重要
Microsoft Purview インサイダー リスク管理は、IP の盗難、データの漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意なインサイダー リスクを特定するために、さまざまな信号を関連付けます。 Insider Risk Management を使用すると、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシー バイ デザインで構築されており、ユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するのに役立つロールベースのアクセス制御と監査ログが用意されています。
この記事では、Microsoft Purview インサイダー リスク管理の制限について説明します。
グローバル設定
| アイテム | 極限 |
|---|---|
| ルックバック期間の制限 (Exchange Online)。 | 10 日 |
| 他のすべての信号のルックバック期間の制限。 | 90 日間 |
| カスタム インジケーターの最大数。 | 10 |
| カスタム インジケーターあたりのフィールドの最大数。 | 20 |
| 検出グループ内のアイテムの最大数 | 200 |
| 各グローバル除外リスト内のアイテムの最大数 (ドメイン、SharePoint サイト、ファイル パス、キーワード、およびファイルの種類)。 | リストごとに 500 |
| 優先度の高いユーザー グループに追加できるユーザーの最大数。 | 10,000 |
| インジケーターごとのバリアントの最大数。 | 3 |
トリガー (UTC 暦日ごと)
| アイテム | 極限 |
|---|---|
| カスタム インジケーター | 15,000 |
| その他のすべてのトリガー | 5,000 |
| HR コネクタを介して収集されたすべての信号 | 15,000 |
| organizationの最大トリガー ボリューム | 50,000 |
| Microsoft Entra IDから削除されたユーザー アカウント | 15,000 |
注:
制限事項は、個々のトリガーの種類に適用されます。
ポリシー テンプレートのスコープ内のユーザーの最大数
| テンプレート名 | 極限 |
|---|---|
| 優先ユーザーによるデータ漏洩 | 1,000 |
| 危険なユーザーによるデータ 漏洩 | 7,500 |
| データ漏えい | 15,000 |
| 離職するユーザーによるデータ盗難 | 20,000 |
| フォレンジック証拠 | 無制限 |
| 患者データの誤用 (プレビュー) | 5,000 |
| 危険な AI の使用 | 10,000 |
| 危険なブラウザーの使用 (プレビュー) | 7,000 |
| 離職するユーザーによるセキュリティ ポリシー違反 | 15,000 |
| 優先ユーザーによるセキュリティ ポリシー違反 | 1,000 |
| 危険なユーザーによるセキュリティ ポリシー違反 | 7,500 |
| セキュリティ ポリシー違反 | 1,000 |
注:
ポリシーには任意の数のユーザーを追加できます。 この制限は、ポリシー テンプレートの スコープ内 のユーザー (トリガーイベントの後にスコープ内に持ち込まれたユーザー) に適用されます。
その他のポリシー制限
| アイテム | 極限 |
|---|---|
| テンプレートの種類ごとに作成できるポリシーの最大数。 | 100 |
| 優先度ファイル拡張子の最大数。 | 50 |
| 優先度の高い機密情報の種類の最大数。 | 50 |
| 優先度の秘密度ラベルの最大数。 | 50 |
| 優先度の高いサイトの最大数。 | 50 |
| 優先度トレーニング可能な分類子の最大数。 | 5 |
注:
[ポリシー] タブ の [スコープ内のユーザー ] 列には、 ポリシー に含まれるユーザーの数が表示されます。
適応型保護
| アイテム | 極限 |
|---|---|
| 各リスク レベルのデータ損失防止 (DLP) ポリシーに含めることができるユーザーの最大数。 | 10,000 |
手動でのユーザー スコアリング
| アイテム | 極限 |
|---|---|
| 手動でスコア付けできるユーザーの最大数。 | 4,000 |
場合
| アイテム | 極限 |
|---|---|
| アクティブなケースの最大数。 | 100 |
エクスポート
| アイテム | 極限 |
|---|---|
| [アラート] ページからエクスポートできる アラートの 最大数。 | 1,000 |
| アクティビティ エクスプローラーから CSV ファイルにエクスポートできるログの最大数。 | 100,000 |
| [ユーザー ] ページから エクスポートできるユーザーの最大数。 | 1,000 |
アラート、ケース、および関連する成果物の保持制限
Insider Risk Management のアラートが年齢を上げ、リスクの高い可能性のあるアクティビティを最小限に抑えるための価値は、ほとんどの組織で減少します。 逆に、アクティブなケースと関連するアーティファクト (アラート、インサイト、アクティビティ) は常に組織にとって価値があり、自動有効期限を設けるべきではありません。 この値には、アクティブなケースに関連付けられているすべてのユーザーのアクティブな状態のすべての将来のアラートと成果物が含まれます。
制限された現在の値を提供する古いアイテムの数を最小限に抑えるために、Insider リスク管理のアラート、ケース、およびユーザー レポートには、次の保持制限が適用されます。
| アイテム | 保有期間 |
|---|---|
| アクティブなケース (および関連する成果物) | 無期限のリテンション期間、期限切れはありません。 |
| [確認が必要] または [無視された状態] のアラート | アラートの作成から 120 日後、自動的に削除されます。 |
| 解決済みのケース (および関連する成果物) | ケース解決から 120 日後、自動的に削除されます。 |
| ユーザー アクティビティ レポート | レポートの作成から 120 日後、自動的に削除されます。 |
コネクタ
| アイテム | 極限 |
|---|---|
| API が処理する JSON ファイル内のレコードの最大数 | 50,000 |