Exchange Onlineデータ損失防止ポリシーをMicrosoft Purview コンプライアンス ポータルに移行する
Exchange Onlineデータ損失防止 (DLP) ポリシーは非推奨になっています。 Microsoft Purview コンプライアンス ポータルでは、Exchange Online DLP を含む、より豊富な DLP 機能が提供されます。 DLP ポリシー移行ウィザードを使用すると、Exchange Online DLP ポリシーをコンプライアンス センターに持ち込んで管理することができます。
移行ウィザードは、Exchange で DLP ポリシーの構成を読み取り、コンプライアンス センターで重複するポリシーを作成することで機能します。 既定では、ウィザードによって新しいバージョンのポリシーが テスト モードで作成されるため、アクションを強制することなく、環境に与える影響を確認できます。 コンプライアンス センターのバージョンに完全に移行する準備ができたら、次の 操作を行う必要があります。
- Exchange 管理 センター (EAC) でソース ポリシーを非アクティブ化または削除します。
- ポリシーのコンプライアンス センター バージョンを編集し、その状態を テスト から強制に変更 します。
警告
コンプライアンス センターのバージョンを [両方のポリシーの 適用] に設定する前に EAC でソース ポリシーを削除または非アクティブ化しない場合は、アクションの適用が試行され、重複するイベントが発生します。 これはサポートされていない構成です。
移行ウィザードでは、EXO ポリシーと関連するメール フロー ルールのみが移行されます。 スタンドアロン Exchange メール フロー ルールは移行されません。
移行ワークフロー
Exchange からコンプライアンス センターの統合 DLP 管理コンソールに DLP ポリシーを移行するには、4 つのフェーズがあります。
- 移行の準備
- Exchange Online (EXO) DLP ポリシーとコンプライアンス センター DLP ポリシーを評価して比較し、重複する機能を実現します。
- どの EXO DLP ポリシーをそのまま引き継ぐかを決定します。ウィザードを使用してこれらを移行できます。
- Exchange 管理センターで統合して統合する EXO DLP ポリシーを決定し、移行ウィザードを使用してコンプライアンス センターに移行します。
- 移行を実行する - ウィザードを使用する
- テストと検証 - 結果を調べる
- 移行されたポリシーをアクティブ化する
はじめに
ライセンスとバージョン
DLP ポリシーの移行を開始する前に、 Microsoft 365 サブスクリプション とアドオンを確認する必要があります。
ポリシー移行ウィザードにアクセスして使用するには、次のいずれかのサブスクリプションまたはアドオンが必要です。
- Microsoft 365 E3
- Microsoft 365 E5
- Microsoft 365 A5 (EDU)
- Microsoft 365 E5 コンプライアンス
- Microsoft 365 A5 コンプライアンス
- Microsoft 365 E5 の情報保護とガバナンス
- Microsoft 365 A5 の情報保護とガバナンス
DLP ライセンス要件の詳細な一覧については、セキュリティ & コンプライアンス、データ損失防止に関する Microsoft 365 ライセンスガイダンスを参照してください。
アクセス許可
移行ウィザードの実行に使用するアカウントは、Exchange 管理 コンソール DLP ページとコンプライアンス センターの統合 DLP コンソールの両方にアクセスできる必要があります。
移行の準備
- DLP、コンプライアンス センター DLP コンソール、または Exchange 管理 センター DLP コンソールに慣れていない場合は、ポリシーの移行を試みる前に理解しておく必要があります。
- 次の質問をして、Exchange DLP とコンプライアンス センターのポリシーを評価します。
| 質問 | Action | 移行手順 |
|---|---|---|
| ポリシーは引き続き必要ですか? | 削除しない場合は、削除または非アクティブ化します。 | 移行しない |
| 他の Exchange またはコンプライアンス センターの DLP ポリシーと重複していますか? | はいの場合は、重複するポリシーを統合できますか? | - 別の Exchange ポリシーと重複している場合は、Exchange 管理 センターで統合 DLP ポリシーを手動で作成し、移行ウィザードを使用します。 - 既存のコンプライアンス センター ポリシーと重複している場合は、既存のコンプライアンス センター ポリシーを一致するように変更できます。Exchange バージョンを移行しないでください |
| Exchange DLP ポリシーの範囲は厳密であり、条件、アクション、包含、除外が明確に定義されていますか? | はい場合は、ウィザードを使用して移行することをお勧めします。ポリシーをメモして、後で削除することを忘れないでください | ウィザードを使用して移行する |
移行
必要と互換性について Exchange およびコンプライアンス センターのすべての DLP ポリシーを評価したら、移行ウィザードを使用できます。
- Microsoft Purview コンプライアンス ポータル DLP コンソールを開きます。
- 移行できる Exchange DLP ポリシーがある場合は、ページの上部にバナーが表示されます。
- バナーで [ ポリシーの移行 ] を選択して、移行ウィザードを開きます。 すべての Exchange DLP ポリシーが一覧表示されます。 以前に移行したポリシーは選択できません。
- 移行するポリシーを選択します。 それらを個別に、または段階的なアプローチを使用してグループで移行することも、一度にすべて移行することもできます。 [次へ] を選択します。
- ポップアップ ウィンドウで警告またはメッセージを確認します。 続行する前に問題を解決します。
- 新しいコンプライアンス センター ポリシーを作成するモードを、 アクティブ、 テスト、または 無効に選択します。 既定値は [テスト] です。 [次へ] を選択します。
- 必要に応じて、他の統合 DLP の場所の Exchange DLP ポリシーに基づくポリシーをさらに作成できます。 これにより、移行された Exchange ポリシーに対する 1 つの新しい統合 DLP ポリシーと、ここで選択した他の場所に対する 1 つの新しい統合 DLP ポリシーが生成されます。
重要
デバイス、SharePoint、OneDrive、オンプレミス、MCAS、Teams チャット、チャネル メッセージなど、他の DLP の場所でサポートされていない Exchange DLP ポリシーの条件とアクションは、追加のポリシーから削除されます。 また、他の場所に対して実行する必要がある事前作業もあります。 参照:
- 移行ウィザードのセッション設定を確認します。 [次へ] を選択します。
- 移行レポートを確認します。 Exchange メール フロー ルールに関連するエラーに注意してください。 それらを修正し、関連付けられているポリシーを再マッピングできます。
移行されたポリシーが、コンプライアンス センター DLP コンソールの DLP ポリシーの一覧に表示されます。
一般的なエラーと軽減策
| エラー メッセージ | 理由 | 軽減策/推奨される手順 |
|---|---|---|
シナリオには、名前 <Name of the policy> を持つコンプライアンス ポリシーが既に Dlp存在します。 |
このポリシーの移行は先に行われ、同じセッションで再試行された可能性があります。 | セッションを更新して、移行に使用できるポリシーの一覧を更新します。 以前に移行されたすべてのポリシーは、状態である Already migrated 必要があります。 |
シナリオには、名前 <Name of the policy> を持つコンプライアンス ポリシーが既に Hold存在します。 |
同じ名前のアイテム保持ポリシーが同じテナントに存在します。 | - EAC の DLP ポリシーの名前を別の名前に変更します。 - 影響を受けたポリシーの移行を再試行します。 |
DLP-group@contoso.com は配布グループまたはメールが有効なセキュリティ グループであるため、Shared By 条件の値として使用できません。 特定のグループのメンバーによるアクティビティを検出するには、述語のメンバーによって共有を使用します。 |
トランスポート ルールでは、条件でグループを sender is 使用できますが、統合 DLP では許可されません。 |
トランスポート ルールを更新して、条件からすべてのグループ電子メール アドレスを sender is 削除し、必要に応じてグループを条件に sender is a member of 追加します。 影響を受けたポリシーの移行を再試行する |
受信者 DLP-group@contoso.comが見つかりませんでした。 新しく作成した場合は、しばらくしてから操作を再試行してください。 削除または期限切れの場合は、有効な値を使用してリセットしてから、もう一度やり直してください。 |
使用されているグループ アドレス、または条件の sender is a member of 有効期限が切れているか recipient is a member of 無効である可能性があります。 |
- Exchange 管理センターのトランスポート ルール内のすべての無効なグループ電子メール アドレスを削除または置換します。 - 影響を受けたポリシーの移行を再試行します。 |
述語で FromMemberOf 指定する値は、メールが有効なセキュリティ グループである必要があります。 |
トランスポート ルールを使用すると、個々のユーザーを sender is a member of 条件で使用できますが、統合 DLP では許可されません。 |
- トランスポート ルールを更新して、条件から sender is a member of 個々のユーザーの電子メール アドレスをすべて削除し、必要に応じてユーザーを条件に sender is 追加します。 - 影響を受けたポリシーの移行を再試行します。 |
述語で SentToMemberOf 指定する値は、メールが有効なセキュリティ グループである必要があります。 |
トランスポート ルールを使用すると、個々のユーザーを条件下で recipient is a member of 使用できますが、統合 DLP では許可されません。 |
- トランスポート ルールを更新して、条件から recipient is a member of 個々のユーザーの電子メール アドレスをすべて削除し、必要に応じてユーザーを条件に recipient is 追加します。 - 影響を受けたポリシーの移行を再試行します。 |
このパラメーターの <Name of condition> 使用は、Exchange でのみサポートされています。 このパラメーターを削除するか、Exchange の場所のみを有効にします。 |
同じ名前の別のポリシーがコンプライアンス センターに存在し、前述の条件がサポートされていない SPO/ODB/Teams などの他の場所に存在する可能性があります。 | Exchange 管理センターで DLP ポリシーの名前を変更し、移行を再試行します。 |
テストと検証
ポリシーをテストして確認します。
- DLP ポリシーのテスト手順に従います。
- アクティビティ エクスプローラーでポリシーによって作成されたイベントを確認します。
Exchange 管理 センター DLP と Microsoft Purview Unified DLP のポリシー一致を確認する
移行されたポリシーが期待どおりに動作するようにするには、両方の管理センターからレポートをエクスポートし、ポリシー一致の比較を行うことができます。
EAC DLP レポートをエクスポートします。 このコマンドレットをコピーし、適切な値を挿入できます。
Get-MailDetailDlpPolicyReport -StartDate <dd/mm/yyyy -EndDate <dd/mm/yyyy> -PageSize 5000 | select Date, MessageId, DlpPolicy, TransportRule -Unique | Export-CSV <"C:\path\filename.csv">統合 DLP レポートをエクスポートします。 このコマンドレットをコピーし、適切な値を挿入できます。
Get-DlpDetailReport -StartDate <dd/mm/yyyy> -EndDate <dd/mm/yyyy> -PageSize 5000 | select Date, Location, DlpCompliancePolicy, DlpComplianceRule -Unique | Export-CSV <"C:\path\filename.csv">
移行したポリシーをアクティブ化する
移行したポリシーの機能に問題がなければ、それらを [適用] に設定できます。
- Exchange 管理 センター DLP コンソールを開きます。
- ソース ポリシーを非アクティブ化または削除します。
- Microsoft Purview コンプライアンス ポータル DLP コンソールを開き、アクティブにして編集するポリシーを選択します。
- 状態を [オン] に変更します。