次の方法で共有

Just-In-Time 保護Microsoft Purview データ損失防止使用する

エンドポイント データ損失防止 (DLP) Just-In-Time (JIT) 保護を使用して、ポリシーの評価が正常に完了するのを待っている間に、監視対象ファイルのエグレス アクティビティを検出およびブロックできます。

JIT によって、保護されたファイルに対するこれらのユーザー アクティビティが監査され、ブロックされます。

  • リムーバブル メディアにコピーする
  • ネットワーク共有にコピーする
  • 印刷
  • リモート デスクトップ プロトコル (RDP) を使用してコピーまたは移動する
  • 許可されていない Bluetooth アプリを使用したコピーまたは移動
  • クリップボードにコピー: 既定で JIT 監査
  • 制限付きクラウド サービス ドメインにアップロードする

デバイスに対して JIT が有効になっている場合、ポリシーのスコープに含まれていないユーザーのアクティビティであっても、すべてのユーザー アクティビティが監査されます。 エグレス アクティビティは、ポリシー スコープ内のユーザーに対して監査およびブロックされます。

Terms

次の用語について理解しておく必要があります。

  • JIT 候補ファイル: 分類されていないファイル、または古いポリシーで最後に分類されたファイルです。
  • JIT 監査: JIT 候補ファイルの場合、エンドポイント DLP はアクティビティ エクスプローラーで、 JIT トリガー が true に設定され、 強制モード が [監査] に設定されているイベントを生成します。

JIT トリガーが true に設定され、強制モードが監査に設定されていることを示す JIT アクティビティ エクスプローラー イベントのスクリーンショット

エンドポイント DLP では、次の機能は実行されません。

  • ユーザー アクティビティをブロックする

  • DLPRuleMatch イベントが生成されない

  • アラートを生成する

  • JIT ブロック: JIT 候補ファイルの場合、エンドポイント DLP はアクティビティをブロックし、 JIT トリガーが true に設定され、 強制モード[ブロック] に設定されている場合、アクティビティ エクスプローラーでイベントを生成します。 エンドポイント DLP が DLPRuleMatch イベントを生成せず、アラートは生成されません。

JIT トリガーが true に設定され、強制モードがブロックに設定されていることを示す JIT アクティビティ エクスプローラー イベントのスクリーンショット

  • JIT 進行中の通知: JIT のスコープ内のユーザーが JIT 候補ファイルでエグレス アクティビティを試みると、エンドポイント DLP によってエグレス アクティビティがブロックされ、トースト通知が表示される場合があります。 このトーストは、進行中のトーストで JIT と呼ばれます。
  • JIT 評価の完了通知: エンドポイント DLP が JIT 候補ファイルのポリシー評価を完了すると、エンドポイント DLP にトースト通知が表示され、ユーザーに通知されます。 この通知は、JIT 評価完了トーストと呼ばれます。

JIT 評価の完了通知のスクリーンショット

適用対象

エンドポイント DLP の JIT 保護は、次のデバイスでネイティブにサポートされています。

  • Windows 10
  • Windows 11
  • macOS (3 つの最新バージョン)

Just-In-Time 保護をデプロイするためのベスト プラクティス

注:

JIT を無効にしてクライアント デバイスにプッシュするなど、JIT 設定の更新に少なくとも 1 時間を許可します。

手順 1: 環境を準備する

Just-In-Time 保護を展開する前に、マルウェア対策クライアント バージョン 4.18.23080 以降を展開する必要があります。 Just-In-Time 保護のエンド ユーザー エクスペリエンス が 4.18.25080 以降で改善されました。

Mocamp バージョンpage_Defenderオンボード

注:

マルウェア対策クライアントの古いバージョンのマシンの場合は、次のいずれかの KB をインストールして Just-In-Time 保護を無効にすることをお勧めします。

  1. 必要なマルウェア対策クライアントを持つデバイスを確認するには、 セキュリティ ポータル>Investigation & 応答>Advanced ハンティングにアクセスし、このクエリを実行します。

DeviceRegistryEvents     | where InitiatingProcessVersionInfoInternalFileName == "MsMpEng.exe"         and Timestamp >= ago(60d)     | summarize arg_max(Timestamp, *) by DeviceId     | distinct DeviceName, DeviceId, vTimeStamp = Timestamp, AntiMalwareClientVersion = InitiatingProcessVersionInfoProductVersion     | extend Meet_Minimum_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.23080") // whether the device has required minimum JIT version         | extend Meet_Latest_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.25080") // whether the device has latest JIT improvement     | project DeviceId, Meet_Latest_JIT_Version, Meet_Minimum_JIT_Version, AntiMalwareClientVersion     | summarize dcount(DeviceId) by AntiMalwareClientVersion // distribution of AntiMalwareClientVersion    // | summarize dcount(DeviceId) by Meet_Minimum_JIT_Version //how many devices meet minimum JIT version    // | summarize dcount(DeviceId) by Meet_Latest_JIT_Version //how many devices meet latst JIT improvements     | order by dcount_DeviceId desc

クエリの出力の例を次に示します。

マルウェア対策クライアントのバージョンを持つデバイスの数の一覧を示すクエリの出力の画像

[データ損失防止>Diagnostics] ページに移動し、[Endpoint DLP not working カード] を選択して、特定のデバイスが JIT 前提条件を満たしているかどうかをチェックすることもできます。

選択したデバイスのマルウェア対策クライアント バージョンを示すレビュー 診断 ポップアップのスクリーンショット

手順 2: JIT 保護をデプロイする

  1. [Microsoft Purview ポータル] にサインインします。

  2. [設定>Data Loss Prevention>Just-in-time protection] を選択します。

  3. [ 監視する場所の選択] で、[デバイス] の横にあるチェック ボックスをオン にします

  4. [ 失敗した場合のフォールバック アクション] で、[ ユーザーによるアクションの完了を許可する] を選択します。 これにより、分類が失敗した場合にユーザー アクションを完了できます。

注:

エンドポイント DLP は、スコープ内にあるかどうかにかかわらず、すべてのユーザーエグレス アクティビティに対して JIT 監査イベントを作成します。

  1. [ 失敗した場合のフォールバック アクション] で、[ ユーザーによるアクションの完了を許可する] を選択します。 これにより、分類が失敗した場合にユーザーがアクションを完了できます。

注意

この機能の影響を完全に理解するまで、[ ユーザーのアクションの完了をブロック する] オプションを選択しないでください。

イベントの数が安定し、次のテレメトリ計算に基づいて、適用モードを適用するユーザー グループの可能なサイズを十分に理解するまで、各ステージで設定を検証する必要があります。

手順 3: デプロイの JIT 保護イベントの数を見積もる

アクティビティ エクスプローラーのイベントに基づいて次の計算を実行して、JIT 保護のデプロイの影響を見積もる。

  • N = JIT 保護イベントを発生させる一意のマシンの数。
  • S = デプロイのスコープ内のマシンの合計数。

N/S は、JIT 保護 "ブロック" イベントが発生する可能性があるマシンの割合を示します。

この情報を使用すると、スコープを拡張するときに JIT ブロック モードを実装することで影響を受けるマシンの数と、表示される可能性のあるサポート チケットの数を把握する必要があります。 次に、スコープを拡張するかどうかを決定できます。

手順 4: その他の追加設定を使用して JIT 保護を微調整する

手順 1 で説明されているように、 障害が発生した場合のフォールバックに加えて、次の設定を使用して JIT 保護を微調整することもできます。

  • クリップボードへのコピーを制御する: JIT 保護でファイルが評価されている間に、ユーザーがクリップボードにコンテンツをコピーできないようにする場合は、これをオンにします。

注:

[ クリップボードへのコピーの制御] を オンにすると、ユーザーの生産性に影響する可能性があります。 この設定をオンにする前に、生産性への影響をテストしてください。

  • Windows のアプリの除外: ここに含めるアプリは、Windows デバイスの JIT 保護によって評価されません。
  • Mac のアプリの除外: ここに含めるアプリは、macOS デバイスの JIT 保護によって評価されません。
  • ファイル拡張子の除外: ここで追加された拡張子を持つファイルは、JIT 保護によって評価されません。
  • Windows のファイル パスの除外: これらの場所のファイルは JIT 保護によって評価されません。
  • Mac のファイル パスの除外: これらの場所のファイルは JIT 保護によって評価されません。

これらの設定をすべてチューニングした後で JIT 保護のスコープを変更する場合は、手順 2 に戻ることができます。

ここでのファイル パスの除外設定、データ損失防止>Settings>Endpoint 設定>Windows のファイル パスの除外設定の違いは次のとおりです。

  • ここでの [ファイル パスの除外] 設定 では、JIT 保護から特定のファイル パスのみが除外されます。 それ以外の場合でも、Microsoft Purview は、これらのフォルダー内のファイルに対してエンドポイント DLP 分類と保護を引き続き適用します。
  • データ損失防止>Settings>Endpoint 設定>Windows の [ファイル パスの除外] を使用して見つかった Windows のファイル パスの除外では、指定したフォルダーの下にあるファイルに対して Purview がエンドポイント DLP 分類と保護を適用できなくなります。
  • ファイル拡張子の除外: これらの拡張子を持つファイルは JIT 保護によって評価されません。

手順 5: [失敗した場合のフォールバック アクション] 設定の [ユーザーによるアクションの完了をブロックする] に JIT 保護をデプロイする

この構成は、DLP が分類に失敗したときに適用される適用モードを制御します。 JIT 候補ファイルの JIT ブロックまたは JIT 監査、JIT ブロック、または JIT 監査は、スコープによって制御されません。 ここで選択した値に関係なく、関連するテレメトリがアクティビティ エクスプローラーに表示されます。

Just-In-Time 保護のユーザー エクスペリエンス

これは、マルウェア対策クライアント バージョン 4.18.25080 以降のユーザー エクスペリエンスです。

各アクティビティのサポートを再開する

ポリシー評価が 3 秒以内に完了すると、エンドポイント DLP によってこれらのアクティビティが自動的に再開されます。

  • リムーバブル メディアにコピーする
  • ネットワーク共有にコピーする

ポリシーの評価に 3 秒を超える時間がかかる場合、JIT ポリシー評価が完了したトーストが表示された後、ユーザーはアクティビティを繰り返す必要があります。

エンドポイント DLP がポリシーの評価を完了したら、ユーザーはこれらのアクティビティを繰り返す必要があります。

  • 印刷
  • リモート デスクトップ プロトコル (RDP) を使用してコピーまたは移動する
  • 許可されていない Bluetooth アプリを使用したコピーまたは移動
  • クリップボードにコピー: 既定で JIT 監査

エンドポイント DLP がポリシーの評価を完了した後、ユーザーはこれらのアクティビティを繰り返す必要があります。

  • 印刷
  • リモート デスクトップ プロトコル (RDP) を使用してコピーまたは移動する
  • 許可されていない Bluetooth アプリを使用したコピーまたは移動
  • クリップボードにコピー: 既定で JIT 監査

1 つのファイルでアクティビティを実行する

ユーザーが 1 つのファイル エンドポイント DLP に対してアクティビティを実行すると、次の場合に JIT 監査アクションが実行されます。

  • ユーザーが JIT スコープ設定に含まれていない
  • アクティビティのオーバーライドを含むブロックまたはブロックはありません
  • アクティビティは、許可されたプリンター、許可されたリムーバブル メディア、許可されたネットワーク共有、または許可された Web サイトに対するアクティビティです。
  • ファイルのポリシー評価は、エンドポイント DLP が JIT 再開をサポートするアクティビティに対して 5 秒以内に完了します。 または、エンドポイント DLP が JIT 再開をサポートしていないアクティビティのファイル評価が 2 秒以内に完了した場合。

エンドポイント DLP は、通知を含むアクティビティをブロックし (アラートなし)、ポリシーの評価に 5 秒以上かかる場合にのみ JIT ブロックを適用します。

複数のファイルに対してアクティビティを実行する

ユーザーが複数のファイルに対してアクティビティを同時に実行すると、エンドポイント DLP は次の場合に JIT 監査アクションを実行します。

  • ユーザーが JIT スコープ設定に含まれていない
  • 実行されたアクティビティのオーバーライドを含むブロックまたはブロックはありません
  • アクティビティは、許可されたプリンター、許可されたリムーバブル メディア、または許可されたネットワーク共有に対するアクティビティです

JIT 候補ファイルの場合、エンドポイント DLP はポリシー評価をトリガーし、再開をサポートするアクティビティのポリシー評価を 5 秒以内に完了するファイルのすべての通知を統合し、エンドポイント DLP によってアクティビティが自動的に再開されます。 アクティビティが再開をサポートしていない場合、エンドポイント DLP はポリシー評価をトリガーし、2 秒以内にポリシー評価を完了するファイルのすべての通知を統合します。 どちらの場合も、エンドポイント DLP は JIT 進行中のトーストを生成せず、統合トーストに最終的なポリシーの判定のみが表示されます。

  • Last updated on