Microsoft Puview ポイント(随時更新)

2025年5月2日

Microsoft Puview で押さえておくべきポイントを記録していきます。

DLP関連

エンドポイントDLP

  • Endpoint DLPの利用には、デバイスに対するオンボーディング操作が必要になる。https://learn.microsoft.com/ja-jp/purview/device-onboarding-overview
  • MDEのオンボードと共通であるため、Purview、MDEのどちらかでオンボーディングすればOK
  • BOXなどへのファイルアップロード制御の実現方法について、Endpoint DLPでは、Edge/Chrome/Firefoxのブラウザでアップロードするファイルや宛先をチェックし制御します。Chrome/Firefoxについてはアドオンを構成しておく必要がある
  • エンドポイントDLPでクリップボード利用禁止する理由。文書機密レベル高いファイルを対象にクリップボード利用を禁止するような設定が可能。これにより、文書内に含まれている文章のコピーもできなくなる。仮に禁止していないと、文書内に含まれる文章をコピーして、別の(何も文書機密レベルが設定されていない)テキストファイルを作成して、そっちにペーストされると、制御ができなくなってしまう。

「許可されていないブラウザー」の設定箇所

DLPポリシーの設定で、「許可されていないブラウザーからのアップロードを禁止する」といった設定ができる。

「許可されていないブラウザー」は以下からの設定となります。

DLPポリシー

  • DLPポリシーはワークロードごとに個別に作成したほうがよい(SPO用、teams用などで分けた方がよい)。一つのDLPポリシーの中で、複数のワークロードを選択してしまうと、設定できる内容が限定されてしまう(より細かな設定をしようとすると、一つのDLPポリシーに対して、一つのワークロードを選択するようにした方がよい)
  • DLPポリシー適用中にファイルへのゲストアクセスを禁止する設定をした方がよい。ファイルが保存されてからDLPルールが適用されるまでタイムラグが発生する。

M365copilotの回答に表示させない方法

★最初にカスタムポリシーを選択する必要があります。

Infomation Protection(情報保護)

トレーニング可能な分類子

トレーニング可能な分類子におけるカスタムの分類子(ユーザがPurviewにインポートしたデータに基づいて作成される分類子)については、英語のみがサポートされています。

そのため、日本語のコンテンツは動作保証外となります。

—————————————

引用:

引用元:

<カスタム分類子>

https://learn.microsoft.com/ja-jp/purview/trainable-classifiers-learn-about#custom-classifiers

上述の通り、カスタムの分類子については英語のみサポートされていますが、組み込みの分類子については日本語対応しているものもあります(すべての組み込み分類子が日本語に対応している訳ではありません)。

組み込みorカスタムか、また、組み込みの場合どの言語に対応しているかは以下の画面で確認可能です。

(★)組み込み分類子は、日本語対応しているものもあるが、動作については限定的である

日本語に対応している場合でも動作については限定的であるようなので、注意が必要です(2025/10/1時点の情報)

以下、MSサポートからの情報です。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

公開情報では日本語のサポートが示唆されていますが、実際には部分的なサポートにとどまっており、構造条件 (語数や単語の繰り返し) を満たさない場合、検出漏れが発生する可能性がございます。

弊社で実施した内部検証において、トレーニング可能な分類子の検出に関するバグが確認されました。
具体的には、ターゲット単語が複数回繰り返された場合にのみ検出が行われ、日本語入力に対しては特定の条件を満たさない限り感度が限定的であることが判明しました。
当該バグについては現在修正対応中ですが、現時点では修正完了の目途は立っておりません。

さらに、検出には最低6語の入力が必要であり、短文や単語のみのメッセージは検出対象外となる傾向があります。

公開情報にてサポート対象との記載があるものの、上記のように技術的な詳細が不足しております。
そのため、現在、当該課題に対し、分類子チームと連携し、透明性の向上および検出精度の改善に向けた取り組みを進めております。

秘密度ラベル

  • ユーザがラベルを選択しないとファイル保存ができないようにコントロールすることは可能(必ずラベルの付与を求めるオプションがある)

具体的には、ラベルポリシー(ラベル発行)設定ウィザードの以下の箇所
—————————————————————-

「メールへのラベルの適用をユーザーに要求する」

説明:ユーザーは、ドキュメントの保存、またはメールの送信ができるようになる前にラベルを適用する必要があります (これらのアイテムにまだラベルが適用されていない場合のみ)。

—————————————————————-

Teams、SharePointサイト、M365グループでの秘密度ラベルを使うとすると有効化が必要

注意点としては、有効化した後も、「Teams、SharePoint サイト、Microsoft 365 グループのプライバシーとアクセス制御の設定で秘密度ラベルを作成できるようになりました。これを行うには、まず 次の手順を実行して 機能を有効にします。」の表記は残っており、「有効化したのか、まだしていないのかが」分かりずらい(上記の背景黄色の表記が消えていたら、「有効化」できています)

Microsoft 365 Copilot に情報を引用をさせたくない場合には Extract 権限を付与しない

秘密度ラベル作成時のアクセス制御の設定(作成しようとしている秘密度ラベルがついたファイルに、どのユーザがどんな操作が可能か制御する設定)において、Extract 権限を含めない設定をすると、そのユーザがCopilotを利用して、その秘密度ラベルのついたファイルにアクセスしても、Copilotの回答にファイルの情報が引用されなくなります

★Extract権限を含めずに秘密度ラベルを作成した際の影響としては、Extract権限が与えられていないユーザが、当該ファイルにアクセスすると(Copilot経由ではなく直接アクセスすると)、スクリーンショットや画面共有などの制限が加わります。ファイルを開いた後のファイルの中身(コンテンツ)のコピーもできなくなります。

以下の公開情報は Azure Information protection という古いドキュメントとなりますが、権限についてはそのまま秘密度ラベルに引き継がれているので、参考になります。

Title: Azure Information Protection の使用権限を構成する

https://learn.microsoft.com/ja-jp/azure/information-protection/configure-usage-rights

秘密度ラベルによって制御される権限はファイルを開いた後にアプリケーションによって制御されます。
したがって EXTRACT 権限を有さないユーザーは、ドキュメントの内容をコピーできません(コピーできないため、結果的に他のドキュメントなどへのペーストもできません)

一方、ファイルを開いていない状態での操作は秘密度ラベルでは制御できません。

つまり、エクスプローラーなどからファイル自体を移動したり、コピーしたりすることは秘密度ラベルでは制御できません。そのため、ファイル自体のコピーは秘密度ラベルの権限にかかわらず可能です。

自動ラベル付け

  • 自動でのラベル付けを主とした構成および運用は避ける。ユーザによる手動でのラベル付けを基本にする。コンテンツの内容を最も理解しているユーザが、該当のコンテンツの重要度を判断して、適切なレベルを付与する運用が望ましい。自動ラベル付けは、手動ラベル付けの補完的な位置づけとするのがよい

データエクスプローラとコンテンツエクスプローラの違い

どちらも組織内に存在する秘密度ラベルの付いたファイルや機密情報の種類に合致したファイルを確認できる。

似たような機能ですが、表示のされ方(UI)が少し異なります。

データエクスプローラ

特定の秘密度ラベル(以下の例ではラベル名「copilottest」)を選択すると、その秘密度ラベルついたファイルがどのM365リソースに存在するか確認できる。

さらに、Onedrive/SPOをクリックすると、その中のどのサイトの、どのドキュメントライブラリに、その秘密度ラベルがついたファイルが存在するかも確認できる。また、秘密度ラベルがついたファイルそのものも確認できる(ビューで表示できる)

以下のように、選択した秘密度ラベルついたファイルが存在するM365リソースにおいて、他にどのようなファイルが含まれているかも合わせて確認できる(たとえば、「機密情報の種類」に合致するファイルも存在するなど)

コンテンツエクスプローラ

同じように秘密度ラベルを選択すると、以下のような表示なる。どのM365リソースにいくつ当該の秘密度ラベルが追加ファイルが存在しているか確認できる。

こちらも、ファイルが存在するM365リソースをクリックすると、(SPOの場合だと)その中のどのサイトの、どのドキュメントライブラリに、その秘密度ラベルがついたファイルが存在するかも確認できる。また、秘密度ラベルがついたファイルそのものも確認できる(ビューで表示できる)

補足)アクティビティエクスプローラについて

エクスプローラには、アクティビティエクスプローラというものもあります。こちらは秘密度ラベルが適用されているコンテンツに関するアクテビティ(どのラベルが変更されたかなど)が確認できます。

データライフサイクル管理

アイテム保持ポリシー

  • 保持ラベル/ラベルポリシーと同等のことを実現可能。ただし、アイテム保持ポリシーは古い機能であるため、早めにサービス提供終了になるかもしてないので、保持ラベル/ラベルポリシーを使った方が無難かもしれません(個人的見解)

Purviewロール

  • Entraグローバル管理者権限を保有していても、Purview 管理ポータルにて、「コンテンツ検索」などできない操作がる。Purview 管理ポータルにて、別途Purview内で使えるロールを付与する必要がある。

監査ログ

記録されるアクティビティ

監査ログアクティビティについては、以下に記載があります。例えば、ラベル操作(ラベルの付け替えなど)も記録されます。https://learn.microsoft.com/ja-jp/purview/audit-log-activities

検索画面

色々な値を設定し検索が可能です。逆に言うと使いこなすのが大変です。

自分がほしいと思っている監査情報を得たいと思っても、これらの各項目にどのような値を設定すれば、その監査情報が得られるかを適切に判断するのは難しいでと思います(各項目の意味を理解するところからスタートする必要があります。使いこなすには学習コストが掛かりそうです)

電子情報開示(=広義のeDiscovery)

コンテンツ検索 vs eDiscovery(標準/Premium)

・コンテンツ検索/eDiscovery(標準/Premium)ともに、M365内のコンテンツ(ファイル/データ)を検索する機能

・コンテンツ検索も、広義の意味ではeDiscoveryの一部である(狭義のeDiscoveryとは、eDiscovery(標準)、eDiscovery(Premimu)のことです)。コンテンツ検索は実際に、Purview管理センターでは電子情報開示(=広義のeDiscovery)の配下に配置されています。

・コンテンツ検索は、検索実施時点で、M365内に存在するコンテンツが対象となる

・eDiscovery(標準/Premium)は、まず”ケース”を作成する。ケース作成以降のM365コンテンツが対象となる(→コンテンツが変更(削除)されたとしても、特定の時点でのM365コンテンツを確認できる(内部不正などの証拠を取得できる))

コンテンツ検索eDiscovery(標準)eDiscovery(Premium)
・コンテンツ検索
・キーワードクエリと検索条件
・検索結果のエクスポート
・ロールベースの権限		・コンテンツ検索
・キーワードクエリと検索条件
・検索結果のエクスポート
・ロールベースの権限
・ケース管理
・法的保留(リーガルホールド)		・コンテンツ検索
・キーワードクエリと検索条件
・検索結果のエクスポート
・ロールベースの権限
・ケース管理
・法的保留(リーガルホールド)
・法的保留の通知機能
・レビューセット
・タグ付け、コメント付与、マスキング
・準重複処理/スレッド化など

※eDiscovery(標準)、eDiscovery(Premium)の機能の差分は色々ありますが、一番大きな違いとしては、検索したコンテンツを実際に確認しようとしたときに、eDiscovery(Premium)は、Purview 管理センターのプレビュー機能で確認できますが、eDiscovery(標準)の場合は、ダウンロードが必要となる点かと思います。

(参考)

Purview eDiscovery(標準/プレミアム)では、過去にM365上に存在してたコンテンツも検索可能か

Purview

Posted by MITSUAKI TSURUTA