概要
Microsoft Edge for Businessの保護されたクリップボードは、マネージド Web アプリケーションとアンマネージド Web アプリケーションの間でコピーと貼り付けのアクションを制御することで、組織が機密データを保護できるように設計されています。 管理対象クラウド アプリを対象とする Purview DLP ポリシーの構成を活用することで、保護されたクリップボードは、管理者が定義した信頼できる境界内にデータを保持し、特にユーザーが最新の SaaS および GenAI ツールと対話する場合に、偶発的または意図的なデータ漏洩のリスクを軽減します。
Edge for Business で保護されたクリップボードを使用すると、組織は機密データをクリップボード レベルで保護し、セキュリティと生産性のバランスを取ることができます。 ポリシー主導の適用、サイレント ユーザー エクスペリエンス、柔軟な管理コントロールにより、現在のブラウザー ベースのワークフローの最新ソリューションです。
注
このドキュメントでは、主に、Edge for Business (E5) を使用したマネージド クラウド アプリを対象とする Microsoft Purview DLP ポリシーを使用した実装に焦点を当てています。 Intune Mobile Application Management (MAM) でMicrosoft 365 E3を使用している組織については、保護されたクリップボードが仕事用プロファイルにどのように適用されるかについては、以下のセクションを参照してください。
スクリーン キャプチャ保護について
クリップボード保護に関するより強力で統一されたストーリーのために、Edge for Business にはスクリーン キャプチャ保護も含まれています。 この機能は、保護された閲覧セッション中のスクリーンショットと記録を制限し、機密性の高いエンタープライズ データをセキュリティで保護します。 有効にすると、Copy:Block ポリシーがアクティブなページまたはサイトでのみ、画面キャプチャが自動的にブロックされます。 スクリーンショットはコピー保護の拡張機能として扱われ、クリップボードコントロールと共に、スクリーンキャプチャによる不正なデータ流出を防ぐことができます。
Edge Management Service ポータルで [保護されたクリップボード] トグルが構成されている場合、画面キャプチャ保護ポリシーも既定で有効になります。 これにより、クリップボードとスクリーン キャプチャ コントロールの両方が連携して、データの漏洩を防ぐことができます。 スクリーンショットを使用してクリップボードの制限をバイパスできるため、両方のポリシーを既定で有効にすると、機密性の高いエンタープライズ データに対してより包括的な保護レイヤーが提供されます。
注
スクリーン キャプチャ保護ポリシーは、Copy:Block Purview DLP ポリシーを持つサイト/ページにのみ適用されます。 スクリーンショットはグローバルにブロックされません。適用は、コピー保護がアクティブな場所に限定されます。
マネージド クラウド アプリの適用を対象とする Purview DLP ポリシー以外の広範なスクリーンショットの制限を求めている組織の場合、Microsoft Edge では DisableScreenshots ポリシーなどのグローバルコントロールもサポートされています。
このポリシーでは、すべてのサイトで Edge の組み込みのスクリーンショットと Web キャプチャ機能が無効になりますが、OS レベルのツール (Windows Snipping Tool など) はブロックされません。
要件
保護されたクリップボードとスクリーン キャプチャ保護を使用するには、環境が次の前提条件を満たしていることを確認します。
- Microsoft Edge for Business (最新バージョンを推奨)
-
Microsoft 365 E3または E5 サブスクリプション
- Microsoft Purview ポータルで構成されたマネージド クラウド アプリを対象とする Purview DLP ポリシー
- MAM サポートのIntune
- Edge Management サービス ポータルにアクセスして、保護されたクリップボードとスクリーン キャプチャ保護 (プレビュー段階) をオプトインします。
E5 の信頼された境界の定義
Microsoft Edge for Businessの保護されたクリップボードを使用すると、組織はコピーと貼り付けを使用して機密データを移動する方法と場所を定義できます。 Purview DLP ポリシーを構成することで、管理者は信頼できる境界を確立できます。 信頼された境界は、境界内のデータを残すことができないことを意味し、外部への貼り付けはブロックされます。 同時に、境界外からのデータを入力できるため、必要に応じて内部に貼り付けることができます。
信頼できる境界は、クリップボード データが安全に流れる管理された Web アプリとサイトのセットとして記述されています。 この境界の外 (たとえば、アンマネージド アプリ、個人用ブラウザー タブ、GenAI ツール) にデータを移動しようとすると、自動的にブロックされ、ユーザーの生産性が低下することなく、データ リークのリスクが軽減されます。
信頼された境界は、 マネージド クラウド アプリを対象とする Purview DLP ポリシーで行われた構成によって確立されます。 管理者ができることは、次のとおりです。
- ポリシー境界に含めるマネージド クラウド アプリを指定する
- 特定のユーザーまたはグループにポリシーをターゲットにする
- 組織のニーズの進化に応じて境界を調整する
コピー アクションにルールが適用されたマネージド クラウドを対象とする Purview DLP ポリシーがアクティブな場合、Edge では、これらの境界に基づいてクリップボード制御が自動的に適用され、信頼された境界の外部に機密データが貼り付けられることを防ぎます。
E3 の信頼された境界
保護されたクリップボードは、Intune Mobile Application Management (MAM) でMicrosoft 365 E3を使用している組織でも使用できます。 このシナリオでは、信頼できる境界は Edge 作業プロファイルです。 すべてのコピー/貼り付けアクションは、管理された作業プロファイル内で制限されます。 つまり、データをプロファイルの外部に貼り付けることができないので、BYOD や管理されていないデバイスでも機密情報が保護されたままになります。
- 信頼された境界: エッジ作業プロファイル (Entra ID ID)
- ポリシーの適用:管理者は、仕事用プロファイル内Intuneコピー/貼り付けを制限するように MAM ポリシーを構成します。
- ユーザー エクスペリエンス: コピー/貼り付けは、管理プロファイル内のサイトとアプリの間でのみ許可されます。 プロファイルの外部に貼り付けようとすると、「organizationのデータはここに貼り付けられません」というメッセージでブロックされます。
モードが重要な理由
組織やシナリオによって、異なるレベルのクリップボード制御が必要になります。 保護されたクリップボードには、信頼された境界を一意の方法で形成する、いくつかの強制モードが用意されています。 これらのモードを使用すると、セキュリティと生産性のバランスを取ることができ、ユーザーが承認済みの環境内で効率的に作業できる一方で、データ共有を保護するのに役立ちます。 管理者は、組織のニーズが進化するにつれて、これらの境界を調整できます。
保護されたクリップボード モードの説明
| モード | データはどうなりますか? (信頼できる境界の結果) | マネージド クラウド アプリの Purview DLP ポリシー |
|---|---|---|
| 未構成 | データは自由に移動できます。 信頼された境界は適用されません。 ユーザーは、マネージド アプリ間でコピーして貼り付けることができます。 | Purview ポリシールールが適用されます。これには、ブロックコピーを含めることができます。 |
| Tab-Only | データは、同じブラウザー タブの信頼できる境界内に留まります。コピー/貼り付けは、そのタブの外部でブロックされます。 | Copy:Audit または Copy:Block 構成を使用してアクティブ化されます。 [監査] または [ブロック] のマネージド アプリが同じタブ内でコピー/貼り付けを行うことができます。 |
| 共有境界 | これらのマネージド アプリは、共有信頼された境界を形成します。 クリップボード データは、マネージド アプリのこのグループから離れることはできません。 |
Copy:Block 構成によってアクティブ化されます 。 共有クリップボードをブロックするマネージド アプリのみ。 監査専用ポリシーのマネージド アプリは除外され、境界の一部ではありません。 |
| ハイブリッド | これらのサイトは、より広範な信頼された境界を共有します。 | Copy:Audit または Copy:Block 構成によってアクティブ化されます。 監査を含むアプリは、[ブロック] を使用してアプリに貼り付けることができます。 [ブロック] を使用したマネージド アプリは、Audit を使用してアプリに貼り付けることはできません。 [ブロック] を使用するマネージド アプリは、同じタブ動作に制限されます。 |
すべてのモードでは、Microsoft Purview を使用して設定された [構成のコピー] Purview DLP ポリシーを使用する規則が必要です。
モードを選択する方法
- データ保護の目標から始める: 1 つのアプリ、アプリのグループ内にデータを保持するか、信頼されたアプリ内で広範な共有を許可しますか?
- ユーザー ワークフローを検討する: ユーザーが複数のマネージド アプリ間でコピーする必要がある場合は、Shared Boundary または Hybrid が最適な場合があります。 厳密な分離を行う場合は、Tab-Only が最適です。
- 監視と調整: レポートを使用して、ポリシーがどのように機能しているかを確認し、必要に応じて信頼できる境界を調整します。
開始するには
保護されたクリップボードは、シンプルで、既存のセキュリティ ワークフローへのシームレスな統合のために設計されています。 「ユーザーがビジネス向け Edge でクラウド アプリと機密情報を共有できないようにする」を参照してください。 |Microsoft Learn を使用して作業を開始します。 要は:
1. ポリシーの作成
Purview ポータルから開始します。 クリップボード データを交換できるマネージド アプリを指定する信頼できる境界を定義するマネージド クラウド アプリのポリシーを作成します。
2. ポリシーの割り当て
関連するユーザーまたはグループにポリシーを割り当てます。 割り当てられた Purview ポリシーは、Edge for Business で自動的にアクティブ化されます。 ただし、保護されたクリップボードの適用は、Edge Management Service ポータル (手順 3) を使用して構成によってゲートされます。 ユーザー側では手動による介入は必要ありません。
3. クリップボードの適用 信頼された境界内: ユーザーは、マネージド Web アプリ間でコピーして貼り付けることができます。 b. 境界を越える: アンマネージド アプリ、個人用ブラウザー タブ、または GenAI ツールにコンテンツを貼り付けようとすると、サイレント モードでブロックされます。 ポップアップや警告はありません。貼り付けが機能しません。
4. & レポートの監視
Purview ポリシー データとアラートを使用して、ブロックされた貼り付け試行を含むポリシーの有効性を監視します。 これは、コンプライアンスとトラブルシューティングに役立ちます。
注
Edge Management Service ポータルで [保護されたクリップボード] トグルが構成されている場合、画面キャプチャ保護ポリシーも既定で有効になります。 詳細については、上記のセクションを参照してください。
その他のカスタマイズ (近日公開予定)
保護されたクリップボードと関連するポリシーコントロールは現在プレビュー段階です。 追加のカスタマイズ オプションは、Microsoft Purview チームと緊密に連携して開発された、将来のリリースに向けて計画されています。 これらの機能強化により、より詳細な適用と柔軟性が可能になり、管理者は、固有のビジネス ニーズ、ユーザー グループ、コンプライアンス要件に合わせてデータ保護シナリオをより細かく制御でき、より堅牢で適応可能なセキュリティ体制が提供されます。
機能の可用性に関する最新情報については、 Edge for Business の Microsoft 365 ロードマップ を参照してください。
注
これらの機能はプレビュー段階にあるので、機能と可用性が変更される可能性があります。 最新の更新プログラムについては、Microsoft の公式ドキュメントとロードマップに関するコミュニケーションを参照してください。
フィードバックとサポート
このエクスペリエンスは、Microsoft サポートによってサポートされます。 Microsoft サポートに連絡して問題を報告したり、フィードバックを送信したりできます。 TechCommunity フォーラムにフィードバックを残すこともできます。