Endpoint DLP の Just-in-Time 保護機能に関して

Endpoint DLPの機能にJust in time保護機能が登場していたので、どういった機能なのか、また動作確認しましたので、実際の動きをこの記事でご紹介できればと思います。
※動作確認した際は、プレビュー機能であったため現状動作、画面と異なる場合がございます。

 

 

Endpoint DLPにおけるJust-in-Time保護機能とは 

Endpoint DLPのJust-in-Time保護機能はオンオードされたWindows10/11デバイスに候補ポリシーを適用する機能です。
候補ポリシーが適用されることにより、ポリシーの評価が完了するまで、監視対象ファイルすべての外部との通信に関連するアクティビティを制御します。
この機能を利用することにより、Endpoint DLPのポリシーが評価されるまでの時間においても外部への機密情報持ち出しをブロックすることが可能となります。

公式ドキュメント:エンドポイント データ損失防止について | Microsoft Learn

 

候補ポリシーの適用条件

・Endpoint DLPポリシーによって評価されていない項目
・Endpoint DLPポリシーの評価が古くなった項目

 

Just-in-Time保護機能を利用する際

Just-in-Time保護機能を利用する際には、テナント全体、もしくはデバイスグループ単位で機能有効化の設定が必要です。
有効化の際には、ポリシーを監視モードで適用するか、強制モードで適用するかを選択します。


監視モード
 アクティビティの制御はされず、管理者がMicrosoft Purviewポータルの
 アクティビティエクスプローラーからアクティビティのログを確認することが可能
強制モード
 アクティビティがブロックされる。管理者はMicrosoft Purviewポータルの
 アクティビティエクスプローラーからブロックされたアクティビティのログを確認することが可能

 

Just-in-Time保護機能を有効化した場合、対象のデバイスにおけるすべてのファイルに適用されるため、
対象のデバイスはEndpoint DLPポリシーの評価が完了するまで外部との通信に関連するアクティビティがすべて制御される動きとなります。

機能を有効化する際には、まずテストとして先行検証を行っていただき実際の動作を見て頂くと良いと思います。
公式ドキュメントに展開方法のベストプラクティスの記載がありますので、ご確認ください。
エンドポイント DLP Just-In-Time 保護の使用 | Microsoft Learn

 

適用対象のアクティビティ

ポリシーが適用されるアクティビティについては、
「監視対象ファイルのすべてのエグレス アクティビティ」と記載があります。
具体的なアクティビティの記載がなかったため、Microsoft サポートへ問い合わせを行ったところEndpoint DLPにて制御可能なアクティビティが対象になるとのことでした。

 

<Endpoint DLPにて制御可能なアクティビティ>
・印刷
・クリップボードへのコピー
・USBリムーバブルメディアへのコピー
・ネットワーク共有へのコピー
・クラウドサービスへのアップロード etc…

公式ドキュメント:エンドポイント データ損失防止について | Microsoft Learn

 

 

テナントでのJust in time保護機能の有効化設定

Just in Time保護機能を利用するには、有効化の設定をする必要があります。
有効化する際は、Just in time保護機能を有効化する範囲(全体 or デバイスグループ)、モードを構成します。
Just-in-Time保護ポリシー適用時の通知をカスタマイズすることも可能です。

 

※今回の動作確認では、実際のブロック動作を確認するために強制モードに設定、かつ通知もカスタマイズしています。

 

▼Microsoft Purviewポータルの設定 > Just-in-Time保護より有効化

 

 

実際の動作

Just-in-Time保護ポリシーが適用されるとアクティビティがブロックされ、かつポップアップが表示されます。

 

これは、DLPポリシーの評価が完了していないWordファイルに記載の文字をコピーし、ローカルのメモ帳に貼り付けしようとした際の
画面キャプチャです。
貼付けがブロックされ、かつポップアップが表示されます。


DLPポリシーの評価が完了すると、「評価が完了しました」とポップアップが表示されることが分かりました。
評価が完了すると、Just-in-Time保護機能は適用されず、DLPポリシーに一致する場合はポリシーの制御がかかり、
DLPポリシーに一致しない場合は特にアクティビティに制御はかからない動きとなります。

 

 

Appendix

・保護対象ファイルはEndpoint DLPでサポーとされているファイルが対象になります。
 公式ドキュメント:エンドポイント データ損失防止について | Microsoft Learn

 

・Just in time保護ポリシーが適用された場合も、アクティビティエクスプローラーにログとして記録されます。
 ▼Microsoft Purviewポータルのデータ分類 > アクティビティエクスプローラー

 

 

最後に

ここまで読んでいただきありがとうございます。

今回は、Just-in-Time保護機能の実際の動作イメージがつかず、動作検証を行った結果をご紹介致しました。

ポリシーが評価されていない間もきちんと情報が守られるという点において、Endpoint DLPを既にご利用されている環境においては更なる強化のために利用していく、今後Endpoint DLPを利用していきたいと考えている環境においては導入時に合わせて機能を利用するか否か、まずは動作をご確認頂くのが良いかなと思いました。

いいね (この記事が参考になった人の数:1)
(↑参考になった場合はハートマークを押して評価お願いします)
読み込み中...

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、当社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。

※当サイトはマイクロソフト社によるサポートページではございません。パーソルクロステクノロジー株式会社が運営しているサイトのため、マイクロソフト社によるサポートを希望される方は適切な問い合わせ先にご確認ください。
 【重要】マイクロソフト社のサポートをお求めの方は、問い合わせ窓口をご確認ください