Microsoft Purview サービスの説明
Microsoft Purview は、データの保存場所にかかわらず、組織によるデータのガバナンス、管理、保護に役立つ包括的なソリューション セットです。 Microsoft Purview ソリューションは統合されたカバレッジを提供し、組織全体のデータの断片化、データの保護とガバナンスを妨げる可視性の欠如、従来の IT 管理の役割のあいまいさに対処します。
使用できるプラン
この記事でのテナント レベルのサービスは、テナント内のすべてのユーザーに対して (スタンドアロン ライセンスまたは Microsoft 365 プランと Office 365 プランのどちらか、または両方の一部として) 一部または完全に有効になるオンライン サービスです。 一部のテナント サービスでは現在、特定のユーザーに特典を制限することはできませんが、各オンライン サービスを使用するには適切なサブスクリプション ライセンスが必要です。 Microsoft ライセンス プログラムを通じて取得した Microsoft 製品および Professional Service の使用に関するご契約条件を確認するには、「製品使用条件」を参照してください。
Microsoft 365 機能のユーザーへのメリットを確認するには、Enterprise と Frontline Workers Plans の Microsoft 365 比較表、または中小企業向けの Microsoft 365 比較表をダウンロードしてください。
ユーザーが Microsoft 365 機能を使用できるようにし、欧州経済領域 (EEA) 諸国およびスイスで現在利用できるサブスクリプションの詳細なプラン情報については、「EEA 向け Microsoft 365 Business プランの比較」および「EEA 向け Microsoft 365 Enterprise プランの比較」を参照してください。
機能の可用性
Microsoft Purview 監査 (標準)**
Microsoft Purview 監査 (標準) では、監査されたアクティビティのログ記録や検索を行い、フォレンジック調査、IT 調査、コンプライアンス調査、法務調査などに役立てることができます。 詳細については、「Microsoft Purview の監査ソリューションの詳細」を参照してください。
| 機能 | Microsoft 365 E5 + Microsoft 365 Copilot | Microsoft 365 E3 + Microsoft 365 Copilot | Microsoft 365 E5/A5/G5 |
|---|---|---|---|
| 監査 (標準) | はい | はい | はい |
| Microsoft 365 Copilot の操作の監査 (標準) | はい | はい | いいえ |
Microsoft Purview 監査 (プレミアム)
監査 (プレミアム) (旧称 Microsoft 365 高度な監査) では、ユーザーおよび管理者アクティビティの監査ログを 1 年間保持すると同時に、他の Microsoft 365 サービスの監査ログの保持を管理するためのカスタム監査ログ保持ポリシーを作成します。 また、調査のための重要なイベントへのアクセスと、Office 365 管理アクティビティ API への高帯域幅アクセスも可能になります。
Microsoft 365 サービスのユーザー アクティビティに関連する監査レコードを最大 1 年間保持できるため、ユーザーは監査 (プレミアム) のメリットを得られます。 さらに、ユーザーのメールボックス内のアイテムにアクセスまたは読み取りを行う場合など、価値の高い監査イベントがログに記録されます。
既定では、サービスのメリットが得られるすべてのユーザーのテナント レベルで監査 (プレミアム) が有効になっており、(適切なライセンスを持つユーザーによって実行される) Microsoft Entra ID、Exchange、SharePoint のアクティビティの監査ログが自動的に 1 年間保持されます。
さらに、組織は監査ログ保持ポリシーを使用して、他の Microsoft 365 サービスのアクティビティによって生成された監査レコードの保持期間を管理できます。
監査ログの 1 年間の保持と重要なイベントの監査は、適切なライセンスを持つユーザーにのみ適用されます。 さらに、管理者は監査ログ保持ポリシーを使用して、特定のユーザーの監査ログの保持期間を短く指定できます。
監査ログの 10 年間の保持は、適切なアドオン ライセンスを持つユーザーにのみ適用されます。
| 機能 | Microsoft 365 E5 + Microsoft 365 Copilot | Microsoft 365 E3 + Microsoft 365 Copilot | Microsoft 365 E5 Compliance + Copilot1 Microsoft 365 E5 電子情報開示と監査 + Copilot1 | Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/F5/G5 Compliance、Microsoft 365 F5 セキュリティとコンプライアンス、Microsoft 365 E5/A5/F5/G5 電子情報開示と監査、Office 365 E5/A5/G5 |
|---|---|---|---|---|
| 監査 (プレミアム) | はい | いいえ | はい | はい |
| Microsoft 365 Copilot の操作の監査 (プレミアム) | はい | いいえ | はい | いいえ |
監査の詳細については、次のリソースを確認してください。
- 詳細については、「監査 (プレミアム)」と「監査 (標準)」を参照してください。
- Microsoft 365 サービスのユーザー アクティビティに関連する監査レコードを最大 1 年間保持できるため、ユーザーは監査 (プレミアム) のメリットを得られます。 さらに、ユーザーのメールボックス内のアイテムにアクセスまたは読み取りを行う場合など、価値の高い監査イベントがログに記録されます。
- 10 年間の監査ログ保持機能も、同じ保持ポリシーを使用して有効になります。 詳細については、「監査ログ保持ポリシーを管理する」を参照してください。
Microsoft Purview コミュニケーション コンプライアンス
Microsoft Purview コミュニケーション コンプライアンスは、組織内の潜在的なデータ セキュリティまたはコンプライアンス インシデントにつながる可能性のある不適切なメッセージの検出、キャプチャ、対処に役立つインサイダー リスク ソリューションです。 コミュニケーション コンプライアンスは、Microsoft およびサードパーティ製アプリ (Teams、Copilot for Microsoft 365、Viva Engage、Outlook、WhatsApp など) のテキストおよび画像ベースのメッセージを評価し、機密情報の不適切な共有、脅迫的な言葉遣いや嫌がらせの言葉、潜在的な規制違反 (株式や資本操作など) など、潜在的なビジネス ポリシー違反を判定します。
コミュニケーション コンプライアンスの使命は、お客様の企業コミュニケーション チャネル全体で、安全かつコンプライアンスに準拠したコミュニケーションを促進することです。 ロールベースのアクセス制御により、人間の調査担当者は、Teams からメッセージを削除したり、不適切な行為の可能性を送信者に通知したりするなど、是正措置を講じることができます。
コミュニケーション コンプライアンスでは、機械学習モデルとキーワード マッチングを使用して、潜在的な業務行為または規制ポリシー違反を含むメッセージを特定し、その後、調査担当者によるレビューが行われます。 コミュニケーション コンプライアンスは、仮名化によりユーザー プライバシーを促進し、ロールベースのアクセス制御を提供することで責任ある製品利用を推進します。
| 機能 | Microsoft 365 E5 + Microsoft 365 Copilot | Microsoft 365 E5 Compliance + Microsoft 365 Copilot | Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 Compliance および F5 セキュリティとコンプライアンス、Microsoft 365 E5/A5/F5/G5 インサイダー リスク管理 | Office 365 E5/A5/G5 |
|---|---|---|---|---|
| 通信コンプライアンス | はい | はい | はい | はい |
| Microsoft Copilot for Microsoft 365 のプロンプトと応答解析 | はい | はい | いいえ | いいえ |
| Microsoft Teams でのチャット | はい | はい | はい | はい |
| Viva Engage の会話 | はい | はい | はい | はい |
| Exchange Online のメール | はい | はい | はい | はい |
詳細については、「概要 と通信コンプライアンス」を参照してください。
Microsoft Purview コンプライアンス マネージャー
コンプライアンス マネージャーは、組織のコンプライアンス要件をより簡単かつ便利に管理するのに役立つ Microsoft Purview コンプライアンス ポータルの機能です。 コンプライアンス マネージャーは、データ保護リスクのインベントリの作成から、複雑な制御の実装の管理、規制や認証の最新情報の入手、監査人への報告まで、コンプライアンスの過程全体を支援します。
コンプライアンス マネージャーは、以下の機能を提供することにより、コンプライアンスの簡素化とリスクの軽減を支援します。
- 一般的な業界および地域の規格や規制に関する事前構築済みの評価。
- 単一のツールを使用してリスク評価を効率的に完了させるためのワークフロー。
- 組織に最も関連性の高い基準や規制の準拠を支援する、おすすめの改善のための処置について、手順を追って詳しく説明します。 Microsoft によって管理される処置については、実装の詳細と監査結果をご紹介します。
- 改善のための処置を実行する際の進行状況を測定することで、コンプライアンス体制を理解するのに役立つ、リスクベースのコンプライアンス スコア。
コンプライアンス マネージャーは、Office 365 および Microsoft 365 のライセンスをお持ちの組織、および米国政府コミュニティ クラウド (GCC)、GCC High、国防総省 (DoD) のお客様が利用できます。 評価の可用性や管理機能は、ライセンス契約によって異なります。
| 機能 | Office 365 および Microsoft 365 のライセンス、および米国政府コミュニティ クラウド (GCC)、GCC High、国防総省 (DoD) のお客様向け |
|---|---|
| コンプライアンス マネージャー | はい |
コンプライアンス マネージャーのプレミアム テンプレート リストの詳細については、こちらを参照してください。
Microsoft Purview カスタマー ロックボックス
カスタマー ロックボックスは、サービス操作に明示的なアクセス承認を付与する機能をお客様に提供することで、制御の追加レイヤーを提供します。 カスタマー ロックボックスは、明示的なデータ アクセス承認のための手順を示すことによって、組織が HIPAA や FedRAMP などの特定のコンプライアンス義務を満たすのにも役立つ場合があります。
カスタマー ロックボックスを使用すると、お客様の明示的な承認なしに、Microsoft では、サービス操作を実行するために組織のテナントにアクセスすることはできません。 カスタマー ロックボックスでは、お客様はコンテンツへのアクセス要求の承認ワークフローに移動します。 場合によっては、Microsoft のエンジニアがサポート プロセス中に、お客様から報告された問題のトラブルシューティングと修正を行う場合があります。 通常、問題は、Microsoft がサービスのために用意している広範なテレメトリおよびデバッグ ツールによって解決されます。 ただし、場合によっては、Microsoft のエンジニアがお客様のコンテンツにアクセスして、根本的な原因を特定し、問題を修正する必要があります。 カスタマーロックボックスでは、承認ワークフローの最終ステップとして、エンジニアが顧客にアクセスを要求を行う必要があります。 これで、組織にこれらの要求を承認または拒否するオプションが提供され、Microsoft エンジニアが組織のエンドユーザー データにアクセスできるかどうかを直接制御できます。 管理者は Microsoft 365 管理センターで、カスタマー ロックボックスを有効にできます。
カスタマー ロックボックスが有効になっている場合、Microsoft はコンテンツにアクセスする前に組織の承認を得る必要があります。
| 機能 | Office 365 E5/A5/G5 | Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 Compliance および F5 セキュリティとコンプライアンス、Microsoft 365 E5/A5/F5/G5 インサイダー リスク管理 |
|---|---|---|
| 顧客ロックボックス | はい | はい |
詳細については、「カスタマー ロックボックス」を参照してください。
Microsoft Purview データ コネクタ
Microsoft は、Microsoft Purview コンプライアンス ポータルで構成できるサード パーティのデータ コネクタを提供します。 Microsoft が提供するデータ コネクタの一覧については、「サードパーティのデータ コネクタ」の表を参照してください。 この表には、Microsoft 365 でデータをインポートおよびアーカイブした後にサード パーティのデータに適用できるコンプライアンス ソリューションもまとめられ、各コネクタのステップ バイ ステップの手順へのリンクが含まれています。
データ コネクター (旧称 Microsoft 365 データ コネクター) を使用して Microsoft 365 内のサード パーティのデータをインポートおよびアーカイブする主なメリットは、インポート後にさまざまな Microsoft Purview コンプライアンス ソリューションをデータに適用できる点です。 これにより、組織の Microsoft 以外のデータが、組織に影響を与える規制と標準に確実に準拠できます。
Microsoft パートナーが提供する Microsoft Purview コンプライアンス ポータルのデータ コネクタの場合、これらのコネクタを展開する前に、パートナーとのビジネス関係が組織に必要になります。
データ コネクタ サービスは、テナントレベルの値です。 このサービスのメリットを得るすべてのユーザーにライセンスを付与する必要があります。
| 機能 | Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/F5/G5 情報保護とガバナンス、Microsoft 365 E5/A5/G5/F5 Compliance、Microsoft 365 F5 セキュリティとコンプライアンス、Microsoft 365 E5/A5/F5/G5 インサイダー リスク管理、Microsoft 365 E5/A5/F5/G5 電子情報開示と監査 | Office 365 E5/A5/G5 |
|---|---|---|
| データ コネクタ | はい | はい |
Microsoft Purview データ ライフサイクルおよびレコード管理
詳細については、「Microsoft Purview データ ライフサイクルおよびレコード管理のサービス説明 - サービス説明 | Microsoft Learn」を参照してください
Microsoft データ損失防止エンドポイント データ損失保護 (DLP)
エンドポイントのデータ損失防止 (Endpoint DLP) は、DLP のアクティビティ検出および保護機能を、Windows 10、Windows 11、macOS (Catalina 10.15 以上) デバイスに物理的に保存される機密アイテムに拡張します。
組織は、Microsoft Purview データ損失防止 (DLP) を使用して、機密情報であると判断されたアイテムに対するアクティビティを検出し、それらのアイテムの意図しない共有を防ぐことができます。 DLP の詳細については、「データ損失防止ポリシーについて」を参照してください。
エンドポイントのデータ損失防止 (Endpoint DLP) は、DLP のアクティビティ検出および保護機能を、Windows 10、Windows 11、macOS (Catalina 10.15 以上) デバイスに物理的に保存される機密アイテムに拡張します。
| 機能 | Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/F5/G5 Compliance および F5 セキュリティとコンプライアンス、Microsoft 365 E5/A5/F5/G5 情報保護とガバナンス |
|---|---|
| エンドポイントのデータ損失防止 (DLP) | はい |
詳細については、「エンドポイントのデータ損失防止の使用を開始する - Microsoft Purview (コンプライアンス) | Microsoft Docs」と「データ損失防止について - Microsoft Purview (コンプライアンス) | Microsoft Docs」を参照してください。
Microsoft Purview コンプライアンス ポータルを使用すると、エンドポイント DLP ポリシーの適用範囲を、オンボードされたデバイスにログインするユーザーに設定できます。 ポリシーは、対象のユーザーがオンボードされたデバイスにログインしたときに評価されます。 詳細については、デバイス向けの「Microsoft エンドポイント DLP 対話型ガイド」を参照してください。
DLP ポリシーの詳細については、「データ損失防止ポリシーの概要」を参照してください。
Teams 向け Microsoft Purview データ損失防止 (DLP)
Teams 向け DLP を使用すると、組織は、財務情報、個人を特定する情報、健康関連情報、その他の機密情報などの機密性の高い情報を含むチャット メッセージやチャネル メッセージをブロックできます。
送信者は、組織の DLP ポリシーで構成されているように、送信チャット メッセージとチャネル メッセージで機密情報を検査することでメリットを得ることができます。
既定では、Teams チャット メッセージとチャネル メッセージが、テナント内のすべてのユーザーに対して、これらの DLP 機能の有効な場所 (ワークロード) です。 Teams 向けデータ損失防止を有効にするには、Microsoft 365 管理ポータルで上記のいずれかのライセンスから “Microsoft コミュニケーション DLP” サービスを選択する必要があります。
| 機能 | Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 Compliance および F5 セキュリティとコンプライアンス、Microsoft 365 E5/A5/F5/G5 情報保護とガバナンス | Office 365 E5/A5/G5 |
|---|---|---|
| Teams 向け Purview データ損失防止 (DLP) | はい |
Teams データ損失防止 (DLP) および Teams エクスポート向け Microsoft Purview データ損失防止 Graph API
これらの API を使用すると、開発者は、Microsoft Teams メッセージをほぼリアルタイムで「聞く」ことや、1 対 1 またはグループ チャットあるいは Teams チャネルでチーム メッセージをエクスポートすることが可能なセキュリティおよびコンプライアンス アプリを構築できます。 これらの API を使用すると、お客様と ISV の両方で DLP やその他の情報保護とガバナンスのシナリオを実現できます。 さらに、Microsoft Graph Patch API では、Teams メッセージに DLP アクションを適用できます。
データ損失防止 (DLP) 機能は、特に組織がリモート ワークに移行するときに、Microsoft Teams で広く使用されています。 組織に DLP がある場合は、Microsoft Teams チャネルまたはチャット セッションで機密情報を共有できないようにするポリシーを定義できるようになりました。
情報保護とガバナンス機能は、特に組織がリモート ワークに移行するときに、Microsoft Teams で広く使用されています。 Teams Export APIを使用すると、データをサードパーティの電子情報開示またはコンプライアンス アーカイブ アプリケーションにエクスポートして、コンプライアンス プラクティスに確実に準拠します。
API アクセスはテナント レベルで構成されます。 Teams DLP 向け Microsoft Graph API を有効にするには、Microsoft 365 管理で上記のいずれかのライセンスから “Microsoft コミュニケーション DLP” サービスを選択する必要があります。
| 機能 | Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/F5/G5 Compliance および Microsoft 365 F5 セキュリティとコンプライアンス、Microsoft 365 E5/A5/F5/G5 情報保護とガバナンス | Office 365 E5/A5/G5 |
|---|---|---|
| Teams データ損失防止 (DLP) および Teams エクスポート向け Purview データ損失防止 Graph API | はい |
シードされた容量と使用料の詳細については、「チャット メッセージにアクセスするためのグラフ要件」を参照してください。
Microsoft Purview 電子情報開示
電子情報開示 (標準) を使用すると、電子情報開示ケースを作成し、電子情報開示マネージャーを特定のケースに割り当てることができます。 電子情報開示マネージャーは、メンバーであるケースにのみアクセスできます。 また、電子情報開示 (Standard) を使用すると、検索とエクスポートをケースに関連付け、ケースに関連するコンテンツの場所に電子情報開示を保持できます。
電子情報開示 (プレミアム) は、組織の内部および外部の調査と関連性のあるコンテンツを保管、収集、分析、レビュー、エクスポートするための、エンドツーエンドのワークフローを提供します。 また、訴訟チームが法的情報保留通知ワークフロー全体を管理して、ケースに関係するカストディアンとコミュニケーションを取ることができます。
既定では、管理者が Microsoft Purview コンプライアンス ポータルで電子情報開示アクセス許可を割り当てると、テナント内のすべてのユーザーに対して電子情報開示機能がテナント レベルで有効になります。
一部のテナント サービスでは現在、特定のユーザーに特典を制限することはできませんが、各オンライン サービスを使用するには適切なサブスクリプション ライセンスが必要です。 Microsoft ライセンス プログラムを通じて取得した Microsoft 製品および Professional Service の使用に関するご契約条件を確認するには、「製品使用条件」を参照してください。
本サービスのメリットがある組織内のユーザーの例を以下に示します。
- 保留中のケースを構成するカストディアン (すべてのユーザー)、または検索、コレクション、またはレビュー セットを構成するデータ ソースのカストディアン。
- 保留中、または検索、コレクション、レビュー セットを構成するコンテンツを含む SharePoint サイトの所有者およびメンバー。
- 保留中、または検索、コレクション、レビュー セットを構成するコンテンツを含む Exchange メールボックスの所有者。
- 保留中、または検索、コレクション、レビュー セットを構成するコンテンツを含む Teams チャット、チャネル、またはプライベート チャネルの所有者およびメンバー。
| 機能 | Microsoft 365 E5 + Microsoft 365 Copilot | Microsoft 365 E3 + Microsoft 365 Copilot | Microsoft 365 E5 Compliance + Copilot 1 Microsoft 365 E5 電子情報開示と監査 + Copilot 1 | E5/A5/F5/G5、Microsoft 365 E5/A5/F5/G5 Compliance、Microsoft 365 E5/A5/F5/G5 電子情報開示と監査、Office 365 E5/A5/G5 | Microsoft Office 365 E3/A3/G3/F3 |
|---|---|---|---|---|---|
| 電子情報開示 (プレミアム) | はい | いいえ | はい | はい | いいえ |
| Copilot 操作のプレミアム検索 | はい | いいえ | はい | いいえ | いいえ |
| 電子情報開示コンテンツ検索、訴訟ホールド、Copilot 操作の検索結果のエクスポート | はい | はい | はい | いいえ | いいえ |
| サイトとファイルの電子情報開示 (標準) | はい | はい | はい | はい | はい |
| メールの電子情報開示 (標準) | はい | はい | はい | はい | はい |
1 Microsoft 365 E3 が必要です。
電子情報開示の詳細については、次のリソースを確認してください。
- 主要機能の比較: Microsoft Purview eDiscovery ソリューション。
- このサービスを利用するには、ライセンスが必要です。 サービスのご契約条件の詳細については、「製品使用条件」を参照してください。
- 電子情報開示および管理対象でないデータ ソースについては、「管理対象でないデータ ソースを電子情報開示 (プレミアム) ケースに追加する」を参照してください。
- 電子情報開示管理者は、「eDiscovery (プレミアム) ケースにカストディアンを追加する」の説明に従い、eDiscovery (プレミアム) の組み込みのカストディアン管理ツールを使用して、特定のユーザーをケースのデータ カストディアンとして選択できます。
Microsoft Purview 情報バリア
情報バリアは、ユーザーまたはグループが相互に通信するのを防ぐために、管理者が構成できるポリシーです。 これは、たとえば、ある部門が他の部門と共有してはならない情報を処理している場合や、グループが外部の連絡先と通信できないようにする場合に役立ちます。 情報バリア ポリシーでは、ルックアップとディスカバリーも防止されます。 つまり、コミュニケーションを取る必要がないユーザーと通信しようとすると、そのユーザーはユーザー ピッカーに表示されません。
ユーザーは、他のユーザーとの通信が制限されている場合に、情報バリアの高度なコンプライアンス機能を利用できます。 情報バリア ポリシーは、ユーザーの特定のセグメントが互いに通信するのを防ぐか、特定のセグメントが他の特定のセグメントとのみ通信できるように定義されます。 情報バリア ポリシーの定義の詳細については、「情報バリア (IB) ポリシーの定義」を参照してください。 IB ポリシー (ブロックまたは許可) を定義する際、"割り当てられたセグメント" で定義されているセグメントに属するユーザーにはライセンスが必要です。 2 つのサンプル シナリオを次に示します。
情報バリアの詳細については、「情報バリアについて | Microsoft Learn」を参照してください。
高度なメッセージ暗号化のMicrosoft Purview 情報保護
Microsoft Purview Advanced Message Encryption を使用すると、暗号化されたメールへの外部の受信者のアクセスに関してより柔軟な制御が要求されるコンプライアンス義務を遵守することができます。 Purview Advanced Message Encryption では、管理者は機密情報の種類 (個人を特定できる情報、財務 ID、保険 ID など) を検出する自動ポリシーを使用して、組織外部で共有される機密メールを制御できます。あるいは、安全な Web ポータルを通してカスタム メール テンプレートを適用し、暗号化されたメールへのアクセスの有効期限を設定することで保護を強化するキーワードを使用できます。 また、管理者はアクセス権限をいつでも無効にできるため、安全な Web ポータル経由での暗号化されたメールへの外部からのアクセスをさらに制御できます。 メッセージ送信者は、Advanced Message Encryption によって提供される機密性の高いメールに対する制御を強化することでメリットを得られます。 管理者は、Exchange 管理センターの [ メール フロー] > [ルール] で、高度なメッセージ暗号化ポリシーを作成および管理します。 既定では、これらのルールはテナント内のすべてのユーザーに適用されます。 新しいメッセージ暗号化機能を設定する方法の詳細については、「新しい Office 365 Message Encryption 機能を設定する」を参照してください。
機能の可用性
| 機能 | Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 コンプライアンスと F5 セキュリティ & コンプライアンス、およびMicrosoft 365 E5/A5/F5/G5 Information Protectionとガバナンス | Office 365 E5/A5/G5 |
|---|---|---|
| 高度なメッセージ暗号化 | はい | はい |
Microsoft Purview 情報保護カスタマー キー
カスタマー キー (旧称 Microsoft 365 用カスタマー キー) を使って、組織の暗号化キーを制御し、Microsoft データ センターにある保存データの暗号化にカスタマー キーを使用するよう Microsoft 365 を構成できます。 つまり、カスタマー キーを使用すると、独自のキーを使用して、自分に属する暗号化のレイヤーを追加できるということです。 カスタマー キーは、Microsoft 365 保存データ暗号化サービスを通じて、複数のMicrosoft 365 ワークロードに対する保存データの暗号化をサポートします。 さらに、カスタマー キーは、SharePoint Online とOneDrive for Business データの暗号化と Exchange Online メールボックス レベルの暗号化を行います。
ユーザーは、自分の組織で提供、制御、管理する暗号化キーを使用して、保存データをアプリケーション レイヤーで暗号化することで、カスタマー キーのメリットを得ます。
複数のワークロード暗号化をサポートする Microsoft 365 保存データ サービスは、テナント レベルのサービスです。 ライセンスのないユーザーの一部は、技術的にはサービスにアクセスできる場合がありますが、サービスのメリットを得る予定のユーザーにはライセンスが必要です。 Exchange Online メールボックス レベルの暗号化の場合、データ暗号化ポリシーを割り当てるには、ユーザー メールボックスにライセンスが必要です。
次の表は、さまざまなプランでカスタマー キーが利用できるかどうかを示しています。 「カスタマー キーを設定する」では、必要な Azure リソースの作成と構成を行うための手順について説明し、続いてカスタマー キーを設定する手順について説明します。
| 機能 | Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/F5/G5 Compliance、Microsoft 365 E5/A5/F5/G5 情報保護とガバナンス | Office 365 E5/A5/G5 |
|---|---|---|
| 顧客キー | はい | はい |
テナント内でカスタマー キーを有効にする方法: 「カスタマー キーを設定する - Microsoft Purview | Microsoft Learn」
カスタマー キーでの可用性キーの使用: 「カスタマー キーの可用性キーについて - Microsoft Purview | Microsoft Learn」
カスタマー キーの構成の管理: 「カスタマー キーの管理 - Microsoft Purview | Microsoft Learn」
Microsoft Purview 情報保護: データ分類分析: 概要コンテンツ & アクティビティ エクスプローラー
データ分類分析機能は、Microsoft Purview コンプライアンス ポータルで使用できます。 概要には、デジタル コンテンツの場所と、最も一般的な既存の機密情報の種類とラベルが表示されます。 コンテンツ エクスプローラーで機密データの量と種類を可視化し、ユーザーがラベルまたは秘密度の種類でフィルター処理して、機密データが格納されている場所の詳細なビューを取得できます。 アクティビティ エクスプローラーには、機密データとラベルに関連するアクティビティ (コンテンツを危険にさらす可能性のあるラベルのダウングレードや外部共有など) が表示されます。
アクティビティ エクスプローラーには、エンド ユーザーが使用している機密情報に関連するアクティビティを管理者が表示するための 1 つのウィンドウが用意されています。 データには、ラベル アクティビティ、データ損失防止 (DLP) ログ、自動ラベル付け、エンドポイント DLP などがあります。
コンテンツ エクスプローラーを使用すると、管理者は、サポート対象の Microsoft 365 ワークロード内に格納されている機密性の高いドキュメントにインデックスを作成し、格納されている機密情報を特定できます。 さらに、コンテンツ エクスプローラーは、秘密度ラベルと保持ラベルで分類されたドキュメントを識別するのに役立ちます。
情報保護およびコンプライアンス管理者は、サービスにアクセスし、続いてログとインデックス付きデータにアクセスして、機密データが格納されている場所、このデータに関連してエンド ユーザーが実行するアクティビティを把握できます。
機能の可用性
| 機能 | Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5 コンプライアンス、Microsoft 365 E5/A5/G5 Information Protection & ガバナンス | Office 365 E5 |
|---|---|---|
| データ分類分析 | はい | はい |
| 機能 | Microsoft 365 E3/A3/G3 | Office 365 E3/A3/G3 |
|---|---|---|
| コンテンツエクスプローラーデータ集計 | はい | はい |
Microsoft Purview 情報保護: 二重キー暗号化
二重キー暗号化 (旧称 Microsoft 365 向け二重キー暗号化) を使用すると、機密性の高いデータを保護して特別な要件を満たし、暗号化キーを完全に制御できます。 二重キー暗号化では、2 つのキーを使用してデータを保護します。1 つのキーを自身で管理し、2 つ目のキーは Microsoft Azure が安全に格納します。 データを表示するには、両方のキーにアクセスできる必要があります。 Microsoft は 1 つのキーにしかアクセスできず、お客様のキーとデータは Microsoft では利用できないため、お客様はデータのプライバシーとセキュリティを完全に制御できます。
ユーザーは、暗号化されたデータをクラウドに移行できることで二重キー暗号化のメリットを得られます。これにより、キーをユーザーが管理している限り、サード パーティからのアクセスが防止されます。 ユーザーは、他の秘密度ラベルで保護されたコンテンツと同様に、二重キーで暗号化されたコンテンツを保護して使用できます。
| 機能 | Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/F5/G5 Compliance および Microsoft 365 F5 セキュリティとコンプライアンス、Microsoft 365 E5/A5/F5/G5 情報保護とガバナンス | EMS E5 |
|---|---|---|
| 二重キー暗号化 | はい | はい |
Office 365 または Microsoft 365 組織内のデータにライセンスを取得しているユーザーの暗号化キーを割り当てるには、二重キー暗号化の展開手順 https://aka.ms/dke に従ってください。
Microsoft Purview 情報保護 メッセージ暗号化
Microsoft Purview Message Encryption は、Azure Rights Management (Azure RMS) で構築され、宛先のメール アドレス (Gmail、Yahoo! Mail、Outlook.com など) に関係なく、暗号化された電子メールを組織内外の宛先に送信できるようにするサービスです。
暗号化されたメッセージを表示するには、1 回限りのパスコードを取得して Microsoft アカウントでサインインするか、Office 365に関連付けられている職場または学校アカウントでサインインします。 受信者は暗号化された返事を送信することもできます。 暗号化されたメッセージを表示したり、暗号化された返信を送信するのに、受信者はサブスクリプションを必要としません。
メッセージ送信者は、Office 365 Message Encryption によって提供される機密性の高いメールに対する制御を強化することでメリットを得られます。
機能の可用性
| 機能 | Microsoft 365 F3/E3/A3/G3/E5/A5/G5 と Microsoft Business Premium | Office 365 A1/E3/A3/G3/E5/A5/G5 1 |
|---|---|---|
| メッセージ暗号化 | はい | はい |
1 Azure Information Protection プラン 1 は、Exchange Online Kiosk、Exchange Online プラン 1、Office 365 メッセージ暗号化を利用できるorganizationの権利も提供します。プラン 2、Office 365 F3、Microsoft 365 Business Basic、Microsoft 365 Business Standard、または Office 365 Enterprise E1 をExchange Onlineします。
Microsoft Purview 情報保護感度ラベル付け
Information Protection は、組織が機密性の高いドキュメント、メール、会議、グループ、サイトを検出、分類、ラベル付け、保護するのに役立ちます。 管理者がラベルを自動的に適用するルールと条件を定義し、ユーザーが手動でラベルを適用します。または、この 2 つを組み合わせて使用することもできます。その場合、ユーザーにはラベルの適用に関する推奨事項が表示されます。
ユーザーは、秘密度ラベルを作成、手動適用、または自動適用したり、秘密度ラベルが適用されたコンテンツを利用したりすることができます。
既定では、Information Protection機能はテナント内のすべてのユーザーに対してテナント レベルで有効になります。 つまり、Information Protection機能を作成および管理する管理者は、機能を構成するために、以下で説明するサブスクリプション プランに適したライセンスを持っている必要があります。 同様に、エンド ユーザーには、それぞれのクライアント アプリケーションで機能を使用するための適切なライセンスも必要です。 詳細については、「 秘密度ラベルとそのポリシーを作成して構成する 」または「 秘密度ラベルをコンテンツに自動的に適用する」を参照してください。
| 機能 | Microsoft 365 E5/A5/G5/E3/A3/G3/F1/F3/Business Premium | OneDrive for Business (Plan 2) | Enterprise Mobility + Security E3/E5 | Office 365 E5/A5/E3/A3 | AIP プラン 1、AIP プラン 2 |
|---|---|---|---|---|---|
| 手動の秘密度ラベル付け | はい | はい | はい | はい | はい |
| 機能 | Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 Compliance、Microsoft 365 F5 セキュリティとコンプライアンス、Microsoft 365 E5/A5/F5/G5 情報保護とガバナンス | Office 365 E5/A5 |
|---|---|---|
| スケジュールされた会議に対する手動の秘密度ラベル付け | はい | はい |
| 機能 | Microsoft 365 E5/A5/G5 + Teams Premium、Microsoft 365 E5/A5/G5/F5 Compliance + Teams Premium、Microsoft 365 F5 セキュリティとコンプライアンス + Teams Premium、Microsoft 365 E5/A5/F5/G5 情報保護とガバナンス | Office 365 E5/A5 + Teams Premium |
|---|---|---|
| Teams オンライン会議に対する手動の秘密度ラベル付け | はい | はい |
| 機能 | Microsoft 365 E5/A5/G5/E3/A3/G3/F1/F3/Business Premium + Microsoft 365 Copilot | OneDrive for Business (Plan 2) + Microsoft 365 Copilot | Enterprise Mobility + Security E3/E5 + Microsoft 365 Copilot | Office 365 E5/A5/E3/A3 + Microsoft 365 Copilot | AIP プラン 1、AIP プラン 2 + Microsoft 365 Copilot |
|---|---|---|---|---|---|
| Microsoft 365 の入力から出力へのラベルの継承 | はい | はい | はい | はい | はい |
| 機能 | Microsoft 365 E5/A5/G5、Microsoft E5/F5/G5 コンプライアンス、Microsoft F5 セキュリティ & コンプライアンス、Microsoft 365 E5 Information Protection、ガバナンス | Office 365 E5/A5/G5 |
|---|---|---|
| クライアント側とサービス側の自動秘密度ラベル付け | はい | はい |
| 機能 | Enterprise Mobility + Security E5/A5/G5 |
|---|---|
| クライアント側の自動秘密度ラベル付けのみ | はい |
| 機能 | Microsoft 365 E5/A5/G5、Microsoft E5/F5/G5 Compliance、Microsoft F5 セキュリティとコンプライアンス、Microsoft 365 E5/A5/G5 情報保護とガバナンス | Office 365 E5/A5/G5 | Enterprise Mobility + Security E5/A5/G5 |
|---|---|---|---|
| Outlook で事前構成済みの S/MIME 保護を自動的に適用するクライアント側のラベル付け | はい | はい | はい |
| 機能 | Microsoft 365 E5/A5/G5/E3/A3/G3/F1/F3/Business Premium | Enterprise Mobility + Security E3/E5 |
|---|---|---|
| Power BI で秘密度ラベルを適用して表示し、Power BI から Excel、PowerPoint、または PDF にエクスポートするときにデータを保護する | はい | はい |
| 機能 | Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 Compliance、Microsoft 365 F5 セキュリティとコンプライアンス、Microsoft 365 E5/A5/G5/F5 情報保護とガバナンス | Office 365 E5/A5/G5 |
|---|---|---|
| SharePoint ドキュメント ライブラリに既定の秘密度ラベル付けを適用する | はい | はい |
| 機能 | Microsoft 365 E5/A5/G5、Microsoft 365 A5/E5/F5/G5 情報保護とガバナンス | Office 365 E5/A5/G5 |
|---|---|---|
| SharePoint サイトに対して、秘密度ラベルを使用した認証コンテキストによる条件付きアクセス ポリシーを適用する | はい | はい |
ユーザーが AIPService PowerShell モジュールを利用して Azure Information Protection の Azure Rights Management 保護サービスを管理する方法については、「Information Protection」を参照してください。
秘密度ラベルを作成して公開する方法については、こちらを参照してください。
Microsoft Purview 情報保護スキャナー (以前は AIP スキャナーと呼ばれ、現在は Purview コンプライアンス ポータルからアクセス可能) 機能を使用する場合、ポリシーの範囲を特定のグループまたはユーザーに設定し、レジストリを編集して、ライセンスのないユーザーが分類機能やラベル付け機能を実行できないようにすることができます。
- Microsoft Purview 情報保護スキャナーについて - Microsoft Purview (コンプライアンス) | Microsoft Learn
- Microsoft Purview 情報保護スキャナーの使用を開始する - Microsoft Purview (コンプライアンス) | Microsoft Learn
- Azure Information Protection サービスの説明 - サービスの説明 | Microsoft Docs
- ユーザーが AIPService PowerShell モジュールを利用して Azure Information Protection 向けに Azure Rights Management 保護サービスを管理する方法については、「Azure Information Protection」を参照してください。
- 詳細については、「Azure Information Protection サービスの説明」を参照してください
注:
また、Set-SPOSite PowerShell コマンドレットを使用して、認証コンテキストを使用して条件付きアクセス ポリシーを SharePoint サイトに直接適用することもできます。また、次のライセンスにより、ユーザー権限が付与されます。
- Microsoft 365 E5/A5/G5
- Microsoft 365 E5/F5 Compliance
- Microsoft 365 E5 Information Protection and Governance
- Office 365 E5/A5/G5
- Microsoft Syntex - SharePoint Advanced Management
注:
上記のライセンス情報に加えて、
- プレミアム ライセンス/プラン 2 が割り当てられている場合でも、ユーザーが Office 365 および AIP 向けの Information Protection の秘密度ラベル付けにアクセスできるようにするには、プレミアム/P2 ライセンスに加えて、標準/プラン 1 ライセンスを割り当てる必要があります。 たとえば、Information Protection for Office 365 Premium がユーザーに割り当てられている場合、秘密度ラベル付けを使用できるようにするには、そのユーザーに Information Protection for Office 365 Standard も割り当てられている必要があります。 また、AIP P2 がユーザーに割り当てられている場合は、そのユーザーにも AIP P1 が割り当てられている必要があります。
- Power BI は Microsoft 365 E5/A5/G5 に含まれています。他のすべてのプランでは、Power BI は個別にライセンスを取得する必要があります。
- Machine Learning に基づく自動分類 (トレーニング可能な分類子) に関するユーザー特典情報については、「 データ ライフサイクル管理 」または 「レコード管理」を参照してください。
Microsoft Purview インサイダー リスク管理
インサイダー リスク管理 (旧称 Microsoft 365 Insider Risk Management) は、組織内の危険なアクティビティを検出、調査、および対処できるようにすることで、内部リスクを最小限に抑えるソリューションです。
カスタム ポリシーを使用すると、必要に応じて Microsoft Purview 電子情報開示 (プレミアム) (旧称 Microsoft Advanced eDiscovery) にケースをエスカレーションするなど、組織内の悪意のある危険なアクティビティおよび不注意による危険なアクティビティを検出して対処できます。 組織内のリスク アナリストは、ユーザーが組織のコンプライアンス基準に準拠していることを確認するために、適切なアクションをすばやく実行できます。 ユーザーは、アクティビティのリスクを監視することでメリットを得ることができます。 インサイダー リスク管理ポリシーは、Microsoft Purview コンプライアンス ポータルで作成し、ユーザーに割り当てる必要があります。
| 機能 | Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 Compliance および F5 セキュリティとコンプライアンス、Microsoft 365 E5/A5/F5/G5 インサイダー リスク管理 |
|---|---|
| インサイダー リスクの管理 | はい |
詳細については、「インサイダー リスク管理の概要」を参照してください。
Microsoft Purview インサイダー リスク管理: フォレンジック エビデンス
フォレンジック エビデンスは、Microsoft Purview インサイダー リスク管理のオプトインの容量アドオン機能で、セキュリティ チームに潜在的なインサイダー データ セキュリティ インシデントに関する視覚的な分析情報を提供し、ユーザー プライバシー機能も組み込まれています。
お客様は、フォレンジック エビデンス アドオンを 1 か月あたり 100 GB 単位で購入できます。 購入した容量は、管理者が構成したフォレンジック エビデンス ポリシーの対象となるユーザーに対する、テナント レベルでのフォレンジック エビデンスの取得に基づいて計測されます。
お客様は、Microsoft Purview コンプライアンス ポータルからこのサービスにアクセスできます。
フォレンジック エビデンスの詳細については、技術ドキュメントを参照してください。
メッセージング
新機能や変更された機能、計画済みメンテナンス、その他の重要なお知らせなどの今後の変更を管理するには、メッセージ センターに移動します。 詳細については、「メッセージ センター」を参照してください。
ライセンス条項
Microsoft コマーシャル ボリューム ライセンス プログラムを通じて購入した製品とサービスのライセンス条件については、Product Terms site (製品使用条件サイト) を参照してください。
アクセシビリティ
Microsoft は、お客様のデータのセキュリティと当社のサービスへのアクセシビリティに引き続き取り組んでいます。 詳細については、Microsoft トラスト センターおよび Office Accessibility Center を参照してください。