Fabric でデータ損失防止ポリシーを構成する
Fabric のデータ損失防止ポリシーは、サポートされている項目の種類の機密データのアップロードを検出することで、組織が機密データを保護するのに役立ちます。 ポリシー違反が発生すると、データ所有者はこれを確認し、アラートをデータ所有者とセキュリティ管理者に送信し、違反を調査できます。 詳細については、Fabric のデータ損失防止ポリシーの概要に関する記事を参照してください。
この記事では、Fabric の Purview データ損失防止 (DLP) ポリシーの構成方法について説明します。 対象ユーザーは、組織内のデータ損失防止を担当するコンプライアンス管理者です。
前提条件
DLP ポリシーの作成に使用するアカウントは、次のいずれかの役割グループのメンバーである必要があります
- コンプライアンス管理者
- コンプライアンス データ管理者
- Information Protection
- Information Protection 管理者
- セキュリティ管理者
SKU およびサブスクリプションのライセンス
Fabric と Power BI で DLP を使い始める前に、Microsoft 365 サブスクリプションを確認する必要があります。 DLP ルールを設定する管理者アカウントには、次のいずれかのライセンスが割り当てられている必要があります。
- Microsoft 365 E5
- Microsoft 365 E5 Compliance
- Microsoft 365 E5 Information Protection & Governance
- Purview の容量
Fabric の DLP ポリシーを構成する
Microsoft Purview ポータルでデータ損失防止ポリシーのページを開き、[+ ポリシーの作成] を選択します。
Note
[+ ポリシーの作成] オプションは、前提条件が満たされている場合にのみ使用できます。
[カスタム] カテゴリを選択し、[カスタム ポリシー] テンプレートを選択します。 終わったら、 [次へ] を選択します。
Note
現在、他のカテゴリまたはテンプレートはサポートされていません。
ポリシーに名前を指定し、わかりやすい説明を入力します。 終わったら、 [次へ] を選択します。
[Assign admin units] (管理単位の割り当て) ページに移動したら、[次へ] を選択します。 管理者ユニットは、Fabric と Power BI の DLP ではサポートされていません。
DLP ポリシーの場所として [Fabric と Power BI のワークスペース] を選択します。 Fabric と Power BI の DLP ポリシーではこの場所のみがサポートされるため、他の場所はすべて無効になります。
既定では、ポリシーはすべてのワークスペースに適用されます。 ただし、ポリシーに含める特定のワークスペースと、ポリシーから除外するワークスペースを指定できます。 対象の、または除外する特定のワークスペースを指定するには、[編集] を選択します。
Note
DLP アクションは Fabric または Premium の容量でホストされているワークスペースのみでサポートされます。
ポリシーの DLP の場所として Fabric と Power BI を有効にし、ポリシーが適用されるワークスペースを選択したら、[次へ] を選択します。
[ポリシー設定の定義] ページが表示されます。 ポリシーの定義を開始するには、[詳細な DLP ルールを作成またはカスタマイズします] を選択します。
終わったら、 [次へ] を選択します。
[詳細な DLP ルールのカスタマイズ] ページで、新しいルールの作成を開始するか、既存のルールの編集のどちらかを選択できます。 [ルールの作成] を選択します。
[ルールの作成] ページが表示されます。 [ルールの作成] ページで、ルールの名前と説明を入力し、次の画像に示すように、他のセクションを構成します。
条件
[条件] セクションでは、サポートされている項目の種類にポリシーが適用される条件を定義します。 条件はグループに作成されます。 グループを使用すると、複雑な条件を作成できます。
条件セクションを開きます。 単純または複雑な条件を作成する場合は [条件の追加] を選択し、複雑な条件の作成を開始する場合は [グループの追加] を選択します。
条件ビルダーの使用について詳しくは、「複雑なルール設計」を参照してください。
[条件の追加] を選択した場合は、次に [コンテンツに含まれている]、[追加] の順に選択し、[機密情報の種類] または [秘密度ラベル] のいずれかを選択します。
[グループの追加] で開始した場合は、最終的に [条件の追加] に移動するので、その後上記の手順に従って続行します。
[機密情報の種類] または [秘密度ラベル] のいずれかを選択すると、サイドバーに表示されるリストから、検出する特定の秘密度ラベルまたは機密情報の種類を選択できます。
機密情報の種類を条件として選択する場合、条件が満たされていると見なすためには、その種類のインスタンスをいくつ検出する必要があるかを指定する必要があります。 1 から 500 のインスタンスの間で指定できます。 500 個以上の一意のインスタンスを検出したい場合は、範囲として '500' から 'Any' を入力します。 照合アルゴリズムで信頼度を選択することもできます。 信頼レベルの横にある情報ボタンを選択すると、各レベルの定義が表示されます。
グループには、さらに秘密度ラベルまたは機密情報の種類を追加できます。 グループ名の右側で、[これらのいずれか] または [これらのすべて] を指定できます。 これにより、条件の保持には、グループ内の項目のすべて、またはいずれか、のどちらの一致が必要かが決定されます。 複数の秘密度ラベルを指定した場合は、Fabric と Power BI の項目に複数のラベルを適用できないため、[そのいずれか] しか選択できません。
次の画像は、2 つの秘密度ラベル条件を含むグループ (既定) を示しています。 [これらのいずれか] のロジックは、グループ内のいずれかの秘密度ラベルの一致が、そのグループに対して "true" であることを意味します。
[クイック サマリー] トグルを使用して、ルールのロジックを文にまとめることができます。
複数のグループを作成し、AND または OR のロジックを使用してグループ間のロジックを制御することができます。
次の画像は、OR ロジックによって結合された 2 つのグループを含むルールを示しています。
クイック要約として表示されるのと同じルールを次に示します。
アクション
ポリシーをトリガーする項目へのアクセスをポリシーで制限する場合は、[Microsoft 365 の場所のコンテンツへのアクセス制限または暗号化] セクションを展開し、[ユーザーがメールを受信できないようにする、または共有の SharePoint、OneDrive、Teams ファイル、Power BI 項目にアクセスできないようにする] を選択します。 その後、すべてのユーザーをブロックするか、組織内の一部のユーザーのみをブロックするかを選択します。
アクセス制限のアクションを有効にすると、[ユーザーのオーバーライド] が自動的に許可されます。
Note
アクセス制限のアクションはセマンティック モデルにのみ適用されます。
ユーザー通知
[ユーザー通知] セクションでは、ポリシー ヒントを構成します。 トグルをオンにして、[ポリシー ヒントまたは電子メール通知を使用して Office 365 サービスのユーザーに通知する] チェック ボックスをオンにしてから、[ポリシー ヒント] チェック ボックスをオンにします。 表示されるテキスト ボックスにポリシー ヒントを記述します。
ユーザーのオーバーライド
ユーザー通知を有効にし、[ポリシー ヒントを使用して Office 365 サービスのユーザーに通知する] チェック ボックスをオンにした場合、DLP ポリシー違反がある項目の所有者 (所有者とは項目が配置されているワークスペースの管理者またはメンバー ロールを持つユーザー) は、データ損失防止ポリシーのサイド ペイン (ポリシー ヒントのボタンまたはリンクから表示できます) 上で違反に対処することができます。 応答オプションの選択は、[ユーザーのオーバーライド] セクションで行った選択によって異なります。
次にこれらのオプションについて説明します。
Allow overrides from M365 services. (M365 サービスからのオーバーライドを許可する。) Allows users in Power BI, Exchange, SharePoint, OneDrive, and Teams to override policy restrictions (Power BI、Exchange、SharePoint、OneDrive、Teams ユーザーによるポリシー制限のオーバーライドを許可する) (ユーザー通知を有効にし、[Notify users in Office 365 service with a policy tip] (Office 365 サービスのユーザーにポリシーのヒントを通知する) チェックボックスをオンにすると自動的にオンになります): ユーザーは、擬陽性であると問題を報告するか、ポリシーをオーバーライドすることができます。
Require a business justification to override (オーバーライドするビジネス上の正当性を要求する): ユーザーは、擬陽性であると問題を報告するか、ポリシーをオーバーライドすることができます。 オーバーライドする場合は、ビジネス上の正当性を示す必要があります。
Override the rule automatically if they report it as a false positive (擬陽性と報告された場合は自動的に規則をオーバーライドする): ユーザーは擬陽性であると問題を報告して自動的にポリシーをオーバーライドするか、擬陽性と報告せずにポリシーをオーバーライドすることができます。
[Override the rule automatically if they report it as a false positive] (擬陽性と報告された場合は自動的に規則をオーバーライドする) と [Require a business justification to override] (オーバーライドするビジネス上の正当性を要求する) の両方をオンにすると、ユーザーは擬陽性であると問題を報告して自動的にポリシーをオーバーライドするか、擬陽性と報告せずにポリシーをオーバーライドすることができますが、ビジネス上の正当性は示す必要があります。
ポリシーをオーバーライドすると、以後、ポリシーで項目の機密データがチェックされなくなります。
擬陽性であると問題を報告するということは、ポリシーで非機密データが機密データであると誤認識されたとデータ所有者が考えていることを意味します。 擬陽性を使って規則を微調整できます。
ユーザーが実行したアクションはレポートのためにログされます。
インシデント レポート
このポリシーから生成されたアラートに表示される秘密度レベルを割り当てます。 管理者への電子メール通知を有効 (既定) または無効にし、電子メール通知のユーザーまたはグループを指定して、通知が発生するタイミングの詳細を構成します。
追加オプション
考慮事項と制限事項
- Fabric DLP ポリシーでは DLP ポリシー テンプレートはまだサポートされていません。 Fabric の DLP ポリシーを作成する場合は、[カスタム ポリシー] オプションを選択します。
- Fabric DLP ポリシー ルールは現在、条件として秘密度ラベルと機密情報の種類をサポートしています。