Zenn
🌟

Microsoft Purviewのデバイスオンボード要件

2023/03/08に公開
Microsoft 365
Microsoft
Cloud Data Loss Prevention
mde
Microsoft Purview
tech

はじめに

Microsoft Purview(以下、Purview)にデバイスをオンボードしようとした際に少しハマった話です。

なんでPurviewにデバイスをオンボードするのか

PurviewのエンドポイントDLPやインサイダーリスクマネージメントはデバイスのテレメトリをPurviewに送信する必要があります。
テレメトリの送信にMDEエージェントを利用しているのでPurviewにデバイスをオンボード(テレメトリをどの組織テナントに送信するか)するというアーキテクチャです。

おもしろいのが、上記のコンプライアンス機能を利用するためにはMicrosoft Defender for Endpointのライセンスは不要で、コンプライアンス系のライセンスがあれば問題ありません。
あくまでテレメトリを送信するためにMDEエージェントを利用しています。

※コンプライアンス系のライセンスは複雑なので事前の確認は念入りに!

オンボード(検証時のハマりポイント)

手順はMDEのオンボードと同じですが、ローカルスクリプトを利用する際は注意してください。

検証のために手軽にローカルスクリプトでオンボードしてPurviewのデバイスリストに現れたー!と思っていたのも束の間、Microsoft LearnでWindowsのPurviewのオンボード要件を見ると。。。

すべてのデバイスは、次のいずれかを満たしている必要があります。
Azure Active Directory (Azure AD) への参加
Hybrid Azure AD への参加
AAD の登録

ローカルスクリプトでオンボードするとAzure AD・Intuneにはデバイスは登録されません。
エンドポイントDLPの設定をしてもいつまでたっても反映されないと思ったら。。。

念のため、ローカルスクリプトでオンボードした後に、AAD登録すると無事にエンドポイントDLPが動作することを確認しました。
※Intuneには登録していません。Officeアプリ認証時に出るポップアップで登録しました。

チェックを外してOKを押すとAzureADにのみ登録されます

macOSはローカルスクリプトでのPurviewのオンボード手順はアナウンスされていないので分かりやすいですが、Windowsはローカルスクリプトも良さそうに見えるのが騙されました

macOS デバイスは、Intuneまたは JAMF Pro を使用して既に管理されている必要があります。

まとめると

  • Windows:Azure ADでのデバイス管理は必須(Intune管理は不要)
  • macOS:IntuneかJamf Proでの管理が必須

Purviewオンボード初回設定

オンボード有効化

既定ではMDEとPurviewは連携されていないのでMDEにデバイスをオンボードしていてもPurviewには表示されません。

Microsoft Purview > 設定 > デバイスのオンボード > デバイス

Purviewにオンボードもできない

初回構築時、Purviewでデバイスのオンボード設定を有効にしデバイスを監視するように設定する必要があります。

  1. Microsoft Purview > 設定 > デバイスのオンボード > デバイス > デバイスのオンボードをオンにする
  2. OK

    20分くらいで有効になりました。Purviewは気長に待ちましょう。

オンボードを有効にするとデバイスの監視設定も有効になっています。
macOSを監視対象外にしたい場合は監視設定を無効化することでテレメトリは送信されません。

WindowsとmacOS以外のOSも表示されますがサポートされていないOSとなっています。

有効なデバイス(Windows)はvalid

アクティビティエクスプローラーの監査を有効にする

前項でPurviewにデバイスをオンボードできましたが、受信したテレメトリを確認するにはアクティビティエクスプローラーで監査設定を有効にする必要があります。
アクティビティエクスプローラーではDLPやファイル更新の状態を可視化できます。
アクティビティ エクスプローラーの使用を開始する

  1. Microsoft Purview > データ損失防止 > アクティビティエクスプローラー > 監査を有効にする


    最大24時間かかるので気長に待ちましょう。


無事に表示されました

不要なログを除外

既定ではDLPの対象になっていないOfficeやPDFファイル更新等のログも収集されます。
一歩目として、社内のユーザーがどんなファイルを更新しているのかを確認するには良いですがOutlookのプロファイル更新がとんでもない頻度で行われるので煩わしいです。

DLPの対象以外のデータを収集しない設定をすることでアクティビティエクスプローラーに表示されるログの量を抑えることができます。(Micorosft Learn)

  1. Microsoft Purview > データ損失防止 > エンドポイントのDLP設定
  2. デバイスのファイルアクティビティを常に監視する > オフ

おまけ

おそらくPurviewのエンドポイントDLPを調べてこの記事に辿り着いたと思いますので、エンドポイントDLPのよくあるQ&Aのリンクを載せておきます。
https://techcommunity.microsoft.com/t5/security-compliance-and-identity/common-questions-on-microsoft-purview-data-loss-prevention-for/ba-p/3732610

おわりに

セキュリティだけではなくコンプライアンスも非常に重要になってくると思います。

Discussion