この記事では、「データ損失防止ポリシーの設計」で学習したプロセスを使用して、ユーザーが SharePoint と OneDrive を介して機密性の高いアイテムを外部ユーザーと共有できないようにするMicrosoft Purview データ損失防止 (DLP) ポリシーを作成する方法について説明します。 テスト環境でこれらのシナリオを実行して、ポリシー作成 UI について理解します。
SharePoint と OneDrive の場合は、SharePoint と OneDrive を介して機密性の高いアイテムを外部ユーザーと共有できないようにするためのポリシーを作成します。
重要
この記事では、仮定の値を持つ架空のシナリオについて説明します。 これは説明のみを目的としています。 独自の機密情報の種類、秘密度ラベル、配布グループ、およびユーザーを置き換えます。
ポリシーの展開方法は、ポリシーの設計と同じくらい重要です。 この記事 では、コストのかかるビジネスの中断を回避しながらポリシーが意図を達成できるように、デプロイ オプションを使用する方法について説明します。
前提条件と前提事項
このシナリオでは 機密 機密ラベルが使用されるため、秘密度ラベルを作成して発行する必要があります。 詳細については、次を参照してください。
この手順では、架空の配布グループ [人事] と、Contoso.com のセキュリティ チームの配布グループを使用します。
この手順では、アラートを使用します。「データ損失防止アラートの概要」を参照してください
ポリシー意図ステートメントとマッピング
社会保障番号、クレジット カード データが含まれているか、または "社外秘" 秘密度ラベルがあるすべての外部受信者に対する SharePoint および OneDrive アイテムのすべての共有をブロックする必要があります。 人事チームのどのメンバーにもこれを適応しないようにする必要があります。 また、アラートの要件を満たす必要があります。 ファイルが共有されてブロックされるたびに、セキュリティ チームにメールで通知する必要があります。 さらに、可能であれば、ユーザーにメールとインターフェイス内でアラートを受信してもらうようにします。 最後に、ポリシーに例外はなく、システム内でこのアクティビティを確認できるようにする必要があります。
| Statement | 構成に関する質問の回答と構成マッピング |
|---|---|
| "すべての外部受信者への SharePoint アイテムと OneDrive アイテムの共有をすべてブロックする必要があります...″ | - 管理スコープ: 完全なディレクトリ - 監視する場所: 接続されたソースに格納されているデータ、SharePoint サイト、OneDrive アカウント - 一致の条件: 最初の条件>組織外で共有する アクション: Microsoft 365 の場所のコンテンツへのアクセスまたは暗号化を制限する>Block ユーザーがメールを受信したり、共有 SharePoint にアクセスしたり、共有 SharePoint にアクセスしたり、OneDrive>Block の外部にいるユーザーのみをブロックするorganization |
| "...社会保障番号、クレジット カード データが含まれているか、または "社外秘" 秘密度ラベルがあります...″ | - 監視対象: [カスタム] テンプレートを使用する - 一致の条件: [ブール値 AND で最初の条件に結合された 2 つ目の条件を作成する] - 一致の条件: 2 番目の条件、最初の条件グループ >[コンテンツに含まれる機密情報の種類]>[米国社会保障番号 (SSN)]、[クレジット カード番号] - [条件グループの構成] [ブール値 OR で最初の条件に接続された 2 つ目の条件グループを作成する] - 一致する条件: 2 番目の条件グループ、2 番目の条件>[コンテンツに次のいずれかの秘密度レベルが含まれている]>[社外秘]。 |
| "...人事チームのどのメンバーにもこれを適応しないようにする必要があります...″ | - 適用する場所: 人事チーム OneDrive アカウントを除外する |
| "...ファイルが共有されてブロックされるたびに、セキュリティ チームにメールで通知する必要があります..." | - インシデント レポート: [ルールの一致が発生した場合に管理者にアラートを送信する] - [これらのユーザーにメール アラートを送信する (省略可能): セキュリティ チームを追加する] - [アクティビティがルールに一致する場合に毎回アラートを送信]: 選択されています - [ルールの一致が発生したときに管理者にアラートを送信する]: [オン] - [これらのユーザーに通知を送信する]: [必要に応じて個々の管理者を追加] - レポートに次の情報を含めることもできます。[すべてのオプション] を選択する |
| "...さらに、可能であれば、ユーザーにメールとインターフェイス内でアラートを受信してもらうようにします...” | - ユーザー通知: [オン] - [ポリシー ヒントを使用して Office 365 のユーザーに通知する]: 選択されています |
| "...最後に、ポリシーに例外はなく、システム内でこのアクティビティを確認できるようにする必要があります...″ | -[ユーザーによる上書き]: 選択されていません |
条件を構成すると、概要は次のようになります。
ポリシーを作成する手順
重要
このポリシー作成手順では、ポリシーをオフのままにします。 ポリシーを展開するときに、これらの設定を変更します。
- [Microsoft Purview ポータル] にサインインします。
- [データ損失防止]>[ポリシー]>+ [ポリシーの作成] を選択します。
- [ 接続されたソースに格納されているデータ] を選択します。
- [カスタム] を [カテゴリー] の一覧と [規則] の一覧の両方で選択します。
- [次へ] を選択します。
- ポリシーの [名前] と [説明] を入力します。 ここでポリシー インテント ステートメントを使用できます。
重要
ポリシーの名前を変更することはできません。
- [次へ] を選択します。
- 既定の [完全なディレクトリ] を [管理単位の割り当て] ページでそのまま使用します。
- [次へ] を選択します。
- このポリシーの適用先を選択します。
- [SharePoint サイト] と [OneDrive アカウント] の場所が選択されていることを確認します。
- 他のすべての場所の選択を解除します。
- [編集] を [アクション] ([OneDrive アカウント] の横) で選択します。
- [すべてのユーザーとグループ] を選択し、[ユーザーとグループの除外] を選択します。
- [ +除外] を選択し、[ グループを除外] を選択します。
- [人事] を選択します。
- [ 完了] を選択 し、[ 次へ] を選択します。
- [ポリシー設定の定義] ページで、[高度な DLP ルールを作成またはカスタマイズする] オプションが既に選択されているはずです。 [次へ] を選択します。
- [高度な DLP ルールのカスタマイズ] ページで、+ [ルールの作成] を選択します。
- ルールに [名前] と [説明] を付けます。
-
[条件の追加] を選択し、これらの値を使用します:
- [ コンテンツは Microsoft 365 から共有されます] を選択します。
- [組織外部のユーザー] を選択します。
-
[条件の追加] を選択して 2 つ目の条件を作成し、これらの値を使用します。
- [コンテンツに含まれるもの] を選択します。
- [追加]>[秘密度レベル]> を選択してから、[秘密] を選択します。
- [追加] を選択します。
-
[アクション] で、次の値があるアクションを追加します:
- Microsoft 365 の場所にあるコンテンツへのアクセスを制限またはコンテンツを暗号化します。
- 組織外のユーザーのみをブロックします。
- [ユーザー通知] トグルを [オン] に設定します。
- [Office 365 サービスのユーザーにポリシー ヒントの通知を表示する] を選択してから、[コンテンツを送信、共有、または最後に変更したユーザーに通知する] を選択します。
- [ユーザーによる上書き] で、[Microdoft 365 のアプリとサービスからの上書きを許可する] が選択 されていないこと を確認します。
-
[インシデント レポート] で、
- [管理者のアラートとレポートでこの重大度レベルを使用する] を [低] に設定します。
- [ルールが一致する場合、管理者に通知を送信] を [オン] に設定します。
- [これらのユーザーにメール アラートを送信する (省略可能)] で、+ [ユーザーの追加または削除] を選び、セキュリティ チームのメール アドレスを追加します。
- [ 保存] を 選択し、[ 次へ] を選択します。
- [ポリシー モード] ページで、[シミュレーション モードでポリシーを実行する] と [シミュレーション モード中にポリシー ヒントを表示する] を選びます。
- [ 次へ ] を選択し、[送信] を選択 します。
- [完了] を選択します。