エンドポイントDLPの Just-In-Time保護機能
エンドポイントDLPの Just-In-Time保護機能について解説しています。
(前提知識)DLPポリシー適用までの大まかな流れ
①ファイルの作成 → ②分類 → ③ポリシーの評価 → ④ (適用対象のアクティビティ実施時) ポリシー適用
エンドポイントDLPにおいてDLPポリシーが適用されるまでの間もファイルを保護する仕組み
ポリシーの適用先をデバイスとしてエンドポイント DLP を構成し、たとえば、デバイスからのファイルのアップロードを禁止した場合には、ファイル コンテンツのサイズが大きい場合には、ポリシー評価まで、数分程度の時間がかかる場合があり、場合によってはタイムアウトなどによりポリシー評価 が失敗する可能性があります。
そのため、ポリシー評価が完了するまでファイルの共有をブロックしたい場合には、”Just In Time 保護” という機能が使えます。この機能により、ポリシー評価が正常に完了するまでは外部共有のアクティビティが実行できないように構成することも可能となります。
(参考)Title: Microsoft Purview データ損失防止 Just-In-Time 保護を使用する
https://learn.microsoft.com/ja-jp/purview/endpoint-dlp-get-started-jit?tabs=purview
Just-In-Time保護機能の適用単位
デバイス単位
Just-In-Time保護機能の詳細
外部共有のアクティビティには、以下のようなアクティビティありますが、DLP ポリシーにてブロックしているアクティビティのみ(★)が Just in time 保護の対象となります。
・USB リムーバブル デバイスへのコピー
・ネットワーク共有へのコピー
・クラウド サービスへのアップロード
・印刷
・許可されていない Bluetooth アプリを使用したコピーまたは移動
・RDP を使用したコピーまたは移動
(補足)「DLP ポリシーにてブロックしているアクティビティのみ(★)」とは
エンドポイント DLP でブロック可能なエグレス アクティビティのうち、テナント内に存在するDLPポリシーにてブロック対象としているアクティビティのみが、JIT 保護の対象となります。ポリシーにてブロック対象としていないアクティビティは、監査のみが行われる動作となります。
https://learn.microsoft.com/ja-jp/purview/endpoint-dlp-learn-about#just-in-time-protection
また、以下のように、アクティビティが「制限なし」「ブロック」と相反する複数のDLPポリシーがテナント内に存在した場合、②のブロックが適用されます(DLP ポリシーでは、複数のポリシーが適用されている場合、最も厳しい制限が適用されます)。
ポリシー①USB リムーバブル デバイスへのコピー:制限なし
ポリシー②USB リムーバブル デバイスへのコピー:ブロック