Insider リスク管理ポリシーInsider risk management policies

Insider リスク管理ポリシーは、スコープ内のユーザーと、アラート用に構成されているリスク インジケーターの種類を決定します。Insider risk management policies determine which users are in-scope and which types of risk indicators are configured for alerts. 組織内のすべてのユーザーに適用されるポリシーをすばやく作成したり、ポリシーの管理用に個々のユーザーまたはグループを定義することができます。You can quickly create a policy that applies to all users in your organization or define individual users or groups for management in a policy. ポリシーは、複数または特定の Microsoft Teams、SharePoint サイト、データの感度の種類、およびデータ ラベルにポリシー条件を集中するコンテンツの優先順位をサポートします。Policies support content priorities to focus policy conditions on multiple or specific Microsoft Teams, SharePoint sites, data sensitivity types, and data labels. テンプレートを使用すると、特定のリスク インジケーターを選択し、ポリシー インジケーターのイベントしきい値をカスタマイズし、効果的にリスク スコアをカスタマイズし、アラートのレベルと頻度をカスタマイズできます。Using templates, you can select specific risk indicators and customize event thresholds for policy indicators, effectively customizing risk scores, and level and frequency of alerts. さらに、リスク スコアの向上と異常検出は、重要度が高い、または異常なユーザー アクティビティを識別するのに役立ちます。Additionally, risk score boosters and anomaly detections help identify user activity that is of higher importance or more unusual. ポリシー ウィンドウを使用すると、ポリシーを適用してアクティビティに通知する期間を定義し、アクティブ化されたポリシーの期間を決定するために使用されます。Policy windows allow you to define the time frame to apply the policy to alert activities and are used to determine the duration of the policy once activated.

組み込みのポリシー テンプレートを使用して作成されたポリシーが潜在的なリスクに対して迅速にアクションを実行するのに役立つ方法の概要については 、「Insider Risk Management Policies Configuration」 ビデオをご覧ください。Check out the Insider Risk Management Policies Configuration video for an overview of how policies created with built-in policy templates can help you to quickly take action on potential risks.

ポリシー ダッシュボードPolicy dashboard

ポリシー ダッシュボードを 使用すると、組織内のポリシー、ポリシーの正常性、手動でポリシーにユーザーを追加し、各ポリシーに関連付けられているアラートの状態を表示できます。The Policy dashboard allows you to quickly see the policies in your organization, the health of the policy, manually add users to policies, and the view the status of alerts associated with each policy.

  • ポリシー名: ポリシー ウィザードでポリシーに割り当てられた名前。Policy name: The name assigned to the policy in the policy wizard.
  • Status: 各ポリシーの正常性状態。Status: The health status for each policy. ポリシーの警告と推奨事項の数、または問題のないポリシーの 状態 を表示します。Displays number of policy warnings and recommendations, or a status of Healthy for policies without issues. ポリシーをクリックすると、警告や推奨事項の正常性状態の詳細を確認できます。You can click on the policy to see the health status details for any warnings or recommendations.
  • アクティブなアラート: 各ポリシーのアクティブなアラートの数。Active alerts: The number of active alerts for each policy.
  • 確認済み アラート : 過去 365 日間にポリシーから発生したアラートの総数。Confirmed alerts: The total number of alerts the resulted in cases from the policy in the last 365 days.
  • アラートに対して実行 されたアクション: 過去 365 日間に確認または却下されたアラートの総数。Actions taken on alerts: The total number of alerts that were confirmed or dismissed for the last 365 days.
  • ポリシーアラートの有効性: 確認されたアラートの合計で決定された割合を、アラートに対して実行されたアクションの合計で割った値です (これは、過去 1 年間に確認または却下されたアラートの合計です)。Policy alert effectiveness: The percentage determined by total confirmed alerts divided by total actions taken on alerts (which is the sum of alerts that were confirmed or dismissed over the past year).

Insider リスク管理ポリシー ダッシュボード

分析からのポリシーの推奨事項 (プレビュー)Policy recommendations from analytics (preview)

Insider リスク分析を使用すると、インサイダー リスク ポリシーを構成することなく、組織内の潜在的なインサイダー リスクの評価を実行できます。Insider risk analytics enables you to conduct an evaluation of potential insider risks in your organization without configuring any insider risk policies. この評価は、組織が高いユーザー リスクの潜在的な領域を特定し、構成を検討できるインサイダー リスク管理ポリシーの種類と範囲を特定するのに役立ちます。This evaluation can help your organization identify potential areas of higher user risk and help determine the type and scope of insider risk management policies you may consider configuring.

インサイダー リスク分析とポリシーの推奨事項の詳細については、「Insider リスク管理の設定 : Analytics (プレビュー)」を参照してくださいTo learn more about insider risk analytics and policy recommendations, see Insider risk management settings: Analytics (preview).

ポリシー テンプレートPolicy templates

Insider リスク管理テンプレートは、ポリシーで使用されるリスク インジケーターとリスク スコアリング モデルの種類を定義する定義済みのポリシー条件です。Insider risk management templates are pre-defined policy conditions that define the types of risk indicators and risk scoring model used by the policy. ポリシーを作成する前に、各ポリシーにポリシー作成ウィザードでテンプレートが割り当てられている必要があります。Each policy must have a template assigned in the policy creation wizard before the policy is created. Insider リスク管理は、ポリシー テンプレートごとに最大 5 つのポリシーをサポートします。Insider risk management supports up to five policies for each policy template. ポリシー ウィザードを使用して新しいインサイダー リスク ポリシーを作成する場合は、次のいずれかのポリシー テンプレートから選択します。When you create a new insider risk policy with the policy wizard, you'll choose from one of the following policy templates:

ユーザーを退出してデータを盗むData theft by departing users

ユーザーが組織を離れる場合、通常、ユーザーを離れたユーザーによるデータ盗難に関連付けられた特定のリスク インジケーターがあります。When users leave your organization, there are specific risk indicators typically associated with data theft by departing users. このポリシー テンプレートは、リスク スコアリングに exfiltration インジケーターを使用し、このリスク領域での検出とアラートに焦点を当てします。This policy template uses exfiltration indicators for risk scoring and focuses on detection and alerts in this risk area. ユーザーが離職する場合のデータ盗難には、SharePoint Online からファイルをダウンロードし、ファイルを印刷し、雇用辞任と終了日に近い個人のクラウド メッセージングおよびストレージ サービスにデータをコピーする場合があります。Data theft for departing users may include downloading files from SharePoint Online, printing files, and copying data to personal cloud messaging and storage services near their employment resignation and end dates. Microsoft 365 HR コネクタを使用するか、組織の Azure Active Directory でユーザー アカウントの削除を自動的に監視するオプションを使用すると、このテンプレートは、これらのアクティビティに関連するリスク インジケーターのスコアリングと、ユーザーの雇用状態との関連付けを開始します。By using either the Microsoft 365 HR connector or the option to automatically monitor for user account deletion in Azure Active Directory for your organization, this template starts scoring for risk indicators relating to these activities and how they correlate with user employment status.

重要

このテンプレートを使用する場合は、組織のユーザーに対して定期的に辞任と終了日の情報をインポートする Microsoft 365 HR コネクタを構成できます。When using this template, you can configure a Microsoft 365 HR connector to periodically import resignation and termination date information for users in your organization. 組織の Microsoft 365 HR コネクタを構成する手順については、「HR コネクタを使用してデータをインポートする」の記事を参照してください。See the Import data with the HR connector article for step-by-step guidance to configure the Microsoft 365 HR connector for your organization. HR コネクタを使用しない場合は、ポリシー ウィザードでトリガー イベントを構成するときに、[Azure AD から削除されたユーザー アカウント] オプションを選択する必要があります。If you choose not to use the HR connector, you must select the User account deleted from Azure AD option when configuring trigger events in the policy wizard.

一般的なデータ リークGeneral data leaks

データの保護とデータ漏洩の防止は、特にユーザー、デバイス、およびサービスによって作成される新しいデータが急速に増加する中で、ほとんどの組織にとって絶え間ない課題です。Protecting data and preventing data leaks is a constant challenge for most organizations, particularly with the rapid grow of new data created by users, devices, and services. ユーザーは、データ 漏洩の管理がますます複雑で困難になるサービスやデバイス間で情報を作成、保存、共有できます。Users are empowered to create, store, and share information across services and devices that make managing data leaks increasingly more complex and difficult. データ漏洩には、組織外の情報の偶発的な過剰共有や悪意のあるデータの盗難が含まれる場合があります。Data leaks can include accidental oversharing of information outside your organization or data theft with malicious intent. 割り当てられたデータ損失防止 (DLP) ポリシーまたは組み込みのトリガー イベントを使用して、このテンプレートは、疑わしい SharePoint Online データのダウンロード、ファイルとフォルダーの共有、ファイルの印刷、個人クラウド メッセージングおよびストレージ サービスへのデータのコピーのリアルタイム検出のスコアリングを開始します。With an assigned Data Loss Prevention (DLP) policy or the built-in triggering event, this template starts scoring real-time detections of suspicious SharePoint Online data downloads, file and folder sharing, printing files, and copying data to personal cloud messaging and storage services.

データ リーク テンプレート を使用する 場合は、組織内の重要度の高いアラートのインサイダー リスク ポリシーのインジケーターをトリガーする DLP ポリシーを割り当てできます。When using a Data leaks template, you can assign a DLP policy to trigger indicators in the insider risk policy for high severity alerts in your organization. DLP ポリシー ルールによって重大度の高いアラートが生成されるたびに、Office 365 監査ログに追加されると、このテンプレートを使用して作成されたインサイダー リスク ポリシーは、重大度の高い DLP アラートを自動的に確認します。Whenever a high severity alert is generated by a DLP policy rule is added to the Office 365 audit log, insider risk policies created with this template automatically examine the high severity DLP alert. アラートにインサイダー リスク ポリシーで定義されたスコープ内ユーザーが含まれている場合、アラートはインサイダー リスク ポリシーによって新しいアラートとして処理され、インサイダー リスクの重大度とリスク スコアが割り当てられます。If the alert contains an in-scope user defined in the insider risk policy, the alert is processed by the insider risk policy as a new alert and assigned an insider risk severity and risk score. このポリシーを使用すると、ケースに含まれる他のアクティビティとコンテキストでこのアラートを評価できます。This policy allows you to evaluate this alert in context with other activities included in the case. DLP ポリシーを選択しない場合は、組み込みのトリガー イベントを選択する必要があります。If you don't choose a DLP policy, you must select the built-in triggering event.

データ 漏えいポリシーのガイドラインData leaks policy guidelines

インサイダー リスク管理ポリシーで使用する DLP ポリシーを作成または変更する場合は、次のガイドラインを検討してください。When creating or modifying DLP policies for use with insider risk management policies, consider the following guidelines:

  • DLP ポリシーでルールを構成する場合は、データの取り出しイベントに優先順位を付け、インシデント レポートの設定を High に割り当てるときに選択できます。Prioritize data exfiltration events and be selective when assigning Incident reports settings to High when configuring rules in your DLP policies. たとえば、機密性の高いドキュメントを既知の競合相手に電子メールで送信する場合は、高アラート レベルの exfiltration イベントである必要があります。For example, emailing sensitive documents to a known competitor should be a High alert level exfiltration event. 他の DLPポリシー ルールのインシデント レポート設定で高レベルを過剰に割り当てると、インサイダー リスク管理アラート ワークフローのノイズが増加し、データ調査担当者やアナリストがこれらのアラートを適切に評価するのが難しくなります。Over-assigning the High level in the Incident reports settings in other DLP policy rules can increase the noise in the insider risk management alert workflow and make it more difficult for your data investigators and analysts to properly evaluate these alerts. たとえば、DLP ポリシーで拒否アクティビティにアクセスするために高アラート レベルを割り当てると、本当に危険なユーザーの動作とアクティビティを評価する方が困難になります。For example, assigning High alert levels to access denial activities in DLP policies makes it more challenging to evaluate truly risky user behavior and activities.

  • DLP およびインサイダー リスク管理ポリシーの両方でスコープ内ユーザーを理解し、適切に構成してください。Make sure you understand and properly configure the in-scope users in both the DLP and insider risk management policies. データ リーク テンプレートを使用してインサイダー リスク管理ポリシーのスコープ内として定義されたユーザーだけが、重大度の高い DLP ポリシーアラートを処理します。Only users defined as in-scope for insider risk management policies using the Data leaks template will have high severity DLP policy alerts processed. さらに、重大度の高い DLP アラートのルールでスコープ内として定義されたユーザーだけが、インサイダー リスク管理ポリシーによって検討されます。Additionally, only users defined as in-scope in a rule for a high severity DLP alert will be examined by the insider risk management policy for consideration. DLP リスク ポリシーとインサイダー リスク ポリシーの両方で、スコープ内のユーザーを知らないうちに競合する方法で構成することが重要です。It is important that you don't unknowingly configure in-scope users in both your DLP and insider risk policies in a conflicting manner.

    たとえば、DLP ポリシー ルールが営業チームのユーザーのみを対象とし、データ リーク テンプレートから作成されたインサイダー リスク ポリシーによってすべてのユーザーがスコープ内として定義されている場合、インサイダー リスク ポリシーは実際には、営業チームのユーザーに対する重大度の高い DLP アラートのみを処理します。For example, if your DLP policy rules are scoped to only users on the Sales Team and the insider risk policy created from the Data leaks template has defined all users as in-scope, the insider risk policy will only actually process high severity DLP alerts for the users on the Sales Team. インサイダー リスク ポリシーは、この例の DLP ルールで定義されていないユーザーが処理する優先度の高い DLP アラートを受け取らない。The insider risk policy won't receive any high priority DLP alerts for users to process that aren't defined in the DLP rules in this example. 逆に、 データ 漏えいテンプレートから作成されたインサイダー リスク管理ポリシーが営業チームのユーザーのみを対象にし、割り当てられた DLP ポリシーがすべてのユーザーを対象にしている場合、インサイダー リスク ポリシーは、営業チームのメンバーに対する重大度の高い DLP アラートのみを処理します。Conversely, if your insider risk management policy created from Data leaks templates is scoped to only users on the Sales Team and the assigned DLP policy is scoped to all users, the insider risk policy will only process high severity DLP alerts for members of the Sales Team. インサイダー リスク管理ポリシーは、営業チームではなくすべてのユーザーに対する重大度の高い DLP アラートを無視します。The insider risk management policy will ignore high severity DLP alerts for all users not on the Sales Team.

  • このインサイダー リスク管理 テンプレートに使用される DLP ポリシーのインシデント レポート ルール設定が、重大度の高いアラート に構成されていることを確認します。Make sure the Incident reports rule setting in the DLP policy used for this insider risk management template is configured for High severity level alerts. 重大度 高いレベルはトリガー イベントであり、インサイダー リスク管理アラートは、[インシデント レポート] フィールドが[低] または [中] に設定された DLP ポリシーのルール から生成**されませんThe High severity level is the triggering events and insider risk management alerts won't be generated from rules in DLP policies with the Incident reports field set at Low or Medium.

    DLP ポリシーアラートの設定

    注意

    組み込みのテンプレートを使用して新しい DLP ポリシーを作成する場合は、[高度な DLP ルールの作成またはカスタマイズ]オプションを選択して、重大度の高いレベルのインシデント レポート設定を構成する必要があります。When creating a new DLP policy using the built-in templates, you'll need to select the Create or customize advanced DLP rules option to configure the Incident reports setting for the High severity level.

データ リーク テンプレートから作成された各インサイダー リスク管理 ポリシーには 、1 つの DLP ポリシーしか割り当てできません。Each insider risk management policy created from the Data leaks template can only have one DLP policy assigned. 検出するさまざまなアクティビティを組み合わせた専用の DLP ポリシーを作成し、データ リーク テンプレートを使用するインサイダー リスク ポリシーのトリガー イベントとして 機能 します。Consider creating a dedicated DLP policy that combines the different activities you want to detect and act as triggering events for insider risk policies that use the Data leaks template.

組織の DLP ポリシーを 構成する手順については、「DLP ポリシーの作成、テスト、調整」の記事を参照してください。See the Create, test, and tune a DLP policy article for step-by-step guidance to configure DLP policies for your organization.

優先ユーザーによるデータ 漏洩 (プレビュー)Data leaks by priority users (preview)

組織内のユーザーのデータ保護とデータ漏洩の防止は、そのユーザーの位置、機密情報へのアクセスレベル、リスク履歴によって異なります。Protecting data and preventing data leaks for users in your organization may depend on their position, level of access to sensitive information, or risk history. データ漏洩には、組織外の機密性の高い情報の偶発的な過剰共有や、悪意のある意図を持つデータの盗難が含まれる場合があります。Data leaks can include accidental oversharing of highly sensitive information outside your organization or data theft with malicious intent. 割り当てられたデータ損失防止 (DLP) ポリシーを使用すると、このテンプレートは疑わしいアクティビティのリアルタイム検出のスコアリングを開始し、重大度レベルが高いインサイダー リスクアラートとアラートの可能性が高くなります。With an assigned Data Loss Prevention (DLP) policy, this template starts scoring real-time detections of suspicious activity and result in an increased likelihood of insider risk alerts and alerts with higher severity levels. 優先度ユーザーは、インサイダー リスク 管理設定領域 で構成された優先度ユーザー グループで定義されます。Priority users are defined in priority user groups configured in the insider risk management settings area.

[一般データ リーク] テンプレートと同様に、組織内の重大度の高いアラートのインサイダー リスク ポリシーのインジケーターをトリガーする DLP ポリシーを割り当てる必要があります。As with the General data leaks template, you must assign a DLP policy to trigger indicators in the insider risk policy for high severity alerts in your organization. このテンプレートを使用してポリシーを作成する場合は、上記のデータ 漏洩ポリシー ガイドラインに従います。Follow the Data leaks policy guidelines above when creating a policy using this template. さらに、Insider リスク管理設定優先度ユーザー グループで作成された優先度ユーザー グループをポリシーに割り当 > > てる 必要があります。Additionally, you will need to assign priority user groups created in Insider risk management > Settings > Priority user groups to the policy.

不満を持つユーザーによるデータ リーク (プレビュー)Data leaks by disgruntled users (preview)

ユーザーが雇用ストレスを経験すると、不満が生じ、インサイダーリスク活動の可能性が高くなる可能性があります。When users experience employment stressors, they may become disgruntled, which may increase the chances of insider risk activity. このテンプレートは、disgruntlement に関連付けられたインジケーターが識別されると、ユーザー アクティビティのスコアリングを開始します。This template starts scoring user activity when an indicator associated with disgruntlement is identified. たとえば、パフォーマンス向上の通知、パフォーマンスの低いレビュー、ジョブ レベルの状態の変更などです。Examples include performance improvement notifications, poor performance reviews, or changes to job level status. 不満を持つユーザーのデータ リークには、SharePoint Online からファイルをダウンロードし、個人のクラウド メッセージングやストレージ サービスにコピーして、雇用ストレスイベントに近い場所で行う場合があります。Data leaks for disgruntled users may include downloading files from SharePoint Online and copying data to personal cloud messaging and storage services near employment stressor events.

このテンプレートを使用する場合は、Microsoft 365 HR コネクタを構成して、組織のユーザーのパフォーマンス向上通知、パフォーマンスの低いレビュー状態、またはジョブ レベルの変更情報を定期的にインポートする必要があります。When using this template, you must also configure a Microsoft 365 HR connector to periodically import performance improvement notifications, poor performance review status, or job level change information for users in your organization. 組織の Microsoft 365 HR コネクタを構成する手順については、「HR コネクタを使用してデータをインポートする」の記事を参照してください。See the Import data with the HR connector article for step-by-step guidance to configure the Microsoft 365 HR connector for your organization.

一般的なセキュリティ ポリシー違反 (プレビュー)General security policy violations (preview)

多くの組織では、ユーザーはデバイスにソフトウェアをインストールしたり、タスクに役立つデバイス設定を変更したりする権限を持っています。In many organizations, users have permission to install software on their devices or to modify device settings to help with their tasks. 誤って、または悪意のある意図を持つユーザーは、マルウェアをインストールしたり、デバイスまたはネットワーク リソース上の情報を保護するのに役立つ重要なセキュリティ機能を無効にしたりする可能性があります。Either inadvertently or with malicious intent, users may install malware or disable important security features that help protect information on their device or on your network resources. このポリシー テンプレートは、Microsoft Defender for Endpoint からのセキュリティ アラートを使用して、これらのアクティビティのスコア付けと、このリスク領域へのフォーカス検出とアラートを開始します。This policy template uses security alerts from Microsoft Defender for Endpoint to start scoring these activities and focus detection and alerts to this risk area. このテンプレートを使用して、ユーザーがインサイダー リスクの指標になる可能性があるセキュリティ ポリシー違反の履歴がある可能性があるシナリオで、セキュリティ ポリシー違反に関する分析情報を提供します。Use this template to provide insights for security policy violations in scenarios when users may have a history of security policy violations that may be an indicator of insider risk.

Microsoft Defender for Endpoint を組織で構成し、Defender セキュリティ センターで Defender for Endpoint for Insider リスク管理統合を有効にしてセキュリティ違反アラートをインポートする必要があります。You'll need to have Microsoft Defender for Endpoint configured in your organization and enable Defender for Endpoint for insider risk management integration in the Defender Security Center to import security violation alerts. Insider リスク管理統合のための Defender for Endpoint の構成の詳細については、「Defender for Endpoint で高度な機能を構成 する」を参照してくださいFor more information on configuring Defender for Endpoint for insider risk management integration, see Configure advanced features in Defender for Endpoint.

ユーザーの退出によるセキュリティ ポリシー違反 (プレビュー)Security policy violations by departing users (preview)

ユーザーを退出する場合は、正または負の条件を残す場合でも、セキュリティ ポリシー違反のリスクが高くなる可能性があります。Departing users, whether leaving on positive or negative terms, may be higher risks for security policy violations. このポリシー テンプレートは、ユーザーを退出する不注意または悪意のあるセキュリティ違反から保護するために、Defender for Endpoint アラートを使用して、セキュリティ関連のアクティビティに関する分析情報を提供します。To help protect against inadvertent or malicious security violations for departing users, this policy template uses Defender for Endpoint alerts to provide insights into security-related activities. これらのアクティビティには、マルウェアや他の潜在的に有害なアプリケーションをインストールするユーザーや、デバイスでセキュリティ機能を無効にしているユーザーが含まれます。These activities include the user installing malware or other potentially harmful applications and disabling security features on their devices. Microsoft 365 HRコネクタを使用するか、組織の Azure Active Directory でユーザー アカウントの削除を自動的に監視するオプションを使用すると、このテンプレートは、これらのセキュリティ アクティビティに関連するリスク インジケーターのスコアリングと、ユーザーの雇用状態との関連付けを開始します。By using either the Microsoft 365 HR connector or the option to automatically monitor for user account deletion in Azure Active Directory for your organization, this template starts scoring for risk indicators relating to these security activities and how they correlate with user employment status.

Microsoft Defender for Endpoint を組織で構成し、Defender セキュリティ センターで Defender for Endpoint for Insider リスク管理統合を有効にしてセキュリティ違反アラートをインポートする必要があります。You'll need to have Microsoft Defender for Endpoint configured in your organization and enable Defender for Endpoint for insider risk management integration in the Defender Security Center to import security violation alerts. Insider リスク管理統合のための Defender for Endpoint の構成の詳細については、「Defender for Endpoint で高度な機能を構成 する」を参照してくださいFor more information on configuring Defender for Endpoint for insider risk management integration, see Configure advanced features in Defender for Endpoint.

優先ユーザーによるセキュリティ ポリシー違反 (プレビュー)Security policy violations by priority users (preview)

組織内のユーザーのセキュリティ違反から保護するには、そのユーザーの位置、機密情報へのアクセスレベル、リスク履歴が異なります。Protecting against security violations for users in your organization may depend on their position, level of access to sensitive information, or risk history. 優先ユーザーによるセキュリティ違反は組織の重要な領域に大きな影響を与える可能性があるため、このポリシー テンプレートは、これらのインジケーターのスコアリングを開始し、Microsoft Defender for Endpoint アラートを使用して、これらのユーザーにセキュリティ関連のアクティビティに関する分析情報を提供します。Because security violations by priority users may have a significant impact on your organization's critical areas, this policy template starts scoring on these indicators and uses Microsoft Defender for Endpoint alerts to provide insights into security-related activities for these users. これらのアクティビティには、優先度の高いユーザーがマルウェアや他の潜在的に有害なアプリケーションをインストールし、デバイスでセキュリティ機能を無効にしている可能性があります。These activities may include the priority users installing malware or other potentially harmful applications and disabling security features on their devices. 優先度ユーザーは、インサイダー リスク管理設定領域で構成された優先度ユーザー グループで定義されます。Priority users are defined in priority user groups configured in the insider risk management settings area.

Microsoft Defender for Endpoint を組織で構成し、Defender セキュリティ センターで Defender for Endpoint for Insider リスク管理統合を有効にしてセキュリティ違反アラートをインポートする必要があります。You'll need to have Microsoft Defender for Endpoint configured in your organization and enable Defender for Endpoint for insider risk management integration in the Defender Security Center to import security violation alerts. Insider リスク管理統合のための Defender for Endpoint の構成の詳細については、「Defender for Endpoint で高度な機能を構成 する」を参照してくださいFor more information on configuring Defender for Endpoint for insider risk management integration, see Configure advanced features in Defender for Endpoint. さらに、Insider リスク管理設定優先度ユーザー グループで作成された優先度ユーザー グループをポリシーに割り当 > > てる 必要があります。Additionally, you will need to assign priority user groups created in Insider risk management > Settings > Priority user groups to the policy.

不満を持つユーザーによるセキュリティ ポリシー違反 (プレビュー)Security policy violations by disgruntled users (preview)

雇用ストレスを経験するユーザーは、不注意または悪意のあるセキュリティ ポリシー違反のリスクが高くなる可能性があります。Users that experience employment stressors may be at a higher risk for inadvertent or malicious security policy violations. これらのストレスには、パフォーマンス向上計画に配置されているユーザー、パフォーマンスレビューの状態が悪い、または現在の位置から降格されているユーザーが含まれる場合があります。These stressors may include the user being placed on a performance improvement plan, poor performance review status, or being demoted from their current position. このポリシー テンプレートは、これらのユーザーのこれらのイベントに関連付けられたこれらのインジケーターとアクティビティに基づいてリスク スコアリングを開始します。This policy template starts risk scoring based on these indicators and activities associated with these events for these users.

このテンプレートを使用する場合は、Microsoft 365 HR コネクタを構成して、組織のユーザーのパフォーマンス向上通知、パフォーマンスの低いレビュー状態、またはジョブ レベルの変更情報を定期的にインポートする必要があります。When using this template, you must also configure a Microsoft 365 HR connector to periodically import performance improvement notifications, poor performance review status, or job level change information for users in your organization. 組織の Microsoft 365 HR コネクタを構成する手順については、「HR コネクタを使用してデータをインポートする」の記事を参照してください。See the Import data with the HR connector article for step-by-step guidance to configure the Microsoft 365 HR connector for your organization.

また、Microsoft Defender for Endpoint を組織内で構成し、Defender セキュリティ センターで Defender for Endpoint for Insider リスク管理統合を有効にして、セキュリティ違反アラートをインポートする必要があります。You'll also need to have Microsoft Defender for Endpoint configured in your organization and enable Defender for Endpoint for insider risk management integration in the Defender Security Center to import security violation alerts. Insider リスク管理統合のための Defender for Endpoint の構成の詳細については、「Defender for Endpoint で高度な機能を構成 する」を参照してくださいFor more information on configuring Defender for Endpoint for insider risk management integration, see Configure advanced features in Defender for Endpoint.

ポリシー テンプレートの前提条件とトリガー イベントPolicy template prerequisites and triggering events

インサイダー リスク管理ポリシーに選択するテンプレートに応じて、トリガーイベントとポリシーの前提条件は異なります。Depending on the template you choose for an insider risk management policy, the triggering events and policy prerequisites vary. イベントのトリガーは、ユーザーがインサイダー リスク管理ポリシーでアクティブかどうかを判断する前提条件です。Triggering events are prerequisites that determine if a user is active for an insider risk management policy. ユーザーがインサイダー リスク管理ポリシーに追加され、トリガー イベントがない場合、ユーザー アクティビティは、ユーザー ダッシュボードに手動で追加されない限り、ポリシーによって評価されません。If a user is added to an insider risk management policy but does not have a triggering event, the user activity is not evaluated by the policy unless they are manually added in the Users dashboard. ポリシーの前提条件は、ポリシーがリスクを評価するために必要なシグナルまたはアクティビティを受信するために必要なアイテムです。Policy prerequisites are required items so that the policy receives the signals or activities necessary to evaluate risk.

次の表に、各インサイダー リスク管理ポリシー テンプレートから作成されたポリシーのトリガー イベントと前提条件を示します。The following table lists the triggering events and prerequisites for policies created from each insider risk management policy template:

ポリシー テンプレートPolicy template ポリシーのイベントのトリガーTriggering events for policies 前提条件Prerequisites
ユーザーを退出してデータを盗むData theft by departing users HR コネクタからの辞任または終了日付インジケーターResignation or termination date indicator from HR connector (省略可能)終了および辞任日インジケーターまたは Azure Active Directory 統合が有効に構成されている Microsoft 365 HR コネクタ(optional) Microsoft 365 HR connector configured for termination and resignation date indicators or Azure Active Directory integration enabled
一般的なデータ リークGeneral data leaks 重大度の高いアラートを作成するデータ リーク ポリシー アクティビティData leak policy activity that creates a High severity alert (省略可能)重大度の高いアラートまたは組み込みのデータの抜粋トリガー イベント用に構成された DLP ポリシー(optional) DLP policy configured for High severity alerts or built-in data exfiltration triggering event
優先ユーザーによるデータ 漏洩Data leaks by priority users 重大度の高いアラートまたは組み込みの exfiltration イベント トリガーを作成するデータ リーク ポリシー アクティビティData leak policy activity that creates a High severity alert or built-in exfiltration event triggers (省略可能)重大度の高いアラート用に構成された DLP ポリシー(optional) DLP policy configured for High severity alerts

インサイダー リスク設定で構成された優先度のユーザー グループPriority user groups configured in insider risk settings
不満を持つユーザーによるデータ リークData leaks by disgruntled users HR コネクタからのパフォーマンスの向上、パフォーマンスの低下、またはジョブ レベルの変更インジケーターPerformance improvement, poor performance, or job level change indicators from HR connector Microsoft 365 HR コネクタが不縮インジケーター用に構成されているMicrosoft 365 HR connector configured for disgruntlement indicators
一般的なセキュリティ ポリシー違反General security policy violations Microsoft Defender for Endpoint によって検出されたセキュリティ制御または望ましくないソフトウェアの防御的回避Defensive evasion of security controls or unwanted software detected by Microsoft Defender for Endpoint Active Microsoft Defender for Endpoint サブスクリプションActive Microsoft Defender for Endpoint subscription

Microsoft Defender for Endpoint との統合と Microsoft 365 コンプライアンス センターの構成Microsoft Defender for Endpoint integration with Microsoft 365 compliance center configured
ユーザーの退出によるセキュリティ ポリシー違反Security policy violations by departing users HR コネクタまたは Azure Active Directory アカウントの削除からの辞任または終了日付インジケーターResignation or termination date indicators from HR connector or Azure Active Directory account deletion (省略可能)終了および辞任日インジケーター用に構成された Microsoft 365 HR コネクタ(optional) Microsoft 365 HR connector configured for termination and resignation date indicators

Active Microsoft Defender for Endpoint サブスクリプションActive Microsoft Defender for Endpoint subscription

Microsoft Defender for Endpoint との統合と Microsoft 365 コンプライアンス センターの構成Microsoft Defender for Endpoint integration with Microsoft 365 compliance center configured
優先度ユーザーによるセキュリティ ポリシー違反Security policy violations by priority users Microsoft Defender for Endpoint によって検出されたセキュリティ制御または望ましくないソフトウェアの防御的回避Defensive evasion of security controls or unwanted software detected by Microsoft Defender for Endpoint Active Microsoft Defender for Endpoint サブスクリプションActive Microsoft Defender for Endpoint subscription

Microsoft Defender for Endpoint との統合と Microsoft 365 コンプライアンス センターの構成Microsoft Defender for Endpoint integration with Microsoft 365 compliance center configured

インサイダー リスク設定で構成された優先度のユーザー グループPriority user groups configured in insider risk settings
不満を持つユーザーによるセキュリティ ポリシー違反Security policy violations by disgruntled user HR コネクタからのパフォーマンスの向上、パフォーマンスの低下、またはジョブ レベルの変更インジケーターPerformance improvement, poor performance, or job level change indicators from HR connector Microsoft 365 HR コネクタが不縮インジケーター用に構成されているMicrosoft 365 HR connector configured for disgruntlement indicators

Active Microsoft Defender for Endpoint サブスクリプションActive Microsoft Defender for Endpoint subscription

Microsoft Defender for Endpoint との統合と Microsoft 365 コンプライアンス センターの構成Microsoft Defender for Endpoint integration with Microsoft 365 compliance center configured

ポリシー内のコンテンツの優先順位付けPrioritize content in policies

Insider リスク管理ポリシーでは、コンテンツの保存場所や分類方法に応じて、コンテンツの優先度を高く指定できます。Insider risk management policies support specifying a higher priority for content depending on where it is stored or how it is classified. コンテンツを優先度として指定すると、関連付けられたアクティビティのリスク スコアが上がり、重大度の高いアラートが生成される可能性が高くなります。Specifying content as a priority increases the risk score for any associated activity, which in turn increases the chance of generating a high severity alert. ただし、関連するコンテンツに組み込みまたはカスタムの機密情報の種類が含まれているか、ポリシーで優先度として指定されていない限り、一部のアクティビティではアラートが生成されません。However, some activities won't generate an alert at all unless the related content contains built-in or custom sensitive info types or was specified as a priority in the policy.

たとえば、組織には、機密性の高いプロジェクト用の専用の SharePoint サイトがあります。For example, your organization has a dedicated SharePoint site for a highly confidential project. この SharePoint サイトの情報に関するデータ 漏洩は、プロジェクトを危険にさらす可能性があります。その成功に大きな影響を与える可能性があります。Data leaks for information in this SharePoint site could compromise the project and would have a significant impact on its success. データ リーク ポリシーでこの SharePoint サイトを優先順位付けすることで、対象となるアクティビティのリスク スコアが自動的に増加します。By prioritizing this SharePoint site in a Data leaks policy, risk scores for qualifying activities are automatically increased. この事前設定により、これらのアクティビティがインサイダー リスク アラートを生成する可能性が高く、アラートの重大度レベルが上がります。This prioritization increases the likelihood that these activities generate an insider risk alert and raises the severity level for the alert.

ポリシー ウィザードでインサイダー リスク管理ポリシーを作成する場合は、次の優先順位から選択できます。When you create an insider risk management policy in the policy wizard, you can choose from the following priorities:

  • SharePoint サイト: 定義された SharePoint サイト内のすべてのファイルの種類に関連付けられたすべてのアクティビティに、より高いリスク スコアが割り当てられます。SharePoint sites: Any activity associated with all file types in defined SharePoint sites is assigned a higher risk score.
  • 機密情報の種類: 機密情報の種類を含むコンテンツに関連付けられているアクティビティ には 、より高いリスク スコアが割り当てられます。Sensitive information types: Any activity associated with content that contains sensitive information types are assigned a higher risk score.
  • 感度ラベル: 特定の感度ラベルが適用されているコンテンツに関連付けられている アクティビティには、 より高いリスク スコアが割り当てられます。Sensitivity labels: Any activity associated with content that has specific sensitivity labels applied are assigned a higher risk score.

シーケンス検出 (プレビュー)Sequence detection (preview)

リスクの高いアクティビティは、分離イベントとして発生しない場合があります。Risky activities may not occur as isolated events. これらのリスクは、多くの場合、より大きな一連のイベントの一部です。These risks are frequently part of a larger sequence of events. シーケンスとは、リスクの上昇を示唆する可能性がある 2 つ以上のユーザー アクティビティのグループです。A sequence is a group of two or more user activities performed one after the other that might suggest an elevated risk. これらの関連するアクティビティを特定することが、全体的なリスクを評価する重要な部分です。Identifying these related activities is an important part of evaluating overall risk. データ盗難またはデータ 漏洩ポリシーに対してシーケンス検出が有効になっている場合は、インサイダー リスク管理ケース内の [ ユーザー アクティビティ] タブにシーケンス情報アクティビティからの分析情報が表示されます。When sequence detection is enabled for data theft or data leaks policies, insights from sequence information activities are displayed on the User activity tab within an insider risk management case. 次のポリシー テンプレートは、シーケンス検出をサポートします。The following policy templates support sequence detection:

  • ユーザーを退出してデータを盗むData theft by departing users
  • 一般的なデータ リークGeneral data leaks
  • 優先ユーザーによるデータ 漏洩Data leaks by priority users
  • 不満を持つユーザーによるデータ リークData leaks by disgruntled users

これらのインサイダー リスク管理ポリシーでは、特定のインジケーターと発生する順序を使用して、一連のリスクの各ステップを検出できます。These insider risk management policies can use specific indicators and the order that they occur to detect each step in a sequence of risk. ファイル名は、シーケンス間でアクティビティをマッピングするときに使用されます。File names are used when mapping activities across a sequence. これらのリスクは、次の 4 つの主要なカテゴリのアクティビティに分類されます。These risks are organized into four main categories of activity:

  • コレクション: これらのカテゴリは、スコープ内のポリシー ユーザーによるダウンロード アクティビティに焦点を当て合っています。Collection: These category signals focus on download activities by in-scope policy users. このカテゴリのアクティビティの例は、SharePoint サイトからファイルをダウンロードする場合です。An example activity in this category would be downloading files from SharePoint sites.
  • Exfiltration: これらのカテゴリは、スコープ内のポリシー ユーザーによる内部および外部ソースへの共有または抽出アクティビティに重点を置いて示します。Exfiltration: These category signals focus on sharing or extraction activities to internal and external sources by in-scope policy users. このカテゴリのアクティビティの例は、組織から外部の受信者に添付ファイルを含むメールを送信する場合です。An example activity in this category would be sending emails with attachments from your organization to external recipients.
  • 難読化: これらのカテゴリは、スコープ内のポリシー ユーザーによるリスクの高いアクティビティのマスキングに焦点を当て合っています。Obfuscation: These category signals focus on the masking of risky activities by in-scope policy users. このカテゴリのアクティビティの例は、デバイス上のファイルの名前を変更します。An example activity in this category would be renaming files on a device.
  • クリーンアップ: これらのカテゴリは、スコープ内のポリシー ユーザーによる削除アクティビティに重点を置くシグナルです。Clean-up: These category signals focus on deletion activities by in-scope policy users. このカテゴリのアクティビティの例は、デバイスからファイルを削除する場合です。An example activity in this category would be deleting files from a device.

注意

シーケンス検出では、インサイダー リスク管理のグローバル設定で有効になっているインジケーターと、ポリシーで選択されたインジケーターを使用します。Sequence detection uses indicators that are enabled in the global settings for insider risk management and indicators that are selected in a policy. 適切なインジケーターが選択されていない場合、シーケンス検出は機能しません。If appropriate indicators are not selected, sequence detection will not work.

ポリシーで構成すると、シーケンス検出の種類ごとに個別のしきい値設定をカスタマイズできます。You can customize individual threshold settings for each sequence detection type when configured in the policy. これらのしきい値設定は、シーケンスに関連付けられたファイルの量に基づいてアラートを調整します。These threshold settings adjust alerts based on the volume of files associated with the sequence.

[ユーザー アクティビティ] ビューのシーケンス検出管理の詳細については、「Insider リスク管理ケース: ユーザー アクティビティ」を参照してくださいTo learn more about sequence detection management in the User activity view, see Insider risk management cases: User activity.

累積的な外見検出 (プレビュー)Cumulative exfiltration detection (preview)

インサイダー リスク インジケーターは、インサイダー リスク ポリシーのスコープ内にあるユーザーに対して毎日評価される、異常なレベルのリスク アクティビティを特定するのに役立ちます。Insider risk indicators help identify unusual levels of risk activities when evaluated daily for users that are in-scope for insider risk policies. 累積的なエクストレーション検出では、機械学習モデルを使用して、ユーザーのエクストレーション アクティビティが、時間の長い期間および複数のエクストレーション アクティビティの種類を超えて測定された場合に、組織の平均を超えた場合の識別に役立ちます。Cumulative exfiltration detection uses machine learning models to help you identify when user exfiltration activities exceed the organizational averages when measured over time and over multiple exfiltration activity types. インサイダーリスク管理アナリストと調査担当者は、累積的なエクストレーション検出の分析情報を使用して、通常はアラートを生成しない可能性があるが、組織の一般的なアクティビティよりも上にある可能性のある外用アクティビティを特定するのに役立ちます。Insider risk management analysts and investigators may use cumulative exfiltration detection insights to help identify exfiltration activities that may not typically generate alerts but are above what is typical for their organization. 一部の例では、ユーザーが数日間にわたってデータを徐々に削除したり、ユーザーが組織のデータ共有のために通常よりも複数のチャネルでデータを繰り返し共有したりしている場合があります。Some examples may be departing users slowly exfiltrate data across a range of days, or when users repeatedly share data across multiple channels more than usual for data sharing for your organization.

次のポリシー テンプレートを使用すると、既定で累積的な外見検出が有効になります。Cumulative exfiltration detection is enabled by default when using the following policy templates:

  • ユーザーを退出してデータを盗むData theft by departing users
  • 一般的なデータ リークGeneral data leaks
  • 優先ユーザーによるデータ 漏洩Data leaks by priority users
  • 不満を持つユーザーによるデータ リークData leaks by disgruntled users

注意

累積的なエクストレーション検出では、ポリシーで選択されたインサイダー リスク管理およびエクストレーション インジケーターのグローバル設定で有効になっている exfiltration インジケーターを使用します。Cumulative exfiltration detection uses exfiltration indicators that are enabled in the global settings for insider risk management and exfiltration indicators that are selected in a policy. そのため、累積的な外ろ過検出は、選択された必要な外用インジケーターに対してのみ評価されます。As such, cumulative exfiltration detection is only evaluated for the necessary exfiltration indicators selected.

データの盗難またはデータ 漏洩ポリシーに対して累積的な流出検出が有効になっている場合、インサイダー リスク管理ケース内の [ユーザー アクティビティ] タブに、累積的な流出アクティビティからの分析情報が表示されます。When cumulative exfiltration detection is enabled for data theft or data leak policies, insights from cumulative exfiltration activities are displayed on the User activity tab within an insider risk management case.

ユーザー アクティビティ管理の詳細については、「Insider リスク管理ケース: ユーザー アクティビティ」 を参照してくださいTo learn more about the User activity management, see Insider risk management cases: User activities.

ポリシーの正常性 (プレビュー)Policy health (preview)

ポリシーの正常性状態は、インサイダー リスク管理ポリシーに関する潜在的な問題に関する分析情報を提供します。The policy health status gives you insights into potential issues with your insider risk management policies. [ポリシー] タブの [状態] 列では、ユーザー のアクティビティが報告されるのを妨げる可能性があるポリシーの問題や、アクティビティアラートの数が異常である理由を警告できます。The Status column on the Policies tab can alert you to policies issues that may prevent user activity from being reported or why the number of activity alerts is unusual. ポリシーの正常性状態は、ポリシーが正常であり、注意や構成の変更を必要としない場合も確認できます。The policy health status can also confirm that the policy is healthy and doesn't need attention or configuration changes.

ポリシーに問題がある場合、ポリシーの正常性状態には、ポリシーの問題を解決するためのアクションを実行するための通知の警告と推奨事項が表示されます。If there are issues with a policy, the policy health status displays notification warnings and recommendations to help you take action to resolve policy issues. これらの通知は、次の問題を解決するのに役立ちます。These notifications can help you resolve the following issues:

  • 構成が不完全なポリシー。Policies with incomplete configuration. これらの問題には、ポリシーの不足しているユーザーまたはグループ、または他の不完全なポリシー構成手順が含まれる場合があります。These issues may include missing users or groups in the policy or other incomplete policy configuration steps.
  • インジケーター構成の問題を含むポリシー。Policies with indicator configuration issues. インジケーターは、各ポリシーの重要な部分です。Indicators are an important part of each policy. インジケーターが構成されていない場合、またはインジケーターが少なすぎる場合、ポリシーはリスクの高いアクティビティを予想通り評価しない可能性があります。If indicators aren't configured, or if too few indicators are selected, the policy may not evaluate risky activities as expected.
  • ポリシー トリガーが機能しないか、ポリシー トリガーの要件が正しく構成されていません。Policy triggers aren't working, or policy trigger requirements aren't properly configured. ポリシー機能は、他のサービスや構成要件に依存して、トリガー イベントを効果的に検出して、ポリシー内のユーザーに対するリスク スコア割り当てをアクティブ化します。Policy functionality may depend on other services or configuration requirements to effectively detect triggering events to activate risk score assignment to users in the policy. これらの依存関係には、コネクタ構成、Microsoft Defender for Endpoint アラート共有、またはデータ損失防止ポリシー構成設定に関する問題が含まれる場合があります。These dependencies may include issues with connector configuration, Microsoft Defender for Endpoint alert sharing, or data loss prevention policy configuration settings.
  • ボリューム制限が近い、または制限を超えています。Volume limits are nearing or over limits. Insider リスク管理ポリシーでは、多数の Microsoft 365 サービスとエンドポイントを使用してリスク アクティビティシグナルを集約します。Insider risk management policies use numerous Microsoft 365 services and endpoints to aggregate risk activity signals. ポリシー内のユーザー数によっては、ボリューム制限によってリスク アクティビティの識別と報告が遅れる場合があります。Depending on the number of users in your policies, volume limits may delay identification and reporting of risk activities. これらの制限の詳細については、この記事の「ポリシー テンプレートの制限」セクションを参照してください。Learn more about these limits in the Policy template limits section of this article.

ポリシーの正常性状態をすばやく表示するには、[ポリシー] タブと [状態] 列を移動します。To quickly view the health status for a policy, navigate the Policy tab and the Status column. ここでは、ポリシーごとに次のポリシー正常性状態オプションが表示されます。Here you will see the following policy health status options for each policy:

  • 正常: ポリシーで問題が特定されていない。Healthy: No issues have been identified with the policy.
  • 推奨事項: ポリシーに関して、ポリシーが予期した通り動作しなかねない問題があります。Recommendations: There are some issues with the policy that may prevent the policy from operating as expected.
  • 警告: ポリシーに問題が発生し、リスクの高いアクティビティを特定しきれなWarnings: There are issues with the policy that will prevent it from identifying risky activities.

推奨事項または警告の詳細については、[ポリシー] タブでポリシーを選択してポリシーの詳細カードを開きます。For more details about any recommendations or warnings, select a policy on the Policy tab to open the policy details card. これらの問題に対処する方法に関するガイダンスを含む推奨事項と警告の詳細については、詳細カードの [通知] セクションに表示されます。More information about the recommendations and warnings, including guidance on how to address these issues, will be displayed in the Notifications section of the details card.

Insider リスク管理ポリシーの正常性

次の表を使用して、潜在的な問題を解決するための推奨事項と警告通知とアクションについて説明します。Use the following table to learn more about recommendations and warning notifications and actions to take to resolve potential issues.

通知メッセージNotification messages ポリシー テンプレートPolicy templates 原因 / 修正するには、このアクションを試してくださいCauses / Try this action to fix
ポリシーがアクティビティにリスク スコアを割り当てないPolicy isn't assigning risk scores to activity すべてのポリシー テンプレートAll policy templates ポリシーのスコープを確認し、イベント構成をトリガーして、ポリシーがリスク スコアをアクティビティに割り当て可能な場合があります。You may want to review your policy scope and triggering event configuration so that the policy can assign risk scores to activity

1. ポリシーで選択されているユーザーを確認します。1. Review the users that are selected for the policy. 選択したユーザーが少ない場合は、追加のユーザーを選択できます。If you have few users selected, you may want to select additional users.
2. HR コネクタを使用している場合は、HR コネクタが正しいデータを送信していることを確認します。2. If you're using an HR connector, check that your HR connector is sending the correct data.
3. トリガー イベントとして DLP ポリシーを使用している場合は、DLP ポリシー構成を確認して、このポリシーで使用するように構成されていることを確認します。3. If you're using a DLP policy as your triggering event, check your DLP policy configuration to ensure it is configured to be used in this policy.
4. セキュリティ違反ポリシーについては、「Insider リスク設定」で選択されている Microsoft Defender for Endpoint アラートトリアージの状態を確認し、インテリジェント>確認します。4. For security violation policies, review the Microsoft Defender for Endpoint alert triage status selected in Insider risk settings > Intelligent detections. アラート フィルターが狭すぎずに確認します。Confirm that the alert filter isn't too narrow.
ポリシーがアラートを生成しないPolicy hasn't generated any alerts すべてのポリシー テンプレートAll policy templates 必要なアクティビティのスコアを分析するために、ポリシー構成を確認できます。You may want to review your policy configuration so that you are analyzing the scoring the activity that you care about.

1. スコア付けするインジケーターが選択されているのを確認します。1. Confirm that you've selected indicators that you want to score. 選択されているインジケーターが多い場合、より多くのアクティビティにリスク スコアが割り当てられます。The more indicators selected, the more activities are assigned risk scores.
2. ポリシーのしきい値のカスタマイズを確認します。2. Review threshold customization for policy. 選択したしきい値が組織のリスク許容値と一致しない場合は、選択内容を調整して、希望するしきい値に基づいてアラートが作成されます。If the thresholds selected do not align with your organization's risk tolerance, adjust the selections so that alerts are created based on your preferred thresholds.
3. ポリシーで選択したユーザーとグループを確認します。3. Review the users and groups selected for the policy. 該当するユーザーとグループのすべてが選択されているのを確認します。Confirm you've selected all of the applicable users and groups.
4. セキュリティ違反ポリシーの場合は、[設定] の [インテリジェント検出] で Microsoft Defender for Endpoint アラートでスコア付けするアラート トリアージの状態を選択したと確認します。4. For security violation policies, confirm you've selected the alert triage status that you want to score for Microsoft Defender for Endpoint alerts in Intelligent Detections in settings.
このポリシーにユーザーまたはグループが含まれていないNo users or groups are included in this policy すべてのポリシー テンプレートAll policy templates ユーザーまたはグループはポリシーに割り当てられていない。Users or groups aren't assigned to the policy.

ポリシーを編集し、ポリシーのユーザーまたはグループを選択します。Edit your policy and select users or groups for the policy.
このポリシーに対してインジケーターが選択されていないNo indicators have been selected for this policy すべてのポリシー テンプレートAll policy templates ポリシーに対してインジケーターが選択されていないIndicators haven't been selected for the policy

ポリシーを編集し、ポリシーの適切なポリシー インジケーターを選択します。Edit your policy and select appropriate policy indicators for the policy.
このポリシーに優先度のユーザー グループが含まれていないNo priority user groups are included in this policy - 優先ユーザーによるデータ リーク- Data leaks by priority users
- 優先ユーザーによるセキュリティ ポリシー違反- Security policy violations by priority users
優先度の高いユーザー グループはポリシーに割り当てられていない。Priority user groups aren't assigned to the policy.

Insider リスク管理設定で優先度ユーザー グループを構成し、ポリシーに優先度ユーザー グループを割り当てる。Configure priority user groups in Insider risk management settings and assign priority user groups to the policy.
このポリシーでトリガー イベントが選択されていないNo triggering event has been selected for this policy すべてのポリシー テンプレートAll policy templates トリガー イベントがポリシーに対して構成されていないA triggering event isn't configured for the policy

ポリシーを編集してトリガー イベントを選択するまで、リスク スコアはユーザー アクティビティに割り当てられていない。Risk scores won't be assigned to user activities until you edit the policy and select a triggering event.
HR コネクタが構成されていないか、期待通り動作しないHR connector isn't configured or working as expected - ユーザーを退出してデータを盗む- Data theft by departing user
- ユーザーを退出してセキュリティ ポリシー違反- Security policy violations by departing user
- 不満を持つユーザーによるデータ リーク- Data leaks by disgruntled users
- 不満を持つユーザーによるセキュリティ ポリシー違反- Security policy violations by disgruntled users
HR コネクタに問題があります。There is an issue with the HR connector.

1. HR コネクタを使用している場合は、HR コネクタが正しいデータを送信していることを確認します。1. If you're using an HR connector, check that your HR connector is sending correct data

またはOR

2. Azure アカウントの削除ADイベントを選択します。2. Select the Azure AD account deleted triggering event.
オンボードされているデバイスはありませんNo devices are onboarded - ユーザーを退出してデータを盗む- Data theft by departing users
- 一般的なデータ リーク- General data leaks
- 不満を持つユーザーによるデータ リーク- Data leaks by disgruntled users
- 優先ユーザーによるデータ リーク- Data Leaks by priority users
デバイス インジケーターが選択されているが、Microsoft 365 にオンボードされているデバイスは一切ないDevice indicators are selected but there aren't any devices onboarded to the Microsoft 365

デバイスがオンボードされているかどうかを確認し、要件を満たします。Check whether devices are onboarded and meet requirements.
HR コネクタが最近データをアップロードしてないHR connector hasn't uploaded data recently - ユーザーを退出してデータを盗む- Data theft by departing user
- ユーザーを退出してセキュリティ ポリシー違反- Security policy violations by departing user
- 不満を持つユーザーによるデータ リーク- Data leaks by disgruntled users
- 不満を持つユーザーによるセキュリティ ポリシー違反- Security policy violations by disgruntled users
HR コネクタが 7 日間以上データをインポートしていない。HR connector has not imported data in more than 7 days.

HR コネクタが正しく構成され、データが送信されていることを確認します。Check that your HR connector is configured correctly and sending data.
現在、人事コネクタの状態を確認できません。後でもう一度確認してくださいWe are unable to check the status of your HR connector right now, please check again later - ユーザーを退出してデータを盗む- Data theft by departing user
- ユーザーを退出してセキュリティ ポリシー違反- Security policy violations by departing user
- 不満を持つユーザーによるデータ リーク- Data leaks by disgruntled users
- 不満を持つユーザーによるセキュリティ ポリシー違反- Security policy violations by disgruntled users
インサイダー リスク管理ソリューションでは、人事コネクタの状態を確認できません。The insider risk management solution is unable to check the status of your HR connector.

HR コネクタが正しく構成され、データが送信されていることを確認するか、戻ってポリシーの状態を確認します。Check that your HR connector is configured correctly and sending data, or come back and check the policy status.
DLP ポリシーがトリガー イベントとして選択されていないDLP policy isn't selected as the triggering event - 一般的なデータ リーク- General Data leaks
- 優先ユーザーによるデータ リーク- Data leaks by priority users
DLP ポリシーがトリガー イベントとして選択されていないか、選択した DLP ポリシーが削除されています。A DLP policy has not been selected as a triggering event or the selected DLP policy has been deleted.

ポリシーを編集し、アクティブな DLP ポリシーを選択するか、またはポリシー構成のトリガー イベントとして 'User perform the exfiltration activity' を選択します。Edit the policy and either select an active DLP policy or 'User performs an exfiltration activity' as the triggering event in the policy configuration.
このポリシーで使用される DLP ポリシーが無効になっているDLP policy used in this policy is turned off - 一般的なデータ リーク- General Data leaks
- 優先ユーザーによるデータ リーク- Data leaks by priority users
このポリシーで使用される DLP ポリシーはオフです。DLP policy used in this policy is turned off.

1. このポリシーに割り当てられている DLP ポリシーを有効にする。1. Turn the DLP policy assigned to this policy on.

またはOR

2. このポリシーを編集し、新しい DLP ポリシーを選択するか、またはポリシー構成のトリガー イベントとして 'User perform the exfiltration activity' を選択します。2. Edit this policy and either select a new DLP policy or 'User performs an exfiltration activity' as the triggering event in the policy configuration.
DLP ポリシーが要件を満たしないDLP policy doesn't meet requirements - 一般的なデータ リーク- General Data leaks
- 優先ユーザーによるデータ リーク- Data leaks by priority users
トリガー イベントとして使用される DLP ポリシーは、重大度の高いアラートを生成するように構成する必要があります。DLP policies used as triggering events must be configured to generate high severity alerts.

1. DLP ポリシーを編集して、該当するアラートを重大度 が高いとして割り当てる1. Edit your DLP policy to assign applicable alerts as High severity.

またはOR

2. このポリシーを編集し、[ユーザーがトリガー イベントとして exfiltration アクティビティ を実行する] を選択します。2. Edit this policy and select User performs an exfiltration activity as the triggering event.
組織に Microsoft Defender for Endpoint サブスクリプションが存在しないYour organization doesn't have a Microsoft Defender for Endpoint subscription - 一般的なセキュリティ ポリシー違反- General security policy violations
- ユーザーの退出によるセキュリティ ポリシー違反- Security policy violations by departing users
- 不満を持つユーザーによるセキュリティ ポリシー違反- Security policy violations by disgruntled users
- 優先ユーザーによるセキュリティ ポリシー違反- Security policy violations by priority users
組織でアクティブな Microsoft Defender for Endpoint サブスクリプションが検出されません。An active Microsoft Defender for Endpoint subscription wasn't detected for your organization.

Microsoft Defender for Endpoint サブスクリプションが追加されるまで、これらのポリシーはユーザー アクティビティにリスク スコアを割り当てない。Until a Microsoft Defender for Endpoint subscription is added, these policies won't assign risk scores to user activity.
Microsoft Defenders for Endpoint アラートがコンプライアンス センターと共有されていないMicrosoft Defenders for Endpoint alerts aren't being shared with the compliance center - 一般的なセキュリティ ポリシー違反- General security policy violations
- ユーザーの退出によるセキュリティ ポリシー違反- Security policy violations by departing users
- 不満を持つユーザーによるセキュリティ ポリシー違反- Security policy violations by disgruntled users
- 優先ユーザーによるセキュリティ ポリシー違反- Security policy violations by priority users
Microsoft Defender for Endpoint アラートは、コンプライアンス センターと共有されていない。Microsoft Defender for Endpoint alerts aren't being shared with the compliance center.

Microsoft Defender for Endpoint アラートの共有を構成します。Configure sharing of Microsoft Defender for Endpoint alerts.
このポリシー テンプレートでアクティブにスコア付けされるユーザーの上限に近づいている。You are approaching the maximum limit of users being actively scored for this policy template. すべてのポリシー テンプレートAll policy templates 各ポリシー テンプレートには、スコープ内のユーザーの最大数があります。Each policy template has a maximum number of in-scope users. 「テンプレートの制限」セクションの詳細を参照してください。See the template limit section details.

[ユーザー] タブでユーザーを確認し、スコアを追加する必要がないユーザーを削除します。Review the users in the Users tab and remove any users who do not need to be scored anymore.

ポリシー テンプレートの制限Policy template limits

Insider リスク管理ポリシー テンプレートでは、制限を使用して、スコープ内のユーザー リスク アクティビティの処理量と速度、およびこのプロセスと Microsoft 365 サービスのサポートとの統合方法を管理します。Insider risk management policy templates use limits to manage the volume and rate of processing for in-scope user risk activities and how this process is integrated with supporting Microsoft 365 services. 各ポリシー テンプレートには、リスク アクティビティをサポートし、効果的に処理および報告できるポリシーのリスク スコアをアクティブに割り当て可能なユーザーの最大数があります。Each policy template has a maximum number of users that can be actively assigned risk scores for the policy that it can support and effectively process and report risk activities. スコープ内のユーザーは、ポリシーのトリガー イベントを持つユーザーです。In-scope users are users with triggering events for the policy.

各ポリシーの制限は、ポリシー テンプレートの種類ごとにリスク スコアを受け取る一意のユーザーの総数に基づいて計算されます。The limit for each policy is calculated based on the total number of unique users receiving risk scores per policy template type. ポリシー テンプレートの種類のユーザー数がユーザー制限に近い、または超過している場合、ポリシーのパフォーマンスは低下します。If the number of users for a policy template type is near or exceeds the user limit, the policy performance will be reduced. ポリシーの現在のユーザー数を表示するには、[ポリシー] タブと [スコープ内のユーザー] 列に移動します。To view the current number of users for a policy, navigate to the Policy tab and the Users in scope column. 任意のポリシー テンプレートに対して最大 5 つのポリシーを設定できます。You may have up to five policies for any policy template. これらの最大制限は、特定のポリシー テンプレートを使用しているすべてのポリシーのユーザーに適用されます。These maximum limits apply to users across all policies using a given policy template.

次の表を使用して、各ポリシー テンプレートでサポートされるスコープ内ユーザーの最大数を確認します。Use the following table to determine the maximum number of in-scope users supported for each policy template:

ポリシー テンプレートPolicy template 現在のスコープ内ユーザーの最大数Current in-scope user maximum
一般的なデータ リークGeneral data leak 15,00015,000
不満を持つユーザーによるデータ 漏洩Data leak by disgruntled users 7,5007,500
優先ユーザーによるデータ漏洩Data leak by priority users 1,0001,000
ユーザーを退出してデータを盗むData theft by departing users 20,00020,000
一般的なセキュリティ ポリシー違反General security policy violations 1,0001,000
優先度ユーザーによるセキュリティ ポリシー違反Security policy violation by priority users 1,0001,000
ユーザーの退出によるセキュリティ ポリシー違反Security policy violations by departing users 15,00015,000
不満を持つユーザーによるセキュリティ ポリシー違反Security policy violations by disgruntled users 7,5007,500

新しいポリシーの作成Create a new policy

新しいインサイダー リスク管理ポリシーを作成するには、Microsoft 365 コンプライアンス センターの Insider リスク 管理ソリューションのポリシー ウィザードを使用します。To create a new insider risk management policy, you'll use the policy wizard in Insider risk management solution in the Microsoft 365 compliance center.

新しいポリシーを作成するには、次の手順を実行します。Complete the following steps to create a new policy:

  1. Microsoft [365 コンプライアンス センターで、Insiderリスク管理] に 移動 し、[ポリシー] タブを選択 します。In the Microsoft 365 compliance center, go to Insider risk management and select the Policies tab.

  2. [ポリシー の作成] を 選択してポリシー ウィザードを開きます。Select Create policy to open the policy wizard.

  3. [ポリシー テンプレート ] ページで 、ポリシー カテゴリを選択し、新しいポリシーのテンプレートを選択します。On the Policy template page, choose a policy category and then select the template for the new policy. これらのテンプレートは、検出して調査するリスク アクティビティを定義する条件とインジケーターで構成されています。These templates are made up of conditions and indicators that define the risk activities you want to detect and investigate. テンプレートの前提条件、イベントのトリガー、検出されたアクティビティを確認して、このポリシー テンプレートがニーズに適合していることを確認します。Review the template prerequisites, triggering events, and detected activities to confirm this policy template fits your needs.

    重要

    一部のポリシー テンプレートには、関連するアラートを生成するためにポリシーを構成する必要がある前提条件があります。Some policy templates have prerequisites that must be configured for the policy to generate relevant alerts. 該当するポリシーの前提条件を構成していない場合は、上記の 手順 4 を参照 してください。If you haven't configured the applicable policy prerequisites, see Step 4 above.

  4. [次 へ] を 選択して続行します。Select Next to continue.

  5. [名前と 説明] ページで 、次のフィールドに入力します。On the Name and description page, complete the following fields:

    • 名前 (必須): ポリシーの表示名を入力します。Name (required): Enter a friendly name for the policy. この名前は、ポリシーの作成後に変更できません。This name cannot be changed after the policy is created.
    • 説明 (オプション): ポリシーの説明を入力します。Description (optional): Enter a description for the policy.
  6. [次 へ] を 選択して続行します。Select Next to continue.

  7. [ユーザーと グループ] ページで、[すべてのユーザーとグループを含める] または [特定のユーザーとグループを含める] を選択して、ポリシーに含めるユーザーまたはグループを定義するか、優先度の高いユーザー ベースのテンプレートを選択した場合を定義します。[優先度 ユーザー グループの追加または編集] を選択しますOn the Users and groups page, select Include all users and groups or Include specific users and groups to define which users or groups are included in the policy, or if you've chosen a priority users-based template; select Add or edit priority user groups. [すべての ユーザーとグループを含 める] を選択すると、組織内のすべてのユーザーとグループのトリガー イベントが探され、ポリシーのリスク スコアの割り当てが開始されます。Selecting Include all users and groups will look for triggering events for all users and groups in your organization to start assigning risk scores for the policy. [特定 のユーザーとグループを含める ] を選択すると、ポリシーに割り当てるユーザーとグループを定義できます。Selecting Include specific users and groups allows you to define which users and groups to assign to the policy.

  8. [次 へ] を 選択して続行します。Select Next to continue.

  9. [優先順位 を付 けるコンテンツ] ページで、優先順位を付けるソースを (必要に応じて) 割り当て、これらのソースに対して重大度の高いアラートを生成する可能性を高くすることができます。On the Content to prioritize page, you can assign (if needed) the sources to prioritize, which increases the chance of generating a high severity alert for these sources. 次のいずれかの選択肢を選択します。Select one of the following choices:

    • SharePoint サイト、機密 ラベル、機密情報の種類を優先度の高いコンテンツとして指定します。I want to specify SharePoint sites, sensitivity labels, and/or sensitive information types as priority content. このオプションを選択すると、ウィザードの詳細ページでこれらのチャネルを構成できます。Selecting this option will enable detail pages in the wizard to configure these channels.
    • 今すぐ優先度の高いコンテンツ を指定する必要があります (ポリシーの作成後にこれを実行できます)。I don't want to specify priority content right now (you'll be able to do this after the policy is created). このオプションを選択すると、ウィザードのチャネル詳細ページがスキップされます。Selecting this option will skip the channel detail pages in the wizard.
  10. [次 へ] を 選択して続行します。Select Next to continue.

  11. 前の手順で SharePoint サイト、機密ラベル、機密情報の種類を優先コンテンツとして指定する場合は 、SharePoint サイトの詳細ページ、機密情報の種類、および機密ラベルが 表示 されます。 If you selected I want to specify SharePoint sites, sensitivity labels, and/or sensitive information types as priority content in the previous step, you'll see the detail pages for SharePoint sites, Sensitive info types, and Sensitivity labels. ポリシーで優先順位を付ける SharePoint、機密情報の種類、および機密ラベルを定義するには、次の詳細ページを使用します。Use these detail pages to define the SharePoint, sensitive info types, and sensitivity labels to prioritize in the policy.

    • SharePoint サイト: [SharePoint サイト の追加] を選択し、アクセス権を持ち、優先順位を付ける SharePoint サイトを選択します。SharePoint sites: Select Add SharePoint site and select the SharePoint sites you have access to and want to prioritize. たとえば 、"group1@contoso.sharepoint.com/sites/group1" ですFor example, "group1@contoso.sharepoint.com/sites/group1".
    • 機密情報の種類: [機密情報 の種類を追加 する] を選択し、優先順位を付ける機密の種類を選択します。Sensitive info type: Select Add sensitive info type and select the sensitivity types you want to prioritize. たとえば 、"米国の銀行口座番号""クレジット カード番号" などです。For example, "U.S. Bank Account Number" and "Credit Card Number".
    • [感度ラベル]: [感度 ラベルの追加] を選択し 、優先順位を付けるラベルを選択します。Sensitivity labels: Select Add sensitivity label and select the labels you want to prioritize. たとえば 、"Confidential" と "Secret" などですFor example, "Confidential" and "Secret".
  12. [次 へ] を 選択して続行します。Select Next to continue.

  13. [インジケーター とトリガー イベント] ページで、[Insider リスク 設定インジケーター] ページに、使用可能として定義したインジケーター > 表示 されます。On the Indicators and triggering events page, you'll see the indicators that you've defined as available on the Insider risk settings > Indicators page. ウィザードの開始時にデータリーク テンプレートを選択した場合は 、DLP ポリシードロップダウン リストから DLP ポリシーを選択して、ポリシーのトリガー インジケーターを有効にするか、組み込みのトリガー イベントを選択する必要があります。If you selected a Data leaks template at the beginning of the wizard, you must select a DLP policy from the DLP policy dropdown list to enable triggering indicators for the policy or select the built-in triggering event.

    重要

    このページのインジケーターを選択できない場合は、すべてのポリシーで有効にするインジケーターを選択する必要があります。If indicators on this page can't be selected, you'll need to select the indicators you want to enable for all policies. ウィザードの [インジケーターを 有効にする] ボタンを使用するか 、[Insider リスク管理の設定ポリシーインジケーター] ページでインジケーター > > を選択 できます。You can use the Turn on indicators button in the wizard or select indicators on the Insider risk management > Settings > Policy indicators page.

    ポリシーに適用するインジケーターを選択します。Select the indicators you want to apply to the policy. これらのインジケーターに既定のポリシーしきい値設定を使用しない場合は 、[Microsoft が推奨する既定のしきい値を使用する] を無効にして、選択したインジケーターごとにしきい値を入力します。If you prefer not to use the default policy threshold settings for these indicators, disable the Use default thresholds recommended by Microsoft and enter the threshold values for each selected indicator.

    • [デバイス] インジケーターまたは [デバイス Office少なくとも 1 つを選択した場合は、必要に応じてリスク スコア ブースターを選択 します。If you've selected at least one Office or Device indicator, select the Risk score boosters as appropriate. リスク スコア ブースターは、選択したインジケーターにのみ適用されます。Risk score boosters are only applicable for selected indicators.
    • [データ盗難] または [データ 漏洩] ポリシー テンプレートを選択した場合は、1 つ以上のシーケンス検出方法と、ポリシーに適用する累積的な流出検出方法を選択します。 If you've selected a Data theft or Data leaks policy template, select one or more Sequence detection methods and a Cumulative exfiltration detection method to apply to the policy.
  14. [次 へ] を 選択して続行します。Select Next to continue.

  15. [インジケーターの しきい値] ページ で、既定のインジケーターしきい値を使用するか、個々のインジケーターのカスタムしきい値を指定するオプションを選択します。On the Indicator thresholds page, select the option to use default indicator thresholds or to specify custom thresholds for individual indicators. インジケーターごとに、適切なレベルを選択して、必要なレベルのアクティビティ アラートを生成します。For each indicator, choose the appropriate level to generate the desired level of activity alerts.

  16. [次 へ] を 選択して続行します。Select Next to continue.

  17. [確認 ] ページ で、ポリシーに対して選択した設定と、選択内容に関する提案や警告を確認します。On the Review page, review the settings you've chosen for the policy and any suggestions or warnings for your selections. [ 編集] を 選択してポリシー値を変更するか、[送信] を選択 して ポリシーを作成およびアクティブ化します。Select Edit to change any of the policy values or select Submit to create and activate the policy.

ポリシーを更新するUpdate a policy

既存のインサイダー リスク管理ポリシーを更新するには、Microsoft 365 コンプライアンス センターの Insider リスク管理 ソリューションのポリシー ウィザードを使用します。To update an existing insider risk management policy, you'll use the policy wizard in Insider risk management solution in the Microsoft 365 compliance center.

既存のポリシーを管理するには、次の手順を実行します。Complete the following steps to manage an existing policy:

  1. Microsoft [365 コンプライアンス センターで、Insiderリスク管理] に 移動 し、[ポリシー] タブを選択 します。In the Microsoft 365 compliance center, go to Insider risk management and select the Policies tab.

  2. ポリシー ダッシュボードで、管理するポリシーを選択します。On the policy dashboard, select the policy you want to manage.

  3. [ポリシーの詳細] ページで、[ポリシーの編集 ] を選択します。On the policy details page, select Edit policy

  4. ポリシー ウィザードでは、次の内容を編集できません。In the policy wizard, you cannot edit the following:

    • ポリシー テンプレート: ポリシーによって監視されるリスク インジケーターの種類を定義するために使用されるテンプレート。Policy template: The template used to define the types of risk indicators monitored by the policy.
    • 名前: ポリシーの表示名Name: The friendly name for the policy
  5. [名前と 説明] ページ で、[説明] フィールドのポリシーの説明を 更新 します。On the Name and description page, update the description for the policy in the Description field.

  6. [次 へ] を 選択して続行します。Select Next to continue.

  7. [ユーザーと グループ] ページで、[すべてのユーザーとグループを含める] または [特定のユーザーとグループを含める] を選択して、ポリシーに含めるユーザーまたはグループを定義するか、優先度の高いユーザー ベースのテンプレートを選択した場合を定義します。[優先度 ユーザー グループの追加または編集] を選択しますOn the Users and groups page, select Include all users and groups or Include specific users and groups to define which users or groups are included in the policy, or if you've chosen a priority users-based template; select Add or edit priority user groups. [すべての ユーザーとグループを含 める] を選択すると、組織内のすべてのユーザーとグループのトリガー イベントが探され、ポリシーのリスク スコアの割り当てが開始されます。Selecting Include all users and groups will look for triggering events for all users and groups in your organization to start assigning risk scores for the policy. [特定 のユーザーとグループを含める ] を選択すると、ポリシーに割り当てるユーザーとグループを定義できます。Selecting Include specific users and groups allows you to define which users and groups to assign to the policy.

  8. [次 へ] を 選択して続行します。Select Next to continue.

  9. [優先順位 を付 けるコンテンツ] ページで、優先順位を付けるソースを (必要に応じて) 割り当て、これらのソースに対して重大度の高いアラートを生成する可能性を高くすることができます。On the Content to prioritize page, you can assign (if needed) the sources to prioritize, which increases the chance of generating a high severity alert for these sources. 次のいずれかの選択肢を選択します。Select one of the following choices:

    • SharePoint サイト、機密 ラベル、機密情報の種類を優先度の高いコンテンツとして指定します。I want to specify SharePoint sites, sensitivity labels, and/or sensitive information types as priority content. このオプションを選択すると、ウィザードの詳細ページでこれらのチャネルを構成できます。Selecting this option will enable detail pages in the wizard to configure these channels.
    • 今すぐ優先度の高いコンテンツ を指定する必要があります (ポリシーの作成後にこれを実行できます)。I don't want to specify priority content right now (you'll be able to do this after the policy is created). このオプションを選択すると、ウィザードのチャネル詳細ページがスキップされます。Selecting this option will skip the channel detail pages in the wizard.
  10. [次 へ] を 選択して続行します。Select Next to continue.

  11. 前の手順で SharePoint サイト、機密ラベル、機密情報の種類を優先コンテンツとして指定する場合は 、SharePoint サイトの詳細ページ、機密情報の種類、および機密ラベルが 表示 されます。 If you selected I want to specify SharePoint sites, sensitivity labels, and/or sensitive information types as priority content in the previous step, you'll see the detail pages for SharePoint sites, Sensitive info types, and Sensitivity labels. ポリシーで優先順位を付ける SharePoint、機密情報の種類、および機密ラベルを定義するには、次の詳細ページを使用します。Use these detail pages to define the SharePoint, sensitive info types, and sensitivity labels to prioritize in the policy.

    • SharePoint サイト: [SharePoint サイト の追加] を選択し、アクセス権を持ち、優先順位を付ける SharePoint サイトを選択します。SharePoint sites: Select Add SharePoint site and select the SharePoint sites you have access to and want to prioritize. たとえば 、"group1@contoso.sharepoint.com/sites/group1" ですFor example, "group1@contoso.sharepoint.com/sites/group1".
    • 機密情報の種類: [機密情報 の種類を追加 する] を選択し、優先順位を付ける機密の種類を選択します。Sensitive info type: Select Add sensitive info type and select the sensitivity types you want to prioritize. たとえば 、"米国の銀行口座番号""クレジット カード番号" などです。For example, "U.S. Bank Account Number" and "Credit Card Number".
    • [感度ラベル]: [感度 ラベルの追加] を選択し 、優先順位を付けるラベルを選択します。Sensitivity labels: Select Add sensitivity label and select the labels you want to prioritize. たとえば 、"Confidential" と "Secret" などですFor example, "Confidential" and "Secret".
  12. [次 へ] を 選択して続行します。Select Next to continue.

  13. [インジケーター とトリガー イベント] ページで、[Insider リスク 設定インジケーター] ページに、使用可能として定義したインジケーター > 表示 されます。On the Indicators and triggering events page, you'll see the indicators that you've defined as available on the Insider risk settings > Indicators page. ウィザードの開始時にデータリーク テンプレートを選択した場合は 、DLP ポリシードロップダウン リストから DLP ポリシーを選択して、ポリシーのトリガー インジケーターを有効にするか、組み込みのトリガー イベントを選択する必要があります。If you selected a Data leaks template at the beginning of the wizard, you must select a DLP policy from the DLP policy dropdown list to enable triggering indicators for the policy or select the built-in triggering event.

    重要

    このページのインジケーターを選択できない場合は、すべてのポリシーで有効にするインジケーターを選択する必要があります。If indicators on this page can't be selected, you'll need to select the indicators you want to enable for all policies. ウィザードの [インジケーターを 有効にする] ボタンを使用するか 、[Insider リスク管理の設定ポリシーインジケーター] ページでインジケーター > > を選択 できます。You can use the Turn on indicators button in the wizard or select indicators on the Insider risk management > Settings > Policy indicators page.

    ポリシーに適用するインジケーターを選択します。Select the indicators you want to apply to the policy. これらのインジケーターに既定のポリシーしきい値設定を使用しない場合は 、[Microsoft が推奨する既定のしきい値を使用する] を無効にして、選択したインジケーターごとにしきい値を入力します。If you prefer not to use the default policy threshold settings for these indicators, disable the Use default thresholds recommended by Microsoft and enter the threshold values for each selected indicator.

    • [デバイス] インジケーターまたは [デバイス Office少なくとも 1 つを選択した場合は、必要に応じてリスク スコア ブースターを選択 します。If you've selected at least one Office or Device indicator, select the Risk score boosters as appropriate. リスク スコア ブースターは、選択したインジケーターにのみ適用されます。Risk score boosters are only applicable for selected indicators.
    • [データ盗難] または [データ 漏洩] ポリシー テンプレートを選択した場合は、1 つ以上のシーケンス検出方法と、ポリシーに適用する累積的な流出検出方法を選択します。 If you've selected a Data theft or Data leaks policy template, select one or more Sequence detection methods and a Cumulative exfiltration detection method to apply to the policy.
  14. [次 へ] を 選択して続行します。Select Next to continue.

  15. [インジケーターの しきい値] ページ で、既定のインジケーターしきい値を使用するか、個々のインジケーターのカスタムしきい値を指定するオプションを選択します。On the Indicator thresholds page, select the option to use default indicator thresholds or to specify custom thresholds for individual indicators. インジケーターごとに、適切なレベルを選択して、必要なレベルのアクティビティ アラートを生成します。For each indicator, choose the appropriate level to generate the desired level of activity alerts.

  16. [次 へ] を 選択して続行します。Select Next to continue.

  17. [確認 ] ページ で、ポリシーに対して選択した設定と、選択内容に関する提案や警告を確認します。On the Review page, review the settings you've chosen for the policy and any suggestions or warnings for your selections. [ 編集] を 選択してポリシー値を変更するか、[送信] を選択 して ポリシーを作成およびアクティブ化します。Select Edit to change any of the policy values or select Submit to create and activate the policy.

ポリシーのコピーCopy a policy

既存のポリシーに似た新しいポリシーを作成する必要がありますが、構成の変更が少し必要な場合があります。You may need to create a new policy that is similar to an existing policy but needs just a few configuration changes. 新しいポリシーを最初から作成する代わりに、既存のポリシーをコピーしてから、新しいポリシーで更新する必要がある領域を変更できます。Instead of creating a new policy from scratch, you can copy an existing policy and then modify the areas that need to be updated in the new policy.

既存のポリシーをコピーするには、次の手順を実行します。Complete the following steps to copy an existing policy:

  1. Microsoft 365 コンプライアンス センターで、[Insider リスク管理] に移動し、[ポリシー] タブを選択します。In the Microsoft 365 compliance center, go to Insider risk management and select the Policies tab.
  2. ポリシー ダッシュボードで、コピーするポリシーを選択します。On the policy dashboard, select the policy you want to copy.
  3. [ポリシーの詳細] ページで、[コピー] を選択します。On the policy details page, select Copy.
  4. ポリシー ウィザードで、新しいポリシーに名前を付け、必要に応じてポリシー構成を更新します。In the policy wizard, name the new policy and update the policy configuration as needed.

ユーザー アクティビティのスコア付けをすぐに開始するImmediately start scoring user activity

イベント ワークフローをトリガーするインサイダー リスク管理の外部で、インサイダー リスク ポリシーを持つユーザーにリスク スコアの割り当てを直ちに開始する必要があるシナリオがあります。There may be scenarios where you need to immediately start assigning risk scores to users with insider risk policies outside of the insider risk management triggering event workflow. [ポリシー ] タブの [ユーザーのスコア付け開始] アクティビティを使用して、ユーザー (またはユーザー) を 1 つ以上のインサイダー リスク ポリシーに特定の時間手動で追加し、リスク スコアの割り当てをすぐに開始し、ユーザーがトリガー インジケーター (DLP ポリシーの一致など) を持つ要件をバイパスします。Use Start scoring activity for users on the Policies tab to manually add a user (or users) to one or more insider risk policies for a specific amount of time, to immediately start assigning risk scores to their activity, and to bypass the requirement for a user to have a triggering indicator (like a DLP policy match). また、ユーザーをポリシーに追加する理由を追加することもできます。これは、ユーザーのアクティビティタイムラインに表示されます。You can also add a reason for adding the user to the policy, which will appear on the users' activity timeline. ポリシーに手動で追加されたユーザーは、[ユーザー]ダッシュボードに表示され、アクティビティがポリシーアラートのしきい値を満たす場合にアラートが作成されます。Users manually added to policies are displayed in the Users dashboard and alerts are created if activity meets the policy alert thresholds.

ユーザー アクティビティのスコア付けをすぐに開始するシナリオがあります。Some scenarios where you may want to immediately start scoring user activities:

  • リスクに関する懸念があるユーザーが特定され、1 つ以上のポリシーに対するリスク スコアのアクティビティへの割り当てを直ちに開始する場合When users are identified with risk concerns and you want to immediately start assigning risk scores to their activity for one or more of your policies
  • 1 つ以上のポリシーに関する関連ユーザーのアクティビティにリスク スコアの割り当てを直ちに開始する必要があるインシデントがある場合When there is an incident that may require you to immediately start assigning risk scores to involved users' activity for one or more of your policies
  • まだ HR コネクタを構成していないが、ユーザーの .csv ファイルをアップロードして、人事イベントのユーザー アクティビティにリスク スコアを割り当て始める場合When you have not configured your HR connector yet, but you want to start assigning risk scores to user activities for HR events by uploading a .csv file for the users

注意

手動で追加された新しいユーザーが Users ダッシュボードに表示されるには数時間 かかる場合 があります。It may take several hours for new manually-added users to appear in the Users dashboard. これらのユーザーの過去 90 日間のアクティビティは、表示に最大で 24 時間かかる場合があります。Activities for the previous 90 days for these users may take up to 24 hours to display. 手動で追加したユーザーのアクティビティを表示するには、[ユーザー] タブに移動し、[ユーザー ] ダッシュボードでユーザーを選択し、詳細ウィンドウの [ユーザー アクティビティ] タブを開きます。 To view activities for manually added users, navigate to the Users tab and select the user on the Users dashboard and open the User activity tab on the details pane.

1 つ以上のインサイダー リスク管理ポリシーでユーザーのスコアリング アクティビティを手動で開始するには、次の手順を実行します。To manually start scoring activity for users in one or more insider risk management policies, complete the following steps:

  1. Microsoft [365 コンプライアンス センターで、Insiderリスク管理] に 移動 し、[ポリシー] タブを選択 します。In the Microsoft 365 compliance center, go to Insider risk management and select the Policies tab.

  2. ポリシー ダッシュボードで、ユーザーを追加するポリシーまたはポリシーを選択します。On the policy dashboard, select the policy or policies you want to add users to.

  3. [ユーザー のスコア付けアクティビティの開始] を選択しますSelect Start scoring activity for users.

  4. [複数の ポリシーに ユーザーを 追加する] ウィンドウ の [理由] フィールドに、ユーザーを追加する理由を追加します。In the Reason field in the Add users to multiple policies pane, add a reason for adding the users.

  5. [ この期間 ] (5 日から 30 日の間で選択) フィールドで、追加するポリシーに対するユーザーのアクティビティをスコア付けする日数を定義します。In the This should last for (choose between 5 and 30 days) field, define the number of days to score the user's activity for the policy they are added to

  6. Active Directory でユーザーを検索するには、[検索] ユーザーを使用 して [ポリシーに追加] フィールドを使用 します。To search your Active Directory for users, use the Search user to add to policies field. ポリシーに追加するユーザーの名前を入力します。Type the name of the user you want to add to the policies. ユーザー名を選択し、繰り返してポリシーに追加のユーザーを割り当てる。Select the user name and repeat to assign additional users to the policies. 選択したユーザーの一覧が、[複数のポリシーにユーザーを追加] ウィンドウの [ユーザー] セクションに表示されます。The list of users you've selected appear in the users section of the Add users to multiple policies pane.

  7. ポリシーに追加するユーザーの一覧をインポートするには、[インポート]を選択して .csv (コンマ区切り値) ファイルをインポートします。To import a list of users to add to the policies, select Import to import a .csv (comma-separated values) file. ファイルは次の形式である必要があります。ファイル内のユーザー プリンシパル名を一覧表示する必要があります。The file must be in the following format and you must list the user principal names in the file:

    user principal name
    user1@domain.com
    user2@domain.com
    
  8. [ポリシーにユーザーを追加する] を選択して変更を受け入れ、ポリシーにユーザーを追加するか、[キャンセル] を選択して変更を破棄し、ダイアログを閉じます。Select the Add users to policies to accept the changes and add users to the policies or select Cancel to discard the changes and close the dialog.

ポリシーでユーザーのスコア付けを停止するStop scoring users in a policy

ポリシーでユーザーのスコア付けを停止するには、「Insider リスク管理ユーザー: ポリシーへのスコープ内割り当てからユーザーを削除する」 の記事を参照 してください。To stop scoring users in a policy, see the Insider risk management users: Remove users from in-scope assignment to policies article.

ポリシーを削除するDelete a policy

注意

ポリシーを削除しても、ポリシーから生成されたアクティブまたはアーカイブされたアラートは削除されません。Deleting a policy does not delete active or archived alerts generated from the policy.

既存のインサイダー リスク管理ポリシーを削除するには、次の手順を実行します。To delete an existing insider risk management policy, complete the following steps:

  1. Microsoft [365 コンプライアンス センターで、Insiderリスク管理] に 移動 し、[ポリシー] タブを選択 します。In the Microsoft 365 compliance center, go to Insider risk management and select the Policies tab.
  2. ポリシー ダッシュボードで、削除するポリシーを選択します。On the policy dashboard, select the policy you want to delete.
  3. ダッシュボード ツールバー の [削除 ] を選択します。Select Delete on the dashboard toolbar.
  4. [削除 ] ダイアログで 、[ い] を選択してポリシーを削除するか、[ キャンセル ] を選択してダイアログを閉じます。On the Delete dialog, Select Yes to delete the policy, or select Cancel to close the dialog.