FCI または他のプロパティを含むドキュメントを保護するために DLP ポリシーを作成する

重要:  この記事は機械翻訳されています。機械翻訳についての「免責事項」をお読みください。この記事の英語版を参照するには、ここをクリックしてください。

Office 365 では、データ損失防止 (DLP) ポリシーを使用して、機密情報の識別、監視、保護を行うことができます。多くの組織には、Windows Server ファイル分類インフラストラクチャ (FCI) の分類プロパティ、SharePoint のドキュメント プロパティ、またはサードパーティのシステムによって適用されるドキュメント プロパティを使用して、機密情報を識別および分類するプロセスが既に存在します。そのような組織では、Windows Server FCI または他のシステムによってドキュメントに適用されているプロパティを認識する DLP ポリシーを Office 365 で作成して、FCI または他の特定のプロパティ値を持つ Office ドキュメントに DLP ポリシーを適用することができます。

Office 365 と外部分類システムを示す図

たとえば、Windows Server FCI を使用して、社会保障番号などの個人を特定できる情報 (PII) を含むドキュメントを識別し、ドキュメントで見つかった PII の種類と出現回数に基づいて、個人情報プロパティをパブリック、または PII ではないに設定することで、ドキュメントを分類できます。Office 365 では、そのようなプロパティが特定の値 (など) に設定されているドキュメントを識別してアクション (これらのファイルへのアクセスをブロックするなど) を実行する DLP ポリシーを作成することができます。同じポリシーに、プロパティがに設定されている場合は通知メールを送信するといった、異なるアクションを実行する別のルールを設定できます。このように、Office 365 の DLP は Windows Server FCI と統合して、Windows Server ベースのファイル サーバーから Office 365 にアップロードまたは共有された Office ドキュメントを保護します。

DLP ポリシーは、単に特定のプロパティの名前と値のペアを探します。プロパティに SharePoint 検索用の対応する管理プロパティがある限り、任意のドキュメント プロパティを使用できます。たとえば、SharePoint サイト コレクションで Trip Report という名前のコンテンツ タイプと Customer という名前の必須フィールドが使われているものとします。ユーザーが出張報告を作成するときは常に、顧客名を入力する必要があります。たとえば、Customer フィールドの値が Contoso のときは外部ユーザーによるドキュメントへのアクセスをブロックするルールを作成したい場合は、このプロパティの名前と値のペアを DLP ポリシーでも使用できます。

ノートの特定の Office 365 のラベル付きのコンテンツに、DLP ポリシーを適用する場合は、次の手順を実行しない必要があります。代わりに、学習DLP ポリシーの条件としてラベルを使用する方法。

DLP ポリシーを作成する前に

Windows Server FCI プロパティまたはその他のプロパティを DLP ポリシーで使用するには、その前に、SharePoint 管理センターで管理プロパティを作成する必要があります。その理由を次に説明します。

SharePoint Online および OneDrive for Business では、検索インデックスはサイトのコンテンツをクロールすることによって構築されます。クローラーは、ドキュメントのコンテンツとメタデータをクロールされたプロパティとして取得します。検索スキーマは、クローラーがどのコンテンツとメタデータを取得するのかを判断するのに役立ちます。メタデータの例としては、ドキュメントの作成者とタイトルがあります。ただし、ドキュメントのコンテンツとメタデータを検索インデックスに取得するには、クロールされたプロパティが管理プロパティにマップされている必要があります。インデックスに保持されるのは管理プロパティだけです。たとえば、作成者に関連するクロールされたプロパティは、作成者に関連する管理プロパティにマップされます。

Office 365 の DLP は検索クローラーを使用してサイト上の機密情報を識別および分類した後、検索インデックスのセキュリティで保護された部分にその機密情報を格納するので、これは重要なことです。Office 365 にドキュメントをアップロードすると、SharePoint はドキュメント プロパティに基づいて自動的にクロールされたプロパティを作成します。ただし、DLP ポリシーで FCI または他のプロパティを使用するには、そのクロールされたプロパティを管理プロパティにマップして、そのプロパティを持つコンテンツがインデックスに保持されるようにする必要があります。

検索と管理プロパティの詳細については、「SharePoint Online で検索スキーマを管理する」を参照してください。

手順 1: 必要なプロパティを持つドキュメントを Office 365 にアップロードする

最初に、DLP ポリシーで参照するプロパティを持つドキュメントをアップロードする必要があります。Office 365 は、プロパティを検出し、それからクロールされたプロパティを自動的に作成します。次の手順では、管理プロパティを作成し、このクロールされたプロパティに管理プロパティをマップします。

手順 2: 管理プロパティを作成する

  1. Office 365 管理センターにサインインします。

  2. 左側のナビゲーションで、[管理センター]、[SharePoint] の順に選びます。これで SharePoint 管理センターに移動します。

  3. 左側のナビゲーションで [検索] を選び、[検索管理] ページで [検索スキーマの管理] を選びます。

    SharePoint 管理センターの [検索管理] ページ

  4. [管理プロパティ] ページで、[新しい管理プロパティ] をクリックします。

    [新しい管理プロパティ] ボタンが強調表示されている [管理プロパティ] ページ

  5. プロパティの名前と説明を入力します。この名前が DLP ポリシーに表示されます。

  6. [種類] で [テキスト] を選びます。

  7. [主な特徴] で、[クエリ可能] と [取得可能] を選びます。

  8. [クロールされたプロパティへのマッピング] で、[マッピングの追加] をクリックします。

  9. [クロールされたプロパティの選択] ダイアログ ボックスで、DLP ポリシーで使用する Windows Server FCI プロパティまたは他のプロパティに対応するクロールされたプロパティを見つけて選択し、[OK] をクリックします。

    [クロールされたプロパティの選択] ダイアログ ボックス

  10. ページ下端の [OK] をクリックします。

FCI プロパティまたは他のプロパティを使用する DLP ポリシーを作成する

この例では、Windows Server ベースのファイル サーバーで FCI を使っています。具体的には、中程度パブリックで、個人情報ではないの可能な値と個人情報を指定した FCI 分類プロパティ使用しています。Office 365 で自分の DLP ポリシーの既存の FCI 分類を活用するようになりました。

最初に、前記の手順に従って、SharePoint Online で管理プロパティを作成します。これが、FCI プロパティから自動的に作成されるクロールされたプロパティにマップされます。

次に、両方がドキュメントのプロパティを含むこれらの値のいずれかの条件を使用している 2 つのルールを含む、DLP ポリシーを作成します。

  • 高、中 FCI PII コンテンツ 最初のルールでは、FCI 分類プロパティ個人情報] または [中程度には、組織外の人とドキュメントを共有する場合に、ドキュメントにアクセスを制限します。

  • 低 FCI PII コンテンツ 2 番目のルールは、とドキュメント FCI 分類プロパティ個人情報と等しい場合、文書の所有者に通知は、[組織外のユーザーと共有を送信します。

PowerShell を使用して、DLP ポリシーを作成する.

PowerShell を使用して、次の条件を使ってすることもできますがドキュメントのプロパティを含むこれらの値のいずれかの条件は、 セキュリティ/コンプライアンス センターの UI では使用一時的に注意してください。New\Set\Get-DlpCompliancePolicyコマンドレットを使用して、DLP ポリシーを使用して、 ContentPropertyContainsWordsパラメーターを使用してNew\Set\Get-DlpComplianceRuleコマンドレットを使用してドキュメントのプロパティを含むこれらの値のいずれかの条件を追加することができます。

これらのコマンドレットの詳細については、 Office 365 のセキュリティとコンプライアンス センター コマンドレットを参照してください。

  1. リモート PowerShell を使用して Office 365 セキュリティ/コンプライアンス センターに接続します

  2. ポリシーを作成するには、 New-DlpCompliancePolicyを使用します。

    すべての場所に適用される DLP ポリシーを作成する PowerShell の使用例を示します。

    New-DlpCompliancePolicy -Name FCI_PII_policy -ExchangeLocation All -SharePointLocation All -OneDriveLocation All -Mode Enable
  3. 上記の説明New-DlpComplianceRule、1 つのルールの値であり、別のルールは、中程度の値を使用して 2 つのルールを作成します。

    これら 2 つのルールを作成する PowerShell の使用例を示します。プロパティ名] の [値のペアが、二重引用符で囲んだ文字列をプロパティ名が"<Property1>:<Value1>,<Value2>","<Property2>:<Value3>,<Value4>"....のように、スペースはコンマで区切られた複数値を指定することがあります。

    New-DlpComplianceRule -Name FCI_PII_content-High,Moderate -Policy FCI_PII_policy -AccessScope NotInOrganization -BlockAccess $true -ContentPropertyContainsWords "Personally Identifiable Information:High,Moderate" -Disabled $false

    New-DlpComplianceRule -Name FCI_PII_content-Low -Policy FCI_PII_policy -AccessScope NotInOrganization -BlockAccess $false -ContentPropertyContainsWords "Personally Identifiable Information:Low" -Disabled $false -NotifyUser Owner

    Windows Server FCI にこの例で使用する個人情報を含む、組み込みの多くのプロパティが含まれていることに注意してください。各プロパティの値は、すべての組織で異なる表示にできます。の値をここでは使用は例のみします。組織の Windows Server ベースのファイル サーバー上のファイル サーバー リソース マネージャーで、使用可能な値と Windows Server FCI 分類のプロパティを表示できます。詳細については、分類のプロパティを作成するを参照してください。

完了したら、ポリシーに 2 つの新しいルールを両方がドキュメントのプロパティを含むこれらの値のいずれかの条件を使用している必要があります。メモは、この状態は表示されません UI では、ただし、その他の条件、アクション、および設定が表示されます。

ブロックの 1 つのルールは、場所、個人情報と等しい] または [中程度のコンテンツにアクセスできます。2 番目のルールは、場所、個人情報と等しいコンテンツに関する通知を送信します。

作成した 2 つのルールが示されている[新しい DLP ポリシー] ダイアログ

DLP ポリシーを作成した後で

前のセクションの手順を実行すると、そのプロパティを持つコンテンツをすばやく検出する DLP ポリシーが作成されますが、検出されるのは、そのコンテンツが新しくアップロードされた場合 (コンテンツのインデックス作成時)、または古いコンテンツが編集された場合 (コンテンツのインデックス再作成時) だけです。

そのプロパティをさまざまな場所にコンテンツを検出することになる要求を手動で、ライブラリ、サイト、またはサイト コレクションをもう一度インデックスを作成する、DLP ポリシーはそのプロパティを持つすべてのコンテンツを認識できるようにします。SharePoint Onlineでコンテンツが自動的にクロールされたベースの定義済みのクロール スケジュールします。クローラーは、前回のクロールが変更され、インデックスを更新するコンテンツを選択します。DLP ポリシーを次に予定されているクロールする前にコンテンツを保護する場合は、次の手順を実行できます。

警告: サイトのインデックスを再作成すると、検索システムに大きな負荷がかかる場合があります。どうしても必要な場合を除き、サイトのインデックスの再作成は行わないでください。

詳細については、「サイトのクロールとインデックス再作成を手動で要求する」を参照してください。

サイトのインデックスの再作成 (任意)

  1. サイトで、[設定] (歯車アイコン)、[サイトの設定] の順に選択します。

  2. [検索] で、[検索とオフラインでの使用制限]、[サイト インデックスの再作成] の順に選択します。

詳細情報

注: 機械翻訳についての免責事項: この記事の翻訳はコンピューター システムによって行われており、人間の手は加えられていません。マイクロソフトでは、英語を話さないユーザーがマイクロソフトの製品、サービス、テクノロジに関するコンテンツを理解するのに役立てるため、こうした機械翻訳を提供しています。記事は機械翻訳されているため、用語、構文、文法などに誤りがある場合があります。

スキルを磨く
トレーニングの探索
新機能を最初に入手
Office Insider に参加する

この情報は役に立ちましたか?

ご意見をいただきありがとうございます。

フィードバックをお寄せいただき、ありがとうございます。Office サポートの担当者におつなぎいたします。

×