |
| コンテンツの文字セットに指定の単語が含まれている | EXO | 数 <= 600 | 低 |
| ヘッダーがパターンと一致している | EXO | 正規表現の長さ <= 128、数 <= 300 | 低 |
| 件名がパターンと一致している | EXO | 正規表現の長さ <= 128、数 <= 300 | 低 |
| 件名または本文がパターンと一致する | EXO | 正規表現の長さ <= 128、数 <= 300 | 低 |
| メッセージの種類が以下の場合 | EXO | - | 低 |
| メッセージのサイズが指定値を超える | EXO | - | 低 |
| 重要度あり | EXO | - | 低 |
| 送信者の AD 属性に指定の単語が含まれている | EXO | 各属性キー値のペア: 正規表現の長さ <= 128 文字、数 <= 600 | 中 |
| 送信者の AD 属性がパターンと一致する | EXO | 各属性キー値のペア: 正規表現の長さ <= 128 文字、数 <= 300 | 中 |
| ドキュメントに指定の単語が含まれている | EXO | 個々の単語長 <= 128、数 <= 600 | 中 |
| ドキュメントがパターンと一致する | EXO | 正規表現の長さ <= 128、数 <= 300 | 中 |
アクション
条件フィルターを使用してアイテムを作成するすべてのアイテムには、ルールで定義されているアクションが適用されます。 アクションをサポートするには、必要なオプションを構成する必要があります。 たとえば、Exchange を "Microsoft 365 の場所にあるコンテンツへのアクセスを制限またはコンテンツを暗号化する" アクションと共に選択する場合、次のオプションから選択する必要があります:
- ユーザーによる SharePoint、OneDrive、Teams の共有コンテンツへのアクセスをブロックする
- すべてのユーザーをブロックします。 コンテンツの所有者、最終変更者、サイト管理者のみが引き続きアクセスできます
- 組織外からのユーザーのみをブロックします。 組織内のユーザーは引き続きアクセスできます。
- 電子メール メッセージを暗号化する (Exchange のコンテンツにのみ適用)
ルールで使用できるアクションは、選択されている場所によって異なります。 個々の場所で使用できるアクションを次に示します。
重要
SharePoint と OneDrive の場所の場合、機密情報が検出されると、ドキュメントがすべての外部ユーザーに対して直ちに予防的にブロックされます (そのドキュメントが共有されているかどうかを問いません)。内部ユーザーは引き続きそのドキュメントにアクセスできます。
サポートされるアクション: Exchange
Exchange で DLP ポリシー ルールが適用されている場合、停止中、非停止中、またはどちらも停止していない可能性があります。 Exchange がサポートするほとんどのルールは停止しない状態です。 非停止アクションは、後続のルールとポリシーを処理した後に適用されます。
DLP アクションは、ブロックなどのポリシーのスコープ内にある受信暗号化された電子メールに対して実行されますが、暗号化の機密性を維持するために、イベントはアクティビティ エクスプローラーまたはアラートに表示されず、メッセージの内容は受信者以外のユーザーにはアクセスできません。
ただし、DLP ポリシー規則によって 停止 アクションがトリガーされると、Purview は後続のルールの処理を停止します。 たとえば、 Microsoft 365 の場所でコンテンツへのアクセスを制限または暗号化 するアクションがトリガーされると、それ以上のルールやポリシーは処理されません。
アクションが停止も非停止 でもない 場合、Purview はアクションの結果が発生するのを待ってから続行します。 そのため、送信メールが送信者の マネージャーに承認のためにメッセージを転送するアクションを トリガーすると、Purview は、メールが送信されるかどうかに関するマネージャーの決定を受け取るのを待機します。 マネージャーが承認した場合、アクションは非停止アクションとして動作し、後続のルールが処理されます。 これに対し、マネージャーがメールの送信を拒否した場合、 送信者のマネージャーに承認のためにメッセージを転送 すると、停止アクションとして動作し、電子メールの送信がブロックされます。後続のルールやポリシーは処理されません。
次の表に、Exchange がサポートするアクションの一覧と、それらが停止中か非停止かを示します。
| アクション | 停止中/非停止 |
|---|---|
| Microsoft 365 の場所にあるコンテンツへのアクセスを制限またはコンテンツを暗号化する | 停止型 |
| ヘッダーを設定する | 非停止型 |
| ヘッダーを削除する | 非停止型 |
| メッセージを特定のユーザーにリダイレクトする | 非停止型 |
| 承認を受けるため、送信者の上司にメッセージを転送 | Neither/なし |
| 承認を受けるため、特定の承認者にメッセージを転送 | Neither/なし |
| 受信者を [宛先] ボックスに追加 | 非停止型 |
| 受信者を [CC] ボックスに追加 | 非停止型 |
| 受信者を [BCC] ボックスに追加 | 非停止型 |
| 送信者の上司を受信者として追加 | 非停止型 |
| メッセージの暗号化と権利保護を削除する | 非停止型 |
| メールの件名の先頭に追加 | 非停止型 |
| HTML 免責テキストを追加 | 非停止型 |
| メールの件名を変更する | 非停止型 |
| ホストされた検疫にメッセージを配信する | 停止型 |
| 暗号化されたメッセージにブランド化を適用する | 非停止型 |
ヒント
[暗号化されたメッセージにブランド化を適用する] アクションでは、既にMicrosoft Purview Message Encryption実装されている場合は、テンプレートがドロップダウン リストに自動的に表示されます。 Microsoft Purview Message Encryptionを実装する場合は、「メッセージの暗号化に関するバックグラウンドでMicrosoft Purview Message Encryption暗号化されたメッセージにorganizationのブランドを追加する」と、ブランド化を作成して構成する方法に関するページを参照してください。テンプレート。
PowerShell の値など、Exchange でサポートされるアクションの詳細については、「データ損失防止の Exchange 条件とアクションのリファレンス」をご覧ください。
サポートされているアクション: SharePoint
- Microsoft 365 の場所にあるコンテンツへのアクセスを制限またはコンテンツを暗号化する
サポートされているアクション: OneDrive
- Microsoft 365 の場所にあるコンテンツへのアクセスを制限またはコンテンツを暗号化する
サポートされるアクション: Teams チャットとチャネル メッセージ
- Microsoft 365 の場所にあるコンテンツへのアクセスを制限またはコンテンツを暗号化する
サポートされるアクション: デバイス
DLP には、オンボードされた Windows デバイスに対して、 許可、 監査のみ、 オーバーライドでブロック、またはこれらのユーザー アクティビティを ブロック (アクション) するように指示できます。
DLP に対して、オンボードされた macOS デバイスに対して 、監査のみ、 オーバーライドでブロック、またはこれらのユーザー アクティビティを ブロック (アクション) するように指示できます。
ブロック: ユーザー関連のアクティビティがブロックされ、監査が有効になります。 管理者は必要に応じてアラートを表示できます。
[オーバーライドありのブロック]: このオプションは標準ブロックとして機能しますが、ユーザーはブロックをバイパスできます。 トースト通知の [許可] ボタンまたは Edge 通知の [OK] ボタンをクリックすると、ユーザーは続行できます。 許可されると、エンドポイント DLP は、"ネットワーク共有にコピーする"、"リムーバブル USB デバイスにコピーする"、"印刷" などのアクションを自動的に再開します。 その他のアクションの場合、ユーザーは [許可] をクリックしてポリシーをバイパスした後にプロセスを繰り返す必要があります。
監査: アクティビティのブロックは行われませんが、監査は有効になっており、管理者は必要に応じてアラートを表示できます。
許可: アクティビティはアラートをトリガーせずに許可されますが、監査は引き続き有効です。
オフ: アクティビティのブロックまたは監査は行われません。
| 強制モード | ユーザーをブロックする | アラートの生成 | 監査レコードの生成 |
|---|---|---|---|
| ブロック | はい | はい (DLP ルールに対してアラートが有効になっている場合) | はい |
| オーバーライド付きブロック | はい | はい (DLP ルールに対してアラートが有効になっている場合) | はい |
| 監査 | 不要 | はい (DLP ルールに対してアラートが有効になっている場合) | はい |
| 許可 | 不要 | トリガーされない | はい |
| Off | 不要 | 不要 | 不要 |
アクションの詳細については、こちらを参照してください。
- Microsoft 365 の場所にあるコンテンツへのアクセスを制限またはコンテンツを暗号化する
- ユーザーが Windows デバイス上の Microsoft Edge ブラウザーの機密性の高いサイトにアクセスするときのアクティビティを監査または制限する
- デバイスでアクティビティを監査または制限する
- サービス ドメインとブラウザー アクティビティ
- すべてのアプリ向けファイル アクティビティ
- 制限されたアプリのアクティビティ
- 制限されたアプリ グループ内のアプリのファイル アクティビティ (プレビュー)
Microsoft 365 の場所にあるコンテンツへのアクセスを制限またはコンテンツを暗号化する
これを使用して、ユーザーがメールを受信したり、共有 SharePoint、OneDrive、Teams ファイル、Power BI アイテムにアクセスしたりできないようにします。 このアクションでは、すべてのユーザーをブロックしたり、organization外にいるユーザーのみをブロックしたりできます。
ユーザーが Windows デバイス上の Microsoft Edge ブラウザーの機密性の高いサイトにアクセスするときのアクティビティを監査または制限する
ユーザーが次の操作を試みるタイミングを制御するには、このアクションを使用します。
| アクティビティ | 説明/オプション |
|---|---|
| サイトを印刷する | ユーザーがオンボードデバイスから保護されたサイトを印刷しようとしたときに検出します。 |
| サイトからデータをコピーする | ユーザーがオンボードデバイスから保護されたサイトからデータをコピーしようとしたときに検出します。 |
| サイトをローカル ファイルとして保存する (名前を付けて保存) | ユーザーが保護されたサイトをオンボード デバイスからローカル ファイルとして保存しようとしたときに検出します。 |
デバイスでアクティビティを監査または制限する
これを使用して、サービス ドメインとブラウザーのアクティビティ、すべてのアプリのファイル アクティビティ、制限付きアプリ アクティビティによってユーザー アクティビティを制限します。 デバイスで監査または制限アクティビティを使用するには、DLP 設定と、それらを使用するポリシーでオプションを構成する必要があります。 詳細については、「制限されたアプリとアプリ グループ」をご覧ください。
[デバイス でのアクティビティの監査または制限 ] アクションを含む DLP ルールでは、 オーバーライドを使用してブロックを 構成できます。 このルールがファイルに適用されると、そのファイルに対して制限付きアクションを実行しようとするとブロックされます。 制限をオーバーライドするオプションが表示された通知が表示されます。 ユーザーがオーバーライドを選択した場合、アクションは 1 分間許可され、その間、ユーザーは制限なしでアクションを再試行できます。 この動作の例外は、機密性の高いファイルが Edge にドラッグ アンド ドロップされた場合であり、ルールがオーバーライドされるとすぐにファイルが添付されます。
サービス ドメインとブラウザー アクティビティ
"クラウド サービス ドメインの許可/ブロック" と "許可されていないブラウザー" リスト (「機密データに対するブラウザーとドメインの制限」をご覧ください) を構成した場合、ユーザーが保護されたファイルをクラウド サービス ドメインにアップロードしようとするか、許可されていないブラウザーからそれにアクセスしようとした際にそのアクティビティに Audit only、Block with override または Block を適用するように構成できます。
| アクティビティ | 説明/オプション |
|---|---|
| 制限付きクラウド サービス ドメインにアップロードするか、許可されていないアプリからアクセスする | 保護されたファイルがブロックされているか、クラウド サービス ドメインへのアップロードが許可されていることを検出します。 「 機密データに対するブラウザーとドメインの制限 」および 「シナリオ 6 機密サービス ドメインでのユーザー アクティビティの監視または制限」を参照してください)。 |
| サポートされているブラウザーに貼り付ける | Microsoft Edge、Google Chrome (Microsoft Purview 拡張機能) または Mozilla Firefox (Microsoft Purview 拡張機能を使用) を使用して、ユーザーがテキスト フィールドまたは Web フォームに機密情報を貼り付けるタイミングを検出します。 評価は、ソース ファイルの分類とは無関係です。 詳細については、「 監視およびアクションを実行できるエンドポイント アクティビティ」を参照してください。 |
すべてのアプリ向けファイル アクティビティ
[すべてのアプリのファイル アクティビティ] オプションで、[ファイル アクティビティを制限しない] または [特定のアクティビティに制限を適用する] を選択します。 [特定のアクティビティに制限を適用する] を選択すると、ユーザーが DLP で保護されたアイテムにアクセスしたときに、ここで選択したアクションが適用されます。
| アクティビティ | 説明/オプション |
|---|---|
| クリップボードにコピーする | 保護されたファイルがオンボード デバイス上のクリップボードにコピーされるタイミングを検出します。 詳細については、「監視およびアクションを実行できるエンドポイント アクティビティ」および「クリップボードにコピーする」の動作に関するページを参照してください。 |
| リムーバブル デバイスにコピーする | 保護されたファイルがオンボード デバイスからリムーバブル USB デバイスにコピーまたは移動されるタイミングを検出します。 詳細については、「 リムーバブル USB デバイス グループ」を参照してください。 |
| ネットワーク共有にコピーする | 保護されたファイルがオンボードデバイスから任意のネットワーク共有にコピーまたは移動されるタイミングを検出します。 詳細については、「 監視およびアクションを実行できるエンドポイント アクティビティ」および 「 ネットワーク共有のカバレッジと除外」を参照してください。 |
| 印刷 | 保護されたファイルがオンボード デバイスから印刷されるタイミングを検出します。 詳細については、「 プリンター グループ」を参照してください。 |
| 許可されていない Bluetooth アプリを使用したコピーまたは移動 | 保護されたファイルがオンボードされた Windows デバイスからコピーまたは移動されるタイミングを、許可されていないBluetooth アプリを使用して検出します。 詳細については、「 未承認のBluetooth アプリ」を参照してください。 これは macOS ではサポートされていません。 |
| RDP を使用してコピーまたは移動する | RDP を使用して、ユーザーがオンボードされた Windows デバイスから別の場所に保護されたファイルをコピーまたは移動するタイミングを検出します。 これは macOS ではサポートされていません。 |
制限されたアプリのアクティビティ
以前は "許可されていないアプリ" と呼ばれており、"制限されたアプリ アクティビティ" は、制限を適用するアプリです。 これらのアプリは、エンドポイント DLP 設定の一覧で定義します。 ユーザーが一覧にあるアプリを使用して DLP で保護されたファイルにアクセスしようとすると、そのアクティビティに Audit only、Block with override または Block を適用できます。 "制限されたアプリ アクティビティ" で定義されている DLP アクションは、アプリが制限されたアプリ グループのメンバーである場合に上書きされます。 その後、制限されたアプリ グループで定義されているアクションが適用されます。
| アクティビティ | 説明/オプション |
|---|---|
| 制限付きアプリによるアクセス | 未適用のアプリがオンボードされた Windows デバイス上の保護されたファイルにアクセスしようとしたときに検出します。 詳細については、「制限付きアプリとアプリ グループ」をご覧ください。 |
制限されたアプリ グループ内のアプリのファイル アクティビティ (プレビュー)
制限されたアプリ グループをエンドポイント DLP 設定で定義し、制限されたアプリ グループをポリシーに追加します。 制限されたアプリ グループをポリシーに追加する場合は、次のいずれかのオプションを選択する必要があります:
- ファイル アクティビティを制限しない
- すべてのアクティビティに制限を適用する
- 特定のアクティビティに制限を適用する
いずれかの "制限を適用する" オプションを選択した場合、ユーザーが制限されたアプリ グループ内のアプリを使用して DLP で保護されたファイルにアクセスしようとしたときに、アクティビティごとに Audit only、Block with override または Block を適用できます。 ここで定義する DLP アクションは、"制限されたアプリのアクティビティ" および "すべてのアプリのファイル アクティビティ" で定義されているアクションに優先します。
詳細については、「制限付きアプリとアプリ グループ」をご覧ください。
注:
デバイスの場所では、多くのサブアクティビティ (条件) とアクションが提供されています。 詳細については、「監視と対処が必要なエンドポイントのアクティビティ」をご覧ください。
重要
[ クリップボードにコピー] 条件は、ユーザーが 保護されたファイル からクリップボードに情報をコピーするタイミングを検出します。 [ クリップボードにコピー] を 使用して、ユーザーが保護されたファイルから情報をコピーするときに、オーバーライドでブロック、または監査を行います。
[サポートされているブラウザーに貼り付け] 条件は、ユーザーが Microsoft Edge、Google Chrome と Microsoft Purview 拡張機能、または Mozilla Firefox と Microsoft Purview 拡張機能を使用して、その情報の由来に関係なく、機密テキストをテキスト フィールドまたは Web フォームに貼り付けようとしたときに検出します。 サポートされているブラウザーに貼り付けを使用して、ユーザーがテキスト フィールドまたは Web フォームに機密情報を貼り付けるときに、オーバーライドでブロック、または監査を行います。
インスタンス アクション
- Microsoft 365 の場所にあるコンテンツへのアクセスを制限またはコンテンツを暗号化する
- サードパーティ アプリを制限する
オンプレミスのリポジトリのアクション
- オンプレミスのファイルへのアクセスを制限またはファイルを削除します。
- ユーザーがオンプレミスのリポジトリに保存されているファイルにアクセスできないようにブロックする
- ファイルのアクセス許可の設定 (親フォルダーから継承されたアクセス許可)
- ファイルを保存されている場所から検疫フォルダーに移動する
詳細については、「DLP オンプレミス リポジトリ アクション」をご覧ください。
Fabric と Power BI のアクション
- メールおよびポリシー ヒントでユーザーに通知する
- 管理者に通知を送信
- アクセスを制限する
注:
サポートされている項目の種類にのみ適用されます。
Microsoft 365 Copilot (プレビュー) アクション
- Copilot の場所でコンテンツを除外する
場所を組み合わせたときに使用できるアクション
Exchange およびポリシーを適用するその他の単一の場所を選択した場合、
- "Microsoft 365 の場所にあるコンテンツへのアクセスを制限またはコンテンツを暗号化する" アクションおよび Exchange 以外の場所に関するすべてのアクションを使用できます。
適用するポリシーの Exchange 以外の場所を 2 つ以上選択した場合、
- "Microsoft 365 の場所にあるコンテンツへのアクセスを制限またはコンテンツを暗号化する" アクションおよび Exchange 以外の場所に関するすべてのアクションを使用できます。
たとえば、Exchange とデバイスの場所を選択すると、次のアクションを使用できます:
- Microsoft 365 の場所にあるコンテンツへのアクセスを制限またはコンテンツを暗号化する
- Windows デバイスでアクティビティを監査または制限する
[デバイスとインスタンス] を選択すると、次のアクションを使用できます。
- Microsoft 365 の場所にあるコンテンツへのアクセスを制限またはコンテンツを暗号化する
- Windows デバイスでアクティビティを監査または制限する
- サードパーティ アプリを制限する
アクションが有効になるかどうかは、ポリシーのモードを構成する方法によって異なります。 [シミュレーション モードでポリシーを実行する] オプションを選択すると、ポリシーヒントを表示せずに、 シミュレーション モードでポリシーを実行 できます。 [すぐに有効にする] オプションを選択して、ポリシーの作成から 1 時間経過後にすぐにポリシーを実行するか、[無効にしておく] を選択して、ポリシーを保存だけしておき後で戻ってくることを選択できます。
アクションの DLP プラットフォームの制限事項
| アクション名 | Workload | 制限 |
|---|---|---|
| Microsoft 365 のコンテンツへのアクセスを制限またはコンテンツを暗号化する | EXO/SPO/ODB | |
| ヘッダーを設定する | EXO | |
| ヘッダーを削除する | EXO | |
| メッセージを特定のユーザーにリダイレクトする | EXO | すべての DLP ルール全体で合計 100。 DL/SG にすることはできません |
| 承認を受けるため、送信者の上司にメッセージを転送 | EXO | マネージャーは AD で定義する必要があります |
| 承認を受けるため、特定の承認者にメッセージを転送 | EXO | グループはサポートされていません |
| 受信者を [宛先] ボックスに追加する | EXO | 受信者数 <= 10; DL/SG にすることはできません |
| 受信者を [CC] ボックスに追加する | EXO | 受信者数 <= 10; DL/SG にすることはできません |
| 受信者を [BCC] ボックスに追加する | EXO | 受信者数 <= 10; DL/SG にすることはできません |
| 送信者の上司を受信者として追加 | EXO | マネージャー属性は AD で定義する必要があります |
| HTML 免責事項を適用する | EXO | |
| 件名の前に追加する | EXO | |
| メッセージ暗号化を適用する | EXO | |
| メッセージ暗号化を削除する | EXO | |
| (プレビュー)Copilot の場所でコンテンツを除外する | Microsoft 365 Copilot (プレビュー) | SharePoint および OneDrive for Business 内のコンテンツのみを、Microsoft 365 Copilotで処理から除外できます |
ユーザー通知とポリシー ヒント
ユーザーが、ルールの条件を満たすコンテキスト (たとえば、個人を特定できる情報 (PII) を含み、ゲストと共有されている OneDrive サイト上の Excel ブックなどのコンテンツ) で機密性の高いアイテムに対してアクティビティを行おうとすると、ユーザー通知メールとコンテキスト内ポリシー ヒント ポップアップを通じて、ユーザーに通知できます。 これらの通知は、認知度を高め、組織の DLP ポリシーについてユーザーを教育するのに役立ちます。
アラート メール、インシデント レポート メール、およびユーザー通知は、ドキュメント 1 つにつき 1 回だけ送信されます。 "コンテンツは共有されています" 述語を持つドキュメントが 2 回共有された場合でも、通知は 1 回だけ行われます。
重要
- 通知メールは保護されていない状態で送信されます。
- メール通知は、Microsoft 365 サービスでのみサポートされています。
選択した場所によるメール通知のサポート
| 選択された場所 | サポートされているメール通知 |
|---|---|
| デバイス | - サポートされていません |
| Exchange + デバイス | - Exchange: サポートされています - デバイス: サポートされていません |
| Exchange | - サポートされています |
| SharePoint + デバイス | - SharePoint: サポートされています - デバイス: サポートされていません |
| SharePoint | - サポートされています |
| Exchange + SharePoint | - Exchange: サポートされています - SharePoint: サポートされています |
| デバイス + SharePoint + Exchange | - デバイス: サポートされていません - SharePoint: サポートされています Exchange: サポートされています |
| Teams | - サポートされていません |
| OneDrive | - 職場または学校の OneDrive でサポート- デバイスではサポートされていません |
| Fabric と Power-BI | - サポートされていません |
| Instances | - サポートされていません |
| オンプレミスのリポジトリ | - サポートされていません |
| Exchange + SharePoint + OneDrive | - Exchange でサポート- SharePoint でサポート- OneDrive でサポート |
| M365 Copilot (プレビュー) | - サポートされていません |
また、業務上の正当な理由がある場合や、ポリシーが誤検知した場合にブロックされないように、ユーザーにポリシーをオーバーライドするオプションを提供することもできます。
ポリシーのヒントとユーザー通知
ユーザー通知とポリシー ヒントの構成オプションは、選択した監視場所によって異なります。 次のいずれかを選択した場合、
- Exchange
- SharePoint
- OneDrive
- Teams チャットとチャネル
- Instances
さまざまな Microsoft アプリのユーザー通知を有効または無効にすることができます。 「データ損失防止ポリシーのヒントリファレンス」を参照してください。
ポリシー ヒントを使用して通知を有効または無効にすることもできます。
- コンテンツを送信、共有、または最後に変更したユーザーへのメール通知、または
- 特定のユーザーに通知する
さらに、メール テキスト、件名、ポリシー ヒント テキストをカスタマイズできます。
エンド ユーザー通知メールのカスタマイズの詳細については、「 カスタムメール通知」を参照してください。
[デバイスのみ] を選択した場合は、Exchange、SharePoint、OneDrive、Teams チャットとチャネル、インスタンスで使用できるオプションと、通知タイトル、コンテンツをカスタマイズするオプション、および Windows 10/11 デバイスに表示される [サポートの取得] ボタンの形式でハイパーリンクを追加するオプションがすべて表示されます。
カスタム ポリシー ヒント通知の文字数制限
ポリシー ヒント通知には、次の文字制限が適用されます。
| 変数 | 文字数制限 |
|---|---|
TITLE |
120 |
CONTENT |
250 |
JUSTIFICATION |
250 |
ハイパーリンクには文字制限はありませんが、DLP パッケージ全体で使用可能な残りの領域に制限されます。 ハイパーリンクは再操作可能な URL である必要があり、選択可能なコントロールの背後に抽象化されます。 詳細情報のハイパーリンクは、Microsoft 365 Office アプリで入手できます。
次のパラメーターを使用して、テキストのタイトルと本文をカスタマイズできます。
| 共通名 | パラメーター | 例 |
|---|---|---|
| ファイル名 | %%FileName%% | Contoso doc 1 |
| プロセス名 | %%ProcessName%% | Word |
| ポリシー名 | %%PolicyName%% | Contoso 極秘 |
| action | %%AppliedActions%% | クリップボードから別のアプリにドキュメント コンテンツを貼り付ける |
%%AppliedActions%% は、これらの値をメッセージ本文に置き換えます:
| アクションの一般的な名称 | %%AppliedActions%% パラメーターによる置き換え後の値 |
|---|---|
| リムーバブル ストレージにコピーする | リムーバブル ストレージに書き込むこと |
| ネットワーク共有にコピーする | ネットワーク共有に書き込むこと |
| 印刷する | 印刷すること |
| クリップボードから貼り付ける | クリップボードから貼り付けること |
| Bluetooth 経由でコピーする | Bluetooth 経由で転送すること |
| 許可されていないアプリで開く | 次のアプリで開くこと |
| リモート デスクトップ (RDP) にコピーする | リモート デスクトップに転送すること |
| 許可されていない Web サイトにアップロードする | 次のサイトにアップロードすること |
| 許可されていないブラウザーを使用してアイテムにアクセスする | 次のブラウザーで開くこと |
このカスタマイズされたテキストを使用すると、
%%ProcessName%% を使用してファイル名 %%FileName%% を %%AppliedActions%%は、組織で許可されていません。 ポリシー %%PolicyName%% をバイパスする場合は、[許可する] を選択してください
は、カスタマイズされた通知で次のテキストを生成します:
WINWORD.EXE を使用してファイル名: Contoso doc 1 をクリップボードから貼り付けることは、組織で許可されていません。 ポリシー Contoso 極秘をバイパスする場合は、[許可する] ボタンを選択してください
カスタム ポリシー ヒントをローカライズするには、Set-DlpComplianceRule -NotifyPolicyTipCustomTextTranslations コマンドレットを使用します。
最も制限の厳しいルールに関するカスタム ポリシーヒントが表示されます。必ずしも制限を実行しているルールではありません。
注:
ユーザー通知とポリシー ヒントは、オンプレミスの場所に関しては使用できません
最も優先度が高く、制限が厳しいルールのポリシー ヒントのみが表示されます。 たとえば、単に通知を送信するルールのポリシー ヒントよりも、コンテンツへのアクセスを禁止するルールのポリシー ヒントの方が優先して表示されます。 これにより、ポリシー ヒントがカスケード表示されるのを防止します。
通知とヒント テキストをカスタマイズする方法など、ユーザー通知とポリシー ヒントの構成と使用方法の詳細については、「 電子メール通知を送信し、DLP ポリシーのポリシーヒントを表示する」を参照してください。
ポリシー ヒントのリファレンス
異なるアプリのポリシー ヒントと通知のサポートの詳細については、こちらをご覧ください:
- Outlook for Microsoft 365 用データ損失防止ポリシー ヒントのリファレンス
- Outlook on the Web 用データ損失防止ポリシー ヒントのリファレンス
- Microsoft 365 と OneDrive のデータ損失防止ポリシー ヒントリファレンス SharePoint。 Web クライアント
Microsoft 365 および OneDrive の SharePoint でのブロックと通知
次の表は、Microsoft 365 と OneDrive の SharePoint を対象とするポリシーの DLP のブロックと通知の動作を示しています。 これは網羅的なリストを意図したものではなく、この記事の範囲外の追加設定があることに注意してください。
注:
この表で説明されている通知動作では、次の設定を有効にする必要がある場合があります。
ユーザー通知:
- オン
- ポリシー ヒントを使用してサービスOffice 365ユーザーに通知する
- コンテンツを送信、共有、または最後に変更したユーザーに通知する
インシデント レポート:
- ルールの一致が発生したときに管理者にアラートを送信する
- アクティビティがルールに一致するたびにアラートを送信する
- 電子メール インシデント レポートを使用して、ポリシーの一致が発生したときに通知する
| 条件 | アクセス設定を制限する | ブロックと通知の動作 |
|---|---|---|
| - コンテンツは Microsoft 365 から共有され、organization外のユーザーと共有されます | 未構成 | ユーザー通知、アラート、インシデント レポートは、ファイルが外部ユーザーと共有され、外部ユーザーがファイルにアクセスした場合にのみ送信されます |
| - コンテンツが Microsoft 365 から共有されている- 組織内の連絡先のみ | 未構成 | ファイルがアップロードされたときにユーザー通知、アラート、インシデント レポートが送信されます |
| - コンテンツが Microsoft 365 から共有されている- 組織内の連絡先のみ |
-
Microsoft 365 の場所にあるコンテンツへのアクセスを制限またはコンテンツを暗号化する - ユーザーによるメールの受信や、SharePoint、OneDrive、Teams の共有ファイルへのアクセスをブロックする - すべてのユーザーをブロックする |
- 機密性の高いファイルへのアクセスは、アップロードされるとすぐにブロックされます。 - ファイルのアップロード時にユーザー通知、アラート、インシデント レポートが送信される |
| - **コンテンツは Microsoft 365 から共有されます - organizationの外部のユーザーと共有されます |
-
Microsoft 365 の場所にあるコンテンツへのアクセスを制限またはコンテンツを暗号化する - ユーザーによるメールの受信や、SharePoint、OneDrive、Teams の共有ファイルへのアクセスをブロックする - organization外のユーザーのみをブロックする |
- 機密性の高いファイルへのアクセスは、ドキュメントが共有されているかどうかに関係なく、アップロードされるとすぐにブロックされます。 - 機密情報がorganizationの外部のユーザーによって共有およびアクセスされた後にファイルに追加された場合、アラートとインシデント レポートが送信されます。 - ドキュメントにアップロード前に機密情報が含まれている場合、外部共有は事前にブロックされます。 このシナリオでは、ファイルのアップロード時に外部共有がブロックされるため、アラートやインシデント レポートは送信されません。 アラートとインシデント レポートの抑制は、ブロックされたファイルごとにユーザーにアラートが大量に発生しないように設計されています。 - プロアクティブ ブロックは、[監査ログとアクティビティ] エクスプローラーにイベントとして表示されます。 |
| - コンテンツは Microsoft 365 から - 組織外のユーザーと共有されてる |
-
Microsoft 365 の場所にあるコンテンツへのアクセスを制限またはコンテンツを暗号化する - ユーザーによるメールの受信や、SharePoint、OneDrive、Teams の共有ファイルへのアクセスをブロックする - すべてのユーザーをブロックする |
- organization外の最初のユーザーがドキュメントにアクセスすると、イベントによってドキュメントがブロックされます。 - 短時間、ファイルへのリンクを持つ外部ユーザーがドキュメントにアクセスできる必要があります。 - ファイルが外部ユーザーと共有され、外部ユーザーがそのファイルにアクセスすると、ユーザー通知、アラート、インシデント レポートが送信されます |
| - コンテンツが Microsoft 365 から共有されている |
-
Microsoft 365 の場所にあるコンテンツへのアクセスを制限またはコンテンツを暗号化する - [リンクを持つすべてのユーザー] オプションを使用してコンテンツへのアクセス権を付与されたユーザーのみをブロックする |
ファイルがアップロードされたときにユーザー通知、アラート、インシデント レポートが送信されます |
|
-
コンテンツに含まれる秘密度ラベル AND - Content は Microsoft 365 から共有されます |
ブロック | ポリシーで定義されているアクション (ブロック、ユーザー通知、アラート、インシデント レポート) は、ユーザーがアイテムを開いたり、変更したり共有したりする前またはいつ行われます。 |
詳細情報の URL
ユーザーは、アクティビティがブロックされている理由を知りたい場合があります。 ポリシーの詳細を説明するサイトまたはページを構成できます。 エンド ユーザーにコンプライアンス URL を提供するを選択して、organizationのポリシー (Exchange でのみ利用可能) の詳細を確認し、ユーザーが Outlook Win32 でポリシー ヒント通知を受け取ると、[詳細情報] リンクは、指定したサイト URL を指します。 この URL は、Set-PolicyConfig -ComplainceURL を使用して構成されたグローバル コンプライアンス URL に優先されます。
重要
[詳細情報] がポイントするサイトまたはページは、最初から構成する必要があります。 Microsoft Purview では、この機能は標準では提供されていません。
ユーザー上書き
"ユーザーによる上書き" の目的は、ユーザーに対して、正当な理由がある場合に、Exchange、SharePoint、OneDrive、または Teams の機密アイテムに対する DLP ポリシーのブロック アクションをバイパスして、作業を継続できるようにする仕組みを提供することにあります。 ユーザーによる上書きは、[ポリシー ヒントを使用して Office 365 サービスのユーザーに通知する] が有効になっている場合にのみ有効になるため、ユーザーによる上書きは通知とポリシー ヒントと連携します。
注:
ユーザーによる上書きは、オンプレミスのリポジトリの場所では使用できません。
通常、ユーザーによる上書きは、組織がポリシーを最初にロールアウトするときに便利です。 上書きの正当な理由と誤検知の特定から得られるフィードバックは、ポリシーのチューニングに役立ちます。
- 最も制限の厳しいルールでユーザーにルールを上書きすることを許可している場合は、このルールを上書きすることで、コンテンツに一致した他のルールもすべて上書きされます。
業務上の正当な理由 X-Header
ユーザーがメールに対する "オーバーライド付きブロック" アクションを上書きすると、上書きオプションとユーザーが入力したテキストが監査ログとメールの X ヘッダーに格納されます。 ビジネス上の正当な理由のオーバーライドを表示するには、監査ログでExceptionInfo値を検索して詳細を確認します。 監査ログ値の例を次に示します:
{
"FalsePositive"; false,
"Justification"; My manager approved sharing of this content",
"Reason"; "Override",
"Rules": [
"<message guid>"
]
}
業務上の正当な理由の値を利用する自動化されたプロセスがある場合、プロセスはメールの X ヘッダー データでその情報にプログラムでアクセスできます。
注:
msip_justification 値は次の順序で格納されます:
False Positive; Recipient Entitled; Manager Approved; I Acknowledge; JustificationText_[free text].
値はセミコロンで区切られていることに注意してください。 許可されるフリー テキストの最大文字数は 500 文字です。
インシデント レポート
ルールが一致すると、イベントの詳細を含むアラート メールをコンプライアンス責任者 (または任意のユーザー) に送信し、Microsoft Purview データ損失防止アラート ダッシュボードと Microsoft 365 Defender ポータルで表示できます。 アラートには、一致したアイテム、ルールに一致した実際のコンテンツ、およびコンテンツを最後に変更したユーザーの名前に関する情報が含まれます。
プレビュー管理者アラートメールには、次のような詳細が含まれます。
- アラートの重大度
- アラートが発生した時刻
- アクティビティ。
- 検出された機密データ。
- アクティビティによってアラートがトリガーされたユーザーのエイリアス。
- 一致したポリシー。
- アラート ID
- デバイスの場所がポリシーのスコープ内にある場合に試行されたエンドポイント操作。
- 使用されていたアプリ。
- エンドポイント デバイスで一致が発生した場合のデバイス名。
DLP は、インサイダー リスク管理など、他の Microsoft Purview Information Protection サービスにインシデント情報を提供します。 インシデント情報をインサイダー リスク管理に提供するには、インシデント レポートの重大度レベルを [高] に設定する必要があります。
アラート メール、インシデント レポート メール、およびユーザー通知は、ドキュメント 1 つにつき 1 回だけ送信されます。 "コンテンツは共有されています" 述語を持つドキュメントが 2 回共有された場合でも、通知は 1 回だけ行われます。
アラートの種類
アラートは、アクティビティがルールに一致するたびに送信できます。これはノイズが発生する可能性があります。 ノイズを減らすのに役立つよう、一致する数または一定期間の項目の量に基づいて集計できます。 DLP ポリシーで構成できるアラートには 2 種類あります。
単一イベント アラートは、通常、10 個以上の顧客クレジットカード番号がorganization外に送信される単一の電子メールなど、少量で発生する機密性の高いイベントを監視するポリシーで使用されます。
集計イベント アラート は、通常、一定期間にわたって大量に発生するイベントを監視するポリシーで使用されます。 たとえば、1 つの顧客クレジット カード番号を持つ 10 件の個々の電子メールが 48 時間にわたって組織外に送信されると、集計アラートをトリガーできます。
注:
Sharepoint または Onedrive ワークロードでアラートが構成されているルールの場合、ルールごとにファイルごとに 1 つのアラートのみが送信されます。 これは、同じ違反が複数のユーザーによってコミットされた場合でも当てはまります。
その他のアラート オプション
[ メール インシデント レポートを使用する] を選択すると、ポリシーの一致が発生したときに通知 を受け取ることができます。
- コンテンツを最後に変更したユーザーの名前。
- ルールに一致した機密性の高いコンテンツの種類。
- ルールの重大度レベル。
- ルールに一致したコンテンツ (周囲のテキストを含む)。
- ルールに一致したコンテンツを含むアイテム。
アラートの詳細については、次を参照してください。
- DLP ポリシーのアラート: DLP ポリシーにおけるアラートについて説明します。
- データ損失防止アラートの概要: DLP アラートとアラート リファレンスの詳細に必要なライセンス、アクセス許可、前提条件について説明します。
- データ損失防止ポリシーの作成と展開: DLP ポリシーの作成におけるアラート構成に関するガイダンスが含まれています。
- データ損失防止アラートの調査: DLP アラートを調査するためのさまざまな方法について説明します。
- Microsoft Defender XDR によるデータ損失インシデントの調査: Microsoft Defender ポータルで DLP アラートを調査する方法。
デバイス上のファイル アクティビティの証拠収集
デバイス上のファイル アクティビティに対して証拠収集のセットアップを有効にし、Azure ストレージ アカウントを追加した場合は、[エンドポイントで選択したすべてのファイル アクティビティの証拠として元のファイルを収集する] を選択し、項目をコピーする Azure ストレージ アカウントを選択できます。 また、アイテムをコピーするアクティビティも選択する必要があります。 たとえば、[印刷] を選択し、[ネットワーク共有にコピーする] を選択しない場合、監視対象のデバイスから印刷されたアイテムのみが Azure Storage アカウントにコピーされます。
追加オプション
ポリシーに複数のルールがある場合は、[追加のオプション] を使用して、編集しているルールに一致するルールがある場合にさらにルール処理を制御し、ルールの評価の優先順位を設定できます。 これは、Exchange と Teams の場所でのみサポートされます