エンドポイント データ損失防止の概要
エンドポイントのデータ損失防止 (Endpoint DLP) は、Microsoft 365 サービス全体で機密アイテムを検出して保護する Microsoft Purview データ損失防止 (DLP) スイートの機能の一部です。 Microsoft のすべての DLP オファリングの詳細については、「 データ損失防止の詳細」を参照してください。 エンドポイント DLP の詳細については、「エンドポイント データ損失防止の説明」を参照してください。
Microsoft Endpoint DLP を使用すると、3 つの最新リリースバージョンのいずれかを実行している オンボード Windows 10 および Windows 11 および オンボード macOS デバイス を監視できます。 デバイスがオンボードされると、DLP は機密性の高いアイテムがいつ使用され、共有されているかを検出します。 これにより、それらが適切に使用および保護されていることを確認し、危険な動作を防ぐために必要な可視性と制御が提供されます。
ヒント
Microsoft Copilot for Security の使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を探ります。 Microsoft Purview の Microsoft Copilot for Security の詳細については、こちらをご覧ください。
はじめに
SKU /サブスクリプションライセンス
Endpoint DLP を開始する前に、「Microsoft 365サブスクリプション」とアドオンを確認しなければなりません。 Endpoint DLP 機能にアクセスして使用するには、次のいずれかのサブスクリプションまたはアドオンが必要です。
- Microsoft 365 E5
- Microsoft 365 A5 (EDU)
- Microsoft 365 E5 コンプライアンス
- Microsoft 365 A5 コンプライアンス
- Microsoft 365 E5 の情報保護とガバナンス
- Microsoft 365 A5 の情報保護とガバナンス
ライセンスの詳細については、情報保護に関する Microsoft 365 ライセンス ガイダンスに関するページを参照してください。
Windows 10 または Windows 11 デバイスでプロキシを構成する
Windows 10 または Windows 11 デバイスをオンボードしている場合は、デバイスがクラウド DLP サービスと通信できることを確認します。 詳細については、「 Information Protection のデバイス プロキシとインターネット接続設定を構成する」を参照してください。
Windows 10 および Windows 11 のオンボード手順
Windows デバイスのオンボードの一般的な概要については、以下を参照してください。
Windows デバイスのオンボードに関する具体的なガイダンスについては、以下を参照してください。
| 記事 | 説明 |
|---|---|
| グループ ポリシーを使用して Windows 10 または 11 デバイスをオンボードする | グループ ポリシーを使用して構成パッケージをデバイスに展開します。 |
| Microsoft Endpoint Configuration Manager を使用した Windows 10 または 11 デバイスのオンボード | Microsoft Endpoint Configuration Manager (現在のブランチ) バージョン 1606 または Microsoft Endpoint Configuration Manager (現在のブランチ) バージョン 1602 以前のいずれかを使用して、構成パッケージをデバイスに展開できます。 |
| Microsoft Intune を使用した Windows 10 または 11 デバイスのオンボード | Microsoft Intune を使用して構成パッケージをデバイスに展開します。 |
| ローカル スクリプトを使用した Windows 10 または 11 デバイスのオンボード | ローカル スクリプトを使用してエンドポイントに構成パッケージを展開する方法について説明します。 |
| 非永続的な仮想デスクトップ インフラストラクチャ (VDI) デバイスのオンボード | 構成パッケージを使用して VDI デバイスを構成する方法について説明します。 |
仮想化された環境に対するエンドポイント DLP のサポート
Microsoft Purview コンプライアンス ポータルでは、仮想マシンを監視対象デバイスとしてオンボードできます。 上記のオンボード手順に変更はありません。
次の表に、仮想化環境でサポートされている仮想オペレーティング システムを示します。
| 仮想化 プラットフォーム |
Windows 10 | Windows 11 | Windows Server 2019 | Windows Server 2022 21H2、22H2、データ センター |
|---|---|---|---|---|
| Azure 仮想デスクトップ (AVD) |
|
|
単一セッションとマルチセッションがサポートされています。 | サポート |
| Windows 365 |
|
|
該当なし | 該当なし |
| Citrix Virtual Apps and Desktops 7 (2209 以降) |
|
|
サポート | サポートされている |
| Amazon ワークスペース |
|
該当なし |
|
該当なし |
| Hyper-V |
|
|
ハイブリッド AD 参加でサポートされる | ハイブリッド AD 参加でサポートされる |
既知の問題
- ブラウザーを使用して、Azure Virtual Desktop 環境で クリップボードへのコピー と エンドポイント DLP の適用を 監視することはできません。 ただし、同じエグレス操作が エンドポイント DLP によって監視され、リモート デスクトップ セッション (RDP) 経由のアクションが監視されます。
- Citrix XenApp は、制限付きアプリ監視によるアクセスをサポートしていません。
制限事項
- 仮想化環境での USB の処理: USB ストレージ デバイスはネットワーク共有として扱われます。 USB デバイスへのコピーを監視するには、ネットワーク共有へのコピー アクティビティを含める必要があります。 仮想デバイスとインシデント アラートのすべてのアクティビティ エクスプローラー イベントには、USB イベント へのすべてのコピーに対するネットワーク共有へのコピー アクティビティが表示されます。
macOS のオンボード手順
macOS デバイスのオンボードの一般的な概要については、以下を参照してください。
macOS デバイスのオンボードに関する具体的なガイダンスについては、以下を参照してください。
| 記事 | 説明 |
|---|---|
| Intune | Intune を通じて管理される macOS デバイスの場合 |
| Microsoft Defender for Endpoint のお客様向け Intune | Intune を通じて管理され、Microsoft Defender for Endpoint (MDE) が展開されている macOS デバイスの場合 |
| JAMF Pro) | JAMF Pro を通じて管理される macOS デバイスの場合 |
| MICROSOFT Defender for Endpoint のお客様向け JAMF Pro) | JAMF Pro を通じて管理され、Microsoft Defender for Endpoint (MDE) が展開されている macOS デバイスの場合 |
デバイスがオンボードされたら、デバイスの一覧に表示され、アクティビティ エクスプローラーへの監査アクティビティのレポートを開始する必要があります。