Firefox 用 Microsoft Purview 拡張機能の概要

Firefox 用 Microsoft Purview 拡張機能をロールアウトするには、次の手順に従います。

ヒント

Microsoft Security Copilotの使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を検討します。 Microsoft Purview のMicrosoft Security Copilotの詳細については、こちらをご覧ください。

開始する前に

Firefox 用の Microsoft Purview 拡張機能を使用するには、デバイスをエンドポイント DLP にオンボードする必要があります。 DLP またはエンドポイント DLP を初めて使用する場合は、これらの記事を確認してください

Microsoft Purview DLP を初めて使用する場合は、DLP を実装するときに必要となるコア記事の一覧を次に示します。

1. 管理単位
2. Microsoft Purview データ損失防止について学習する - 現在読んでいる記事では、データ損失防止規範と Microsoft による DLP の実装について説明します
3. データ損失防止 (DLP) を計画 する - この記事を使用して、次の作業を行います。
   1. 利害関係者を特定する
   2. 保護する機密情報のカテゴリについて説明する
   3. 目標と戦略を設定する
4. データ損失防止ポリシーリファレンス - この記事では、DLP ポリシーのすべてのコンポーネントと、それぞれがポリシーの動作にどのように影響するかを紹介します
5. DLP ポリシーを設計する - この記事では、ポリシー意図ステートメントを作成し、それを特定のポリシー構成にマッピングする方法について説明します。
6. データ損失防止ポリシーの作成と展開 - この記事では、構成オプションにマップする一般的なポリシー意図シナリオについて説明します。その後、これらのオプションを構成する手順について説明します。
7. データ損失防止アラートの調査について説明します -この記事では、最終的な修復とポリシーの調整を通じて、作成からのアラートのライフサイクルについて説明します。 また、アラートの調査に使用するツールについても説明します。

さらに、次の記事の情報に精通している必要があります。

• Firefox 用 Microsoft Purview 拡張機能について説明します
• エンドポイント データ損失防止について
• エンドポイント データ損失防止の使用を開始する
• Windows 10 デバイスのオンボード ツールと各種方法
• 情報保護のためにデバイス プロキシとインターネット接続の設定を構成する
• エンドポイントのデータ損失防止の使用

SKU /サブスクリプション ライセンス

DLP をサポートするサブスクリプションの詳細については、 セキュリティ & コンプライアンスに関する Microsoft 365 ガイダンス を参照してください。

• エンドポイント DLP に対してorganizationのライセンスが必要です
• デバイスで Windows 10 x64 ビルド 1809 以降を実行している必要があります。
• デバイスで Antimalware Client バージョン 4.18.2202.x 以降を実行している必要があります。 Windows セキュリティ アプリを開いて現在のバージョンを確認し、[設定] アイコンを選択して、[バージョン情報] を選択します。

アクセス許可

Endpoint DLP からのデータは、Activity エクスプローラーで表示します。 Activity エクスプローラーに権限を付与する役割は 7 つあります。データへのアクセスに使用するアカウントは、次のいずれかのメンバーでなければなりません。

• コンプライアンス管理者
• セキュリティ管理者
• コンプライアンスデータ管理者
• グローバルリーダー
• セキュリティ閲覧者
• レポート閲覧者
• グローバル管理者

重要

Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は、特権の低いロールを使用できないシナリオでのみ使用する必要がある、高い特権を持つロールです。

ロールとロールのグループ

アクセス制御を微調整するために使用できるロールと役割グループがあります。

該当するロールの一覧を次に示します。 詳細については、Microsoft Purview コンプライアンス ポータルのアクセス許可に関するページを参照してください。

• Information Protection 管理者
• Information Protection アナリスト
• Information Protection 調査員
• Information Protection 閲覧者

該当する役割グループの一覧を次に示します。 これらの役割グループの詳細については、「Microsoft Purview コンプライアンス ポータルのアクセス許可」を参照してください。

• 情報保護
• Information Protection レベル
• Information Protection アナリスト
• Information Protection 調査担当者
• Information Protection 閲覧者

インストールの全体的なワークフロー

拡張機能の導入は、複数の手順を踏まえて行われます。 一度に 1 台のマシンにインストールするか、organization全体のデプロイにMicrosoft Intuneまたはグループ ポリシーを使用できます。

1. デバイスを準備します。
2. 基本的なセットアップ シングル マシンのセルフホスト
3. Microsoft Intuneを使用してデプロイする
4. グループ ポリシーを使用して展開する
5. 拡張機能をテストする
6. アラート管理ダッシュボードを使用して Firefox DLP アラートを表示する
7. アクティビティ エクスプローラーでの Firefox DLP データの表示

インフラストラクチャの準備

監視されているすべてのWindows 10デバイスに拡張機能をロールアウトする場合は、許可されていないアプリと未適用のブラウザー リストから Mozilla Firefox を削除する必要があります。 詳細については、「許可されていないブラウザー」を参照してください。 いくつかのデバイスにのみ展開している場合は、Firefox を未適用のブラウザーまたは未適用のアプリリストに残すことができます。 拡張機能は、インストールされているコンピューターの両方のリストの制限をバイパスします。

デバイスを準備する

1. デバイスをオンボードするには、次の記事の手順を使用します。
   1. エンドポイント データ損失防止の使用を開始する
   2. Windows 10 および Windows 11 デバイスのオンボード
   3. 情報保護のためにデバイス プロキシとインターネット接続の設定を構成する

基本的なセットアップ シングル マシンのセルフホスト

これは推奨される方法です。

1. 最初の XPI ファイルをダウンロードします。

2. エクスプローラーで拡張機能を見つけて、ファイルを開いている Mozilla Firefox ウィンドウにドラッグします。

3. インストールを確認します。

Microsoft Intuneを使用してデプロイする

この設定方法は、組織全体の展開に使用します。

強制的にインストールする手順をMicrosoft Intuneする

強制インストールされた拡張機能の一覧に拡張機能を追加する前に、Firefox ADMX を取り込む必要があります。 Microsoft Intuneのこのプロセスの手順を以下に示します。 これらの手順を開始する前に、 Firefox GitHub から最新の Firefox ADMX をダウンロードしていることを確認してください。

Firefox ADMX を取り込むには、次の手順に従います。

1. Microsoft エンドポイント マネージャー管理センターにサインインします。

2. [ デバイス] に移動し、[ 構成] に移動します。

3. [ 新しいポリシーの作成] を選択します。

4. プラットフォームとして [Windows 10と後で] を選択します。

5. プロファイルの種類として [テンプレート ] と [カスタム ] を選択し、[ 作成] をクリックします。

6. Firefox ADMX などのわかりやすい名前と、省略可能な説明を入力します。

7. [OMA-URI 設定の追加] をクリックし、次のポリシー情報を入力します。

   名前: わかりやすい名前。

   説明: 省略可能な説明

   OMA-URI: ./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/Firefox/Policy/FirefoxAdmx

   データ型: String

   値: ダウンロードした firefox.admx ファイルのすべてのテキストを [値 ] フィールドにコピーします

8. [作成] を選択します。

ADMX を取り込んだ後、以下の手順でこの拡張機能の構成プロファイルを作成します。

1. Microsoft Intune 管理センターにサインインします。

2. 構成プロファイルに移動します。

3. [プロファイルの作成] を選択します。

4. Windows 10 をプラットフォームとして選択します。

5. プロファイルの種類として [カスタム] を選択します。

6. [設定] タブを選択します。

7. [追加] を選択します。

8. 次のポリシー情報を入力します。

   OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Firefox~Policy~firefox~Extensions/ExtensionSettings
   データ型: String
   値: <enabled/><data id="ExtensionSettings" value='{"microsoft.defender.browser_extension.native_message_host@microsoft.com":{"installation_mode": "force_installed", "install_url": "https://github.com/microsoft/purview/raw/main/endpointDLP/browser_extension/prod-1.1.0.212.xpi","updates_disabled":false}}'/>

9. 注: 拡張機能が時間の経過と同時に自動的に更新されるように、 updates_disabled を false に設定することが重要です。

10. [作成] を選択します。

グループ ポリシーを使用して展開する

Microsoft Intuneを使用しない場合は、グループ ポリシーを使用して、organization全体に拡張機能を展開できます。

ForceInstall リストへの Firefox 拡張機能の追加

1. グループ ポリシー管理エディターで、OU に移動します。

2. 次のパス [Computer/User configuration>Policies>Administrative templates>Classic 管理用テンプレート>Firefox>Extensions を展開します。 このパスは、お使いの構成によって異なる場合があります。

3. [インストールする拡張機能] を選択します。

4. 右クリックして、[編集] を選択します。

5. [有効] を選択します。

6. [表示] を選択します。

7. [値] の下で、以下のエントリを追加します。https://github.com/microsoft/purview/raw/main/endpointDLP/browser_extension/prod-1.1.0.212.xpi

8. [OK]、[適用] の順に選択します。

拡張機能をテストする

クラウド サービスへのアップロード、または許可されていないブラウザー クラウド エグレスによるアクセス

1. 機密性の高いアイテムを作成または取得し、組織の制限されたサービス ドメインの 1 つへのファイルのアップロードを試します。 機密データは、組み込みの [機密情報の種類] のいずれか、またはご所属の組織の機密情報の種類のいずれかに一致する必要があります。 ファイルが開いているときにこのアクションが許可されていないことを示す、テスト元のデバイスで DLP トースト通知を受け取る必要があります。

Firefox で他の DLP シナリオをテストする

許可されていないブラウザー/アプリの一覧から Firefox を削除したので、以下のシナリオのポリシーでシミュレーションを実行して、動作がorganizationの要件を満たしていることを確認できます。

• クリップボードを使用して、機密アイテムのデータを他のドキュメントにコピーする
  • テストするには、Firefox ブラウザーでクリップボードへのコピーアクションから保護されているファイルを開き、ファイルからデータをコピーします。
  • 予期される結果: ファイルが開いているときにこのアクションが許可されていないことを示す DLP トースト通知。
• 文書を印刷する
  • テストするには、Firefox ブラウザーで印刷アクションから保護されているファイルを開き、ファイルの印刷を試みます。
  • 予期される結果: ファイルが開いているときにこのアクションが許可されていないことを示す DLP トースト通知。
• USB リムーバブル メディアにコピーする
  • テストするには、リムーバブル メディア ストレージにファイルを保存してみてください。
  • 予期される結果: ファイルが開いているときにこのアクションが許可されていないことを示す DLP トースト通知。
• ネットワーク共有へのコピー
  • テストするには、ネットワーク共有へのファイルの保存を試します。
  • 予期される結果: ファイルが開いているときにこのアクションが許可されていないことを示す DLP トースト通知。

アラート管理ダッシュボードを使用して Firefox DLP アラートを表示する

1. Microsoft Purview コンプライアンス ポータルのデータ損失防止ページを開き、アラートを選択します。

2. エンドポイント DLP ポリシーのアラートを表示するには、「データ損失防止アラートダッシュボードの概要」および「Microsoft Defender XDRを使用してデータ損失インシデントを調査する」の手順を参照してください。

アクティビティ エクスプローラーでの Firefox DLP データの表示

1. Microsoft Purview コンプライアンス ポータルでドメインのデータ分類ページを開き、Activity エクスプローラーを選択します。

2. エンドポイントデバイスのすべてのデータにアクセスしてフィルタリングするには、「Activity エクスプローラースタートガイド」の手順に従ってください。

既知の問題と制限事項

1. シークレット モードはサポートされていないため、無効にする必要があります。

次の手順

デバイスをオンボードし、アクティビティ エクスプローラーでアクティビティ データを表示できるようになったので、機密アイテムを保護する DLP ポリシーを作成する次の手順に進む準備ができました。

• エンドポイントのデータ損失防止の使用

関連項目

• エンドポイント データ損失防止について
• エンドポイントのデータ損失防止の使用
• データ損失防止について
• データ損失防止ポリシーの作成と展開
• Activity Explorer を使い始める
• Microsoft Defender for Endpoint
• Windows 10 マシン用のオンボーディングツールとメソッド
• Microsoft 365 サブスクリプション
• Microsoft Entra 参加済みデバイス
• Chromium ベースの新しい Microsoft Edge をダウンロードする