Edge for Business でのクラウド アプリのデータ損失防止について説明します

Microsoft Purview データ損失防止 (DLP) の監視と保護は、Microsoft Edge for Business ブラウザーに組み込まれています。 デバイスを Microsoft Purview にオンボードする必要はありません。 この統合により、ユーザーが Edge を使用してクラウド アプリとの間で機密情報を共有するのを防ぐことができます。

ライセンスの要件

この機能を使用するには、次のいずれかのライセンスが必要です。

• Microsoft 365 E5/A5/G5、Microsoft 365 Business Premium
• Office 365 E5/A5/G5
• Microsoft 365 E5/A5/G5/F5 Compliance and F5 Security & Compliance

アクセス許可

Purview DLP ポリシーを作成して展開するためのアクセス許可については、こちらを参照してください。

Purview 以外の前提条件と構成にもアクセス許可が必要です。 必要なアクセス許可の詳細については、「 サポートされているクラウド アプリ」を参照してください。

マネージド デバイス

Intune によって管理されている Windows 10/11 デバイスを保護できます。 ユーザーは職場または学校アカウントでサインインする必要があります。

これらのデバイスでは、Edge は Microsoft Purview および Edge サービスと直接接続して、ポリシーの更新プログラムを取得し、保護を適用します。 エッジ構成ポリシーは、 保護されていないブラウザーで保護されたアプリを使用できないようにユーザーをブロックします。 保護されていないブラウザーでアンマネージド アプリにアクセスしようとすると、ユーザーはブロックされ、Microsoft Edge を使用する必要があります。

プレビューでは、ブラウザー DLP は、管理対象デバイスからアンマネージド AI アプリへのMicrosoft Edge for Business経由での共有を防ぐのに役立ちます。

非管理対象デバイス

管理されていないデバイスは、Intune に接続されていないか、Microsoft Entraを使用してorganizationに参加していません。 ユーザーは職場または学校アカウントでデバイスにサインインしません。 代わりに、Edge 仕事用プロファイルにサインインして、マネージド アプリorganizationアクセスします。

管理されていないデバイスのブラウザー DLP ポリシーは、Edge の仕事用プロファイルにのみ適用されます。 これらのポリシーは、ユーザーが Personal または InPrivate プロファイルを使用する場合には適用されません。

これらの保護は、 ユーザーが Edge for Business のクラウド アプリと機密情報を共有できないようにするのに役立ちます。

サポートされているクラウド アプリ

接続済み (マネージド) アプリのMicrosoft Entra

Microsoft Entra接続 (マネージド) アプリは、Microsoft Entra シングル Sign-On (SSO) 用に設定されたビジネス アプリです。 ポリシーは、ユーザーが職場または学校アカウントでアクセスするときに適用されます。

マネージド アプリに適用するポリシーの場合、条件付きアクセス管理と Edge In-Browser 保護のMicrosoft Defenderには追加のアクセス許可が必要です。

アンマネージド クラウド アプリ

これらのアプリは、organizationによって管理されません。 ユーザーは、Microsoft の職場または学校アカウントでサインインせずにアクセスします。 サポートされているアンマネージド クラウド アプリには、次のものが含まれます。

• OpenAI ChatGPT
• Google Gemini
• DeepSeek
• Microsoft Copilot

マネージド デバイス上のアンマネージド アプリに適用するポリシーの場合は、 Microsoft Intune の管理 と Microsoft Edge の管理にも追加のアクセス許可が必要です。

サポートされているブラウザー

ブラウザーのクラウド アプリの DLP ポリシーは、Microsoft Edge for Businessで直接機能します。

Edge for Business

これらの機能は、バージョン 138 以降の 2 つの最新の安定したバージョンの Edge で利用できます。 サポートされているバージョンの Edge の詳細については、「 Microsoft Edge リリース」を参照してください。

監視と対処が必要なアクティビティ

ブラウザーで機密アイテムに対してこれらのアクティビティを監査および管理できます。

マネージド アプリの相互作用に関するポリシー

ブラウザーでマネージド アプリを対象とする DLP ポリシーは、Windows 10/11 および macOS で Microsoft Edge を実行しているデスクトップ デバイスに適用されます。

Edge では、(監査モードとブロック モードの両方で) ポリシーがマネージド アプリに適用されると、開発者ツールが自動的に無効になり、ネイティブ クライアントでアプリが開かなくなるのをブロックします。

マネージド アプリの Edge で保護をアクティブにするには:

• アプリを条件付きアクセス アプリ制御にオンボードする
• 接続されているアプリからユーザー グループをインポートする
• カスタム セッション コントロールを使用してMicrosoft Entra条件付きアクセス ポリシーを設定する
• Edge for Business のブラウザー内保護を構成する
• マネージド アプリの操作を対象とする Purview DLP ポリシーを作成する

実装の詳細については、「 ユーザーが Edge for Business の Cloud Apps と機密情報を共有できないようにする」を参照してください。

ユーザーを初めてポリシーに追加すると、アプリに既にサインインしている場合、ポリシーがすぐに適用されない可能性があります。 ポリシーは、トークンの有効期限が切れ、再度サインインした後に適用されます。 条件付きアクセス セッション制御を使用して サインインの頻度を変更 して、待機時間を短縮できます。

条件付きアクセス アプリ制御には、ブラウザーでマネージド アプリを対象とする Purview ポリシーに影響を与える可能性がある既知の制限事項がいくつかあります。 詳細については、「条件付きアクセス アプリ制御」の既知の制限事項に関するページを参照してください。

アンマネージド アプリの相互作用に関するポリシー

preivew では、ブラウザーでアンマネージド アプリを対象とする DLP ポリシーが適用され、Windows 10/11 の Edge のマネージド デスクトップ デバイスから共有される機密データを監視および保護できます。

Edge で保護をアクティブにするには:

• Purview DLP ポリシーを作成する
• Edge 構成ポリシーを設定する

完全なセットアップの詳細については、「マネージド デバイスからアンマネージド AI アプリへのMicrosoft Edge for Businessを介した共有を防止する」を参照してください。

Microsoft AI 用データ セキュリティ態勢管理 からの管理されていない AI アプリの既定のポリシー

AI 用 Microsoft Purview データ セキュリティ態勢管理 (AI 用DSPM) には、生成型 AI アプリを監視およびブロックするための推奨ポリシーが用意されています。 AI 用のDSPMでワンクリック ポリシーを使用して適用します。

マネージド アプリの操作からデータにアクセスする

ポリシー データとアラートは、Defender XDR調査で表示できます。

アンマネージド アプリの操作からデータにアクセスする

アクティビティ エクスプローラー、監査ログ、およびDefender XDR調査でアクティビティと監査ログ エントリを表示できます。 アクティビティ エクスプローラーで、適用プレーンでフィルター処理をブラウザーに設定します。 AI アプリに固有のデータは、AI のDSPMにも表示されます。

関連項目

• データ損失防止について
• データ損失防止ポリシーを作成して展開する
• Activity Explorer を使い始める