データ損失防止ポリシーを作成して展開する

Microsoft Purview データ損失防止 (DLP) ポリシーには多くの構成オプションがあります。 各オプションは、ポリシーの動作を変更します。 この記事では、構成オプションにマップするポリシーの一般的な意図シナリオについて説明します。 次に、これらのオプションの構成について説明します。 これらのシナリオについて理解したら、DLP ポリシー作成 UX を使用して独自のポリシーを作成するために必要な基本的なスキルが得られます。

ポリシーをデプロイする方法は、ポリシー設計と同じくらい重要です。 ポリシーの 展開を制御するための複数のオプションがあります。 この記事では、これらのオプションを使用して、コストのかかるビジネスの中断を回避しながらポリシーが意図を達成する方法について説明します。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview 試用版ハブから開始します。 サインアップと試用期間の詳細については、こちらをご覧ください。

開始する前に

Microsoft Purview DLP を初めて使用する場合は、DLP を実装するときによく知っておくべきコア記事の一覧を次に示します。

1. 管理単位
2. Microsoft Purview データ損失防止の詳細 - この記事では、データ損失防止規範と Microsoft による DLP の実装について説明します。
3. データ損失防止 (DLP) の計画 - この記事を使用して、次の作業を行います。
   1. 関係者の特定
   2. 保護する機密情報のカテゴリの定義
   3. 目標と戦略の設定
4. データ損失防止ポリシーリファレンス - この記事では、DLP ポリシーのすべてのコンポーネントと、それぞれがポリシーの動作にどのように影響するかを紹介します。
5. DLP ポリシーの設計 - この記事では、ポリシー意図ステートメントを作成し、それを特定のポリシー構成にマッピングする方法について説明します。
6. データ損失防止ポリシーの作成と展開 - この記事では、構成オプションにマップする一般的なポリシー意図シナリオについて説明します。 その後、これらのオプションの構成について説明し、ポリシーのデプロイに関するガイダンスを提供します。
7. データ損失防止アラートの調査に関する詳細情報 - この記事では、アラートのライフサイクルについて、作成から最終的な修復とポリシーの調整までが解説されています。 また、アラートの調査に使用するツールも紹介されています。

SKU /サブスクリプションライセンス

ライセンスの詳細については、次を参照してください。

• Microsoft 365 Enterpriseプラン
• Microsoft 365 サービスの説明

アクセス許可

ポリシーの作成と展開に使用するアカウントは、これらのロール グループの 1 つのメンバーである必要があります

• コンプライアンス管理者
• コンプライアンス データ管理者
• 情報保護
• Information Protection 管理者
• セキュリティ管理者

重要

開始する前に、「管理単位」を読んで、無制限の管理者と管理単位の制限付き管理者の違いを理解していることを確認してください。

きめ細かいロールと役割グループ

アクセス制御を微調整するために使用できるロールと役割グループがあります。

該当するロールの一覧を次に示します。 詳細については、「 Microsoft Purview ポータルのアクセス許可」を参照してください。

• DLP コンプライアンス管理
• Information Protection 管理者
• Information Protection アナリスト
• Information Protection 調査員
• Information Protection 閲覧者

該当する役割グループの一覧を次に示します。 詳細については、「 Microsoft Purview ポータルのアクセス許可」を参照してください。

• 情報保護
• Information Protection レベル
• Information Protection アナリスト
• Information Protection 調査担当者
• Information Protection 閲覧者

ポリシー作成シナリオ

前の記事 DLP ポリシーの設計 では、ポリシー意図ステートメントを作成し、その意図ステートメントをポリシー構成オプションにマッピングする方法について説明しました。 このセクションでは、これらの例に加えて、いくつかの例を取り上め、実際のポリシー作成プロセスについて説明します。 ポリシー作成 UI を理解するには、テスト環境でこれらのシナリオを実行する必要があります。

ポリシー作成フローには非常に多くの構成オプションがあるため、すべての構成やほとんどの構成をカバーすることはできません。 そのため、この記事では、最も一般的な DLP ポリシー シナリオについて説明します。 これらの手順を実行すると、さまざまな構成で経験を得られます。

• シナリオ 1 クレジット カード番号を含むメールをブロックする
• シナリオ 2 Microsoft 365 の SharePoint と OneDrive を介した機密アイテムの外部ユーザーとの共有をブロックする
• シナリオ 3 スキャンに失敗したサポートされているファイルにコントロールを適用する
• シナリオ 4 ポリシー アクションを構成する
• シナリオ 5 サポートされていない一部のファイルにコントロールを適用する
• シナリオ 6 サポートされている一部のファイルのスキャンを無効にし、コントロールを適用する
• シナリオ 7 クレジット カード番号を使用して Power BI レポートをブロックする

シナリオ 1 クレジット カード番号を含むメールをブロックする

重要

これは仮定の値を持つ架空のシナリオです。 これは説明のみを目的としています。 独自の機密情報の種類、秘密度ラベル、配布グループ、ユーザーを置き換える必要があります。

シナリオ 1 の前提条件と前提条件

このシナリオでは、 機密性の高い ラベルを使用するため、秘密度ラベルを作成して公開する必要があります。 詳細については、次を参照してください。

• 秘密度ラベルの詳細
• 秘密度ラベルの使用を開始する
• 機密ラベルとそのポリシーを作成して構成する

この手順では、Contoso.com の架空の配布グループ 財務チーム と架空の SMTP 受信者 adele.vance@fabrikam.comを使用します。

この手順では、アラートを使用します。「データ損失防止アラートの概要」を参照してください。

シナリオ 1 ポリシー意図ステートメントとマッピング

クレジット カード番号を含む、または "機密性の高い" 秘密度ラベルが適用されているすべての受信者へのメールをブロックする必要があります。ただし、電子メールが財務チームの誰かからadele.vance@fabrikam.comに送信される場合を除きます。 電子メールがブロックされるたびにコンプライアンス管理者に通知し、アイテムを送信したユーザーに通知し、ブロックを上書きすることはできません。 このリスクの高いイベントのすべての発生をログで追跡し、キャプチャされ、調査に使用できるイベントの詳細が必要です

Statement	構成に関する質問に回答し、構成マッピングを行う
"すべての受信者へのメールをブロックする必要があります。..	- 監視する場所: Exchange - 管理スコープ: 完全なディレクトリ - アクション: Microsoft 365 の場所のコンテンツへのアクセスを制限または暗号化する>ユーザーがメールを受信したり、共有の SharePoint、OneDrive、Teams ファイルにアクセスできないようにユーザーをブロックしたりします>すべてのユーザーをブロックする
"...クレジット カード番号が含まれているか、"機密性の高い" 秘密度ラベルが適用されています。..	- 監視対象: カスタム テンプレートを使用する - 一致する条件: それを編集して機密性の高い秘密度ラベルを追加する
"...if..を除く。	- 条件グループの構成: ブール値 AND を使用して、最初の条件に結合された入れ子になったブール値 NOT 条件グループを作成します
"...電子メールは、財務チームの誰かから送信されます。..	- 一致の条件: 送信者は のメンバーです
"...and..."	- 一致の条件: NOT グループに 2 つ目の条件を追加します
"...を adele.vance@fabrikam.com...	- 一致の条件: 受信者は
"...Notify..."	- ユーザー通知: 有効 - ポリシーヒント: 有効
"...コンプライアンス管理者は、メールがブロックされるたびに、アイテムを送信したユーザーに通知します。..	- ポリシーヒント: 有効 - これらのユーザーに通知する: 選択 - コンテンツを送信、共有、または変更したユーザー: 選択 - これらの追加のユーザーに電子メールを送信する: コンプライアンス管理者のメール アドレスを追加します
"...ブロックをオーバーライドすることはできません。...	- M365 サービスからのオーバーライドを許可する: 選択されていません
"...このリスクの高いイベントのすべての発生をログで追跡し、すべてのイベントの詳細をキャプチャして調査できるようにしたいと考えています。	- 管理者アラートとレポートでこの重大度レベルを使用します。高 - ルールの一致が発生したときに管理者にアラートを送信する: 選択 - アクティビティがルールに一致するたびにアラートを送信する: 選択

シナリオ 1 のポリシーを作成する手順

重要

このポリシー作成手順では、既定の include/exclude 値をそのまま使用し、ポリシーをオフのままにします。 ポリシーをデプロイするときに、これらを変更します。

1. Microsoft Purview ポータルにサインインする

2. データ損失防止ソリューションを開き、[ポリシー>+ ポリシーの作成] に移動します。

3. [カテゴリ] の一覧から [カスタム] を選択します。

4. [規制] の一覧から [カスタム] を選択します。

5. [次へ]を選択します。

6. ポリシーに 名前 と説明を付 けます。 ポリシー意図ステートメントは、ここで使用できます。

   重要

   ポリシーの名前を変更できません

7. [次へ] を選択します。

8. 管理ユニットを割り当てます。 ポリシーをすべてのユーザーに適用するには、既定の設定をそのまま使用します。

9. [次へ]を選択します。

10. ポリシーを適用する場所を選択します。 Exchange メールの場所のみを選択します。 他のすべての場所の選択を解除します。

11. [次へ]を選択します。

12. [ ポリシー設定の定義 ] ページで、[ 高度な DLP ルールの作成またはカスタマイズ ] オプションが既に選択されている必要があります。

13. [次へ] を選択します。

14. [ ルールの作成] を選択します。 ルールに名前を付け、説明を入力します。

15. [条件] で [条件の追加>Content contains

16. (省略可能) グループ名を入力します。

17. (省略可能)Group 演算子を選択する

18. [ Add>Sensitive info types>Credit Card Number] を選択します。

19. [追加] を選択します。

20. [ Content contains]\(コンテンツに含まれている \) セクション内の [ 追加>Sensitivity ラベル>[機密性の高い ] を選択し、[ 追加] を選択します。

21. 次に、[ コンテンツに含まれるコンテンツ ] セクションの下にある [ グループの追加] を選択します。

22. ブール演算子は AND のままにし、トグルを NOT に設定します。

23. [ 条件の追加] を選択します。

24. [ 送信者は のメンバーです] を選択します。

25. [ 配布グループの追加または削除] を選択します。

26. [ 財務チーム ] を選択し、[ 追加] を選択します。

27. [条件の追加>Recipient is] を選択します。

28. [電子メール] フィールドに「 adele.vance@fabrikam.com 」と入力し、[ 追加 ] を選択します。

29. [アクション] で、[アクションの追加>Microsoft 365 の場所のコンテンツへのアクセスまたは暗号化を選択します

30. [ ユーザーがメールを受け取るか、共有 SharePoint、OneDrive、Teams ファイルにアクセスできないようにブロックする] を選択し、[ すべてのユーザーをブロックする] を選択します。

31. [ユーザー通知] トグルを [オン] に設定します。

32. [Email通知] を選択します>コンテンツを送信、共有、または最後に変更したユーザーを通知します。

33. 一致するメール メッセージを通知に添付するかどうかを選択します。

34. ポリシーヒントを追加するかどうかを選択します。

35. [ ユーザー ovverides] で、[ Microsoft 365 アプリとサービスからのオーバーライドを許可する]が 選択 されていないこと を確認します。

36. [ インシデント レポート] で、[管理者のアラートとレポートでこの重大度レベルを使用する ] を [高] に設定します。

37. [アクティビティがルールに一致するたびにアラートを送信する] トグルを[オン] に設定します。

38. 保存] を選択します。

39. [ 次へ] を選択し、[ シミュレーション モードでポリシーを実行する] を選択します。

40. [ 次へ ] を選択し、[送信] を選択 します。

41. [完了] を選択します。

シナリオ 2 Microsoft 365 の SharePoint と OneDrive を介した機密アイテムの外部ユーザーとの共有をブロックする

Microsoft 365 の SharePoint と OneDrive の場合は、SharePoint と OneDrive を介して機密性の高いアイテムと外部ユーザーとの共有をブロックするポリシーを作成します。

シナリオ 2 の前提条件と前提条件

このシナリオでは 機密 機密ラベルを使用するため、秘密度ラベルを作成して公開する必要があります。 詳細については、次を参照してください。

• 秘密度ラベルの詳細
• 秘密度ラベルの使用を開始する
• 機密ラベルとそのポリシーを作成して構成する

この手順では、架空の配布グループ Human Resources と、Contoso.com のセキュリティ チームの配布グループを使用します。

この手順では、アラートを使用します。「データ損失防止アラートの概要」を参照してください。

シナリオ 2 ポリシー意図ステートメントとマッピング

社会保障番号、クレジット カード データ、または "機密" 秘密度ラベルを持つすべての外部受信者に対する SharePoint および OneDrive アイテムのすべての共有をブロックする必要があります。 これは人事チームの誰にも当てはめさせたくありません。 また、アラートの要件を満たす必要があります。 ファイルが共有されてブロックされるたびに、セキュリティ チームに電子メールで通知する必要があります。 さらに、可能であれば、ユーザーに電子メールとインターフェイス内でアラートを送信する必要があります。 最後に、ポリシーの例外は必要ありません。また、システム内でこのアクティビティを確認できる必要があります。

Statement	構成に関する質問に回答し、構成マッピングを行う
"すべての外部受信者への SharePoint アイテムと OneDrive アイテムの共有をすべてブロックする必要があります。..	- 管理スコープ: 完全なディレクトリ - 監視する場所: SharePoint サイト、OneDrive アカウント - 一致する条件: 最初の条件>自分の組織外で共有する アクション: Microsoft 365 の場所のコンテンツへのアクセスを制限または暗号化する>ユーザーがメールを受信したり>、共有 SharePoint にアクセスしたり、Organization外のユーザーのみをブロックしたりする
"...社会保障番号、クレジット カード データ、または "Confidential" 秘密度ラベルを持つ。	- 監視対象: カスタム テンプレートの を使用する- 一致の条件: ブール値と で最初の条件に結合された 2 つ目の条件を作成します。2 番目の条件、2 番目の条件グループ >Content には機密情報の種類>U.S.S.社会保障番号 (SSN)、 クレジット カード番号 - Condition グループ構成 ブール値 or で最初に接続された 2 つ目の条件グループを作成します - 一致する条件: 2 番目の条件グループ、2 番目の条件 >Content には、これらの秘密度ラベル>Confidential のいずれかが含まれています。
“...これは人事チームの誰にも当てはめさせたくありません。.	- 適用する場所: 人事チーム OneDrive アカウントを除外する
"...ファイルが共有され、ブロックされるたびに、セキュリティ チームに電子メールで通知する必要があります。.	- インシデント レポート: ルールの一致が発生したときに管理者にアラートを送信する - これらのユーザーに電子メール アラートを送信する (省略可能): セキュリティ チームの を追加します。アクティビティがルールに一致するたびにアラートを送信する: 選択 - 電子メール インシデント レポートを使用して、ポリシーの一致が発生したときに通知します。オン - これらのユーザーに通知を送信する: 必要に応じて個々の管理者を追加 - レポートに次の情報を含めることもできます。 すべてのオプションを選択する
"...さらに、可能であれば、ユーザーに電子メールやインターフェイス内でアラートを受け取る必要があります。..	- ユーザー通知: オン - ポリシーヒントを使用してOffice 365のユーザーに通知する: 選択
“...最後に、ポリシーの例外を望まず、システム内でこのアクティビティを確認できるようにする必要があります。.	-ユーザーオーバーライド: 選択されていません

条件を構成すると、概要は次のようになります。

シナリオ 2 のポリシーを作成する手順

重要

このポリシー作成手順では、ポリシーをオフのままにします。 ポリシーをデプロイするときに、これらを変更します。

1. Microsoft Purview ポータルにサインインする
2. [ データ損失防止>ポリシー>+ ポリシーの作成] を選択します。
3. [カテゴリ] リストと [規制] リストの両方から [カスタム] を選択します。
4. [次へ]を選択します。
5. ポリシーに 名前 と説明を付 けます。 ポリシー意図ステートメントは、ここで使用できます。

重要

ポリシーの名前を変更することはできません。

1. [次へ] を選択します。
2. [管理ユニットの割り当て] ページで、既定の [完全ディレクトリ] をそのまま使用します。
3. [次へ]を選択します。
4. ポリシーを適用する場所を選択します。
   1. SharePoint サイトと OneDrive アカウントの場所が選択されていることを確認します。
   2. 他のすべての場所の選択を解除します。
   3. OneDrive アカウントの横にある [アクション] 列で [編集] を選択します。
   4. [ すべてのユーザーとグループ ] を選択し、[ ユーザーとグループの除外] を選択します。
   5. [ +除外] を選択し、[ グループを除外] を選択します。
   6. [ 人事] を選択します。
5. [ 完了] を 選択し、[ 次へ] を選択します。
6. [ ポリシー設定の定義 ] ページで、[ 高度な DLP ルールの作成またはカスタマイズ ] オプションが既に選択されている必要があります。 [次へ]を選択します。
7. [ 高度な DLP ルールのカスタマイズ ] ページで、[ + ルールの作成] を選択します。
8. ルールに [名前] と [説明] を指定します。
9. [ 条件の追加] を 選択し、次の値を使用します。
   1. [ コンテンツは Microsoft 365 から共有されます] を選択します。
   2. organization外のユーザーと一緒に選択します。
10. [ 条件の追加] を選択して 2 つ目の条件を作成し、これらの値を使用します。
    1. [ コンテンツに含まれるもの] を選択します。
11. [ Add>Sensitivity labels> ]、[ Confidential] の順に選択します。
12. [追加] を選択します。
13. [ アクション] で、次の値を持つアクションを追加します。
    1. Microsoft 365 の場所でアクセスを制限するか、コンテンツを暗号化します。
    2. organization外のユーザーのみをブロックします。
14. [ ユーザー通知 ] トグルを [オン] に設定します。
15. [ポリシー ヒントを使用してOffice 365 サービスのユーザーに通知する] を選択し、[コンテンツを送信、共有、または最後に変更したユーザーに通知する] を選択します。
16. [ ユーザーのオーバーライド] で、[ M365 サービスからのオーバーライドを許可する] が選択 されていないこと を確認します。
17. [インシデント レポート] で次の 手順を実行します。
    1. [管理者のアラートとレポートでこの重大度レベルを使用する] を[低] に設定します。
    2. [ルールの一致が発生したときに管理者にアラートを送信する] のトグルを [オン] に設定します。
18. [ これらのユーザーに電子メール アラートを送信する (省略可能)] で、[ + ユーザーの追加または削除] を選択し、セキュリティ チームのメール アドレスを追加します。
19. [ 保存] を 選択し、[ 次へ] を選択します。
20. [ ポリシー モード ] ページで、[ シミュレーション モードでポリシーを実行する ] と [シミュレーション モード 中にポリシーヒントを表示する] を選択します。
21. [ 次へ ] を選択し、[送信] を選択 します。
22. [完了] を選択します。

シナリオ 3 スキャンに失敗したサポートされているファイルにコントロールを適用する

注:

シナリオ 3 スキャンに失敗したサポートされているファイルにコントロールを適用するが プレビュー段階です。

このシナリオは、 監視対象 ファイルの一覧にあるがエンドポイント DLP によってスキャンできなかったファイルに対して、ユーザー アクティビティに対するオーバーライド コントロールを使用して監査、ブロック、またはブロックを適用する場合に使用します。

シナリオ 3 の前提条件と前提条件

このシナリオでは、デバイスが既にオンボードされ、アクティビティ エクスプローラーにレポートされている必要があります。 まだデバイスをオンにしていない場合は、エンドポイントのデータ損失防止 (プレビュー) を開始を参照してください。

重要

この機能では、次のアクションの種類のみがサポートされます。

• 制限付きクラウド サービス ドメインへのアップロード
• リムーバブル USB デバイスにコピーする
• ネットワーク共有にコピーする
• 印刷

シナリオ 3 ポリシー意図ステートメントとマッピング

エンドポイント DLP でサポートされているファイルのスキャンが失敗することがあります。 これらのファイルには機密情報がある可能性がありますが、わかりません。 オンボードされたデバイス上のファイルのスキャンが失敗した場合、ユーザーがそのファイルを USB デバイスまたはネットワーク共有にコピーできないようにします。

Statement	構成に関する質問に回答し、構成マッピングを行う
"オンボードされたデバイスのいずれかでファイルのスキャンが失敗した場合..."	- 管理スコープ: 完全なディレクトリ - 監視する場所: デバイス スコープ: Allusers、グループ、デバイス、デバイス グループ - 条件: ドキュメントをスキャンできませんでした
"...ユーザーがそのファイルを USB デバイスまたはネットワーク共有にコピーできないようにする必要があります。	- アクション: [監査] または [デバイスでのアクティビティの制限] を選択します - [再提供されたクラウド サービス ドメインにアップロードするか、未許可のブラウザーからアクセスする] をオフにします - [特定のアクティビティに制限を適用する] を選択します - [リムーバブル USB デバイスにコピーする] を選択し、[上書きしてブロックする] を選択し [ 上書きしてネットワーク共有にコピーする] を選択し クリップボードへのコピー、印刷、印刷、 未承認のBluetooth アプリを使用してコピーまたは移動し、RDP を使用してコピーまたは移動する

条件を構成すると、概要は次のようになります。

シナリオ 3 ポリシー アクションを構成する

重要

このポリシー作成手順では、ポリシーをオフのままにします。 ポリシーをデプロイするときに、これらを変更します。

1. Microsoft Purview ポータルにサインインします。
2. データ損失防止>Policies を開きます。
3. [ポリシーの作成] を選択し、[カテゴリ] から [カスタム] を選択し、[規制] から [カスタム ポリシー テンプレート] を選択します。
4. 新しいポリシーに名前を付け、説明を入力します。
5. [管理 ユニット] で [完全なディレクトリ] を選択します。
6. 場所のスコープを [デバイスのみ] にします。
7. 次のルールを作成します。
   1. 条件:
      1. [ドキュメントをスキャンできませんでした] を選択する
   2. [アクション]:
      1. [ 監査] を選択するか、デバイスでのアクティビティを制限します。
      2. [レスリックされたクラウド サービス ドメインへのアップロード] または [許可されていないブラウザーからのアクセス] をクリアする
      3. [特定のアクティビティに制限を適用する] を選択します
      4. [リムーバブル USB デバイスにコピーする] を選択し、[オーバーライドを使用してブロックする] を選択します
      5. [ネットワーク共有にコピー] を選択し、[オーバーライドを使用してブロックする] を選択します
      6. [クリップボードにコピー]、[未適用のBluetooth アプリを使用して印刷、コピー、または移動] をオフにし、RDP を使用してコピーまたは移動する
8. 保存します。
9. [ ポリシーをすぐに有効にする] を選択します。 [次へ] を選択します。
10. 設定を確認し、送信を選択します。

シナリオ 4 サポートされていないすべてのファイルにコントロールを適用する

注:

シナリオ 4 サポートされていないすべてのファイルにコントロールを適用することは プレビュー段階です。

このシナリオは、[ファイル拡張子が条件] を使用してすべてのファイル拡張子を列挙することなく、監視対象ファイルの一覧にないファイルに対するユーザー アクティビティに対するオーバーライド コントロールを使用して監査、ブロック、またはブロックを適用する場合に使用します。 この構成を使用して、.mp3、.wav、.datなどのファイルに制御を配置するブランケット ポリシーを作成します。

注意

すべてのファイルにコントロールを適用する機能は強力な機能であり、適切な注意を払わずに実装すると、意図しない結果になる可能性があります。 運用環境にデプロイする前に、このポリシーを運用環境以外の環境でテストしてください。 この例では、特定のファイル拡張子をポリシーのスコープから (必要に応じて) 除外する方法も示します。

重要

この機能では、次のアクションの種類のみがサポートされます。

• 制限付きクラウド サービス ドメインへのアップロード
• リムーバブル USB デバイスにコピーする
• ネットワーク共有にコピーする
• 印刷

シナリオ 4 ポリシー意図ステートメントとマッピング

エンドポイント DLP がスキャンしないファイルには、追跡できる以上に多くの種類があります。これらのファイルに機密情報があるかどうかはわかりません。そのため、ユーザーが USB デバイスまたはネットワーク共有にファイルをコピーする前にチェックポイントを設定する必要があります。 私たちは、よく知られており、データ漏洩の脅威を与えない abc ファイルの種類のユーザーワークフローを中断したくありません。

Statement	構成に関する質問に回答し、構成マッピングを行う
"エンドポイント DLP がスキャンしないファイルの種類は多数あります,..."	- 管理スコープ: 完全なディレクトリ - 監視する場所: デバイス - スコープ: Allusers、グループ、デバイス、デバイス グループ
"...私たちは、よく知られており、データ漏洩の脅威を与えない abc ファイルの種類のユーザーワークフローを中断したくありません。	- エンドポイント設定: サポートされていないファイル拡張子の除外リストを作成し、ファイル拡張子 abc をリストに追加します。
"...追跡できる数を超えています。これらのファイルに機密情報があるかどうかはわかりません。そのため、それらのファイルを USB デバイスまたはネットワーク共有にコピーする前にチェックポイントを設定する必要があります。	- 一致する条件: ドキュメントをスキャンできませんでした アクション: [監査] または [デバイスでのアクティビティの制限] を選択します - [保存済みのクラウド サービス ドメインにアップロードするか、未承認のブラウザーからアクセスする] をオフにします - [特定のアクティビティに制限を適用する] を選択 - [リムーバブル USB デバイスにコピーする] を選択し 上書きしてブロックする] を選択し、[上書きしてブロック] を選択します 、未適用のBluetooth アプリを使用して印刷、コピー、または移動し、RDP を使用してコピーまたは移動 - 選択したファイルをスキャンできませんでした。 - [サポートされていないファイル拡張子にのみ制限を適用する] を選択します。

重要

この機能とファイル拡張子の違い は次 のとおりです。

• エンドポイント DLP は、 ファイル拡張子が条件のコンテンツを スキャンします。 たとえば、イベントまたはアラートに 機密情報の種類 の値を表示できます。一方、この機能ではファイルの内容はスキャンされません。
• ファイル拡張子は、 コンテンツスキャンをトリガーする条件であり、CPUやメモリなどのより高いマシンリソースを消費する可能性があり、一部のファイルの種類でアプリケーションのパフォーマンスの問題を引き起こす可能性があります。

サポートされていないファイル拡張子の除外にファイルの種類を追加する

この設定を使用して、ファイル拡張子をポリシーから除外します。

1. Microsoft Purview ポータルにサインインします。
2. [設定>Data Loss Prevention>Endpoint DLP 設定>Unsupported ファイル拡張子の除外を開きます。
3. [ ファイル拡張子の追加] を選択します。
4. 拡張機能を指定します。
5. [保存] を選択します。
6. アイテムを閉じます。

シナリオ 4 ポリシー アクションを構成する

1. Microsoft Purview ポータルにサインインします。
2. データ損失防止>Policies を開きます。
3. [ポリシーの作成] を選択し、[カテゴリ] から [カスタム] を選択し、[規制] から [カスタム ポリシー テンプレート] を選択します。
4. 新しいポリシーに名前を付け、説明を入力します。
5. [管理 ユニット] で [完全なディレクトリ] を選択します。
6. 場所のスコープを [デバイスのみ] にします。
7. 次のルールを作成します。
   1. 条件:
      1. [ ドキュメントをスキャンできませんでした] を選択します。
   2. [アクション]:
      1. [ 監査] を選択するか、デバイスでのアクティビティを制限します。
      2. [ レスリックされたクラウド サービス ドメインにアップロードする] または [許可されていないブラウザーからのアクセス] をオフにします。
      3. [ 特定のアクティビティに制限を適用する] を選択します。
      4. [ リムーバブル USB デバイスにコピーする] を選択し、[ オーバーライドでブロックする] を選択します。
      5. [ ネットワーク共有にコピー] を選択し、[ オーバーライドでブロック] を選択します。
      6. [クリップボードにコピー]、[未適用のBluetooth アプリを使用して印刷、コピー、または移動] をオフにし、RDP を使用してコピーまたは移動します。
      7. [ サポートされていないファイル拡張子にのみ制限を適用する] を選択します。
8. 保存します。
9. [ ポリシーをすぐに有効にする] を選択します。 [次へ] を選択します。
10. 設定を確認し、送信を選択します。

重要

このシナリオでは、ドキュメントを他の条件と共 にスキャンできませんでした を使用することはできません。

シナリオ 5 サポートされていない一部のファイルにコントロールを適用する

注:

シナリオ 5 サポートされていない一部のファイルにコントロールを適用することは プレビュー段階です。

この構成を使用して、監視対象ファイルの一覧に含まれていないすべてのファイルから定義するファイルの種類の一覧に、監査、オーバーライドでブロック、またはブロック コントロールを適用します。 たとえば、.mp3 ファイル (EDLP によって監視されない) などのビデオ ファイルにのみコントロールを適用できます。

重要

この機能では、次のアクションの種類のみがサポートされます。

• 制限付きクラウド サービス ドメインへのアップロード
• リムーバブル USB デバイスにコピーする
• ネットワーク共有にコピーする
• 印刷

この構成では、 ファイル拡張子グループ の組み合わせを使用し、 ドキュメントをスキャンできませんでした 。 ファイル拡張子 is 条件は使用しません。 つまり、 ファイル拡張子グループ に含めるファイルの内容は Endpoint DLP によってスキャンされないため、ポリシーの一致によって生成されるイベントやアラートに 機密情報の種類 の値は表示されません。

シナリオ 5 ポリシー意図ステートメントとマッピング

Wingtip Toys には、コントロールを適用するデバイス上のファイルの種類の一覧があります。 エンドポイント DLP の監視対象ファイルの一覧に表示されていないことがわかっています。 ユーザーがこれらのファイルを USB デバイスまたはネットワーク共有にコピーできないようにする必要があります。 彼らが試みるとき、私たちは彼らが禁止された行動を試みていることを、教育するために、彼らに知らせたいと思います。

Statement	構成に関する質問に回答し、構成マッピングを行う
"コントロールを適用するデバイス上のファイルの種類の一覧があります...."	- 管理スコープ: 完全なディレクトリ - 監視する場所: デバイス スコープ: Allusers、グループ、デバイス、デバイス グループ
"エンドポイント DLP の監視対象ファイルの一覧に含まれていないことがわかっています。	- エンドポイント設定: ファイル拡張子グループを作成する
"...ユーザーがこれらのファイルを USB デバイスまたはネットワーク共有にコピーできないようにする必要があります。	- 一致する条件: ドキュメントをスキャンできませんでした - アクション: [監査] または [デバイスでのアクティビティの制限] を選択します - 制限付きクラウド サービス ドメインへのアップロードまたは制限されていないブラウザーからのアクセスをオフにします - [特定のアクティビティに制限を適用する] を選択 - [リムーバブル USB デバイスにコピーする]、[>Block - Copy をネットワーク共有にコピーします>Block ]、[クリップボードへのコピー]、[印刷] の順にオフにします。 、未適用のBluetooth アプリを使用してコピーまたは移動し、RDP を使用してコピーまたは移動 選択ファイルをスキャンできませんでした - サポートされていないファイル拡張子にのみ制限を適用するを選択します。
「彼らが試みるとき、私たちは、彼らが禁止された行動を試みていることを、教育するために、彼らに知らせたい。	- 通知を使用して、ユーザーに通知し、機密情報の適切な使用に役立ちます。オン - エンドポイント デバイス > アクティビティが制限されているときにポリシー ヒント通知をユーザーに表示します。選択 - 通知のカスタマイズ: 選択>通知タイトル: Wingtip Toys はファイルをコピーしません>通知コンテンツ: FYI、Wingtip Toy ポリシーでは、その種類のファイルを USB デバイスまたはネットワーク共有にコピーできません。 (プレビュー)エンドポイント ポリシー ヒント通知にハイパーリンクを追加する機能

ファイル拡張子グループを作成する

現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。

1. Microsoft Purview ポータルにサインインします。
2. [設定>Data Loss Prevention>Endpoint DLP 設定>File 拡張グループを開きます。
3. [ ファイル拡張子グループの作成 ] を選択し、 グループ名を入力します。 このシナリオでは、 Non-classified file extensionsを使用します。
4. 拡張機能を指定します。
5. [保存] を選択します。
6. アイテムを閉じます。

ポリシー アクションを構成する

1. Microsoft Purview ポータルにサインインします。
2. データ損失防止>Policies を開きます。
3. [ポリシーの作成] を選択し、[カテゴリ] から [カスタム] を選択し、[規制] から [カスタム ポリシー テンプレート] を選択します。
4. 新しいポリシーに名前を付け、説明を入力します。
5. [管理 ユニット] で [完全なディレクトリ] を選択します。
6. 場所のスコープを [デバイスのみ] にします。
7. 次のルールを作成します。
   1. [条件] で。
      1. ドキュメントをスキャンできませんでした。
   2. [アクション]:
      1. [選択]: デバイス上のアクティビティを監査または制限します。
      2. クリア: 制限付きクラウド サービス ドメインにアップロードするか、許可されていないブラウザーからアクセスします。
      3. 選択: 特定のアクティビティに制限を適用します。
      4. クリア: クリップボードにコピーします。
      5. [選択]: リムーバブル USB デバイスにコピーします>Block。
      6. [選択]: ネットワーク共有>Block にコピーします。
      7. クリア: 印刷します。
      8. クリア: 未承認のBluetooth アプリを使用してコピーまたは移動します。
      9. クリア: RDP を使用してコピーまたは移動します。
      10. クリア: 制限付きアプリによるアクセス。
      11. 選択: サポートされていないファイル拡張子にのみ制限を適用します。
      12. [選択]: ファイル拡張子グループを追加 し、[ Non-classified file extensions] を選択します。
8. [ユーザー通知] を[オン] に設定します。
   1. [ エンドポイント デバイス ] で、[ アクティビティが制限されているときにポリシー ヒント通知をユーザーに表示する] を選択します。...
   2. [ 通知のカスタマイズ] を選択します。
      1. 通知タイトルに「Wingtip toys don't copy files」と入力します。
      2. 通知コンテンツに「FYI, Wingtip Toy policy doesn't let you copy that type of file to USB device or a network share」と入力します。
9. 保存します。
10. [ ポリシーをすぐに有効にする] を選択します。 [次へ] を選択します。
11. 設定を確認し、送信を選択します。

重要

このシナリオでは、このドキュメントを他の条件と共 にスキャンできませんでした 。

シナリオ 6 サポートされている一部のファイルのスキャンを無効にし、コントロールを適用する

注:

シナリオ 6 サポートされている一部のファイルのスキャンを無効にし、 プレビューでコントロールを適用します。

この構成を使用して、 監視対象 ファイルの一覧で一部のファイルの種類のスキャンを無効にすることで、ローカル リソースの消費量を節約します。 これらのファイルの種類には、オーバーライド コントロールを使用して監査、ブロック、またはブロックを適用できます。

重要

この機能では、次のアクションの種類のみがサポートされます。

• 制限付きクラウド サービス ドメインへのアップロード
• リムーバブル USB デバイスにコピーする
• ネットワーク共有にコピーする
• 印刷

シナリオ 6 ポリシー意図ステートメントとマッピング

ベローズカレッジは、すべてのユーザーのWindowsデバイス上のリソースを節約する必要があり、DLPによるファイルのスキャンを減らすことは大きな助けになります。 自動生成されているため、内容がわかっているファイルの種類の一覧があります。 これらのファイルの種類は、サポートされているファイルの種類の一覧にあります。 これらの自動生成されたファイルをスキャンする必要はありませんが、ユーザーが USB デバイスやネットワーク共有にコピーできないようにする必要があります。 彼らが試みるとき、私たちは彼らが禁止された行動を試みていることを、教育するために、彼らに知らせたいと思います。

Statement	構成に関する質問に回答し、構成マッピングを行う
"ベローズカレッジは、すべてのユーザーのWindowsデバイス上のリソースを節約する必要があり、DLPによるファイルのスキャンを減らすことは大きな助けになります..	- 管理スコープ: 完全なディレクトリ - 監視する場所: デバイス スコープ: Allusers、グループ、デバイス、デバイス グループ
"...自動生成されているため、内容がわかっているファイルの種類の一覧があります。 これらのファイルの種類は、サポートされているファイルの種類の一覧にあります。 これらの自動生成されたファイルをスキャンする必要はありません。..."	- エンドポイント設定: ファイル拡張子グループを作成する - 分類を無効にする
...ただし、ユーザーが USB デバイスやネットワーク共有にコピーできないようにする必要があります。..	- 一致する条件: ドキュメントをスキャンできませんでした アクション: [監査] または [デバイスでのアクティビティの制限] を選択します - [保存済みのクラウド サービス ドメインにアップロードするか、未許可のブラウザーからアクセスする] をオフにします - [特定のアクティビティに制限を適用する] を選択します - [リムーバブル USB デバイスにコピーする]、[>ネットワーク共有にコピーする - Copy]、[ネットワーク共有へのコピー>Block] の順に選択します 、未適用のBluetooth アプリを使用してコピーまたは移動し、RDP を使用してコピーまたは移動 - 選択ファイルをスキャンできませんでした。
"...彼らが試みるとき、私たちは、彼らが禁止された行動を試みていることを、教育するために、彼らに知らせたいと思います。	- 通知を使用して、ユーザーに通知し、機密情報の適切な使用について教育するのに役立ちます: オン - エンドポイント デバイス > アクティビティが制限されているときにユーザーにポリシー ヒント通知を表示します。.: 選択 - 通知をカスタマイズする: 選択>通知タイトル: ベローズ カレッジ IT はファイルをコピーしません >通知コンテンツ: FYI、ベローズカレッジのデータ損失防止ポリシーでは、その種類のファイルをUSBデバイスまたはネットワーク共有にコピーすることはできません

ファイル拡張子グループを作成する

現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。

1. Microsoft Purview ポータルにサインインします。
2. [設定>Data Loss Prevention>Endpoint DLP 設定>File 拡張グループを開きます。
3. [ ファイル拡張子グループの作成 ] を選択し、 グループ名を入力します。 このシナリオでは、 Student Class Registration file extensionsを使用します。
4. 拡張機能を指定します。
5. [保存] を選択します。
6. アイテムを閉じます。

分類を無効にする

エンドポイント DLP 分類から特定のファイル拡張子を除外するには、この設定を使用します。

1. Microsoft Purview ポータルにサインインします。
2. [設定>Data Loss Prevention>Endpoint DLP 設定>Disable 分類を開きます。
3. [ ファイル拡張子の追加または編集] を選択します。
4. 拡張機能を指定します。
5. [保存] を選択します。
6. アイテムを閉じます。

ポリシー アクションを構成する

1. Microsoft Purview ポータルにサインインします。
2. データ損失防止>Policies を開きます。
3. [ポリシーの作成] を選択し、[カテゴリ] から [カスタム] を選択し、[規制] から [カスタム ポリシー テンプレート] を選択します。
4. 新しいポリシーに名前を付け、説明を入力します。
5. [管理 ユニット] で [完全なディレクトリ] を選択します。
6. 場所のスコープを [デバイスのみ] にします。
7. 次のルールを作成します。
   1. 条件:
      1. ドキュメントをスキャンできませんでした。
   2. [アクション]:
      1. [選択]: デバイス上のアクティビティを監査または制限します。
      2. 選択: 特定のアクティビティに制限を適用します。
      3. クリア: クリップボードにコピーします。
      4. [選択]: リムーバブル USB デバイスにコピーします>Block。
      5. [選択]: ネットワーク共有>Block にコピーします。
      6. クリア: 印刷します。
      7. クリア: 未承認のBluetooth アプリを使用してコピーまたは移動します。
      8. クリア: RDP を使用してコピーまたは移動します。
      9. クリア: 制限付きアプリによるアクセス。
      10. 選択: サポートされていないファイル拡張子にのみ制限を適用します。
      11. [選択]: ファイル拡張子グループを追加 し、[ Student Class Registration file extensions] を選択します。
   3. 保存します。
8. [今すぐオンにする] を選択します。 [次へ] を選択します。
9. 設定を確認し、送信を選択します。

重要

この場合、このドキュメントを他の条件と共 にスキャンできませんでした 。

シナリオ 7 クレジット カード番号を使用して Power BI レポートをブロックする

重要

これは仮定の値を持つ架空のシナリオです。 これは説明のみを目的としています。 独自の機密情報の種類、秘密度ラベル、配布グループ、ユーザーを置き換える必要があります。

シナリオ 7 の前提条件と前提条件

このシナリオでは、 機密性の高い内部 秘密度ラベルを使用するため、秘密度ラベルを作成して公開する必要があります。 詳細については、次を参照してください。

• 秘密度ラベルの詳細
• 秘密度ラベルの使用を開始する
• 機密ラベルとそのポリシーを作成して構成する

この手順では、アラートを使用します。「データ損失防止アラートの概要」を参照してください。

シナリオ 7 ポリシー意図ステートメントとマッピング

外部ユーザーがクレジット カード番号を含むレポートからブロックする必要があります。ただし、データに "極秘 - 内部" の秘密度のラベルが付いている場合を除き、保護ポリシーによってセキュリティ グループの選択へのアクセスが制限されます。 セマンティック モデルがブロックされ、データ所有者が制限が行われたことを認識するたびに、コンプライアンス管理者に通知する必要があります。 また、内部ユーザーは、データが機密性が高く、organizationの外部で共有してはならないことを認識してもらいたいと考えています。

Statement	構成に関する質問に回答し、構成マッピングを行う
"外部ユーザーをブロックする必要があります。..	- 監視する場所: Fabric と Power BI - 管理スコープ: 完全なディレクトリ - アクション: Microsoft 365 の場所のコンテンツへのアクセスを制限または暗号化する>ユーザーがメールを受信したり、共有 SharePoint、OneDrive、Teams ファイルにアクセスできないようにしたり、Power BI アイテムにアクセスしたりできないようにしたりします>Organization
"...クレジット カード番号を含むレポートから...	- 監視対象: カスタム テンプレートを使用 - 一致する条件: それを編集して、クレジット カード番号の機密情報の種類を追加します。
"...ただし、データに 非常に機密性の高い内部 秘密度ラベルが付いている場合を除きます。..	- 条件グループの構成: ブール値 AND - 一致の条件を使用して、最初の条件に結合された入れ子になったブール値 NOT 条件グループを作成します。これを編集して 、極秘 - 内部 秘密度ラベルを追加します。
"セマンティック モデルがブロックされるたびに、コンプライアンス管理者に通知する必要があります。	-インシデント レポート: ルールの一致が発生したときに管理者にアラートを送信する: オン - アクティビティがルールと一致するたびにアラートを 送信します。
"...データ所有者は、制限が行われたことに注意してください。 また、内部ユーザーは、データが非常に機密性が高く、organizationの外部で共有してはならないことを認識する必要があります。	- ユーザー通知: オン - Microsoft 365 ファイルと Microsoft Fabric アイテム: ポリシー ヒントまたは電子メール通知を使用Office 365サービスのユーザーに通知する: 選択 - ポリシー ヒント: ポリシー ヒントのテキストをカスタマイズする: 選択済み。 テキスト ボックスに、機密性の高いデータの共有を管理するルールを説明するテキストを追加します。

シナリオ 7 のポリシーを作成する手順

重要

このポリシー作成手順では、既定の include/exclude 値をそのまま使用し、ポリシーをオフのままにします。 ポリシーをデプロイするときに、これらを変更します。

Microsoft Purview ポータル

1. Microsoft Purview ポータルにサインインします。
2. データ損失防止ソリューションを開き、[ポリシー] に移動します。
3. [ポリシーの作成] を選択します。
4. [カテゴリ] の一覧から [カスタム] を選択します。
5. [規制] の一覧から [カスタム ポリシー] を選択します。
6. [次へ]を選択します。
7. ポリシーに 名前 と説明を付 けます。 ポリシー意図ステートメントは、ここで使用できます。

   重要

   ポリシーの名前を変更できません

8. [次へ] を選択します。
9. [管理 ユニット] の下の [完全なディレクトリ] の既定値をそのまま使用します。
10. [次へ]を選択します。
11. ポリシーを適用する場所を選択します。 [Fabric] と [Power BI ワークスペース] の場所のみを選択します。
12. [次へ]を選択します。
13. [ ポリシー設定の定義 ] ページで、[ 高度な DLP ルールの作成またはカスタマイズ ] オプションが既に選択されている必要があります。
14. [次へ]を選択します。
15. [ + ルールの作成] を選択します。 ルールに名前を付け、説明を入力します。
16. [条件] で、[条件の追加] を選択>Content に含まれる>追加>[情報の種類] を選択します。
17. クレジット カード番号に適用される情報の種類を選択します。
18. [追加] を選択します。
19. 次に、[ コンテンツに含まれるコンテンツ ] セクションの下にある [ グループの追加] を選択します。
20. ブール演算子は AND のままにし、トグルを NOT に設定します。
21. トグルの下の行で、[ Add condition>Content contains>Add>Sensitivity ラベルを選択します。
22. 秘密度ラベル [ 機密性の高い - 内部] を選択します。
23. [追加] を選択します。
24. [アクション] で、[アクションの追加>Microsoft 365 の場所のコンテンツへのアクセスまたは暗号化を選択します>ユーザーがメールを受信したり、共有 SharePoint、OneDrive、Teams ファイルにアクセスしたりできないようにしたり、Power BI アイテムにアクセスしたり>organization外のユーザーのみをブロックします。
25. [ ユーザー通知] で、トグルを [オン] に設定します。
26. [ポリシー ヒントまたは電子メール通知を使用してサービスOffice 365ユーザーに通知する>ポリシー ヒントシステムをカスタマイズする] を選択します。
27. レポート内のデータの機密性が高い場合は、organizationの外部で共有しないことを説明するポリシー ヒントを提供します。
28. [ インシデント レポート] で、[管理者のアラートとレポートでこの重大度レベルを使用する ] を [高] に設定します。
29. [ ルールの一致が発生したときに管理者にアラートを送信する ] トグルが [オン] に設定されていることを確認します。
30. [アクティビティが選択した ルールに一致するたびにアラートを送信する ] ラジオ ボタンを確認します。
31. 保存] を選択します。
32. ルールを確認し、[ 次へ] を選択します。
33. [ シミュレーション モードでポリシーを実行する ] オプション ボタンと [ シミュレーション モードでポリシー ヒントを表示する] チェック ボックスがオンになっていることを確認します。
34. [次へ]を選択します。
35. ポリシーを確認し、[送信] を選択 します。
36. [完了] を選択します。

展開

ポリシーのデプロイが成功することは、ユーザーアクションに対する制御を適用するためにポリシーを環境に取り込むだけではありません。 無計画で急いでデプロイすると、ビジネス プロセスに悪影響を及ぼし、ユーザーを困らせる可能性があります。 これらの結果により、organizationでの DLP テクノロジの受け入れと、それが促進する安全な動作が遅くなります。 最終的に、機密性の高いアイテムの安全性を長期的に低下させる。

デプロイを開始する前に、 ポリシーのデプロイを読み取っていることを確認してください。 ポリシー展開プロセスの概要と一般的なガイダンスを提供します。

このセクションでは、運用環境でポリシーを管理するために協調して使用する 3 種類のコントロールについて詳しく説明します。 ポリシーの作成時だけでなく、いつでも変更できることに注意してください。

デプロイ管理の 3 つの軸

ポリシーの展開プロセス、スコープ、ポリシーの状態、アクションを制御するために使用できる軸は 3 つあります。 最も影響の少ない/シミュレーション モード から完全な適用まで、ポリシーのデプロイには常に増分アプローチを取る必要があります。

推奨されるデプロイ制御の構成

ポリシーの状態が	ポリシー スコープは、	ポリシー アクションの影響
シミュレーション モードでポリシーを実行する	場所のポリシースコープは狭くすることも、広くすることもできます	- 任意のアクション を構成できます- 構成されたアクション によるユーザーの影響なし - アラートが表示され、アクティビティを追跡できる管理
ポリシーヒントを使用してシミュレーション モードでポリシーを実行する	ポリシーは、パイロット グループを対象としてスコープを設定し、ポリシーを調整するときにスコープを拡張する必要があります	- アクション を構成できます。 構成されたアクション によるユーザーの影響なし - ユーザーはポリシーヒントとアラートを受け取ることができます - アラートを表示し、アクティビティを追跡管理
オンにする	対象となるすべての場所インスタンス	- 構成されたすべてのアクションがユーザー アクティビティに適用 - アラートが表示され、アクティビティを追跡できる管理
オフにしておく	該当なし	該当なし

状態コード

状態は、ポリシーのロールアウトに使用する主なコントロールです。 ポリシーの作成が完了したら、ポリシーの状態を [オフにする] に設定します。 ポリシー構成に取り組んでいる間、および最終的なレビューを受けてサインオフするまで、この状態のままにしておく必要があります。 状態は次のように設定できます。

• シミュレーション モードでポリシーを実行する: ポリシー アクションは適用されません。イベントは監査されます。 この状態では、DLP シミュレーション モードの概要と DLP アクティビティ エクスプローラー コンソールでポリシーの影響を監視できます。
• シミュレーション モードでポリシーを実行し、シミュレーション モードでポリシーヒントを表示する: アクションは適用されませんが、ユーザーはポリシーヒントと通知メールを受け取って意識を高め、教育します。
• すぐにオンにする: これは完全適用モードです。
• オフのままにする: ポリシーは非アクティブです。 デプロイ前にポリシーを開発および確認するときに、この状態を使用します。

ポリシーの状態はいつでも変更できます。

アクション

アクションは、機密性の高いアイテムに対するユーザー アクティビティに対するポリシーの処理です。 これらはいつでも変更できるため、影響の少ない [ 許可 ] (デバイスの場合) と [監査のみ ] (その他のすべての場所) から開始し、監査データを収集して確認し、それを使用してポリシーを調整してから、より制限の厳しいアクションに移行できます。

• 許可: ユーザー アクティビティの実行が許可されているため、ビジネス プロセスは影響を受けなくなります。 監査データが取得され、ユーザーの通知やアラートはありません。

  注:

  [許可] アクションは、[デバイス] の場所にスコープが設定されているポリシーでのみ使用できます。

• 監査のみ: ユーザー アクティビティの実行が許可されているため、ビジネス プロセスには影響しません。 監査データを取得し、通知とアラートを追加して認識を高め、ユーザーが行っていることが危険な動作であることを知らせることができます。 organizationが後でさらに制限の厳しいアクションを適用する予定の場合は、ユーザーにもその旨を伝えることができます。

• オーバーライドを使用してブロックする: ユーザー アクティビティは既定でブロックされます。 イベントを監査し、アラートと通知を発生させることができます。 これはビジネス プロセスに影響を与えますが、ユーザーにはブロックをオーバーライドし、オーバーライドの理由を提供するオプションが与えられます。 ユーザーから直接フィードバックを受け取るため、このアクションは誤検知の一致を特定するのに役立ちます。これは、ポリシーをさらに調整するために使用できます。

  注:

  Microsoft 365 の Exchange Online と SharePoint の場合、オーバーライドはユーザー通知セクションで構成されます。

• ブロック: ユーザー アクティビティは、何があってもブロックされます。 イベントを監査し、アラートと通知を発生させることができます。

ポリシーの範囲

すべてのポリシーの範囲は、Exchange、Microsoft 365 の SharePoint、Teams、デバイスなど、1 つ以上の場所に設定されます。 既定では、場所を選択すると、その場所のすべてのインスタンスがスコープに該当し、いずれも除外されません。 場所のインクルード/除外オプションを構成することで、ポリシーが適用される場所のインスタンス (サイト、グループ、アカウント、配布グループ、メールボックス、デバイスなど) をさらに絞り込むことができます。 スコープを含める/除外するオプションの詳細については、「 場所」を参照してください。

一般に、スコープの柔軟性は高くなりますが、ポリシーはアクションが実行されないため、 シミュレーション モードの状態でポリシーを実行 します。 最初に、ポリシーを設計したスコープだけを使用するか、広範に移動して、ポリシーが他の場所の機密性の高いアイテムに与える影響を確認できます。

次に、状態を [ シミュレーション モードでポリシーを実行する] に変更し、ポリシーのヒントを表示する場合は、フィードバックを提供できるパイロット グループにスコープを絞り込み、オンボード時に他のユーザーのリソースとなる早期導入者になる必要があります。

ポリシーを [すぐに有効にする] に移動すると、ポリシーの設計時に意図したすべての場所のインスタンスを含むようにスコープを広げます。

ポリシーデプロイの手順

1. ポリシーを作成し、その状態を [オフにする] に設定したら、関係者と最終的なレビューを行います。
2. 状態を [シミュレーション モードでポリシーを実行する] に変更します。 場所のスコープは、この時点で広範囲に及ぶ可能性があるため、複数の場所にわたるポリシーの動作に関するデータを収集したり、単一の場所から開始したりできます。
3. 行動データに基づいてポリシーを調整し、ビジネスの意図をより適切に満たすようにします。
4. 状態を [ シミュレーション モードでポリシーを実行する] に変更し、ポリシーのヒントを表示します。 必要に応じてパイロット グループをサポートするように場所のスコープを絞り込み、そのパイロット グループにポリシーが最初にロールアウトされるように、インクルード/除外を使用します。
5. 必要に応じて、ユーザーのフィードバックとアラートとイベント データを収集し、ポリシーとプランをさらに調整します。 ユーザーが発生するすべての問題に必ず対処してください。 ほとんどの場合、ユーザーは問題に遭遇し、設計フェーズで考えていなかったことについて質問を投げかけます。 この時点でスーパー ユーザーのグループを開発します。 ポリシーの範囲が広がり、オンボードするユーザーが増えるにつれて、他のユーザーをトレーニングするのに役立つリソースになる可能性があります。 デプロイの次の段階に進む前に、ポリシーが制御目標を達成していることを確認してください。
6. 状態を [すぐにオンにする] に変更します。 ポリシーは完全にデプロイされます。 DLP アラートと DLP アクティビティ エクスプローラーを監視します。 アラートに対処します。