コンテンツ エクスプローラーとアクティビティ エクスプローラーを使用して機密データを表示する
Microsoft Purview コンプライアンス ポータルを使用して、データ分類を分析できます。 コンテンツ エクスプローラーとアクティビティ エクスプローラーのツールを通じてこれらの機能が提供されます。 Microsoft Purview コンプライアンス ポータルのナビゲーション ウィンドウ内の [データ分類] グループの下に、ツールごとに別個のページがあります。
コンテンツ エクスプローラー。 このツールで、組織内の機密データの量と種類を可視化できます。 ユーザーがこれを使用して、ラベルや秘密度の種類別にフィルター処理することもできます。 この処理を行うと、システムでこの機密データが格納される場所の詳細が表示されます。 管理者は、次の機能を利用できます。
- サポート対象の Microsoft 365 ワークロード内に格納されている機密ドキュメントのインデックスを作成します。
- 各ドキュメントに格納されている機密情報を識別します。
- システムにより秘密度ラベルと保持ラベルで分類されたドキュメントを識別します。
アクティビティ エクスプローラー。 このツールで、機密データとラベルに関連するアクティビティを表示できます。 たとえば、ラベルのダウングレードや、コンテンツをリスクにさらす可能性のある外部共有などが示されます。 アクティビティ エクスプローラーで、エンド ユーザーが使用する機密情報に関連するアクティビティを表示できます。 このデータには以下が含まれます。
- ラベル アクティビティ
- データ損失防止 (DLP) ログ
- ラベル自動作成
- エンドポイント DLP
次のセクションで、これらの各分析ツールについて説明します。
コンテンツ エクスプローラーとアクティビティ エクスプローラーのライセンス要件
データ分類にアクセスして使用するすべてのアカウントには、これらのいずれかのサブスクリプションのライセンスが割り当てられている必要があります。
- Microsoft 365 E5/A5/G5
- Microsoft 365 E5/A5/G5/F5 Compliance
- Microsoft 365 F5 セキュリティ/コンプライアンス
- Microsoft 365 E5/A5/F5/G5 Information Protection とガバナンス
- Office 365 E5
コンテンツ エクスプローラー
コンテンツ エクスプローラーには、秘密度ラベルまたは保持ラベルを付けられたアイテムの現在のスナップショットが表示されます。 組織で機密情報の種類として分類されているアイテムも表示されます。
コンテンツ エクスプローラーでアイテムにアクセスするために必要なアクセス許可
Microsoft Purview では、コンテンツ エクスプローラーへのアクセスは、スキャンしたファイルのコンテンツをユーザーが読み取ることができるため、厳しく制限されています。
重要
これらのアクセス許可は、組織がローカルに割り当てるアイテムへのアクセス許可の代わりに、コンテンツの表示を許可します。
コンテンツ エクスプローラーへのアクセス権が付与される役割は 2 つあります。 組織は Microsoft Purview コンプライアンス ポータルを使用して、これらの役割を付与できます。
- コンテンツ エクスプローラーのリストのビューアー。 この役割グループのメンバーシップにより、ユーザーはリスト ビューで各アイテムおよびその場所を確認することができます。 Microsoft 365 では、この役割グループにデータ分類のリストのビューアーの役割が事前割り当て済みです。
- コンテンツ エクスプローラーのコンテンツのビューアー。 この役割グループのメンバーシップにより、ユーザーはリスト内の各アイテムのコンテンツを表示することができます。 Microsoft 365 では、この役割グループにデータ分類のコンテンツのビューアーの役割が事前割り当て済みです。
組織がコンテンツ エクスプローラーにアクセスするために使用するアカウントには、いずれかまたは両方の役割グループがある必要があります。 役割グループは独立しており、累積ではありません。 たとえば、アイテムおよびそれらの場所のみ表示する機能をアカウントに付与する場合は、コンテンツ エクスプローラーのリストのビューアーの権利を付与します。 その同じアカウントでリスト内のアイテムのコンテンツも表示できるようにするには、コンテンツ エクスプローラーのコンテンツのビューアーの権利も付与する必要があります。
また、一方または両方の役割をカスタム役割グループに割り当てて、コンテンツ エクスプローラーへのアクセスをカスタマイズすることもできます。
グローバル管理者は、必要なコンテンツ エクスプローラーのリストのビューアーとコンテンツ エクスプローラーのコンテンツのビューアーの役割グループのメンバーシップを割り当てることができます。
機密情報の種類
DLP ポリシーが機密情報の保護に役立ちます。 さらに、この情報はシステムにより機密情報の種類として定義されます。 Microsoft 365 には、さまざまな地域にわたる多くの一般的な機密情報の種類に対する定義が含まれていて、組織がすぐに使用できる状態になっています。 たとえば、クレジットカード番号、銀行口座番号、国民識別番号、Windows Live ID サービス番号などです。
機密ラベル
秘密度ラベルは、組織に対するアイテムの価値を示すタグです。 手動で適用したり、自動的に適用したりできます。 適用すると、ラベルがドキュメント内に埋め込まれます。 そのため、ドキュメントがどこに移動しても追跡します。 機密ラベルによって、必須のウォーターマークや暗号化など、さまざまな保護機能が有効化されます。
ファイルが SharePoint および OneDrive にある場合、対応するデータが Microsoft Purview コンプライアンス ポータル機能で表示されるようにするには、秘密度ラベルを有効にする必要があります。 詳細については、「SharePoint および OneDrive で Office ファイルの機密度ラベルを有効にする」を参照してください。
保持ラベル
組織は保持ラベルを使用して、ラベル付けされたアイテムがシステムにより保持される期間を定義できます。 組織はこれを使用して、削除前に行うステップを定義することもできます。 保持ラベルは、手動で適用したり、ポリシーを使用して自動的に適用したりできます。 保持ラベルは、組織が法的要件および規制要件を遵守するのに役立ちます。
コンテンツ エクスプローラーの使用方法
コンテンツ エクスプローラーへのアクセス権があるユーザーがアクセスするには、次のステップをすべて行う必要があります。
- Microsoft Purview コンプライアンス ポータルで、ナビゲーション ウィンドウの [データ分類] を選択して、このグループを展開します。
- [データ分類] グループで、[コンテンツ エクスプローラー] を選択します。
- ラベルの名前または機密情報の種類がわかる場合は、[コンテンツ エクスプローラー] ページで、それをフィルター ボックスに入力することができます。 または、[機密情報の種類] 列のアイテムを参照し、そのリストからラベルを選択することもできます。
- [機密情報の種類] のアイテムを選択すると、このページの中央にそのアイテムに関する[すべての場所] が表示されます。
- [すべての場所] ウィンドウで場所を選択して、アイテムのフォルダー構造をドリルダウンします。
- アイテムを選択して、コンテンツ エクスプローラーでネイティブに開きます。
エクスポート
エクスポート コントロールは、ウィンドウのフォーカスのリストを含む .csv ファイルを作成します。
![[コンテンツ エクスプローラー] タブの [すべての場所] リストに表示されるデータ分類のエクスポート コントロールのスクリーンショット。](../../wwl/implement-data-classification-sensitive-information/media/data-classification-export-control-a8654641-a30dfd11.png)
注:
コンテンツ エクスプローラーでカウントが更新されるまで、最大 7 日かかる場合があります。
Filter
Exchange または Teams フォルダー、SharePoint、OneDrive サイトなどの場所をドリルダウンすると、[フィルター] ツールが表示されます。
![[すべての場所] ウィンドウで場所をドリルインすると表示されるコンテンツ エクスプローラーの検索ツールのスクリーンショット。](../../wwl/implement-data-classification-sensitive-information/media/data-classification-search-tool-a811375a-3206bd91.png)
[すべての場所] ウィンドウに検索ツールの検索範囲が表示されます。 検索できる内容は、選択された場所によって異なります。
- Exchange または Teams が選択された場所である場合、メールボックスの完全なメール アドレスを検索できます。 たとえば、「 user@domainname.com 」のように入力します。
- SharePoint または OneDrive が選択された場所である場合、サイト名、フォルダー、ファイルをドリルダウンすると、検索ツールが表示されます。
以下を検索できます。
| 値 | 例 |
|---|---|
| 完全なサイト名 | https://contoso.onmicrosoft.com/sites/sitename |
| ファイル名 | RES_Resume_1234.txt メモ: このファイル名の分節は、次の 3 つの例の基礎となります。 |
| ファイル名の先頭のテキスト | RES |
| ファイル名のアンダースコア文字以降のテキスト | Resume または 1234 |
| ファイル拡張子 | txt |
アクティビティ エクスプローラー
Microsoft Purview コンプライアンス ポータルのナビゲーション ウィンドウの [データ分類] グループ内の [概要] ページと [コンテンツ エクスプローラー] ページに、システムで検出されてラベル付けされたコンテンツと、そのコンテンツがある場所が表示されます。 一連のデータ分類の分析ツールの最後は、[アクティビティ エクスプローラー] ページです。
組織はアクティビティ エクスプローラーを使用して、ラベル付けされたコンテンツを使用して実行されるアクションをモニターできます。 アクティビティ エクスプローラーには、組織のラベル付けされたコンテンツに関するアクティビティの履歴も表示されます。 アクティビティ情報は、Microsoft 365 の統合監査ログから収集されます。 その後、データが変換され、アクティビティ エクスプローラーの UI で表示されます。 最大 30 日分のデータがアクティビティ エクスプローラーでレポートされます。
![[フィルター] コントロールと架空の会社に関するサンプルの横棒グラフを示す、アクティビティ エクスプローラー ツールのスクリーンショット。](../../wwl/implement-data-classification-sensitive-information/media/data-classification-activity-explorer-1-842114de-1f12cbcc.png)
使用可能なフィルターは 30 種類以上あり、以下が含まれます。
- 日付範囲
- アクティビティの種類
- 場所
- User
- 機密ラベル
- 保持ラベル
- ファイル パス
- DLP ポリシー
アクティビティ エクスプローラーにアクセスするために必要なアクセス許可
アクティビティ エクスプローラーにアクセスするには、次のいずれかの役割グループのメンバーであるか、次のいずれかの役割を明示的に付与される必要があります。
該当する役割のリストは次のとおりです。
- Information Protection 管理者
- Information Protection アナリスト
- Information Protection 調査員
- Information Protection 閲覧者
該当する役割グループのリストは次のとおりです。
- 情報保護
- Information Protection レベル
- Information Protection アナリスト
- Information Protection 調査担当者
- Information Protection 閲覧者
Microsoft 365 の役割グループには次のものが含まれます。
- グローバル管理者
- コンプライアンス管理者
- セキュリティ管理者
- コンプライアンス データ管理者
Microsoft 365 の役割には次のものが含まれます。
- コンプライアンス管理者
- セキュリティ管理者
- セキュリティ閲覧者
アクティビティの種類
アクティビティ エクスプローラーは、監査ログから複数のアクティビティ ソースに関するアクティビティ情報を収集します。 アクティビティ エクスプローラーで扱われるラベル付けアクティビティの詳細については、アクティビティ エクスプローラーで利用可能なラベル付けイベントに関する記事を参照してください。
アクティビティのソースには次のものが含まれます。
- Office ネイティブ アプリケーションからの秘密度ラベル アクティビティと保持ラベル付けアクティビティ
- Microsoft Entra ID 保護アドイン
- SharePoint Online
- Exchange Online (秘密度ラベルのみ)
- OneDrive
これらのさまざまなソースからのアクティビティの例には次のものが含まれます。
- ラベルが適用されました
- ラベルが変更されました (アップグレード、ダウングレード、または削除されました)
- 自動ラベル付けのシミュレーション
- ファイルの読み取り
Microsoft Entra 保護スキャナーと AIP クライアントのアクティビティの例には次のものが含まれます。
- 保護を適用しました
- 保護を変更しました
- 保護を削除しました
- 検出されたファイル
アクティビティ エクスプローラーでは、エンドポイント データの損失防止 (DLP) を通じて、Exchange Online、SharePoint Online、OneDrive、Teams Chat、Teams Channel (プレビュー)、オンプレミス SharePoint のフォルダーとライブラリ、オンプレミスのファイル共有、Windows 10 および 11 のデバイスから、DLP ポリシーと一致するイベントも収集されます。 Windows 10 および 11 デバイスからのイベントの例には、次のファイル アクティビティが含まれます。
- Deletions
- 作成
- クリップボードにコピー
- Modified
- 読み取り
- 印刷
- 名前変更
- ネットワーク共有へのコピー
- 許可されていないアプリによるアクセス
組織のデータ ライフサイクル管理の有効性を理解するには、ラベル付けされた機密コンテンツを使用して組織が実行したアクションを理解することが不可欠です。 これは、Microsoft Purview データ損失防止ポリシーなど、構築しているコントロールが有効かどうかを確認するのに役立ちます。 次のいずれかの場合、さまざまなポリシーを管理し、新しいアクションを実行して、望ましくない動作を制限できます。
- 既存のコントロールが有効ではない。
- 予期しない何かを検出した。 たとえば、多くのアイテムが極秘から一般にダウングレードされた場合。
注:
アクティビティ エクスプローラーは現在、Exchange Online の保持アクティビティを監視していません。
理解度チェック
次の各質問に最適な回答を選択します。 次に、「自分の回答を確認します」を選択します。