次の方法で共有

物理バッジ データをインポートするコネクタを設定する

従業員の未加工の物理アクセス イベントや、organizationのバッジ システムによって生成された物理アクセス アラームなど、物理的な不正データをインポートするデータ コネクタを設定します。 物理的なアクセス ポイントの例としては、建物へのエントリ、またはサーバー ルームまたはデータ センターへのエントリがあります。 Microsoft Purview Insider Risk Management ソリューションでは、物理的な悪意のあるデータを使用して、organization内の悪意のあるアクティビティやデータの盗難からorganizationを保護します。

物理バッジ コネクタの設定は、次のタスクで構成されます。

  • Microsoft Entra ID でアプリを作成し、物理的なバッジ データを含む JSON ペイロードを受け入れる API エンドポイントにアクセスします。
  • 物理バッジ データ コネクタによって定義されたスキーマを使用して JSON ペイロードを作成します。
  • Microsoft Purview ポータルで物理バッジ データ コネクタを作成します。
  • スクリプトを実行して、物理バッジ データを API エンドポイントにプッシュします。
  • 必要に応じて、スクリプトを自動的に実行するようにスケジュールして、現在物理的な不良データをインポートします。

コネクタを設定する前に

  • 手順 3. で物理バッジ コネクタを作成するユーザーに、Data Connector 管理 ロールを割り当てます。 このロールは、Microsoft Purview ポータルの [データ コネクタ ] ページにコネクタを追加するために必要です。 既定では、複数の役割グループにこのロールが含まれます。 これらの役割グループの一覧については、「Microsoft Defender for Office 365および Microsoft Purview コンプライアンスのロール」を参照してください。 または、organizationの管理者がカスタム ロール グループを作成し、Data Connector 管理 ロールを割り当て、適切なユーザーをメンバーとして追加することもできます。 手順については、以下を参照してください。

    注:

    Data Connector 管理 ロールは、現在、米国政府機関 GCC High および DoD 環境ではサポートされていません。 そのため、GCC High 環境と DoD 環境で HR コネクタを作成するユーザーに、Exchange Onlineのメールボックスインポートエクスポートロールを割り当てます。 既定では、このロールが割り当てられているExchange Onlineのロール グループはありません。 メールボックスインポートエクスポートロールは、Exchange Onlineの組織管理役割グループに追加できます。 または、新しい役割グループを作成し、メールボックスインポートエクスポートロールを割り当て、適切なユーザーをメンバーとして追加することもできます。 詳細については、「Exchange Onlineでの役割グループの管理」の「役割グループの作成」または「役割グループの変更」セクションを参照してください。

  • 手順 2. で説明されているように、organizationの物理バッジ システムから (毎日) データを取得またはエクスポートする方法を決定し、JSON ファイルを作成します。 手順 4 で実行したスクリプトは、JSON ファイル内のデータを API エンドポイントにプッシュします。

  • 手順 4 で実行したサンプル スクリプトでは、JSON ファイルからコネクタ API に物理的な不良データがプッシュされ、インサイダー リスク管理ソリューションで使用できることを理解してください。 このサンプル スクリプトは、Microsoft 標準サポート プログラムまたはサービスではサポートされていません。 これは、いかなる種類の保証もなく現状有姿で提供されます。 さらに、Microsoft は、商品性、特定目的への適合性を含む一切の黙示の保証をいたしかねます。 サンプル スクリプトとドキュメントの使用またはパフォーマンスに起因するすべてのリスクを想定します。 Microsoft、その作成者、またはスクリプトの作成、制作、または配信に関与する他の誰かが、ビジネス利益の損失、ビジネスの中断、ビジネス情報の損失、またはサンプルスクリプトまたはドキュメントの使用または使用不能によって生じるその他の金銭的損失などの損害に対して責任を負う場合は、一切の責任を負いません。 このような損害の可能性について Microsoft から通知を受けた場合でも、この問題が発生する可能性があります。

  • このコネクタは、Microsoft 365 US Government クラウドの GCC 環境で使用できます。 サード パーティのアプリケーションとサービスでは、Microsoft 365 インフラストラクチャの外部にあるサード パーティのシステムにorganizationの顧客データを格納、送信、処理する必要があります。 したがって、Microsoft Purview とデータ保護のコミットメントは、これらのサード パーティのシステムには対応していません。 Microsoft は、この製品を使用してサード パーティ製アプリケーションに接続することを表明していません。これらのサード パーティ製アプリケーションが FEDRAMP に準拠していることを意味します。

手順 1: Microsoft Entra ID でアプリを作成する

まず、Microsoft Entra ID で新しいアプリを作成して登録します。 アプリは、手順 3 で作成した物理的なバッジ コネクタに対応します。 アプリを作成すると、Microsoft Entra ID は、物理的なバッジ データを含む JSON ペイロードのプッシュ要求を認証できます。 このMicrosoft Entra アプリの作成時に、次の情報を保存します。 これらの値は、後の手順で使用します。

  • Microsoft Entra アプリケーション ID (アプリ ID またはクライアント ID とも呼ばれます)
  • アプリケーション シークレットMicrosoft Entra (クライアント シークレットとも呼ばれます)
  • テナント ID ( ディレクトリ ID とも呼ばれます)

Microsoft Entra ID でアプリを作成する手順については、「Microsoft ID プラットフォームにアプリケーションを登録する」を参照してください。

手順 2: 物理的な不良データを含む JSON ファイルを準備する

この手順では、従業員の物理的なアクセス データに関する情報を含む JSON ファイルを作成します。 「開始する前に」セクションで説明されているように、organizationの物理バッジ システムからこの JSON ファイルを生成する方法を決定する必要があります。

注:

英語以外の文字を JSON ファイルに追加しないでください。 コネクタは英語の文字のみをサポートします。 JSON に英語以外の文字が含まれている場合、データ インジェストが失敗する可能性があります。

JSON ファイルは、コネクタで必要なスキーマ定義に準拠している必要があります。 次の表では、JSON ファイルに必要なスキーマ プロパティについて説明します。

プロパティ 説明 データ型
UserId 従業員は、システム全体で複数のデジタル ID を持つことができます。 入力には、ソース システムによって既に解決されたMicrosoft Entra ID が必要です。 UPN またはメール アドレス
AssetId 物理資産または物理アクセス ポイントの参照 ID。 英数字の文字列
AssetName 物理資産または物理アクセス ポイントのフレンドリ名。 英数字の文字列
EventTime アクセスのタイム スタンプ。 日付と時刻 (UTC 形式)
AccessStatus Success または の値Failed 文字列

次の例は、必要なスキーマに準拠する JSON ファイルを示しています。

[
    {
        "UserId":"sarad@contoso.com",
        "AssetId":"Mid-Sec-7",
        "AssetName":"Main Building 1st Floor Mid Section",
        "EventTime":"2019-07-04T01:57:49",
        "AccessStatus":"Failed"
    },
    {
        "UserId":"pilarp@contoso.com",
        "AssetId":"Mid-Sec-7",
        "AssetName":"Main Building 1st Floor Mid Section",
        "EventTime":"2019-07-04T02:57:49",
        "AccessStatus":"Success"
    }
]

手順 3 で物理バッジ コネクタを作成するときに、ワークフローから JSON ファイルのスキーマ定義をダウンロードすることもできます。

{
   "title" : "Physical Badging Signals",
   "description" : "Access signals from physical badging systems",
   "DataType" : {
      "description" : "Identify what is the data type for input signal",
      "type" : "string",
   },
   "type" : "object",
   "properties": {
      "UserId" : {
         "description" : "Unique identifier AAD Id resolved by the source system",
         "type" : "string",
      },
      "AssetId": {
         "description" : "Unique ID of the physical asset/access point",
         "type" : "string",
      },
      "AssetName": {
         "description" : "friendly name of the physical asset/access point",
         "type" : "string",
      },
      "EventTime" : {
         "description" : "timestamp of access",
         "type" : "string",
      },
      "AccessStatus" : {
         "description" : "what was the status of access attempt - Success/Failed",
         "type" : "string",
      },
   }
   "required" : ["UserId", "AssetId", "EventTime" "AccessStatus"]
}

手順 3: 物理バッジ コネクタを作成する

この手順では、Microsoft Purview ポータルで物理バッジ コネクタを作成します。 手順 4 でスクリプトを実行すると、この手順で作成した JSON ファイルが処理され、手順 1 で構成した API エンドポイントにプッシュされます。 コネクタの作成時に生成された JobId を必ずコピーしてください。 スクリプトを実行するときに JobId を使用します。

  1. [Microsoft Purview ポータル] にサインインします。

  2. [設定>Data コネクタ] を選択します

  3. [ 個人用コネクタ] を選択し、[ コネクタの追加] を選択します。

  4. 一覧から [ 物理バッジ] を選択します。

  5. [ 認証資格情報 ] ページで、次の情報を入力し、[ 次へ] を選択します。

    1. 手順 1 で作成した Azure アプリのMicrosoft Entra アプリケーション ID を入力または貼り付けます。

    2. 参照のサンプル スキーマをダウンロードして JSON ファイルを作成します。

    3. 物理バッジ コネクタの一意の名前を入力します。

  6. [ レビュー ] ページで、設定を確認し、[完了] を選択してコネクタを作成 します

  7. コネクタが作成されたことを確認する状態ページを表示します。 このページには、ジョブ ID も含まれています。 ジョブ ID は、このページまたはコネクタのポップアップ ページからコピーできます。 スクリプトの実行時には、このジョブ ID が必要です。

    状態ページには、スクリプトへのリンクも含まれています。 JSON ファイルを API エンドポイントにポストする方法については、このスクリプトを参照してください。

  8. [完了] を選択します。

    [コネクタ] タブの一覧に新しい コネクタが 表示されます。

  9. 作成した物理的なバッジ コネクタを選択して、コネクタに関するプロパティやその他の情報を含むポップアップ ページを表示します。

手順 4: スクリプトを実行して、物理的な不良データを含む JSON ファイルを POST する

物理バッジ コネクタを設定するには、JSON ファイル (手順 2 で作成) 内の物理バッジ データを API エンドポイント (手順 1 で作成) にプッシュするスクリプトを実行します。 リファレンスのサンプル スクリプトを提供します。 これを使用するか、独自のスクリプトを作成して JSON ファイルを API エンドポイントに投稿することもできます。

スクリプトを実行すると、物理的な不正データを含む JSON ファイルが Microsoft 365 organizationにプッシュされ、インサイダー リスク管理ソリューションからアクセスできるようになります。 物理的な悪いデータを毎日投稿することをお勧めします。 プロセスを自動化して、物理的なバッジ システムから JSON ファイルを毎日生成し、スクリプトをスケジュールしてデータをプッシュできます。

注:

API は、最大 50,000 個のレコードを含む JSON ファイルを処理できます。

  1. この GitHub サイトに移動して、サンプル スクリプトにアクセスします。

  2. [ Raw ] ボタンを選択して、スクリプトをテキスト ビューに表示します。

  3. サンプル スクリプト内のすべての行をコピーし、テキスト ファイルに保存します。

  4. 必要に応じて、organizationのサンプル スクリプトを変更します。

  5. .ps1 のファイル名サフィックスを使用して、テキスト ファイルをWindows PowerShell スクリプト ファイルとして保存します(たとえば、PhysicalBadging.ps1)。

  6. ローカル コンピューターでコマンド プロンプトを開き、スクリプトを保存したディレクトリに移動します。

  7. 次のコマンドを実行して、JSON ファイル内の物理的な不良データを Microsoft クラウドにプッシュします。例えば:

    .\PhysicalBadging.ps1 -tenantId "<Tenant Id>" -appId "<Azure AD App Id>" -appSecret "<Azure AD App Secret>" -jobId "Job Id" -jsonFilePath "<records file path>"

    次の表では、このスクリプトで使用するパラメーターとその必要な値について説明します。 これらの値については、前の手順で取得した情報を使用します。

    パラメーター 説明
    tenantId これは、手順 1 で取得した Microsoft 365 organizationの ID です。 Microsoft Entra管理センターの [概要] ブレードで、organizationの tenantId を取得することもできます。 この値は、organizationを識別します。
    appId これは、手順 1 の Microsoft Entra ID で作成したアプリのMicrosoft Entra アプリケーション ID です。 Microsoft Entra ID は、スクリプトが Microsoft 365 organizationにアクセスしようとしたときに認証にこの値を使用します。
    appSecret これは、手順 1 でMicrosoft Entra ID で作成したアプリのMicrosoft Entra アプリケーション シークレットです。 Microsoft Entra ID では、認証にもこの値が使用されます。
    jobId これは、手順 3 で作成した物理バッジ コネクタのジョブ ID です。 このスクリプトでは、この値を使用して、Microsoft クラウドにプッシュする物理的なバッジ データを物理バッジ コネクタに関連付けます。
    JsonFilePath これは、手順 2 で作成した JSON ファイルのローカル コンピューター (スクリプトの実行に使用するファイル) のファイル パスです。 このファイルは、手順 3 で説明されているサンプル スキーマに従う必要があります。

    各パラメーターの実際の値を使用した物理バッジ コネクタ スクリプトの構文の例を次に示します。

    .\PhysicalBadging.ps1 -tenantId d5723623-11cf-4e2e-b5a5-01d1506273g9 -appId 29ee526e-f9a7-4e98-a682-67f41bfd643e -appSecret MNubVGbcQDkGCnn -jobId b8be4a7d-e338-43eb-a69e-c513cd458eba -jsonFilePath 'C:\Users\contosoadmin\Desktop\Data\physical_badging_data.json'

    アップロードが成功した場合、スクリプトは アップロード成功 メッセージを表示します。

    複数の JSON ファイルがある場合は、ファイルごとにスクリプトを実行します。

手順 5: 物理バッジ コネクタを監視する

物理バッジ コネクタを作成し、物理的な不良データをプッシュした後、Microsoft Purview ポータルでコネクタを表示し、状態をアップロードできます。 スクリプトを定期的に自動的に実行するようにスケジュールする場合は、スクリプトが最後に実行された後の現在の状態を表示することもできます。

  1. [Microsoft Purview ポータル] にサインインします。

  2. [設定>Data コネクタ] を選択します

  3. [ マイ コネクタ] を選択し、ポップアップ ページを表示するために作成した物理バッジ コネクタを選択します。 このページには、コネクタに関するプロパティと情報が含まれています。

  4. [ 最終インポート] で、[ ログのダウンロード ] リンクを選択して、コネクタの状態ログを開く (または保存) します。 このログには、スクリプトが実行されるたびに関する情報が含まれており、JSON ファイルから Microsoft クラウドにデータがアップロードされます。

    物理バッジ コネクタ ログ ファイルには、アップロードされた JSON ファイルのオブジェクトの数が表示されます。

    [RecordsSaved] フィールドには、スクリプトがアップロードする JSON ファイル内のレコードの数が表示されます。 たとえば、JSON ファイルに 4 つのレコードが含まれている場合、スクリプトが JSON ファイル内のすべてのレコードを正常にアップロードすると、 RecordsSaved フィールドの値は 4 になります。 [RecordsSkipped] フィールドには、スクリプトがスキップする JSON ファイル内のレコードの数が表示されます。 JSON ファイル内のレコードをアップロードする前に、スクリプトによってEmail ID が検証されます。 無効なEmail ID を持つレコードはすべてスキップされ、対応するEmail ID が EmailIdsNotSaved フィールドに表示されます。

手順 4 でスクリプトを実行しなかった場合は、[ 最後のインポート] にスクリプトをダウンロードするためのリンクが表示されます。 スクリプトをダウンロードし、手順 4 の手順に従って実行できます。

(省略可能)手順 6: スクリプトを自動的に実行するようにスケジュールする

インサイダー リスク管理ソリューションなどのツールに、organizationからの最新の物理的な不正データが常に含まれるようにするには、スクリプトが 1 日に 1 回など、定期的に自動的に実行されるようにスケジュールします。 このスケジュールでは、同様の (同じではないにしても) スケジュールに従って、物理的な不良データを JSON ファイルに更新して、organizationを離れる従業員に関する最新情報が含まれるようにする必要があります。 目標は、物理的なバッジ コネクタがインサイダー リスク管理ソリューションで使用できるように、最新の物理的なバッジ データをアップロードすることです。

Windows のタスク スケジューラ アプリを使用して、スクリプトを毎日自動的に実行します。

  1. ローカル コンピューターで、[Windows スタート ] ボタンを選択し、「 タスク スケジューラ」と入力します。

  2. タスク スケジューラ アプリを選択して開きます。

  3. [アクション] セクションで、[タスクの作成] を選択します

  4. [ 全般 ] タブで、スケジュールされたタスクのわかりやすい名前 ( 物理バッジ コネクタのスクリプトなど) を入力します。 オプションの説明を追加することもできます。

  5. [ セキュリティ オプション] で、次の操作を行います。

    1. コンピューターにログオンしたときにのみスクリプトを実行するか、ログオンした場合に実行するかを決定します。

    2. [ 最高の特権で実行] チェック ボックスがオンになっていることを確認します。

  6. [トリガー] タブ 選択し、[ 新規] を選択し、次の操作を行います。

    1. [ 設定] で [ 毎日 ] オプションを選択し、スクリプトを初めて実行する日付と時刻を選択します。 スクリプトは、指定した時刻に毎日実行されます。

    2. [ 詳細設定] で、[ 有効] チェック ボックスがオンになっていることを確認します。

    3. OK を選択します。

  7. [ アクション ] タブを選択し、[ 新規] を選択し、次の操作を行います。

    物理バッジ コネクタ スクリプトの新しいスケジュールされたタスクを作成するためのアクション設定。

    1. [ アクション ] ドロップダウン リストで、[ プログラムの開始] が選択されていることを確認します。

    2. [ プログラム/スクリプト ] ボックスで [ 参照] を選択し、次の場所に移動して、パスがボックスに表示されるように選択します: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

    3. [ 引数の追加 (省略可能)] ボックスに、手順 4 で実行したのと同じスクリプト コマンドを貼り付けます。 たとえば、.\PhysicalBadging.ps1-tenantId "d5723623-11cf-4e2e-b5a5-01d1506273g9" -appId "c12823b7-b55a-4989-faba-02de41bb97c3" -appSecret "MNubVGbcQDkGCnn" -jobId "e081f4f4-3831-48d6-7bb3-fcfab1581458" -jsonFilePath "C:\Users\contosoadmin\Desktop\Data\physical_badging_data.json" のように指定します。

    4. [ Start in (省略可能)] ボックスに 、手順 4 で実行したスクリプトのフォルダーの場所を貼り付けます。 たとえば、「 C:\Users\contosoadmin\Desktop\Scripts 」のように入力します。

    5. [ OK] を 選択して、新しいアクションの設定を保存します。

  8. [ タスクの作成 ] ウィンドウで、[ OK] を 選択してスケジュールされたタスクを保存します。 ユーザー アカウントの資格情報を入力するように求められる場合があります。

    新しいタスクがタスク スケジューラ ライブラリに表示されます。

    新しいタスクがタスク スケジューラ ライブラリに表示されます。

スクリプトが最後に実行され、次回実行がスケジュールされている時刻が表示されます。 タスクをダブルクリックして編集できます。

また、コンプライアンス センターの対応する物理バッジ コネクタのポップアップ ページでスクリプトが最後に実行された時刻を確認することもできます。

  • Last updated on