チュートリアル: 管理者検疫を使用してファイルを保護する
ファイル ポリシーは、 情報保護ポリシーに対する脅威を見つけるための優れたツールです。 たとえば、ユーザーが機密情報、クレジット カード番号、およびサードパーティの ICAP ファイルをクラウドに保存した場所を検索するファイル ポリシーを作成します。
このチュートリアルでは、Microsoft Defender for Cloud Appsを使用して、脆弱なままのクラウドに保存されている不要なファイルを検出する方法と、脅威を引き起こすファイルを直ちに停止し、管理検疫を使用してクラウド内のファイルを保護し、問題を修復し、将来のリークが発生するのを防ぐ方法について説明します。
重要
2024 年 9 月 1 日より、Microsoft Defender for Cloud Appsから [ファイル] ページが非推奨になります。 その時点で、Information Protection ポリシーを作成して変更し、[ポリシー] > [ポリシー管理] ページ>クラウド アプリからマルウェア ファイルを見つけます。 詳細については、「Microsoft Defender for Cloud Appsのファイル ポリシー」を参照してください。
検疫のしくみを理解する
注:
- 管理者検疫をサポートするアプリの一覧については、 ガバナンス アクションの一覧を参照してください。
- Defender for Cloud Appsによってラベル付けされたファイルは検疫できません。
- Defender for Cloud Apps管理者検疫アクションは、1 日あたり 100 アクションに制限されます。
- 直接またはドメイン名の一部として名前が変更された Sharepoint サイトは、管理者検疫のフォルダーの場所として使用できません。
ファイルがポリシーと一致すると、管理検疫オプションがファイルに対して使用できるようになります。
ファイルを検疫するには、次のいずれかの操作を行います。
管理検疫アクションを手動で適用します。
ポリシーで自動検疫アクションとして設定します。
検疫管理適用すると、バックグラウンドで次のことが発生します。
元のファイルは、設定した管理者検疫フォルダーに移動されます。
元のファイルが削除されます。
廃棄ストーン ファイルが元のファイルの場所にアップロードされます。
ユーザーは、廃棄ストーン ファイルにのみアクセスできます。 ファイルでは、IT によって提供されるカスタム ガイドラインと関連付け ID を読み取り、IT にファイルをリリースさせることができます。
ファイルが検疫されたことを示すアラートを受け取ったら、 ポリシー ->Policy Management に移動します。 次に、[Information Protection] タブを選択します。ファイル ポリシーを含む行で、行の末尾にある 3 つのドットを選択し、[すべての一致を表示] を選択します。 これにより、一致したファイルと検疫されたファイルを確認できる一致のレポートが表示されます。
ファイルが検疫されたら、次のプロセスを使用して脅威の状況を修復します。
- SharePoint Online の検疫済みフォルダー内のファイルを検査します。
- また、監査ログを確認して、ファイルのプロパティを詳しく調べることができます。
- ファイルが企業ポリシーに反している場合は、organizationのインシデント対応 (IR) プロセスを実行します。
- ファイルが無害である場合は、検疫からファイルを復元できます。 その時点で元のファイルが解放されます。つまり、元の場所にコピーされ、廃棄石が削除され、ユーザーはファイルにアクセスできます。
ポリシーがスムーズに実行されることを検証します。 その後、ポリシーの自動ガバナンス アクションを使用して、さらにリークを防ぎ、ポリシーが一致したときに管理検疫を自動的に適用できます。
注:
ファイルを復元する場合:
- 元の共有は復元されず、既定のフォルダー継承が適用されます。
- 復元されたファイルには、最新バージョンのみが含まれています。
- 検疫フォルダーのサイト アクセス管理は、お客様の責任です。
管理者検疫を設定する
侵害を検出するファイル ポリシーを設定します。 これらの種類のポリシーの例を次に示します。
- SharePoint Online の秘密度ラベルなどのメタデータのみのポリシー
- クレジット カード番号を検索するポリシーなどのネイティブ DLP ポリシー
- Vontu を検索するポリシーなどの ICAP サード パーティ のポリシー
検疫の場所を設定します。
Microsoft 365 SharePoint または OneDrive for Businessの場合、ポリシーの一部としてファイルを管理者検疫に配置することはできません。設定するまで、
管理者検疫設定を設定するには、Microsoft Defender ポータルで [設定] を選択します。 次に、[ Cloud Apps] を選択します。 [Information Protection] で、[検疫の管理] を選択します。 検疫フォルダーの場所のサイトと、ファイルが検疫されたときにユーザーが受け取るユーザー通知を指定します。
注:
Defender for Cloud Apps選択したサイトに検疫フォルダーが作成されます。
Box の場合、検疫フォルダーの場所とユーザー メッセージはカスタマイズできません。 フォルダーの場所は、Box をDefender for Cloud Appsに接続した管理者のドライブであり、ユーザー メッセージは次のとおりです。このファイルは、会社のセキュリティとコンプライアンス ポリシーに違反する可能性があるため、管理者のドライブに検疫されました。 IT 管理者にお問い合わせください。
次の手順
問題が発生した場合は、ここにお問い合わせください。 製品の問題に関するサポートまたはサポートを受けるためには、 サポート チケットを開いてください。