次の方法で共有


Just-In-Time 保護Microsoft Purview データ損失防止使用する

エンドポイント データ損失防止 (DLP) Just-In-Time (JIT) 保護を使用して、ポリシーの評価が正常に完了するのを待っている間に、監視対象ファイルのすべてのエグレス アクティビティをブロックできます。

JIT 保護が有効になっていて、ポリシー評価の処理中に、エンドポイント DLP は、アカウントが選択されたスコープ内にある各ユーザーのすべてのエグレス アクティビティをブロックします。 エンドポイント DLP は、([除外 ] 設定を 使用して) 除外されたすべてのユーザー アカウント、またはスコープ内にないすべてのユーザー アカウントのエグレス アクティビティを監査します。

適用対象

エンドポイント DLP の JIT 保護は、次のデバイスでネイティブにサポートされています。

  • Windows 10
  • Windows 11
  • プレビュー版 macOS (3 つの最新バージョン)

Just-In-Time 保護をデプロイするためのベスト プラクティス

手順 1: 環境を準備する

Just-In-Time 保護を展開する前に、マルウェア対策クライアント バージョン 4.18.23080 以降を展開する必要があります。

Mocamp バージョンpage_Defenderオンボード

注:

マルウェア対策クライアントの古いバージョンのマシンの場合は、次のいずれかの KB をインストールして Just-In-Time 保護を無効にすることをお勧めします。

手順 2: JIT 保護をデプロイする

現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

  1. Microsoft Purview ポータルにサインインします。

  2. [設定>Data Loss Prevention>Just-in-time protection] を選択します。

  3. [ 監視する場所の選択] で、[デバイス] の横にあるチェック ボックスをオン にします

  4. [ 失敗した場合のフォールバック アクション] で、[ ユーザーによるアクションの完了を許可する] を選択します。 これにより、分類が失敗した場合にユーザー アクションを完了できます。

注意

この機能の影響を完全に理解するまで、[ ユーザーのアクションの完了をブロック する] オプションを選択しないでください。

イベントの数が安定し、次のテレメトリ計算に基づいて、適用モードを適用するユーザー グループの可能なサイズを十分に理解するまで、各ステージで設定を検証する必要があります。

手順 3: デプロイの JIT 保護イベントの数を見積もる

アクティビティ エクスプローラーのイベントに基づいて次の計算を実行して、JIT 保護のデプロイの影響を見積もる。

  • N = JIT 保護イベントを発生させる一意のマシンの数。
  • S = デプロイのスコープ内のマシンの合計数。

N/S は、JIT 保護 "ブロック" イベントが発生する可能性があるマシンの割合を示します。

この情報を使用すると、スコープを拡張するときに JIT ブロック モードを実装することで影響を受けるマシンの数と、表示される可能性のあるサポート チケットの数を把握する必要があります。 次に、スコープを拡張するかどうかを決定できます。

手順 4: その他の追加設定を使用して JIT 保護を微調整する

手順 1 で説明されているように、 障害が発生した場合にフォールバックするだけでなく、次の設定を使用して JIT 保護を微調整することもできます。

  • クリップボードへのコピーを制御する: JIT 保護でファイルが評価されている間に、ユーザーがクリップボードにコンテンツをコピーできないようにする場合は、これをオンにします。

注:

[ クリップボードへのコピーの制御] を オンにすると、ユーザーの生産性に影響する可能性があります。 この設定をオンにする前に、生産性への影響をテストしてください。

  • Windows のアプリの除外: ここに含めるアプリは、Windows デバイスの JIT 保護によって評価されません。

  • Windows のファイル パスの除外: これらの場所のファイルは JIT 保護によって評価されません。

注:

ここでのファイル パスの除外設定、データ損失防止>Settings>Endpoint 設定>Windows のファイル パスの除外設定の違いは次のとおりです。

  • ここでの [ファイル パスの除外] 設定 では、JIT 保護から特定のファイル パスのみが除外されます。 それ以外の場合でも、Microsoft Purview は、これらのフォルダー内のファイルに対してエンドポイント DLP 分類と保護を引き続き適用します。
  • データ損失防止>Settings>Endpoint 設定>Windows の [ファイル パスの除外] を使用して見つかった Windows のファイル パスの除外では、指定したフォルダーの下にあるファイルに対して Purview がエンドポイント DLP 分類と保護を適用できなくなります。
  • ファイル拡張子の除外: これらの拡張子を持つファイルは JIT 保護によって評価されません。
  • 手順 5: [失敗した場合のフォールバック アクション] 設定の [ユーザーによるアクションの完了をブロックする] に JIT 保護をデプロイする

この構成は、分類が失敗したときに DLP が適用する強制モードのみを制御します。 ここで選択した値に関係なく、関連するテレメトリがアクティビティ エクスプローラーに表示されます。