次の方法で共有

情報保護のために Microsoft Purview と統合する

  • [アーティクル]

Microsoft Defender for Cloud Appsを使用すると、Microsoft Purview から秘密度ラベルを自動的に適用できます。 これらのラベルは、ファイル ポリシー ガバナンス アクションとしてファイルに適用され、ラベルの構成によっては、追加の保護のために暗号化を適用できます。 また、Defender for Cloud Apps ポータル内で適用された秘密度ラベルをフィルター処理して、ファイルを調査することもできます。 ラベルを使用すると、クラウド内の機密データの可視性と制御が向上します。 Microsoft Purview とDefender for Cloud Appsの統合は、単一のチェック ボックスを選択するのと同じくらい簡単です。

Microsoft Purview をDefender for Cloud Appsに統合することで、次のようなクラウド内のサービスとセキュリティで保護されたファイルの両方のフル パワーを使用できます。

  • 特定のポリシーに一致するファイルにガバナンス アクションとして秘密度ラベルを適用する機能
  • 分類されたすべてのファイルを一元的な場所に表示する機能
  • 分類レベルに従って調査し、クラウド アプリケーション上の機密データの公開を定量化する機能
  • 分類されたファイルが適切に処理されていることを確認するためのポリシーを作成する機能

前提条件

注:

この機能を有効にするには、Microsoft Purview のDefender for Cloud Apps ライセンスとライセンスの両方が必要です。 両方のライセンスが設定されるとすぐに、Defender for Cloud Appsは Microsoft Purview からorganizationのラベルを同期します。

Defender for Cloud Apps秘密度ラベルを適用するには、Microsoft Purview で秘密度ラベル ポリシーの一部として発行する必要があります。

現在Defender for Cloud Appsでは、次のファイルの種類に対する Microsoft Purview からの秘密度ラベルの適用がサポートされています。

  • Word: docm、docx、dotm、dotx
  • Excel: xlam、xlsm、xlsx、xltx
  • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
  • PDF

    注:

    PDF の場合は、統合ラベルを使用する必要があります。

この機能は現在、Box、Google ワークスペース、SharePoint Online、OneDrive に保存されているファイルで使用できます。 今後のバージョンでは、より多くのクラウド アプリがサポートされる予定です。

メカニズム

秘密度ラベルは、Microsoft Purview からDefender for Cloud Appsで確認できます。 Defender for Cloud Appsを Microsoft Purview と統合するとすぐに、Defender for Cloud Appsは次のようにファイルをスキャンします。

  1. Defender for Cloud Appsは、テナントで使用されるすべての秘密度ラベルの一覧を取得します。 このアクションは、リストを最新の状態に保つために 1 時間ごとに実行されます。

  2. Defender for Cloud Apps次のように、ファイルで秘密度ラベルがスキャンされます。

    • 自動スキャンを有効にした場合、新しいファイルまたは変更されたすべてのファイルがスキャン キューに追加され、既存のすべてのファイルとリポジトリがスキャンされます。
    • 秘密度ラベルを検索するようにファイル ポリシーを設定した場合、これらのファイルは秘密度ラベルのスキャン キューに追加されます。

  3. 説明したように、これらのスキャンは、テナントで使用されている秘密度ラベルを確認するためにDefender for Cloud Apps初期スキャンで検出された秘密度ラベルに対して行われます。 外部ラベル (テナントの外部のユーザーによって設定された分類ラベル) が分類ラベルの一覧に追加されます。 これらのファイルをスキャンしない場合は、[このテナントの秘密度ラベルとコンテンツ検査の警告Information Protection[Microsoft のファイルのみをスキャンする] チェック ボックスを選択します。

  4. Defender for Cloud Appsで Microsoft Purview を有効にすると、接続されているクラウド アプリに追加されたすべての新しいファイルがスキャンされ、秘密度ラベルがスキャンされます。

  5. 秘密度ラベルを自動的に適用するDefender for Cloud Apps内に新しいポリシーを作成できます。

統合の制限

Defender for Cloud Appsで Microsoft Purview ラベルを使用する場合は、次の制限に注意してください。

制限 説明
Defender for Cloud Appsの外部でラベルまたは保護が適用されたファイル Defender for Cloud Appsの外部に適用された保護されていないラベルは、Defender for Cloud Appsによってオーバーライドできますが、削除することはできません。

Defender for Cloud Appsは、Defender for Cloud Appsの外部でラベル付けされたファイルから保護付きのラベルを削除することはできません。

Defender for Cloud アプリの外部で保護が適用されたファイルをスキャンするには、 保護されたファイルのコンテンツを検査するアクセス許可を付与します。
Defender for Cloud Appsによってラベル付けされたファイル Defender for Cloud Appsは、Defender for Cloud Appsによって既にラベル付けされているファイルのラベルをオーバーライドしません。
パスワードで保護されたファイル Defender for Cloud Appsパスワードで保護されたファイルのラベルを読み取ることはできません。
空のファイル 空のファイルは、Defender for Cloud Appsによってラベル付けされません。
チェックアウトが必要なライブラリ Defender for Cloud Appsチェックアウトを必要とするように構成されているライブラリにあるファイルにラベルを付けることはできません。
スコープの要件 Defender for Cloud Appsが秘密度ラベルを認識するには、Purview のラベル スコープを少なくとも [ファイルと電子メール] に構成する必要があります。

注:

Microsoft Purview は、サービスのラベル付けのための Microsoft の主要なソリューションです。 詳細については、 Microsoft Purview のドキュメントを参照してください

Microsoft Purview とDefender for Cloud Appsを統合する方法

Microsoft Purview を有効にする

Microsoft Purview とDefender for Cloud Appsを統合するために必要なのは、1 つのチェック ボックスをオンにした場合です。 自動スキャンを有効にすると、ポリシーを作成する必要なく、Microsoft Purview から Microsoft 365 ファイルの秘密度ラベルを検索できます。 これを有効にすると、クラウド環境に Microsoft Purview の秘密度ラベルでラベル付けされたファイルがある場合は、Defender for Cloud Appsに表示されます。

秘密度ラベルに対してコンテンツ検査が有効になっているファイルをスキャンするDefender for Cloud Appsを有効にするには:

Microsoft Defender ポータルで、[設定] を選択します。 次に、[ Cloud Apps] を選択します。 次に、[Information Protection ->Microsoft Information Protection] に移動します。

  1. [Microsoft Information Protection設定] で、[Microsoft Information Protection とコンテンツ検査の警告から秘密度ラベルの新しいファイルを自動的にスキャンする] を選択します。

    Microsoft Purview を有効にするスクリーンショット。

Microsoft Purview を有効にすると、秘密度ラベルを持つファイルを表示し、Defender for Cloud Appsのラベルごとにフィルター処理できます。 Defender for Cloud Appsがクラウド アプリに接続されると、Microsoft Purview 統合機能を使用して、Microsoft Purview の秘密度ラベル (暗号化ありまたは暗号化なし) を適用Defender for Cloud Appsポータルでは、ファイルに直接追加するか、ファイル ポリシーを構成して秘密度ラベルをガバナンス アクションとして自動的に適用します。

注:

自動スキャンでは、既存のファイルが再度変更されるまでスキャンされません。 Microsoft Purview から秘密度ラベルの既存のファイルをスキャンするには、コンテンツ検査を含む少なくとも 1 つの ファイル ポリシー が必要です。 ない場合は、新しい ファイル ポリシーを作成し、すべてのプリセット フィルターを削除し、[ 検査方法 ] で [組み込みの DLP] を選択します。 [ コンテンツ検査 ] フィールドで、[ プリセット式に一致するファイルを含める ] を選択し、定義済みの値を選択してポリシーを保存します。 これにより、Microsoft Purview から秘密度ラベルを自動的に検出するコンテンツ検査が可能になります。

内部ラベルと外部ラベルを設定する

既定では、Defender for Cloud Appsは、organizationで定義された秘密度ラベルと、他の組織によって定義された外部ラベルをスキャンします。

organizationの外部に設定された秘密度ラベルを無視するには、Microsoft Defender ポータルに移動し、[設定] を選択します。 次に、[ Cloud Apps] を選択します。 [Information Protection] で [Microsoft Information Protection] を選択します。 次に、このテナントから [Microsoft Information Protection秘密度ラベルとコンテンツ検査警告のファイルのみをスキャンする] を選択します。

ラベルを無視します。

ファイルにラベルを直接適用する

  1. Microsoft Defender ポータルの [Cloud Apps] で、[ファイル] を選択します。 次に、保護するファイルを選択します。 ファイルの行の末尾にある 3 つのドットを選択し、[ 秘密度ラベルの適用] を選択します。

    秘密度ラベルを適用します。

    注:

    Defender for Cloud Appsは、最大 30 MB のファイルに Microsoft Purview を適用できます。

  2. ファイルに適用するorganizationの秘密度ラベルのいずれかを選択し、[適用] を選択します

    保護秘密度ラベル。

  3. 秘密度ラベルを選択して [適用] を選択すると、Defender for Cloud Appsは元のファイルに秘密度ラベルを適用します。

  4. 秘密度ラベルを削除するには、[ 秘密度ラベルの削除 ] オプションを選択します。

Defender for Cloud Appsと Microsoft Purview の連携方法の詳細については、「Microsoft Purview から秘密度ラベルを自動的に適用する」を参照してください。

ファイルに自動的にラベルを付ける

ファイル ポリシーを作成し、[秘密度ラベルの適用] をガバナンス アクションとして設定することで 、ファイルに秘密度ラベル を自動的に適用できます。

ファイル ポリシーを作成するには、次の手順に従います。

  1. ファイル ポリシーを作成します。

  2. 検出するファイルの種類を含むようにポリシーを設定します。 たとえば、 アクセス レベル内部 と等しくないファイルと 、所有者 OU が財務チームと等しいすべてのファイルを選択します。

  3. 関連するアプリのガバナンス アクションで、[ 秘密度ラベルの適用 ] を選択し、ラベルの種類を選択します。

    ラベルを適用します。

注:

  • 秘密度ラベルを適用する機能は、強力な機能です。 お客様が誤って多数のファイルにラベルを適用するのを防ぎ、安全上の注意として、テナントごとにアプリごとに 1 日あたり 100 個のラベル アクションを 適用 する制限があります。 日単位の制限に達すると、ラベルの適用アクションは一時的に一時停止し、翌日 (UTC 12:00 以降) に自動的に続行されます。
  • ポリシーを無効にすると、そのポリシーのすべての保留中のラベル付けタスクが中断されます。
  • ラベルの構成では、Defender for Cloud Appsがラベル情報を読み取るために、認証されたユーザーまたはorganization内のすべてのユーザーにアクセス許可を割り当てる必要があります。

ファイルの公開を制御する

  1. たとえば、次のドキュメントに Microsoft Purview 秘密度ラベルを付けたとします。

    Microsoft Purview のサンプル画面。

  2. このドキュメントは、Defender for Cloud Appsの [ファイル] ページで Microsoft Purview の秘密度ラベルをフィルター処理することで確認できます。

    Defender for Cloud Apps Microsoft Purview と比較します。

  3. これらのファイルとその秘密度ラベルに関する詳細情報は、ファイル ドロワーで取得できます。 [ファイル] ページで関連するファイルを選択し、秘密度ラベルがあるかどうかをチェックします。

    ファイル ドロワー。

  4. その後、Defender for Cloud Appsでファイル ポリシーを作成して、不適切に共有されているファイルを制御し、ラベルが付けて最近変更されたファイルを見つけることができます。

  • 特定のファイルに秘密度ラベルを自動的に適用するポリシーを作成できます。
  • ファイル分類に関連するアクティビティに関するアラートをトリガーすることもできます。

注:

ファイルで秘密度ラベルが無効になっている場合、無効になっているラベルはDefender for Cloud Appsで無効と表示されます。 削除されたラベルは表示されません。

サンプル ポリシー - Box で外部で共有される機密データ:

  1. ファイル ポリシーを作成します。

  2. ポリシーの名前、重大度、およびカテゴリを設定します。

  3. 次のフィルターを追加して、Box で外部共有されているすべての機密データを検索します。

    機密性ポリシー。

サンプル ポリシー - SharePoint の Customer Data フォルダーの外部で最近変更された制限付きデータ:

  1. ファイル ポリシーを作成します。

  2. ポリシーの名前、重大度、およびカテゴリを設定します。

  3. フォルダー選択オプションで Customer Data フォルダーを除外しながら、最近変更されたすべての制限付きファイルを検索するには、次のフィルターを追加します。

    制限付きデータ ポリシー。

アラートの設定、ユーザー通知、またはこれらのポリシーに対する即時アクションの実行を選択することもできます。 ガバナンス アクションの詳細については、こちらをご覧ください。

Microsoft Purview の詳細については、こちらをご覧ください。

次の手順

ポリシーを使用したクラウド アプリの制御

問題が発生した場合は、ここにお問い合わせください。 製品の問題に関するサポートまたはサポートを受けるためには、 サポート チケットを開いてください。