Microsoft Purview コレクション ポリシーには、構成するコンポーネントが多数あります。 効果的なポリシーを作成するには、各コンポーネントの目的とその構成によってポリシーの動作がどのように変化するかを理解する必要があります。 この記事では、コレクション ポリシーの詳細な構造について説明します。
開始する前に
コレクション ポリシーを初めて使用する場合は、organizationに実装するときに必要なコア記事の一覧を次に示します。
- コレクション ポリシー ソリューションの概要
- コレクション ポリシーリファレンス - この記事では、DLP ポリシーのすべてのコンポーネントと、それぞれがポリシーの動作にどのような影響を与えるかについて説明します
- コレクション ポリシーを作成して展開します。
条件
検出するデータを定義 する条件を指定します。 条件は省略可能ですが、 追加の設定に必要な場合があります。 条件を追加しない場合、検出される内容は、後で選択した データ ソース によって異なります。
- デバイス: organizationの分類子と一致しない場合でも、すべてのデータが検出されます
- その他のすべてのデータ ソース: organizationの分類子と一致するデータのみが検出されます。
コレクション ポリシーでは、次の 4 つの条件がサポートされています。
| 条件 | 詳細 |
|---|---|
| コンテンツに分類子が含まれている |
検出する機密情報の種類 と トレーニング可能な分類子 。 すべての分類子、選択した分類子を除くすべての分類子、または特定の分類子にスコープを設定できます。 注: デバイス データ ソースでは、トレーニング可能な分類子はサポートされていません。 選択したトレーニング可能な分類子は、デバイスによって無視されます。 |
| ドキュメントのサイズが次の値以上の場合 | 指定したバイト数、キロバイト (KB)、メガバイト (MB)、ギガバイト (GB)、テラバイト (TB) を超えるサイズのファイルを検出します。 |
| ドキュメントが と等しいかそれより小さい | 指定したバイト数、キロバイト (KB)、メガバイト (MB)、ギガバイト (GB)、またはテラバイト (TB) より小さいサイズのファイルを検出します。 |
| ファイルの拡張子が指定の拡張子の場合 | 指定したファイル拡張子を持つファイルを検出します。 |
アクティビティ
検出する アクティビティを選択します。 サポートされるアクティビティは、含める データ ソース に固有です。
ヒント
1 つのポリシーで異なるデータ ソースをサポートするアクティビティを混在させることができますが、選択したアクティビティをサポートするには、該当するすべてのデータ ソースをポリシーに追加する必要があります。
| 最新情報 | 説明 | データ ソース |
|---|---|---|
| クラウドまたは AI アプリに対して送信または共有されるテキスト | 生成型 AI プロンプト、フォームの送信、メッセージなど、生のテキストがクラウド アプリにアップロードされる場合 | - クラウド アプリ - ジェネレーティブ AI |
| クラウドまたは AI アプリに対してアップロードまたは共有されるファイル | バイナリ ファイルがクラウド アプリまたはジェネレーティブ AI サービスにアップロードされた場合 | - クラウド アプリ - ジェネレーティブ AI |
| クラウドまたは AI アプリから受信したテキスト | クラウド アプリから生のテキストをダウンロードする場合 (生成 AI 応答を含む) | - クラウド アプリ - ジェネレーティブ AI |
| クラウドまたは AI アプリからダウンロードされたファイル | クラウド アプリまたはジェネレーティブ AI サービスからバイナリ ファイルがダウンロードされた場合 | - クラウド アプリ - ジェネレーティブ AI |
| 作成アーカイブ | オンボードされたエンドポイント デバイスにアーカイブ ファイルが作成されたとき | デバイス |
| ファイルが許可されていないアプリによってアクセスされました | オンボードされたエンドポイント デバイス上の 制限付きアプリまたはアプリ グループ によってファイルにアクセスされる場合 | デバイス |
| アーカイブされたファイル | オンボードされたエンドポイント デバイス上のアーカイブにファイルが追加された場合 | デバイス |
| ファイルがネットワーク共有にコピーされました | オンボードされたエンドポイント デバイス上のネットワーク共有にファイルをコピーする場合 | デバイス |
| リモート デスクトップ セッションにコピーされたファイル | オンボードされたエンドポイント デバイス上のリモート デスクトップ セッションを介してリモート コンピューターにファイルをコピーする場合 | デバイス |
| ファイルがリムーバブル メディアにコピーされました | オンボードされたエンドポイント デバイス上のリムーバブル メディア (USB フラッシュ ドライブなど) にファイルをコピーする場合 | デバイス |
| ファイルが作成されました | オンボードされたエンドポイント デバイスにファイルが作成されたとき | デバイス |
| ネットワーク共有で作成されたファイル | オンボードされたエンドポイント デバイスからネットワーク共有にファイルが作成された場合 | デバイス |
| リムーバブル メディアに作成されたファイル | オンボードされたエンドポイント デバイスから、USB フラッシュ ドライブなどのリムーバブル メディアにファイルを作成する場合 | デバイス |
| 削除されたファイル | オンボードされたエンドポイント デバイスからファイルが削除されたとき | デバイス |
| ファイルが変更されました | オンボードされたエンドポイント デバイスからファイルが変更された場合 | デバイス |
| ファイルが印刷されました | オンボードされたエンドポイント デバイスから印刷されたファイル | デバイス |
| ファイルの読み取り | オンボードされたエンドポイント デバイスからファイルが読み取られた場合 | デバイス |
| ファイルの名前が変更されました | オンボードされたエンドポイント デバイスからファイルの名前が変更された場合 | デバイス |
| Bluetoothによって転送されたファイル | オンボードされたエンドポイント デバイスからBluetoothによってファイルが転送される場合 | デバイス |
| クラウドにアップロードされたファイル | オンボードされたエンドポイント デバイスからクラウドにファイルをアップロードする場合 | デバイス |
| リムーバブル メディア マウント | USB フラッシュ ドライブなどのリムーバブル メディアがオンボード エンドポイント デバイスにマウントされている場合 | デバイス |
| リムーバブル メディアのマウント解除 | USB フラッシュ ドライブなどのリムーバブル メディアがオンボードされたエンドポイント デバイスにマウント解除されている場合 | デバイス |
データ ソース
データ ソースは、ポリシー を適用する場所 を定義し、ポリシーに追加された アクティビティ と直接関連付けられます。
次のデータ ソースがサポートされています。
| データ ソース | 詳細 | サポートされているアクティビティ |
|---|---|---|
| デバイス | Microsoft 365 にオンボードされ、組織によって管理されているデバイス。 | Microsoft 365 にオンボードされている Windows デバイス。 |
| Copilot の経験 | Microsoft Fabric の Copilot とMicrosoft Security Copilotのみが含まれており、近日中により多くのエクスペリエンスがサポートされます。 | - クラウドまたは AI アプリに送信または共有されるテキスト - クラウドまたは AI アプリから受信したテキスト |
| エンタープライズ AI | Microsoft Entra 登録、Microsoft Foundry、Purview Data Map コネクタなどの方法を使用して、組織にオンボードまたは接続されている Copilot 以外の AI アプリ。 | - クラウドまたは AI アプリに送信または共有されるテキスト - クラウドまたは AI アプリから受信したテキスト |
| アンマネージド クラウド アプリ | シングル サインオン (SSO) 用に設定されていない、Defender for Cloud Apps カタログに基づくクラウド アプリ。これにより、ユーザーはブラウザー、アプリ、アドイン、または API を介して個人データにアクセスできます。 ポリシーでは、共有中または転送中のデータ (動作中のデータ) のみが 、ブラウザーとネットワークの検出を介して検出されます。 |
ブラウザー & ネットワーク: - クラウドまたは AI アプリに送信または共有されるテキスト ネットワークのみ: - クラウドまたは AI アプリから受信したテキスト - クラウドまたは AI アプリにアップロードまたは共有されたファイル -クラウドまたは AI アプリからダウンロードされたファイル |
| アダプティブ アプリスコープ | カテゴリなどのアプリ メタデータに基づいてメンバーシップが決定されるアプリのグループ。 現在、"すべてのアンマネージド AI アプリ" (生成 AI として分類されたすべてのアンマネージド クラウド アプリ) のみが 、ブラウザーとネットワーク検出を介してサポートされています。 |
ブラウザー & ネットワーク: - クラウドまたは AI アプリに送信または共有されるテキスト ネットワークのみ: - クラウドまたは AI アプリから受信したテキスト - クラウドまたは AI アプリにアップロードまたは共有されたファイル -クラウドまたは AI アプリからダウンロードされたファイル |
ユーザーとグループへのデータ ソースのスコーピング
データ ソースごとに、次のスコープを選択できます。
- すべての ユーザーとグループ (既定)
- 特定の ユーザーとグループ
- 特定のユーザーとグループを除くすべてのユーザーとグループ
注:
除外されたユーザーとグループは、含まれているすべてのユーザーまたはグループよりも優先されます。
その他のコレクション ポリシー設定
指定された 条件、 アクティビティ、 データ ソース によっては、構成する他のコレクション ポリシー設定が存在する場合があります。 これらの設定が無効または灰色表示されるたびに、ポリシー構成が設定と互換性がなかったことを意味します。
AI 操作用のコンテンツ キャプチャ
規制要件に準拠するために、ポリシーに追加されたすべての生成 AI データ ソースから検出されたすべてのプロンプトと応答をキャプチャして格納するかどうかを決定できます。 これにより、キャプチャされたコンテンツを後で他の Microsoft Purview ポリシーとソリューションで簡単に検出して保護できます。 この機能は、ジェネレーティブ AI と共有されるファイルにコンテンツを含めず、次のデータ ソースにのみ適用されます。
- Copilot の経験
- エンタープライズ AI
- ジェネレーティブ AI として分類されたアンマネージド クラウド アプリ
- すべてのアンマネージド AI アプリのアダプティブ アプリ スコープ
この設定を有効にしないと、プロンプトと応答で検出されたコンテンツは機密情報のみに制限されます。
注:
AI コンテンツをキャプチャするには、[ コンテンツに分類子が含まれている ] 条件が All に設定されている必要があります。
クラウド アプリの検出
非管理対象クラウド アプリまたはアダプティブ アプリスコープのデータ ソースが、生成 AI を含むポリシーに追加されている場合は、このデータを検出する方法を選択する必要があります。 次を選択できます:
- ブラウザー - 管理されていないクラウド アプリと共有されている機密データを Microsoft Edge ブラウザーを使用して、Intune管理された作業デバイス上で検出します。 ポリシーの対象となる サポートされているアンマネージド アプリ 、キャプチャできるユーザー アクティビティに関する サポートされているアクティビティ 、サポート されているブラウザー を参照して、Microsoft Edge ブラウザーのバージョンがブラウザー検出をサポートしていることを確認します。
- ネットワーク - 統合された Secure Service Edge (SSE) プロバイダーと Purview ネットワーク データ セキュリティを使用して、ブラウザー、アプリ、API などを介して、アンマネージ クラウド アプリと共有される機密データを検出します。
次の手順
コレクション ポリシーを作成した後、構成された設定に応じて次の手順を実行する必要がある場合があります。
- ブラウザー検出が有効になっている場合、Microsoft Edge 管理サービスは、Edge for Business でコレクション ポリシーをアクティブ化するために必要な構成ポリシーを自動的に作成します。 「Microsoft Edge で Purview ポリシーをアクティブ化する」を参照してください。
- ネットワーク検出が有効になっている場合は、DLP 設定で 1 つ以上の Secure Access Service Edge (SASE) または Secure Service Edge (SSE) 統合を追加して構成して、ネットワーク トラフィックの検出を開始する必要があります。 SASE プロバイダー統合に関するページを参照してください。
従量課金制の機能
コレクション ポリシーのデータ ソースと機能の一部は従量課金制であり、ポリシーを作成する前にAzureサブスクリプションをリンクする必要があります。 従量課金制を使用する Microsoft Purview 機能の詳細については、こちらを参照してください。
- Copilot の経験
- エンタープライズ AI
- Purview ネットワーク データ セキュリティを介して検出されたアンマネージド クラウド アプリ アクティビティ
- ブラウザーのインライン データ保護を使用して Purview ポリシーによって検出されたアンマネージド クラウド アプリ アクティビティ
エンタープライズ AI とネットワーク データ セキュリティに関するプライバシーに関する通知
エンタープライズ AI データ ソースとネットワーク データ セキュリティ統合では、サード パーティのアプリまたはプロバイダーとの統合が必要になる場合があります。 サードパーティの統合を有効にした場合は、ユーザー識別子を含むポリシー構成にアクセスでき、保存される場合があることに注意してください。 この場合、第三者の使用条件およびプライバシー ポリシーによって、このデータの使用と保存が管理されます。