アダプティブ保護によるリスクの動的な軽減に役立つ (プレビュー)

重要

Microsoft Purview Insider Risk Management は、さまざまなシグナルを関連付けて、IP の盗難、データ漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意による内部関係者のリスクを特定します。 インサイダー リスク管理により、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシー バイ デザインで構築されており、ユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するのに役立つロールベースのアクセス制御と監査ログが用意されています。

Microsoft Purview のアダプティブ保護では、機械学習を使用して最も重要なリスクを特定し、次の保護制御をプロアクティブかつ動的に適用します。

DLP と条件付きアクセスとの統合は、組織がインサイダー リスクへの対応を自動化し、潜在的な脅威を特定して修復するために必要な時間を短縮するのに役立ちます。 3 つのすべてのソリューションの機能を活用することで、組織は内部と外部の両方の脅威に対処する、より包括的なセキュリティ フレームワークを作成できます。

アダプティブ保護は、次を使用して潜在的なリスクを軽減するのに役立ちます。

  • コンテキスト対応の検出。 コンテンツとユーザーアクティビティの両方を ML 主導で分析することで、最も重要なリスクを特定するのに役立ちます。
  • 動的コントロール。 リスクの高いユーザーに効果的な制御を適用し、他のユーザーが生産性を維持するのに役立ちます。
  • 自動化された軽減策。 潜在的なデータ セキュリティ インシデントの影響を最小限に抑え、管理者のオーバーヘッドを減らすのに役立ちます。

アダプティブ保護は、インサイダー リスク管理の機械学習モデルによって定義および分析されたリスク レベルに基づいて、適切な Microsoft Purview DLP とMicrosoft Entra条件付きアクセス ポリシーをユーザーに動的に割り当てます。 ポリシーはユーザー コンテキストに基づいてアダプティブになり、DLP によるデータ共有のブロックや条件付きアクセスによるアプリケーション アクセスのブロックなど、最も効果的なポリシーがリスクの高いユーザーにのみ適用され、リスクの低いユーザーは生産性を維持します。 DLP と条件付きアクセス のポリシー制御は常に調整されるため、ユーザーのリスク レベルが変更されると、新しいリスク レベルに合わせて適切なポリシーが動的に適用されます。

重要

現在、インサイダー リスク管理は、Azure サービスの依存関係によってサポートされている地理的リージョンと国でホストされているテナントで利用できます。 organizationでインサイダー リスク管理ソリューションがサポートされていることを確認するには、「国/リージョン別の Azure 依存関係の可用性」を参照してください。 インサイダー リスク管理は商用クラウドで利用できますが、現時点では米国政府のクラウド プログラムでは使用できません。

アダプティブ保護が、organizationで最も重要なリスクを特定して軽減する方法の概要については、次のビデオをご覧ください。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

リスク レベルと予防管理

アダプティブ保護を使用すると、管理者は、organizationのニーズに基づいて、カスタマイズ可能なリスク レベルのリスク要因またはアクティビティを構成できます。 アダプティブ保護のリスク レベルは、ユーザーのリスク要因と分析情報に基づいて継続的かつ自動的に更新されるため、ユーザーのデータ セキュリティ リスクが増減すると、それに応じてリスク レベルが調整されます。 DLP ポリシーと条件付きアクセス ポリシーは、リスク レベルに基づいて、管理者によって構成された適切なレベルの予防制御 ( ブロックオーバーライドによるブロック警告など) を自動的に適用します。

アダプティブ保護で割り当てられたインサイダー リスク管理ポリシーに応じて、さまざまな基準 (ユーザー、グループ、インジケーター、しきい値など) を使用して、該当するリスク レベルを決定します。 リスク レベルは、特定のユーザー アクティビティのインスタンスの数だけでなく、ユーザーの分析情報に基づいています。 分析情報は、アクティビティの合計数と、これらのアクティビティの重大度レベルの計算です。

たとえば、ユーザー A のリスク レベルは、リスクの可能性のあるアクティビティを 3 回以上実行するユーザー A によって決定されません。 ユーザー A のリスク レベルは、アクティビティの合計数の分析情報によって決定され、リスク スコアは、選択したポリシーで構成されたしきい値に基づいてアクティビティに割り当てられます。

リスク レベル

アダプティブ保護のリスク レベルは、ユーザーのアクティビティのリスクを定義し、実行した流出アクティビティの数や、アクティビティが重大度の高いインサイダー リスク アラートを生成したかどうかなどの条件に基づいて行うことができます。 これらのリスク レベルには組み込みのリスク レベル定義がありますが、これらの定義は必要に応じてカスタマイズできます。

  • 高いリスク レベル: これは最も高いリスク レベルです。 これには、重大度の高いアラートを持つユーザー、特定のリスク アクティビティに対する重大度の高いアラートを持つ少なくとも 3 つのシーケンス分析情報を持つユーザー、または 1 つ以上の確認済みの重大度の高いアラートが組み込まれています。
  • 中程度のリスク レベル: 中程度のリスク レベルには、重大度が中程度のアラートを持つユーザーまたは重大度の高いスコアの少なくとも 2 つのデータ流出アクティビティを持つユーザーの組み込み定義が含まれます。
  • マイナー リスク レベル: 最も低いリスク レベルには、重大度の低いアラートを持つユーザーまたは重大度スコアの高い少なくとも 1 つのデータ流出アクティビティを持つユーザーの組み込み定義が含まれます。

リスク レベルをユーザーに割り当てるには、分析情報の数とアクティビティに割り当てられた重大度が、リスク レベルの定義と一致している必要があります。 分析情報のアクティビティの数は、1 つのアクティビティか、単一の分析情報に対して発生する複数のアクティビティです。 分析情報に含まれるアクティビティの数ではなく、リスク レベル定義に対して分析情報の数が評価されます。

たとえば、アダプティブ保護に割り当てられたインサイダー リスク管理ポリシーの条件が、organization内の SharePoint サイトからのダウンロードを識別するためのスコープであるとします。 ポリシーで、重要度が高いと判断された 1 日に SharePoint サイトから 10 個のファイルをダウンロードしたと検出された場合、これは 10 個のアクティビティ イベントで構成される 1 つの分析情報としてカウントされます。 このアクティビティが ユーザーに昇格されたリスク レベル を割り当てる資格を得るには、ユーザーに 2 つの追加の分析情報 (重大度が高い) が必要になります。 追加の分析情報には、1 つ以上のアクティビティが含まれている場合と含まれていない場合があります。

インサイダー リスク管理アダプティブ保護リスク レベル。

リスク レベルのカスタマイズ

カスタム リスク レベルを使用すると、organizationのニーズに基づいてリスク レベルを作成できます。 リスク レベルの基準をカスタマイズし、リスク レベルがユーザーに割り当てられるタイミングを制御する条件を定義できます。

DLP ポリシーと条件付きアクセス ポリシーと共にアダプティブ保護を使用する場合の次の例を考えてみましょう。

  • DLP ポリシー:
    • 未成年者または中程度のリスク レベルのユーザーが、機密データを処理するためのベスト プラクティスに関するポリシーヒントと教育を受け取ることを許可します。 これにより、時間の経過に伴う肯定的な動作の変化に影響を与え、組織のデータ リスクを軽減できます。
    • リスク レベル が高いユーザーが 機密データを保存または共有できないようにブロックし、潜在的なデータ インシデントの影響を最小限に抑えます。
  • 条件付きアクセス ポリシー:
    • アプリケーションを使用する前に 、マイナー リスク レベルのユーザーに利用規約の確認を要求します。
    • 中程度のリスク レベルのユーザーが特定のアプリケーションにアクセスできないようにブロックする
    • 昇格されたリスク レベルのユーザーがアプリケーションを使用できないように完全にブロックします。 一般的に適用される条件付きアクセス ポリシーの詳細

リスク レベルの基準と条件

リスク レベルの基準と条件のカスタマイズは、次の領域に基づいて行うことができます。

  • ユーザーに対して生成または確認されたアラート: このオプションを使用すると、選択したインサイダー リスク管理ポリシーのユーザーに対して生成または確認された アラートの重大度レベル に基づいて条件を選択できます。 アラートの条件は加算されず、いずれかの条件が満たされた場合、リスク レベルがユーザーに割り当てられます。
  • 特定のユーザー アクティビティ: このオプションを使用すると、検出するアクティビティの条件、その重大度、 過去のアクティビティ検出 期間中の毎日の出現回数を選択できます (省略可能)。 ユーザー アクティビティの条件は追加的であり、すべての条件が満たされている場合にのみ、リスク レベルがユーザーに割り当てられます。

過去のアクティビティ検出

このリスク レベル設定は、ユーザーがいずれかのリスク レベルで定義された条件を満たしているかどうかを検出するために、アダプティブ保護が調べる日数を決定します。 既定の設定は 7 日ですが、前のアクティビティの 5 日から 30 日間を選択して、リスク レベルの条件を適用できます。 この設定は、ユーザーの毎日のアクティビティに基づくリスク レベルにのみ適用され、アラートに基づくリスク レベルは除外されます。

次の例は、過去のアクティビティ検出設定とリスク レベルが対話して、ユーザーの過去のアクティビティがスコープ内であるかどうかを判断する方法を示しています。

  • 昇格されたリスク レベル の設定: ユーザーは、重大度の高いリスク スコア (67 から 100) を持つ少なくとも 3 つのシーケンスを実行します。
  • 過去のアクティビティ検出 設定: 3 日間
ユーザー アクティビティ リスク レベルのスコープ内アクティビティ
ユーザーは、T-3 日、T-2 日、T-1 日に重大度の高いシーケンスを毎日 1 つ持っています はい
ユーザーが T-3 日目に重大度の高いシーケンスを 3 つ持っている はい
ユーザーは、T-4 日目に重大度が高いシーケンスが 1 つ、T-3 日目に重大度が高いシーケンスが 2 つあり いいえ

リスク レベルの時間枠

このリスク レベル設定は、リスク レベルが自動的にリセットされるまでのユーザーへの割り当て期間を決定します。 既定の設定は 7 日ですが、ユーザーのリスク レベルをリセットする前に 5 日から 30 日を選択できます。

リスク レベルは、次の場合にもユーザーに対してリセットされます。

  • ユーザーに関連付けられているアラートは無視されます
  • ユーザーに関連付けられているケースが解決される
  • リスク レベルの終了日が手動で期限切れになっている

注:

ユーザーに現在リスク レベルが割り当てられ、そのユーザーがそのリスク レベルの基準をもう一度満たしている場合、そのユーザーの定義された日数に対してリスク レベルの期間が延長されます。

アダプティブ保護のアクセス許可

DLP または条件付きアクセスにインサイダー リスク管理の組み込みロール グループと役割グループを使用する方法によっては、organizationの管理者、アナリスト、調査担当者のアクセス許可を更新する必要がある場合があります。

次の表では、特定のアダプティブ保護タスクに必要なアクセス許可について説明します。

タスク 必要な役割グループ
アダプティブ保護と更新の設定を構成する インサイダー リスク管理 または インサイダー リスク管理管理者
アダプティブ保護条件を使用して DLP ポリシーを作成および管理する 次のいずれか: コンプライアンス管理者コンプライアンス データ管理者DLP コンプライアンス管理グローバル管理者
アダプティブ保護条件を使用して条件付きアクセス ポリシーを作成および管理する 次のいずれか: グローバル管理者条件付きアクセス管理者セキュリティ管理者
ユーザーに割り当てられたリスク レベルの詳細を表示する インサイダーリスク管理インサイダーリスク管理アナリスト、または インサイダーリスク管理調査官

重要

役割グループの 4 つのカテゴリは、[アダプティブ保護] ページの [ リスク レベル]、[ ユーザー割り当てリスク レベル]、[ DLP ポリシー]、[ 条件付きアクセス ポリシー] の各タブに対応しています。 適切な役割グループに割り当てられない場合、[アダプティブ保護] ページにタブは表示されません。

Microsoft Defender for Office 365と Microsoft Purview コンプライアンスの役割グループの詳細

アダプティブ保護を構成する

organizationのニーズ、または現在インサイダー リスク管理、DLP、条件付きアクセスで構成されている場所に応じて、アダプティブ保護を開始するには、次の 2 つのオプションがあります。

  • クイック セットアップ
  • カスタム セットアップ

クイック セットアップ

クイック セットアップ オプションは、アダプティブ保護を開始するための最速の方法です。 このオプションを使用すると、既存のインサイダー リスク管理、DLP、または条件付きアクセス ポリシーは必要なく、設定や機能を事前に構成する必要はありません。 organizationに、インサイダー リスク管理または DLP をサポートする現在のサブスクリプションまたはライセンスがない場合は、クイック セットアップ プロセスを開始する前に、Microsoft Purview リスクとコンプライアンス ソリューションの試用版にサインアップしてください。 Microsoft Entra試用版にサインアップすることもできます。

まず、Microsoft Purview ポータルのホーム ページまたは DLP の [概要] ページのアダプティブ保護カードから [アダプティブ保護を 有効にする ] を選択します。 また、Insider リスク管理>のアダプティブ保護>ダッシュボード>のクイック セットアップに移動して、クイック セットアップ プロセスを開始することもできます。

注:

既に Microsoft Purview の スコープ管理者 である場合は、クイック セットアップを有効にすることはできません。

アダプティブ保護にクイック セットアップ プロセスを使用する場合に構成される内容を次に示します。

領域 構成
インサイダー リスク設定 (まだ構成されていない場合) - プライバシー: 匿名化されたバージョンのユーザー名を表示します。 メモ: ユーザー名が条件付きアクセスまたは DLP で匿名化されない
- ポリシー期間: 既定値
- ポリシー インジケーター: Office インジケーターのサブセット (インサイダー リスク管理設定で表示できます)
- リスク スコア ブースター: すべて
- インテリジェント検出: アラート ボリューム = 既定のボリューム
- 分析: オン
- 管理通知: すべてのユーザーに対して最初のアラートが生成されたときに通知メールを送信する
インサイダー リスク設定 (既に構成されている場合) - ポリシー インジケーター: Office インジケーターがまだ構成されていません (インサイダー リスク管理設定で表示できます)。
- 以前に構成したその他の設定はすべて更新または変更されません。
- 分析: オン (ポリシー内のイベントをトリガーするためのしきい値は 、Analytics の推奨事項によって決定される既定の設定です)。
新しいインサイダー リスク ポリシー - ポリシー テンプレート: データ リーク
- ポリシー名: Insider Risk Management のアダプティブ保護ポリシー
- ユーザーとグループのポリシー スコープ: すべてのユーザーとグループ
- 優先度のコンテンツ: なし
- イベントのトリガー: 選択した流出イベント (インサイダー リスク管理設定で表示できます)
- ポリシー インジケーター: Office インジケーターのサブセット (インサイダー リスク管理設定で表示できます)
- リスク スコア ブースター: アクティビティは、その日のユーザーの通常のアクティビティを上回っています
アダプティブ保護リスク レベル - 高い リスク レベル: ユーザーは、重大度の高い流出シーケンスを少なくとも 3 つ持っている必要があります
- 中程度の リスク レベル: ユーザーには、少なくとも 2 つの重大度の高いアクティビティが必要です (一部の種類のダウンロードを除く)
- マイナー リスク レベル: ユーザーには、重大度の高いアクティビティが少なくとも 1 つ必要です (一部の種類のダウンロードを除く)
2 つの新しい DLP ポリシー エンドポイント DLP のアダプティブ保護ポリシー

- 昇格された リスク レベルルール: ブロック
- 中程 度/マイナー リスク レベル ルール: 監査
- ポリシーはテスト モードで開始されます (監査のみ)

Teams と Exchange DLP のアダプティブ保護ポリシー

- 昇格された リスク レベルルール: ブロック
- 中程 度/マイナー リスク レベルルール: 監査
- ポリシーはテスト モードで開始されます (監査のみ)
新しい条件付きアクセス ポリシー (ユーザーがブロックされないようにレポート専用モードで作成) 1-Insider Risk を使用しているユーザーのアクセスをブロックする (プレビュー)

- 含まれるユーザー: すべてのユーザー
- 除外されたゲストまたは外部ユーザー: B2bDirectConnect ユーザー。OtherExternalUser;ServiceProvider
- クラウド アプリ: すべてのアプリ
- インサイダー リスク レベル: 昇格
- アクセスをブロックする: 選択済み

クイック セットアップ プロセスが開始されると、分析が完了するまでに最大 72 時間かかる場合があり、関連するインサイダー リスク管理、DLP、条件付きアクセス ポリシーが作成され、適応型保護リスク レベル、DLP、および条件付きアクセス アクションが適用可能なユーザー アクティビティに適用されることがわかります。 クイック セットアップ プロセスが完了すると、管理者は通知メールを受け取ります。

カスタム セットアップ

カスタム セットアップ オプションを使用すると、内部リスク管理ポリシー、リスク レベル、アダプティブ保護用に構成された DLP ポリシーと条件付きアクセス ポリシーをカスタマイズできます。 このオプションを使用すると、インサイダー リスク管理と DLP の間のアダプティブ保護接続を実際に有効にする前に、これらの項目を構成することもできます。 ほとんどの場合、このオプションは、インサイダー リスク管理や DLP ポリシーが既に設定されている組織で使用する必要があります。

カスタム セットアップを使用してアダプティブ保護を構成するには、次の手順を実行します。

手順 1: インサイダー リスク管理ポリシーを作成する

アダプティブ保護で割り当てられたポリシーがユーザー アクティビティを検出するか、次の手順で定義したリスク レベルの条件に一致するアラートを生成すると、リスク レベルがユーザーに割り当てられます。 既存のインサイダー リスク管理ポリシー (手順 2 で選択) を使用しない場合は、新しいインサイダー リスク管理ポリシーを作成する必要があります。 アダプティブ保護に関するインサイダー リスク管理ポリシーには、次のものが含まれている必要があります。

  • アクティビティを検出するユーザー。 これは、organization内のすべてのユーザーとグループ、または特定のリスク軽減シナリオまたはテスト目的のサブセットです。
  • アクティビティのリスク スコアに影響を与える危険なしきい値とカスタムしきい値を考慮するアクティビティ。 危険なアクティビティには、organization外のユーザーにメールを送信したり、USB デバイスにファイルをコピーしたりする場合があります。

[ インサイダー リスク ポリシーの作成 ] を選択して、新しいポリシー ウィザードを起動します。 データ リーク ポリシー テンプレートはウィザードで自動的に選択されますが、必要に応じて任意のポリシー テンプレートを選択できます。

重要

選択したポリシー テンプレートによっては、リスクの高い可能性のあるアクティビティを適切に検出し、該当するアラートを作成するために、ポリシーの 追加設定 を構成する必要がある場合があります

手順 2: リスク レベルの設定を構成する

[ アダプティブ保護] タブの [リスク レベル ] を選択します。まず、アダプティブ保護に使用するインサイダー リスク管理ポリシーを選択します。 これは、手順 1 で作成した新しいポリシー、または既に構成した既存のポリシーのいずれかです。

次に、該当する組み込みのリスク レベルの条件を受け入れるか、独自の条件を作成します。 選択したポリシーの種類に応じて、リスク レベルの条件には、ポリシーで構成したインジケーターとアクティビティに関連付けられている該当する条件が反映されます。

たとえば、 データ リーク ポリシー テンプレートに基づいてポリシーを選択した場合、組み込みのリスク レベルの条件の選択は、そのポリシーで使用できるインジケーターとアクティビティに適用されます。 セキュリティ ポリシー違反ポリシー テンプレートに基づいてポリシーを選択した場合、組み込みのリスク レベルの条件は、そのポリシーで使用できるインジケーターとアクティビティに自動的にスコープ設定されます。

ポリシーのリスク レベルをカスタマイズするには、次の手順を実行します。

  1. [アダプティブ保護のリスク レベル] タブで、カスタマイズするリスク レベル (昇格、モデレートマイナー) の [編集] を選択します。

  2. [ カスタム リスク レベル ] ウィンドウで、[ リスク レベルに基づく ] セクションでオプションを選択します。

    • ユーザーに対して生成または確認されたアラート
    • 特定のユーザー アクティビティ
  3. [ユーザーに対して生成または確認されたアラート] オプションを選択した場合は、このリスク レベルを使用するユーザーに対して生成または確認されたアラートの重大度レベルを選択します。 生成されたアラートの重大度、確認されたアラート条件の重大度を保持するか、これらの条件のいずれかを使用する場合は、これらの条件のいずれかを削除できます。 これらの条件のいずれかを再度追加する必要がある場合は、[ 条件の追加 ] を選択し、条件を選択します。 条件ごとに、条件に適用する重大度レベル () を選択します。 いずれかの条件が満たされた場合、リスク レベルがユーザーに割り当てられます。

  4. [特定のユーザー アクティビティ] オプションを選択した場合は、検出するアクティビティ、その重大度、過去のアクティビティ検出期間中の毎日の出現回数を選択します。 このリスク レベルの検出期間中の アクティビティアクティビティの重大度、および アクティビティの発生 を構成する必要があります。

    [アクティビティ] 条件では、関連するポリシーで構成されたインジケーターで定義したアクティビティの種類に対して、選択できるオプションが自動的に更新されます。 必要に応じて、[ 上記の条件が満たされていない場合でも、将来のアラートが確認されたユーザーにこのリスク レベルを割り当てる ] チェック ボックスをオンにします。 すべての条件が満たされると、リスク レベルがユーザーに割り当てられます。

    [ アクティビティの重大度 ] 条件に、毎日のアクティビティ分析情報に含まれるアクティビティの重大度レベルを指定します。 オプションは HighMediumLow で、リスク スコア範囲に基づいています。

    [ 検出中のアクティビティの出現回数] 条件では、指定した 過去のアクティビティ 検出期間内に選択したアクティビティを検出する必要がある回数を指定します。 この数は、アクティビティに対して発生する可能性があるイベントの数とは関係ありません。 たとえば、ユーザーが 1 日に SharePoint から 20 個のファイルをダウンロードしたとポリシーで検出された場合、20 個のイベントで構成される 1 日のアクティビティ分析情報としてカウントされます。

  5. [ 確認] を選択してカスタム リスク レベルの条件を適用するか 、[キャンセル] を選択 して変更を破棄します。

ユーザーが複数のポリシーのスコープ内にある場合のリスク レベルの割り当て方法

ユーザーが複数のポリシーのスコープ内にある場合、ユーザーが異なる重大度レベルのアラートを受信した場合、既定では、ユーザーには受信した最高の重大度レベルが割り当てられます。 たとえば、ユーザーが重大度の高いアラートを受け取った場合 に、昇格された リスク レベルを割り当てるポリシーを考えてみましょう。 ユーザーがポリシー 1 から重大度が低いアラート、ポリシー 2 から重大度が中程度のアラート、ポリシー 3 から重大度が高いアラートを受け取った場合、ユーザーには 昇格された リスク レベル (受信したアラートの重大度が最も高いレベル) が割り当てられます。

検出するには、選択したポリシーにリスク レベルの条件が存在する必要があることに注意してください。 たとえば、[ USB にコピー ] アクティビティを選択して 中程度 のリスク レベルを割り当てるが、選択した 3 つのポリシーのうちの 1 つだけでアクティビティが選択されている場合、その 1 つのポリシーのアクティビティのみが、そのアクティビティに 対して中程度 のリスク レベルを割り当てます。

手順 3: DLP ポリシーを作成または編集する

次に、既存の DLP ポリシーを作成 (または編集) して、アダプティブ保護のリスク レベルの条件に一致するユーザーのアクションを制限します。 DLP ポリシー構成には、次のガイドラインを使用します。

  • DLP ポリシーには、 Adaptive Protection is condition のユーザーのリスク レベル を含める必要があります。 この DLP ポリシーには、必要に応じて他の条件を含めることができます。
  • DLP ポリシーには他の場所を含めることができますが、アダプティブ保護では現在、Exchange、Microsoft Teams、デバイスのみがサポートされています。

[ DLP ポリシーの作成 ] を選択して DLP ポリシー ウィザードを起動し、新しい DLP ポリシーを作成します。 アダプティブ保護用に構成する既存の DLP ポリシーがある場合は、コンプライアンス ポータルの [データ損失防止>ポリシー] に移動し、アダプティブ保護用に更新する DLP ポリシーを選択します。 新しい DLP ポリシーを構成する方法、またはアダプティブ保護のために既存の DLP ポリシーを更新する方法のガイダンスについては、「 データ損失防止のアダプティブ保護の詳細: 手動構成」を参照してください。

ヒント

DLP ポリシー (ポリシーヒント付き) をテストして、DLP アラートを確認して、AP を有効にする前にポリシーが期待どおりに動作していることを確認できるようにすることをお勧めします。

手順 4: 条件付きアクセス ポリシーを作成または編集する

次に、既存の条件付きアクセス ポリシーを作成 (または編集) して、アダプティブ保護のリスク レベルの条件に一致するユーザーのアクションを制限します。 条件付きアクセス ポリシーの構成には、次のガイドラインを使用します。

  • 条件からのシグナルに基づいてアクセスを制御する [条件付きアクセス] ページで、[Insider リスク条件] を [はい] に設定し、リスク レベル (昇格、モデレートまたはマイナー) を選択します。 これは、ポリシーを適用するためにユーザーが持つ必要があるリスク レベルです。

[ 条件付きアクセス ポリシーの作成 ] を選択して条件付きアクセス ポリシー ウィザードを起動し、新しい条件付きアクセス ポリシーを作成します。 アダプティブ保護用に構成する既存の条件付きアクセス ポリシーがある場合は、Microsoft Entra 管理センターの [保護>] 条件付きアクセスに移動し、アダプティブ保護用に更新する条件付きアクセス ポリシーを選択します。 新しい条件付きアクセス ポリシーを構成する方法、またはアダプティブ保護のために既存の条件付きアクセス ポリシーを更新する方法のガイダンスについては、「 一般的な条件付きアクセス ポリシー: インサイダー リスク ベースのポリシー」を参照してください。

手順 5: アダプティブ保護を有効にする

前のすべての手順を完了したら、アダプティブ保護を有効にする準備ができました。 アダプティブ保護を有効にすると、次の手順が実行されます。

  • インサイダー リスク管理ポリシーは、リスク レベルの条件に一致するユーザー アクティビティの検索を開始します。 検出された場合、リスク レベルがユーザーに割り当てられます。
  • リスク レベルが割り当てられているユーザーは、アダプティブ保護 の [スコープ内のユーザー ] タブに表示されます。
  • DLP ポリシーは、DLP ポリシーに含まれるリスク レベルに割り当てられているすべてのユーザーに対して保護アクションを適用します。 DLP ポリシーは、Adaptive Protection (プレビュー) の [DLP ポリシー] タブに追加されます。 DLP ポリシーの詳細を表示し、ダッシュボードからポリシーの条件を編集できます。
  • 条件付きアクセス ポリシーは、条件付きアクセス ポリシーに含まれるリスク レベルに割り当てられているすべてのユーザーに対して保護アクションを適用します。 条件付きアクセス ポリシーは、Adaptive Protection (プレビュー) の [条件付きアクセス ポリシー] タブに追加されます。 条件付きアクセス ポリシーの詳細を表示し、ポリシーの条件をダッシュボードから編集できます。

アダプティブ保護を有効にするには、[ アダプティブ保護の設定 ] タブを選択し、[ アダプティブ保護の有効化][オン] に切り替えます。 適応型保護リスク レベルと DLP と条件付きアクセスアクションが該当するユーザー アクティビティに適用されるのを予想できるようになるまで、最大で 36 時間かかることがあります。

Microsoft Mechanics チャネルで次のビデオを見て、 アダプティブ保護がユーザーの計算されたデータ セキュリティ リスク レベルに基づいてデータ保護の強度を自動的に調整する方法を確認します

アダプティブ保護を管理する

アダプティブ保護を有効にし、インサイダー リスク管理、DLP、条件付きアクセス ポリシーを構成すると、ポリシー メトリック、現在のスコープ内ユーザー、および現在スコープ内のリスク レベルに関する情報にアクセスできるようになります。

ダッシュボード

クイックまたはカスタムのセットアップ プロセスを完了すると、アダプティブ保護 (プレビュー) の [ダッシュボード] タブに、ユーザー リスク レベル、条件付きアクセス ポリシー、DLP ポリシーに関する概要情報のウィジェットが表示されます。

  • ユーザー割り当てリスク レベル: 各リスク レベル (リスクの昇格、中程度の リスクマイナー リスク) のユーザー数を表示します。
  • リスク レベルを使用するポリシー: ポリシーの状態 ([未開始 ] または [ 完了])、ポリシーの種類 (条件付きアクセス または データ損失防止)、およびポリシーの種類ごとに構成されたポリシーの数が表示されます。 ポリシーの種類が構成されていない場合は、[ クイック セットアップ ] ボタンを選択してポリシーを構成できます。

インサイダー リスク管理 Adaptive Protection ダッシュボード。

ユーザー割り当てリスク レベル

アダプティブ保護でリスク レベルが割り当てられているユーザーは、[ ユーザー割り当て済みのリスク レベル ] タブに表示されます。ユーザーごとに次の情報を確認できます。

  • ユーザー: ユーザー名をListsします。 DLP ポリシーの場合、インサイダー リスク管理設定で [ 匿名化されたバージョンのユーザー名を表示 する] オプションが選択されている場合は、匿名化されたユーザー名が表示されます。 条件付きアクセス ポリシーの場合、[匿名化された バージョンのユーザー 名を表示する] 設定が選択されている場合でも、ユーザー名は匿名化されません。

    重要

    参照整合性を維持するために、アラートやアクティビティを持つアダプティブ保護のユーザーがインサイダー リスク管理の外部に表示される場合、ユーザー名の匿名化 (オンになっている場合) は保持されません。 実際のユーザー名は、関連する DLP アラートとアクティビティ エクスプローラーに表示されます。

  • リスク レベル: ユーザーに割り当てられている現在のリスク レベル。

  • ユーザーに割り当てられている: ユーザーにリスク レベルが割り当てられた後に経過した日数または月数。

  • リスク レベルのリセット: ユーザーのリスク レベルが自動的にリセットされるまでの日数。

    ユーザーのリスク レベルを手動でリセットするには、ユーザーを選択し、[ 期限切れ] を選択します。 このユーザーにはリスク レベルが割り当てられなくなりました。 このユーザーの既存のアラートまたはケースは削除されません。 このユーザーが選択したインサイダー リスク管理ポリシーに含まれている場合、トリガーイベントが検出されると、リスク レベルが再び割り当てられます。

  • アクティブなアラート: ユーザーの現在のインサイダー リスク管理アラートの数。

  • 違反として確認されたケース: ユーザーに対して確認されたケースの数。

  • 大文字と小文字: 大文字と小文字の名前。

必要に応じて、 リスク レベルでユーザーをフィルター処理できます。

インサイダー リスク管理アダプティブ保護ユーザー。

特定のユーザーの詳細なインサイダー リスクとアダプティブ保護情報を表示するには、ユーザーを選択してユーザーの詳細ウィンドウを開きます。 詳細ウィンドウには、 ユーザー プロファイルユーザー アクティビティアダプティブ保護の概要の 3 つのタブが含まれています。 [ユーザー プロファイル] タブと [ユーザー アクティビティ] タブの詳細については、「ユーザーの詳細を表示する」を参照してください。

[Adaptive Protection の概要] タブでは、次の 4 つのセクションの情報が集計されます。

  • アダプティブ保護: このセクションでは、ユーザーの現在の リスク レベル割り当てられたリスク レベル、および リスク レベルのリセットに 関する情報を表示します。
  • スコープ内の DLP ポリシー (動的): このセクションでは、ユーザーの現在スコープ内のすべての DLP ポリシーと、ポリシーの開始日と終了日が表示されます。 これは、ユーザーのリスク レベルと、リスク レベルの DLP ポリシー構成に基づいています。 たとえば、ユーザーにインサイダー リスク管理ポリシーの 昇格された リスク レベルとして定義されているアクティビティがあり、昇格 された リスク レベル条件で 2 つの DLP ポリシーが構成されている場合、この 2 つの DLP ポリシーがユーザーに対してここに表示されます。
  • スコープ内の条件付きアクセス ポリシー (動的): このセクションでは、ユーザーの現在スコープ内のすべての条件付きアクセス ポリシーと、ポリシーの開始日と終了日が表示されます。 これは、ユーザーのリスク レベルと、リスク レベルの条件付きアクセス ポリシー構成に基づいています。 たとえば、ユーザーがインサイダー リスク管理ポリシーの 昇格された リスク レベルとして定義されているアクティビティを持ち、条件付きアクセス ポリシーが 昇格された リスク レベル条件で構成されている場合、条件付きアクセス ポリシーがユーザーに対してここに表示されます。
  • Adaptive Protection のインサイダー リスク ポリシー: このセクションでは、ユーザーが現在スコープ内にあるインサイダー リスク管理ポリシーを表示します。

インサイダー リスク管理アダプティブ保護ユーザーの詳細。

条件付きアクセス ポリシー

[ 条件付きアクセス ポリシー] ページには、 Insider リスク 条件を使用しているすべての条件付きアクセス ポリシーが表示されます。 ポリシーごとに次の情報を確認できます。

  • ポリシー名: 条件付きアクセス ポリシーの名前。
  • ポリシーの状態: ポリシーの現在の状態。 値は アクティブ または 非アクティブです
  • 含まれるリスク レベル: Insider リスク 条件を使用した条件付きアクセス ポリシーに含まれるリスク レベル。 オプションは、昇格、中レベル、またはマイナー リスク レベルです。
  • ポリシーの状態: 条件付きアクセス ポリシーの現在の状態。 オプションは [オン] または [通知ありのテスト] です
  • [作成日]: 条件付きアクセス ポリシーが作成された日付。
  • 最終更新日: 条件付きポリシーが最後に編集された日付。

インサイダー リスク管理アダプティブ保護の条件付きアクセス ポリシー。

DLP ポリシー

[DLP ポリシー] ページには、Adaptive Protection に対してユーザーのリスク レベルが条件として使用されているすべての DLP ポリシーが表示されます。 ポリシーごとに次の情報を確認できます。

  • ポリシー名: DLP ポリシーの名前。
  • ポリシーの状態: ポリシーの現在の状態。 値は アクティブ または 非アクティブです
  • ポリシーの場所: DLP ポリシーに含まれる 場所 。 現在、アダプティブ保護では Exchange、Teams、デバイスのみがサポートされています。
  • 含まれるリスク レベル: アダプティブ保護に対するユーザーのリスク レベル を使用して DLP ポリシーに含まれるリスク レベルは条件です。 オプションは、昇格、中レベル、またはマイナー リスク レベルです。
  • ポリシーの状態: DLP ポリシーの現在の状態。 オプションは [オン] または [通知ありのテスト] です
  • 作成日: DLP ポリシーが作成された日付。
  • 最終更新日: DLP ポリシーが最後に編集された日付。

インサイダー リスク管理アダプティブ保護 DLP ポリシー。

リスク レベルの設定を調整する

リスク レベルを持つユーザーを確認した後、リスク レベルが割り当てられているユーザーが多すぎる、または少なすぎる場合があります。 次の 2 つの方法を使用して、ポリシー構成を調整して、リスク レベルが割り当てられているユーザーの数を減らすか、増やすことができます。

  • インサイダー リスク レベルの設定を変更します。 しきい値を調整して、ユーザーにリスク レベルを割り当てることができます。
    • リスク レベルを割り当てるために必要なアクティビティの重大度を増減します。 たとえば、リスク レベルのユーザーが少なすぎる場合は、アクティビティまたはアラートの重大度を減らすことができます。
    • リスク レベルが特定のユーザー アクティビティに基づいている場合は、検出期間中に発生するアクティビティを増減します。 たとえば、リスク レベルを持つユーザーが少なすぎると、アクティビティの発生を減らすことができます。
    • リスク レベルの基準を変更します。 たとえば、リスク レベルを持つユーザーが多すぎる場合、ユーザーの数を減らすには、アラートが確認された場合にのみリスク レベルを割り当てることができます。
  • ポリシーのしきい値を変更します。 リスク レベルはポリシー検出に基づいて割り当てられるため、ポリシーを変更することもできます。これにより、リスク レベルを割り当てる要件が変更されます。 ポリシーを変更するには、重大度の高い/中低のアクティビティとアラートにつながるポリシーのしきい値を増減します。

アダプティブ保護を無効にする

アダプティブ保護を一時的に無効にする必要がある場合があります。 アダプティブ保護を無効にするには、[ アダプティブ保護の設定 ] タブを選択し、[ アダプティブ保護の有効化][オフ] に切り替えます。

有効かつアクティブになった後にアダプティブ保護がオフになっている場合、リスク レベルはユーザーに割り当てられなくなるし、DLP と条件付きアクセスと共有され、ユーザーのすべての既存のリスク レベルがリセットされます。 アダプティブ保護をオフにした後、ユーザー アクティビティへのリスク レベルの割り当てを停止し、すべてリセットするまでに最大 6 時間かかる場合があります。 インサイダー リスク管理、DLP、条件付きアクセス ポリシーは自動的に削除されません。

インサイダー リスク管理のアダプティブ保護を有効にします。