Exchange メール フロー ルールまたはMicrosoft Purview データ損失防止 (DLP) を使用して、Microsoft Purview Message Encryptionを使用して機密情報の種類のポリシーを作成できます。 Exchange メール フロー ルールを作成するには、 Exchange 管理センター (EAC) または Exchange PowerShell のいずれかを使用できます。
重要
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 グローバル管理者ロールを持つユーザーの数を最小限に抑えることで、organizationのセキュリティを向上させることができます。 Microsoft Purview のロールとアクセス許可の詳細については、こちらをご覧ください。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview トライアル ハブ で今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。
EAC でメール フロー ルールを使用してポリシーを作成するには
Exchange 管理センターにサインインし、[メール フロー>Rules] に移動します。 [ルール] ページで、メッセージ暗号化を適用するルールを作成します。 メッセージや添付ファイルに特定のキーワードや機密情報の種類が存在するなどの条件に基づいてルールを作成できます。
Exchange PowerShell でメール フロー ルールを使用してポリシーを作成するには
コンプライアンス管理者など、organizationで十分なアクセス許可を持つ職場または学校アカウントを使用して、Exchange Online PowerShell に接続します。 手順については、「Exchange Online PowerShell に接続する」を参照してください。 ポリシーを作成するには、 Set-IRMConfiguration コマンドレットと New-TransportRule コマンドレットを使用します。
Exchange PowerShell で作成されたメール フロー ルールの例
PowerShell で次のコマンドを実行して、メールまたはその添付ファイルに次の機密情報の種類が含まれている場合に、organizationの外部に送信されたメールを暗号化専用オプションで自動的に暗号化する Exchange メール フロー ルールを作成します。
- ABA ルーティング番号
- クレジット カード番号
- 麻薬取締局 (DEA) 番号
- 米国または英国のパスポート番号
- 米国の銀行口座番号
- 米国の個人納税者識別番号 (ITIN)
- 米国の社会保障番号 (SSN)
Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true
New-TransportRule -Name "Encrypt outbound sensitive emails (out of box rule)" -SentToScope NotInOrganization -ApplyRightsProtectionTemplate "Encrypt" -MessageContainsDataClassifications @(@{Name="ABA Routing Number"; minCount="1"},@{Name="Credit Card Number"; minCount="1"},@{Name="Drug Enforcement Agency (DEA) Number"; minCount="1"},@{Name="U.S. / U.K. Passport Number"; minCount="1"},@{Name="U.S. Bank Account Number"; minCount="1"},@{Name="U.S. Individual Taxpayer Identification Number (ITIN)"; minCount="1"},@{Name="U.S. Social Security Number (SSN)"; minCount="1"}) -SenderNotificationType "NotifyOnly"
詳細については、「 Set-IRMConfiguration」 と「 New-TransportRule」を参照してください。
受信者が添付ファイルにアクセスする方法
Microsoft がメッセージを暗号化すると、受信者は暗号化されたメールにアクセスして開いたときに、添付ファイルに無制限にアクセスできます。
この変更に備える
該当するエンド ユーザーのドキュメントとトレーニング資料を更新して、この変更のためにorganizationのユーザーを準備することができます。 必要に応じて、次のメッセージ暗号化リソースをユーザーと共有します。
監査ログでこれらの変更を表示する
Microsoft 365 はこのアクティビティを監査し、管理者が利用できるようにします。 操作は "New-TransportRule" であり、Microsoft Purview ポータルの監査ログ検索からのサンプル監査エントリのスニペットは次のとおりです。
*{"CreationTime":"2018-11-28T23:35:01","Id":"a1b2c3d4-daa0-4c4f-a019-03a1234a1b0c","Operation":"New-TransportRule","OrganizationId":"123456-221d-12345 ","RecordType":1,"ResultStatus":"True","UserKey":"Microsoft Operator","UserType":3,"Version":1,"Workload":"Exchange","ClientIP":"123.456.147.68:17584","ObjectId":"","UserId":"Microsoft Operator","ExternalAccess":true,"OrganizationName":"contoso.onmicrosoft.com","OriginatingServer":"CY4PR13MBXXXX (15.20.1382.008)","Parameters": {"Name":"Organization","Value":"123456-221d-12346"{"Name":"ApplyRightsProtectionTemplate","Value":"Encrypt"},{"Name":"Name","Value":"Encrypt outbound sensitive emails (out of box rule)"},{"Name":"MessageContainsDataClassifications"...etc.*
機密情報の種類ポリシーを無効またはカスタマイズするには
Exchange メール フロー ルールを作成したら、Exchange 管理センターの [メール フロー>Rules] に移動し、[送信に依存するメールを暗号化する (既定のルール)] ルールを無効にすることで、ルールを無効または編集できます。