未承認のクラウド アプリやサービスとの機密性の高いアイテムの共有を防ぐ

このシナリオでは、Microsoft Purview DLP を使用して、機密情報の意図しない共有を承認されていないクラウド アプリケーションとサービスに制限する方法を示します。 機密性の高いサービス ドメインを定義し、サポートされているブラウザーを使用して制御を強制することで、組織は機密データのアップロードまたはアクセス方法を監視およびガイドできます。

注:

次の Web ブラウザーがサポートされています。

  • Microsoft Edge (Win/macOS)
  • Chrome (Win/macOS)- Chrome Windows 専用の Microsoft Purview 拡張機能
  • Firefox (Win/macOS)- Firefox Windows 専用の Microsoft Purview 拡張機能
  • Safari (macOS のみ)

デバイスの場所に対してポリシーが構成されている場合、サポートされていないブラウザーは機密コンテンツにアクセスできなくなります。また、DLP コントロールがポリシー条件に基づいてアクションをブロックまたは制限できる Microsoft Edge にユーザーがリダイレクトされます。 このブラウザー対応の適用は、一貫性のあるガイド付きユーザー エクスペリエンスを維持しながら、データ流出のリスクを軽減するのに役立ちます。

この方法を実装するには、制限された宛先 (ドメイン、サービス、IP) を定義し、サポートされていないブラウザーを指定し、機密性の高いコンテンツを検出し、 クラウド サービスへのアップロード未適用ブラウザーからのアクセスなどの制御を適用する DLP ルールを構成します。

この構成により、組織はユーザーの行動を監査し、ポリシーを調整し、必要に応じて厳格な制御を段階的に適用しながら、正当なビジネス アクティビティの中断を最小限に抑えることができます。

前提条件と前提事項

この記事では、「データ損失防止ポリシーの設計」で学習したプロセスを使用して、Microsoft Purview データ損失防止 (DLP) ポリシーを作成する方法について説明します。 テスト環境でこれらのシナリオを実行して、ポリシー作成 UI について理解します。

重要

この記事では、仮定の値を持つ架空のシナリオについて説明します。 これは説明のみを目的としています。 独自の機密情報の種類、秘密度ラベル、配布グループ、およびユーザーを置き換えます。

ポリシーの展開方法は、ポリシーの設計と同じくらい重要です。 この記事 では、コストのかかるビジネスの中断を回避しながらポリシーが意図を達成できるように、デプロイ オプションを使用する方法について説明します。

このシナリオでは 機密 機密ラベルが使用されるため、秘密度ラベルを作成して発行する必要があります。 詳細については、次を参照してください。

この手順では、架空の配布グループ [人事] と、Contoso.com のセキュリティ チームの配布グループを使用します。

この手順では、アラートを使用します。「データ損失防止アラートの概要」を参照してください

ポリシー意図ステートメントとマッピング

Contoso は、ユーザーがエンドポイント デバイスから承認されていないクラウド アプリケーションやサービスに機密情報を意図せずに共有できないようにしたいと考えています。 同時に、ユーザーが不要な制限なしに、引き続き非機密データにアクセスして作業できるようにしたいと考えています。 これを実現するために、 制限付きクラウド サービス ドメイン のセットを定義し、ユーザー アクティビティで機密情報が検出されたときに制御を適用します。 ユーザーがこれらの承認されていないサービスに機密性の高いコンテンツをアップロードしようとした場合、またはサポートされていないブラウザーを介してそのようなコンテンツにアクセスしようとすると、アクティビティが監査され、サポートされている準拠ワークフロー (Microsoft Edge の使用など) にユーザーが誘導されます。 このアプローチを使用すると、必要に応じてより厳格な適用に移行する前に、最初にユーザーの動作を監査し、リスク パターンを理解し、ポリシーを調整することで、制御を徐々に適用できます。

Statement 構成に関する質問の回答と構成マッピング
「ユーザーが承認されていないクラウド アプリやサービスに機密情報を共有できないようにする必要があります。.. - 管理スコープ: 完全ディレクトリ
- 監視する場所: デバイスのみ
- ポリシー スコープ: すべてのユーザー/デバイス (またはテスト対象ユーザー)
"機密データ共有で許可されていないと見なされるクラウド サービスを定義する必要があります。. - エンドポイント設定: 機密サービス ドメイン グループを作成する
- URL/IP/IP 範囲を使用して定義されたドメイン (ワイルドカードがサポートされています)
- ポリシー ルールで再利用されたグループ
"これらのサービスに共有されている機密性の高いコンテンツを検出する必要があります。. - 条件: コンテンツには、選択した機密情報の種類が含まれています
- 検出ロジック: 組み込みまたはカスタムの機密情報の種類
"機密性の高いコンテンツをアップロードしたり、サポートされていないブラウザーを介してアクセスしたりしようとする試みを監視する必要があります。.." - アクション: 制限付きクラウド サービス ドメインにアップロードするか、許可されていないブラウザーからアクセスする
- エンドポイント DLP と統合されたブラウザー コントロール
「最初は、ビジネス プロセスをブロックせずにユーザーの動作を観察したいと考えています。.. - アクション モード: サービス ドメインとブラウザーのアクティビティに対してのみ監査
- この段階ではブロックまたはオーバーライドは適用されません
"サポートされているポリシー対応ブラウザーにユーザーをリダイレクトする必要があります。.. - エンドポイントの動作: 未承認のブラウザーが機密性の高いコンテンツにアクセスできないようにする
- ユーザー エクスペリエンス: DLP コントロールが適用される Microsoft Edge へのリダイレクト
"時間の経過と同時に保護を拡張するための柔軟性を維持したいと考えています。. - 設計機能: 必要に応じてドメイン グループ、アプリ、ポリシーを追加する
- ポリシーの機能拡張: オーバーライドを使用してブロックまたはブロックへの将来の移行をサポートします
"アプリ間で他のファイル アクティビティを監視し、必要に応じて制御する必要があります。. - 追加アクション: 必要に応じて すべてのアプリのファイル アクティビティ を構成する
- エンドポイント動作の細かい監視または制限
"このポリシーを評価のためにすぐにアクティブにしたい... - ポリシー モード: すぐに有効にする
- 展開: 監査モードでの即時適用

ポリシーを作成する手順

  1. Microsoft Purview ポータルにサインインします>Data loss prevention>Settings (左上隅の歯車アイコン) >Data Loss Prevention>Endpoint DLP 設定>Browser、およびドメイン制限を機密データ>Sensitive サービス ドメイン グループに対する制限。

  2. [ 機密サービス ドメイン グループの作成] を選択します。

  3. グループに名前を付けます。

  4. グループの 機密サービス ドメイン を入力します。 複数の Web サイトをグループに追加し、ワイルドカードを使用してサブドメインをカバーできます。 たとえば、最上位の Web サイトの場合は www.contoso.com 、corp.contoso.com、hr.contoso.com、fin.contoso.com の場合は *.contoso.com。

  5. 希望する [一致の種類] を選択します。 [URL][IP アドレス][IP アドレス範囲] から選択できます。

  6. [保存] を選択します。

  7. 左側のナビゲーション ウィンドウで、[ データ損失防止>Policies] を選択します。

  8. 接続されたソースに格納されているデータ

  9. デバイスの場所にのみ適用されるポリシーを作成してスコープを設定します。 ポリシーを作成する方法の詳細については、「 データ損失防止ポリシーの作成と展開」を参照してください。 必ず、管理 ユニットのスコープを [完全なディレクトリ] に設定してください。

  10. [ ポリシー設定の定義 ] ページで、[ 高度な DLP 規則の作成またはカスタマイズ ] を選択し、[ 次へ] を選択します。

  11. 次のようにルールを作成します。

    1. [ 条件] で [ + 条件の追加] を選択し、ドロップダウン メニューから [ コンテンツに含まれるコンテンツ ] を選択します。
    2. グループに名前を付けます。
    3. [ 追加] を選択し、[ 機密情報の種類] を選択します。
    4. ポップアップ ウィンドウから [機密情報の種類 ] を選択し、[ 追加] を選択します。
    5. [ デバイスでのアクティビティの監査または制限] アクションを追加します。
    6. [ サービス ドメインとブラウザー アクティビティ] で、[ 制限付きクラウド サービス ドメインにアップロードする] または [許可されていないブラウザーからのアクセス ] を選択し、アクションを [監査のみ] に設定します。
    7. [ + 機密性の高いサービス ドメインに異なる制限を選択 する] を選択し、[ グループの追加] を選択します。
    8. [ 機密性の高いサービス ドメイン グループの選択 ] ポップアップで、必要な機密サービス ドメイン グループを選択し、[ 追加 ] を選択し、[保存] を選択 します
    9. [ すべてのアプリのファイル アクティビティ] で、監視または制限するユーザー アクティビティと、それらのアクティビティに応答して DLP が実行するアクションを選択します。
    10. ルールの作成を完了し、[ 保存] を選択し、[ 次へ] を選択します。
    11. 確認ページで、[完了] を選択 します
    12. [ ポリシー モード ] ページで、[ すぐに有効にする] を選択します。 [ 次へ ] を選択し、[ 送信] を選択します
  • Last updated on