Microsoft Puview ポイント(随時更新)

2025年5月2日

Microsoft Puview で押さえておくべきポイントを記録していきます。

DLP関連

エンドポイントDLP

  • Endpoint DLPの利用には、デバイスに対するオンボーディング操作が必要になる。https://learn.microsoft.com/ja-jp/purview/device-onboarding-overview
  • MDEのオンボードと共通であるため、Purview、MDEのどちらかでオンボーディングすればOK
  • BOXなどへのファイルアップロード制御の実現方法について、Endpoint DLPでは、Edge/Chrome/Firefoxのブラウザでアップロードするファイルや宛先をチェックし制御します。Chrome/Firefoxについてはアドオンを構成しておく必要がある
  • エンドポイントDLPでクリップボード利用禁止する理由。文書機密レベル高いファイルを対象にクリップボード利用を禁止するような設定が可能。これにより、文書内に含まれている文章のコピーもできなくなる。仮に禁止していないと、文書内に含まれる文章をコピーして、別の(何も文書機密レベルが設定されていない)テキストファイルを作成して、そっちにペーストされると、制御ができなくなってしまう。

DLPポリシー

  • DLPポリシーはワークロードごとに個別に作成したほうがよい(SPO用、teams用などで分けた方がよい)。一つのDLPポリシーの中で、複数のワークロードを選択してしまうと、設定できる内容が限定されてしまう(より細かな設定をしようとすると、一つのDLPポリシーに対して、一つのワークロードを選択するようにした方がよい)
  • DLPポリシー適用中にファイルへのゲストアクセスを禁止する設定をした方がよい。ファイルが保存されてからDLPルールが適用されるまでタイムラグが発生する。

Infomation Protection(情報保護)

秘密度ラベル

  • ユーザがラベルを選択しないとファイル保存ができないようにコントロールすることは可能(必ずラベルの付与を求めるオプションがある)

具体的には、ラベルポリシー(ラベル発行)設定ウィザードの以下の箇所
—————————————————————-

「メールへのラベルの適用をユーザーに要求する」

説明:ユーザーは、ドキュメントの保存、またはメールの送信ができるようになる前にラベルを適用する必要があります (これらのアイテムにまだラベルが適用されていない場合のみ)。

—————————————————————-

自動ラベル付け

  • 自動でのラベル付けを主とした構成および運用は避ける。ユーザによる手動でのラベル付けを基本にする。コンテンツの内容を最も理解しているユーザが、該当のコンテンツの重要度を判断して、適切なレベルを付与する運用が望ましい。自動ラベル付けは、手動ラベル付けの補完的な位置づけとするのがよい

データライフサイクル管理

アイテム保持ポリシー

  • 保持ラベル/ラベルポリシーと同等のことを実現可能。ただし、アイテム保持ポリシーは古い機能であるため、早めにサービス提供終了になるかもしてないので、保持ラベル/ラベルポリシーを使った方が無難かもしれません(個人的見解)

Purviewロール

  • Entraグローバル管理者権限を保有していても、Purview 管理ポータルにて、「コンテンツ検索」などできない操作がる。Purview 管理ポータルにて、別途Purview内で使えるロールを付与する必要がある。

監査ログ

記録されるアクティビティ

監査ログアクティビティについては、以下に記載があります。例えば、ラベル操作(ラベルの付け替えなど)も記録されます。https://learn.microsoft.com/ja-jp/purview/audit-log-activities