2021年8月18日水曜日

【Microsoft セキュリティ、コンプライアンス、ID の基礎】Microsoft Defender 、分類管理、アクション

先日「Microsoft セキュリティ、コンプライアンス、ID の基礎 (SC-900T00)」を実施中、積み残した質問があったので、この場で回答しておきます。

●Microsoft Defender for Endpoint

Microsoft Defender for Endpointは、次のいずれかのボリュームライセンス製品が必要です。

  • Windows 10 Enterprise E5
  • Windows 10 Education A5
  • Microsoft 365 A5 (M365 A5)
  • Microsoft 365 E5 Security
  • Microsoft 365 A5 Security
  • Microsoft Defender for Endpoint

単独のライセンスもありましたが、直販はなく代理店扱いのようです。
検索結果によると1ライセンスあたり月額570円でした。

●ファイルの分類

オンプレミスのファイル分類管理(FCI: File Classification Infrastructure)は、以下の2つのステップで動作します。

  1. ファイルの内容や保存先フォルダーに基づいて、ファイルのプロパティにラベルを追加
  2. ファイルのラベルに基づいてアクションを実行(ファイルの移動、暗号化、任意のコマンド)

詳しくは以下のドキュメントを参考にしてください。

クラウドの場合は、フォルダーに基づく分類はなく、ファイル内容に基づいた自動分類と手動分類しかないようです。

分類はMicrosoft 365上で準備しますが、分類結果自体はファイルの属性として保存されるため、デスクトップアプリでも利用できます。

▲SharePoint上に作ったファイルをダウンロードして開いてみました。

具体的な設定手順は、コース「Microsoft Information Protection 管理者 (SC-400T00)」の演習で扱っています。

演習ガイドは以下で公開されていますが(日本語)、サポートはコースの受講者に限られているので、申し訳ありませんがここでの解説はご容赦ください。

GitHub - MicrosoftLearning/SC-400JA-Microsoft-Information-Protection-Administrator


●Microsoft 365 Defenderからのアクション

Microsoft 365 Defender自身にも自動応答はありますが、機能は限定的です。
やはりAzure Sentinelと統合することを想定しているようです。


以上、簡単ですが補足説明でした。