Microsoft Edge 管理サービスで自動化をトリガーするMicrosoft Edge for Business、アンマネージド アプリとのユーザー操作を対象とする Microsoft Purview ポリシー。 これにより、Edge for Business で Purview ポリシーを完全にアクティブ化するために、Purview の外部で必要な構成とポリシーが自動的に管理されます。
Edge for Business で管理されていないアプリを対象とする最初の Purview コレクションまたは DLP ポリシーを保存した後、Microsoft Edge 管理サービスは、ブラウザーでポリシーをアクティブ化し、回避を防ぐために必要な必要な Edge 構成ポリシー、Microsoft Intune ポリシー、およびセキュリティ グループを自動的に作成します。 最初に作成されると、これらのポリシーとグループは、Purview ポリシーに変更が加えられたときに自動的に同期および更新され、Purview の外部の管理者による追加のセットアップや継続的な管理は必要ありません。
重要
自動動作でポリシーまたはグループを作成または更新できない場合は、Purview にエラー メッセージが表示され、Edge for Business ではポリシーは適用されません。 必要なアクセス許可を持つ管理は、エラーを解決するために再同期する必要があります。
動作のしくみ
Purview で保護意図とポリシー スコープを定義します。Edge for Business のアンマネージド アプリを対象とする Purview DLP またはコレクション ポリシーを作成または更新します。これには、スコープの対象となるユーザーやグループが含まれます。
エッジ構成ポリシーは、サポートされているセキュリティ グループを含め、自動的に作成および更新されます。 Microsoft Edge 管理サービスでは、Edge for Business でブラウザー内の適用をアクティブにする Edge 構成ポリシーが作成されます。 これらのポリシーのスコープは、Purview ポリシーに含まれるユーザーとグループのスコープに合わせて自動的に作成および更新される新しいセキュリティ グループに限定されます。 ユーザーが EntraID 資格情報を使用してマネージド デバイスでMicrosoft Edge for Businessにサインインすると、Edge 構成ポリシー設定が適用されます。
Microsoft Intuneポリシーは、回避を防ぐために作成されます。 Purview DLP のエッジ構成ポリシーでは、Microsoft Intuneを使用して、保護が適用されないブラウザーへのデータ共有をブロックします。 これらの関連付けられたMicrosoft Intune ポリシーは、Edge 構成ポリシーと同じセキュリティ グループに自動的に作成され、スコープが設定されます。 ユーザーが EntraID 資格情報を使用してマネージド デバイスにサインインすると、Microsoft Intune ポリシーが適用されます。
Purview ポリシーの変更は同期を維持します。Purview ポリシーに含まれる、または除外されたユーザーまたはグループへのUpdatesは、Edge 構成ポリシーとMicrosoft Intune ポリシーの対象となるセキュリティ グループ全体に自動的に反映されます。 Edge for Business で管理されていないアプリを対象とするすべての Purview ポリシーが削除されると、自動ポリシーも削除されます。
自動的に作成および更新される内容
自動化では、複数のソリューションと機能を使用して、Edge for Business で Purview ポリシーを完全にアクティブ化します。 Purview の外部でこれらの必要なグループとポリシーの初回セットアップを正常に完了するには、アクセス許可を持つ管理によって実行されるアクセス許可またはアクションが必要です。
| 同期する場所 | 必要なアクセス許可 | 作成された内容 | 名前 | 説明 |
|---|---|---|---|---|
| Microsoft 365 管理センター、Edge の設定 | Microsoft Edge の管理 | Edge 構成ポリシー | Purview - Purview コレクション ポリシーをすべてのユーザーに適用することを許可する | Purview コレクション ポリシーをマネージド デバイス上のユーザーに適用できるようにします。 すべてのユーザーに対して自動的に作成され、スコープが設定されます。 ユーザー アクティビティをブロックせず、管理者管理を必要としません。 |
| Microsoft 365 管理センター | Microsoft Edge の管理 | Edge 構成ポリシー | Purview - 非管理対象のジェネレーティブ AI アプリの DLP 保護が適用されないブラウザーの使用をブロックする | Purview DLP ポリシーをマネージド デバイス上のユーザーに適用できるようにします。 関連する Purview DLP ポリシーの対象となるユーザーに自動的にスコープを設定します。 保護が適用されておらず、管理者管理が必要ないブラウザーでのデータ共有を防ぐのに役立ちます。 |
| 管理センター Microsoft Intune |
Microsoft Intune管理 および Microsoft Edge の管理 |
Microsoft Intune ポリシー | 管理されていない AI アプリの Purview DLP 保護が適用されないブラウザーの使用をブロックするエッジ ポリシー | 保護されていないブラウザーの使用をブロックすることで、保護が適用されないブラウザーでのデータ共有を防ぐ のに役立ちます。 関連する Purview DLP ポリシーの対象となるユーザーに自動的にスコープが設定され、管理者管理は必要ありません。 |
| 管理センター Microsoft Intune |
Microsoft Intune管理 および Microsoft Edge の管理 |
Microsoft Intune ポリシー | ブラウザー内保護が適用されないブラウザーでのアンマネージド GenAI アプリの使用をブロックするエッジ ポリシー | Google Chrome ブラウザーで選択したアプリの使用をブロックすることで、保護が適用されない Edge for Business 以外 のブラウザーで管理されていないアプリへのデータ共有を防ぐのに役立ちます。 関連する Purview DLP ポリシーの対象となるユーザーに自動的にスコープが設定され、管理者管理は必要ありません。 |
| Microsoft 365 管理センター |
ディレクトリ リーダー および Microsoft Edge の管理 |
セキュリティ グループ | Purview DLP ブラウザー保護 - 含まれているユーザー | 関連する Purview DLP ポリシーに含まれるユーザーとグループが含まれます。 ブラウザー内の保護を適用し、管理者管理を必要としない Edge 構成ポリシーとMicrosoft Intune ポリシーのスコープを設定するために使用されます。 |
| Microsoft 365 管理センター |
ディレクトリ リーダー および Microsoft Edge の管理 |
セキュリティ グループ | Purview DLP ブラウザー保護 - 除外されたユーザー | Purview DLP ブラウザー保護から明示的に除外されたユーザーとグループが含まれます。 ブラウザー内の保護を適用し、管理者管理を必要としない Edge 構成ポリシーとMicrosoft Intune ポリシーのスコープを設定するために使用されます。 |
保護されていないブラウザーの使用がユーザーにブロックされた場合の動作
これらの設定が適用されると、管理されていないクラウド アプリへのデータ共有をブロックする Purview DLP ポリシーに含まれるユーザーは、ポリシーが適用されない保護されていないブラウザーでエクスペリエンスが制限またはブロックされます。 Edge のユーザー エクスペリエンスには影響しません。
これらの設定を適用すると、ユーザーは次のように影響を受けます。
- Chrome と Microsoft Purview 拡張機能: 拡張機能の状態とポリシースコープによっては、ブラウザーの使用が許可される場合があります。 許可されている場合、動的な一連のジェネレーティブ AI アプリへのアクセスはブロックされます。 アプリの詳細と一覧については、「エンタープライズセキュリティで保護された AI 設定を管理する」を参照してください。
- Firefox やその他のブラウザー: これらのブラウザーの使用はブロックされています。 詳細については、「 他のブラウザーをブロックする」を参照してください。
Microsoft 管理センターで Edge 構成ポリシーを表示する
次の手順に従って、自動作成された Edge 構成ポリシーを表示します。
- Microsoft 365 管理センターに移動します。
- サインインし、[設定>Microsoft Edge] を選択します。
- 詳細を表示するには、ポリシーを選択します。
注
[Purview のブラウザー内保護が適用されないブラウザーでのクラウド アプリの使用をブロックする] 設定は、Purview DLP ポリシーをアクティブにするために作成された Edge 構成ポリシーに使用されます。
Microsoft Intune管理センターでIntune ポリシーを表示する
自動作成されたMicrosoft Intune ポリシーを表示するには、次の手順に従います。
- Microsoft Intune 管理センターに移動します。
- サインインし、[デバイス>構成] を選択します。
- 詳細を表示するには、ポリシーを選択します。
Microsoft 管理センターでセキュリティ グループを表示する
自動作成されたセキュリティ グループを表示するには、次の手順に従います。
- Microsoft 365 管理センターに移動します。
- サインインし、[Active Teams & グループ>セキュリティ グループ] を選択します。
- 詳細を表示するには、グループを選択します。
注
Purview DLP ブラウザー保護 – 含まれているユーザーセキュリティ グループは、Edge for Business を対象とする少なくとも 1 つの Purview DLP ポリシーのスコープが [すべてから除外] が構成されている場合を含め、すべてのユーザーとグループにスコープを設定している場合、個々のメンバーは表示されません。
Microsoft Edge で Microsoft Purview DLP ポリシーを手動でアクティブ化または再同期する
自動プロセスが完了しない場合 (たとえば、Purview 管理に必要なすべてのアクセス許可がない場合、またはシステム エラーが発生した場合、管理者は Microsoft 管理 センターから再同期を開始できます。 再同期するには:
- Microsoft 管理 センターにサインインする
- [設定] > Edge に移動します
- Microsoft Purview DLP Protections カードの [リソース] タブで、[今すぐ同期] を選択します
重要
管理に必要なアクセス許可がない場合、再同期アクションはポリシーまたはグループを作成または更新しません。
よく寄せられる質問
これらのポリシーは編集できますか?
自動的に作成されたポリシーは読み取り専用であり、Purview でポリシーを更新することで自動的に更新されます。 Edge 構成ポリシー、Microsoft Intune ポリシー、およびセキュリティ グループの管理者は、自動作成されたポリシーとグループに対してアクションを実行する必要はありません。
これらのポリシーは削除できますか?
自動的に作成されたポリシーは、Edge for Business でアンマネージド アプリを対象とするすべての Microsoft Purview コレクションポリシーと DLP ポリシーを削除することによってのみ削除できます。 これにより、自動作成された Edge 構成ポリシーとIntune ポリシーが自動的に削除されます。 手動で作成したポリシーの場合、管理者の場合は、ユーザーに展開された構成ポリシーを削除するか、機能の構成をオフにすることができます。
- ポリシーに移動します。
- [ 削除] をクリックします。
- サイド パネルで、変更を確認して確認します。
- [ 削除] をクリックします。
他の構成ポリシーでは、[他のブラウザーをブロックする] ボックスをチェックした場合、他の設定は機能しますか?
いいえ。[ 他のブラウザーをブロックする] ボックスは、他のすべての設定よりも優先されます。 一度に有効にできる設定は 1 つだけです。
変更を手動で同期できますか?
はい。手動同期オプションは、Microsoft 管理センターの [Edge 設定リソース] ページで使用できます。 管理者は、Microsoft Purview DLP 保護カードで [今すぐ同期] アクションをクリックして同期できます。