完全なデータ一致に基づく機密情報の種類の使用を開始する
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview 試用版ハブから開始します。 サインアップと試用期間の詳細については、こちらをご覧ください。
適用対象:
正確なデータ一致 (EDM) ベースの機密情報の種類 (SIT) を作成して使用できるようにするのは、複数フェーズのプロセスです。 新しいエクスペリエンスは、既存のクラシック エクスペリエンスまたは PowerShell を使用できます。 この記事は、2 つのエクスペリエンスの違いを理解するのに役立ち、ニーズに適したエクスペリエンスを選択するのに役立ちます。
EDM SID は、次の場合に使用できます。
- Microsoft Purview データ損失防止
- 自動ラベル付け (サービス側とクライアント側)
- Microsoft Purview インサイダー リスク管理 ポリシー
- Microsoft Purview 電子情報開示
- Microsoft Purview インサイダー リスク管理
- Microsoft Defender for Cloud Apps
開始する前に
これらの記事の概念と用語について理解します。
サポートされる地域
正確なデータ一致機能は、次のリージョンで使用できます。
- アジア太平洋
- オーストラリア
- ブラジル
- カナダ
- ヨーロッパ
- フランス
- ドイツ
- インド
- 日本
- 韓国
- ノルウェー
- 南アフリカ
- スイス
- アラブ首長国連邦
- 英国
- 米国
- US DoD
- 米国 GCC
- 米国 GCCH
テナントが保存データをホストしている場所を確認するには、次の手順に従います 。Microsoft 365 顧客データが格納されている場所 と、その記事のデータ センターの市区町村の場所を参照してください。
必要なライセンスとアクセス許可
この記事で説明するタスクを実行するには、グローバル 管理、コンプライアンス 管理、または Exchange 管理である必要があります。 DLP アクセス許可の詳細については、「Microsoft Purview コンプライアンス ポータルのアクセス許可」を参照してください。
重要
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は、特権の低いロールを使用できないシナリオでのみ使用する必要がある、高い特権を持つロールです。
完全なライセンス情報については、 データ損失防止サービスの説明 を参照してください
サブスクリプションのポータルリンク
ポータル | 世界全体/GCC | GCC-High | DOD |
---|---|---|---|
Office SCC | compliance.microsoft.com | scc.office365.us | scc.protection.apps.mil |
Microsoft Defender ポータル | security.microsoft.com | security.microsoft.us | security.apps.mil |
Microsoft Purview コンプライアンス ポータル | compliance.microsoft.com | compliance.microsoft.us | compliance.apps.mil |
現在使用しているポータルに該当するタブを選択してください。 Microsoft 365 プランによっては、Microsoft Purview コンプライアンス ポータルは廃止されるか、間もなく廃止されます。
Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。
新しい EDM エクスペリエンス
新しい EDM エクスペリエンスは、EDM スキーマと EDM 機密情報の種類ツールの機能を 1 つのユーザー エクスペリエンスに組み合わせたものです。 新しいエクスペリエンスには、次の利点があります。
これらの利点の詳細については、「」を参照してください。
簡素化されたワークフロー
新しいエクスペリエンスでは、1 つのユーザー エクスペリエンスを使用してスキーマと SIT が作成されます。 つまり、クリック数が少なく、プライマリ要素を既定の SID にマッピングするためのガイダンスが改善され、ルールの既定の信頼レベルの説明が明確になります。
作成プロセスで EDM SIT の状態を確認する必要がある場合は、新しいエクスペリエンスによって UI でこの状況が報告されます。
- まだアップロードされていないデータ
- データアップロード率
- データのアップロードが完了しました
- インデックス作成の完了
- データのアップロードに失敗しました
- データ インデックス作成に失敗しました
自動スキーマと SIT の作成
新しいエクスペリエンスでは、同じヘッダー値と、代表的なデータの十分な行 (10 から 20) を持つサンプル データ ファイルをシステムに提供できます。 システムは形式を検証し、ヘッダーに基づいてスキーマを作成します。 次に、スキーマ内のプライマリ フィールドを特定し、関連付けるプライマリ フィールドに最も一致する SID が推奨されます。 ファイルをアップロードしない場合は、UI で同じ値を手動で入力できます。
重要
機密ではないサンプル データ値を必ず使用してください。ただし、サンプル値が実際の機密データと同じ形式であることを確認してください。 機密でないデータの使用は、サンプル データ ファイルを実際の機密情報テーブルと同じ方法でアップロードしても暗号化およびハッシュされないため、不可欠です。 EDM SIT が作成されると、サンプル データ ファイルのデータは保持されず、アクセスもできません。
システムは、プライマリ フィールドごとに 1 つずつ、EDM SIT 検出ルールを生成します。 主要なフィールドの検出に基づいて、システムは、他のすべてのフィールドを裏付けとなる証拠として使用して、高および中程度の信頼度ルールを作成します。 必要に応じて、低信頼度ルールを手動で追加できます。
パフォーマンスを向上させるために追加のガードレール
緩 やかに定義された SIT と呼ばれる幅広い値を検出する SIT にマップされたプライマリ フィールドが見つかると、システムから警告が表示されます。 これにより、検索対象のコンテンツの種類に関連しない多数の文字列に対して検索が実行される可能性があります。 これらの種類の SID とプライマリ フィールドの間のマッピングは、偽陰性になり、パフォーマンスが低下する可能性があります。
注:
緩 やかに定義された SIT (すべての個人識別番号を検索するカスタム SIT など) には、検出された項目のばらつきを大きくするための検出規則があります。 米国社会保障番号など、 厳密に定義された SIT には、狭くて適切に定義された項目のセットのみを検出できる検出規則があります。
また、選択したプライマリ フィールドの値が多数の行で複数回発生した場合にも警告が表示されます。 これにより、多数の結果セットが返されて処理され、タイムアウトが発生する可能性があります。タイムアウトすると、検出が見逃され、パフォーマンスが低下する可能性があります。
適切な EDM SIT 作成エクスペリエンスを選択する
新しいエクスペリエンスとクラシック エクスペリエンスを切り替えることができますが、次に説明するように、ニーズがこれら 4 つのユース ケースの 1 つ以上に該当しない限り、新しいエクスペリエンスを使用することをお勧めします。
ニーズに合わせて EDM SID を作成する最適な方法を選択するには:
- このセクションを読む
- 使用するエクスペリエンスを選択する
- 目的のエクスペリエンスの 次の手順 のリンクを選択します。
複数の EDM SITS を同じスキーマにマッピングする
EDM では、最大 10 個のスキーマを作成できます。 新しいエクスペリエンスを使用して EDM SIT を作成するたびに、新しいスキーマが作成されます。 これにより、EDM スキーマと EDM SIT の間で 1 対 1 のマッピングが行われます。 新しいエクスペリエンスでは、複数の SID を同じスキーマにマッピングすることはできません。
10 を超える EDM SID の作成または管理
新しいエクスペリエンスでは複数の SID を同じスキーマにマッピングすることはサポートされていないため、10 個の EDM SITS の作成と管理に制限されています。 クラシック エクスペリエンスでは、複数の EDM SID を同じスキーマにマップできるため、10 を超える EDM SID を使用できます。 新しいフローを使用して、11 番目の EDM スキーマを作成しようとして、10 個を超える EDM SID を表示できない場合、エラーが発生します。
EDM スキーマの名前の指定
EDM SIT スキーマの名前を指定する必要がある場合は、クラシック エクスペリエンスを使用して作成および管理する必要があります。 新しいエクスペリエンスではスキーマが自動的に作成されるため、スキーマにカスタム名を付ける機会はありません。 自動生成された名前は、EDM SIT 名とスキーマという単語を連結 したものです。 たとえば、EDM SIT 名が PatientNumber の場合、スキーマ名は PatientNumberschema になります。
クラシック エクスペリエンスで作成された EDM スキーマの編集
クラシック エクスペリエンスを使用して作成されたスキーマ、または PowerShell を使用して XML ファイルとしてアップロードされたすべてのスキーマは、新しいエクスペリエンスでは表示または管理できません。
次の手順
または