データ損失防止シミュレーション モードの概要
Microsoft Purview データ損失防止 (DLP) シミュレーション モードを使用すると、次の情報を確認できます。
- 適用なしの運用環境に対するポリシーの影響。
- ポリシーが適用された場合に一致するすべての項目。
この記事では、シミュレーション モードの前提条件、構成オプション、およびシミュレーション結果を表示する方法について説明します。
ヒント
Microsoft Copilot for Security の使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を探ります。 Microsoft Purview の Microsoft Copilot for Security の詳細については、こちらをご覧ください。
開始する前に
ライセンス
DLP ポリシーの使用を開始する前に、 Microsoft 365 サブスクリプション とアドオンを確認してください。
ライセンスの詳細については、「Microsoft 365、Office 365、Enterprise Mobility + Security、Windows 11 Subscriptions for Enterprises」を参照してください。
アクセス許可
シミュレーション モードの操作に使用するアカウントは、Information Protection 管理者ロールに含まれている必要があります。 シミュレーション モードを使用するために必要なロールとロール グループの詳細については、「 アクセス許可」を参照してください。 Microsoft Purview コンプライアンスの役割と役割グループの詳細については、「Microsoft Defender for Office 365 および Microsoft Purview コンプライアンスの役割と役割グループ」を参照してください。
システム構成
ネイティブ アプリケーションのエンドポイント デバイスの一致するアイテムを 確認用アイテムに表示するには、 デバイス上のファイル アクティビティの証拠収集を構成する必要があります。
DLP シミュレーション モードを管理する
ポリシーを作成するとき、または作成した後に、ポリシーをシミュレーション モードに設定できます。 既にシミュレーション モードになっているポリシーのシミュレーション モードをオフにすることもできます。
- 「データ損失防止ポリシーの作成と展開」の手順を使用して、新しいポリシーを作成するか、既存のポリシーを編集します。
- ポリシー構成ワークフローの最後の手順は、ポリシーの シミュレートまたはオンです。 [ シミュレーション モードでポリシーを実行する ] を選択して、シミュレーション モードを有効にします。 [ すぐにオンにする] または [ オフにしたまま にする] を選択して、シミュレーション モードを無効にします。 さらに、次を選択できます。
- ポリシーのヒントをシミュレーション モードで表示 して、ポリシーアクションをトリガーする可能性のあるアクションをユーザーが実行する際の教育に役立ちます。
- シミュレーションから 15 日以内に編集されていない場合は、ポリシーを オンにして、それ以上の操作を行わずにポリシーを有効にします。
- [ 次へ ] と [ 送信] を選択します。
無効にした後、分析情報が [概要] ページに表示されなくなるまで最大 24 時間かかることがあります。
シミュレーション モードでの DLP ポリシーの表示
現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。
Microsoft Purview ポータル>Data Loss Prevention>Policies にサインインします。
[ シミュレーション中 ] または [通知を含む シミュレーション中 ] の状態のポリシーを選択して、ポップアップ ウィンドウを開きます。
[ シミュレーションの表示] を選択して、[ シミュレーションの概要]、[ 確認用アイテム]、および [ アラート] タブを 表示します。
シミュレーション モードの状態メッセージ
注:
シミュレーション モードでポリシーを実行した場合のスキャン結果は、30 日間保存されます。 引き続き、それより長いシミュレーション モードでポリシーを実行できますが、最新の 30 日間の結果のみが表示されます。
ポリシーがシミュレーション モードで実行されると、ほとんどの場所でコンテンツ スキャンがリアルタイムで行われます。つまり、電子メールまたは Teams メッセージが送信されたときに発生します。 SharePoint と OneDrive の場所のコンテンツ スキャンは、少し異なる方法で動作します。 ドキュメントがこれらの場所にアップロードされたときにコンテンツをスキャンするだけでなく、シミュレーション モードで実行されているポリシーには、完了、進行中、期限切れの 3 つの追加の進行状況メッセージが表示されます。 次の表では、各場所で使用可能なステータス メッセージを示し、説明します。
シミュレーション モードのスキャン状態 (場所別)
| 場所 | ステータス メッセージの説明 |
|---|---|
| Exchange | リアルタイム - メッセージの送信時にコンテンツがスキャンされる |
| SharePoint |
完了 - Sharepoint または OneDrive の既存のコンテンツのスキャンが完了したことを示します。 このステータス メッセージは、SharePoint または OneDrive がスコープ内の唯一の場所である場合にのみ表示されます。 進行中 - シミュレーションが実行されていることを示します。 より多くの一致が見つかると、結果が更新されます。 |
| OneDrive |
完了 - Sharepoint または OneDrive の既存のコンテンツのスキャンが完了したことを示します。 このステータス メッセージは、SharePoint または OneDrive がスコープ内の唯一の場所である場合にのみ表示されます。 進行中 - シミュレーションが実行されていることを示します。 より多くの一致が見つかると、結果が更新されます。 |
| Teams チャットおよびチャネル メッセージ | リアルタイム - メッセージの送信時にコンテンツがスキャンされる |
| デバイス | リアルタイム - デバイスから転送されたときにコンテンツがスキャンされる |
| Fabric と Power BI | リアルタイム - アップロード時にコンテンツがスキャンされる |
次の表では、ポリシー シミュレーション全体の進行状況に関連するステータス メッセージについて説明します。
シミュレーション モードの全体的な状態
| シミュレーションの状態 | 説明 |
|---|---|
| 完了 | DLP ポリシー スコープが SharePoint、OneDrive、またはその両方に限定されている場合にのみ使用できます。 保存されているすべてのデータがスキャンされたことを示します。 |
| 処理中 | シミュレーション スキャンが進行中です。 追加のポリシーの一致が検出されると、結果が更新されます。 |
| 期限切れ | シミュレートされるポリシーは、30 日を超えています。 Microsoft Purview では、シミュレーション データは 30 日間のみ保持されます。 最新の 30 日間のウィンドウより前にスキャンされた保存データのスキャン結果を取得するには、スキャンを再実行します。 |
SharePoint と OneDrive の場所で一致した最初の 100 個のアイテムのみが確認用に表示されます。 これは、一致する項目の合計数とは異なる場合があります。
シミュレーション イベントが アクティビティ エクスプローラーに表示されます。 TestWithNotifyUser、TestWithoutNotifyUser を持つモードでフィルター処理し、値を適用できます。