ラボ: Microsoft Purview のインサイダー リスク管理を調べる

このラボは、次の Learn コンテンツに対応しています。

  • ラーニング パス: Microsoft Priva と Microsoft Purview の機能について説明する
  • モジュール: Microsoft Purview のデータ セキュリティ ソリューションについて説明する
  • ユニット: Microsoft Purview のインサイダー リスク管理について説明する

ラボのシナリオ

このラボでは、インサイダー リスク構成ポリシーを構成および使用するための基本的な前提条件に沿って、インサイダー リスク ポリシーを設定するプロセスについて説明します。 注: このラボでは、インサイダー リスク管理の設定に必要なものと、ポリシー作成に関連するオプションについてのみ説明します。 このラボにはポリシーをトリガーするタスクは含まれていません。ポリシーをトリガーするために発生する必要のあるイベントの数と必要な時間はこの演習の範囲外です。

予測される所要時間: 60 分

タスク 1

このタスクでは、グローバル管理者としてインサイダー リスク管理のアクセス許可を有効にします。 具体的には、インサイダー リスク管理のロール グループにユーザーを追加して、指定されたユーザーがインサイダー リスク管理機能にアクセスして管理できるようにします。 役割グループのアクセス許可が組織全体のユーザーに適用されるまでに最大 30 分かかる場合があります。

  1. Microsoft Purview のホーム ページのブラウザー タブを開きます。 既に閉じている場合は、ブラウザー タブを開き、「 https://admin.microsoft.com 」と入力します。 認可されたラボ ホスト (ALH) から提供された Microsoft 365 テナントの管理者資格情報を使ってサインインします。 以前に管理者としてログインしたことがある場合は、MFA の一部として、セカンダリ認証を完了するように求められます。 以前に管理者としてログインしたことがない場合は、MFA 登録プロセスを完了するように求められます。画面の指示に従って MFA をセットアップします。

  2. Microsoft 365 管理センターの左ナビゲーション ウィンドウで [すべて表示] を選んでから [コンプライアンス] を選びます。 新しいブラウザー ページが開き、Microsoft Purview ポータルのウェルカム ページが表示されます。

  3. 左側のナビゲーション パネルで、[設定] を選択し、[ロールとスコープ] を展開し、[ロール グループ] を選択します。

  4. ページの左上にある検索フィールドに「インサイダー リスク」と入力し、キーボードの Enter キーを押します。 表示される多数のロールに注意してください。 これらのアクセス レベルはそれぞれ異なります。 [インサイダー リスク管理] を選択し、説明を確認します。 メンバーが表示されるところまで下にスクロールして、MOD 管理者と Megan Bowen が表示されることに注目します。 画面の右上隅の [X] を選んでウィンドウを閉じます。

  5. 左側のナビゲーション パネルで [ホーム] を選択して、Microsoft Purview ポータル ページに戻ります。

  6. 後続のタスクで戻るため、このブラウザー タブは開いたままにしておきます。

タスク 2

このタスクでは、インサイダー リスク管理ソリューションに関連する設定について説明します。 インサイダー リスク管理設定は、ポリシーの作成時に選択したテンプレートに関係なく、すべてのインサイダー リスク管理ポリシーに適用されます。

  1. Microsoft Purview ポータルのホーム ページが表示されているはずです。 そうでない場合は、ブラウザー タブ [ホーム - Microsoft 365 コンプライアンス] を開きます。

  2. ポリシーの設定を開始する前に、管理者が理解し、組織のニーズに応じて構成する必要がある設定がいくつかあります。 左側のナビゲーション ウィンドウで、[設定] を選択し、[インサイダー リスク管理] を選択します。 ここでは、使用可能な設定の一部を確認します。
    1. [プライバシー] の選択: インサイダー リスク ポリシーに一致するアクティビティを実行するユーザーは、この設定により、実際の名前を表示するか、匿名バージョンを使用して ID をマスクするかが決まります。 このチュートリアルでは、既定の設定をそのまま使用できます。
    2. [ポリシー インジケーター] を選択します。 ポリシー トリガー イベントが発生すると、選択したインジケーターにマップされるアクティビティが、ユーザーのリスク スコアの決定に使用されます。 ここで選択したポリシー インジケーターには、インサイダー リスク ポリシー テンプレートが含まれています。 スクロールすると、使用可能なすべてのインジケーターと関連情報が表示されます。
    3. [ポリシー期間] を選択します。 ここで選択した期間は、ユーザーがインサイダー リスク ポリシーの一致をトリガーしたときに有効になります。 [アクティベーション] ウィンドウは、ポリシーがユーザーのアクティビティをアクティブに検出する期間を決定し、ユーザーがポリシーに一致する最初のアクティビティを実行したときにトリガーされます。 過去のアクティビティ検出: ユーザー アクティビティを検出するためにポリシーがどのくらい遡る必要があるかを決定します。ポリシーは、ユーザーがポリシーに一致する最初のアクティビティを実行したときにトリガーされます。 既定値のままにします。
    4. [インテリジェント検出] を選択します。 ここでオプションを確認します。 ドメイン設定とインジケーターとの関係に注意してください。
    5. 設定に一覧表示されている他の項目を確認します。多くはプレビュー段階です。

  3. 左側のナビゲーション ウィンドウで、[ソリューション] を選択し、[インサイダー リスク管理] を選択します。

  4. 次のタスクで使用するため、このブラウザー タブは開いたままにしておきます。

タスク 3

このタスクでは、ポリシーを作成するための設定について説明します。 目的は、ポリシーの作成に関連するさまざまなオプションと柔軟性を理解することです。

  1. インサイダー リスク管理の概要ページが開いているはずです。 まだ開いていない場合は、左側のナビゲーション ウィンドウで [ソリューション] を選択し、[インサイダー リスク管理] を選択します。

  2. インサイダー リスク管理の概要ページで、[ポリシー] タブを選択し、[+ ポリシーの作成] を選択します。 次の各ポリシー タブを構成します。

    1. ポリシー テンプレート: [データ リーク] カテゴリで、[データ リーク] を選択します。 このテンプレートに関連付けられている詳細を読みます。 前提条件の下に、前提条件が満たされていることを示す緑の円の中にチェックマークが付いた DLP ポリシーが表示されます。 このラボ テナント用に事前構成された DLP ポリシーがあります。 [次へ] を選択します。
    2. 名前と説明: 名前「SC900-InsiderRiskPolicy」を入力し、[次へ] を選択します。
    3. ユーザーとグループ: 情報ボックスを確認します。 既定の設定のままにして、[すべてのユーザーとグループを含めます]。 [次へ] を選択します。
    4. ユーザーとグループを除外する (任意)(プレビュー): ここでは、除外するユーザーとグループを一覧表示できます。 何も変更しないでください。 [次へ] を選択します。
    5. 優先順位を付けるコンテンツ: 説明に従って、優先度の高いコンテンツを含むアクティビティのリスク スコアが増加し、重要度の高いアラートが生成される可能性が高くなります。 わかりやすくするために、[今はコンテンツに優先順位を付けない] を選択し、[次へ] を選択します。
    6. トリガー: トリガー イベントは、ポリシーがユーザーのアクティビティにリスク スコアを割り当て始めるタイミングを決定します。 既存の DLP ポリシーから選択するか、ユーザーが流出アクティビティを実行するかどうかを選択できます。 [ユーザーがデータ損失防止 (DLP) ポリシーに一致する] を選択し、ドロップダウンから [米国金融関連データ] を選択します。 [次へ] を選択します。
    7. インジケーター: 選択したインジケーターに注意してください。 何も変更しないでください。 [次へ] を選択します。
    8. [検出オプション] ページで、すべての既定の設定のままにしますが、さまざまなオプションに関連付けられている説明を読み、情報アイコンの上にカーソルを合わせて、特定の設定に関する詳細情報を取得します。 [次へ] を選択します。
    9. [既定と顧客インジケーターのしきい値のどちらを使用するかを決定する] ページで、既定の設定の [Microsoft が提供するしきい値を適用する] のままにし、[次へ] を選びます。
    10. 完了: 設定を確認し、[送信] を選びます。
    11. 次の処理に関する説明を確認し、[完了] を選びます。

  3. [インサイダー リスク管理] ページの [ポリシー] タブに戻りました。 作成したポリシーが一覧表示されます。 表示されない場合は、[更新] アイコンを選択します。

  4. 管理者は、選択したポリシーによって検出されたアクティビティに基づいて、ユーザーにリスク スコアの割り当てをすぐに開始できます。 これにより、トリガー イベント (DLP ポリシーの一致など) が最初に検出されるという要件が回避されます。 管理者がこれを行うには、ポリシー名の隣の空の四角形を選択してポリシーを選択し、ポリシー テーブルの上に表示されている [ユーザーのスコアリング アクティビティの開始] を選択します。 管理者が使用可能なフィールドを設定する必要がある新しいウィンドウが開きます。 このオプションを構成しないため、フィールドは空のままにしますが、管理者がこれを行う理由の詳細については、[これを使用する理由] を選択します。 画面の右上隅の [X] を選択して、ウィンドウを閉じます。

  5. 左ナビゲーション パネルで、[ホーム] を選んで、Microsoft Purview コンプライアンス ポータルのランディング ページに戻ります。

  6. ブラウザー タブは開いたままにします。

確認

このラボでは、インサイダー リスク構成ポリシーを構成および使用するための基本的な前提条件に沿って、インサイダー リスク ポリシーを設定するプロセスについて説明しました。