デバイススコープを使用する DLP ポリシーを作成する

このシナリオでは、Microsoft Purview エンドポイント DLP ポリシーを特定のデバイス グループにスコープを設定する方法を示します。 たとえば、MacOS デバイスを除外しているときに Finance ユーザーが Windows デバイスからデータにアクセスする場合にのみ、ポリシーを適用できます。 デバイス グループは、通常、Microsoft Entra IDの動的デバイス グループを使用して定義されます。

このシナリオは、完全なディレクトリ ポリシーを作成する無制限の管理者向けです。

このシナリオでは、デバイスが既にオンボードされ、アクティビティ エクスプローラーにレポートされている必要があります。 まだデバイスをオンにしていない場合は、エンドポイントのデータ損失防止 (プレビュー) を開始を参照してください。

前提条件と前提事項

この記事では、「データ損失防止ポリシーの設計」で学習したプロセスを使用して、Microsoft Purview データ損失防止 (DLP) ポリシーを作成する方法について説明します。 テスト環境でこれらのシナリオを実行して、ポリシー作成 UI について理解します。

ポリシーをデプロイする方法は、ポリシー設計と同じくらい重要です。 DLP ポリシーを展開すると、 コストのかかるビジネスの中断を回避しながらポリシーが意図を達成できるように、展開オプションを使用する方法が示されます。

動的デバイス グループを作成しました。

ポリシー意図ステートメントとマッピング

organizationは、Finance ユーザーが Windows デバイスからデータにアクセスするときに、クレジット カード データを含む機密アイテムの USB デバイスへのコピーをブロックし、同じユーザーが macOS デバイスから作業する場合は適用されない DLP ポリシーを適用したいと考えています。

デバイス グループを作成する

動的デバイス グループに慣れていない場合は、次を参照してください。

• Microsoft Entra IDで動的メンバーシップ グループを作成または更新する
• Microsoft Entra IDで動的メンバーシップ グループのルールを管理します。

このシナリオのデバイス グループを作成するには:

1. 財務チームが使用する Windows デバイス用 の Finance Windows Device という名前の新しい動的デバイス グループを作成します。

動的デバイス グループを対象にしたポリシーを作成する

1. Microsoft Purview ポータル>Data loss prevention>policies にサインインします。

2. [ポリシーの作成] を選択します。

3. [ エンタープライズ アプリケーション & デバイス] を選択します。

4. [カテゴリ] から [カスタム] を選択し、[規制] から [カスタム ポリシー] テンプレートを選択します。 [次へ] を選択します。

5. 新しいポリシーに [名前] と [説明] を指定します。

6. [管理 ユニット] の下の既定の [完全ディレクトリ] をそのまま使用します。

7. 場所のスコープを [デバイス ] の場所のみに設定します。

8. [デバイス] の場所で [編集] を選択します。

9. 既定の [すべてのユーザー、グループ、アダプティブ スコープ] を受け入れる

10. [ 特定のデバイスとデバイス グループ ] を選択し、作成した Finance Windows デバイス を追加します。

11. 次の値を使用してルールを作成します。

    • 条件: コンテンツには = Sensitive Info の種類 = クレジット カード番号が含まれています
    • アクション: デバイスでのアクティビティの監査または制限>すべてのアプリのアクティビティのファイル>リムーバブル USB デバイス = Block への特定のアクティビティ>Copy に対する制限を適用します。

12. [ 保存] を選択 し、[ 次へ] を選択します。

13. 既定の [シミュレーション モードでポリシーを実行する ] の値をそのまま使用し、[ シミュレーション モード中にポリシーヒントを表示する] を選択します。 [次へ] を選択します。

14. 設定を確認し、送信を選択します。

新しい DLP ポリシーがポリシーの一覧に表示されます。