次の方法で共有

Chrome 用 Microsoft Purview 拡張機能の概要

次の手順に従って、Chrome 用 Microsoft Purview 拡張機能をロールアウトします。

ヒント

Microsoft Security Copilot の使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を発見しましょう。 Microsoft Purview の Microsoft Security Copilot に関する詳細情報をご覧ください。

注:

Chrome 用 Microsoft Purview 拡張機能は、Windows デバイスでのみ機能します。 macOS デバイスでデータ損失防止を適用するための拡張機能は必要ありません。

開始する前に

Chrome 用 Microsoft Purview 拡張機能を使用するには、デバイスをエンドポイント データ損失防止 (DLP) にオンボードする必要があります。 DLP またはエンドポイント DLP を初めて使用する場合は、次の記事を確認してください。

ライセンス

ライセンスの詳細については、次を参照してください。

  • organizationはエンドポイント DLP のライセンスが必要です。
  • デバイスは x64 (ビルド 1809 以降) Windows 10実行する必要があります。
  • デバイスにはマルウェア対策クライアント バージョン 4.18.2202.x 以降が必要です。 Windows セキュリティ アプリを開いて現在のバージョンを確認し、[設定] アイコンを選択し、[バージョン情報] を選択します。

アクセス許可

エンドポイント DLP から アクティビティ エクスプローラーでデータを表示できます。 7 つのロールは、アクティビティ エクスプローラーを表示および操作するためのアクセス許可を付与します。 データへのアクセスに使用するアカウントは、これらのロールの少なくとも 1 つのメンバーである必要があります。

  • グローバル管理者
  • コンプライアンス管理者
  • セキュリティ管理者
  • コンプライアンスデータ管理者
  • グローバルリーダー
  • セキュリティ閲覧者
  • レポート閲覧者

重要

アクセス許可が最も少ないロールを使用して、organizationのセキュリティを強化します。 グローバル管理者は、特権の低いロールを使用できないシナリオでのみ使用する必要がある、高い特権を持つロールです。

ロールとロール グループ

ロールとロール グループを使用して、アクセス制御を微調整できます。

該当する役割の一覧を次に示します。 詳細については、 Microsoft Purview ポータルの「アクセス許可」を参照してください。

  • Information Protection 管理者
  • Information Protection アナリスト
  • Information Protection 調査員
  • Information Protection 閲覧者

該当する役割グループの一覧を次に示します。 詳細については、 Microsoft Purview ポータルの「アクセス許可」を参照してください。

  • 情報保護
  • Information Protection レベル
  • Information Protection アナリスト
  • Information Protection 調査担当者
  • Information Protection 閲覧者

インストールの全体的なワークフロー

拡張機能のデプロイは、マルチステージ プロセスです。 一度に 1 台のコンピューターにインストールすることも、organization全体の展開に Microsoft Intune または グループ ポリシーを使用することもできます。

  1. デバイスを準備します
  2. 基本的なセットアップ シングル マシンのセルフホスト
  3. Microsoft Intune を使用して展開する
  4. グループ ポリシーを使用して展開する
  5. 拡張機能をテストする
  6. アラート管理ダッシュボードを使用して Chrome DLP アラートを表示する
  7. Activity エクスプローラーでの Chrome DLPデータの表示

インフラストラクチャの準備

監視対象のすべてのWindows 10/11 デバイスに拡張機能をロールアウトする場合は、許可されていないアプリと未適用のブラウザー リストから Google Chrome を削除する必要があります。 詳細については、「許可されていないブラウザー」を参照してください。 一部のデバイスにのみロールアウトする場合は、許可されていないブラウザーまたは未適用のアプリ リストに Chrome を残すことができます。 拡張機能は、インストールされているコンピューターの両方のリストの制限をバイパスします。

重要

Chrome NativeMessageBlocklist を構成する場合は、Chrome 拡張機能を含む NativeMessageAllowlist を構成する必要があります。

デバイスを準備する

  1. デバイスをオンボードするには、次の記事の手順を使用します。

    1. エンドポイント データ損失防止の使用を開始する

    2. Windows 10 および Windows 11 デバイスのオンボード

    3. 情報保護のためにデバイス プロキシとインターネット接続の設定を構成する

重要

Microsoft Purview は、Purview Chrome 拡張機能を Manifest V3 にアップグレードしました。 既に Purview Chrome 拡張機能がインストールされている場合は、マシンに 3.0.0.239 以降への自動アップグレードが表示されます。

基本的なセットアップ シングル マシンのセルフホスト

これは推奨される方法です。

  1. Microsoft Purview 拡張機能 - Chrome Web ストア (google.com) に移動します。

  2. Chrome Web ストア ページの手順に従って拡張機能をインストールします。

Microsoft Intune を使用して展開する

この設定方法は、組織全体の展開に使用します。

Microsoft Intune の強制インストール手順

設定カタログを使用して、次の手順に従って Chrome 拡張機能を管理します。

  1. Microsoft Intune 管理センターにサインインします。

  2. [構成プロファイル] に移動します。

  3. [プロファイルの作成] を選択します。

  4. プラットフォームとして [Windows 10 以降] を選択します。

  5. プロファイルの種類として [設定カタログ] を選択します。

  6. テンプレート名として [ カスタム ] を選択します。

  7. [作成] を選択します。

  8. [ 基本 ] タブに名前と省略可能な説明を入力し、[ 次へ] を選択します。

  9. [構成設定] タブで [設定の 追加]選択 します。

  10. [ Google>Google Chrome>Extensions] を選択します

  11. [ 強制インストールされたアプリと拡張機能の一覧を構成する] を選択します

  12. トグルを [有効] に変更します。

  13. 拡張機能とアプリ ID と更新 URL に次の値を入力します: echcggldkblhodogklpincgchnpgcdco;https://clients2.google.com/service/update2/crx

  14. [次へ] を選択します。

  15. 必要に応じて [スコープ タグ] タブで スコープ タグ を追加または編集し、[ 次へ] を選択します。

  16. [ 割り当て ] タブに必要な展開ユーザー、デバイス、グループを追加し、[ 次へ] を選択します。

  17. 必要に応じて [適用規則] タブに 適用規則 を追加し、[ 次へ] を選択します。

  18. [作成] を選択します。

グループ ポリシーを使用してデプロイする

Microsoft Intune を使用しない場合は、グループ ポリシーを使用して、organization全体に拡張機能を展開できます。

ForceInstall リストに Chrome 拡張機能を追加する

  1. [グループ ポリシー管理] エディターで、OU に移動します。

  2. 次のパスを展開します: Computer/User configuration>Policies>管理用テンプレート>Classic 管理用テンプレート>Google>Google Chrome>Extensions。 このパスは、構成によって異なる場合があります。

  3. [強制インストールした拡張機能リストの構成] を選択します。

  4. 右クリックして [編集] を選択 します

  5. [有効] を選択します。

  6. [表示] を選択します。

  7. [値] の下で、以下のエントリを追加します。echcggldkblhodogklpincgchnpgcdco;https://clients2.google.com/service/update2/crx

  8. [OK][適用] の順に選択します。

拡張機能をテストする

クラウド サービスへのアップロード、または許可されていないブラウザー クラウド エグレスによるアクセス

  1. 機密性の高いアイテムを作成または取得し、organizationの制限されたサービス ドメインのいずれかにファイルをアップロードしてみてください。 機密データは、組み込みの [機密情報の種類] のいずれか、またはご所属の組織の機密情報の種類のいずれかに一致する必要があります。 ファイルが開いているときにこのアクションが許可されていないことを示す、テスト元のデバイスで DLP トースト通知を受け取る必要があります。

Chrome で他の DLP シナリオをシミュレートする

許可されていないブラウザー/アプリの一覧から Chrome を削除したので、シミュレーション シナリオを実行して、動作がorganizationの要件を満たしていることを確認できます。

  • クリップボードを使用して、機密アイテムのデータを他のドキュメントにコピーする
    • テストするには、クリップボードへのコピー操作に対して保護されているファイルを Chrome ブラウザーで開き、ファイルからデータのコピーを試します。
    • 予想される結果: ファイルが開いているときにこのアクションが許可されていないことを示す DLP トースト通知。
  • 文書を印刷する
    • テストするには、クリップボードへの印刷操作に対して保護されているファイルを Chrome ブラウザーで開き、ファイルの印刷を試します。
    • 予想される結果: ファイルが開いているときにこのアクションが許可されていないことを示す DLP トースト通知。
  • USB リムーバブル メディアにコピーする
    • テストするには、リムーバブル メディア ストレージにファイルを保存してみてください。
    • 予想される結果: ファイルが開いているときにこのアクションが許可されていないことを示す DLP トースト通知。
  • ネットワーク共有へのコピー
    • テストするには、ネットワーク共有へのファイルの保存を試します。
    • 予想される結果: ファイルが開いているときにこのアクションが許可されていないことを示す DLP トースト通知。

アラート管理ダッシュボードを使用して Chrome DLP アラートを表示する

  1. Microsoft Purview ポータルで [データ損失防止 ] ページを開き、[アラート] を選択 します

  2. エンドポイント DLP ポリシーのアラートを表示するには、「データ損失防止アラートダッシュボードの概要」および「Microsoft Defender XDRを使用してデータ損失インシデントを調査する」の手順を参照してください。

Activity エクスプローラーでのエンドポイント DLP データの表示

  1. Microsoft Purview ポータル >Information Protection>Explorers>Activity エクスプローラーを開きます

  2. アクティビティ エクスプローラーの概要に関するページの手順に従って、エンドポイント デバイスのすべてのデータにアクセスしてフィルター処理します。

Chrome Purview 拡張機能がサポートされていない Web サイト

Chrome 拡張機能では、次の Web サイトはサポートされていません。

  • app.textcortex.com
  • copilot.microsoft.com
  • www.virustotal.com

既知の問題と制限事項

  1. シークレット モードはサポートされていないため、無効にする必要があります。

次の手順

デバイスをオンボードし、アクティビティ エクスプローラーでアクティビティ データを表示したら、次の手順に進み、機密アイテムを保護する DLP ポリシーを作成する準備が整います。

関連項目

  • Last updated on