Microsoft Puview ポイント(随時更新)
Microsoft Puview で押さえておくべきポイントを記録していきます。
DLP関連
エンドポイントDLP
- Endpoint DLPの利用には、デバイスに対するオンボーディング操作が必要になる。https://learn.microsoft.com/ja-jp/purview/device-onboarding-overview
- MDEのオンボードと共通であるため、Purview、MDEのどちらかでオンボーディングすればOK
- BOXなどへのファイルアップロード制御の実現方法について、Endpoint DLPでは、Edge/Chrome/Firefoxのブラウザでアップロードするファイルや宛先をチェックし制御します。Chrome/Firefoxについてはアドオンを構成しておく必要がある
- エンドポイントDLPでクリップボード利用禁止する理由。文書機密レベル高いファイルを対象にクリップボード利用を禁止するような設定が可能。これにより、文書内に含まれている文章のコピーもできなくなる。仮に禁止していないと、文書内に含まれる文章をコピーして、別の(何も文書機密レベルが設定されていない)テキストファイルを作成して、そっちにペーストされると、制御ができなくなってしまう。
DLPポリシー
- DLPポリシーはワークロードごとに個別に作成したほうがよい(SPO用、teams用などで分けた方がよい)。一つのDLPポリシーの中で、複数のワークロードを選択してしまうと、設定できる内容が限定されてしまう(より細かな設定をしようとすると、一つのDLPポリシーに対して、一つのワークロードを選択するようにした方がよい)
- DLPポリシー適用中にファイルへのゲストアクセスを禁止する設定をした方がよい。ファイルが保存されてからDLPルールが適用されるまでタイムラグが発生する。
Infomation Protection(情報保護)
秘密度ラベル
- ユーザがラベルを選択しないとファイル保存ができないようにコントロールすることは可能(必ずラベルの付与を求めるオプションがある)
具体的には、ラベルポリシー(ラベル発行)設定ウィザードの以下の箇所
—————————————————————-
「メールへのラベルの適用をユーザーに要求する」
説明:ユーザーは、ドキュメントの保存、またはメールの送信ができるようになる前にラベルを適用する必要があります (これらのアイテムにまだラベルが適用されていない場合のみ)。
—————————————————————-
- ラベル付けがに対応しているアプリについて。ネイティブでサポートしているのは、Office アプリ、Adobe Acrobatですが、MPIPクライアントによるラベル付けで、それ以外の拡張子も対応可能です。詳細については、以下のURLを参照ください。 https://learn.microsoft.com/ja-jp/purview/information-protection-client?tabs=devices%2Cinstall-client-exe%2Cclassification-file-types%2Cexcluded-folders
- 秘密度ラベルがついたPowerPointファイルなどを、PDFへエクスポートした場合、エクスポートしたPDFファイルに秘密度ラベルが継承される
- 他社クラウドストレージ上にあるファイルに対しても、秘密度ラベル付けは可能。ただし、対象のクラウドストレージサービスは一部に限られます。(例えば、Boxであれば対応可能です) https://learn.microsoft.com/ja-jp/defender-cloud-apps/use-case-information-protection
- オンプレミスファイルサーバ上にあるファイルに対しても、秘密度ラベル付けは可能。Microsoft Purview Scannerを使って実現可能。https://akitec.hatenablog.com/entry/2022/11/02/171813
- ラベルの数は3~5が推奨(多すぎても、使いこなせない)
- 秘密度ラベルの名前はわかりやすくつけましょう。ラベル自体に、(編集不可)とか規制されていることを記載してしまうのもあり。ラベルを見たら、どんなラベルかがわかるようにするとGOOD。
- ラベルを階層型にした場合、子ラベルを作った時点で、親ラベルはラベルとしての機能を持たなくなる(単なるフォルダ扱いになる)
- ラベルポリシーは新規だけではなく変更も反映にも最大24時間かかる https://learn.microsoft.com/en-us/purview/create-sensitivity-labels?utm_source=chatgpt.com#when-to-expect-new-labels-and-changes-to-take-effect
自動ラベル付け
- 自動でのラベル付けを主とした構成および運用は避ける。ユーザによる手動でのラベル付けを基本にする。コンテンツの内容を最も理解しているユーザが、該当のコンテンツの重要度を判断して、適切なレベルを付与する運用が望ましい。自動ラベル付けは、手動ラベル付けの補完的な位置づけとするのがよい
データライフサイクル管理
アイテム保持ポリシー
- 保持ラベル/ラベルポリシーと同等のことを実現可能。ただし、アイテム保持ポリシーは古い機能であるため、早めにサービス提供終了になるかもしてないので、保持ラベル/ラベルポリシーを使った方が無難かもしれません(個人的見解)
Purviewロール
- Entraグローバル管理者権限を保有していても、Purview 管理ポータルにて、「コンテンツ検索」などできない操作がる。Purview 管理ポータルにて、別途Purview内で使えるロールを付与する必要がある。
監査ログ
記録されるアクティビティ
監査ログアクティビティについては、以下に記載があります。例えば、ラベル操作(ラベルの付け替えなど)も記録されます。https://learn.microsoft.com/ja-jp/purview/audit-log-activities
ディスカッション
コメント一覧
まだ、コメントがありません