Just-In-Time 保護Microsoft Purview データ損失防止使用する
エンドポイント データ損失防止 (DLP) Just-In-Time (JIT) 保護を使用して、ポリシーの評価が正常に完了するのを待っている間に、監視対象ファイルのすべてのエグレス アクティビティをブロックできます。
JIT 保護が有効になっていて、ポリシー評価の処理中に、エンドポイント DLP は、アカウントが選択されたスコープ内にある各ユーザーのすべてのエグレス アクティビティをブロックします。 エンドポイント DLP は、([除外 ] 設定を 使用して) 除外されたすべてのユーザー アカウント、またはスコープ内にないすべてのユーザー アカウントのエグレス アクティビティを監査します。
適用対象
エンドポイント DLP の JIT 保護は、次のデバイスでネイティブにサポートされています。
- Windows 10
- Windows 11
- プレビュー版 macOS (3 つの最新バージョン)
Just-In-Time 保護をデプロイするためのベスト プラクティス
手順 1: 環境を準備する
Just-In-Time 保護を展開する前に、マルウェア対策クライアント バージョン 4.18.23080 以降を展開する必要があります。
注:
マルウェア対策クライアントの古いバージョンのマシンの場合は、次のいずれかの KB をインストールして Just-In-Time 保護を無効にすることをお勧めします。
手順 2: JIT 保護をデプロイする
現在使用しているポータルに該当するタブを選択してください。 Microsoft 365 プランによっては、Microsoft Purview コンプライアンス ポータルは廃止されるか、間もなく廃止されます。
Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。
Microsoft Purview ポータルにサインインします。
[設定>Data Loss Prevention>Just-in-time protection] を選択します。
[ 監視する場所の選択] で、[デバイス] の横にあるチェック ボックスをオン にします。
[ 失敗した場合のフォールバック アクション] で、[ ユーザーによるアクションの完了を許可する] を選択します。 これにより、分類が失敗した場合にユーザー アクションを完了できます。
注意
この機能の影響を完全に理解するまで、[ ユーザーのアクションの完了をブロック する] オプションを選択しないでください。
イベントの数が安定し、次のテレメトリ計算に基づいて、適用モードを適用するユーザー グループの可能なサイズを十分に理解するまで、各ステージで設定を検証する必要があります。
手順 3: デプロイの JIT 保護イベントの数を見積もる
アクティビティ エクスプローラーのイベントに基づいて次の計算を実行して、JIT 保護のデプロイの影響を見積もる。
- N = JIT 保護イベントを発生させる一意のマシンの数。
- S = デプロイのスコープ内のマシンの合計数。
N/S
は、JIT 保護 "ブロック" イベントが発生する可能性があるマシンの割合を示します。
この情報を使用すると、スコープを拡張するときに JIT ブロック モードを実装することで影響を受けるマシンの数と、表示される可能性のあるサポート チケットの数を把握する必要があります。 次に、スコープを拡張するかどうかを決定できます。
手順 4: その他の追加設定を使用して JIT 保護を微調整する
手順 1 で説明されているように、 障害が発生した場合にフォールバックするだけでなく、次の設定を使用して JIT 保護を微調整することもできます。
- クリップボードへのコピーを制御する: JIT 保護でファイルが評価されている間に、ユーザーがクリップボードにコンテンツをコピーできないようにする場合は、これをオンにします。
注:
[ クリップボードへのコピーの制御] を オンにすると、ユーザーの生産性に影響する可能性があります。 この設定をオンにする前に、生産性への影響をテストしてください。
Windows のアプリの除外: ここに含めるアプリは、Windows デバイスの JIT 保護によって評価されません。
Windows のファイル パスの除外: これらの場所のファイルは JIT 保護によって評価されません。
注:
ここでのファイル パスの除外設定と、データ損失防止>Settings>Endpoint 設定>Windows のファイル パスの除外設定の違いは次のとおりです。
- ここでの [ファイル パスの除外] 設定 では、JIT 保護から特定のファイル パスのみが除外されます。 それ以外の場合でも、Microsoft Purview は、これらのフォルダー内のファイルに対してエンドポイント DLP 分類と保護を引き続き適用します。
- データ損失防止>Settings>Endpoint 設定>Windows の [ファイル パスの除外] を使用して見つかった Windows のファイル パスの除外では、指定したフォルダーの下にあるファイルに対して Purview がエンドポイント DLP 分類と保護を適用できなくなります。
- ファイル拡張子の除外: これらの拡張子を持つファイルは JIT 保護によって評価されません。
手順 5: [失敗した場合のフォールバック アクション] 設定の [ユーザーによるアクションの完了をブロックする] に JIT 保護をデプロイする
この構成は、分類が失敗したときに DLP が適用する強制モードのみを制御します。 ここで選択した値に関係なく、関連するテレメトリがアクティビティ エクスプローラーに表示されます。