トップ > Microsoft Purview > 【Purview_MDCA】ファイルポリシー設定でつまずきやすいポイントと対処法

【Purview_MDCA】ファイルポリシー設定でつまずきやすいポイントと対処法

Microsoft Purview MDCA Tech セキュリティ

特定のフォルダへのファイルコピーの制御など、情報流出を防ぐためにMicrosoft Defender for Cloud Apps (MDCA) のファイルポリシーが活用できます。

ファイルポリシーの構築がうまくいかない方向けに本記事を作成しました。

私もかなり苦労した箇所なので、確認すべきポイントや調査結果、判明した情報などをこちらで共有しようと思います。

ファイルポリシーとは

MDCAのファイルポリシーとは、連携済みのクラウド上のファイルに対して、ポリシーで定義したアクションを実行する機能です。

このポリシーはフォルダに対して割り当てることが可能なので、「このフォルダのファイル全てに~」といった制御が可能です。

下記図は、一例として「特定のSharePoint Onlineフォルダに格納したファイルは、全て秘密度ラベルを強制付与する」といったものです。

設定必須箇所の確認

では、ここからはポリシーの構築の際に確認すべき前提箇所をご紹介します。

保護されたファイルを検査

[セキュリティ管理センター]>[設定]>[クラウドアプリ]>[Microsoft Information Protection]にて、「保護されたファイルを検査」が「アクティブ」となっていることを確認します。

保護されたファイルを検査

ファイルの監視を有効化する

[セキュリティ管理センター]>[設定]>[クラウドアプリ]>[ファイル]にて「ファイルの監視を有効化する」にチェックが入っていることを確認します。

ファイルの監視を有効化する

Microsoft 365アプリの接続

[セキュリティ管理センター]>[設定]>[クラウドアプリ]>[アプリ コネクタ]にて「Microsoft 365」が接続済みとなっていることを確認します。

M365アプリ

※コネクタの設定では「アクティビティ」と「ファイル」に忘れずにチェックを入れてください

コネクタの中身

SharePoint Onlineサイトへのアクセス権

ファイルポリシー作成者が、ポリシー対象となるSharePoint Onlineサイトへのアクセス権を付与されている必要があります。

以上がMDCA ファイルポリシーの設定前提条件となります。

ここからは、私が実際に遭遇したトラブルと、その対処方法を紹介します。

トラブルシューティング

フォルダを指定したいのに一覧に何も出てこない

現象

特定のフォルダに絞った制御を行う場合、ポリシー内でフォルダを指定する必要があります。

※ 以下をクリックした際の動作となります。

フォルダ指定

ですが、私が実施した際は、指定したいフォルダが一覧に表示されませんでした。(フォルダが1つも表示されませんでした)

解決策

先ほど「ファイルの監視を有効化」を実施しましたが、さらに「ファイルポリシーが1つ以上存在すること」が有効化の条件となります。

まだテナントにMDCAのファイルポリシーを一つも作成していない方は、空のポリシーなどを作り、反映されるか確認しましょう。

(私の場合、作成後4時間ほどでフォルダが表示されました)

指定したいフォルダが一覧に出てこない

現象

次に、「他のフォルダは表示されるのに、欲しいフォルダだけ検索しても表示されない」場合についてご説明します。

※設定箇所は先ほどと同じです。

フォルダ指定
解決策

調査の結果、以下が判明しました。

  • SharePoint Onlineが大規模である場合、フォルダーの読み込みに時間を要する(場合によってはタイムアウトしてしまい、フォルダーが表示されない事象が発生している)
  • フォルダーが表示されるまでの所要時間に関する具体的な目安はなし
  • フォルダーが表示されない事象が発生した場合、フォルダー内に一時的にファイルを作成し、アクティビティログよりフォルダーのファイル ID を特定のうえ、ファイル ID を用いてフォルダーの検索を実施すると、事象が解消される場合がある

上記を踏まえて、対応を行っていきます。

まず、フォルダ内にファイルを1つ以上作成します。ファイルポリシーで指定したいフォルダ内に何もアイテムがない場合、空のWordファイルなどを作成して検知しやすくしましょう。

ファイルを作成後、次の手順にて、ファイルIDを用いた検索を行います。

1.[クラウドアプリ] の [アクティビティログ] より、高度なフィルターを有効化し、フィルター条件を “ ファイルとフォルダー ” として、 [ ファイルを選択してください ] をクリックします。

2.アップロードしたファイルを検索し、[ 階層を表示 ]  をクリックします。

3.親フォルダーが表示された場合、ファイル ID をコピーします。

4.MDCA ファイルポリシーの設定画面に戻り、フィルター条件の [ フォルダーを選択 ] をクリックします。

5.高度なフィルターを有効化し、ファイル ID のフィルターより、コピーしたファイル ID を検索します。

上記の操作より、フォルダーが表示され、条件に選択可能となる想定となります。

まとめ

以上が、ファイルポリシー作成時のポイントと解決策でした。

これでも解決しない場合、MicrosoftのサポートにファイルIDを連携して問い合わせを行うことで、調査してくれる場合もあります。

MDCAは反映に時間がかかり、不安になる箇所でもあるので、少しでもナレッジとして活用いただけると嬉しいです。

執筆担当者プロフィール
齋藤 公穂

齋藤 公穂(日本ビジネスシステムズ株式会社)

クラウドソリューション本部所属。2022年度新卒入社。Microsoft 365 製品( Teams/Stream がメイン)の設計や構築などを担当しています。 趣味はFPSゲームです。

担当記事一覧