この記事では、A5 ライセンスを使用して Microsoft 365 Education テナントのセキュリティを構成する手順のチェックリストを示します。
必須の Microsoft 製品
- Microsoft 365 A5 ライセンス
手順 1 - セキュリティとコンプライアンス
ID アクセス管理機能は、教育機関がユーザー アクセスを管理し、機密データを保護するのに役立ちます。
| Microsoft 365 プラン 2 のMicrosoft Defender - Microsoft 365 Plan 2 のMicrosoft Defenderは、自動調査、脅威ハンティング、攻撃シミュレーション機能を追加してプラン 1 に基づく高度なセキュリティ ソリューションです。電子メールやコラボレーション プラットフォーム全体で高度な脅威から防御する必要がある教育機関などの組織に最適です | ||
| ☐ | 脅威の防止と検出 | |
| - 偽装保護を使用したフィッシング対策ポリシー | ||
| - SharePoint、OneDrive、Microsoft Teams 用の安全な添付ファイル | ||
| - リアルタイム URL スキャン用の安全なリンク | ||
| ☐ | 自動調査と応答 (AIR) | |
| - 組み込みのプレイブックを使用して脅威を自動的に調査して修復する | ||
| - アラートの疲労と応答時間を短縮します | ||
| ☐ | 脅威インテリジェンスとハンティング | |
| - 脅威エクスプローラーと脅威トラッカーへのアクセス | ||
| - Microsoft Defender XDRによる高度なハンティング機能 | ||
| ☐ | インシデントとアラートの管理 | |
| - Microsoft 365 ワークロード全体の一元化されたインシデント ビュー | ||
| - アラートの詳細な調査と脅威シグナルの相関関係 | ||
| ☐ | 攻撃シミュレーショントレーニング | |
| - 実際のフィッシング攻撃とソーシャル エンジニアリング攻撃をシミュレートする | ||
| - ユーザーを教育し、組織のリスクを測定する | ||
| ☐ | キャンペーン ビュー | |
| - フィッシング キャンペーンとそのorganization全体の影響を視覚化する | ||
| ☐ | Microsoft Defender XDRとの統合 | |
| - エンドポイント、ID、電子メール、アプリ全体の脅威を検出、調査、対応するための統合されたエクスペリエンス | ||
| EndPoint Plan 2 のMicrosoft Defender - Microsoft Defender for Endpoint プラン 2 は、行動センサー、クラウド セキュリティ分析、脅威インテリジェンス、エンドポイント検出と応答 (EDR)、攻撃面の削減、脅威専門家の相談などの高度な機能を組み合わせたエンタープライズ レベルのエンドポイント セキュリティ プラットフォームです。デバイス間で高度な脅威を防止、検出、調査、対応する | ||
| ☐ | デプロイとセットアップ | |
| - デバイスの更新: すべてのエンドポイントに最新の OS とウイルス対策の更新プログラムがあることを確認する | ||
| - ライセンスの割り当て:Defender for Endpoint Plan 2 ライセンスを取得して割り当てる (Microsoft 365 E5に含まれる) | ||
| - ポータル アクセス:セキュリティ管理者とオペレーターのMicrosoft Defender ポータルへのアクセス権を付与する | ||
| - ネットワーク構成: エンドポイント接続のプロキシとインターネットの設定を構成する | ||
| ☐ | コア機能 | |
| - 攻撃面の縮小: デバイス上の悪用可能な領域を最小限に抑えるためのルールを適用する | ||
| - 次世代保護: AI 搭載のウイルス対策エンジンとマルウェア対策エンジンを使用する | ||
| - エンドポイントの検出と応答 (EDR): 行動分析を使用して高度な脅威を検出、調査、対応する | ||
| - 脅威と脆弱性の管理 (TVM): エンドポイントの脆弱性を継続的に評価して修復する | ||
| - 自動調査と修復 (AIR): 組み込みのプレイブックを使用して手動のワークロードと応答時間を短縮する | ||
| ☐ | 運用管理 | |
| - 監視とアラート:Microsoft Defender ポータルを使用して、エンドポイント間のインシデントとアラートを監視する | ||
| - Microsoft Defender XDRとの統合: エンドポイント データを ID、電子メール、クラウド アプリからのシグナルと関連付ける | ||
| - パフォーマンス ベースライン: エンドポイント のパフォーマンス メトリックをキャプチャして監視して異常を検出する |
手順 2 - クラウド アクセス セキュリティ ブローカー
Microsoft Defender for Cloud Appsはクラウド アクセス セキュリティ ブローカー (CASB) であり、シャドウ IT の検出、アプリ間の相互作用の監視、データ保護ポリシーの適用、高度なアプリ ガバナンスとコンプライアンス制御による OAuth 対応アプリのセキュリティ保護によって、SaaS アプリケーションの詳細な可視性、脅威保護、ガバナンスを提供します。
| ☐ | ライセンスとアクセスのセットアップ | |
| - ライセンスの取得:Microsoft Defender for Cloud Apps ライセンスをユーザーに割り当てる (Microsoft 365 E5に含まれるか、アドオンとして利用可能) | ||
| - ポータルにアクセスします。Microsoft Defender ポータルに移動し、[Cloud Apps] セクションを選択して構成を開始します | ||
| ☐ | クラウドの使用状況を検出して監視する | |
| - シャドウ IT 検出:組み込みの検出ツールを使用して、organization全体で使用されている承認されていないクラウド アプリまたはアンマネージド クラウド アプリを特定する | ||
| - アプリ カタログ: リスク スコアとコンプライアンスに基づいて、アプリを承認済みまたは承認されていないアプリとして分類する | ||
| ☐ | ポリシーとコントロールを構成する | |
| - 条件付きアクセス アプリ制御:Microsoft Entra IDと統合して、危険なアプリに対してリアルタイムのセッション制御を適用する | ||
| - ポリシーの作成: 異常検出、ファイル共有、OAuth アプリ ガバナンス、およびデータ流出のポリシーを定義する | ||
| ☐ | アプリ ガバナンスを有効にする | |
| - アプリ間リスク管理: OAuth を介して Microsoft 365 に接続されているサード パーティ製アプリを監視および制御する | ||
| - GenAI アプリ検出: 環境内のアンマネージドジェネレーティブ AI アプリを自動的に識別してフラグを設定する | ||
| ☐ | Microsoft Defender XDRとの統合 | |
| - 統合脅威検出: 包括的な脅威検出のために、クラウド アプリ信号をエンドポイント、ID、および電子メール データと関連付ける | ||
| - アラート管理:より広範な XDR インシデント キュー内のDefender for Cloud Appsからのアラートを調査して対応する | ||
| ☐ | 教育と運用化 | |
| - プレイブックを使用する: アプリ ガバナンス プレイブックなどの構造化されたガイドに従って、ガバナンスをプロセスに埋め込む | ||
| - エキスパート セッションに参加する: エキスパートに質問するなどのイベントに参加する |
手順 3 - データ ライフサイクル管理
Microsoft A5 テナントのデータ ライフサイクル管理とは、Microsoft Purview を通じて規制、法律、組織の要件を満たすために使用できる高度なコンプライアンス ツール (保持ポリシー、ラベル、機械学習分類子など) を使用して、Microsoft 365 サービス全体のデータ保持と削除の自動化されたガバナンスを指します。
| ☐ | アイテム保持ポリシーとラベル | |
| - ルールベースの自動保持ポリシー コンテンツ タイプ、場所、キーワード、ユーザー属性などの定義済みの条件に基づいてコンテンツを自動的に保持または削除します。手動によるラベル付けは必要ありません。 | ||
| - 機械学習ベースのリテンション期間 現実世界のデータでトレーニングされたインテリジェント分類子を使用して、定義済みのルールやキーワードのみに依存するのではなく、コンテンツの意味とコンテキストに基づいて保持設定を自動的に識別して適用します。 | ||
| - Microsoft 365 アプリの自動秘密度ラベル付け では、組み込みまたはカスタムの機械学習分類子を使用して、コンテンツやコンテキストに基づいて、コンテンツ (メール、ドキュメント、Teams チャットなど) に秘密度ラベルを自動的に検出して適用し、ユーザーの介入なしにデータ保護ポリシーを適用します。 | ||
| - Exchange、OneDrive、および SharePoint の自動秘密度ラベルは、 コンテンツの検査、ポリシー条件、機械学習に基づいて、これらのサービスに保存されている電子メールとファイルに秘密度ラベルを自動的に適用し、ユーザーの操作に依存せずにデータ保護を適用するのに役立ちます。 | ||
| - SharePoint ドキュメント ライブラリの既定の秘密度ラベル 管理者は、特定の SharePoint ライブラリにアップロードまたは作成されたすべてのドキュメントに定義済みの秘密度ラベルを自動的に適用し、ユーザーの操作を必要とせずに一貫性のあるデータ保護を確保できます。 | ||
| - 高度な分類子に基づく秘密度ラベル コントラクトや履歴書などの実際のコンテンツ タイプでトレーニングされた機械学習モデルを使用して、Microsoft 365 全体の機密データを自動的に識別してラベル付けし、手動タグ付けや静的ルールに依存することなく一貫性のある保護を実現します。 | ||
| ☐ | レコード管理 | |
| - Microsoft Purview レコード管理 組織は、保持ラベルを適用し、処理を自動化し、削除証明を提供することで、価値の高いビジネス、法律、または規制レコードを管理できます。これにより、Microsoft 365 コンテンツ全体で防御可能、監査可能、ポリシー主導のライフサイクル制御が保証されます | ||
| ☐ | インサイダー リスクの管理 | |
| - Microsoft Purview インサイダー リスク管理 組織は、偽名化とロールベースのアクセス制御を通じてユーザーのプライバシーを維持しながら、Microsoft 365 全体でシグナルを関連付けることで、悪意のある、または不注意なインサイダー アクティビティ (IP の盗難、データ漏えい、ポリシー違反など) を検出、調査、対処するのに役立ちます | ||
| ☐ | Adaptive Protection | |
| - Microsoft Purview EndPoint データ損失防止 Microsoft Purview DLP スイート内の機能で、機密情報の使用、共有、移動を監視および制御することで、オンボードされた Windows および macOS デバイスにデータ保護を拡張します。これにより、組織は危険な動作を検出し、エンドポイントでコンプライアンス ポリシーを直接適用できます |
手順 4 - Microsoft Purview eDiscoveryと監査
電子情報開示と監査 - Microsoft Purview eDiscoveryを使用すると、教育機関は、Exchange、SharePoint、OneDrive、Teams などの Microsoft 365 サービス全体でコンテンツを識別、保存、検索、分析、エクスポートすることで、法的、規制、および内部調査を管理できます。 Microsoft Purview 監査は、Microsoft 365 全体のユーザーと管理者のアクティビティを可視化し、フォレンジック調査、コンプライアンス監視、インサイダー リスク検出をサポートします。
| ☐ | 電子情報開示 | |
| - 電子情報開示-Premium 組織は、レビュー セット、機械学習、訴訟ホールド ワークフローなどのツールを使用して、Microsoft 365 全体のコンテンツを特定、保存、収集、分析、エクスポートすることで、複雑な法的および規制上の調査を管理できるようにします。 | ||
| - ケースの作成 法的またはコンプライアンスの調査を管理するための最初の手順。セキュリティで保護されたワークスペースが確立され、カストディアンの定義、法的ホールドの適用、コンテンツの収集と分析、ケースに関連するすべてのアクティビティの追跡が行われます。 | ||
| - コレクションの作成 親権データ ソースと非カストディアン データ ソースから関連する可能性のあるコンテンツを収集する検索条件を定義します。これにより、法的またはコンプライアンスの調査のためにレビュー セットにレビュー、分析、追加できます。 | ||
| - レビュー セットへのコミットMicrosoft Purview eDiscovery (Premium) のプロセスでは、検索またはコレクションから収集されたコンテンツがセキュリティで保護された一元化されたワークスペース (レビュー セットと呼ばれます) に追加され、法的またはコンプライアンスの調査中にさらに分析、タグ付け、編集、エクスポートが行われます。 | ||
| - データの分析と確認 収集されたコンテンツは、組み込みの分析、フィルター、タグ付けツールを使用して調査され、関連情報を識別し、パターンを検出し、機密データを編集し、法的またはコンプライアンスのレビューのために資料を準備します。 | ||
| - データのエクスポートレビュー セットからレビューおよびタグ付けされたコンテンツを安全にエクスポートするMicrosoft Purview eDiscovery (Premium) の最後の手順は、法的、規制、調査の使用のために、メタデータと監査ログと共に安全にエクスポートされ、一連の管理とコンプライアンスの整合性を確保します。 | ||
| ☐ | 監査 | |
| - ライセンスの確認と高度な監査の有効化ユーザーに適切なMicrosoft 365 A5または監査および電子情報開示アドオン ライセンスが割り当てられていることを確認し、対象となるアカウントに対して Microsoft Purview ポータルで高度な監査機能 (拡張リテンション期間や高価値イベント ログなど) がアクティブになっていることを確認します。 | ||
| - アクセス許可の割り当て Microsoft Purview ポータル内で監査閲覧者や監査マネージャーなどのロールをユーザーに付与し、セキュリティで保護された準拠した調査のためのロールベースのアクセス制御を維持しながら、監査ログを検索、表示、エクスポートできるようにします。 | ||
| - 重要なイベントのログ記録を有効にする メールボックス監査が適切に有効になっており、ライセンスを持つユーザーに対して高度な監査機能がアクティブ化されていることを確認することで、MailItemsAccessed、SendOnBehalf、SearchQueryInitiated などの価値の高いフォレンジック信号をキャプチャするようにシステムを構成します。 | ||
| - 監査ログ保持ポリシーを構成する Microsoft 365 ワークロード全体の監査ログに対して、既定で最大 1 年またはアドオンで 10 年間のカスタム保持期間を設定し、規制、法的、または調査の要件を満たすために重要なフォレンジック データを長期的に利用できるようにします。 | ||
| - フォレンジック調査の実行 高度な検索機能と監査ログの延長保持を使用して、Microsoft 365 全体のユーザーと管理者のアクティビティを追跡し、組織がイベントを再構築し、異常を検出し、詳細なタイムスタンプ付き証拠を使用して法的またはコンプライアンスに関する問い合わせをサポートできるようにします。 |
手順 5 - Information Protection
教育用 A5 ライセンスのInformation Protectionは、教育機関が Microsoft 365 サービス全体で機密データを分類、保護、保持、管理し、安全なコラボレーションと自動データ ガバナンスをサポートしながら、FERPA、GDPR、HIPAA などの規制を満たすのに役立つ、コンプライアンスとセキュリティ ツール (Microsoft Purview の一部) のスイートです。
| ☐ | 高度なメッセージ暗号化 | |
| Microsoft Purview Information Protectionは、組織が機密性の高い電子メールにカスタマイズ可能な暗号化とアクセス制御 (有効期限、失効、ブランド化など) を適用し、外部受信者との安全な通信を確保できるようにすることで、電子メールのセキュリティを強化する機能です。 | ||
| - 前提条件の確認Advanced Message Encryption (AME) の前提条件、organizationには、Microsoft 365 E5 Compliance、Microsoft 365 E5 Information Protection & ガバナンス、または Office 365/ が必要です。Microsoft 365 E5ライセンスと AME は、暗号化されたメッセージをセキュリティで保護された Web ポータル経由でルーティングして、有効期限と失効機能を有効にするように構成する必要があります。 | ||
| - Microsoft Purview Message Encryptionを有効にする 高度なメッセージ暗号化を使用してMicrosoft Purview Message Encryptionを有効にするには、管理者は暗号化とカスタム ブランド化テンプレートを適用するメール フロー ルールを定義し、外部受信者がセキュリティで保護された Web 経由で暗号化された電子メールに確実にアクセスできるようにする必要があります有効期限と失効の制御を適用できるポータル。 | ||
| - カスタム ブランド化テンプレートを作成する New-OMEConfiguration PowerShell コマンドレットを使用して、ロゴ、配色、免責事項、有効期限設定などのブランド化された要素を定義し、メール フロー ルールを介して暗号化された電子メールに適用して、信頼を強化し、メッセージ アクセスを制御します | ||
| - メール フロー ルールの構成 (トランスポート ルール) 管理者は、秘密度ラベル、キーワード、または受信者ドメインに基づいて送信メッセージに暗号化とブランド化テンプレートを自動的に適用する条件とアクションを Exchange 管理センターで定義し、組織のポリシーに対する安全な配信とコンプライアンスを確保します | ||
| - 有効期限と失効を有効にする 管理者は、PowerShell (特に -ExternalMailExpiryInDays パラメーターを持つ New-OMEConfiguration コマンドレット) を使用してカスタム ブランド化テンプレートを構成して、暗号化されたメッセージ ポータルを介して暗号化された電子メールに外部受信者がアクセスできる期間を強制する必要があります。その後、アクセスは自動的に取り消されます | ||
| - テストと監視 管理者は、テスト メッセージを使用してメール フロー ルールとブランド化テンプレートを検証し、監査ログとレポート ツールを使用して暗号化アクティビティと失効イベントを監視して、安全な配信とポリシーコンプライアンスを確保する必要があります | ||
| ☐ | 顧客キー | |
| Microsoft Purview Information Protectionのカスタマー キーは、組織が独自の暗号化キー (Azure Key Vault でホストされている) を使用して、2 つ目の暗号化制御レイヤーを追加できるようにする機能です。—Microsoft 365 データを保護し、特定の規制または契約上の要件に対するデータ アクセスとコンプライアンスをより細かく制御できるようにします。 | ||
| - リソース管理者Azure準備するには、最初にAzure Key Vaultを構成し、最小限のアクセス許可で適切なロールを割り当て、セキュリティで保護されたキー管理を確保してから、Microsoft 365 ワークロード全体で暗号化ポリシーを有効にする必要があります | ||
| - アクセス許可の割り当て管理者は、ロールベースのアクセス制御 (RBAC) を使用してAzure Key Vaultアクセスを構成し、暗号化キーへのアクセスを必要とするサービス プリンシパルまたはマネージド ID に必要な Get、Wrap Key、Unwrap Key のアクセス許可を付与する必要があります | ||
| - データ暗号化ポリシー (DEP) を作成する 管理者は PowerShell コマンドレットを使用して、Microsoft 365 ワークロード全体でカスタマー マネージド キーを適用する暗号化階層を定義し、Exchange メールボックス、Teams メッセージ、EDM データなどの機密データが組織のコンプライアンス要件に従って暗号化されるようにします | ||
| - ワークロードへのポリシーの割り当てExchange Online、SharePoint、OneDrive、Teams、Microsoft Purview Information Protectionなど、特定のサービスに合わせて調整されたデータ暗号化ポリシー (DEP) を作成して適用し、すべてのテナント ユーザーに対して選択したワークロード間でカスタマー マネージド キーが適用されるようにする | ||
| - キーの監視と管理管理者は、マネージド ID (システム割り当てまたはユーザー割り当て) でAzure Key Vaultを使用して、キー アクセスを制御し、Azure Monitor などのサービスのクラスター レベルで暗号化を構成し、監査ログとコンプライアンス レポートを通じてキーの使用状況とローテーションを追跡し、ワークロード全体でセキュリティで保護された準拠データ保護を確保する必要があります。 | ||
| - 省略可能: Microsoft-Managed キーにロールバックするMicrosoft Purview でカスタマー キーから Microsoft マネージド キーにロールバックするには、管理者は、Set-Mailbox -DataEncryptionPolicy $null コマンドレットを Exchange 用コマンドレットを使用するなど、ワークロードからデータ暗号化ポリシー (DEP) の割り当てを解除し、Azure Key Vault キーにアクセスし、Microsoft マネージド キーを使用してデータを再暗号化できるようにし、複数ワークロードの DEP が関与する場合はサポート要求も送信する必要があります。 |
セキュリティ コンプライアンス A5 アドオン
A5 Education ライセンスのセキュリティ コンプライアンス A5 アドオンは、Microsoft Defender for Endpoint、Defender for Office 365、Defender for Identity、Defender for Cloud Apps、Insider Risk Management 用の Microsoft Purview ツールなど、高度な保護とガバナンス機能を提供します。電子情報開示、監査、およびInformation Protection。お客様のような教育機関が脅威を管理し、データをセキュリティで保護し、Microsoft 365 環境全体の規制要件を満たすのに役立ちます。
| ☐ | Microsoft 365 A5 - セキュリティ | |
| Microsoft 365 A5セキュリティは、高度な脅威保護、ID とアクセス管理、情報保護、コンプライアンス ツール (Microsoft Defender for Endpoint、Defender for Office 365 など) を組み合わせた教育機関向けに設計された包括的なスイートです。、および Microsoft Purview — セキュリティで保護されたコラボレーションと規制コンプライアンスを確保しながら、サイバーセキュリティの脅威を検出、防止、対応するのに役立ちます。 | ||
| ☐ | Microsoft 365 A5 - コンプライアンス | |
| Microsoft 365 A5コンプライアンスは Microsoft 365 A3、データ ライフサイクル管理、電子情報開示、監査、インサイダー リスク管理、情報保護のための Microsoft Purview を活用した機能を追加することで、教育機関向けに調整された高度なスイートであり、学校が FERPA や GDPR などの規制要件を満たすのに役立ち、安全なコラボレーションとガバナンスを実現しますMicrosoft 365 ワークロード。 | ||
| ☐ | Microsoft 365 A5 - Information Protectionとガバナンス | |
| Microsoft 365 A5 – Information Protectionとガバナンスは、Microsoft Purview を通じて高度な機能を提供し、組織が Microsoft 365 サービス全体で機密データを分類、ラベル付け、保護、管理し、規制要件への準拠を確保し、機密ラベル、データ ライフサイクル管理、インサイダー リスクなどのツールを通じてデータ損失リスクを軽減します檄。 | ||
| ☐ | Microsoft 365 A5 - インサイダー リスク管理 | |
| Microsoft 365 A5 – Insider Risk Management を使用すると、組織は、Microsoft 365 全体でユーザー アクティビティ信号を関連付け、プライバシー保護分析を適用し、Microsoft Purview のアダプティブ保護とロールベースのアクセス制御を通じてポリシーを適用することで、データ リークや IP 盗難などの潜在的な内部脅威を検出、調査、対応できます。 | ||
| ☐ | Microsoft 365 A5 - 電子情報開示と監査 | |
| Microsoft 365 A5 – 電子情報開示と監査により、組織は Microsoft Purview の高度なツールを使用して、Microsoft 365 サービス全体のコンテンツを特定、保存、検索、分析し、法的、規制、および内部調査を行い、コンプライアンスとフォレンジックの準備をサポートする包括的な監査ログと保持ポリシーを有効にします。 |