エンドポイント データ損失防止について

Microsoft Purview データ損失防止 (DLP) を使用して、機密と判断したアイテムに対して実行されているアクションを監視し、それらのアイテムの意図しない共有を防ぐことができます。

エンドポイント データ損失防止 (エンドポイント DLP) は、DLP のアクティビティ監視と保護機能を、Windows 10/11 および macOS (最新リリースの 3 つのメジャー バージョン) デバイスに物理的に格納される機密アイテムに拡張します。 デバイスが Microsoft Purview ソリューションにオンボードされると、ユーザーが機密性の高い項目を使用して行っていることに関する情報が アクティビティ エクスプローラーに表示されます。 その後、 DLP ポリシーを使用して、これらの項目に対して保護アクションを適用できます。

ヒント

リムーバブル記憶域のデバイス コントロールを探している場合は、「Microsoft Defender for Endpoint Device Control のリムーバブル記憶域アクセス制御」 を参照してください。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

監視と対処が必要なエンドポイントのアクティビティ

エンドポイント DLP を使用すると、ユーザーが物理的に Windows 10、Windows 11、または macOS デバイスに保存されている機密アイテムに対して行う次の種類のアクティビティを監査および管理できます。

最新情報 説明 エンドポイント (X64) のWindows 10 (21H2、22H2)、Windows 11 (21H2、22H2)、Windows Server 2019、Server 2022 (21H2 以降) エンドポイントのWindows 11 (21H2、22H2) (ARM64) macOS 3 つの最新リリース バージョン 監査/
制限可能
クラウド サービスにアップロードするか、許可されていないブラウザーによるアクセス ユーザーが制限されたサービス ドメインにアイテムをアップロードしようとした場合、またはブラウザーを介してアイテムにアクセスしようとした場合に検出します。 ユーザーが許可されていないブラウザーを使用している場合、アップロード アクティビティはブロックされ、ユーザーは Microsoft Edge を使用するようにリダイレクトされます。 Microsoft Edge では、DLP ポリシー構成に基づいてアップロードまたはアクセスを許可またはブロックします。 [ データ損失防止] 設定の許可/未適用ドメインの一覧に基づいて、保護されたファイルをアップロードしたり、クラウド サービスにアップロードできないようにしたりできる場合は、ブロック、警告、監査を行うことができます。 構成されたアクションが警告またはブロックに設定されている場合、他のブラウザー ([ データ損失防止の設定 ] の下の [未適用のブラウザー] の一覧で定義されている) は、ファイルへのアクセスをブロックされます。 サポートされている サポートされている サポートされている 監査可能で制限可能
サポートされているブラウザーに貼り付ける ユーザーが制限付きサービス ドメインにコンテンツを貼り付けようとしたときに検出します。 サポートされている サポートされている サポート対象外 監査可能で制限可能
USB リムーバブル メディアにコピーする このアクティビティが検出されると、エンドポイント デバイスから USB リムーバブル メディアへの保護されたファイルのコピーまたは移動をブロック、警告、または監査できます。 サポートされている サポートされている サポートされている 監査可能で制限可能
ネットワーク共有にコピーする このアクティビティが検出されると、エンドポイント デバイスから任意のネットワーク共有に保護されたファイルのコピーまたは移動をブロック、警告、または監査できます。これには、Windows 365を持つ Azure Virtual Desktop 上のネットワーク共有として表示されるリダイレクトされた USB デバイスが含まれます。 サポートされている サポートされている サポートされている 監査可能で制限可能
文書を印刷する このアクティビティが検出されると、エンドポイント デバイスから保護されたファイルの印刷をブロック、警告、または監査できます。 このアクティビティは、Windows 365と共に Azure Virtual Desktop を使用する場合にリダイレクトされたプリンターにも適用されます。 サポートされている サポートされている サポートされている 監査可能で制限可能
リモート セッションにコピーする ユーザーがリモート デスクトップ セッションにアイテムをコピーしようとしたときに検出します。 サポートされている サポートされている サポート対象外 監査可能で制限可能
Bluetooth デバイスにコピーする ユーザーが未適用の Bluetooth アプリにアイテムをコピーしようとしたときに検出します ([データ損失防止] 設定の [エンドポイント設定>] で、未適用の Bluetooth アプリの一覧で定義されています)。 サポートされている サポートされている サポートされている 監査可能で制限可能
アイテムを作成 項目の作成を検出します。 サポートされている サポートされている サポートされている 監査
アイテムの名前を変更する 項目の名前変更を検出します。 サポートされている サポートされている サポートされている 監査
クリップボードにコピーする このアクティビティが検出されると、エンドポイント デバイス上のクリップボードへの保護されたファイルのコピーをブロック、オーバーライドでブロック、監査できます。 上書きコピーでブロックまたはブロックするようにルールが構成されている場合、コピー元のコンテンツが機密である場合は、転送先が同じ Microsoft 365 Office アプリ内にある場合を除き、ブロックされます。 このアクティビティは、Windows 365で Azure Virtual Desktop を使用する場合に、リダイレクトされたクリップボードにも適用されます。 サポートされている サポートされている サポートされている 監査可能で制限可能
許可されていないアプリによるアクセス ( 制限付きアプリとアプリ グループで定義されている) アプリの一覧にあるアプリケーションが、エンドポイント デバイス上の保護されたファイルへのアクセスを試行するタイミングを検出します。 サポートされている サポートされている サポートされている

クリップボードにコピーする動作

ポリシーに一致するファイルに対してユーザーがクリップボードへのコピー アクティビティを試みると、オーバーライドでブロックまたはブロックするようにルールを構成すると、エンド ユーザーは次の構成でこの動作を確認できます。

  • Wordファイル123には、クリップボードへのコピーブロックルールに一致する機密情報が含まれている。

  • Excel ファイル 123 には、クリップボードへのコピーブロック規則に一致する機密情報が含まれています。

  • PowerPointファイル123には、クリップボードへのコピーブロックルールに一致する機密情報が含まれています。

  • Word ファイル 789 には機密情報が含まれません。

  • Excel ファイル 789 には機密情報が含まれません。

  • PowerPoint ファイル 789 には機密情報が含まれません。

  • メモ帳 (または Microsoft Office ベース以外のアプリまたはプロセス) ファイル XYZ には、クリップボードへのコピーブロック規則に一致する機密情報が含まれています。

  • メモ帳 (または Microsoft Office ベース以外のアプリまたはプロセス) ファイル ABC には機密情報が含まれません。

ソース Destination (転送先) 動作
Word ファイル 123/Excel ファイル 123/PowerPoint ファイル 123 Word ファイル 123/Excel ファイル 123/PowerPoint ファイル 123 コピーと貼り付けが許可されます。つまり、ファイル内のコピーと貼り付けが許可されます。
Word ファイル 123/Excel ファイル 123/PowerPoint ファイル 123 Word ファイル 789/Excel ファイル 789/PowerPoint ファイル 789 コピーと貼り付けはブロックされます。つまり、ファイル間のコピーと貼り付けはブロックされます。
Word ファイル 789/Excel ファイル 789/PowerPoint ファイル 789 Word ファイル 123/Excel ファイル 123/PowerPoint ファイル 123 コピーと貼り付けは許可されます
Word ファイル 123/Excel ファイル 123/PowerPoint ファイル 123 メモ帳ファイル ABC コピーと貼り付けがブロックされる
メモ帳ファイル XYZ any コピーがブロックされている
メモ帳ファイル ABC any コピーと貼り付けは許可されます

エンドポイント DLP ポリシーのベスト プラクティス

たとえば、財務部門ユーザーのエンドポイントから、クレジットカード番号を含むすべての項目をブロックしたいとします。 次のようにお勧めします。

  • ポリシーを作成し、エンドポイントとそのユーザー グループにスコープを設定します。
  • 保護する情報の種類を検出するルールをポリシーに作成します。 この場合、コンテンツに含まれている機密情報の種類*を設定し、[クレジット カード] を選択します。
  • 各アクティビティのアクションを [ブロック] に設定します。

DLP ポリシーの設計の詳細については、「 データ損失防止ポリシーの設計 」を参照してください。

注:

Microsoft Purview では、機密項目の DLP ポリシー評価が一元的に行われるため、ポリシーとポリシー更新が個々のデバイスに配布されるまでのタイム ラグはありません。 コンプライアンス センターでポリシーが更新されると、それらの更新がサービス全体で同期されるまでに通常約 1 時間かかります。 ポリシーの更新が同期されると、対象のデバイス上のアイテムは、次回アクセスまたは変更されたときに自動的に再評価されます。 (プレビュー)承認されたグループの変更の場合、ポリシーの同期には 24 時間が必要です。

監視対象ファイル

ポリシーを使用して監視されるファイル

エンドポイント DLP は、Windows 10、11、および macOS の最新の 3 つの主要なリリースのポリシーを使用して、これらのファイルの種類を監視します。

Windows 10, 11 macOS
.doc、.docx、.docm、.dotx、.dotx、.dotm、.docb、.xls、.xlsx、.xlt、.xlsm、.xlsm、.xltx、.xltm、.xlsb、.xlw、.ppt、.pptx、pos、.pps、.pptm、.potx、.potm、.ppam、.ppsx、ppsx、ppsx、 .pbix、.pdf、.csv、.tsv、.zip、.zipx、.rar、.7z、.tar、.war、.gz、.dlp、.txt、.c、.class、.cpp、.cs、.h、.java、.html、.htm、.rtf、.json、.config .doc、.docx、.docm、.dotx、.dotx、.dotm、.docb、.xls、.xlsx、.xlt、.xlm、.xlsm、.xltx、.xltm、.xlsb、.xlw、 .ppt、.pptx、.pos、.pps、.pptm、.potx、.potm、.ppam、.ppsx、.pbix、.pdf、.csv、.tsv、.txt、.c、.cpp、.cs、.h、.java、.html、.htm、.rtf、.json、.config

注:

OCR が有効になっている場合、これらのファイルの種類は、Windows 10 11 のポリシー設定を使用して監視できます。

.jpg、.png、.tif、.tiff、.bmp、.jpeg

ポリシーの一致に関係なく監査されたファイル

ポリシーの一致が存在しない場合でも、Windows 10、11、および macOS の最新の 3 つの主要なリリースでは、これらのファイルの種類に対してアクティビティを監査できます。

Windows 10, 11 macOS
.doc、.docx、.docm、.dotx、.dotm、.docb、.xls、.xlsx、.xlt、.xlsm、.xlsm、 .xltx、.xltm、.xlsb、.xlsb、.ppt、.pptx、.pos、.pps、.pptm、.potx、.potm、.ppam、.ppsx、.pbix、.pdf、.csv、.tsv、.zip、.zipx、.rar、.7z、.tar、.war、.gz、.dlp .doc、.docx、.docm、.dot、.dotx、 .dotm、.docb、.xls、.xlsx、.xlt、.xlm、.xlsm、.xltx、.xltm、.xlsb、.xlw、.ppt .pptx、.pos、.pps、.pptm、.potx、.ppam、.ppam、.ppsx、.ppsx、.pdf、.csv、.tsv、tsv、.pps

注:

OCR が有効になっている限り、これらのファイルの種類は、ポリシーの一致に関係なく、Windows 10 11 で監査できます。

.jpg、.png、.tif、.tiff、.bmp、.jpeg

重要

PDF ファイルでMicrosoft Purview データ損失防止 (DLP) 機能を使用するための Adobe の要件については、Adobe: Microsoft Purview 情報保護 サポートの記事を参照してください。

ポリシーの一致からのデータのみを監視する場合は、[データ損失防止] 設定[エンドポイント] 設定>でデバイスの [ファイルの常に監査] アクティビティをオフにすることができます。

[デバイスのファイル アクティビティを常に監査する] 設定がオンの場合、デバイスがポリシーの対象ではない場合でも、Word、PowerPoint、Excel、PDF、および .csv ファイルのアクティビティは常に監査されます。

サポートされているすべてのファイルの種類についてアクティビティが監査されるようにするには、カスタム DLP ポリシーを作成します。

エンドポイント DLP は MIME の種類に基づいてアクティビティを監視するため、ファイル拡張子が変更された場合でも、これらのファイルの種類に対してアクティビティがキャプチャされます。

拡張子が他のファイル拡張子に変更された後:

  • .doc
  • .docx
  • .xls
  • .xlsx
  • .ppt
  • .pptx
  • .pdf

拡張子がサポートされているファイル拡張子にのみ変更された場合:

  • .txt
  • 。Msg
  • 。Rtf
  • 。C
  • 。Cpp
  • 。H
  • 。Cs
  • 。Java
  • 。Tsv

ファイルの種類

ファイルの種類は、ファイル形式のグループ化です。 これらは、特定のワークフローまたはビジネス領域を保護するために使用されます。 DLP ポリシーでは、条件として 1 つ以上のファイルの種類を使用できます。

ファイルの種類 アプリ 監視対象のファイル拡張子
文書処理 Word、PDF .doc、.docx、.docm、.dot、dotx、.dotm、.docb、.pdf
スプレッドシート Excel、CSV、TSV .xls、.xlsx、.xlt、.xlm、.xlsm、xltx、xltm、xlsb、.xlw、.csv、.tsv
プレゼンテーション PowerPoint .ppt、.pptx、.pos、.pps、.pptm、.potx、.potm、.ppam、.ppsx
アーカイブ ファイル アーカイブおよび圧縮ツール .zip、.zipx、.dll、.7z、.tar、.gz
メール Outlook 。Msg

ファイル拡張子

ファイルの種類にポリシーの条件として一覧表示する必要があるファイル拡張子が含まれていない場合は、代わりにコンマで区切られたファイル拡張子を使用できます。

重要

ファイル拡張子ファイルの種類のオプションは、同じ規則の条件として使用できません。 同じポリシーの条件として使用する場合は、個別のルールに含める必要があります。

次の Windows バージョンでは、 ファイル拡張子ファイルの種類 の機能がサポートされています。

重要

オンボードされたエンドポイントが、上記の対応するリンクに記載されている最新のWindows 10、11 の更新プログラムで実行されていることを確認します。

注:

次のファイル拡張子に対して DLP ポリシーを構成しないことをお勧めします。

  • Ost
  • Pst
  • Pf
  • Exe
  • Dll
  • Mui

エンドポイント DLP との違い

エンドポイント DLP を掘り下げる前に知っておく必要がある追加の概念がいくつかあります。

デバイス管理を有効にする

デバイス管理は、デバイスからテレメトリを収集できる機能です。これは、エンドポイント DLP やインサイダー リスク管理などの Microsoft Purview ソリューションに導入する機能です。 DLP ポリシーで場所として使用するすべてのデバイスをオンボードする必要があります。

デバイス管理を有効にします。

オンボードとオフボードは、デバイス管理センターからダウンロードしたスクリプトを介して処理されます。 デバイス管理センターには、次の展開方法ごとにカスタム スクリプトがあります。

  • ローカル スクリプト (最大 10 台のマシン)
  • グループ ポリシー
  • System Center Configuration Manager ( バージョン 1610以降 )
  • Mobile Device Management/Microsoft Intune
  • 非永続的マシン用の VDI のオンボードスクリプト

デバイス オンボード ページ。

デバイスをオンボードにするには、Microsoft 365 エンドポイント DLPの使用を開始するの手順を使用します。

デバイスを Defender にオンボードすると、DLP にもオンボードされます。 そのため、Microsoft Defender for Endpointを介してデバイスをオンボードした場合、それらのデバイスはデバイスの一覧に自動的に表示されます。 エンドポイント DLP を使用するには、 デバイス監視を有効にする 必要があります。

マネージド デバイスの一覧。

エンドポイント DLP データの表示

エンドポイント デバイスに適用される DLP ポリシーに関連するアラートを表示するには、DLP アラート管理ダッシュボードに移動し、Microsoft Defender XDRを使用してデータ損失インシデントを調査します

アラート情報。

関連するイベントの詳細と豊富なメタデータを同じダッシュボードで表示することもできます

イベント情報。

デバイスがオンボードされると、場所としてデバイスを使用する DLP ポリシーを構成し、展開する前でも、監査されたアクティビティに関する情報がアクティビティエクスプローラーに流れます。

アクティビティ エクスプローラーのエンドポイント dlp イベント。

エンドポイント DLP は、監査済みアクティビティに関する広範囲にわたる情報を収集します。

たとえば、ファイルがリムーバブル USB メディアにコピーされた場合、アクティビティの詳細に次の属性が表示されます:

  • アクティビティの種類
  • クライアント IP
  • 対象ファイルのパス
  • 発生したタイムスタンプ
  • ファイル名
  • ユーザー
  • ファイル拡張子
  • ファイル サイズ
  • 機密情報の種類(該当する場合)
  • sha1 値
  • sha256 値
  • 以前のファイル名
  • 場所
  • FilePath
  • ソースの場所の種類
  • platform
  • デバイス名
  • 場所の宛先の種類
  • コピーを実行したアプリケーション
  • Microsoft Defender for Endpoint デバイス ID (該当する場合)
  • リムーバブルメディアデバイスの製造元
  • リムーバブルメディアデバイスのモデル
  • リムーバブルメディアデバイスのシリアル番号

usb アクティビティ属性にコピーします。

エンドポイント DLP とオフライン デバイス

Windows エンドポイント デバイスがオフラインの場合、既存のポリシーは引き続き既存のファイルに適用されます。 さらに、Just-In-Time 保護を有効にし、"ブロック" モードでは、オフライン デバイスに新しい ファイル を作成しても、デバイスがデータ分類サービスに接続して評価が完了するまで、ファイルは共有されません。 サーバーに新しい ポリシー が作成された場合、または既存のポリシーが変更された場合、インターネットに再接続すると、それらの変更がデバイスで更新されます。

次のユース ケースを検討してください。

  1. デバイスにプッシュされたポリシーは、デバイスがオフラインになった後でも、既に機密として分類されているファイルに適用されます。
  2. デバイスがオフラインの間にコンプライアンス ポータルで更新されたポリシーは、そのデバイスにプッシュされません。 同様に、このようなポリシーは、デバイスがオンラインに戻るまで、そのデバイスに適用されません。 ただし、オフライン デバイスに存在する古いポリシーは引き続き適用されます。 Just-In-Time 保護

通知が表示されるように構成されている場合、デバイスがオンラインかどうかに関係なく、DLP ポリシーがトリガーされたときに常に表示されます。

注:

既にオフライン デバイスにプッシュされているポリシーは適用されますが、デバイスがオンラインに戻るまで、適用イベントはアクティビティ エクスプローラーに表示されません。

DLP ポリシーは、エンドポイント デバイスと定期的に同期されます。 デバイスがオフラインの場合、ポリシーを同期できません。 この場合、[デバイス] の一覧 には、デバイスがサーバー上のポリシーと同期されていないことが反映されます。

重要

この機能は、macOS エンドポイント デバイスではサポートされていません。

Just-In-Time 保護

Just-In-Time 保護は、ポリシーの評価が正常に完了するまで、次の監視対象ファイルのすべてのエグレス アクティビティをブロックします。

  • 評価されていない項目。
  • 評価が古くなった項目。 これらは、ポリシーの現在の更新されたクラウド バージョンによって再評価されていない、以前に評価された項目です。

Just-In-Time 保護を展開する前に、まずマルウェア対策クライアント バージョン 4.18.23080 以降を展開する必要があります。

注:

マルウェア対策クライアントの古いバージョンのマシンの場合は、次のいずれかの KB をインストールして Just-In-Time 保護を無効にすることをお勧めします。

Microsoft Purview コンプライアンス ポータルで Just-In-Time 保護を有効にするには、左側のナビゲーション ウィンドウで [設定] を選択し、[ Just-In-Time protection] を選択し、目的の設定を構成します。

監視する場所を選択する

  • [デバイス] を選択します。
  • [ 編集] を選択します
  • ポップアップ ウィンドウで、Just-In-Time 保護を適用するアカウントと配布グループのスコープを選択します。 (ポリシー評価の処理中に、エンドポイント DLP は、アカウントが選択されたスコープ内にある各ユーザーのすべてのエグレス アクティビティをブロックします。 エンドポイント DLP は、(除外設定を使用して) 明示的に除外された、またはスコープ内にないすべてのユーザー アカウントのエグレス アクティビティを監査します。

注:

[スコープ] で選択したすべてのユーザーに対して、エンドポイント DLP はポリシーの評価が完了するのを待っている間、すべてのエグレス アクティビティをブロックすることに注意してください。スコープに含まれていないユーザーまたは [除外] 設定の下にあるユーザーの場合、エンドポイント DLP はエグレス アクティビティを監査します。

  • 失敗した場合のフォールバック アクション: この構成では、ポリシーの評価が完了しない場合に DLP が適用する適用モードを指定します。 どの値を選択しても、関連するテレメトリがアクティビティ エクスプローラーに表示されます。

ヒント

ユーザーの生産性を最大化するためのヒント:

  • Just-In-Time 保護を有効にする前に、エンドポイント DLP ポリシーを構成してデバイスに展開し、ポリシー評価中にユーザー アクティビティを不必要にブロックしないようにします。
  • エグレス アクティビティの設定は慎重に構成してください。 Just-In-Time 保護は、そのアクティビティに 1 つ以上の Block または Block とオーバーライド ポリシーがある場合にのみ、エグレス アクティビティをブロックします。 つまり、特にブロックされていないエグレス アクティビティは、該当するポリシーのスコープに含まれるユーザーに対してのみ監査されます。
  • Just-In-Time 保護は、そのアクティビティにオーバーライド ポリシーを含むブロックまたはブロックが 1 つ以上ある場合にのみエグレス アクティビティをブロックするため、つまり、スコープ内であってもエンド ユーザーに DLP ポリシーがない場合、または DLP ポリシーのみを監査する場合、Just-In-Time 保護はエグレス アクティビティのみを監査します。

詳細については、「 エンドポイント Just-In-Time Protection を使用する」を参照してください。

次の手順

ここまでエンドポイント DLP について学びましたので、次のステップの手順は以下になります:

  1. Windows 10 デバイスまたは Windows 11 デバイスを Microsoft Purview にオンボードする概要
  2. macOS デバイスを Microsoft Purview にオンボードする概要
  3. エンドポイント データ損失防止の設定を構成する
  4. エンドポイントのデータ損失防止の使用

関連項目