ラボ 2 - 演習 2 - エンドポイント DLP を管理する
あなたは Contoso Ltd. が新しく採用したコンプライアンス管理者、Joni Sherman です。データ損失防止の目的で、組織の Microsoft 365 テナントを構成する任務を負っています。 Contoso Ltd. は米国で自動車運転教習を行っている企業です。あなたには機密の顧客情報がこの組織から漏えいしないようにする役目があります。 そのため、あなたは Microsoft 365 の DLP ポリシーを実装するだけでなく、この保護を組織内のデバイスに適用することにしました。
タスク 1 – デバイスのオンボードを有効にする
このタスクでは、組織向けにデバイスのオンボードを有効にします。
-
Client 1 VM (LON-CL1) には lon-cl1\admin アカウントでログインし、Microsoft 365 には Joni Sherman としてログインしておく必要があります。 JoniS@WWLxZZZZZZ.onmicrosoft.com としてサインインします (ZZZZZZ はラボ ホスティング プロバイダーから支給された固有のテナント ID)。 Joni のパスワードは、ラボ ホスティング プロバイダーから支給されます。
-
Microsoft Edge で、Microsoft Purview ポータルのタブがまだ開かれているはずです。 その場合は、それを選択して次の手順に進みます。 閉じた場合は、新しいタブで https://compliance.microsoft.com に移動します。
-
Microsoft Purview ポータルの左側のナビゲーション ペインで、 [設定] を選択し、 [デバイスのオンボード] を選択します。
-
[デバイスのオンボードを有効にする] を選択して、テナントのソリューションを有効にします。
-
[OK] を選択し,[デバイスのオンボーディングを有効にします] ダイアログに同意します。
-
[OK] を選択し [デバイスのオンディングが有効化されます] ダイアログに同意します。
これでデバイスのオンボーディングが有効となりました。Windows 10 デバイスをオンボードして、エンドポイント DLP ポリシーで保護することが可能です。 この機能を有効にするプロセスには最大 30 分かかる場合がありますが、これに依存しないため、次のタスクに進むことができます。
タスク 2 – エンドポイント DLP にデバイスをオンボードする
このタスクでは、ローカル スクリプト オプションを使って、Windows 10 デバイスをオンボードし、エンドポイント DLP ポリシーで保護できるようにします。
-
Client 1 VM (LON-CL1) に lon-cl1\admin アカウントでログインします。
-
Microsoft Edge で、 https://compliance.microsoft.com に移動して、Joni Sherman として Microsoft 365 にログインする必要があります。
-
Microsoft Purview ポータルの左側のナビゲーション ペインで、 [設定] を選択し、 [デバイスのオンボード] を選択します。
-
[デバイスのオンボーディング] ページでは、ナビゲーション ページで [オンボーディング] を選択します。
-
[デプロイ方法] ドロップダウン メニューで [ローカル スクリプト (最大 10 台のマシン用)] を選択し、[ダウンロード パッケージ] を選択します。
-
ダウンロードダイアログで、[保存] を選択し、[フォルダーを開く] を選択します。
-
ZIP ファイルを LON-CL1 のデスクトップに解凍します。 DeviceComplianceLocalOnboardingScript.cmd という名前のスクリプトがあるはずです。
-
デスクトップで、抽出した DeviceComplianceLocalOnboardingScript.cmd ファイルを右クリックし、[管理者として実行] を選択します。 [詳細情報] を選択してから [実行する] を選択すると、Windows SmartScreen 警告ボックスが表示される場合があります。 [ユーザー アカウント制御] ウィンドウが表示されたら、このスクリプト全体に対して [はい] を選択し、PC に変更を加えます。
-
[コマンド プロンプト] スクリーンで、[Y] と入力して確認し、Enter キーを押します。
-
スクリプトが終了したら、いずれかのキーを押して続行します。 オンボーディングが完了するのに、1 分ほどかかることがあります。
-
スタート メニューを開いて、[職場または学校にアクセスする] を選択します。
-
[職場または学校にアクセスする] ウィンドウで、[+ 接続] を選択します。
-
[職場または学校アカウントのセットアップ] ダイアログで、 [このデバイスを Azure Active Directory に参加させる] リンクを選択し、Joni Sherman JoniS@WWLxZZZZZZ.onmicrosoft.com としてサインインします (ZZZZZZ はラボ ホスティング プロバイダーから支給された固有のテナント ID)。 Joni のパスワードは、ラボ ホスティング プロバイダーから支給されます。
-
[これがあなたの組織であることを確認してください] ダイアログで、テナントの URL を確認し、[参加する] を選択します。 デバイスが参加できない場合、Azure AD の構成で参加の設定のトラブルシューティングが必要な可能性があります。 次を実行してデバイスが参加できるようにします。
1. Open a new browser tab and go to the Azure Portal https://portal.azure.com 2. Sign in as **MOD Administrator** admin@WWLxZZZZZZ.onmicrosoft.com 3. Select **Manage Azure Active Directory**. 4. Select **Devices** 5. Select **Device settings** 6. Scroll-down until you see **Maximum number of devices per user** change the value to **20 (Recommended)** 7. Once you have updated the setting re-try to connect your device.
-
デバイスが接続されたら、[完了] を選択します。
-
Client 1 VM (LON-CL1) を再起動します。
デバイスがオンボーディングして、Azure AD に参加し、エンドポイント DLP ポリシーで保護できるようになりました。
タスク 3 - エンドポイント DLP ポリシーを作成する
このタスクでは、Microsoft Purview ポータルでデータ損失防止ポリシーを作成し、組織内の Windows 10 デバイスにある機密データを保護します。 作成する DLP ポリシーは、ユーザーがクレジット カード情報を含むドキュメントのコンテンツをコピーできないようにします。
-
Client 1 VM (LON-CL1) に lon-cl1\admin アカウントでログインします。
-
タスク バーから Microsoft Edge を開き、Microsoft Purview ポータル (https://compliance.microsoft.com ) に移動し、[サインイン] ウィンドウが表示されたら、JoniS@WWLxZZZZZZ.onmicrosoft.com としてサインインします (ZZZZZZ はラボ ホスティング プロバイダーから支給された固有のテナント ID)。 Joni のパスワードは、ラボ ホスティング プロバイダーから支給されます。 ヒント: パスワードは、以前に使用した MOD 管理者と同じである可能性があります。
-
Microsoft Purview ポータルの左側のナビゲーション ペインで [データ損失防止] を選択し、上部のウィンドウで [ポリシー] を選択します。
-
[ポリシーの作成] を選択し、新しいデータ損失防止ポリシーを作成するためのウィザードを起動します。
-
[テンプレートの利用またはカスタム ポリシーの作成] ページで、 [カスタム] 、 [カスタム ポリシー] の順に選択し、 [次へ] を選択します。
-
[ポリシーの名前を設定] ページで、次の情報を入力します。
- [名前] : 従業員疾病エンドポイントの DLP ポリシー
- [説明] : 従業員の ID 番号と疾病がエンドポイントで共有されるのを防止します。
-
[次へ] を選択します。
-
[ポリシーを適用する場所を選択する] ページで [デバイス] オプションのみを選択し、[次へ] を選択します。
-
[ポリシー設定を定義する] ページで、[詳細な DLP ルールを作成またはカスタマイズする] オプションを選択する必要があります (既定で選択済みです)。 [次へ] を選択します。
-
[詳細な DLP ルールをカスタマイズする] ページで、[+ ルールの作成] を選択します。
-
[ルールの作成] ページで、次の情報を入力します。
- [名前] : EmployeeID と疾病のルール
- [説明] : 従業員の ID と疾病が近い範囲で共有されている場合を検出します。
-
[+ 条件の追加] を選択し、ドロップダウン メニューから [コンテンツに含まれている] を選択します。
-
新しく開かれた [コンテンツに含まれている] 領域で、 [追加] を選択し、ドロップダウン メニューから [機密情報の種類] を選択します。
-
右側の [機密情報の種類] ウィンドウで、 [Contoso 従業員 ID] と [Contoso 疾病リスト] を選択し、 [追加] を選択します。
-
[これらのいずれか] ドロップダウンを [これらのすべて] に変更して、近接する両方の情報がポリシーで検出されるようにします。
-
[アクション] まで下にスクロールし、 [+ アクションを追加] ドロップダウンを選択し、 [Windows デバイスでのアクティビティの監査または制限] を選択します。
-
すべてのチェックボックスをオンのままにして、右側にあるドロップダウンの選択項目を [監査のみ] から [ブロック] に変更します。
-
[ユーザー通知] セクションで、 [ユーザーへのお知らせに通知を使い、機密情報の適切な使用についてのユーザーの教育に役立てる] をオンにして、通知をオンにします。 [オン] に切り替えます。
-
[エンドポイント デバイス] で、[**アクティビティが制限されている場合にユーザーにポリシー ヒント通知を表示する] のチェックボックスを選択します。 Windows でアクティビティに対して [ブロック] を選択すると、これはオンになります。 Windows デバイスで通知をオフにするには、制限を無効にします。
-
[ユーザーのオーバーライド] セクションまで下にスクロールし、 [エンドポイント デバイスからのオーバーライドを許可する] の下で [クリップボードからコピー] を選択します。
-
[保存] を選択し、[次へ] を選択します。
-
[ポリシーをテストまたは有効にする] ページで、[すぐに有効にする] を選択します。
-
[次へ] を選択し、ポリシー構成を確認します。
-
[送信] を選択し、ポリシーを作成します。
-
ポリシーが作成されたら、[完了] を選択します。
DLP ポリシーがアクティブ化されました。 ポリシーがクレジット カード情報を含むファイルからコンテンツをコピーしようとする試みを検知した場合、その試みをブロックし、ユーザーに通知します。
タスク 4 - エンドポイント DLP ポリシーを構成する
このタスクでは、Windows 10 デバイス上のフォルダーに対して、ファイル パスの除外を構成し、作成したエンドポイント DLP ポリシーが、このフォルダーのコンテンツを監視しないようにします。
-
Client 1 VM (LON-CL1) には lon-cl1\admin アカウントでログインし、Microsoft 365 には Joni Sherman としてログインしておく必要があります。
-
Microsoft Edge に、Microsoft Purview ポータルのタブがまだ開かれているはずです。 その場合は、それを選択して次の手順に進みます。 閉じた場合は、新しいタブで https://compliance.microsoft.com に移動します。
-
Microsoft Purview ポータルの左側のナビゲーション ペインで [ポリシー] を選択し、 [データ] で [データ損失防止] を選択します。
-
[データ損失の防止] ウィンドウで、[Endpoint DLP 設定] タブを選択します。
-
[エンドポイント DLP 設定] タブで、 [Windows のファイル パスの除外] 領域を拡張し、 [+ ファイル パスの除外の追加] を選択します。
-
除外するパスを入力 フィールドに「C:\FilePathExclusionTest」と入力して、+ を選択します。
-
[追加] を選択します。
-
[機密データに対するブラウザーとドメインの制限] を展開し、 [+ 許可されていないブラウザーの追加または編集] を選択します。
-
右側の [+ 許可されていないブラウザーの追加] で、 [Google Chrome] の左側にあるチェックボックスをオンにし、 [保存] を選択します。
-
[サービス ドメイン] の左側にあるドロップダウン メニューを選択し、 [オフ] から [ブロック] に変更します。
-
[クラウド アプリのモードの更新] で [はい] を選択して、ブロック モードをアクティブにします。
-
[+ クラウド サービス ドメインの追加] を選択して、右側のウィンドウを開きます。
-
右側のペインの [ドメイン] の下に「dropbox.com」と入力し、+ 記号を選択して、[追加] を選択します。
-
ブラウザー ウィンドウを閉じます。
これで、エンドポイント DLP ポリシーのカスタム設定が構成されました。 作成するすべてのポリシーで、構成したフォルダー内のコンテンツが無視されるようになり、Google Chrome ブラウザーが、機密データの処理を許可されていないブラウザーとして追加されました。
タスク 5 - Microsoft Purview 拡張機能を構成する
コンプライアンス管理者であるあなたは、機密データを操作するために、Chrome ブラウザーを複数のユーザーにロールアウトするための新しいビジネス要件を評価する必要があります。 このテストでは、Google Chrome ブラウザーをクライアント 01 にインストールし、Purview Compliance Extension for Google を Google Web ストアから手動で追加します。
-
タスク バーから Edge ブラウザーを開きます。
-
Google Chrome のダウンロード場所 https://chrome.google.com に移動します。
-
**[Chrome をダウンロード] ** を選択し, **[ダウンロード] ** で [ファイルを開く を選択し、 **[ChromeSetup.exe] ** を選択します。
-
[ユーザー アカウント制御] で **[はい] ** を選択して、Chrome ブラウザーをインストールします。
-
インストールが完了して、 [Chrome にようこそ] ページが開いたら、Chrome Web ストアの Microsoft Purview 拡張機能 https://chrome.google.com/webstore/detail/microsoft-purview-extensi/echcggldkblhodogklpincgchnpgcdco に移動します。
-
[Microsoft Purview 拡張機能] 拡張機能ページ上にいることを確認し、 [Chrome に追加] を選択します。
-
[Microsoft Purview 拡張機能を追加しますか?] ウィンドウで、 [拡張機能を追加] を選択します。
-
通知ウィンドウを閉じ、chrome://extensions に移動します。
-
[Microsoft Purview 拡張機能] が表示され、アクティブ化されていることを確認します。
正常に Chrome ブラウザーがインストールされ、Microsoft Purview 拡張機能がクライアントに追加されました。 これで、Chrome ブラウザーを Edge ブラウザーと同様に使用して、機密データを操作できるようになり、Chrome ブラウザーを使用するときにも、以前に構成したエンドポイント DLP ポリシーが適用されるようになりました。