このシナリオでは、Microsoft Purview DLP でネットワーク ベースの条件を使用して、ユーザーが機密データにアクセスする場所に基づいてさまざまな保護を適用する方法を示します。 VPN 接続を定義し、 ネットワーク例外を構成することで、ポリシーは、ネットワーク コンテキストに基づいてクリップボード アクティビティの監査やブロックなどのアクションを調整し、ユーザー アクティビティを一様に制限することなく、ハイブリッド作業環境をより正確に制御できるようにします。
このシナリオは、完全なディレクトリ ポリシーを作成する無制限の管理者向けです。
前提条件と前提事項
このシナリオでは、デバイスが既にオンボードされ、アクティビティ エクスプローラーにレポートされている必要があります。 まだデバイスをオンにしていない場合は、エンドポイントのデータ損失防止 (プレビュー) を開始を参照してください。
このシナリオでは、ハイブリッド ワーカーがリソースへのアクセスに使用する VPN の一覧organization定義します。
この記事では、「データ損失防止ポリシーの設計」で学習したプロセスを使用して、Microsoft Purview データ損失防止 (DLP) ポリシーを作成する方法について説明します。 テスト環境でこれらのシナリオを実行して、ポリシー作成 UI について理解します。
重要
この記事では、仮定の値を持つ架空のシナリオについて説明します。 これは説明のみを目的としています。 独自の機密情報の種類、秘密度ラベル、配布グループ、およびユーザーを置き換えます。
ポリシーの展開方法は、ポリシーの設計と同じくらい重要です。 この記事 では、コストのかかるビジネスの中断を回避しながらポリシーが意図を達成できるように、デプロイ オプションを使用する方法について説明します。
このシナリオでは 機密 機密ラベルが使用されるため、秘密度ラベルを作成して発行する必要があります。 詳細については、次を参照してください。
この手順では、架空の配布グループ [人事] と、Contoso.com のセキュリティ チームの配布グループを使用します。
この手順では、アラートを使用します。「データ損失防止アラートの概要」を参照してください
ポリシー意図ステートメントとマッピング
Contoso は、ユーザーが操作しているネットワーク コンテキストに基づいて、機密性の高い法的コンテンツの処理方法を制御したいと考えています。 特に、ユーザーが信頼された企業ネットワークまたはハイブリッド ワーカーによって使用される VPN 接続を介して接続されているかどうかに応じて、さまざまなレベルの制限を適用したいと考えています。
これを実現するために、既知の VPN 接続を定義し、DLP ポリシー内の ネットワーク例外ルール で使用します。 これにより、ユーザーが特定の VPN を介して接続されている場合に、他のコンテキストでの制限の少ない (監査のみ) 動作を維持しながら、オーバーライドによるクリップボード アクティビティのブロックなど、より厳格な制御を適用できます。 このアプローチにより、ユーザーが機密データにアクセスする方法と場所に適応するコンテキスト データ保護が可能になります。
| Statement | 構成に関する質問の回答と構成マッピング |
|---|---|
| "接続元のネットワーク ユーザーに応じて、さまざまなデータ保護コントロールを適用する必要があります。. | - 管理スコープ: 完全ディレクトリ - 監視する場所: デバイスのみ - ポリシー スコープ: すべてのユーザー/デバイスまたは対象ユーザー |
| "ハイブリッド ワーカーによって使用される VPN 接続を識別する必要があります。.. | - エンドポイント設定: サーバー アドレスまたはネットワーク アドレスを使用して VPN 設定 を構成する - PowerShell コマンドを使用して収集されたデータ (Get-VpnConnection、Get-NetConnectionProfile) |
| "エンドポイントで処理される機密性の高い法的コンテンツを検出する必要があります。. | - 条件: コンテンツに含まれる = トレーニング可能な分類子、 法務 |
| "機密性の高いコンテンツを含む特定のユーザー アクティビティを制御する必要があります。.." | - アクション: デバイスでのアクティビティを監査または制限する - アクティビティの種類: すべてのアプリのファイル アクティビティ - 特定のアクティビティ: クリップボードにコピーする (印刷や USB コピーなどの他のユーザーに拡張可能) |
| "通常の条件下では制限の厳しい監視が必要です。. | - 既定のアクティビティ アクション: クリップボードへのコピーに対してのみ監査 |
| "ユーザーが定義された VPN ネットワークを介して接続されている場合、より厳密な制御が必要です。.. | - ネットワーク例外: [VPN] を選択し、[オーバーライドでブロックする] にアクションを設定します - 優先順位: ネットワーク例外構成で VPN を最優先事項として設定する必要がある |
| 「説明責任を維持しながら、ユーザーの生産性をサポートしたいと考えています。. | - オーバーライド機能: VPN 条件下でブロックされた場合、ユーザーは正当な理由を続行できます |
| "ネットワーク ベースの規則の正しい優先順位を確保する必要があります。. | - 構成の動作: 正しく順序付けされた場合、VPN ルールが企業ネットワーク設定よりも優先されます - 注意: "すべてのアクティビティに適用する" は、他のアクティビティ固有の構成を上書きする可能性があります |
| "完全な適用の前にポリシーの動作を安全にテストする必要があります。. | - ポリシー モード: シミュレーション モードで実行する - ユーザー エクスペリエンス: シミュレーション モード中にポリシーのヒントを表示する |
| "監視とテストを通じてポリシーの動作を検証する必要があります。. | - 監視: アクティビティ エクスプローラー を使用してポリシーの一致を確認する - テスト: 異なるネットワーク条件下でクリップボードのコピー アクションを実行する (VPN と VPN 以外) |
ポリシーを作成する手順
ネットワーク例外を作成して使用する
ネットワーク例外を使用すると、ユーザーがファイルにアクセスするネットワークに基づいて、ファイル アクティビティに対する許可、監査のみ、オーバーライドによるブロック、およびブロック アクションを構成できます。 定義した VPN 設定 の一覧から選択し、[ 企業ネットワーク ] オプションを使用できます。 アクションは、次のユーザー アクティビティに個別に、またはまとめて適用できます。
- クリップボードにコピーする
- USB リムーバブル デバイスにコピーする
- ネットワーク共有にコピーする
- 印刷
- 許可されていない Bluetooth アプリを使用したコピーまたは移動
- RDP を使用してコピーまたは移動する
サーバー アドレスまたはネットワーク アドレスを取得する
DLP 監視対象の Windows デバイスで、管理者としてWindows PowerShell ウィンドウを開きます。
次のコマンドレットを実行します。
Get-VpnConnectionこのコマンドレットを実行すると、複数のフィールドと値が返されます。
[ServerAddress] フィールドを見つけて、その値を記録します。 これは、VPN リストに VPN エントリを作成するときに使用します。
[名前] フィールドを見つけて、その値を記録します。 [名前] フィールドは、VPN リストに VPN エントリを作成するときに [ネットワーク アドレス] フィールドにマップされます。
デバイスが企業ネットワーク経由で接続されているかどうかを判断する
DLP 監視対象の Windows デバイスで、管理者としてWindows PowerShell ウィンドウを開きます。
次のコマンドレットを実行します。
Get-NetConnectionProfileNetworkCategory フィールドが DomainAuthenticated の場合、デバイスは企業ネットワークに接続されます。 それ以外の場合、デバイスの接続は企業ネットワーク経由ではありません。
VPN を追加する
[Microsoft Purview ポータル] にサインインします。
[設定>Data Loss Prevention>Endpoint 設定>VPN 設定を開きます。
[ VPN アドレスの追加または編集] を選択します。
Get-VpnConnection を実行する サーバー アドレス または ネットワーク アドレス を指定します。
[保存] を選択します。
アイテムを閉じます。
ポリシー アクションを構成する
[Microsoft Purview ポータル] にサインインします。
[データ損失防止]>[ポリシー] を開きます。
[ ポリシーの作成] を選択します
接続されたソースに格納されているデータ。
[カテゴリ] から [カスタム] を選択し、[規制] から [カスタム ポリシー] テンプレートを選択します。
新しいポリシーに名前を付け、説明を入力します。
[完全なディレクトリ] を [管理単位] で選択します。
場所のスコープを [デバイス] のみにします。
次のルールを作成します:
- コンテンツに含まれています = トレーニング可能な分類子、 法務
- アクション = デバイスでのアクティビティの監査または制限
- 次に、すべてのアプリで [ファイル アクティビティ] を選択します
- [特定のアクティビティに制限を適用する] を選択します
- ネットワーク例外を構成するアクションを選択します。
[ クリップボードにコピー] と [ 監査のみ ] アクションを選択します
[ クリップボードへの別のコピーの制限を選択する] を選択します。
[ VPN ] を選択し、 アクションを [オーバーライドありでブロック] に設定します。
重要
VPN 経由で接続されているユーザーのアクティビティを制御する場合は、VPN を選択し、[ネットワーク例外] 構成で VPN を最優先事項にする必要があります。 それ以外の場合、[ 企業ネットワーク ] オプションが選択されている場合は、 企業ネットワーク エントリに対して定義されているアクションが適用されます。
注意
[ すべてのアクティビティに適用] オプションを選択すると、ここで定義されているネットワーク例外がコピーされ、 印刷や ネットワーク共有へのコピーなど、構成されている他のすべての特定のアクティビティに適用されます。 これにより、他のアクティビティのネットワーク例外が上書きされます。最後に保存された構成が優先されます。
保存します。
既定の [シミュレーション モードでポリシーを実行する ] の値をそのまま使用し、[ シミュレーション モード中にポリシーヒントを表示する] を選択します。 [次へ]を選択します。
設定を確認し、[ 送信] を選択し、[ 完了] を選択します。
新しい DLP ポリシーがポリシーの一覧に表示されます。