データ損失防止ポリシーをテストする
DLP ポリシーの展開の一環として、Microsoft Purview データ損失防止 (DLP) ポリシーの動作をテストして調整する必要があります。 この記事では、DLP 環境でポリシーをテストするために使用できる 2 つの基本的な方法について説明します。
シミュレーション モード
新しいポリシーをデプロイする場合、または既存のポリシーを変更する必要 がある場合は、シミュレーション モードで実行し、 アラートを確認して影響を評価する必要があります。 シミュレーション モードを使用すると、ポリシースコープ内のすべての項目に対する個々のポリシーの影響を、実際の適用なしで確認できます。 これを使用して、ポリシーに一致する項目を確認します。
Test-DlpPolicies
Test-DlpPolicies は、SharePoint または OneDrive の個々のアイテムと一致する (または一致しない) SharePoint と OneDrive を対象とする DLP ポリシーを確認できるコマンドレットです。
開始する前に
- Exchange Online PowerShell に接続できる必要があります。
- レポートの送信先として有効な SMTP アドレスが必要です。 例:
dlp_admin@contoso.com - アイテムが配置されているサイト ID が必要です。
- アイテムへの直接リンク パスが必要です。
重要
- Test-DlpPolicies は、SharePoint または OneDrive 内のアイテムに対してのみ機能します。
- Test-DlpPolices は、SharePoint 単独、OneDrive 単独、または SharePoint と OneDrive の両方をスコープに含むポリシーの結果のみを報告します。
- Test-DlpPolices は単純な条件でのみ機能します。 複雑な条件、グループ化された条件、または入れ子になった条件では機能しません。
Test-DlpPolices を使用する
アイテムが一致する DLP ポリシーを確認するには、次の手順に従います。
アイテムへの直接リンク パスを取得する
ブラウザーで SharePoint フォルダーまたは OneDrive フォルダーを開きます。
ファイルの省略記号を選択し、詳細を選択 します。
詳細ウィンドウで、下にスクロールして [ パス] を選択します。 直接リンクをコピーして保存します。
例:
https://contoso.sharepoint.com/personal/user_contoso_com/Documents/test.docx
サイト ID を取得する
SharePoint の場合は、次の構文を使用してサイト ID を取得して保存します。
$reportAddress = "email@contoso.com" $siteName = "SITENAME@TENANT.onmicrosoft.com" $filePath = "https://Contoso.sharepoint.com/sites/SOMESITENAME/Shared%20Documents/TESTFILE.pptx" $r = Get-Mailbox -Identity $siteName -GroupMailbox $e = $r.EmailAddresses | Where-Object {$_ -like '*SPO*'} Test-DlpPolicies -SiteId $e.Substring(8,36) -FileUrl $filePath -Workload SPO -SendReportTo $reportAddressOneDrive の場合は、次の構文を使用してサイト ID を取得して保存します。
$reportAddress = "email@contoso.com" $odbUser = "USER@TENANT.onmicrosoft.com" $filePath = "https://contoso-my.sharepoint.com/personal/userid_contoso_onmicrosoft_com/Documents/TESTFILE.docx" $r = Get-Mailbox -Identity $odbUser $e = $r.EmailAddresses | Where-Object {$_ -like '*SPO*'} Test-DlpPolicies -SiteId $e.Substring(8,36) -FileUrl $filePath -Workload ODB -SendReportTo $reportAddress返される値の例を次に示します。
36ca70ab-6f38-7f3c-515f-a71e59ca6276
Test-DlpPolicies を実行する
PowerShell ウィンドウで次の構文を実行します。
Test-DlpPolicies -workload <workload> -Fileurl <path/direct link> -SendReportTo <smtpaddress>例:
Test-DlpPolicies -workload <ODB> -Fileurl <https://contoso.sharepoint.com/personal/user_contoso_com/Documents/test.docx> -SendReportTo <dlp_admin@contoso.com>
レポートを解釈する
レポートは、Test-DlpPolicies PowerShell コマンドを渡した SMTP アドレスに送信されます。 複数のフィールドがあります。 最も重要なものの説明を次に示します。
| フィールド名 | 手段 |
|---|---|
| 分類 ID | アイテムがとして分類される機密情報の種類 (SIT) |
| Confidence | SIT の信頼度レベル |
| カウント | 項目に SIT 値が見つかった合計回数。これには重複が含まれます |
| 一意のカウント | 重複が除去された項目に見つかった SIT 値の数 |
| ポリシーの詳細 | 評価されたポリシーの名前と GUID |
| ルール - ルールの詳細 | DLP ルール名と GUID |
| 規則 - 述語 - 名前 | DLP ルールで定義されている条件 |
| ルール - 述語 - IsMatch | 項目が条件と一致したかどうか |
| 述語 - 過去のアクション | ユーザーへの通知、ブロック、アイテムに対して実行されたオーバーライドを含むブロックなどのアクション |
| 述語 - ルールのアクション | DLP ルールで定義されているアクション |
| 述語 - IsMatched | 項目がルールと一致したかどうか |
| IsMatched | 項目がポリシー全体と一致したかどうか |
関連項目
- Test-DataClassification では、PowerShell コマンドレット
Test-DataClassificationを使用する方法について説明します。 - テスト メッセージでは 、PowerShell コマンドレット
Test-Messageを使用する方法について説明します。