Microsoft Purview の Always-on 診断機能により、エンドポイント データ損失防止 (DLP) の継続的な自動トレース ログ記録が可能になります。 この機能により、手動のログ構成と問題の再現が不要になり、管理オーバーヘッドが大幅に削減されます。
Microsoft でサポート ケースを開くと、根本原因分析を支援するために診断ログが必要になることが多いです。 Always-on 診断が有効になっていると、包括的なテレメトリが既に利用できるため、管理者は従来のデータ収集手順をバイパスできます。 これにより、サポート ワークフローが高速化されるだけでなく、問題を特定して解決する精度も向上します。
診断ログは、Microsoft サポートに直接安全にアップロードでき、ケースの提出を合理化し、解決までの時間を高速化できます。 このプロアクティブログアプローチにより、運用効率が向上し、サポートの応答性が向上します。
重要
この機能は、承認された eDLP トラブルシューティング シナリオ (機能しているかどうかに関係なく) にのみ使用されます。 承認されたトラブルシューティング ワークフローの外部でのアクティビティを含め、調査またはサポート以外の目的で使用することはできません。
この機能は Windows でのみサポートされています。
サポートされている Windows オペレーティング システム
| OS | バージョン | 最小ビルド |
|---|---|---|
| Windows 11 | 24H2 | ビルド 26100.4202 |
| Windows 11 | 23H2 | ビルド 22621.5039 と 22631.5039 |
| Windows 11 | 22H2 | ビルド 22621.5039 と 22631.5039 |
| Windows 10 | 22H2 | ビルド 19045.5917 |
| Windows 10 | 21H2 | ビルド 19045.5917 |
| Windows Server 2019 | - | ビルド 17763.7434 |
| Windows Server 2022 | - | ビルド 20348.3807 |
| Windows Server 2025 | - | ビルド 26100.4349 |
重要
エンドポイント DLP は、Windows Serverでは既定で無効になっています。 Always-on 診断をサポートするには、Windows Server のエンドポイント DLP を有効にする必要があります。
アクセス許可
ログ収集要求を表示および作成するために必要なロール
Entra ID ロール
- グローバル管理者
- コンプライアンス管理者
- セキュリティ管理者
Purview ロール
テナント レベルで割り当てる必要があります。スコープ管理者はサポートされていません。
- OrganizationConfiguration
- ManageAlerts
- ViewOnlyManageAlerts
- InformationProtectionAdmin
- InformationProtectionAnalyst
- InformationProtectionInvestigator
機能を有効にするために必要なロール
Entra ID ロール
- グローバル管理者
- コンプライアンス管理者
- セキュリティ管理者
Purview ロール (テナント レベルのみ)
- OrganizationConfiguration
- ComplianceAdmin
- SecurityAdmin
- DLPComplianceManagement
- InformationProtectionAdmin
Always-on 診断を有効にしてアップロードを有効にする
- [Microsoft Purview ポータル] にサインインします。
- [設定>Data Loss Prevention>Always-on 診断 (プレビュー) に移動します。
- [オン] を選択します。
- キャッシュストレージ期間を設定します。 90 日間をお勧めします。
- デバイスの最大ストレージを設定します。 範囲は 500 ~ 1500 MB である必要があります。
- [保存] を選択します。
- アップロードを有効にするには、[デバイス ログを自動的にアップロードする] で[Microsoft と診断を共有する] を選択します。
デバイス ログを要求する
問題を特定し、Microsoft でサポートコールを開くと、ログ ファイルをMicrosoft サポートに送信するように要求できます。
- Purview で、ログ ファイルの要求を開始する場所のいずれかを選択します。
- [設定] > [デバイスのオンボード] > [デバイス] で、一覧からデバイスを選択します。
- [ データ損失防止] > [アラート] > [イベント] から、一覧からイベントを選択します。
- [データ損失防止] > [エクスプローラー] >アクティビティ エクスプローラーで、一覧からアラートを選択します。
- 選択した場所に基づいて、[ Always-on Diagnostics] で [ デバイス ログの要求] を選択します。
- 日付範囲を選択し、簡単な説明を入力します。
- [ コレクション要求の送信] を選択します。
- 要求を送信した後、要求が完了するまで待つ必要があります。 [設定>Data Loss Prevention>Always-on 診断 (プレビュー) に移動します。
- 一覧から、調査中のデバイスを特定します。 状態が完了したら、関連付けられている要求番号をMicrosoft サポートに指定します。
デバイス ログの取得 (レガシ プロセス)
自動収集とアップロードを有効にしなかった場合は、Microsoft Defender for Endpoint (MDE) クライアント アナライザー ツールを使用して手動でログを取得できます。
エンドポイント デバイス上のMicrosoft Defender for Endpoint (MDE) クライアント アナライザーのプレビュー バージョンをダウンロードします。
ダウンロードした MDEClientAnalyzer.zip ファイルの内容を任意のフォルダーに抽出します。
コマンド プロンプトを開き、抽出したフォルダーに移動します。
注:
診断ログを取得するために管理特権は必要ありません。 管理者権限なしでツールを実行すると、アクセス警告が表示されることがあります。 これらは無視しても問題ありません。
「MDEClientAnalyzer.cmd -r -t -m 0」と入力します。
続行するには、EULA 契約に同意します。
メッセージが表示されたら、ログ収集中に使用されるレポートのファイル名を指定します。 完全なファイル パスの指定。
注:
管理者モードではないためにアクセス警告を受け取った場合は、無視しても問題ありません。
トレース ファイルが収集されると、結果の概要 (MDEClientAnalyzer.htm) が表示されます。 次の設定を確認して、always-on 機能が有効になっていることを確認します。
設定 値 Sensetracer always-on enable はい ログは \MDEClientAnalyzerResult サブフォルダーに保存されます。 ログは Microsoft サポートに送信できます。
その他の診断ログ方法については、「エンドポイント DLP 診断ログの分析」を参照してください。\