Alternate オンライン DLP ポリシーから移動する時間

2021年10月9日

[ad_1]

DLP 管理が 2022 年半ばに EAC から消える

Exchange Online の面倒を見る人はもちろん、マイクロソフトのセキュリティ、コンプライアンス、および ID ブログを読む人はもちろん、多くの Microsoft 365 テナント管理者は思いません。少なくとも、ブログはEHLOと比較して比較的トラフィックの量が少ないです。そのすべてが、マイクロソフトが選んだのは奇妙です計画を発表するこれらのポリシーの責任者がニュースを表示しない可能性がある場所で、Exchange オンライン管理センター (EAC) から Exchange データ損失防止 (DLP) ポリシーを削除する。どうやら、除去は2022年4月から6月の期間にいつか起こるでしょう。

コンプライアンスブログは9月16日に掲載されました。1週間前、2022年9月までに古いEACを廃止する計画を説明する際に、交換チームのsaid: “従来の EAC でコンプライアンス管理を実施している DLP エクスペリエンスは、まもなく Microsoft 365 コンプライアンスセンターに移行されます。."DLP は、新しい EAC にまだ現れていない機能の一部が見つからないしたがって、Exchange DLP に何が起こるかという問題が発生しました。従来の EAC の DLP セクションはかなり引きずっているように見えます (図 1) マイクロソフトがここ数年、このセクションを離れておいたことは明らかです。

コンプライアンスセンターへの移行に意味がない

Exchange ブログの説明を読んだ後、マイクロソフトは Exchange DLP ポリシーの管理をマイクロソフト 365 コンプライアンスセンターに移行することを計画していたと思います。しかし、私はこれが意味をなさないと思います。Exchange トランスポートルールを使用して設定を適用する DLP ポリシーのセットを Microsoft 365 DLP ポリシーのセットと共に提示する DLP ポリシーのセットを提示する方法は、Exchange を (非表示のトランスポートルールを使用して) 処理できますが、他のワークロードにも適用できますか。確かに、コンプライアンスセンターには 2 つのセクションを配置できますが、混乱を招く可能性があります。また、ワークロード固有のコンプライアンス処理を排除し、このテクノロジをエコシステム全体に適用される機能に置き換えるという Microsoft の目標もサポートしていません。

私の理論は、マイクロソフトは単に古いEACからDLPポリシーを移動することはありませんということです。2022 年 4 月から 6 月の期間内に、EAC で DLP ポリシーを管理する機能がなくなり、PowerShell を使用して DLP ポリシーを追加、変更、または削除する必要があります。最終的には、PowerShell コマンドレットは動作を停止します。

今すぐDLPについて何かをするためのモーニングコール

全体として、今日の Exchange DLP ポリシーを使用するテナントのウェイクアップコールです。マイクロソフト 365 DLP ポリシーに移行する時間です。Exchange DLP ポリシーは、マイクロソフトが追加した 2021 年 4 月に Microsoft 365 の対応する相手が有効性を失ったよりも、電子メールの処理において強力であったという古い言い訳電子メール用の高度なコントロールの束 (公平に言えば、この発表はコンプライアンスブログにも登場したので、見落としがちでした)。

また、オンプレミスで同等のセットを使用しているため、Exchange Online で Exchange DLP ポリシーを維持する必要があるというケースを作成する人も聞いたことがあります。DLP 処理はトランスポートサービスで発生するため、トランスポートがどこで行われるかによって異なるため、このアサーションは常に奇妙に思えました。すべてがオンプレミスのサーバーを通過する場合は、DLP チェックを適用するのが妥当です。ただし、Exchange オンラインが電子メールを処理する場合は、Microsoft 365 DLP ポリシーを使用する方が適切なオプションです。

いずれにせよ、書き込みはマイクロソフト 365 内の Exchange DLP ポリシーの壁にあります。移行を行う時期であり、Microsoft がこれらのポリシーが機能しなくなる最終日を発表したときに対応を強制されるのではなく、移行について積極的に取り組む方が良いでしょう。その日付は数年後になる可能性がありますが、開発が進んでいるテクノロジではなく、アクティブなテクノロジを使用することをお勧めします。アクティビティエクスプローラー (図 2) など、Microsoft 365 DLP ポリシーで使用できる機能の一部には、Office 365 E5 ライセンスが必要です。

Microsoft 365 コンプライアンスセンターのアクティビティエクスプローラーに DLP ルールの一致が表示されます。 — 図 2: Microsoft 365 コンプライアンスセンターのアクティビティエクスプローラーに DLP ルールの一致が表示される

現在では、約 220 種類の機密情報タイプ (クレジットカード番号など) と、独自の機密情報の種類 (など) を定義する機能をサポートしています。 Azure AD のパスワードの例をここで説明します。をクリックすると、Office 365 E3 に含まれる Microsoft 365 DLP の基本機能には、管理作業を容易にするためのその他の多くの詳細が含まれています。最近のお気に入りは、あなたがターンに行くときのプロンプトですf ポリシーは、ポリシーが最近一致した回数を示します(図 3)。これは、管理者が間違いを犯し、重要なポリシーを無効にすることを止める、シンプルで効果的な方法です。

私が気に入らないことの1つは、チームメッセージング(チャットとチャンネルの会話)のためのDLP処理にはOffice 365 E5またはMicrosoft 365コンプライアンスE5ライセンスが必要です。Office 365 E3 が Exchange オンラインおよび SharePoint オンラインに対する DLP チェックをカバーしている場合、これは意味がありません。私の失望は、Microsoft 365コンプライアンスセンターが、ライセンスへの影響の小さな問題に言及することなく、Teamsをカバーするポリシーを「拡張」する、明らかに簡単なオプションを提供する方法によって高まります(図4)。これは顧客を扱う正しい方法ではなく、ポリシーの設定が矛盾しているため、更新オプションが機能しないことがよくあります。

コンプライアンスセンターでは、 — 図 4: コンプライアンスセンターは、チームに DLP ポリシーを「拡張」する機能を提供します。

トランジションプレイブック

移行中の組織を支援するために、マイクロソフトは Exchange DLP ポリシーを Microsoft 365 DLP ポリシーに変換するためのプレイブック (またはプレイブックで使用される用語、EAC-DLP から MIP-DLP)移行に関する議論の出発点として適切な方法であり、Microsoft が構築した移行ウィザードは多くの組織のニーズを満たす可能性が高いです。

何百もの複雑なルールで DLP 処理の外側の制限を調査したユーザーは、すべてのポリシーをタイムリーに移行できるように、より多くの作業が必要になります。おそらく、一部のポリシーは不要になり、全体的な処理を簡素化できます。おそらく、Microsoft 365 DLP 処理は、古いポリシーよりも多くの誤検知を生成します。既存の DLP 処理フレームワークを文書化して理解し、新しいポリシーをテストして期待どおりの結果を確実に提供するまで、どのような作業が必要かは誰も言えなくなります。