次の方法で共有

チュートリアル: 管理者検疫によるファイルの保護

  • [アーティクル]

ファイル ポリシーは、情報保護ポリシーに対する脅威を見つけるための優れたツールです。 たとえば、クラウド内でユーザーが機密情報、クレジット カード番号、サードパーティの ICAP ファイルを格納した場所を発見するファイル ポリシーを作成します。

このチュートリアルでは、Microsoft Defender for Cloud Apps を使用して、クラウドに格納された脆弱性をもたらす望ましくないファイルを検出し、早急に対処してそれらを中断させ、 管理者検疫 を使用して脅威をもたらすそれらのファイルをロックダウンし、クラウド内のファイルの保護、問題の修復、今後のリークの発生を防止させる方法について説明します。

重要

2024 年 9 月 1 日以降、Microsoft Defender for Cloud Apps の [ファイル] ページは非推奨になります。 その時点で、情報保護ポリシーを作成および変更し、[クラウド アプリ]>[ポリシー]>[ポリシー管理] ページからマルウェア ファイルを見つけます。 詳細については、「Microsoft Defender for Cloud アプリのファイル ポリシー」を参照してください。

検疫のしくみを理解する

Note

  • 管理者の隔離をサポートするアプリのリストについては、 ガバナンス アクションのリストを参照してください。
  • Defender for Cloud Apps によってラベル付けされたファイルは検疫できません。
  • Defender for Cloud Apps 管理者の検疫操作は、1 日あたり 100 アクションに限定されています。
  • SharePoint サイトの名前が、直接またはドメインの名前変更の一環として変更されている場合、それを管理者検疫用のフォルダーの場所として使うことはできません。

  1. ファイルがポリシーに一致する場合、ファイルに 管理者検疫 のオプションを使用できます。

  2. ファイルを検疫するには、次のいずれかのアクションを実行します。

    • 管理者検疫 処理を手動で適用します。

      検疫処理。

    • ポリシーで自動検疫処理として設定します。

      自動検疫。

  3. 管理者検疫 を適用すると、バックグラウンドで次のことが行われます。

    1. 元のファイルは、設定した管理者検疫フォルダーに移動されます。

    2. 元のファイルは削除されます。

    3. 廃棄標識ファイルは元のファイルの場所にアップロードされています。

      検疫の廃棄標識。

    4. ユーザーは、廃棄標識ファイルにのみアクセスできます。 ファイルでは、IT 担当者から提供されたカスタム ガイドラインを読み、関連付け ID を使用して IT に連絡し、ファイルをリリースすることができます。

  4. ファイルが検疫されたことを示すアラートを受け取ったら、[ポリシー] ->[ポリシー管理] に移動します。 次に、[情報保護] タブを選択します。ファイル ポリシーの行で、行の末尾にある 3 つのドットを選択し、[すべての一致を表示] を選択します。 これにより、一致したファイルと検疫されたファイルを確認できる一致のレポートが表示されます。

    検疫されたファイル。

  5. ファイルが検疫された場合、次の手順で脅威の状況を修復します。

    1. SharePoint Online の検疫済みフォルダー内にあるファイルを検査します。
    2. 監査ログで、ファイルのプロパティを詳細に調査することもできます。
    3. ファイルが企業ポリシーに違反していることが判明した場合は、組織のインシデント対応 (IR) プロセスを実行してください。
    4. ファイルが無害である場合は、検疫からファイルを復元することができます。 その時点で、元のファイルがリリースされます。つまり、元の場所にコピーして戻され、廃棄標識が削除されて、ユーザーはファイルにアクセスできるようになります。

    検疫の復元。

  6. ポリシーがスムーズに実行されていることを確認します。 その後、ポリシーで自動ガバナンス アクションを使用して今後の漏えいを防ぎ、ポリシーと一致するときに管理者検疫を自動的に適用することができます。

Note

ファイルが復元された場合:

  • 元の共有は復元され、既定のフォルダー継承が適用されます。
  • 復元されたファイルには、最近のバージョンのみが含まれます。
  • 隔離フォルダーのサイトへのアクセス管理はお客様の責任となります。

管理者検疫を設定する

  1. 違反を検出するファイル ポリシーを設定します。 この種のポリシーの例は次のとおりです。

    • SharePoint Online の秘密度ラベルなど、メタデータのみのポリシー
    • クレジット カード番号を検索するポリシーなど、ネイティブ DLP ポリシー
    • Vontu を検索するポリシーなどの ICAP サードパーティ ポリシー

  2. 検疫場所を設定します。

    1. Microsoft 365 SharePoint または OneDrive for Business の場合、次の設定を行うまで、ポリシーの一部としてファイルを管理者隔離に置くことはできません: 検疫の警告。

      管理者検疫設定を設定するには、Microsoft Defender ポータルで [設定] を選択します。 次に、 [クラウド アプリ]を選択します。 [情報保護] で、[検疫管理] を選択します。 検疫フォルダーの場所用のサイトと、ユーザーのファイルが検疫されたときにそのユーザーが受け取るユーザー通知を指定します。 検疫の設定。

      Note

      Defender for Cloud Apps により、選択したサイトに検疫フォルダーが作成されます。

    2. Box の場合、検疫フォルダーの場所とユーザー メッセージはカスタマイズできません。 フォルダの場所は、Box が Defender for Cloud Apps に接続された管理者ドライブであり、ユーザー メッセージは、「このファイルは会社のセキュリティとコンプライアンスのポリシーに違反している可能性があるため、管理者のドライブに隔離されました。」です。 支援が必要な場合には IT 管理者にお問い合わせください"。

次のステップ

組織を保護するためのベスト プラクティス

問題が発生した場合は、ここにお問い合わせください。 お使いの製品の問題について支援やサポートを受けるには、 サポート チケットを作成してください。