この記事では、「 データ損失防止ポリシーの設計 」で学習したプロセスを使用して、管理対象デバイスから AI アプリへの機密情報の共有を防ぐのに役立つ Microsoft Purview データ損失防止 (DLP) ポリシーを作成する方法について説明します。 テスト環境でこのシナリオを実行して、ポリシー作成 UI について理解します。
このシナリオを使用して、コントロール ポイントとして Edge を使用して、OpenAI ChatGPT、DeepSeek、Google Gemini などのアンマネージド AI アプリへの機密情報の共有をブロックします。 デバイスは Intune によって管理されている必要があります。
重要
この記事では、仮定の値を持つ架空のシナリオについて説明します。 これは説明のみを目的としています。 独自の機密情報の種類、秘密度ラベル、配布グループ、およびユーザーを置き換えます。
ポリシーをデプロイする方法は、ポリシー設計と同じくらい重要です。 この記事 では、コストのかかるビジネスの中断を回避しながらポリシーが意図を達成できるように、デプロイ オプションを使用する方法について説明します。
前提条件と前提事項
この手順では、架空の配布グループ、 Finance Team という名前の配布グループ、および セキュリティ チーム用の別のグループを使用します。
重要
この手順を開始する前に、「 Edge for Business のクラウド アプリのデータ損失防止について」を参照してください。 このシナリオの前提条件と前提条件に関する重要な情報を提供します。
ブラウザー DLP の実装は、次のフェーズに従います。
- Microsoft Purview データ損失防止 ポータルでブラウザー DLP ポリシー (この記事の手順) を作成します。
-
- Microsoft Edge 管理サービスは、Edge for Business で DLP ポリシーをアクティブにする構成ポリシーを自動的に作成します。 構成ポリシーでは、 Microsoft Intune ポリシーを 使用して 、Microsoft Edge で Purview ポリシーをアクティブ化します。
重要
Edge でユーザーに適用するには、DLP ポリシーと Edge 構成ポリシーの両方のスコープ内にユーザーが存在する必要があります。
ポリシー意図ステートメントとマッピング
財務チームのメンバーが Edge 経由で機密情報をアンマネージド AI アプリに共有できないようにブロックする必要があります。 他のチームはこの機密性の高い情報にアクセスできないため、ブロックはこのチームにのみ適用する必要があります。 テキスト プロンプトに銀行口座、ルーティング、または国際顧客の SWIFT 番号などの情報が含まれている場合、共有はブロックされます。 また、アラートの要件を満たす必要があります。 ポリシーに一致するたびに、セキュリティ チームにメールで通知する必要があります。 最後に、これをテスト後にできるだけ早く有効にし、システム内で関連するアクティビティを確認できるようにする必要があります。
| Statement | 構成に関する質問の回答と構成マッピング |
|---|---|
| 財務チームのメンバーが Edge を介して機密情報をアンマネージド AI アプリに共有できないようにブロックする必要があります。.. | - ポリシーを適用する場所を選択します。ブラウザー アクティビティ内のデータ -管理スコープ: 完全なディレクトリ - ポリシーを適用する場所: OpenAI ChatGPT、。 Google Gemini, Microsoft Copilot, DeepSeek アクション: ブロック |
| 他のチームはこの情報にアクセスできないため、ブロックはこのチームにのみ適用する必要があります。.. | - 各アプリのスコープ" 特定のユーザーとグループ、ユーザーとグループを含める>Finance Team |
| テキスト プロンプトに銀行口座、ルーティング、国際顧客の SWIFT 番号などの情報が含まれている場合は、共有をブロックする必要があります。 | 監視対象: - カスタム ポリシー テンプレートを使用します - 一致の条件: コンテンツには機密情報の種類>ABA ルーティング番号、オーストラリア銀行口座番号、カナダ銀行口座番号、国際銀行口座番号 (IBAN)、イスラエル銀行口座番号、日本銀行口座番号、ニュージーランドの銀行口座番号、SWIFT Code、米国銀行口座番号 - アクションが含まれます。ブラウザーとネットワークのアクティビティ>Text upload>Block を制限します。 |
| また、アラートの要件を満たす必要があります。 ポリシーに一致するたびに、セキュリティ チームにメールで通知する必要があります。 | - インシデント レポート: ルールの一致が発生したときに管理者にアラートを送信する - これらのユーザーに電子メール アラートを送信する (省略可能): セキュリティ チームを追加します - アクティビティがルールに一致するたびにアラートを送信する: 選択 - 電子メール インシデント レポートを使用して、ポリシーの一致が発生したときに通知します。オン - これらのユーザーに通知を送信する: 必要に応じて個々の管理者を追加 - レポートに次の情報を含めることもできます。 すべてのオプションを選択する |
| ...最後に、これをテスト後にできるだけ早く有効にし、システム内で関連するアクティビティを確認できるようにする必要があります。... | ポリシー モード: シミュレーションでオン |
ポリシーを作成する手順
- [Microsoft Purview ポータル] にサインインします。
- [データ損失防止]>[ポリシー]>+ [ポリシーの作成] を選択します。
- [ ブラウザー アクティビティ内のデータ] を選択します。
- [カテゴリ] ボックスの一覧から [カスタム] を選択し、[規制] の一覧から [カスタム ポリシー] を選択します。
- [次へ]を選択します。
- ポリシー名を入力し、説明を入力します。 ここでポリシー インテント ステートメントを使用できます。
重要
ポリシーの名前を変更することはできません。
[次へ]を選択します。
既定の [完全なディレクトリ] を [管理単位の割り当て] ページでそのまま使用します。
[次へ]を選択します。
各場所の横にある [アクション] 列で [編集] を選択します
- OpenAIChatGPT、Google Gemini、Microsoft Copilot、DeepSeek を選択します。
[ 特定のユーザーとグループ] を選択します。
[ + 含める] を選択し、[ グループを含める] を選択します。
[ 財務チーム] を選択します。
[ 完了] を選択 し、[ 次へ] を選択します。
[ポリシー設定の定義] ページで、[高度な DLP ルールを作成またはカスタマイズする] オプションが既に選択されているはずです。
[次へ]を選択します。
[高度な DLP ルールのカスタマイズ] ページで、+ [ルールの作成] を選択します。
ルールの名前と説明を入力します。
[条件の追加] を選択し、これらの値を使用します:
- [コンテンツに含まれるもの] を選択します。
- [ Add>Sensitive information types>Sensitive info types>ABA Routing Number、 Australia Bank Account Number、 Canada Bank Account Number、 International Bank Account Number (IBAN)、 イスラエル銀行口座番号、 日本銀行口座番号、 ニュージーランドの銀行口座番号、 SWIFT Code、 米国銀行口座番号を選択します。
[追加] を選択します。
[アクション] で、次の値があるアクションを追加します:
- ブラウザーとネットワークのアクティビティを制限する
- テキストのアップロード>ブロック
[ インシデント レポート] で、次を選択します。
- [管理者のアラートとレポートでこの重大度レベルを使用する] を [低] に設定します。
- [ルールが一致する場合、管理者に通知を送信] を [オン] に設定します。
- [ これらのユーザーに電子メール アラートを送信する (省略可能)] で、[ + ユーザーの追加または削除 ] を選択し、セキュリティ チームのメール アドレスを追加します。
[ 保存] を 選択し、[ 次へ] を選択します。
[ ポリシー モード ] ページで、[ シミュレーション モードでポリシーを実行する] を選択します。
[ 次へ ] を選択し、[送信] を選択 します。
[完了] を選択します。
Microsoft Edge 管理サービスは、Microsoft Edge で Purview ポリシーをアクティブ化するために必要な構成ポリシーと必要な Microsoft Intune ポリシーを自動的に作成します。
重要
DLP ポリシーは、DLP と Edge Management Service の両方の要件が満たされるまで、Edge では適用されません。
注:
ポリシーのアクションが [ブロック] に構成されている場合、ユーザーは Firefox やその他のブラウザーを開くのをデバイス レベルでブロックされます。 また、 Chrome 用 Microsoft Purview 拡張機能 がインストールされていない場合、または古い場合は、Chrome の開き方もブロックされます。 Purview 拡張機能を備えた Chrome では、動的な一連のジェネレーティブ AI アプリへのアクセスがブロックされます。 詳細については、「Microsoft Edge で Purview ポリシーをアクティブ化する」/deployedge/microsoft-edge-dlp-purview-configuration) を参照してください。