このシナリオでは、機密性の高い米国 PII データの共有をブロックすることで、既存の Microsoft Purview DLP ポリシーを監視から適用に移行する方法を示します。 このポリシーは 、オーバーライドでブロックを使用するように更新され、リスクの高いアクションを防ぎ、ユーザーは正当化されたときに続行できます。
このアプローチにより、データ流出のリスクを軽減することでデータ保護が強化されます。一方で、制御されたユーザーオーバーライドによるビジネス継続性を維持し、アクティビティ エクスプローラーを使用してユーザー アクティビティを継続的に可視化します。
このシナリオは、完全なディレクトリ ポリシーを変更する無制限の管理者向けです。
前提条件と前提事項
この記事では、「データ損失防止ポリシーの設計」で学習したプロセスを使用して、Microsoft Purview データ損失防止 (DLP) ポリシーを作成する方法について説明します。 テスト環境でこれらのシナリオを実行して、ポリシー作成 UI について理解します。
重要
この記事では、仮定の値を持つ架空のシナリオについて説明します。 これは説明のみを目的としています。 独自の機密情報の種類、秘密度ラベル、配布グループ、およびユーザーを置き換えます。
ポリシーの展開方法は、ポリシーの設計と同じくらい重要です。 この記事 では、コストのかかるビジネスの中断を回避しながらポリシーが意図を達成できるように、デプロイ オプションを使用する方法について説明します。
このシナリオでは 機密 機密ラベルが使用されるため、秘密度ラベルを作成して発行する必要があります。 詳細については、次を参照してください。
この手順では、架空の配布グループ [人事] と、Contoso.com のセキュリティ チームの配布グループを使用します。
この手順では、アラートを使用します。「データ損失防止アラートの概要」を参照してください
ポリシー意図ステートメントとマッピング
Contoso 社は、エンドポイント デバイス上で米国の個人を特定できる情報 (PII) を検出し、可視性とアラートを提供するポリシーを既にデプロイおよび調整しています。 ポリシーの動作を検証した後、ユーザーがorganizationの外部で機密情報を共有できないようにすることで、適用に移行する必要があります。
これを実現するために、サービス ドメインまたはブラウザーに関連するユーザー アクションで PII が検出されたときにアクションがブロックされるように、既存のポリシーを変更します。 ただし、ビジネスの柔軟性を維持するために、ユーザーは正当な理由でブロックをオーバーライドできます。 これにより、強力なデータ保護が確保され、ユーザーは必要に応じて正当なビジネス シナリオに進むことができます。
| Statement | 構成に関する質問の回答と構成マッピング |
|---|---|
| "監視からエンドポイント デバイスでの米国 PII の保護の強制に移行したいと考えています。. | - 管理スコープ: 完全なディレクトリ (変更なし) - 監視する場所: デバイス (変更なし) - 既存のポリシーが再利用され、適用のために更新されました |
| "ユーザーがorganizationの外部で機密データを共有できないようにする必要があります。. | - アクション: Windows デバイスでのアクティビティを監査または制限する - アクティビティの種類: サービス ドメインとブラウザーのアクティビティ |
| "機密データに関連するリスクの高いアクションをブロックする必要があります。. | - アクション構成: サービス ドメインとブラウザーアクティビティに対してオーバーライドが有効になっているブロック |
| 「ユーザーが正当なケースで説明責任を持って進めることを許可する必要があります。.. | - オーバーライド動作: ユーザーの正当な理由がキャプチャされたオーバーライドを許可する - ユーザー操作: アクションがブロックされたときにエンドポイントに表示されるプロンプト |
| "さまざまな秘密度レベルで一貫した適用が必要です。.. | - ルール カバレッジ: 低ボリュームと大量の検出ルールの両方にオーバーライド設定で同じブロックを適用する |
| "強制イベントとユーザー動作の可視性を維持する必要があります。.. | - 監視: アクティビティ エクスプローラーのログがブロックされ、オーバーライドされたイベント - アラート/イベント: 調査と監査のためにキャプチャ |
| "テストを通じて強制動作を検証する必要があります。.." | - テスト: PII データを含むテスト ファイルを使用してポリシーをトリガーし、外部共有を試みます - 予期される結果: ユーザーはオーバーライド オプションを使用してブロック プロンプトを受け取ります |
ポリシーを作成する手順
[Microsoft Purview ポータル]>[データ損失防止]>[ポリシー] にサインインします。
シナリオ 1 で作成 した米国の個人を特定できる情報 (PII) データ ポリシーを選択します。
[ ポリシーの編集] を選択します。
[高度な DLP ルールのカスタマイズ] ページに移動し、コンテンツ検出シナリオの量が少ない米国 PII データ拡張を編集します。
[アクション>Audit または Windows デバイスでのアクティビティを制限する] セクションまで下にスクロールし、[サービス ドメイン] と [ブラウザー アクティビティ] の両方のオプションを [オーバーライドでブロック] に設定します。
保存] を選択します。
大量 のコンテンツ検出シナリオ (米国 PII データ拡張) に対して手順 4 ~ 6 を繰り返します。
ウィザードの残りの部分で [次へ ] を選択し、[ポリシーの変更を 送信する] を選択して、以前のすべての設定を保持します。
米国の個人を特定できる情報 (PII) データ条件をトリガーするコンテンツを含むテスト 項目を、organization外のユーザーと共有しようとします。 これによって、ポリシーがトリガーされます。
クライアント デバイスには、次のようなポップアップが表示されます。
アクティビティ エクスプローラーでイベントを確認します。