Microsoft Teams のセキュリティとコンプライアンスに関するアラートを作成する

  • 7 分

アラート ポリシーを使用して、ユーザーのアクティビティを監視できます。 ユーザーがアラート ポリシーの条件に一致するアクティビティを実行すると、アラートが生成されます。 例えば、マルウェア攻撃、フィッシング キャンペーン、異常なレベルのファイル削除や外部共有などです。 Microsoft Purview コンプライアンス ポータルからアラート ダッシュボードを作成し、確認することができます。

アラート ポリシーを使用すると、ポリシーによってトリガーされるアラートを分類し、組織内のすべてのユーザーにポリシーを適用し、アラートがトリガーされるタイミングのしきい値レベルを設定し、アラートがトリガーされたときにメール通知を受信するかどうかを決定できます。

アラート ポリシーのスクリーンショット。

アラート ポリシーの動作

次のダイアグラムは、アラート ポリシーの動作の基本的なワークフローを示しています。

アラート ポリシー ワークフローのスクリーンショット。

  1. 管理者は、Microsoft Purview コンプライアンス ポータルで、通常とは異なるユーザーまたは管理者のアクティビティを監視する新しいポリシーを作成、あるいは既存のポリシーを変更します。

  2. ユーザーまたは管理者は、電子情報開示ケースの作成やメールボックスへのフル アクセス許可の追加など、条件に一致するアクションを実行し、アラート ポリシーをトリガーします。

  3. アラートが生成され、すべてのグローバル管理者にメールを送信するなど、それに応じたアラート アクションがトリガーされます。 さらに、アラート入力が Microsoft Purview コンプライアンス ポータルのアラート ダッシュボードに作成されます。

  4. 管理者は、アラート ダッシュボードでアラートを確認し、アラートを承認または却下を決定します。

アラート ポリシーの設定

アラート ポリシーは、アラートを生成するユーザーまたは管理者アクティビティを定義する一連のルールと条件、アクティビティを実行した場合にアラートをトリガーするユーザーのリスト、およびアラートがトリガーされる前にアクティビティが発生する必要がある回数を定義するしきい値で構成されます。 また、ポリシーを分類し、重大度のレベルを割り当てます。

アラート ポリシーは、次の設定と条件で構成されます。

  • アラートが追跡するアクティビティ: アクティビティを追跡するためのポリシーを作成します。場合によっては、共有、アクセス許可の割り当て、または匿名リンクの作成によって、ゲストとファイルを共有するなどのいくつかの関連アクティビティを追跡します。 ポリシーによって定義されているアクティビティをユーザーが実行すると、アラートしきい値の設定に基づいてアラートがトリガーされます。

  • アクティビティの条件: ほとんどのアクティビティでは、アラートをトリガーするために満たさなければならないその他の条件を定義できます。

  • アラートがトリガーされた場合: アラートがトリガーされる前にアクティビティが発生する頻度を定義する設定を構成できます。

    アクティビティの発生、しきい値、または異常なアクティビティに基づいて、トリガーするアラートを構成するスクリーンショット。

  • アラート カテゴリ: ポリシーによって生成されたアラートの追跡と管理に役立つ場合は、次のいずれかのカテゴリをポリシーに割り当てできます。

    • データ損失防止

    • 情報ガバナンス

    • メール フロー

    • Permissions

    • 脅威の管理

    • Others

    アラートポリシーの条件に一致するアクティビティが発生すると、生成されたアラートは、設定で定義されたカテゴリでタグ付けされます。 タグ付けでは、カテゴリに基づいてアラートを並べ替え、フィルター処理できるので、コンプライアンス ポータルの [アラート] ページで同じカテゴリ設定を持つアラートを追跡および管理できます。

  • アラートの重大度: アラート カテゴリと同様に、重大度属性 (、または 情報) をアラート ポリシーに割り当てます。 アラート カテゴリと同じく、アラート ポリシーの条件を満たすアクティビティが発生した場合、生成されるアラートには、アラート ポリシーに設定されているものと同じ重大度レベルのタグが付けられます。

  • メール通知: アラートがトリガーされると、メール通知がユーザーのリストに送信 (または送信されない) 状態に設定できます。

新しいアラートの作成

Microsoft Purview コンプライアンス ポータルで新しいアラート ポリシーを作成し、監査ログがオンになっているかどうかを確認するには、次の手順に従います。

  1. Microsoft Purview コンプライアンス ポータル にサインインし、[ポリシー] > [アラート ポリシー] の順に選択します。

  2. 上部 ウィンドウから [+ 新規アラート ポリシー] を選択して、新規アラート ポリシーを作成します。

  3. アラートに[名前]を付け、分類し、重大度を選択します。 Web ページ で、次の情報を入力します。

    • このアラート ポリシーの使用を特定するための 名前

    • 他の管理者が、このアラート ポリシーの目的を理解する 説明

    • これらのアラートのイベントの重要度レベルの 重大度

    • 組織内の異なる役割に対するアクセスを構成する カテゴリ

  4. [次へ] を選択します。

  5. [アクティビティ、条件、 およびアラートをトリガーするタイミングを選択する] ページで、必要なアクティビティとアラートの条件を選択し、[次へ] を選択します。

  6. [このアラートがトリガーされた場合にユーザーに通知する場合の決定] ページで、通知の受信者と 1 日の通知制限の頻度を指定できます。 [次へ] を選択します。

  7. [設定の確認] ページ で、アラート設定を確認し、ポリシーをオンにするか、または後でオンにすることもできます。 すべてが必要に応じて構成されたら、[終了] を選択します。

    アラート ポリシーの作成のスクリーンショット。

警告を表示する

組織内のユーザーに割り当てられた役割ベースの Access Control (RBAC) アクセス許可によって、ユーザーが [アラート] ページで表示できるアラートが決まります。 次に、いくつかの例を示します:

  • レコード管理役割グループのメンバーは、Information Governance カテゴリが割り当てられたアラート ポリシーによって生成されたアラートのみを表示できます。

  • コンプライアンス管理者役割グループのメンバーは、脅威管理 カテゴリが割り当てられているアラート ポリシーによって生成されるアラートを表示できません。

  • 割り当てられた役割のいずれもアラート カテゴリからのアラートを表示する権限を提供しないため、電子情報開示マネージャー役割グループのメンバーはアラートを表示できません。