先日「Microsoft セキュリティ、コンプライアンス、ID の基礎 (SC-900T00)」を実施中、積み残した質問があったので、この場で回答しておきます。
●Microsoft Defender for Endpoint
Microsoft Defender for Endpointは、次のいずれかのボリュームライセンス製品が必要です。
- Windows 10 Enterprise E5
- Windows 10 Education A5
- Microsoft 365 A5 (M365 A5)
- Microsoft 365 E5 Security
- Microsoft 365 A5 Security
- Microsoft Defender for Endpoint
単独のライセンスもありましたが、直販はなく代理店扱いのようです。
検索結果によると1ライセンスあたり月額570円でした。
●ファイルの分類
オンプレミスのファイル分類管理(FCI: File Classification Infrastructure)は、以下の2つのステップで動作します。
- ファイルの内容や保存先フォルダーに基づいて、ファイルのプロパティにラベルを追加
- ファイルのラベルに基づいてアクションを実行(ファイルの移動、暗号化、任意のコマンド)
詳しくは以下のドキュメントを参考にしてください。
クラウドの場合は、フォルダーに基づく分類はなく、ファイル内容に基づいた自動分類と手動分類しかないようです。
分類はMicrosoft 365上で準備しますが、分類結果自体はファイルの属性として保存されるため、デスクトップアプリでも利用できます。
▲SharePoint上に作ったファイルをダウンロードして開いてみました。
具体的な設定手順は、コース「Microsoft Information Protection 管理者 (SC-400T00)」の演習で扱っています。
演習ガイドは以下で公開されていますが(日本語)、サポートはコースの受講者に限られているので、申し訳ありませんがここでの解説はご容赦ください。
GitHub - MicrosoftLearning/SC-400JA-Microsoft-Information-Protection-Administrator
●Microsoft 365 Defenderからのアクション
Microsoft 365 Defender自身にも自動応答はありますが、機能は限定的です。
やはりAzure Sentinelと統合することを想定しているようです。
- データの自動調査とMicrosoft 365 Defender
- Microsoft 365 Defender と Azure Sentinel との統合 (Microsoft 365)
- Microsoft 365 Defender と Azure Sentinel の統合 (Azure Sentinel)
- Azure Sentinel に Office 365 のログを接続する
以上、簡単ですが補足説明でした。