保護ポリシーの概要 (プレビュー)

保護アクセス制御ポリシー (保護ポリシー) を使用すると、組織はデータ ソース間で機密データを自動的に保護できます。 Microsoft Purview は既にデータ資産をスキャンし、機密データ要素を識別します。この新機能を使用すると、Microsoft Purview Information Protectionからの秘密度ラベルを使用してそのデータへのアクセスを自動的に制限できます。

保護ポリシーにより、エンタープライズ管理者は秘密度の種類のデータ アクセスを承認する必要があります。 これらのポリシーを有効にすると、Microsoft Purview Information Protectionで機密情報が検出されるたびに、アクセス制御が自動的に適用されます。

サポートされているアクション

• ラベル付きデータ資産へのアクセスを制限して、選択したユーザーとグループのみがアクセスできるようにします。
• Microsoft Purview Information Protection ソリューションの秘密度ラベルに対して構成されたアクション。

サポートされているデータ ソース

• Azure ソース:
  • Azure SQL データベース
  • Azure Blob Storage*
  • Azure Data Lake Storage Gen2*
• Microsoft Fabric

前提条件

• Microsoft 365 E5ライセンス。 必要な特定のライセンスについては、 sensitvity ラベルに関するこちらの情報を参照してください。 Microsoft 365 E5環境からここに移動することで、テナントの試用版ライセンスを取得できます。

Azure ソースと Amazon S3 のユーザーとアクセス許可

必要なユーザーにはいくつかの種類があり、これらのユーザーに対応するロールとアクセス許可を設定する必要があります。

1. Microsoft Purview Information Protection 管理 - Information Protection ソリューションを管理するための広範な権限:保護ポリシー、秘密度ラベル、ラベル/自動ラベル付けポリシー、すべての分類子の種類を確認/作成/更新/削除します。 また、データ エクスプローラー、アクティビティ エクスプローラー、Microsoft Purview Information Protection分析情報、レポートにもフル アクセスできる必要があります。
   • ユーザーには、組み込みのロール グループ "Information Protection" 内のロールと、データ マップ リーダー、分析情報リーダー、スキャン リーダー、ソース リーダーの新しいロールが必要です。 完全なアクセス許可は次のようになります。
     • Information Protection リーダー
     • データ マップ リーダー
     • Insights 閲覧者
     • ソース リーダー
     • スキャン リーダー
     • Information Protection管理者
     • Information Protection アナリスト
     • 情報保護調査員
     • データ分類リスト ビューアー
     • データ分類コンテンツ ビューアー
     • Microsoft Purview 評価管理者
   • オプション 1 - 推奨:
     1. [Microsoft Purview ロール グループ] パネルで、Information Protectionを検索します。
     2. Information Protectionロール グループを選択し、[コピー] を選択します。
     3. "プレビュー - Information Protection" という名前を付け、[コピーの作成] を選択します。
     4. [プレビュー - Information Protection] を選択し、[編集] を選択します。
     5. [ ロール ] ページで、[ + ロールの選択] を選択 し、"閲覧者" を検索します。
     6. データ マップ リーダー、分析情報リーダー、スキャン リーダー、ソース リーダーの 4 つのロールを選択します。
     7. この新しいコピーされたグループにMicrosoft Purview Information Protection管理者テスト ユーザー アカウントを追加し、ウィザードを完了します。
   • オプション 2 - 組み込みのグループを使用します (必要以上に多くのアクセス許可が提供されます)
     1. Information Protection、Data Estate Insights 閲覧者、データ ソース管理者用の組み込みグループ内に、新しいMicrosoft Purview Information Protection管理者テスト ユーザー アカウントを配置します。
2. データ所有者/管理 - このユーザーは、Microsoft Purview for Azure および Amazon S3 ソースでデータ ポリシーの適用のためにソースを有効にします。

保護ポリシーを作成する

前提条件を確認 し、保護ポリシーの Microsoft Purview インスタンスとソースを準備 し、最新のスキャンから少なくとも 24 時間後に待機したので、次の手順に従って保護ポリシーを作成します。

1. 使用しているポータルに応じて、次のいずれかの場所に移動します。

   • Microsoft Purview ポータルにサインインします>Information Protection カード >Policies

     Information Protection ソリューション カードが表示されない場合は、[すべてのソリューションの表示] を選択し、[データ セキュリティ] セクションから [Information Protection] を選択します。

   • Microsoft Purview コンプライアンス ポータル>Solutions>Information Protection>Policies にサインインします

2. [ 保護ポリシー] を選択します。

   

3. [ + 新しい保護ポリシー] を選択します。

4. 名前と説明を入力し、[ 次へ] を選択します。

5. [ + 秘密度ラベルの追加] を選択して、ポリシーを検出する秘密度ラベルを追加し、ポリシーを適用するすべてのラベルを選択します。

6. [ 追加] を選択し、[ 次へ] を選択します。

7. ポリシーを適用するソースを選択します。

   1. [Fabric ソース] で [Fabric のみ] を選択し、[ 次へ] を選択します。 (詳細については、Fabric のドキュメントを参照してください)。
   2. Azure ソースの場合は、複数を選択し、[ 編集 ] ボタンを選択して、選択した各スコープを管理できます。

8. ソースに応じて、上部にある [ + 含める ] ボタンを選択して、スコープリストに最大 10 個のリソースを追加します。 ポリシーは、選択したすべてのリソースに適用されます。

   注:

   現在、最大 10 個のリソースがサポートされており、有効にするには [編集] で選択する必要があります。

9. [ 追加] を選択し、ソースの一覧が完了したら [完了 ] を選択します。

10. ソースに応じて、作成する保護ポリシーの種類を選択します。

    1. Fabric ソースの場合は、Fabric の保護ポリシーに関するドキュメントに従ってください。
    2. 他のソースの場合は、ラベルに基づいてアクセスが拒否 されない ユーザーを選択します。 組織のすべてのユーザーは、ここに追加したユーザーとグループを除き、ラベル付きアイテムへのアクセスを拒否されます。

11. [次へ] を選択します。

12. ポリシーをすぐに有効にするかどうかを選択し、[ 次へ] を選択します。

13. [送信] を選択します。

14. [完了] を選択します。

15. これで、保護ポリシーの一覧に新しいポリシーが表示されます。 これを選択して、すべての詳細が正しいことを確認します。

保護ポリシーを管理する

既存の保護ポリシーを編集または削除するには、次の手順に従います。

1. Microsoft Purview ポータルを開きます。

2. Information Protection ソリューションを開きます。

3. [ポリシー] ドロップダウン を 選択し、[ 保護ポリシー] を選択します。

   

4. 管理するポリシーを選択します。

5. 詳細を変更するには、[ ポリシーの編集 ] ボタンを選択します。

6. ポリシーを削除するには、[ポリシーの 削除 ] ボタンを選択します。