一般的に使用されるMicrosoft Defender for Cloud Apps情報保護ポリシー
Defender for Cloud Appsファイル ポリシーを使用すると、さまざまな自動プロセスを適用できます。 ポリシーは、継続的なコンプライアンス スキャン、法的電子情報開示タスク、公開されている機密コンテンツの DLP など、情報保護を提供するように設定できます。
Defender for Cloud Appsは、アクセス レベルやファイルの種類など、20 を超えるメタデータ フィルターに基づいて任意のファイルの種類を監視できます。 詳細については、「 ファイル ポリシー」を参照してください。
機密データの外部共有を検出して防止する
個人を特定する情報やその他の機密データを含むファイルがクラウド サービスに保存され、会社のセキュリティ ポリシーに違反し、コンプライアンス違反の可能性があるorganizationの外部にいるユーザーと共有されるタイミングを検出します。
前提条件
アプリ コネクタを使用して接続されているアプリが少なくとも 1 つ必要です。
手順
Microsoft Defender ポータルの [Cloud Apps] で、[ポリシー] ->Policy 管理に移動します。 新しい ファイル ポリシーを作成します。
フィルターの [アクセス レベル ] を [パブリック (インターネット)] / [パブリック] / [外部] に設定します。
[ 検査方法] で [ データ分類サービス (DCS)] を選択し、[ 種類の選択] で DCS で検査する機密情報の種類を選択します。
アラートがトリガーされたときに実行される ガバナンス アクションを構成します。 たとえば、Google ワークスペースで検出されたファイル違反に対して実行されるガバナンス アクションを作成できます。このアクションでは、[ 外部ユーザーの削除 ] オプションと [ パブリック アクセスの削除] オプションを選択できます。
ファイル ポリシーを作成します。
外部共有の機密データを検出する
機密というラベルが付き、クラウド サービスに格納されているファイルが外部ユーザーと共有され、会社のポリシーに違反していることを検出します。
前提条件
アプリ コネクタを使用して接続されているアプリが少なくとも 1 つ必要です。
手順
Microsoft Defender ポータルの [Cloud Apps] で、[ポリシー] ->Policy 管理に移動します。 新しい ファイル ポリシーを作成します。
フィルターの秘密度ラベルを、機密ラベルと等しいMicrosoft Purview Information Protectionに設定するか、会社の同等のラベルに設定します。
フィルターの [アクセス レベル ] を [パブリック (インターネット)] / [パブリック] / [外部] に設定します。
省略可能: 違反が検出されたときにファイルに対して実行される ガバナンス アクションを設定します。 使用できるガバナンス アクションは、サービスによって異なります。
ファイル ポリシーを作成します。
保存時の機密データを検出して暗号化する
個人を特定する情報や、クラウド アプリで共有されているその他の機密データを含むファイルを検出し、秘密度ラベルを適用して、社内の従業員にのみアクセスを制限します。
前提条件
アプリ コネクタを使用して接続されているアプリが少なくとも 1 つ必要です。
手順
Microsoft Defender ポータルの [Cloud Apps] で、[ポリシー] ->Policy 管理に移動します。 新しい ファイル ポリシーを作成します。
[ 検査方法] で [ データ分類サービス (DCS)] を選択し 、[種類の選択] で DCS で検査する機密情報の種類を選択します。
[ガバナンス アクション] で、[秘密度ラベルの適用] をチェックし、会社の従業員へのアクセスを制限するために会社が使用する秘密度ラベルを選択します。
ファイル ポリシーを作成します。
注:
Defender for Cloud Appsで秘密度ラベルを直接適用する機能は、現在、Box、Google Workspace、SharePoint Online、OneDrive for Businessでのみサポートされています。
未承認の場所からデータ アクセスを検出する
organizationの一般的な場所に基づいて、未承認の場所からファイルにアクセスするタイミングを検出して、潜在的なデータ 漏洩や悪意のあるアクセスを特定します。
前提条件
アプリ コネクタを使用して接続されているアプリが少なくとも 1 つ必要です。
手順
Microsoft Defender ポータルの [Cloud Apps] で、[ポリシー] ->Policy 管理に移動します。 新しい アクティビティ ポリシーを作成します。
フィルターアクティビティの 種類 を、関心のあるファイルとフォルダーのアクティビティ ( 表示、 ダウンロード、 アクセス、 変更など) に設定します。
[場所] フィルターが等しくないを設定し、organizationがアクティビティを想定している国/地域を入力します。
- 省略可能: organizationが特定の国/地域からのアクセスをブロックする場合は、反対の方法を使用し、フィルターを Location equals に設定できます。
省略可能: 一時停止ユーザーなど、検出された違反 (サービスによって可用性が異なります) に適用するガバナンス アクションを作成します。
アクティビティ ポリシーを作成します。
非準拠 SP サイトの機密データ ストアを検出して保護する
機密としてラベル付けされ、準拠していない SharePoint サイトに格納されているファイルを検出します。
前提条件
秘密度ラベルは、organization内で構成および使用されます。
手順
Microsoft Defender ポータルの [Cloud Apps] で、[ポリシー] ->Policy 管理に移動します。 新しい ファイル ポリシーを作成します。
フィルターの秘密度ラベルを、機密ラベルと等しいMicrosoft Purview Information Protectionに設定するか、会社の同等のラベルに設定します。
[親フォルダーが等しくない] フィルターを設定し、[フォルダーの選択] で、organization内のすべての準拠フォルダーを選択します。
[ アラート ] で、[ 一致するファイルごとにアラートを作成する] を選択します。
省略可能: 違反が検出されたときにファイルに対して実行される ガバナンス アクションを設定します。 使用できるガバナンス アクションは、サービスによって異なります。 たとえば、[ Box] を [ ポリシー一致ダイジェストをファイル所有者に送信する ] と [ 管理者検疫に入れる] に設定します。
ファイル ポリシーを作成します。
外部共有ソース コードを検出する
ソース コードである可能性のあるコンテンツを含むファイルがパブリックに共有されるか、organizationの外部でユーザーと共有されるタイミングを検出します。
前提条件
アプリ コネクタを使用して接続されているアプリが少なくとも 1 つ必要です。
手順
Microsoft Defender ポータルの [Cloud Apps] で、[ポリシー] ->Policy 管理に移動します。 新しい ファイル ポリシーを作成します。
ポリシー テンプレート外部共有ソース コードを選択して適用する
省略可能: organizationのソース コード ファイル拡張子に合わせてファイル拡張子の一覧をカスタマイズします。
省略可能: 違反が検出されたときにファイルに対して実行される ガバナンス アクションを設定します。 使用できるガバナンス アクションは、サービスによって異なります。 たとえば、Box では、 ポリシー一致ダイジェストをファイル所有者に送信 し、 管理者検疫に入れます。
ポリシー テンプレートを選択して適用します。
グループ データへの未承認のアクセスを検出する
特定のユーザー グループに属する特定のファイルが、グループに属していないユーザーによって過度にアクセスされていることを検出します。これは、インサイダーの脅威になる可能性があります。
前提条件
アプリ コネクタを使用して接続されているアプリが少なくとも 1 つ必要です。
手順
Microsoft Defender ポータルの [Cloud Apps] で、[ポリシー] ->Policy 管理に移動します。 新しい アクティビティ ポリシーを作成します。
[操作] で [繰り返しアクティビティ] を選択し、[最小繰り返しアクティビティ] をカスタマイズし、organizationのポリシーに準拠する時間枠を設定します。
フィルターアクティビティの 種類 を、関心のあるファイルとフォルダーのアクティビティ ( 表示、 ダウンロード、 アクセス、 変更など) に設定します。
フィルター [ ユーザー ] を [From group equals] に設定し、関連するユーザー グループを選択します。
フィルター [ ファイルとフォルダー ] を [特定のファイルまたはフォルダー と等しい] に設定し、監査対象のユーザー グループに属するファイルとフォルダーを選択します。
違反が検出されたときにファイルに対して実行される ガバナンス アクションを設定します。 使用できるガバナンス アクションは、サービスによって異なります。 たとえば、[ ユーザーの中断] を選択できます。
ファイル ポリシーを作成します。
パブリックにアクセスできる S3 バケットを検出する
AWS S3 バケットからの潜在的なデータ リークを検出して保護します。
前提条件
アプリ コネクタを使用して接続されている AWS インスタンスが必要です。
手順
Microsoft Defender ポータルの [Cloud Apps] で、[ポリシー] ->Policy 管理に移動します。 新しい ファイル ポリシーを作成します。
ポリシー テンプレート [ パブリックにアクセス可能な S3 バケット (AWS)] を選択して適用します。
違反が検出されたときにファイルに対して実行される ガバナンス アクションを設定します。 使用できるガバナンス アクションは、サービスによって異なります。 たとえば、AWS を [プライベートにする] に設定すると、S3 バケットがプライベートになります。
ファイル ポリシーを作成します。
ファイル ストレージ アプリ間で GDPR 関連データを検出して保護する
クラウド ストレージ アプリで共有され、個人を識別する情報や、GDPR コンプライアンス ポリシーによってバインドされているその他の機密データを含むファイルを検出します。 その後、秘密度ラベルを自動的に適用して、承認された担当者のみにアクセスを制限します。
前提条件
アプリ コネクタを使用して接続されているアプリが少なくとも 1 つ必要です。
Microsoft Purview Information Protection統合が有効になっており、GDPR ラベルが Microsoft Purview で構成されている
手順
Microsoft Defender ポータルの [Cloud Apps] で、[ポリシー] ->Policy 管理に移動します。 新しい ファイル ポリシーを作成します。
[検査方法] で [データ分類サービス (DCS)] を選択し、[種類の選択] で、GDPR コンプライアンスに準拠する 1 つ以上の情報の種類を選択します (例: EU デビット カード番号、EU 運転免許証番号、EU 国内/地域識別番号、EU パスポート番号、EU SSN、SU 税識別番号)。
[サポートされているアプリごとに秘密度ラベルを適用する] を選択して、違反が検出されたときにファイルに対して実行されるガバナンス アクションを設定します。
ファイル ポリシーを作成します。
注:
現時点では、 秘密度ラベルの適用 は、Box、Google ワークスペース、SharePoint Online、OneDrive for Business でのみサポートされています。
外部ユーザーのダウンロードをリアルタイムでブロックする
Defender for Cloud Apps セッション コントロールを使用して、ファイルのダウンロードをリアルタイムでブロックすることで、会社のデータが外部ユーザーによって流出されないようにします。
前提条件
アプリが、シングル サインオンにMicrosoft Entra IDを使用する SAML ベースのアプリであるか、条件付きアクセス アプリ制御のDefender for Cloud Appsにオンボードされていることを確認します。
サポートされているアプリの詳細については、「 サポートされているアプリとクライアント」を参照してください。
手順
Microsoft Defender ポータルの [Cloud Apps] で、[ポリシー] ->Policy 管理に移動します。 新しい セッション ポリシーを作成します。
[ セッション制御の種類] で、[ ファイルのダウンロードの制御 (検査あり)] を選択します。
[ アクティビティ フィルター] で[ ユーザー ] を選択し、[ From group equals External users]\( 外部ユーザー\) に設定します。
注:
このポリシーをすべてのアプリに適用できるようにするために、アプリ フィルターを設定する必要はありません。
[ファイル] フィルターを使用して、ファイルの種類をカスタマイズできます。 これにより、セッション ポリシーによって制御されるファイルの種類をより詳細に制御できます。
[ アクション] で、[ブロック] を選択 します。 [ ブロック メッセージのカスタマイズ ] を選択して、ユーザーに送信するカスタム メッセージを設定して、コンテンツがブロックされる理由と、適切な秘密度ラベルを適用してコンテンツを有効にする方法を理解できるようにします。
[作成] を選択します。
外部ユーザーに読み取り専用モードをリアルタイムで適用する
Defender for Cloud Apps セッション コントロールを使用して、印刷およびコピー/貼り付けアクティビティをリアルタイムでブロックすることで、会社のデータが外部ユーザーによって流出されないようにします。
前提条件
アプリが、シングル サインオンにMicrosoft Entra IDを使用する SAML ベースのアプリであるか、条件付きアクセス アプリ制御のDefender for Cloud Appsにオンボードされていることを確認します。
サポートされているアプリの詳細については、「 サポートされているアプリとクライアント」を参照してください。
手順
Microsoft Defender ポータルの [Cloud Apps] で、[ポリシー] ->Policy 管理に移動します。 新しい セッション ポリシーを作成します。
[ セッション コントロールの種類] で、[ アクティビティのブロック] を選択します。
[アクティビティ ソース] フィルターで、次の操作を行います。
[ユーザー] を選択し、[グループから外部ユーザー] に設定します。
[アクティビティの種類] を [印刷] と [切り取り/コピー] の順に選択します。
注:
このポリシーをすべてのアプリに適用できるようにするために、アプリ フィルターを設定する必要はありません。
オプション: [ 検査方法] で、適用する検査の種類を選択し、DLP スキャンに必要な条件を設定します。
[ アクション] で、[ブロック] を選択 します。 [ ブロック メッセージのカスタマイズ ] を選択して、ユーザーに送信するカスタム メッセージを設定して、コンテンツがブロックされる理由と、適切な秘密度ラベルを適用してコンテンツを有効にする方法を理解できるようにします。
[作成] を選択します。
未分類ドキュメントのアップロードをリアルタイムでブロックする
Defender for Cloud Apps セッション コントロールを使用して、保護されていないデータをクラウドにアップロードできないようにします。
前提条件
- アプリが、シングル サインオンにMicrosoft Entra IDを使用する SAML ベースのアプリであるか、条件付きアクセス アプリ制御のDefender for Cloud Appsにオンボードされていることを確認します。
サポートされているアプリの詳細については、「 サポートされているアプリとクライアント」を参照してください。
- Microsoft Purview Information Protectionの秘密度ラベルは、organization内で構成して使用する必要があります。
手順
Microsoft Defender ポータルの [Cloud Apps] で、[ポリシー] ->Policy 管理に移動します。 新しい セッション ポリシーを作成します。
[ セッション制御の種類] で、[ ファイルのアップロードの制御 (検査あり)] または [ ファイルのダウンロードの制御 (検査あり)] を選択します。
注:
このポリシーをすべてのユーザーとアプリに適用できるようにフィルターを設定する必要はありません。
[ 秘密度ラベル が等しくない] ファイル フィルターを選択し、会社が分類されたファイルのタグ付けに使用するラベルを選択します。
オプション: [ 検査方法] で、適用する検査の種類を選択し、DLP スキャンに必要な条件を設定します。
[ アクション] で、[ブロック] を選択 します。 [ ブロック メッセージのカスタマイズ ] を選択して、ユーザーに送信するカスタム メッセージを設定して、コンテンツがブロックされる理由と、適切な秘密度ラベルを適用してコンテンツを有効にする方法を理解できるようにします。
[作成] を選択します。
注:
Microsoft Purview Information Protectionからの秘密度ラベルDefender for Cloud Apps現在サポートされているファイルの種類の一覧については、「Microsoft Purview Information Protection統合」を参照してください。前提条件。
次の手順
問題が発生した場合は、ここにお問い合わせください。 製品の問題に関するサポートまたはサポートを受けるためには、 サポート チケットを開いてください。