Microsoft Teams等でクレジットカードの情報を今度は止めてみた。

前回はクレジットカード情報が記載されたら管理者に通知する動きだった。

今度は改変してそれを止めてみる。
MSのDocsとしては以下

データ損失防止リファレンス - Microsoft 365 Compliance

データ損失防止から該当ポリシーを編集する。

「Microsoft 365 コンプライアンス」-「データ損失防止」を開き、前回作成したポリシーを選択して「ポリシーの編集」をする。

「詳細なDLPルールのカスタマイズ」を開き、編集する。

二つのテンプレートの違いを確認する

少量と大量で何が違うのか。
「少量」の部分

「大量」の部分

では改変していく

条件 - コンテンツに含まれている

ここは少量だから通過させていいわけではないと思うので、「条件」のインスタンスを「1」から「すべて」にする。

さらにコンテンツとしてマイナンバーも追加する。

条件 - コンテンツがMicrosoft 365 から共有されている

条件として「組織内連絡先のみ」と「組織外の連絡先」がある。
想定する役割としては内部宛と外部宛で警告の閾値を変えるのだろうが、クレジットカードはどこであっても困るので、条件付け自体を削除しておく。
これにより組織内であろうが、外であろうがブロックされることを想定する。

条件 - 例外

ありえないだろうけど、相手側から共有されるなんてことがあるのかな、ということで今回は追加しない。

条件 - アクション

・Microsoft 365 の場所にあるコンテンツへのアクセスを制限またはコンテンツを暗号化する。今回はこちらをONにする。

・サードパーティアプリを制限
　結構色々あるが、今回は追加しない。

・アクセスを制限するか、オンプレミスのファイルを削除する
　こちらも今回は追加しない。

ユーザ通知

誤検知もあるのでユーザには通知するようにする。

ユーザによる上書き

勝手にされたら困るけど、「業務上の理由」がどう申請されるのか気になるのでONにする。

インシデントレポート

ブロックしたら何度も試すだろうから、60分で3回試されたらメール通知をするようにした。

Teamsテスト

送ってみたら、こうなった。

「操作項目」をクリックすると以下の表示が出る。

「上書きして送信」してみる。

相手側からは以下のように見えた。

なお、DLPが適用されるまでの5秒ほど表示はされていた。
「この機能について」をクリックしたら以下に飛ばされた

データ損失防止 (DLP) と通信コンプライアンス ポリシーに関する Teams メッセージ

ブロック時のユーザ側での操作

送信者側で何ができるのか確認してみる。

・「上書きして送信」してみた。
　管理者宛にメールや「アラート」には変化なし。「アクティビティレポート」には表示されたが、入力された「理由」の表示はなく、無事相手に送信された。

・「管理者にレポートください。」をやってみる。
表示が以下のように変わるが、送信先側はブロックされたまま。

レポートしたという割にはメールでも「アラート」、「アクティビティレポート」には変化なし。いずれわかったら追記することとする。

メールでテスト

前回は日本語でブロックメールが来たが、今回は英語だった。相手にはメールは送付されていない。

OneDriveでも試す

OneDriveでクレジットカード情報が混入したファイル「違反テスト.docx」を作ってみると以下のメールが到着。メールの件名がファイル名になっていると思われる。

名前を変えたがメールは飛ばなかった。しかし、OneDrive上は以下の表記のように「機密情報が含まれています」というマークがついていた。

管理者以外のユーザで作ったEXCELでも反応。「アラート」から詳細のイベントを見ると具体的などこのファイルなのかがわかるので注意ができる。

「アクティビティレポート」では以下の表記

上記ファイルを「Microsoft Print for PDF」で印刷したものをアップロードしたが、これは画像形式になっているのでアラートには引っかからなかった。

次のアクション

・誤検知対策で設定した「ユーザによる上書き」箇所のついて管理者側へ
　の通知が見当たらなかったのでその解明。
・「管理者にレポートください」の通知先も不明。
・DLPの他の使い道

その他Teams関連で調べたのは以下

Teams｜rone｜note