データ損失防止ポリシーをテストする

DLP ポリシーの展開の一環として、Microsoft Purview データ損失防止 (DLP) ポリシーの動作をテストして調整する必要があります。 この記事では、DLP 環境でポリシーをテストするために使用できる 2 つの基本的な方法について説明します。

シミュレーション モード

新しいポリシーをデプロイする場合、または既存のポリシーを変更する必要 がある場合は、シミュレーション モードで実行し、 アラートを確認して影響を評価する必要があります。 シミュレーション モードを使用すると、ポリシースコープ内のすべての項目に対する個々のポリシーの影響を、実際の適用なしで確認できます。 これを使用して、ポリシーに一致する項目を確認します。

Test-DlpPolicies

Test-DlpPolicies は、SharePoint または OneDrive の個々のアイテムと一致する (または一致しない) SharePoint と OneDrive を対象とする DLP ポリシーを確認できるコマンドレットです。

開始する前に

  • Exchange Online PowerShell に接続できる必要があります。
  • レポートの送信先として有効な SMTP アドレスが必要です。 例: dlp_admin@contoso.com
  • アイテムが配置されているサイト ID が必要です。
  • アイテムへの直接リンク パスが必要です。

重要

  • Test-DlpPolicies は、SharePoint または OneDrive 内のアイテムに対してのみ機能します。
  • Test-DlpPolices は、SharePoint 単独、OneDrive 単独、または SharePoint と OneDrive の両方をスコープに含むポリシーの結果のみを報告します。
  • Test-DlpPolices は単純な条件でのみ機能します。 複雑な条件、グループ化された条件、または入れ子になった条件では機能しません。

Test-DlpPolices を使用する

アイテムが一致する DLP ポリシーを確認するには、次の手順に従います。

  1. ブラウザーで SharePoint フォルダーまたは OneDrive フォルダーを開きます。

  2. ファイルの省略記号を選択し、詳細を選択 します

  3. 詳細ウィンドウで、下にスクロールして [ パス] を選択します。 直接リンクをコピーして保存します。

    例:

    https://contoso.sharepoint.com/personal/user_contoso_com/Documents/test.docx

サイト ID を取得する

  1. Exchange Online PowerShell に接続します

  2. SharePoint の場合は、次の構文を使用してサイト ID を取得して保存します。

    
    $reportAddress = "email@contoso.com" 
    
    $siteName = "SITENAME@TENANT.onmicrosoft.com" 
    
    $filePath = "https://Contoso.sharepoint.com/sites/SOMESITENAME/Shared%20Documents/TESTFILE.pptx"  
    
    $r = Get-Mailbox -Identity $siteName -GroupMailbox 
    
    $e = $r.EmailAddresses | Where-Object {$_ -like '*SPO*'} 
    
    Test-DlpPolicies -SiteId $e.Substring(8,36) -FileUrl $filePath -Workload SPO -SendReportTo $reportAddress
    
    
  3. OneDrive の場合は、次の構文を使用してサイト ID を取得して保存します。

    
    $reportAddress = "email@contoso.com" 
    
    $odbUser = "USER@TENANT.onmicrosoft.com" 
    
    $filePath = "https://contoso-my.sharepoint.com/personal/userid_contoso_onmicrosoft_com/Documents/TESTFILE.docx" 
    
    $r = Get-Mailbox -Identity $odbUser 
    
    $e = $r.EmailAddresses | Where-Object {$_ -like '*SPO*'} 
    
    Test-DlpPolicies -SiteId $e.Substring(8,36) -FileUrl $filePath -Workload ODB -SendReportTo $reportAddress
    
    

    返される値の例を次に示します。

    36ca70ab-6f38-7f3c-515f-a71e59ca6276

Test-DlpPolicies を実行する

  • PowerShell ウィンドウで次の構文を実行します。

    Test-DlpPolicies -workload <workload> -Fileurl <path/direct link> -SendReportTo <smtpaddress>
    

    例:

    Test-DlpPolicies -workload <ODB> -Fileurl <https://contoso.sharepoint.com/personal/user_contoso_com/Documents/test.docx> -SendReportTo <dlp_admin@contoso.com>

レポートを解釈する

レポートは、Test-DlpPolicies PowerShell コマンドを渡した SMTP アドレスに送信されます。 複数のフィールドがあります。 最も重要なものの説明を次に示します。

フィールド名 手段
分類 ID アイテムがとして分類される機密情報の種類 (SIT)
Confidence SIT の信頼度レベル
カウント 項目に SIT 値が見つかった合計回数。これには重複が含まれます
一意のカウント 重複が除去された項目に見つかった SIT 値の数
ポリシーの詳細 評価されたポリシーの名前と GUID
ルール - ルールの詳細 DLP ルール名と GUID
規則 - 述語 - 名前 DLP ルールで定義されている条件
ルール - 述語 - IsMatch 項目が条件と一致したかどうか
述語 - 過去のアクション ユーザーへの通知、ブロック、アイテムに対して実行されたオーバーライドを含むブロックなどのアクション
述語 - ルールのアクション DLP ルールで定義されているアクション
述語 - IsMatched 項目がルールと一致したかどうか
IsMatched 項目がポリシー全体と一致したかどうか

関連項目

  • Test-DataClassification では、PowerShell コマンドレット Test-DataClassificationを使用する方法について説明します。
  • テスト メッセージでは 、PowerShell コマンドレット Test-Messageを使用する方法について説明します。