Microsoft Puview ポイント(随時更新)
Microsoft Puview で押さえておくべきポイントを記録していきます。
DLP関連
エンドポイントDLP
- Endpoint DLPの利用には、デバイスに対するオンボーディング操作が必要になる。https://learn.microsoft.com/ja-jp/purview/device-onboarding-overview
- MDEのオンボードと共通であるため、Purview、MDEのどちらかでオンボーディングすればOK
- BOXなどへのファイルアップロード制御の実現方法について、Endpoint DLPでは、Edge/Chrome/Firefoxのブラウザでアップロードするファイルや宛先をチェックし制御します。Chrome/Firefoxについてはアドオンを構成しておく必要がある
- エンドポイントDLPでクリップボード利用禁止する理由。文書機密レベル高いファイルを対象にクリップボード利用を禁止するような設定が可能。これにより、文書内に含まれている文章のコピーもできなくなる。仮に禁止していないと、文書内に含まれる文章をコピーして、別の(何も文書機密レベルが設定されていない)テキストファイルを作成して、そっちにペーストされると、制御ができなくなってしまう。
「許可されていないブラウザー」の設定箇所
DLPポリシーの設定で、「許可されていないブラウザーからのアップロードを禁止する」といった設定ができる。
「許可されていないブラウザー」は以下からの設定となります。
DLPポリシー
- DLPポリシーはワークロードごとに個別に作成したほうがよい(SPO用、teams用などで分けた方がよい)。一つのDLPポリシーの中で、複数のワークロードを選択してしまうと、設定できる内容が限定されてしまう(より細かな設定をしようとすると、一つのDLPポリシーに対して、一つのワークロードを選択するようにした方がよい)
- DLPポリシー適用中にファイルへのゲストアクセスを禁止する設定をした方がよい。ファイルが保存されてからDLPルールが適用されるまでタイムラグが発生する。
M365copilotの回答に表示させない方法
★最初にカスタムポリシーを選択する必要があります。
Infomation Protection(情報保護)
秘密度ラベル
- ユーザがラベルを選択しないとファイル保存ができないようにコントロールすることは可能(必ずラベルの付与を求めるオプションがある)
具体的には、ラベルポリシー(ラベル発行)設定ウィザードの以下の箇所
—————————————————————-
「メールへのラベルの適用をユーザーに要求する」
説明:ユーザーは、ドキュメントの保存、またはメールの送信ができるようになる前にラベルを適用する必要があります (これらのアイテムにまだラベルが適用されていない場合のみ)。
—————————————————————-
- ラベル付けがに対応しているアプリについて。ネイティブでサポートしているのは、Office アプリ、Adobe Acrobatですが、MPIPクライアントによるラベル付けで、それ以外の拡張子も対応可能です。詳細については、以下のURLを参照ください。 https://learn.microsoft.com/ja-jp/purview/information-protection-client?tabs=devices%2Cinstall-client-exe%2Cclassification-file-types%2Cexcluded-folders
- 秘密度ラベルがついたPowerPointファイルなどを、PDFへエクスポートした場合、エクスポートしたPDFファイルに秘密度ラベルが継承される
- 他社クラウドストレージ上にあるファイルに対しても、秘密度ラベル付けは可能。ただし、対象のクラウドストレージサービスは一部に限られます。(例えば、Boxであれば対応可能です) https://learn.microsoft.com/ja-jp/defender-cloud-apps/use-case-information-protection
- オンプレミスファイルサーバ上にあるファイルに対しても、秘密度ラベル付けは可能。Microsoft Purview Scannerを使って実現可能。https://akitec.hatenablog.com/entry/2022/11/02/171813
- ラベルの数は3~5が推奨(多すぎても、使いこなせない)
- 秘密度ラベルの名前はわかりやすくつけましょう。ラベル自体に、(編集不可)とか規制されていることを記載してしまうのもあり。ラベルを見たら、どんなラベルかがわかるようにするとGOOD。
- ラベルを階層型にした場合、子ラベルを作った時点で、親ラベルはラベルとしての機能を持たなくなる(単なるフォルダ扱いになる)
- ラベルポリシーは新規だけではなく変更も反映にも最大24時間かかる https://learn.microsoft.com/en-us/purview/create-sensitivity-labels?utm_source=chatgpt.com#when-to-expect-new-labels-and-changes-to-take-effect
Teams、SharePointサイト、M365グループでの秘密度ラベルを使うとすると有効化が必要
注意点としては、有効化した後も、「Teams、SharePoint サイト、Microsoft 365 グループのプライバシーとアクセス制御の設定で秘密度ラベルを作成できるようになりました。これを行うには、まず 次の手順を実行して 機能を有効にします。」の表記は残っており、「有効化したのか、まだしていないのかが」分かりずらい(上記の背景黄色の表記が消えていたら、「有効化」できています)
Microsoft 365 Copilot に情報を引用をさせたくない場合には Extract 権限を付与しない
秘密度ラベル作成時のアクセス制御の設定(作成しようとしている秘密度ラベルがついたファイルに、どのユーザがどんな操作が可能か制御する設定)において、Extract 権限を含めない設定をすると、そのユーザがCopilotを利用して、その秘密度ラベルのついたファイルにアクセスしても、Copilotの回答にファイルの情報が引用されなくなります。
★Extract権限を含めずに秘密度ラベルを作成した際の影響としては、Extract権限が与えられていないユーザが、当該ファイルにアクセスすると(Copilot経由ではなく直接アクセスすると)、スクリーンショットや画面共有などの制限が加わります。ファイルを開いた後のファイルの中身(コンテンツ)のコピーもできなくなります。
以下の公開情報は Azure Information protection という古いドキュメントとなりますが、権限についてはそのまま秘密度ラベルに引き継がれているので、参考になります。
Title: Azure Information Protection の使用権限を構成する
https://learn.microsoft.com/ja-jp/azure/information-protection/configure-usage-rights
秘密度ラベルによって制御される権限はファイルを開いた後にアプリケーションによって制御されます。
したがって EXTRACT 権限を有さないユーザーは、ドキュメントの内容をコピーできません(コピーできないため、結果的に他のドキュメントなどへのペーストもできません)
一方、ファイルを開いていない状態での操作は秘密度ラベルでは制御できません。
つまり、エクスプローラーなどからファイル自体を移動したり、コピーしたりすることは秘密度ラベルでは制御できません。そのため、ファイル自体のコピーは秘密度ラベルの権限にかかわらず可能です。
自動ラベル付け
- 自動でのラベル付けを主とした構成および運用は避ける。ユーザによる手動でのラベル付けを基本にする。コンテンツの内容を最も理解しているユーザが、該当のコンテンツの重要度を判断して、適切なレベルを付与する運用が望ましい。自動ラベル付けは、手動ラベル付けの補完的な位置づけとするのがよい
データライフサイクル管理
アイテム保持ポリシー
- 保持ラベル/ラベルポリシーと同等のことを実現可能。ただし、アイテム保持ポリシーは古い機能であるため、早めにサービス提供終了になるかもしてないので、保持ラベル/ラベルポリシーを使った方が無難かもしれません(個人的見解)
Purviewロール
- Entraグローバル管理者権限を保有していても、Purview 管理ポータルにて、「コンテンツ検索」などできない操作がる。Purview 管理ポータルにて、別途Purview内で使えるロールを付与する必要がある。
監査ログ
記録されるアクティビティ
監査ログアクティビティについては、以下に記載があります。例えば、ラベル操作(ラベルの付け替えなど)も記録されます。https://learn.microsoft.com/ja-jp/purview/audit-log-activities