インサイダー リスクの管理の概要Get started with insider risk management

インサイダー リスク管理ポリシーを使用して、組織内のリスクアラートに対応するリスクの高いアクティビティと管理ツールを特定します。Use insider risk management policies to identify risky activities and management tools to act on risk alerts in your organization. 前提条件を設定し、インサイダー リスク管理ポリシーを構成するには、次の手順を実行します。Complete the following steps to set up prerequisites and configure an insider risk management policy.

重要

Microsoft 365 インサイダー リスク管理ソリューションは、顧客がユーザー レベルで内部ガバナンスを容易にするのに役立つテナント レベルのオプションを提供します。The Microsoft 365 insider risk management solution provides a tenant level option to help customers facilitate internal governance at the user level. テナント レベルの管理者は、組織のメンバーにこのソリューションへのアクセスを提供するアクセス許可を設定し、Microsoft 365 コンプライアンス センターでデータ コネクタをセットアップして、危険な可能性のあるアクティビティのユーザー レベルの識別をサポートするために関連データをインポートできます。Tenant level administrators can set up permissions to provide access to this solution for members of your organization and set up data connectors in the Microsoft 365 compliance center to import relevant data to support user level identification of potentially risky activity. お客様は、個人のユーザーの行動、特性、または雇用に関連する業績に関する洞察を管理者が計算し、組織内の他のユーザーが利用できるような認識を与えます。Customers acknowledge insights related to the individual user's behavior, character, or performance materially related to employment can be calculated by the administrator and made available to others in the organization. また、お客様は、インサイダー リスク管理サービスからの洞察に頼らず、個人のユーザーの行動、特性、または雇用に関する大まかに業績に関連する独自の完全な調査を実施する必要があるという認識を持っています。In addition, customers acknowledge that they must conduct their own full investigation related to the individual user's behavior, character, or performance materially related to employment, and not just rely on insights from the insider risk management service. お客様は、Microsoft 365 インサイダー リスク管理サービス、および個人のユーザー識別に関連する法律や修復アクションを含むすべての適用法に準拠して、関連する機能またはサービスを使用する責任を負います。Customers are solely responsible for using the Microsoft 365 insider risk management service, and any associated feature or service in compliance with all applicable laws, including laws relating to individual user identification and any remediation actions.

インサイダー リスク ポリシーが組織のリスク管理に役立つ方法について詳しくは 、Microsoft 365 のインサイダー リスク管理に関するページをご覧ください。For more information about how insider risk policies can help you manage risk in your organization, see Insider risk management in Microsoft 365.

サブスクリプションとライセンスSubscriptions and licensing

インサイダー リスク管理を開始する前に 、Microsoft 365 サブスクリプション とアドオンを確認する必要があります。Before you get started with insider risk management, you should confirm your Microsoft 365 subscription and any add-ons. インサイダー リスク管理にアクセスして使用するには、組織に次のいずれかのサブスクリプションまたはアドオンが必要です。To access and use insider risk management, your organization must have one of the following subscriptions or add-ons:

  • Microsoft 365 E5 サブスクリプション (有料版または試用版)Microsoft 365 E5 subscription (paid or trial version)
  • Microsoft 365 E3 サブスクリプション + Microsoft 365 E5 コンプライアンス アドオンMicrosoft 365 E3 subscription + the Microsoft 365 E5 Compliance add-on
  • Microsoft 365 E3 サブスクリプション + Microsoft 365 E5 Insider Risk Management アドオンMicrosoft 365 E3 subscription + the Microsoft 365 E5 Insider Risk Management add-on
  • Microsoft 365 A5 サブスクリプション (有料版または試用版)Microsoft 365 A5 subscription (paid or trial version)
  • Microsoft 365 A3 サブスクリプション + Microsoft 365 A5 コンプライアンス アドオンMicrosoft 365 A3 subscription + the Microsoft 365 A5 Compliance add-on
  • Microsoft 365 A3 サブスクリプション + Microsoft 365 A5 Insider Risk Management アドオンMicrosoft 365 A3 subscription + the Microsoft 365 A5 Insider Risk Management add-on
  • Microsoft 365 G5 サブスクリプション (有料版または試用版)Microsoft 365 G5 subscription (paid or trial version)
  • Microsoft 365 G3 サブスクリプション + Microsoft 365 G5 コンプライアンス アドオンMicrosoft 365 G3 subscription + the Microsoft 365 G5 Compliance add-on
  • Microsoft 365 G3 サブスクリプション + Microsoft 365 G5 Insider Risk Management アドオンMicrosoft 365 G3 subscription + the Microsoft 365 G5 Insider Risk Management add-on
  • Office 365 E3 サブスクリプション + Enterprise Mobility and Security E3 + Microsoft 365 E5 コンプライアンス アドオンOffice 365 E3 subscription + Enterprise Mobility and Security E3 + the Microsoft 365 E5 Compliance add-on

インサイダー リスク管理ポリシーに含まれるユーザーには、上記のいずれかのライセンスが割り当てられている必要があります。Users included in insider risk management policies must be assigned one of the licenses above.

既存の Microsoft 365 Enterprise E5 プランをお持ちで、インサイダー リスク管理を試す場合は、既存のサブスクリプションに Microsoft 365を追加するか、Microsoft 365 Enterprise E5 の試用版にサインアップできます。If you don't have an existing Microsoft 365 Enterprise E5 plan and want to try insider risk management, you can add Microsoft 365 to your existing subscription or sign up for a trial of Microsoft 365 Enterprise E5.

手順 1: インサイダー リスク管理のアクセス許可を有効にするStep 1: Enable permissions for insider risk management

重要

役割グループを構成した後、役割グループのアクセス許可が組織全体の割り当てられたユーザーに適用されるのに最大 30 分かかる場合があります。After configuring your role groups, it may take up to 30 minutes for the role group permissions to apply to assigned users across your organization.

インサイダー リスク管理機能を管理するためのアクセス許可を構成するために使用される役割グループは 4 種類です。There are four roles groups used to configure permissions to manage insider risk management features. これらの構成手順を続行するには、まずテナント管理者が Insider Risk Management 役割グループまたは Insider Risk Management Admin 役割グループに割り当てる必要があります。To continue with these configuration steps, your tenant administrators must first assign you to the Insider Risk Management or Insider Risk Management Admin role group. 初期構成後にインサイダー リスク管理機能にアクセスして管理するには、ユーザーが少なくとも 1 つのインサイダー リスク管理役割グループのメンバーである必要があります。To access and manage insider risk management features after initial configuration, users must be a member of at least one insider risk management role group.

コンプライアンス管理チームの構造に応じて、ユーザーを特定の役割グループに割り当て、さまざまな一連のインサイダー リスク機能を管理するオプションがあります。Depending on the structure of your compliance management team, you have options to assign users to specific role groups to manage different sets of insider risk management features. Office 365 セキュリティ & コンプライアンス センターの [アクセス許可] タブを表示し、役割グループを管理するには、組織 の管理役割グループに割り当てられているか、役割管理の役割が割り当てられている必要があります。 To view the Permissions tab in the Office 365 Security & Compliance Center and manage role groups, you need to be assigned to the Organization Management role group or need to be assigned the Role Management role. インサイダー リスク管理を構成する場合は、次の役割グループオプションから選択します。Choose from these role group options when configuring insider risk management:

役割グループRole group ロール権限Role permissions
インサイダー リスク管理Insider Risk Management この役割グループを使用して、単一グループで組織のインサイダー リスク管理を管理します。Use this role group to manage insider risk management for your organization in a single group. 指定された管理者、アナリスト、および調査担当者のすべてのユーザー アカウントを追加して、インサイダー リスク管理権限を 1 つのグループに構成できます。By adding all user accounts for designated administrators, analysts, and investigators, you can configure insider risk management permissions in a single group. この役割グループには、すべてのインサイダー リスク管理権限の役割が含まれています。This role group contains all the insider risk management permission roles. この構成は、インサイダー リスク管理をすばやく開始する最も簡単な方法であり、個別のユーザー グループに対して個別のアクセス許可を定義する必要はない組織に適しています。This configuration is the easiest way to quickly get started with insider risk management and is a good fit for organizations that do not need separate permissions defined for separate groups of users.
Insider Risk Management AdminInsider Risk Management Admin この役割グループを使用してインサイダー リスク管理を最初に構成し、その後インサイダー リスク管理者を定義済みのグループに分離します。Use this role group to initially configure insider risk management and later to segregate insider risk administrators into a defined group. この役割グループのユーザーは、インサイダー リスク管理ポリシーとグローバル設定を作成、読み取り、更新、および削除できます。Users in this role group can create, read, update, and delete insider risk management policies, and global settings.
インサイダー リスク管理アナリストInsider Risk Management Analysts このグループを使用して、インサイダー リスク ケース アナリストとして機能するユーザーに権限を割り当てます。Use this group to assign permissions to users that will act as insider risk case analysts. この役割グループのユーザーは、すべてのインサイダー リスク管理アラート、ケース、および通知テンプレートにアクセスできます。Users in this role group can access all insider risk management alerts, cases, and notices templates. インサイダー リスク コンテンツ エクスプローラーにアクセスできません。They cannot access the insider risk Content Explorer.
インサイダー リスク管理調査担当者Insider Risk Management Investigators このグループを使用して、インサイダー リスク データ調査担当者として機能するユーザーに権限を割り当てます。Use this group to assign permissions to users that will act as insider risk data investigators. この役割グループのユーザーは、すべてのインサイダー リスク管理の警告、ケース、通知テンプレート、およびコンテンツ エクスプローラーにアクセスできます。Users in this role group can access all insider risk management alerts, cases, notices templates, and the Content Explorer.

注意

これらの役割グループは、Privileged Identity Management (PIM) では現在サポートされていません。These role groups are currently not supported on Privileged Identity Management (PIM). PIM の詳細については、「Privileged Identity Management での Azure AD ロールの割り当 て」を参照してくださいTo learn more about PIM, see Assign Azure AD roles in Privileged Identity Management.

インサイダー リスク管理役割グループにユーザーを追加するAdd users to an insider risk management role group

インサイダー リスク管理役割グループにユーザーを追加するには、次の手順を実行します。Complete the following steps to add users to an insider risk management role group:

  1. Microsoft https://protection.office.com/permissions 365 組織の管理者アカウントの資格情報を使用してサインインします。Sign into https://protection.office.com/permissions using credentials for an admin account in your Microsoft 365 organization.

  2. セキュリティ コンプライアンス センター & で、[アクセス許可] に 移動しますIn the Security & Compliance Center, go to Permissions. Office 365 で役割を表示および管理するリンクを選択します。Select the link to view and manage roles in Office 365.

  3. ユーザーを追加するインサイダー リスク管理役割グループを選択し、[役割グループの編集 ] を選択しますSelect the insider risk management role group you want to add users to, then select Edit role group.

  4. 左側 のナビゲーション ウィンドウで [ メンバーの選択] を選択し、[編集] を 選択しますSelect Choose members from the left navigation pane, then select Edit.

  5. [ 追加] を選択し、役割グループに追加するすべてのユーザーのチェック ボックスをオンにします。Select Add and then select the checkbox for all users you want to add to the role group.

  6. [追加] を選択し、[完了] を選択します。Select Add, then select Done.

  7. [ 保存] を 選択して、ユーザーを役割グループに追加します。Select Save to add the users to the role group. [閉 じる] を 選択して手順を完了します。Select Close to complete the steps.

手順 2: 監査ログを有効にするStep 2: Enable the audit log

インサイダー リスク管理は、ポリシーで構成されたユーザーの分析情報とアクティビティの監査ログを使用します。Insider risk management uses audit logs for user insights and activities configured in policies. 監査ログは、インサイダー リスク管理ポリシーに関連付けられているすべてのアクティビティの概要、またはポリシーが変更された場合の概要です。The audit logs are a summary of all activities associated with an insider risk management policy or anytime a policy is changed.

監査を有効にする詳しい手順については、「監査ログ検索を有効またはオフにする」 を参照してくださいFor step-by-step instructions to turn on auditing, see Turn audit log search on or off. 監査を有効にすると、監査ログの準備中で、準備が完了してから数時間で検索を実行できるというメッセージが表示されます。After you turn on auditing, a message is displayed that says the audit log is being prepared and that you can run a search in a couple of hours after the preparation is complete. この操作は 1 回だけ実行する必要があります。You only have to do this action once. 監査ログの使用の詳細については、「監査ログの検索」 を参照してくださいFor more information about the using the audit log, see Search the audit log.

手順 3: テンプレートの前提条件を構成するStep 3: Configure prerequisites for templates

ほとんどのインサイダー リスク管理テンプレートには、関連するアクティビティ アラートを生成するためにポリシー インジケーター用に構成する必要がある前提条件があります。Most insider risk management templates have prerequisites that must be configured for policy indicators to generate relevant activity alerts. 組織で構成するポリシーに応じて、適切な前提条件を構成します。Configure the appropriate prerequisites depending on the policies you plan to configure for your organization.

Microsoft 365 HR コネクタを構成するConfigure Microsoft 365 HR connector

インサイダー リスク管理は、サードパーティのリスク管理および人事プラットフォームからインポートされたユーザー データとログ データのインポートをサポートします。Insider risk management supports importing user and log data imported from 3rd-party risk management and human resources platforms. Microsoft 365 人事 (HR) データ コネクタを使用すると、CSV ファイルから人事データ (ユーザーの終了日、最終雇用日、業績向上計画の通知、業績評価アクション、ジョブ レベルの変更状態など) を取り込むことができます。The Microsoft 365 Human Resources (HR) data connector allows you to pull in human resources data from CSV files, including user termination dates, last employment dates, performance improvement plan notifications, performance review actions, and job level change status. このデータは、インサイダー リスク管理ポリシーでアラート インジケーターを駆動するのに役立ち、組織で完全なリスク管理範囲を構成する上で重要な要素です。This data helps drive alert indicators in insider risk management policies and is an important part of configuring full risk management coverage in your organization. 組織に複数の人事コネクタを構成すると、インサイダー リスク管理によってすべての HR コネクタからインジケーターが自動的にプルされます。If you configure more than one HR connector for your organization, insider risk management will automatically pull indicators from all HR connectors.

次のポリシー テンプレートを使用する場合は、Microsoft 365 HR コネクタが必要です。The Microsoft 365 HR connector is required when using the following policy templates:

  • ユーザー データの盗難Departing user data theft
  • 権限を持つユーザーによるセキュリティ ポリシー違反Security policy violations by departing users
  • 不満を持つユーザーによるセキュリティ ポリシー違反Security policy violations by disgruntled users
  • 不満を持つユーザーによるデータ漏洩Data leaks by disgruntled users

組織の Microsoft 365 HR コネクタを構成する詳しい手順については、「人事データをインポートするコネクタをセットアップする」の記事を参照してください。See the Set up a connector to import HR data article for step-by-step guidance to configure the Microsoft 365 HR connector for your organization. HR コネクタを構成した後、次の構成手順に戻ってください。After you've configured the HR connector, return to these configuration steps.

データ損失防止 (DLP) ポリシーを構成するConfigure Data Loss Prevention (DLP) policies

インサイダー リスク管理では、DLP ポリシーを使用して、重要度の高い DLP アラートの望ましくない関係者への機密情報の意図的または偶発的な漏えいを特定できます。Insider risk management supports using DLP policies to help identify the intentional or accidental exposure of sensitive information to unwanted parties for High severity level DLP alerts. インサイダー リスク管理ポリシーをデータ リークテンプレートで構成する場合は、特定の DLP ポリシーをポリシーに割り当てる必要があります。When configuring an insider risk management policy with any of the Data leaks templates, you must assign a specific DLP policy to the policy.

DLP ポリシーは、機密情報に対する重大度の高い DLP アラートのインサイダー リスク管理でリスク スコアリングをアクティブ化するユーザーを識別するのに役立ち、組織内の完全なリスク管理範囲を構成する重要な部分です。DLP policies help identify users to activate risk scoring in insider risk management for high severity DLP alerts for sensitive information and are an important part of configuring full risk management coverage in your organization. インサイダー リスク管理と DLP ポリシーの統合と計画に関する考慮事項の詳細については、「インサイダー リスク管理ポリシー」 を参照してくださいFor more information about insider risk management and DLP policy integration and planning considerations, see Insider risk management policies.

重要

次の手順を完了してください。Make sure you've completed the following:

  • DLP とインサイダー リスク管理ポリシーの両方の対象ユーザーを理解し、適切に構成して、予想されるポリシー範囲を作成します。You understand and properly configure the in-scope users in both the DLP and insider risk management policies to produce the policy coverage you expect.
  • これらのテンプレートで使用 される インサイダー リスク管理の DLP ポリシーのインシデント レポート設定が、重大度レベルの高いアラート 用に構成 されていることを確認します。Make sure the Incident reports setting in the DLP policy for insider risk management used with these templates are configured for High severity level alerts. Insider risk management alerts won't be generated from DLP policies with the Incident reports field set at Low or Medium.Insider risk management alerts won't be generated from DLP policies with the Incident reports field set at Low or Medium.

次のポリシー テンプレートを使用する場合は、DLP ポリシーが必要です。A DLP policy is required when using the following policy templates:

  • 一般的なデータ リークGeneral data leaks
  • 優先度の高いユーザーによるデータ漏洩Data leaks by priority users

組織の DLP ポリシーを構成する 詳しい手順については、DLP ポリシーの作成、テスト、調整に関する記事を参照してください。See the Create, test, and tune a DLP policy article for step-by-step guidance to configure DLP policies for your organization. DLP ポリシーを構成した後、次の構成手順に戻ってください。After you've configured a DLP policy, return to these configuration steps.

優先度のユーザー グループを構成するConfigure priority user groups

インサイダー リスク管理には、優先度の高いユーザー グループをポリシーに割り当てるサポートが含まれており、重要な位置を持つユーザーの固有のリスク アクティビティ、高レベルのデータとネットワーク アクセス、または過去のリスク動作の履歴を識別するのに役立ちます。Insider risk management includes support for assigning priority user groups to policies to help identity unique risk activities for user with critical positions, high levels of data and network access, or a past history of risk behavior. 優先度のユーザー グループを作成し、そのグループにユーザーを割り当てると、これらのユーザーが提示する固有の状況にポリシーを範囲設定できます。Creating a priority user group and assigning users to the group help scope policies to the unique circumstances presented by these users.

次のポリシー テンプレートを使用する場合は、優先度のユーザー グループが必要です。A priority user group is required when using the following policy templates:

  • 優先度ユーザーによるセキュリティ ポリシー違反Security policy violations by priority users
  • 優先度の高いユーザーによるデータ漏洩Data leaks by priority users

優先度のユーザー グループを作成する 詳しい手順については、「インサイダー リスク管理設定の使用を開始する」の記事を参照してください。See the Getting started with insider risk management settings article for step-by-step guidance to create a priority user group. 優先度のユーザー グループを構成した後、次の構成手順に戻ってください。After you've configured a priority user group, return to these configuration steps.

物理バグリング コネクタを構成する (オプション)Configure Physical badging connector (optional)

インサイダー リスク管理は、物理的な制御およびアクセス プラットフォームからインポートされたユーザーデータとログ データのインポートをサポートします。Insider risk management supports importing user and log data imported from physical control and access platforms. 物理バグコネクタを使用すると、ユーザー ID、アクセス ポイント ID、アクセス時刻と日付、アクセス状態などの JSON ファイルからアクセス データを取り込めます。The Physical badging connector allows you to pull in access data from JSON files, including user IDs, access point IDs, access time and dates, and access status. このデータは、インサイダー リスク管理ポリシーでアラート インジケーターを駆動するのに役立ち、組織で完全なリスク管理範囲を構成する上で重要な要素です。This data helps drive alert indicators in insider risk management policies and is an important part of configuring full risk management coverage in your organization. 組織に複数の物理バグリング コネクタを構成した場合、インサイダー リスク管理は、すべての物理バグリング コネクタからインジケーターを自動的にプルします。If you configure more than one Physical badging connector for your organization, insider risk management automatically pulls indicators from all Physical badging connectors. 物理バグリング コネクタからの情報は、すべてのインサイダー リスク ポリシー テンプレートを使用する場合に、他のインサイダー リスクシグナルを補完します。Information from the Physical badging connector supplements other insider risk signals when using all insider risk policy templates.

重要

インサイダー リスク管理ポリシーで、内部および終了したユーザーに関連する信号データを物理制御およびアクセス プラットフォームからのイベント データを使用および関連付ける場合は、Microsoft 365 HR コネクタも構成する必要があります。For insider risk management policies to use and correlate signal data related to departing and terminated users with event data from your physical control and access platforms, you must also configure the Microsoft 365 HR connector. Microsoft 365 HR コネクタを有効にせずに物理バグコネクタを有効にした場合、インサイダー リスク管理ポリシーは、組織内のユーザーに対する許可されていない物理的なアクセスのイベントのみを処理します。If you enable the Physical badging connector without enabling the Microsoft 365 HR connector, insider risk management policies will only process events for unauthorized physical access for users in your organization.

組織の 物理的 な不良コネクタを構成する詳しい手順については、「コネクタをセットアップして物理的な不良データをインポートする」の記事を参照してください。See the Set up a connector to import physical badging data article for step-by-step guidance to configure the Physical badging connector for your organization. コネクタを構成した後、次の構成手順に戻ってください。After you've configured the connector, return to these configuration steps.

手順 4: インサイダー リスク設定を構成するStep 4: Configure insider risk settings

インサイダー リスクの 設定は、ポリシーの作成時に選択したテンプレートに関係なく、すべてのインサイダー リスク管理ポリシーに適用されます。Insider risk settings apply to all insider risk management policies, regardless of the template you chose when creating a policy. 設定は、すべてのインサイダー リスクの管理タブの 1 番上にある Insider リスク設定 コントロールを使用して構成します。Settings are configured using the Insider risk settings control located at the top of all insider risk management tabs. これらの設定により、プライバシー、インジケーター、監視ウィンドウ、およびインテリジェントな検出がコントロールされます。These settings control privacy, indicators, monitoring windows, and intelligent detections.

ポリシーを構成する前に、次のインサイダー リスク設定を定義します。Before configuring a policy, define the following insider risk settings:

  1. Microsoft 365コンプライアンス センターで 、Insider リスク 管理に移動し、ページの右上隅から Insider リスク設定を選択します。In the Microsoft 365 compliance center, go to Insider risk management and select Insider risk settings from the top-right corner of any page.

  2. [プライバシー ] ページ で、ポリシー通知のユーザー名を表示するためのプライバシー設定を選択します。On the Privacy page, select a privacy setting for displaying usernames for policy alerts.

  3. [インジケーター ] ページ で、すべてのインサイダー リスク ポリシーに適用するアラート インジケーターを選択します。On the Indicators page, select the alert indicators you want to apply to all insider risk policies.

    重要

    ポリシーで定義されている危険なアクティビティに関するアラートを受信するには、1 つ以上のインジケーターを選択する必要があります。In order to receive alerts for risky activity defined in your policies, you must select one or more indicators.

  4. [ポリシー の期間] ページで、ユーザーがインサイダー リスク ポリシーの一致をトリガーするときに有効になるポリシーの期間を選択します。On the Policy timeframes page, select the policy timeframes to go into effect for a user when they trigger a match for an insider risk policy.

  5. [インテリジェント な検出] ページ で、インサイダー リスク ポリシーの次の設定を構成します。On the Intelligent detections page, configure the following settings for insider risk policies:

  6. [アラート のエクスポート ] ページで、必要に応じて、Office 365 管理 API を使用してインサイダー リスクアラート情報のエクスポートを有効にします。On the Export alerts page, enable export of insider risk alert information using the Office 365 Management APIs if needed.

  7. [優先度 のユーザー グループ] ページ で、優先度のユーザー グループを作成し、手順 3 で作成していない場合はユーザー を追加しますOn the Priority user groups page, create a priority user group and add users if not created in Step 3.

  8. [Power Automate フロー] ページで 、インサイダー リスク フロー テンプレートからのフローを構成するか、新しいフローを作成します。On the Power Automate flows page, configure a flow from insider risk flow templates or create a new flow. 詳しい 手順については、「インサイダー リスク管理設定の使用を開始する」の記事を参照してください。See the Getting started with insider risk management settings article for step-by-step guidance.

  9. [優先度アセット ] ページで、 物理バグコネクタによってインポートされた物理コントロールおよびアクセス プラットフォームからのデータを使用する優先度アセットを構成します。On the Priority assets page, configure priority assets to use data from your physical control and access platform imported by the Physical badging connector. 詳しい 手順については、「インサイダー リスク管理設定の使用を開始する」の記事を参照してください。See the Getting started with insider risk management settings article for step-by-step guidance.

  10. Microsoft Teams ページで、Microsoft Teams とインサイダー リスク管理の統合を有効にして、ケースまたはユーザーのコラボレーション用のチームを自動的に作成します。On the Microsoft Teams page, enable Microsoft Teams integration with insider risk management to automatically create a team for case or user collaboration. 詳しい 手順については、「インサイダー リスク管理設定の使用を開始する」の記事を参照してください。See the Getting started with insider risk management settings article for step-by-step guidance.

  11. イン サイダー リスク ポリシーに対してこれらの設定を有効にするには、[保存] を選択します。Select Save to enable these settings for your insider risk policies.

手順 5: インサイダー リスク管理ポリシーを作成するStep 5: Create an insider risk management policy

インサイダー リスク管理ポリシーには、ユーザーが割り当てられており、アラート用に構成されているリスク インジケーターの種類が定義されています。Insider risk management policies include assigned users and define which types of risk indicators are configured for alerts. アクティビティがアラートをトリガーする前に、ポリシーを構成する必要があります。Before activities can trigger alerts, a policy must be configured.

  1. Microsoft 365 コンプライアンスセンターで 、Insider リスク 管理に移動し、[ポリシー] タブを選択 します。In the Microsoft 365 compliance center, go to Insider risk management and select the Policies tab.

  2. [ポリシー の作成] を 選択してポリシー ウィザードを開きます。Select Create policy to open the policy wizard.

  3. [新しい インサイダー リスク ポリシー] ページ で、次のフィールドに入力します。On the New insider risk policy page, complete the following fields:

    • Name (必須): ポリシーの分名を入力します。Name (required): Enter a friendly name for the policy.
    • 説明 (オプション): ポリシーの説明を入力します。Description (optional): Enter a description for the policy.
    • Choose policy template (required): Select one of the policy templates to define the types of risk indicators are monitored by the policy.Choose policy template (required): Select one of the policy templates to define the types of risk indicators are monitored by the policy.

    重要

    ほとんどのポリシー テンプレートには、関連するアラートを生成するためにポリシーを構成する必要がある前提条件があります。Most policy templates have prerequisites that must be configured for the policy to generate relevant alerts. 該当するポリシーの前提条件を構成していない場合は、上記の 手順 3 を参照 してください。If you haven't configured the applicable policy prerequisites, see Step 3 above.

  4. [次 へ] を選択 して続行します。Select Next to continue.

  5. [ユーザー ] ページ で、[ユーザーまたはグループの追加] または [優先度のユーザー グループの選択] を選択して、選択したポリシー テンプレートに応じて、ポリシーに含めるユーザーまたは優先度のユーザー グループを定義します。On the Users page, select Add user or group or Choose Priority user groups to define which users or priority user groups are included in the policy, depending on the policy template you've selected. 該当 する場合は、[すべてのユーザーとメールが 有効なグループ] チェック ボックスをオンにします (優先度のユーザー ベースのテンプレートを選択していない場合)。Select All users and mail-enabled groups checkbox if applicable (if you haven't selected a priority user-based template). [次 へ] を選択 して続行します。Select Next to continue.

  6. [優先順位 を付けるコンテンツを指定する (オプション) ] ページで、リスク スコアの増加に優先順位を付けるソースを割り当てできます。On the Specify what content to prioritize (optional) page, you can assign the sources to prioritize for increased risk scores. ただし、関連するコンテンツに組み込みまたはカスタムの機密情報の種類が含まれているか、このページで優先度として指定されていない限り、一部のアクティビティでは警告が生成されません。However, some activities won't generate an alert at all unless the related content contains built-in or custom sensitive info types or was specified as a priority on this page:

    • SharePoint サイト: [SharePoint サイトの追加] を選択し 、優先順位を付ける SharePoint 組織を選択します。SharePoint sites: Select Add SharePoint site and select the SharePoint organizations you want to prioritize. たとえば 、"group1@contoso.sharepoint.com/sites/group1" としますFor example, "group1@contoso.sharepoint.com/sites/group1".
    • 機密情報の種類: [機密情報 の種類の追加] を選択 し、優先順位を付ける機密の種類を選択します。Sensitive info type: Select Add sensitive info type and select the sensitivity types you want to prioritize. たとえば、" 米国の銀行口座番号""クレジット カード番号" などですFor example, "U.S. Bank Account Number" and "Credit Card Number".
    • [Sensitivity labels]:[Add sensitivity label] を選択し、優先順位を付けるラベルを選択します。Sensitivity labels: Select Add sensitivity label and select the labels you want to prioritize. たとえば 、"Confidential""Secret" などですFor example, "Confidential" and "Secret".
  7. [次 へ] を選択 して続行します。Select Next to continue.

  8. [ポリシー インジケーター の選択] ページには、Insider リスク設定インジケーター ページで使用可能と定義したインジケーター > 表示 されます。On the Select policy indicators page, you'll see the indicators that you've defined as available on the Insider risk settings > Indicators page. ウィザードの開始時にデータリーク テンプレートを選択した場合は 、DLP ポリシー ドロップダウン リストから DLP ポリシーを選択して、ポリシーのトリガー インジケーターを有効にする必要があります。If you selected a Data leaks template at the beginning of the wizard, you must select a DLP policy from the DLP policy dropdown list to enable triggering indicators for the policy. ポリシーに適用するインジケーターを選択します。Select the indicators you want to apply to the policy. これらのインジケーターに既定のポリシーしきい値の設定を使用しない場合は 、Microsoft が推奨する既定のしきい値を使用することを無効にし、選択したインジケーターごとにしきい値を入力します。If you prefer not to use the default policy threshold settings for these indicators, disable the Use default thresholds recommended by Microsoft and enter the threshold values for each selected indicator. デバイス インジケーターまたはデバイス インジケーターを少なくとも 1 Office**した場合 は、必要に応じてリスク スコア を選択 します。If you've selected at least one Office or Device indicator, select the Risk score boosters as appropriate. リスク スコアの評価は、選択したインジケーターにのみ適用されます。Risk score boosters are only applicable for selected indicators.

    重要

    このページのインジケーターを選択できない場合は 、Insider リスク管理の設定ポリシー インジケーター ページで、すべてのポリシーに対して有効にするインジケーターを選択する > > 必要 があります。If indicators on this page can't be selected, you'll need to select the indicators you want to enable for all policies on the Insider risk management > Settings > Policy indicators page.

  9. [次 へ] を選択 して続行します。Select Next to continue.

  10. [ポリシー の期間] ページには 、[Insider リスク 設定ポリシーの期間] ページにあるポリシーのアクティブ化ウィンドウの条件 > が表示 されます。On the Policy timeframes page, you'll see the activation window conditions for the policy that on the Insider risk settings > Policy timeframes page.

  11. [次 へ] を選択 して続行します。Select Next to continue.

  12. [ レビュー] ページで、ポリシーに対して選択した設定を確認します。On the Review page, review the settings you've chosen for the policy. ポリシー 値を変更 するには [編集] を選択し、ポリシーを作成してアクティブ化するには [ 送信 ] を選択します。Select Edit to change any of the policy values or select Submit to create and activate the policy.

次の手順Next steps

最初のインサイダー リスク管理ポリシーを作成するためにこれらの手順を完了すると、約 24 時間後にアクティビティ インジケーターからのアラートの受信が開始されます。After you've completed these steps to create your first insider risk management policy, you'll start to receive alerts from activity indicators after about 24 hours. この記事の手順 4 のガイダンスまたは「新しいインサイダー リスク ポリシーを作成する」の手順を使用して、必要に応じて追加の ポリシーを構成しますConfigure additional policies as needed using the guidance in Step 4 of this article or the steps in Create a new insider risk policy.

インサイダー リスクアラートとアラート ダッシュボードの調査の詳細については、「インサイダー リスク管理のアラート」を参照してくださいTo learn more about investigating insider risk alerts and the Alerts dashboard, see Insider risk management alerts.