Just-In-Time 保護Microsoft Purview データ損失防止使用する

エンドポイント データ損失防止 (DLP) Just-In-Time (JIT) 保護を使用して、ポリシーの評価が正常に完了するのを待っている間に、監視対象ファイルのすべてのエグレス アクティビティをブロックできます。

JIT 保護が有効になっていて、ポリシー評価の処理中に、エンドポイント DLP は、アカウントが選択されたスコープ内にある各ユーザーのすべてのエグレス アクティビティをブロックします。 エンドポイント DLP は、([除外 ] 設定を 使用して) 除外されたすべてのユーザー アカウント、またはスコープ内にないすべてのユーザー アカウントのエグレス アクティビティを監査します。

Just-In-Time 保護をデプロイするためのベスト プラクティス

手順 1: 環境を準備する

Just-In-Time 保護を展開する前に、マルウェア対策クライアント バージョン 4.18.23080 以降を展開する必要があります。

注:

マルウェア対策クライアントの古いバージョンのマシンの場合は、次のいずれかの KB をインストールして Just-In-Time 保護を無効にすることをお勧めします。

• Windows 10 - KB5032278
• Windows 11 - KB5032288

手順 2: JIT 保護をデプロイする

使用しているポータルの適切なタブを選択します。 Microsoft Purview ポータルの詳細については、 Microsoft Purview ポータルに関するページを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

Microsoft Purview ポータル

1. Microsoft Purview ポータルにサインインします。

2. [設定] [データ損失防止>の Just-In-Time Protection] > を選択します。

3. [ 監視する場所の選択] で、[デバイス] の横にあるチェック ボックスをオン にします。

4. [ 失敗した場合のフォールバック アクション] で、[ ユーザーによるアクションの完了を許可する] を選択します。 これにより、分類が失敗した場合にユーザー アクションを完了できます。

注意

この機能の影響を完全に理解するまで、[ ユーザーのアクションの完了をブロック する] オプションを選択しないでください。

コンプライアンス ポータル

1. Microsoft Purview コンプライアンス ポータル>Settings (左側のナビゲーション) を開きます。

2. JIT 保護を有効にする: Microsoft Purview コンプライアンス ポータルの左側のナビゲーション ウィンドウで、[Just-In-Time Protectionの設定]> を選択します。

3. [ 監視する場所の選択] で、[デバイス] の横にあるチェック ボックスをオン にします。

4. [ 失敗した場合のフォールバック アクション] で、[ ユーザーによるアクションの完了を許可する] を選択します。 これにより、分類が失敗した場合にユーザー アクションを完了できます。

注意

この機能の影響を完全に理解するまで、[ ユーザーのアクションの完了をブロック する] オプションを選択しないでください。

5. 必要 に応じて通知をカスタマイズします。

6. 保存] を選択します。

イベントの数が安定し、次のテレメトリ計算に基づいて、適用モードを適用するユーザー グループの可能なサイズを十分に理解するまで、各ステージで設定を検証する必要があります。

手順 3: デプロイの JIT 保護イベントの数を見積もる

アクティビティ エクスプローラーのイベントに基づいて次の計算を実行して、JIT 保護のデプロイの影響を見積もる。

• N = JIT 保護イベントを発生させる一意のマシンの数。
• S = デプロイのスコープ内のマシンの合計数。

N/S は、JIT 保護 "ブロック" イベントが発生する可能性があるマシンの割合を示します。

この情報を使用すると、スコープを拡張するときに JIT ブロック モードを実装することで影響を受けるマシンの数と、表示される可能性のあるサポート チケットの数を把握する必要があります。 次に、スコープを拡張するかどうかを決定できます。

手順 4: その他の追加設定を使用して JIT 保護を微調整する

手順 1 で説明されているように、 障害が発生した場合にフォールバックするだけでなく、次の設定を使用して JIT 保護を微調整することもできます。

• クリップボードへのコピーを制御する: JIT 保護でファイルが評価されている間に、ユーザーがクリップボードにコンテンツをコピーできないようにする場合は、これをオンにします。

注:

[ クリップボードへのコピーの制御] を オンにすると、ユーザーの生産性に影響する可能性があります。 この設定をオンにする前に、生産性への影響をテストしてください。

• Windows のアプリの除外: ここに含めるアプリは、Windows デバイスの JIT 保護によって評価されません。

• Windows のファイル パスの除外: これらの場所のファイルは JIT 保護によって評価されません。

注:

ここでの [ファイル パスの除外] 設定と [データ損失防止>の設定] [エンドポイント設定>][Windows のファイル パスの除外] 設定>の違いは次のとおりです。

• ここでの [ファイル パスの除外] 設定 では、JIT 保護から特定のファイル パスのみが除外されます。 それ以外の場合でも、Microsoft Purview は、これらのフォルダー内のファイルに対してエンドポイント DLP 分類と保護を引き続き適用します。
• [データ損失防止>の設定] [エンドポイント設定][Windows のファイル パスの除外]で見つかった [Windows のファイル パスの除外] 設定>>では、指定したフォルダーの下にあるファイルに対してエンドポイント DLP 分類と保護を Purview が適用できなくなります。
• ファイル拡張子の除外: これらの拡張子を持つファイルは JIT 保護によって評価されません。

• 手順 5: [失敗した場合のフォールバック アクション] 設定の [ユーザーによるアクションの完了をブロックする] に JIT 保護をデプロイする

この構成は、分類が失敗したときに DLP が適用する強制モードのみを制御します。 ここで選択した値に関係なく、関連するテレメトリがアクティビティ エクスプローラーに表示されます。