データ損失防止のオンプレミス リポジトリについて説明します
オンプレミス のリポジトリの場所を選択すると、Microsoft Purview Data Loss Prevention (DLP) は、ファイル共有と SharePoint ドキュメント ライブラリとフォルダー内のオンプレミスの保存データに対して保護アクションを適用できます。 これにより、機密性の高いアイテムが適切に使用および保護されていることを確認し、危険にさらされる可能性のある動作を防止するために必要な可視性と制御を得ることができます。 DLP は、 組み込み または カスタムの機密情報 の種類、 秘密度ラベル 、またはファイル プロパティを使用して機密情報を検出します。 機密アイテムを使用してユーザーが行っていることに関する情報がActivity Explorerに表示され、DLPポリシーを通して、それらのアイテムに保護アクションを適用できます。
ヒント
Microsoft Copilot for Security の使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を探ります。 Microsoft Purview の Microsoft Copilot for Security の詳細については、こちらをご覧ください。
DLP は Microsoft Purview Information Protection スキャナーに依存しています
DLP は、Microsoft Purview Information Protection スキャナーの完全な実装に依存して、機密アイテムの監視、ラベル付け、保護を行います。 Information Protection スキャナーを実装していない場合は、DLP を使用する前に実装する必要があります。 詳細については、次の記事を参照してください。
- Azure Information Protection とは
- 情報保護スキャナーについて説明します
- 情報保護スキャナーの概要
- 情報保護スキャナーの構成とインストール
- Microsoft Purview Information Protection クライアント - リリース管理とサポート可能性
DLP オンプレミスリポジトリアクション
DLP は、次の情報を探して、オンプレミス リポジトリ内のファイルを検出します。
- 機密情報の種類
- 機密度ラベル
- ファイル拡張子
- Office ファイルのみのカスタム ドキュメント プロパティ
検出されたファイルがコンプライアンス ポリシー違反または漏洩した場合の潜在的なリスクが発生した場合、DLP は次の 4 つのアクションのいずれかを実行できます。
| アクション | 説明 |
|---|---|
| オンプレミス スキャナーに格納されているファイルへのアクセスをブロックする - すべてのユーザーをブロックする | このアクションを適用すると、コンテンツ所有者、アイテムを最後に変更したアカウント、管理者を除くすべてのアカウントへのアクセスがブロックされます。 これは、ファイル所有者、リポジトリ所有者 (コンテンツ スキャン ジョブで DLP ポリシー 設定を使用する)、最後の修飾子 (SharePoint でのみ識別できます)、管理者を除く、ファイル レベルで NTFS/SharePoint のアクセス許可からすべてのアカウントを削除することで行われます。スキャナー アカウントには、ファイルに対する FC 権限も付与されます。 |
| オンプレミス ネットワークにアクセスできるユーザーと、ファイルへの明示的なアクセスが許可されていない組織内のユーザーのみがファイルへのアクセスをブロックする | このアクションを適用すると、ファイル アクセス制御リスト (ACL) から Everyone、 NT AUTHORITY\authenticated users、 および Domain Users SID が削除されます。 ファイルまたは親フォルダへの権限が明示的に付与されているユーザーとグループのみがファイルにアクセスできます。 |
| ファイルに対するアクセス許可を設定する (アクセス許可は親フォルダーから継承されます) | 適用されると、このアクションはファイルにその親フォルダーのアクセス許可を継承させます。 既定では、このアクションは、親フォルダーに対するアクセス許可が、ファイルに既に存在するアクセス許可よりも制限が厳しい場合にのみ適用されます。 たとえば、ファイルの ACL が 特定のユーザー のみを許可するように設定され、親フォルダーが Domain Users グループを許可するように構成されている場合、親フォルダーのアクセス許可はファイルによって継承されません。 親 のアクセス許可の制限が低い場合でも、[継承 ] オプションを選択することで、この動作をオーバーライドできます。 |
| 不適切な場所からファイルを削除する | 強制されると、このアクションは元のファイルを .txt 拡張子の付いたスタブ ファイルに置き換え、元のファイルのコピーを検疫フォルダーに配置します。 |
オンプレミス スキャナーの違い
オンプレミス スキャナーを掘り下げる前に知っておく必要のあるいくつかの追加の概念があります。
スキャナー リポジトリとコンテンツ スキャン ジョブ
情報保護スキャナーのコンテンツ スキャン ジョブを作成し、DLP で評価するファイルをホストするリポジトリを特定する必要があります。 作成したコンテンツ スキャン ジョブで DLP ルールを有効にしてください。
ポリシー ヒント
ポリシーヒント は、オンプレミススキャナーでは使用できません。
DLP オンプレミス スキャナー イベントの表示
DLP データは、Microsoft Purview コンプライアンス ポータル アクティビティ エクスプローラーで表示します。
次の手順
Information Protection オンプレミス スキャナーについて学習したので、次の手順を実行します。