エンドポイント DLP の Always-on 診断

Microsoft Purview の Always-on 診断機能により、エンドポイント データ損失防止 (DLP) の継続的な自動トレース ログ記録が可能になります。 この機能により、手動のログ構成と問題の再現が不要になり、管理オーバーヘッドが大幅に削減されます。

Microsoft でサポート ケースを開くと、根本原因分析を支援するために診断ログが必要になることが多いです。 Always-on 診断が有効になっていると、包括的なテレメトリが既に利用できるため、管理者は従来のデータ収集手順をバイパスできます。 これにより、サポート ワークフローが高速化されるだけでなく、問題を特定して解決する精度も向上します。

診断ログは、Microsoft サポートに直接安全にアップロードでき、ケースの提出を合理化し、解決までの時間を高速化できます。 このプロアクティブログアプローチにより、運用効率が向上し、サポートの応答性が向上します。

トレース ログ

このワークフローでは、トレース ログが Microsoft Purview でのインシデント調査をサポートする方法について説明します。 Always-on 診断は、オンボードされているすべての Windows デバイス (サーバーを含む) で有効になります。 エンドポイント DLP ポリシーがスコープ内のユーザーまたはデバイスに対して想定どおりに動作しない場合、お客様は Microsoft サポート ケースを開きます。 トラブルシューティングを迅速化するために、Microsoft サポートは診断トレース ログを要求します。このログは、お客様の管理者が文書化された手順を使用して、影響を受けるデバイスから収集します。 収集されたデータは、制限付きアクセス制御と独自のログ形式によって Microsoft によって保護されます。

アップロード動作と運用上の制約について

通常、トレースのアップロードは 24 時間以内に行われ、アップロードを完了するためにデバイスをオンラインのままにする必要があります。 特定の時点でデバイスごとにサポートされるアクティブなコレクション要求は 1 つだけであり、追加の要求は、前の要求が完了、失敗、または削除された後にのみ開始できます。 再起動ベースのアップロード高速化はサポートされていますが、パブリック プレビュー中は推奨されません。 デバイスがオフライン、ワイプ、再イメージ化、再割り当て、またはその他の方法で応答できない場合、コレクション要求は保留中のままになることがあります。

管理者は、コレクション要求の状態を監視し、エラーが発生したときにアクションを実行する責任があります。 要求が失敗した場合、管理者は必要に応じて要求を再試行または再開して、データ収集を成功させる必要があります。

ログ アクセス、セキュリティ、およびデータ ストレージのコンプライアンスについて

ログは管理者が直接ダウンロードすることはできません。また、Microsoft ツールを使用してのみデコードできる独自の Microsoft 内部形式で保存されます。 ログへのアクセスは、指定されたアクセス グループのメンバーである Microsoft の担当者に制限され、そのようなアクセスはすべて完全に監査され、説明責任とセキュリティが確保されます。

ログは Microsoft が管理するAzure Blob Storageに格納され、GDPR を含む Microsoft のセキュリティとプライバシーの標準に準拠します。 データはテナントのデータ所在地リージョン内に残り、以前に手動で削除しない限り、180 日間保持されます。 リテンション期間が経過すると、ログは自動的に消去され、復旧できません。バックアップや延長リテンション期間はサポートされません。

アクセス許可

ログ収集要求を表示および作成するために必要なロール

ログ収集要求を表示および作成できる複数のロールがあります。 使用するアカウントは、いずれかのメンバーである必要があります。

Entra ID ロール

• コンプライアンス管理者
• セキュリティ管理者
• グローバル管理者

Purview ロール

テナント レベルで割り当てる必要があります。スコープ管理者はサポートされていません。

• OrganizationConfiguration
• ManageAlerts
• ViewOnlyManageAlerts
• InformationProtectionAdmin
• InformationProtectionAnalyst
• InformationProtectionInvestigator

機能を有効にするために必要なロール

Always-on 診断を有効にするには、使用するアカウントは、次のいずれかのロールのメンバーである必要があります。

Entra ID ロール

• コンプライアンス管理者
• セキュリティ管理者
• グローバル管理者

Purview ロール (テナント レベルのみ)

• OrganizationConfiguration
• ComplianceAdmin
• SecurityAdmin
• DLPComplianceManagement
• InformationProtectionAdmin

前提条件

デバイスは Microsoft Purview にオンボードされ、Always-on Diagnostics が有効になっている状態でアクティブにレポートする必要があります。 継続的なネットワーク接続を維持し、*.blob.core.windows.net を含む Microsoft アップロード エンドポイントに到達できる必要があります。 Microsoft サービスへの送信 HTTPS トラフィックは、ファイアウォール、プロキシ、またはセキュリティ ポリシーによってブロックしないでください。また、プロキシ構成では、アップロードを妨げるようなインターセプトや変更を行わずに送信 HTTPS トラフィックを許可する必要があります。

サポートされている Windows オペレーティング システム

Always-on 診断を有効にしてアップロードを有効にする

1. [Microsoft Purview ポータル] にサインインします。
2. [設定>Data Loss Prevention>Always-on 診断 (プレビュー) に移動します。
3. [オン] を選択します。
4. キャッシュストレージ期間を設定します。 90 日間をお勧めします。
5. デバイスの最大ストレージを設定します。 範囲は 500 ~ 1500 MB である必要があります。
6. [保存] を選択します。
7. アップロードを有効にするには、[デバイス ログを自動的にアップロードする] で[Microsoft と診断を共有する] を選択します。

デバイス ログを要求する

問題を特定し、Microsoft でサポートコールを開くと、ログ ファイルをMicrosoft サポートに送信するように要求できます。

1. Purview で、ログ ファイルの要求を開始する場所のいずれかを選択します。
   1. [設定] > [デバイスのオンボード] > [デバイス] で、一覧からデバイスを選択します。
   2. [ データ損失防止] > [アラート] > [イベント] から、一覧からイベントを選択します。
   3. [データ損失防止] > [エクスプローラー] >アクティビティ エクスプローラーで、一覧からアラートを選択します。
2. 選択した場所に基づいて、[ Always-on Diagnostics] で [ デバイス ログの要求] を選択します。
3. 日付範囲を選択し、簡単な説明を入力します。
4. [ コレクション要求の送信] を選択します。
5. 要求を送信した後、要求が完了するまで待つ必要があります。 [設定>Data Loss Prevention>Always-on 診断 (プレビュー) に移動します。
6. 一覧から、調査中のデバイスを特定します。 状態が完了したら、関連付けられている要求番号をMicrosoft サポートに指定します。

関連項目

Microsoft Purview のセルフヘルプ 診断
エンドポイント DLP 診断ログを収集する
エンドポイント DLP 診断ログを分析する