次の方法で共有

サポートされていないファイルの定義されたセットの共有から保護するのに役立ちます

この記事では、「データ損失防止ポリシーの設計」で学習したプロセスを使用して、サポートされていないファイルの定義されたセットの共有から保護するのに役立つMicrosoft Purview データ損失防止 (DLP) ポリシーを作成する方法について説明します。 テスト環境でこれらのシナリオを実行して、ポリシー作成 UI について理解します。

ポリシーの展開方法は、ポリシーの設計と同じくらい重要です。 この記事 では、コストのかかるビジネスの中断を回避しながらポリシーが意図を達成できるように、デプロイ オプションを使用する方法について説明します。

一部のファイルの種類にコントロールを適用することは プレビュー段階です

この構成を使用して、監査、オーバーライドによるブロック、またはブロック コントロールをファイルの種類の一覧にのみ適用します。 たとえば、.mp3 ファイル (エンドポイントデータ損失防止によって監視されない) などのビデオ ファイルにのみコントロールを適用できます。

重要

ポリシー構成アクションで [ 監査] または [デバイスでのアクティビティの制限 ] アクションを選択すると、[ サポートされていないファイル拡張子にのみ制限を適用する ] が表示されます。 サポートされていないファイル拡張子の構成オプションにのみ制限を適用します。ポリシーの場所設定では、デバイスとデバイス グループによるスコープはサポートされません。

次のアクションがサポートされています。

  • 制限付きクラウド サービス ドメインにアップロードする
  • リムーバブル USB デバイスにコピーする
  • ネットワーク共有にコピーする
  • 印刷

この構成では、[ファイル拡張子グループ][ドキュメントをスキャンできませんでした] 条件の組み合わせを使用しています。 [ファイルの拡張子が指定の拡張子の場合] 条件を使用しません。 この構成は、Microsoft Purview エンドポイントのデータ損失防止 (DLP) が、[ ファイル拡張子] グループ に含めるファイルの内容をスキャンせず、ポリシーの一致によって生成されるイベントまたはアラートに 機密情報の種類 の値が表示されていないことを意味します。

重要

この記事では、仮定の値を持つ架空のシナリオについて説明します。 これは説明のみを目的としています。 独自の機密情報の種類、秘密度ラベル、配布グループ、およびユーザーを置き換えます。

ポリシー意図ステートメントとマッピング

Wingtip Toys には、監視対象のファイルの一覧に 含まれていない デバイス上のファイルの種類の一覧があり、コントロールを適用する必要があります。 エンドポイント DLP の監視対象ファイルの一覧に表示されていないことがわかっています。 ユーザーがそれらのファイルを USB デバイスまたはネットワーク共有にコピーできないようにする必要があります。 それでもユーザーが試みる場合は、禁止された行動を試みていることを知らせ、教える必要があります。

Statement 構成に関する質問の回答と構成マッピング
"監視対象ファイルの一覧に含まれていない、コントロールを適用するデバイス上のファイルの種類の一覧があります。... - 管理スコープ: [完全なディレクトリ]
- 監視する場所: デバイス
- スコープ: [Allusers、グループ、デバイス、デバイス グループ]
" 監視対象 ファイルの一覧にあるが、エンドポイント DLP スキャンではカバーされていないデバイス上のファイルの種類の一覧にコントロールを適用する必要があります。. - 一致する条件: ドキュメントをスキャンできませんでした
- アクション: [監査] または [デバイスでのアクティビティの制限] を選択します
- [保存されていないクラウド サービス ドメインへのアップロード] または [許可されていないブラウザーからのアクセス] をオフにします
- [特定のアクティビティに制限を適用する] を選択
- [リムーバブル USB デバイスにコピーする] を選択>Block
- Copy をネットワーク共有にコピーします>Block
- クリップボードへのコピー、クリップボードへのコピークリア 未適用のBluetooth アプリを使用してコピーまたは移動し、RDP を使用してコピーまたは移動
- 選択したファイルをスキャンできませんでした
- サポートされていないファイル拡張子にのみ制限を適用するを選択します。
"エンドポイント DLP の監視対象ファイルの一覧に表示されていないことがわかっています。″ - エンドポイント設定: [ファイル拡張子グループ] を作成する
"...ユーザーがそれらのファイルを USB デバイスまたはネットワーク共有にコピーできないようにする必要があります。" - 一致する条件: [ドキュメントをスキャンできませんでした]
- アクション: [監査] または [デバイスでのアクティビティの制限]
を選択する- [制限されたクラウド サービス ドメインにアップロードするか、許可されていないブラウザーからアクセスする]
をクリアする- [特定のアクティビティに制限を適用する]
を選択する- [リムーバブル USB デバイスにコピーする]、>[ブロックする]
- [ネットワーク共有にコピーする]>[ブロックする]
- [クリップボードにコピー][印刷][許可されていない Bluetooth アプリを使用したコピーまたは移動][RDP を使用してコピーまたは移動する]
をクリアする- [ファイルをスキャンできませんでした]
を選択する- [サポートされていないファイル拡張子のみに制限を適用する] を選択します。
"それでもユーザーが試みる場合は、禁止された行動を試みていることを知らせ、教える必要があります。" - [通知を使用してユーザーに通知し、機密情報の適切な使用についてユーザーに伝える]: [オン]
- エンドポイント デバイス > [アクティビティが制限されているときにユーザーにポリシー ヒント通知を表示する...]: 選択されています
- [通知をカスタマイズする]: 選択されています> [通知タイトル]: [Wingtip toys は、ファイルをコピーしません]>[通知コンテンツ]: FYI、Wingtip Toy ポリシーでは、その種類のファイルを USB デバイスまたはネットワーク共有にコピーできません。 (プレビュー) エンドポイントのポリシー ヒント通知にハイパーリンクを追加する機能

ファイル拡張子グループを作成する手順

現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。

  1. [Microsoft Purview ポータル] にサインインします。
  2. [設定]>[データ損失防止]>[エンドポイント DLP 設定]>[ファイル拡張子グループ] を開きます。
  3. [ファイル拡張子グループの作成] を選択し、[グループ名] を入力します。 このシナリオでは、 Non-classified file extensionsを使用します。
  4. 拡張機能を指定します。
  5. [保存] を選択します。
  6. アイテムを閉じます。

ポリシー アクションを構成する手順

  1. [Microsoft Purview ポータル] にサインインします。
  2. [データ損失防止]>[ポリシー] を開きます。
  3. [ポリシーの作成] を選択します。
  4. [ 接続されたソースに格納されているデータ] を選択します。
  5. [カテゴリ] から [カスタム] を選択し、[規制] から [カスタム ポリシー テンプレート] を選択します。
  6. 新しいポリシーに名前を付け、説明を入力します。
  7. [完全なディレクトリ][管理単位] で選択します。
  8. 場所のスコープを [デバイス] のみにします。
  9. 次のルールを作成します:
    1. [条件] で。
      1. [ドキュメントをスキャンできませんでした]
    2. [アクション] で、
      1. [デバイスでアクティビティを監査または制限する] を選択します。
      2. [制限されたクラウド サービス ドメインにアップロードするか、許可されていないブラウザーからアクセスする] をクリアします。
      3. [特定のアクティビティに制限を適用する] を選択します。
      4. [クリップボードにコピー] をクリアします。
      5. [リムーバブル USB デバイスにコピーする]>[ブロック] を選択します。
      6. [ネットワーク共有にコピーする]>[ブロックする] を選択します。
      7. [印刷] をクリアします。
      8. [許可されていない Bluetooth アプリを使用したコピーまたは移動] をクリアします。
      9. [RDP を使用してコピーまたは移動] をクリアします。
      10. [制限されたアプリでアクセス] をクリアします。
      11. [サポートされていないファイル拡張子のみに制限を適用する] を選択します。
      12. [ファイル拡張子グループの追加] を選択し、Non-classified file extensions を選択します。
  10. [ユーザー通知][オン] に設定します。
    1. [エンドポイント デバイス] で、[アクティビティが制限されているときにポリシー ヒント通知をユーザーに表示する...] を選択します。
    2. [通知のカスタマイズ] を選択します。
      1. Wingtip toys don't copy files」と [通知タイトル] に入力します。
      2. FYI, Wingtip Toy policy doesn't let you copy that type of file to USB device or a network share」と [通知コンテンツ] に入力します。
  11. 保存します
  12. [ポリシーをすぐに有効にする] を選びます。 [次へ] を選択します。
  13. 設定を確認し、送信を選択します。

重要

このシナリオでは、ドキュメントを他の条件と共 にスキャンできませんでした 条件を使用することはできません。