次の方法で共有

Microsoft Purview コンプライアンス マネージャーのアラートとアラート ポリシー

  • [アーティクル]

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

概要

コンプライアンス マネージャーは、変更が発生するとすぐにアラートを生成して、コンプライアンス目標を追跡できます。 たとえば、テナントの構成変更によって改善アクションのスコア値が増減したとき、または実装またはテスト作業を実行するために改善アクションがユーザーに割り当てられている場合に通知するアラートを設定できます。 アラートを作成できる イベントの種類 を表示します。

アラートを作成するには、まずアラート ポリシーを設定して、アラートをトリガーする条件と通知の頻度を概説します。 ポリシー条件に一致するものが検出されると、詳細が記載された電子メール通知が届きます。そのため、調査するか、さらにアクションを実行するかを判断できます。

すべてのアラートはコンプライアンス マネージャーの [アラート] ページに表示され、すべてのアラート ポリシーが [ポリシー] ページに表示されます (クラシック Microsoft Purview コンプライアンス ポータルでは、このページはアラート ポリシーと呼ばれます)。 すべての組織には、 既定のスコア変更ポリシー が既に設定されています。

[ポリシーとアラート] ページについて

重要

ユーザーは、[ポリシー] ページと [アラート] ページにアクセスするには、Microsoft Entra IDでセキュリティ閲覧者ロール保持する必要があります。 アラートとアラート ポリシーを操作するには、追加のセキュリティとコンプライアンス マネージャーの役割が必要です。 アラート ポリシーのアクセス許可の詳細については、以下を参照してください。

[ポリシー] ページ

コンプライアンス マネージャー で [ポリシー ] (クラシック ポータルを使用している場合は アラート ポリシー ) を選択して、アラート ポリシーを表示および管理します。 [ポリシー] ページには、organizationによって作成されたすべてのポリシーが一覧表示されたテーブルが含まれています。 このページでは、新しいポリシーの作成、既存のポリシーの編集、アクティブ化の状態の変更、ポリシーの削除を行うことができます。

[ 状態] 列[アクティブ] は、ポリシーが有効であり、条件が満たされたときにアラートをトリガーすることを意味します。 非アクティブ とは、ポリシーは存在しますが、アラートは生成されていないことを意味します。 ポリシー テーブルには、ポリシーの重大度と、ポリシーが最後に変更された日付も表示されます。

個々のポリシーの詳細を表示するには、テーブルでその行を選択します。 すべての詳細を表示するポップアップ ウィンドウが表示されます。 ウィンドウの下部にある [ アクション ] ボタンを選択し、オプションから選択してポリシーの編集、アラートの表示、または削除を行います。 追加、編集、削除、アクティブ化、無効化するコマンドは、フィルターの上のテーブルの上部近くでも使用できます。

アラート ポリシーの作成を開始するには、「アラート ポリシー の作成」を参照してください。

[アラート] ページ

コンプライアンス マネージャーで [アラート] を選択して、アラートを表示および管理します。 [ アラート] ページには、アラート ポリシーによって生成された各アラートと、その重大度とトリガーイベント (アクションのスコア変更など) とアラートの日付が一覧表示されたテーブルが含まれています。

個々のアラートを表示するには、テーブルでその行を選択します。 ポップアップ ウィンドウが表示され、ウィンドウの [ 概要 ] タブにすべての詳細が表示されます。 [ イベント ログ ] タブには、アラートをトリガーしたユーザーが実行したアクションが表示されます。

ウィンドウの下部にある [アクション] ボタンには、アラートをユーザーに割り当ててフォローアップしたり、アラートを生成したアクションを持つユーザーにメールを送信したり、アラートを生成するポリシーの詳細を表示したりするためのオプションが用意されています。 また、行の上にマウス ポインターを置いたときにアラート名の左側に表示される丸いボタンを選択し、テーブルの上部付近にあるいずれかのボタンをフィルターの上で選択することで、同じアクションを実行することもできます。

アラートの操作を開始するには、「アラートの 表示と管理」を参照してください。

アラート ポリシーのアクセス許可

次の表は、ユーザーがロールの種類に基づいてアラートとアラート ポリシーを作成および編集できる概要を示しています。 コンプライアンス マネージャーロールを保持するだけでなく、ユーザーには次のようなMicrosoft Entraロールも必要です。

  • アラートとアラート ポリシーを表示するには:Microsoft Entra IDのセキュリティ閲覧者ロール。
  • アラート ポリシーを作成または更新するには、Microsoft Entra IDのコンプライアンス管理者コンプライアンス データ管理者セキュリティ管理者、またはセキュリティ オペレーターロール。

Microsoft Purview コンプライアンス ポータルの Azure ロールの詳細については、こちらをご覧ください。

重要

Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 グローバル管理者ロールを持つユーザーの数を最小限に抑えることで、organizationのセキュリティを向上させることができます。 Microsoft Purview のロールとアクセス許可の詳細については、こちらをご覧ください。

役割 ポリシーを作成および編集できます アラートを編集できます
コンプライアンス マネージャー管理 はい はい
コンプライアンス マネージャー評価者 はい はい
コンプライアンス マネージャー投稿者 はい はい
コンプライアンス マネージャー リーダー いいえ いいえ
グローバル管理者 はい はい

ユーザーのアクセス許可を設定し、コンプライアンス マネージャーのロールを割り当てる方法について説明します。

アラート ポリシーを作成する

改善アクションに関連する特定の変更やイベントが発生したときにアラートを生成するポリシーを作成できます。 イベントの種類を次に示します。

アラート イベントの種類

  • スコアの変更: organizationの誰かが行った構成変更による改善アクションに対して付与されるポイントの増減。 たとえば、organizationによってインサイダー リスク管理ポリシーが作成された場合、特定のアクションのポイントが一定量増加する可能性があります。
  • 割り当ての変更: 改善アクションがユーザーに割り当てられたか、別のユーザーに再割り当てされたか、ユーザーから割り当て解除されました。
  • 実装状態の変更: ユーザーが改善アクションの実装状態を変更しました。
  • テスト状態の変更: ユーザーが改善アクションのテスト状態を変更しました。
  • 証拠の変更: ユーザーが、改善アクションの [ ドキュメント ] タブで証拠ドキュメントをアップロードまたは削除しました。

既定のスコア変更ポリシー

コンプライアンス マネージャーは、改善アクションでスコアの変更を監視する既定のアラート ポリシーを設定します。 既定のポリシーでは、改善アクションのスコアが変更されたときにアラートが生成されます。 既定のポリシーのほとんどの設定は編集できません。 ただし、アラート通知の受信者として他のユーザーを追加することもできます。推奨されます。

既定のポリシーの設定を次に示します。

  • 60 分以内に検出されたすべての一致は、過剰な通知を減らすために 1 つのアラートにグループ化されます。 たとえば、5 つの改善アクションで 1 時間以内にスコアの変更が発生した場合、1 つのアラートが生成されます。

  • これらのアラートの重大度レベルは 中程度です。

  • organizationのグローバル 管理は、アラート通知の既定の受信者です。

  • 次の手順に従って、さらにアラート受信者を追加できます。

    • [ポリシー] ページ コンプライアンス マネージャーの既定のアラート ポリシーを見つけます。
    • 名前の左側にあるチェック ボックスをオンにし、フィルターの上にある上部付近にある [編集] ボタンを選択します。
    • [アラートの受信者] ページに移動するまで、[次へ] ボタンを選択します。
    • [+受信者の選択] を選択し、メール通知を受信するポップアップ ウィンドウの各ユーザー名の横にあるボックスをチェックします。 完了したら、[ Add recipient]\(受信者の追加\) を選択し、[ 次へ] を選択します。
    • [ 確認と完了 ] ページで、[ 更新 ] を選択して変更を保存します。

  • 既定のポリシーは削除できませんが、 次に示す手順に従って無効にすることができます。

ポリシーの作成手順

1 つ以上のイベントに基づいてアラートを生成するポリシーを作成するには、次の手順に従います。

  1. コンプライアンス マネージャーで、[ポリシー] ページに移動し、[追加] を選択してポリシー作成ウィザードを開始します。

    ヒント

    新しい Microsoft Purview ポータルでは、このページは ポリシー と呼ばれ、上部のタブではなく左側のナビゲーションにあります。

  2. [ 名前と説明 ] ページで、ポリシーの名前と説明 (省略可能) を入力し、[ 次へ] を選択します。

  3. [ 条件 ] ページで、アラートをトリガーする 1 つ以上のイベントを選択します。 [改善アクション アクティビティ] ヘッダーで、[サブ条件の追加] を選択し、各条件名の左側にマウス ポインターを合わせると表示されるボックスをチェックします。 ポリシーには、割り当て変更、証拠の変更、実装状態の変更、スコアの変更、テスト状態の変更の 1 つ以上の条件を選択できます。 完了したら、[次へ] を選択します。

  4. [結果] ページ 、ポリシーの一致が検出された場合の動作を選択します。

    • 一致が検出されたときにアラートの重大度レベル (低、中、高) を選択します。
    • 一致が検出されたときに電子メールで通知する頻度を選択します。 一致するたびに通知を受け取るか、3 つ以上の一致の特定の数のしきい値を選択できます。
    • 3 つ以上の一致の後に通知を受け取る場合は、そのしきい値に達する必要がある分数を指定します (たとえば、90 分以内に 4 回の一致)。

    完了したら、[次へ] を選択します。

  5. [アラートの受信者] ページで、ポリシー条件が満たされたときに電子メールを受信するために、organizationで追加のユーザーを選択します。 ポリシーを作成するユーザーが既定の受信者です。 [+受信者の選択] を選択し、メール通知を受信するポップアップ ウィンドウの各ユーザー名の横にあるボックスをチェックします。 完了したら、[ 受信者の追加] を選択し、[ 次へ] を選択します。

  6. すべての選択内容を確認し、[編集] を選択して各セクションに変更を加 えます。 確認が完了したら、[ポリシーの 作成] を選択します。

  7. ポリシーが作成されたら、[完了] を選択 します。 [ ポリシー] ページが表示され、作成したポリシーのポップアップ ウィンドウが既に開いています。

ポリシーは、作成後にアクティブになります。つまり、一致の検出とアラートの生成が開始されます。 ポリシーを非アクティブ化または削除する方法については、以下の「ポリシーの 管理 」セクションを参照してください。

ポリシーを作成または更新してから、そのポリシーによってアラートが生成されるまでに最大で 24 時間かかることがあります。 イベントのトリガーとアラートの集計については、以下の 「アラートの詳細を表示 する」を参照してください。

ポリシーの管理

[ ポリシー] ページには、すべてのポリシーの一覧が表示されます。 このページの詳細については、「 ポリシー」ページ を参照してください。 organization内のすべてのユーザーはポリシーを表示できますが、特定のアクションは特定のロールに制限されます。「アラート ポリシーのアクセス許可」を参照してください。

ヒント

新しい Microsoft Purview ポータルでは、このページは ポリシー と呼ばれ、上部のタブではなく左側のナビゲーションにあります。

ポリシーの詳細を表示する

[ ポリシー ] ページの行からポリシーを選択すると、ポリシーの詳細 (一致条件、アラート通知が送信されるかどうか、送信先、重大度レベルなど) が表示されるポップアップ パネルが表示されます。

パネルの下部にある [アクション] ボタンには、ポリシーの編集、ポリシーの削除、アラートの表示を行うオプションが表示されます。

ポリシーのアラートを表示する

ポリシーのポップアップ パネルで、[ アクション ] を選択し、[ アラートの表示] を選択します。 [アラート] ページに直接移動し、そのポリシーによって生成されたすべてのアラートのフィルター処理されたビューが表示されます。 アラートを操作する方法について説明します。

ポリシーを編集する

ポリシーの名前を除き、ポリシーの任意の側面を編集できます。 名前を変更する場合は、新しい名前で新しいポリシーを作成する必要があります。

ポリシーを編集するには、[ ポリシー ] ページで行の上にマウス ポインターを置いたときに名前の左側に表示される丸いボタンを選択し、フィルターの上にある上部付近にある [編集 ] ボタンを選択します。

ポリシーの作成ウィザードに進み、ポリシーに変更を加えて保存できます。 ポリシーを選択して詳細パネルを表示し、[ アクション] ボタンから [ ポリシーの編集] を選択することもできます。 ウィザードを再度実行したら、選択内容を確認し、最後の手順で [ 更新 ] を選択して変更を保存します。

更新されたポリシーによってアラートが生成されるまでに最大 24 時間かかることがあります。

ポリシーのアクティブ化または無効化

ポリシーは、作成されるとすぐに既定でアクティブ化されます。 アクティブな場合、ポリシーは条件が満たされたときにアラート ( [アラート ] ページに表示されます) を作成し、指定された受信者に通知メールを送信します。

ポリシーを 非アクティブ 状態に変更するには、アラートが生成されないようにするには、ポリシー名の左側に表示される丸いボタンを選択します。 次に、テーブルの上にある [無効] コマンドを選択します。 ポリシーの状態が [非アクティブ] と読み上げられます。 ポリシーを再アクティブ化するには、同じプロセスに従って、フィルターの上にある [アクティブ化 ] ボタンを選択します。

ポリシーを削除する

ポリシーを削除するには、[ポリシー ] ページでその 名前の横にあるボタンを選択し、ページの上部付近にある [削除 ] を選択します。 ポリシーを選択して詳細パネルを表示し、[ アクション] ボタンから [ ポリシーの削除] を選択することもできます。

削除は永続的です。 ポリシーを削除すると、アラートや電子メール通知は生成されなくなります。 削除されたポリシーに接続されているアラートの詳細については、こちらをご覧ください。

アラートの表示と管理

[ アラート] ページには、すべてのポリシーによって生成されたすべてのアラートを含むテーブルが表示されます。 アラートは、ポリシーの条件に一致するイベントが発生した直後に生成されます。 アラート名は、アラートを生成したポリシーと同じ名前です。

アラートは、アクティブなポリシーからのみ生成できます。 アラートが生成されると、ポリシーがアクティブか非アクティブかに関係なく、[ アラート ] ページに一覧表示されます。

アラートのビューをフィルター処理する

[アラート] ページの表の上にある [フィルター] コマンドを選択して 、アラートのビューをフィルター 処理できます。 [ フィルター ] ポップアップ ウィンドウで、次のフィルター オプションを選択します。

  • イベントの種類
  • 重要度
  • 状態
  • に割り当てられたユーザー
  • 検出日
  • ポリシー名

選択した後、[適用] を選択 します。 ポップアップ ウィンドウが閉じ、更新された [アラート] ページにフィルター処理されたビューが表示されます。 フィルターはテーブルの上部に表示されますが、すべてのフィルター列がテーブルに表示されるわけではありません。

アラートの詳細を表示する

アラートをトリガーしたイベントなど、アラートに関するすべての詳細を表示するには、テーブルでその行を選択します。 ポップアップ ウィンドウには、パネルの [ 概要 ] タブにアラートの詳細が表示されます。

ポップアップ パネルの [ イベント ログ ] タブには、スコアの変更や割り当ての変更など、アラートを生成したアクティビティと、各アクションに関連付けられているユーザーの名前と検出された日付が一覧表示されます。

アラート イベント

[アラート] ページの [イベント] 列は、検出されたポリシーの条件を示します。つまり、アラートを生成したアクティビティです。 アラートの詳細パネルの [ イベント ログ ] タブには、イベントの各インスタンス、関連付けられているユーザー、検出された日付が一覧表示されます。 イベント値を次に示します。

  • スコアの変更: ポイントの増減数を示します
  • 割り当ての変更: 改善アクションがユーザーに割り当てられている、別のユーザーに再割り当てされた、またはユーザーから割り当てられていない
  • 実装状態の変更: ユーザーが改善アクションの実装状態を変更しました
  • テスト状態の変更: ユーザーが改善アクションのテスト状態を変更しました。
  • 証拠の変更: ユーザーが改善アクションの [ドキュメント] タブで証拠ドキュメントをアップロードまたは削除しました
  • マルチイベント: 同じ種類のイベントの複数のインスタンスが検出されました。たとえば、複数回再割り当てされた 1 つの改善アクション
  • 複数条件: 1 つのポリシー内の複数の条件が検出されました

1 分以内の複数のイベントのアラート集計

アラート ポリシーの条件に一致する複数のイベントが 1 分で発生すると、アラート集計と呼ばれるプロセスによって既存のアラートに追加されます。

たとえば、ポリシーに一致する 1 つのイベントが発生すると、アラートが生成され、[ アラート ] ページに表示され、通知が送信されます。 最初のイベントから 1 分以内に同じポリシーに一致する別のイベントが発生した場合、コンプライアンス マネージャーは、新しいアラートをトリガーするのではなく、既存のアラートの [ イベント ログ ] タブに他のイベントの詳細を追加します。 アラートの集計の目的は、アラート "疲労" を減らし、少ないアラートに集中してアクションを実行できるようにすることです。

アラートに対するアクションの実行

いずれかのポリシーでアラートが生成されると、アラートの原因となったイベントを表示し、イベントを確認またはさらに調査する必要があるかどうかを判断できます。

アラートに対してアクションを実行するには、[ アラート ] ページでその行を選択してポップアップ パネルの詳細を表示し、[ アクション ] ボタンを選択し、以下のオプションを選択します。 また、行の上にマウス ポインターを置いたときにアラート名の左側に表示される丸いボタンを選択し、ページの上部付近にあるアクション ボタンの 1 つをフィルターの上から選択して、アクションを実行することもできます。

アラートの割り当て: アラートをユーザーに割り当てて、アラートの原因となったイベントを調査または検証することができます。 このオプションを選択すると、パネルが開き、organizationでユーザーを選択してアラートを割り当てることができます。 アラート ビューをフィルター処理するには、[アラート] ページで [フィルター] を選択し、[割り当て先] フィールドにユーザーの名前を入力します。

アラートのEmail: アラートのアクティビティに関連付けられているユーザーに電子メールを送信して、アクションが実行されたことを確認できます。 このオプションを選択すると、アラートに関する基本情報を含む電子メール テンプレートが開きます。このテンプレートは、詳細な手順でカスタマイズしてユーザーに送信できます。

ポリシーの詳細を表示する: アラートをトリガーしたポリシーの設定を確認できます。 このオプションを選択すると、 ポリシー の詳細パネルが既に開いている [ポリシー] ページに直接移動します。 ポリシーの詳細パネルを閉じると、[ アラート] ページに表示されなくなります。

状態の変更: 影響のレビューと調査が必要かどうかに基づいて、アラートの状態を更新できます。 アラートの状態の詳細については、次のセクションを参照してください。

アラートの状態

アラートが作成されると、その状態は [アクティブ] になります。 各アラートの詳細を確認すると、その状態を次のいずれかの状態に更新できます。

  • アクティブ: 状態が変更されるまでのアラートの既定の状態
  • 調査中: アラートが調査中です
  • 解決済み: アラートにさらなる調査やフォローアップは必要ありません
  • 無視: アラートは関連しないか、調査は必要ありません

アラートの状態を割り当てるか変更するには、テーブルの行からアラートを選択し、フィルターの上にあるページの上部付近にある [状態の変更 ] を選択します。 [アラートの状態の更新] ポップアップ ウィンドウで、ドロップダウン メニューから状態を選択し、[アラートの 更新] を選択します。

アラートが生成されると、その状態は、アラートを生成したポリシーの状態とは無関係です。 たとえば、 アクティブな アラートを 非アクティブ なポリシーに関連付け、後で非アクティブ化または削除されたポリシーによって生成されたアラートの 調査 状態を持つことができます。

ポリシーが削除されたとき

ポリシーが削除されると、そのポリシーによって生成されたすべてのアラートは [アラート] ページに残りますが、新しいアラートは生成されません。

アラートのEmail通知

ポリシーを作成すると、ポリシーを作成したユーザーに、一致が検出されたことを通知する電子メールが送信されます。 これらの電子メール通知を、organization内の他のユーザーに送信することを選択できます。 アラートはほぼリアルタイムで発生し、アラートが生成されるとすぐに電子メール通知が送信されます。 電子メールには、イベント名、重大度、検出された時間、およびコンプライアンス マネージャーでアラートを表示するためのリンクが含まれています。

アラートの受信からユーザーを削除する

アラート受信者を指定した後で削除する場合は、次の手順に従います。 ポリシーの一致が検出されても、ポリシー作成者は引き続き電子メール通知を受け取ります。

  1. ポリシーを編集する手順 を開始します
  2. [アラートの受信者] 画面に到着したら、[+受信者の選択] を選択します
  3. [ 受信者の選択 ] ポップアップ パネルで、通知から削除するユーザーを見つけて、名前の左側にあるチェック ボックスをオフにしてから、[ 受信者の追加 ] ボタン (選択内容を保存する効果があります) を選択します。
  4. ウィザードを続行し、[確認と完了] ページの [ 受信者] にユーザーが表示されていないことを確認します。 [ 更新] を選択して設定を保存し、完了します。