このシナリオでは、Microsoft Purview DLP の承認グループを使用して、制御された例外を許可しながら、機密データアクションに既定のブロックを適用する方法を示します。 この例では、法的コンテンツとして分類されたドキュメントの印刷は、承認済みの 法務部門プリンターの定義済みのセットを除き、すべてのデバイスで制限されます。
デバイス レベルの印刷制限とプリンター許可リストを組み合わせることで、組織は正当なビジネス ワークフローをサポートしながら機密情報を保護できます。 また、リムーバブル 記憶域デバイスやネットワーク共有など、他のシナリオで承認グループを再利用する方法についても説明します。
このシナリオは、完全なディレクトリ ポリシーを作成する無制限の管理者向けです。
これらのシナリオでは、デバイスが既にオンで、アクティビティエクスプローラーに報告されている必要があります。 まだデバイスをオンにしていない場合は、エンドポイントのデータ損失防止 (プレビュー) を開始を参照してください。
承認グループは、主に許可リストとして使用されます。 グローバル ポリシー アクションとは異なるポリシー アクションをグループに割り当てた。 このシナリオでは、プリンター グループを定義し、グループ内のプリンターを除くすべての印刷アクティビティに対するブロック アクションを使用してポリシーを構成します。 これらの手順は、 基本的に、Removeable ストレージ デバイス グループと ネットワーク共有グループで同じです。
このシナリオでは、法務部門が印刷契約に使用するプリンターのグループを定義します。 他のプリンターへの印刷コントラクトはブロックされます。
前提条件と前提事項
この記事では、「データ損失防止ポリシーの設計」で学習したプロセスを使用して、Microsoft Purview データ損失防止 (DLP) ポリシーを作成する方法について説明します。 テスト環境でこれらのシナリオを実行して、ポリシー作成 UI について理解します。
重要
この記事では、仮定の値を持つ架空のシナリオについて説明します。 これは説明のみを目的としています。 独自の機密情報の種類、秘密度ラベル、配布グループ、およびユーザーを置き換えます。
ポリシーの展開方法は、ポリシーの設計と同じくらい重要です。 この記事 では、コストのかかるビジネスの中断を回避しながらポリシーが意図を達成できるように、デプロイ オプションを使用する方法について説明します。
このシナリオでは 機密 機密ラベルが使用されるため、秘密度ラベルを作成して発行する必要があります。 詳細については、次を参照してください。
この手順では、架空の配布グループ [人事] と、Contoso.com のセキュリティ チームの配布グループを使用します。
この手順では、アラートを使用します。「データ損失防止アラートの概要」を参照してください
ポリシー意図ステートメントとマッピング
Contoso は、ユーザーが未承認のプリンターに機密の法的コンテンツを印刷できないようにし、法務部門の承認されたビジネス ワークフローを引き続き許可したいと考えています。 このシナリオでは、法務トレーニング可能な分類子と一致するドキュメントは、organization全体で広く印刷されないように保護する必要がありますが、Legal のユーザーは、これらのドキュメントを定義済みの承認済みプリンターセットに印刷できる必要があります。
これを実現するために、本質的に法的に分類されるコンテンツのデバイスに印刷制限を適用するポリシーを作成します。 既定では印刷はブロックされますが、承認されたプリンターの 承認グループ は例外として構成され、許可されます。 これにより、制御された許可リスト モデルを通じて正当なビジネス ニーズをサポートしながら、強力な既定保護態勢が可能になります。
| Statement | 構成に関する質問の回答と構成マッピング |
|---|---|
| 「機密性の高い法的文書が未承認のプリンターに印刷されないように保護したいと考えています。.. | - 管理スコープ: 完全ディレクトリ - 監視する場所: デバイスのみ - ポリシー スコープ: ポリシーの対象となるすべてのユーザー/デバイス |
| "法的に機密性の高いコンテンツを含むドキュメントを特定する必要があります。.. | - 条件: コンテンツに含まれる = トレーニング可能な分類子、 法務 |
| "エンドポイント デバイス間でその機密性の高いコンテンツの印刷を制限する必要があります。. | - アクション: デバイスでのアクティビティを監査または制限する - アクティビティの種類: すべてのアプリのファイル アクティビティ - 制限モデル: 特定のアクティビティに制限を適用する |
| 「明示的に許可されていない限り、印刷を既定でブロックする必要があります。.. | - アクティビティの制限: Print = Block |
| "承認された法務部門のプリンターを既定のブロックから除外する必要があります。. | - エンドポイント設定: Legal プリンターという名前のプリンター グループを作成する - グループ メンバーは、フレンドリ プリンター名、USB 製品/ベンダー ID、IP 範囲、ファイルへの印刷、ユニバーサル 印刷、会社のプリンター、またはローカルへの印刷で定義できます |
| "承認されたプリンターに対して、グローバル ポリシー アクションとは異なるポリシー動作が必要です。. | - 承認グループの動作: さまざまな印刷制限を選択する - プリンター グループの制限: 法的なプリンターを追加する - グループ固有のアクション: 許可 |
| "承認された印刷アクティビティは、不要なアラートを作成せずに監査目的で引き続き表示されるようにします。. | - アクションの動作を許可する: 許可された印刷アクティビティが監査ログに記録される - 許可リストに登録されたプリンター アクションに対してアラートまたはユーザー通知が生成されない |
| "適用前にポリシーを安全にテストする必要があります。.." | - ポリシー モード: シミュレーション モードでポリシーを実行する - ユーザー エクスペリエンス: シミュレーション モード中にポリシーのヒントを表示する |
| 「この同じ設計パターンを今後、他の承認された宛先に使用したいと考えています。. | - 再利用可能な承認グループ モデル: リムーバブル ストレージ デバイス グループとネットワーク共有グループにも同じ方法が適用されます |
ポリシーを作成する手順
プリンター グループを作成して使用する
Microsoft Purview ポータル>Data loss prevention>Settings (左上隅の歯車) >Data Loss Prevention>Endpoint 設定>Printer グループにサインインします。
[ プリンター グループの作成] を選択し、[ グループ名] を入力します。 このシナリオでは、
Legal printersを使用します。[ プリンターの追加] を選択し、名前を指定します。 プリンターは、次の方法で定義できます。
- フレンドリ プリンター名
- USB 製品 ID
- USB ベンダー ID
- IP 範囲
- ファイルに印刷する
- プリンターに展開されるユニバーサル印刷
- 会社のプリンター
- ローカルに印刷する
[閉じる] を選択します。
ポリシー印刷アクションを構成する
[Microsoft Purview ポータル] にサインインします。
[データ損失防止>ポリシー] に移動します。
[ポリシーの作成] を選択します。
接続されたソースに格納されているデータ。
[カテゴリ] から [カスタム] を選択し、[規制] から [カスタム ポリシー] テンプレートを選択します。
新しいポリシーに [名前] と [説明] を指定します。
[管理 ユニット] の下の既定の [完全ディレクトリ] をそのまま使用します。
場所のスコープを [デバイス ] の場所のみに設定します。
次の値を使用してルールを作成します。
- 条件の追加: コンテンツに含まれる = トレーニング可能な分類子、法務
- アクション = デバイスでのアクティビティの監査または制限
- 次に、すべてのアプリで [ファイル アクティビティ] を選択します
- [特定のアクティビティに制限を適用する] を選択します
- [印刷 = ブロック] を選択します
[ 別の印刷制限の選択] を選択します
[ プリンター グループの制限] で、[ グループの追加] を選択し、[ 法的なプリンター] を選択します。
アクション = Allow を設定します。
ヒント
[Allow action]\(アクションの許可\) は、監査ログへのレコードと監査イベントを使用しますが、アラートや通知は生成しません。
[ 保存] を選択 し、[ 次へ] を選択します。
既定の [シミュレーション モードでポリシーを実行する ] の値をそのまま使用し、[ Simulaiton モード時にポリシーヒントを表示する] を選択します。 [次へ] を選択します。
設定を確認し、送信を選択します。
新しい DLP ポリシーがポリシーの一覧に表示されます。