エンドポイント データ損失防止の概要
エンドポイントのデータ損失防止 (Endpoint DLP) は、Microsoft 365 サービス全体で機密アイテムを検出して保護する Microsoft Purview データ損失防止 (DLP) スイートの機能の一部です。 Microsoft のすべての DLP オファリングの詳細については、「 データ損失防止の詳細」を参照してください。 エンドポイント DLP の詳細については、「エンドポイント データ損失防止の説明」を参照してください。
Microsoft Endpoint DLP を使用すると、オンボードされたWindows 10、および 3 つの最新リリースバージョンのいずれかを実行しているWindows 11およびオンボードされた macOS デバイスを監視できます。 デバイスがオンボードされると、DLP は機密性の高いアイテムがいつ使用され、共有されているかを検出します。 これにより、それらが適切に使用および保護されていることを確認し、危険な動作を防ぐために必要な可視性と制御が提供されます。
ヒント
Microsoft Security Copilotの使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を検討します。 Microsoft Purview のMicrosoft Security Copilotの詳細については、こちらをご覧ください。
はじめに
SKU /サブスクリプションライセンス
Endpoint DLP を開始する前に、「Microsoft 365サブスクリプション」とアドオンを確認しなければなりません。 Endpoint DLP 機能にアクセスして使用するには、次のいずれかのサブスクリプションまたはアドオンが必要です。
- Microsoft 365 E5
- Microsoft 365 A5 (EDU)
- Microsoft 365 E5 コンプライアンス
- Microsoft 365 A5 コンプライアンス
- Microsoft 365 E5 の情報保護とガバナンス
- Microsoft 365 A5 の情報保護とガバナンス
ライセンスの詳細については、情報保護に関する Microsoft 365 ライセンス ガイダンスに関するページを参照してください。
Windows 10 または Windows 11 デバイスでプロキシを構成する
Windows 10またはWindows 11デバイスをオンボードする場合は、デバイスがクラウド DLP サービスと通信できることを確認するチェック。 詳細については、「Information Protectionのデバイス プロキシとインターネット接続設定を構成する」を参照してください。
Windows 10 および Windows 11 のオンボード手順
Windows デバイスのオンボードの一般的な概要については、以下を参照してください。
Windows デバイスのオンボードに関する具体的なガイダンスについては、以下を参照してください。
| 記事 | 説明 |
|---|---|
| グループ ポリシーを使用して Windows 10 または 11 デバイスをオンボードする | グループ ポリシーを使用して構成パッケージをデバイスに展開します。 |
| Microsoft Endpoint Configuration Manager を使用した Windows 10 または 11 デバイスのオンボード | Microsoft Endpoint Configuration Manager (現在のブランチ) バージョン 1606 または Microsoft Endpoint Configuration Manager (現在のブランチ) バージョン 1602 以前のいずれかを使用して、構成パッケージをデバイスに展開できます。 |
| Microsoft Intune を使用した Windows 10 または 11 デバイスのオンボード | Microsoft Intune を使用して構成パッケージをデバイスに展開します。 |
| ローカル スクリプトを使用した Windows 10 または 11 デバイスのオンボード | ローカル スクリプトを使用してエンドポイントに構成パッケージを展開する方法について説明します。 |
| 非永続的な仮想デスクトップ インフラストラクチャ (VDI) デバイスのオンボード | 構成パッケージを使用して VDI デバイスを構成する方法について説明します。 |
仮想化された環境に対するエンドポイント DLP のサポート
仮想マシンは、Microsoft Purview コンプライアンス ポータルで監視対象デバイスとしてオンボードできます。 上記のオンボード手順に変更はありません。
次の表に、仮想化環境でサポートされている仮想オペレーティング システムを示します。
| 仮想化 プラットフォーム |
Windows 10 | Windows 11 | Windows Server 2019 | Windows Server 2022 21H2、22H2、データ センター |
|---|---|---|---|---|
| Azure 仮想デスクトップ (AVD) |
|
|
単一セッションとマルチセッションがサポートされています。 | サポート |
| Windows 365 |
|
|
該当なし | 該当なし |
| Citrix Virtual Apps and Desktops 7 (2209 以降) |
|
|
サポートされている | サポートされている |
| Amazon ワークスペース |
|
該当なし |
|
該当なし |
| Hyper-V |
|
|
ハイブリッド AD 参加でサポートされる | ハイブリッド AD 参加でサポートされる |
既知の問題
- ブラウザーを使用して、Azure Virtual Desktop 環境で クリップボードへのコピー と エンドポイント DLP の適用を 監視することはできません。 ただし、同じエグレス操作が エンドポイント DLP によって監視され、リモート デスクトップ セッション (RDP) 経由のアクションが監視されます。
- Citrix XenApp は、制限付きアプリ監視によるアクセスをサポートしていません。
制限事項
- 仮想化環境での USB の処理: USB ストレージ デバイスはネットワーク共有として扱われます。 USB デバイスへのコピーを監視するには、ネットワーク共有へのコピー アクティビティを含める必要があります。 仮想デバイスとインシデント アラートのすべてのアクティビティ エクスプローラー イベントには、USB イベント へのすべてのコピーに対するネットワーク共有へのコピー アクティビティが表示されます。
macOS のオンボード手順
macOS デバイスのオンボードの一般的な概要については、以下を参照してください。
macOS デバイスのオンボードに関する具体的なガイダンスについては、以下を参照してください。
| 記事 | 説明 |
|---|---|
| Intune | Intune を通じて管理される macOS デバイスの場合 |
| Microsoft Defender for Endpointのお客様向けのIntune | Intune を通じて管理され、Microsoft Defender for Endpoint (MDE) が展開されている macOS デバイスの場合 |
| JAMF Pro) | JAMF Pro を通じて管理される macOS デバイスの場合 |
| JAMF Pro for Microsoft Defender for Endpoint customers) | JAMF Pro を通じて管理され、Microsoft Defender for Endpoint (MDE) が展開されている macOS デバイスの場合 |
デバイスがオンボードされたら、デバイスの一覧に表示され、アクティビティ エクスプローラーへの監査アクティビティのレポートを開始する必要があります。