Exchange Onlineデータ損失防止ポリシーをMicrosoft Purview コンプライアンス ポータルに移行する

Exchange Onlineデータ損失防止 (DLP) ポリシーは非推奨になっています。 Microsoft Purview コンプライアンス ポータルでは、Exchange Online DLP を含む、より豊富な DLP 機能が提供されます。 DLP ポリシー移行ウィザードを使用すると、Exchange Online DLP ポリシーをコンプライアンス センターに持ち込んで管理することができます。

移行ウィザードは、Exchange で DLP ポリシーの構成を読み取り、コンプライアンス センターで重複するポリシーを作成することで機能します。 既定では、ウィザードによって新しいバージョンのポリシーが テスト モードで作成されるため、アクションを強制することなく、環境に与える影響を確認できます。 コンプライアンス センターのバージョンに完全に移行する準備ができたら、次の 操作を行う必要があります

  1. Exchange 管理 センター (EAC) でソース ポリシーを非アクティブ化または削除します。
  2. ポリシーのコンプライアンス センター バージョンを編集し、その状態を テスト から強制に変更 します

警告

コンプライアンス センターのバージョンを [両方のポリシーの 適用] に設定する前に EAC でソース ポリシーを削除または非アクティブ化しない場合は、アクションの適用が試行され、重複するイベントが発生します。 これはサポートされていない構成です。

移行ウィザードでは、EXO ポリシーと関連するメール フロー ルールのみが移行されます。 スタンドアロン Exchange メール フロー ルールは移行されません。

移行ワークフロー

Exchange からコンプライアンス センターの統合 DLP 管理コンソールに DLP ポリシーを移行するには、4 つのフェーズがあります。

  1. 移行の準備
    1. Exchange Online (EXO) DLP ポリシーとコンプライアンス センター DLP ポリシーを評価して比較し、重複する機能を実現します。
    2. どの EXO DLP ポリシーをそのまま引き継ぐかを決定します。ウィザードを使用してこれらを移行できます。
    3. Exchange 管理センターで統合して統合する EXO DLP ポリシーを決定し、移行ウィザードを使用してコンプライアンス センターに移行します。
  2. 移行を実行する - ウィザードを使用する
  3. テストと検証 - 結果を調べる
  4. 移行されたポリシーをアクティブ化する

はじめに

ライセンスとバージョン

DLP ポリシーの移行を開始する前に、 Microsoft 365 サブスクリプション とアドオンを確認する必要があります。

ポリシー移行ウィザードにアクセスして使用するには、次のいずれかのサブスクリプションまたはアドオンが必要です。

  • Microsoft 365 E3
  • Microsoft 365 E5
  • Microsoft 365 A5 (EDU)
  • Microsoft 365 E5 コンプライアンス
  • Microsoft 365 A5 コンプライアンス
  • Microsoft 365 E5 の情報保護とガバナンス
  • Microsoft 365 A5 の情報保護とガバナンス

DLP ライセンス要件の詳細な一覧については、セキュリティ & コンプライアンス、データ損失防止に関する Microsoft 365 ライセンスガイダンスを参照してください。

アクセス許可

移行ウィザードの実行に使用するアカウントは、Exchange 管理 コンソール DLP ページとコンプライアンス センターの統合 DLP コンソールの両方にアクセスできる必要があります。

移行の準備

  1. DLP、コンプライアンス センター DLP コンソール、または Exchange 管理 センター DLP コンソールに慣れていない場合は、ポリシーの移行を試みる前に理解しておく必要があります。
    1. Exchange Onlineデータ損失防止 (DLP) ポリシー
    2. エンドポイント データ損失防止について
    3. DLP ポリシーを作成、テスト、チューニングする
  2. 次の質問をして、Exchange DLP とコンプライアンス センターのポリシーを評価します。
質問 Action 移行手順
ポリシーは引き続き必要ですか? 削除しない場合は、削除または非アクティブ化します。 移行しない
他の Exchange またはコンプライアンス センターの DLP ポリシーと重複していますか? はいの場合は、重複するポリシーを統合できますか? - 別の Exchange ポリシーと重複している場合は、Exchange 管理 センターで統合 DLP ポリシーを手動で作成し、移行ウィザードを使用します。
- 既存のコンプライアンス センター ポリシーと重複している場合は、既存のコンプライアンス センター ポリシーを一致するように変更できます。Exchange バージョンを移行しないでください
Exchange DLP ポリシーの範囲は厳密であり、条件、アクション、包含、除外が明確に定義されていますか? はい場合は、ウィザードを使用して移行することをお勧めします。ポリシーをメモして、後で削除することを忘れないでください ウィザードを使用して移行する

移行

必要と互換性について Exchange およびコンプライアンス センターのすべての DLP ポリシーを評価したら、移行ウィザードを使用できます。

  1. Microsoft Purview コンプライアンス ポータル DLP コンソールを開きます。
  2. 移行できる Exchange DLP ポリシーがある場合は、ページの上部にバナーが表示されます。
  3. バナーで [ ポリシーの移行 ] を選択して、移行ウィザードを開きます。 すべての Exchange DLP ポリシーが一覧表示されます。 以前に移行したポリシーは選択できません。
  4. 移行するポリシーを選択します。 それらを個別に、または段階的なアプローチを使用してグループで移行することも、一度にすべて移行することもできます。 [次へ] を選択します。
  5. ポップアップ ウィンドウで警告またはメッセージを確認します。 続行する前に問題を解決します。
  6. 新しいコンプライアンス センター ポリシーを作成するモードを、 アクティブテスト、または 無効に選択します。 既定値は [テスト] です。 [次へ] を選択します。
  7. 必要に応じて、他の統合 DLP の場所の Exchange DLP ポリシーに基づくポリシーをさらに作成できます。 これにより、移行された Exchange ポリシーに対する 1 つの新しい統合 DLP ポリシーと、ここで選択した他の場所に対する 1 つの新しい統合 DLP ポリシーが生成されます。

重要

デバイス、SharePoint、OneDrive、オンプレミス、MCAS、Teams チャット、チャネル メッセージなど、他の DLP の場所でサポートされていない Exchange DLP ポリシーの条件とアクションは、追加のポリシーから削除されます。 また、他の場所に対して実行する必要がある事前作業もあります。 参照:

  1. 移行ウィザードのセッション設定を確認します。 [次へ] を選択します。
  2. 移行レポートを確認します。 Exchange メール フロー ルールに関連するエラーに注意してください。 それらを修正し、関連付けられているポリシーを再マッピングできます。

移行されたポリシーが、コンプライアンス センター DLP コンソールの DLP ポリシーの一覧に表示されます。

一般的なエラーと軽減策

エラー メッセージ 理由 軽減策/推奨される手順
シナリオには、名前 <Name of the policy> を持つコンプライアンス ポリシーが既に Dlp存在します。 このポリシーの移行は先に行われ、同じセッションで再試行された可能性があります。 セッションを更新して、移行に使用できるポリシーの一覧を更新します。 以前に移行されたすべてのポリシーは、状態である Already migrated 必要があります。
シナリオには、名前 <Name of the policy> を持つコンプライアンス ポリシーが既に Hold存在します。 同じ名前のアイテム保持ポリシーが同じテナントに存在します。 - EAC の DLP ポリシーの名前を別の名前に変更します。
- 影響を受けたポリシーの移行を再試行します。
DLP-group@contoso.com は配布グループまたはメールが有効なセキュリティ グループであるため、Shared By 条件の値として使用できません。 特定のグループのメンバーによるアクティビティを検出するには、述語のメンバーによって共有を使用します。 トランスポート ルールでは、条件でグループを sender is 使用できますが、統合 DLP では許可されません。 トランスポート ルールを更新して、条件からすべてのグループ電子メール アドレスを sender is 削除し、必要に応じてグループを条件に sender is a member of 追加します。 影響を受けたポリシーの移行を再試行する
受信者 DLP-group@contoso.comが見つかりませんでした。 新しく作成した場合は、しばらくしてから操作を再試行してください。 削除または期限切れの場合は、有効な値を使用してリセットしてから、もう一度やり直してください。 使用されているグループ アドレス、または条件の sender is a member of 有効期限が切れているか recipient is a member of 無効である可能性があります。 - Exchange 管理センターのトランスポート ルール内のすべての無効なグループ電子メール アドレスを削除または置換します。
- 影響を受けたポリシーの移行を再試行します。
述語で FromMemberOf 指定する値は、メールが有効なセキュリティ グループである必要があります。 トランスポート ルールを使用すると、個々のユーザーを sender is a member of 条件で使用できますが、統合 DLP では許可されません。 - トランスポート ルールを更新して、条件から sender is a member of 個々のユーザーの電子メール アドレスをすべて削除し、必要に応じてユーザーを条件に sender is 追加します。
- 影響を受けたポリシーの移行を再試行します。
述語で SentToMemberOf 指定する値は、メールが有効なセキュリティ グループである必要があります。 トランスポート ルールを使用すると、個々のユーザーを条件下で recipient is a member of 使用できますが、統合 DLP では許可されません。 - トランスポート ルールを更新して、条件から recipient is a member of 個々のユーザーの電子メール アドレスをすべて削除し、必要に応じてユーザーを条件に recipient is 追加します。
- 影響を受けたポリシーの移行を再試行します。
このパラメーターの <Name of condition> 使用は、Exchange でのみサポートされています。 このパラメーターを削除するか、Exchange の場所のみを有効にします。 同じ名前の別のポリシーがコンプライアンス センターに存在し、前述の条件がサポートされていない SPO/ODB/Teams などの他の場所に存在する可能性があります。 Exchange 管理センターで DLP ポリシーの名前を変更し、移行を再試行します。

テストと検証

ポリシーをテストして確認します。

  1. DLP ポリシーのテスト手順に従います。
  2. アクティビティ エクスプローラーでポリシーによって作成されたイベントを確認します。

Exchange 管理 センター DLP と Microsoft Purview Unified DLP のポリシー一致を確認する

移行されたポリシーが期待どおりに動作するようにするには、両方の管理センターからレポートをエクスポートし、ポリシー一致の比較を行うことができます。

  1. Exchange Online PowerShell に接続する

  2. EAC DLP レポートをエクスポートします。 このコマンドレットをコピーし、適切な値を挿入できます。

    Get-MailDetailDlpPolicyReport -StartDate <dd/mm/yyyy -EndDate <dd/mm/yyyy> -PageSize 5000 | select Date, MessageId, DlpPolicy, TransportRule -Unique | Export-CSV <"C:\path\filename.csv">
    
  3. 統合 DLP レポートをエクスポートします。 このコマンドレットをコピーし、適切な値を挿入できます。

    Get-DlpDetailReport -StartDate <dd/mm/yyyy> -EndDate <dd/mm/yyyy> -PageSize 5000 | select Date, Location, DlpCompliancePolicy, DlpComplianceRule -Unique | Export-CSV <"C:\path\filename.csv">
    

移行したポリシーをアクティブ化する

移行したポリシーの機能に問題がなければ、それらを [適用] に設定できます。

  1. Exchange 管理 センター DLP コンソールを開きます。
  2. ソース ポリシーを非アクティブ化または削除します。
  3. Microsoft Purview コンプライアンス ポータル DLP コンソールを開き、アクティブにして編集するポリシーを選択します。
  4. 状態を [オン] に変更します。