ポップアップ過剰共有の概要
適切なMicrosoft Purview データ損失防止 (DLP) ポリシーを構成すると、DLP は、ラベル付けされた情報または機密情報に対して電子メール メッセージを送信する前に電子メール メッセージをチェックし、DLP ポリシーで定義されているアクションを適用します。
オーバーシェアリング ポップアップは E5 機能です。
重要
これは仮定の値を持つ架空のシナリオです。 これは説明のみを目的としています。 独自の機密情報の種類、秘密度ラベル、配布グループ、ユーザーを置き換える必要があります。
重要
この機能をサポートする Outlook の最小バージョンを特定するには、 Outlook の機能テーブルと、 DLP ポリシー ヒントとして [オーバーシェアリングの防止] 行を使用します。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。
はじめに
SKU /サブスクリプションライセンス
DLP ポリシーの使用を開始する前に、 Microsoft 365 サブスクリプション とアドオンを確認してください。
ライセンスの詳細については、「Microsoft 365、Office 365、Enterprise Mobility + Security、Windows 11 サブスクリプション for Enterprises」を参照してください。
AIP P2 ライセンスがサポートされています
アクセス許可
ポリシーの作成と展開に使用するアカウントは、これらのロール グループの 1 つのメンバーである必要があります
- コンプライアンス管理者
- コンプライアンス データ管理者
- 情報保護
- Information Protection 管理者
- セキュリティ管理者
重要
開始する前に、「管理単位」を読んで、無制限の管理者と管理単位の制限付き管理者の違いを理解していることを確認してください。
きめ細かいロールと役割グループ
アクセス制御を微調整するために使用できるロールと役割グループがあります。
該当するロールの一覧を次に示します。 詳細については、「Microsoft Purview コンプライアンス ポータルのアクセス許可」を参照してください。
- DLP コンプライアンス管理
- Information Protection 管理者
- Information Protection アナリスト
- Information Protection 調査員
- Information Protection 閲覧者
該当する役割グループの一覧を次に示します。 詳細については、「詳細については、Microsoft Purview コンプライアンス ポータルのアクセス許可」を参照してください。
- 情報保護
- Information Protection レベル
- Information Protection アナリスト
- Information Protection 調査担当者
- Information Protection 閲覧者
前提条件と前提事項
Outlook for Microsoft 365では、メッセージが送信される前に、オーバーシェアリング ポップアップにポップアップが表示されます。 Exchange の場所の DLP ルールを作成するときに、[ ポリシー ヒントを送信する前にユーザーのダイアログとして ポリシー ヒントを表示する] を選択します。 このシナリオでは、 機密性の高い ラベルを使用するため、秘密度ラベルを作成して公開する必要があります。 詳細については、次を参照してください。
この手順では、Contoso.com で架空の会社ドメインを使用します。
ポリシーの意図とマッピング
受信者ドメインが contoso.com されている場合を除き、"機密性の高い" 秘密度ラベルが適用されているすべての受信者へのメールをブロックする必要があります。 ポップアップ ダイアログを使用して送信時にユーザーに通知する必要があり、ブロックを上書きすることはできません。
Statement | 構成に関する質問に回答し、構成マッピングを行う |
---|---|
"すべての受信者へのメールをブロックする必要があります。.. | - 監視する場所: Exchange - 管理スコープ: 完全なディレクトリ - アクション: Microsoft 365 の場所 > のコンテンツへのアクセスを制限または暗号化する ユーザーがメールを受信したり、共有 SharePoint、OneDrive、Teams ファイル > にアクセスできないようにすべてのユーザーをブロックする |
"..."機密性の高い" 秘密度ラベルが適用されています。.. | - 監視対象: 一致にカスタム テンプレート - の条件を使用する: 極 秘の 秘密度ラベルを追加するように編集する |
"...if..を除く。 | 条件グループの構成 - ブール値 AND を使用して、最初の条件に結合された入れ子になったブール値 NOT 条件グループを作成します |
"...受信者ドメインが contoso.com。 | 一致の条件: 受信者ドメインは |
"...Notify..." | ユーザー通知: 有効 |
"...ユーザーがポップアップ ダイアログで送信されます。.. | ポリシー ヒント: [ - 送信前にエンド ユーザーのダイアログとしてポリシー ヒントを表示する] を選択しました。 |
"...ブロックをオーバーライドすることはできません。... | M365 サービスからのオーバーライドを許可する: 選択されていません |
既定のテキストでオーバーシェアリング ポップアップを構成するには、DLP ルールに次の条件が含まれている必要があります。
- コンテンツには秘密>度ラベル>が含まれています。秘密度ラベルを選択します
と受信者ベースの条件
- 受信者が
- 受信者が次のメンバーの場合
- 受信者ドメインが
これらの条件が満たされると、ユーザーが Outlook でメールを送信する前に、信頼されていない受信者がポリシー ヒントに表示されます。
"送信待機" を構成する手順
必要に応じて、過剰共有ポップアップに対して "送信待機" を実装するすべてのデバイス で dlpwaitonsendtimeout Regkey (dword の値) を設定できます。 このレジストリ キーは、ユーザーが [送信] を選択したときに電子メールを保持する最大時間を定義します。 これにより、ラベル付けされたコンテンツまたは機密性の高いコンテンツに対して DLP ポリシーの評価を完了できます。 次の下に表示されます。
*Software\Policies\Microsoft\office\16.0\Outlook\options\Mail*
この RegKey は、グループ ポリシー (機密性の高いコンテンツを評価するための待機時間の指定)、スクリプト、またはレジストリ キーを構成するためのその他のメカニズムを使用して設定できます。
グループ ポリシーを使用している場合は、Microsoft 365 Apps for enterprise用のグループ ポリシー管理用テンプレート ファイルの最新バージョンをダウンロードしたことを確認し、ユーザー構成>>管理テンプレート >> Microsoft Office 2016 >> セキュリティ設定からこの設定に移動します。 Microsoft 365 の Cloud Policy サービスを使用している場合は、名前で設定を検索して構成します。
この値を設定し、DLP ポリシーを構成すると、電子メール メッセージが送信される前に機密情報がチェックされます。 メッセージにポリシーで定義されている条件との一致が含まれている場合、ユーザーが [送信] をクリックする前にポリシー ヒント通知が表示されます。
この RegKey を使用すると、Outlook クライアントで "送信待機" 動作を指定できます。 各設定の意味を次に示します。
[未構成] または [無効] : これが既定値です。 dlpwaitonsendtimeout が構成されていない場合、ユーザーが送信する前にメッセージはチェックされません。 [送信] をクリックすると、一時停止なしで電子メール メッセージが 送信 されます。 DLP データ分類サービスはメッセージを評価し、DLP ポリシーで定義されているアクションを適用します。
有効: [送信] がクリックされたときに、メッセージが実際に 送信 される前に、電子メール メッセージがチェックされます。 DLP ポリシーの評価が完了するまでの待機時間 (秒単位の T 値) に制限時間を設定できます。 指定した時間内にポリシーの評価が完了しない場合は、[送信方法] ボタンが表示され、ユーザーは presend チェックをバイパスできます。 T 値の範囲は 0 ~ 9999 秒です。
重要
T 値が 9999 より大きい場合は、10000 に置き換えられ、[Send Anyway]\(とにかく送信\) ボタンは表示されません。 これにより、ポリシーの評価が完了するまでメッセージが保持され、ユーザーオーバーライドのオプションはありません。 評価を完了する期間は、インターネットの速度、コンテンツの長さ、定義されたポリシーの数などの要因によって異なる場合があります。 一部のユーザーは、メールボックスに展開されているポリシーに応じて、ポリシー評価メッセージが他のユーザーよりも頻繁に表示される場合があります。
GPO の構成と使用の詳細については、「Microsoft Entra Domain Services マネージド ドメインでのグループ ポリシーの管理」を参照してください。
オーバーシェアリング ポップアップの DLP ポリシーを作成する手順
重要
このポリシー作成手順では、既定の include/exclude 値をそのまま使用し、ポリシーをオフのままにします。 ポリシーをデプロイするときに、これらを変更します。
使用しているポータルの適切なタブを選択します。 Microsoft Purview ポータルの詳細については、 Microsoft Purview ポータルに関するページを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。
Microsoft Purview ポータル>のデータ損失防止>ポリシーにサインインする
[ + ポリシーの作成] を選択します。
[カテゴリ] の一覧から [カスタム] を選択します。
[テンプレート] の一覧から [ カスタム ] を 選択します。
ポリシーに名前を付けます。
重要
ポリシーの名前を変更することはできません。
説明を入力します。 ポリシー意図ステートメントは、ここで使用できます。
[次へ] を選択します。
[管理 ユニット] で [完全なディレクトリ] を選択します。
Exchange メールの場所の状態を [オン] に設定します。 他のすべての場所の状態を [オフ] に設定します。
[次へ] を選択します。
[すべて含める] と [除外なし] = = の既定値をそのまま使用します。
[ 高度な DLP ルールの作成またはカスタマイズ ] オプションが既に選択されている必要があります。
[次へ] を選択します。
[ ルールの作成] を選択します。 ルールに名前を付け、説明を入力します。
[Add condition Contentcontains > AddSensitivity labels非常に機密性の高いコンテンツ>に含まれる条件>の追加>] を選択します。 [追加] を選択します。
[グループ>の追加]と> [NOTAdd condition]\(条件の追加\)> を選択します。
[ Recipient domain is>is contoso.com] を選択します。 [追加] を選択します。
ヒント
[Recipient is]\( 受信者\) または [ Recipient is a member ]\(受信者がのメンバーである\) を 使用して、過剰共有ポップアップをトリガーすることもできます。
[ アクションの追加]>[アクセスの制限] を選択するか、Microsoft 365 の場所のコンテンツを暗号化します。
[ ユーザーがメールを受け取るか、共有 SharePoint、OneDrive、Teams ファイル、Power BI アイテムにアクセスできないようにブロックする] を選択します。
[ すべてのユーザーをブロックする] を選択します。
[ユーザー通知] トグルを [オン] に設定します。
[ポリシー ヒント]> 送信前にエンド ユーザーのダイアログとしてポリシー ヒントを表示する (Exchange ワークロードでのみ使用できます) を選択します。
選択されている場合は、[ M365 サービスからのオーバーライドを許可する] オプションを オフにします。
[*Save]\(保存\) を選択します。
[状態] トグルを [オン] に変更し、[次へ] を選択します。
[ポリシー モード] ページで、[テスト モードでポリシーを実行する] を選択し、[シミュレーション モード中にポリシー ヒントを表示する] オプションのボックスをチェックします。
[ 次へ ] を選択し、[送信] を選択 します。
ポリシーを作成するための PowerShell の手順
DLP ポリシーとルールは、PowerShell で構成することもできます。 PowerShell を使用してオーバーシェアリング ポップアップを構成するには、まず DLP ポリシー (PowerShell を使用) を作成し、警告、正当化、またはブロックポップアップの種類ごとに DLP ルールを追加します。
New-DlpCompliancePolicy を使用して、DLP ポリシーを構成してスコープを設定します。 次に、New-DlpComplianceRule を使用して各オーバーシェアリング ルールを構成します
オーバーシェアリング ポップアップ シナリオ用に新しい DLP ポリシーを構成するには、次のコード スニペットを使用します。
PS C:\> New-DlpCompliancePolicy -Name <DLP Policy Name> -ExchangeLocation All
このサンプル DLP ポリシーのスコープは、organization内のすべてのユーザーです。 と -ExchangeSenderMemberOfException
を使用して DLP ポリシーのスコープを-ExchangeSenderMemberOf
設定します。
パラメーター | 構成 |
---|---|
-ContentContainsSensitiveInformation | 1 つ以上の秘密度ラベル条件を構成します。 このサンプルには 1 つが含まれています。 少なくとも 1 つのラベルが必須です。 |
-ExceptIfRecipientDomainIs | 信頼されたドメインの一覧。 |
-NotifyAllowOverride | "WithJustification" では、正当な理由ラジオ ボタンが有効になり、"WithoutJustification" によって無効になります。 |
-NotifyOverrideRequirements | "WithAcknowledgement" では、新しい受信確認オプションが有効になります。 これは省略可能です。 |
信頼されたドメインを使用して 警告 ポップアップを生成するように新しい DLP ルールを構成するには、この PowerShell コードを実行します。
PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator="Or";name="Default";labels=@(@{name=<Label GUID>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")
信頼されたドメインを使用して 正当 なポップアップを生成するように新しい DLP ルールを構成するには、この PowerShell コードを実行します。
PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com") -NotifyAllowOverride "WithJustification"
信頼されたドメインを使用して ブロック ポップアップを生成するように新しい DLP ルールを構成するには、この PowerShell コードを実行します。
PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")
ビジネス上の正当な理由 X ヘッダーにアクセスするには、次の手順に従います。
関連項目
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示