FCI または他のプロパティを使用したドキュメントを保護する DLP ポリシーを作成するCreate a DLP policy to protect documents with FCI or other properties

Microsoft 365データ損失防止 (DLP) ポリシーでは、分類プロパティまたはアイテム プロパティを使用して機密アイテムを識別できます。Microsoft 365 data loss prevention (DLP) policies can use classification properties or item properties to identify sensitive items. たとえば、次のコマンドを使用できます。For example you can use:

  • Windowsサーバー ファイル分類インフラストラクチャ (FCI) プロパティWindows Server File Classification infrastructure (FCI) properties
  • SharePointのプロパティSharePoint document properties
  • サード パーティ製のシステム ドキュメントのプロパティthird-party system document properties

Office 365 と外部の分類システムを示す図

たとえば、組織は Windows Server FCI を使用して社会保障番号などの個人データを持つアイテムを識別し、ドキュメント内で見つかった個人データの種類と発生数に基づいて、個人を特定できる情報プロパティを High、Moderate、Low、Public、または Not PII に設定してドキュメントを分類できます。 For example, your organization might use Windows Server FCI to identify items with personal data such as social security numbers, and then classify the document by setting the Personally Identifiable Information property to High, Moderate, Low, Public, or Not PII based on the type and number of occurrences of personal data found in the document.

このMicrosoft 365、そのプロパティが High や Medium などの特定の値に設定されているドキュメントを識別する DLP ポリシーを作成し、それらのファイルへのアクセスをブロックするなどのアクションを実行できます。In Microsoft 365, you can create a DLP policy that identifies documents that have that property set to specific values, such as High and Medium, and then takes an action such as blocking access to those files. プロパティが [] に設定されている場合には (電子メールの通知送信などの) 異なるアクションを実行する別のルールを同じポリシーに含めることができます。The same policy can have another rule that takes a different action if the property is set to Low, such as sending an email notification. この方法で、DLP は Windows Server FCI と統合され、Microsoft 365 にアップロードまたは共有された Office ドキュメントを Windows Server ベースのファイル サーバーから保護するのに役立ちます。In this way, DLP integrates with Windows Server FCI and can help protect Office documents uploaded or shared to Microsoft 365 from Windows Server-based file servers.

DLP ポリシーは、単に特定のプロパティ名と値のペアを検索します。A DLP policy simply looks for a specific property name/value pair. プロパティに対応する管理プロパティが存在する限り、すべての document プロパティをSharePointできます。Any document property can be used, as long as the property has a corresponding managed property for SharePoint search. たとえば、サイト コレクション SharePoint、Customer という名前の必須フィールドを持つ Trip Report という名前のコンテンツ タイプを使用 する場合がありますFor example, a SharePoint site collection might use a content type named Trip Report with a required field named Customer. ユーザーが旅行レポートを作成するたびに、顧客名を入力する必要があります。Whenever a person creates a trip report, they must enter the customer name. このプロパティ名と値のペアは、DLP ポリシーでも使用できます。たとえば、[顧客] フィールドに Contoso が含まれている場合にゲストのドキュメントへのアクセスをブロックするルールが必要な場合 など です。This property name/value pair can also be used in a DLP policy—for example, if you want a rule that blocks access to the document for guests when the Customer field contains Contoso.

DLP ポリシーを特定のラベル付きコンテンツに適用する場合はMicrosoft 365手順に従う必要はありません。If you want to apply your DLP policy to content with specific Microsoft 365 labels, you should not follow the steps here. 代わりに、DLP ポリシーで アイテム保持ラベルを条件として使用する方法について学習しますInstead, learn how to Using a retention label as a condition in a DLP policy.

DLP ポリシーを作成する前にBefore you create the DLP policy

DLP ポリシーで Windows Server FCI プロパティまたは他のプロパティを使用するには、その前に、SharePoint 管理センターで管理プロパティを作成する必要があります。Before you can use a Windows Server FCI property or other property in a DLP policy, you need to create a managed property in the SharePoint admin center. その理由を次に示します。Here's why.

In SharePoint Online and OneDrive for Business, the search index is built up by crawling the content on your sites. The crawler picks up content and metadata from the documents in the form of crawled properties. The search schema helps the crawler decide what content and metadata to pick up. Examples of metadata are the author and the title of a document. However, to get the content and metadata from the documents into the search index, the crawled properties must be mapped to managed properties. Only managed properties are kept in the index. For example, a crawled property related to author is mapped to a managed property related to author.

注意

条件を使用して DLP ルールを作成する場合は、クロールされたプロパティ名ではなく、管理プロパティ名を使用 ContentPropertyContainsWords してください。Be sure to use a managed property name and not a crawled property name when creating DLP rules using the ContentPropertyContainsWords condition.

DLP は検索クローラーを使用してサイトの機密情報を識別および分類し、その機密情報を検索インデックスの安全な部分に格納するために重要です。This is important because DLP uses the search crawler to identify and classify sensitive information on your sites, and then store that sensitive information in a secure portion of the search index. ドキュメントをドキュメントにアップロードすると、Office 365 SharePointに基づいてクロールされたプロパティが自動的に作成されます。When you upload a document to Office 365, SharePoint automatically creates crawled properties based on the document properties. ただし、DLP ポリシーで FCI または他のプロパティを使用するには、クロールされたプロパティを管理プロパティにマップして、そのプロパティを持つコンテンツをインデックスに保持する必要があります。But to use an FCI or other property in a DLP policy, that crawled property needs to be mapped to a managed property so that content with that property is kept in the index.

検索および管理プロパティの詳細については、「オンラインで検索スキーマを管理する」をSharePointしてくださいFor more information on search and managed properties, see Manage the search schema in SharePoint Online.

手順 1: 必要なプロパティが含まれるドキュメントを Office 365 にアップロードするStep 1: Upload a document with the needed property to Office 365

最初に、DLP ポリシーで参照するプロパティが含まれるドキュメントをアップロードする必要があります。You first need to upload a document with the property that you want to reference in your DLP policy. Microsoft 365を検出し、クロールされたプロパティを自動的に作成します。Microsoft 365 will detect the property and automatically create a crawled property from it. 次の手順では、管理プロパティを作成し、管理プロパティをこのクロールされたプロパティにマップします。In the next step, you'll create a managed property, and then map the managed property to this crawled property.

手順 2: 管理プロパティを作成するStep 2: Create a managed property

  1. Microsoft 365 管理センターにサインインします。Sign in to the Microsoft 365 admin center.

  2. 左側のナビゲーションで、[管理センター]を選択 > SharePoint。In the left navigation, choose Admin centers > SharePoint. SharePoint 管理センターが表示されます。You're now in the SharePoint admin center.

  3. 左側のナビゲーションで、[検索管理] ページ > の [ 検索スキーマの 管理 > ] で [検索] を選択しますIn the left navigation, choose search > on the search administration page > Manage Search Schema.

    SharePoint 管理センターの検索管理ページ

  4. [管理プロパティ ] ページの [ > 新しい管理プロパティ] をクリックしますOn the Managed Properties page > New Managed Property.

    [新しい管理プロパティ] ボタンが強調表示されている[プロパティ管理] ページ

  5. プロパティの名前と説明を入力します。この名前が、DLP ポリシーに表示されます。Enter a name and description for the property. This name is what will appear in your DLP policies.

  6. [] で [テキスト] を選択します。For Type, choose Text.

  7. [主な特徴] では [クエリ可能] と [取得可能] を選択します。Under Main characteristics, select Queryable and Retrievable.

  8. [ クロールされたプロパティへのマッピング] マッピング > を追加しますUnder Mappings to crawled properties > Add a mapping.

  9. [クロール されたプロパティの 選択] ダイアログ ボックスで、DLP ポリシーで使用する Windows Server FCI プロパティまたは他のプロパティに対応するクロールされたプロパティを検索して > 選択 > します。In the crawled property selection dialog box > find and select the crawled property that corresponds to the Windows Server FCI property or other property that you will use in your DLP policy > OK.

    [クロールされたプロパティの選択] ダイアログ ボックス

  10. ページの下部で > [OK] をクリックしますAt the bottom of the page > OK.

FCI プロパティまたは他のプロパティを使用する DLP ポリシーを作成するCreate a DLP policy that uses an FCI property or other property

この例では、組織はサーバー ベースのファイル サーバー Windows FCI を使用しています。具体的には、高、中程度、低、パブリック、およびNOT PII の可能な値を持つ、個人を特定できる情報という名前の FCI 分類プロパティを 使用していますIn this example, an organization is using FCI on its Windows Server-based file servers; specifically, they're using the FCI classification property named Personally Identifiable Information with possible values of High, Moderate, Low, Public, and Not PII. 次に、既存の FCI 分類を、既存の DLP ポリシーで使用Office 365。Now they want to use their existing FCI classification in their DLP policies in Office 365.

まず、前述の手順に従って SharePoint Online で管理プロパティを作成します。管理プロパティを、FCI に基づいて自動作成された、クロールされたプロパティにマッピングします。First, they follow the steps above to create a managed property in SharePoint Online, which maps to the crawled property created automatically from the FCI property.

次に、次の 2 つのルールを使用して DLP ポリシーを作成し、 両方とも条件 Document プロパティに次の値が含まれますNext, they create a DLP policy with two rules that both use the condition Document properties contain any of these values:

  • FCI PII コンテンツ - 高、中程度 最初のルールは、FCI 分類プロパティ [ 個人識別可能な情報] が [高]または [中程度] に等しく、ドキュメントが組織外のユーザーと共有されている場合に、ドキュメントへのアクセスを制限します。FCI PII content - High, Moderate The first rule restricts access to the document if the FCI classification property Personally Identifiable Information equals High or Moderate and the document is shared with people outside the organization.

  • FCI PII コンテンツ - 低 2 番目のルールは、FCI 分類プロパティ [ 個人識別可能な情報] が Low に等しく、ドキュメントが組織外のユーザーと共有されている場合に、ドキュメント所有者に通知を送信します。FCI PII content - Low The second rule sends a notification to the document owner if the FCI classification property Personally Identifiable Information equals Low and the document is shared with people outside the organization.

PowerShell を使用して DLP ポリシーを作成するCreate the DLP policy by using PowerShell

Document プロパティ にこれらの 値が含まれている条件は、セキュリティ コンプライアンス センターの UI では一時的に使用できませんが、PowerShell を使用してこの条件 & を使用できます。The condition Document properties contain any of these values is temporarily not available in the UI of the Security & Compliance Center, but you can still use this condition by using PowerShell. コマンドレットを使用して DLP ポリシーを操作し、パラメーターと一緒にコマンドレットを使用して、Document プロパティにこれらの値が含まれる条件 New\Set\Get-DlpCompliancePolicy New\Set\Get-DlpComplianceRule ContentPropertyContainsWords を追加できますYou can use the New\Set\Get-DlpCompliancePolicy cmdlets to work with a DLP policy, and use the New\Set\Get-DlpComplianceRule cmdlets with the ContentPropertyContainsWords parameter to add the condition Document properties contain any of these values.

これらのコマンドレットの詳細については 、「Security Compliance & Center コマンドレット」を参照してくださいFor more information on these cmdlets, see Security & Compliance Center cmdlets.

  1. Connect PowerShell を使用 & してセキュリティ コンプライアンス センターにアクセスするConnect to the Security & Compliance Center using remote PowerShell

  2. を使用してポリシーを作成します New-DlpCompliancePolicyCreate the policy by using New-DlpCompliancePolicy.

この PowerShell は、すべての場所に適用される DLP ポリシーを作成します。This PowerShell creates a DLP policy that applies to all locations.

New-DlpCompliancePolicy -Name FCI_PII_policy -ExchangeLocation All -SharePointLocation All -OneDriveLocation All -Mode Enable
  1. 上記の 2 つのルールを作成するには、Low 値に対して 1 つのルールを使用し、別のルールは高値と中程度の値 New-DlpComplianceRule指定 します。 Create the two rules described above by using New-DlpComplianceRule, where one rule is for the Low value, and another rule is for the High and Moderate values.

    これら 2 つのルールを作成する PowerShell の例を次に示します。Here is a PowerShell example that creates these two rules. プロパティ名と値のペアは二重引用符で囲み、プロパティ名はスペースを使用しないコンマで区切られた複数の値を指定できます。 "<Property1>:<Value1>,<Value2>","<Property2>:<Value3>,<Value4>"....The property name/value pairs are enclosed in quotation marks, and a property name may specify multiple values separated by commas with no spaces, like "<Property1>:<Value1>,<Value2>","<Property2>:<Value3>,<Value4>"....

    New-DlpComplianceRule -Name FCI_PII_content-High,Moderate -Policy FCI_PII_policy -AccessScope NotInOrganization -BlockAccess $true -ContentPropertyContainsWords "Personally Identifiable Information:High,Moderate" -Disabled $falseNew-DlpComplianceRule -Name FCI_PII_content-Low -Policy FCI_PII_policy -AccessScope NotInOrganization -BlockAccess $false -ContentPropertyContainsWords "Personally Identifiable Information:Low" -Disabled $false -NotifyUser Owner
    

    Windowsサーバー FCI には、この例で使用される個人を特定できる情報を含む多くの組み込みプロパティが含まれています。Windows Server FCI includes many built-in properties, including Personally Identifiable Information used in this example. プロパティごとに使用できる値は、組織ごとに異なる場合があります。The possible values for each property can be different for every organization. ここで 使用する高、中 程度値、 および低 値は、一例です。The High, Moderate, and Low values used here are only an example. 組織では、Windows Server ベースのファイル サーバー上のファイル サーバー リソース マネージャーで、Windows Windows Server FCI 分類プロパティを表示できます。For your organization, you can view the Windows Server FCI classification properties with their possible values in the file Server Resource Manager on the Windows Server-based file server. 詳細については、「分類プロパティを 作成する」を参照してくださいFor more information, see Create a classification property.

完了したら、両方とも Document プロパティを使用する 2 つの新しいルールにこれらの値 の条件が含まれている必要 があります。When you finish, your policy should have two new rules that both use the Document properties contain any of these values condition. この条件は UI には表示されませんが、他の条件、アクション、および設定が表示されます。This condition won't appear in the UI, though the other conditions, actions, and settings will appear.

1 つのルールは、[個人情報] プロパティが [] または [] の場合にコンテンツへのアクセスをブロックします。One rule blocks access to content where the Personally Identifiable Information property equals High or Moderate. 2 番目のルールは、[個人情報] プロパティが [] の場合にコンテンツについて通知を送信します。A second rule sends a notification about content where the Personally Identifiable Information property equals Low.

2 つのルールが作成されたことを示す[新しい DLP ポリシー] ダイアログ ボックス

DLP ポリシーを作成した後にAfter you create the DLP policy

前のセクションの手順を実行すると、そのプロパティを持つコンテンツをすばやく検出する DLP ポリシーが作成されますが、そのコンテンツが新しくアップロードされた場合 (コンテンツのインデックスが作成される) 場合、またはコンテンツが古いが編集済みである場合 (コンテンツの再インデックスが作成される場合) だけです。Doing the steps in the previous sections will create a DLP policy that will quickly detect content with that property, but only if that content is newly uploaded (so that the content's indexed), or if that content is old but just edited (so that the content's re-indexed).

対象プロパティが含まれるコンテンツを検出するには、ライブラリ、サイト、サイト コレクションの再インデックス付けを手動で要求し、対象プロパティが含まれるコンテンツすべてを DLP ポリシーが認識するようにできます。SharePoint Online では、定義されているクロール スケジュールに基づいてコンテンツは自動的にクロールされます。クローラーは、最後にクロールされて以降に変更が加えられたコンテンツを取得して、インデックスを更新します。スケジュールされたクロールが次に実行される前にコンテンツを保護する DLP ポリシーが必要となる場合には、以下の手順を実行できます。To detect content with that property everywhere, you may want to manually request that your library, site, or site collection be re-indexed, so that the DLP policy is aware of all the content with that property. In SharePoint Online, content is automatically crawled based on a defined crawl schedule. The crawler picks up content that has changed since the last crawl and updates the index. If you need your DLP policy to protect content before the next scheduled crawl, you can take these steps.

注意事項

サイトを再インデックス付けすると、検索システムで多大な負荷が発生することがあります。Re-indexing a site can cause a massive load on the search system. シナリオで絶対に必要な場合を限り、サイトのインデックスを再設定しない。Don't re-index your site unless your scenario absolutely requires it.

詳細については、「サイト、ライブラリ、またはリストのクロールおよび再インデックスの手動要求」を参照してください。For more information, see Manually request crawling and re-indexing of a site, a library or a list.

サイトのインデックスを再作成する (オプション)Reindex a site (optional)

  1. サイトで、[設定] (右上の歯車アイコン) > を選択設定。On the site, choose Settings (gear icon in upper right) > Site Settings.

  2. [検索 ] で、[ 検索とオフラインの可用性の > 再インデックス サイト] を選択しますUnder Search, choose Search and offline availability > Reindex site.

詳細情報More information