この記事では、Microsoft Purview 内でエンドポイント データ損失防止 (DLP) 機能を使用して、組織のデバイス間で機密情報を保護するためのガイダンスを提供します。 監査、アラート、ブロックアクション、機密データのアクセス、共有、または転送方法に関する制御の適用など、DLP ポリシーを作成および変更するためのシナリオベースの実用的なアプローチに焦点を当てています。 一般的な管理ユース ケースに対処することで、エンドポイントと統合サービス間でポリシーを適用して、ユーザー アクティビティを効果的に監視および規制する方法を定義できます。
これらのシナリオを適用することで、管理者はデータ損失のリスクを軽減し、コンプライアンスをサポートし、ユーザー アクティビティの可視性を高めることができます。 このアプローチは、データ ガバナンスを強化し、organizationの全体的なセキュリティ体制を改善するのに役立ちます。
重要
これらのエンドポイント DLP シナリオは、DLP ポリシーを作成および調整するための公式の手順ではありません。 一般的な状況については、次のトピックを参照してください。
ヒント
Microsoft Security Copilot の使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を発見しましょう。 Microsoft Purview の Microsoft Security Copilot に関する詳細情報をご覧ください。
開始する前に
SKU とサブスクリプション のライセンス
ライセンスの詳細については、次を参照してください。
これらのシナリオでは、デバイスを既にオンボードし、アクティビティ エクスプローラーに報告する必要があります。 デバイスをまだオンボードしていない場合は、「 エンドポイントデータ損失防止の概要」を参照してください。
重要
開始する前に、無制限の管理者と管理単位の制限付き管理者の違いを理解していることを確認してください。 詳細については、「 管理単位」を参照してください。
シナリオ
- テンプレートを使用してアクティビティを監査するポリシーを作成する (監査のみモード)
- 承認グループを使用してプリンター アクセスを管理するポリシーを作成する
- 米国 PII データの公開を検出してアラートするポリシーを作成する
- ブロック アクションを使用した未承認の機密データ共有の防止とオーバーライドの許可に役立つ
- 機密性の高いサービス ドメインへのアクセスを監視または制限することで、危険なユーザー アクティビティを防ぐのに役立ちます
- ブラウザーへの貼り付け操作を制限することで、機密性の高いコンテンツの漏洩を防ぐのに役立ちます
- OneDrive 同期の自動検疫を構成することで、機密ファイルの公開を防ぐのに役立ちます
- 未承認のクラウド アプリやサービスとの機密性の高いアイテムの共有を防ぐ
- ネットワーク例外を実装してファイル アクティビティを管理するポリシーを作成する