インサイダー リスク管理の制限
重要
Microsoft Purview インサイダー リスク管理は、IP の盗難、データの漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意なインサイダー リスクを特定するために、さまざまな信号を関連付けます。 インサイダー リスク管理により、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシー バイ デザインで構築されており、ユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するのに役立つロールベースのアクセス制御と監査ログが用意されています。
インサイダー リスク管理では、次の組み込みの制限を使用して、ユーザー エクスペリエンスを最適化します。
アイテムの制限
次の表に、製品領域ごとの制限を示します。
グローバル設定
| アイテム | 極限 |
|---|---|
| ルックバック期間の制限 (Exchange Online) | 10 日 |
| 他のすべての信号のルックバック期間制限 | 90 日間 |
| 各グローバル除外リスト内のアイテムの最大数 (ドメイン、SharePoint サイト、ファイル パス、キーワード、およびファイルの種類) | リストごとに 500 |
| 検出グループ内のアイテムの最大数 | 200 |
| カスタム インジケーターの最大数 | 10 |
| カスタム インジケーターあたりのフィールドの最大数 | 20 |
| インジケーターあたりのバリアントの最大数 | 3 |
| 優先度ユーザー グループに追加できるユーザーの最大数 | 10K |
トリガー (UTC 暦日ごと)
| アイテム | 極限 |
|---|---|
| Microsoft Entra IDから削除されたユーザー アカウント | 15K |
| HR コネクタを介して収集されたすべての信号 | 15K |
| カスタム インジケーター | 15K |
| その他のすべてのトリガー | 5K |
| organizationの最大トリガー ボリューム | 50K |
注:
制限事項は、個々のトリガーの種類ごとに異なります。
ポリシー テンプレートのスコープ内のユーザーの最大数
| テンプレート名 | 極限 |
|---|---|
| 離職するユーザーによるデータ盗難 | 20K |
| データ漏えい | 15K |
| 優先ユーザーによるデータ漏洩 | 1K |
| 危険なユーザーによるデータ 漏洩 | 7.5K |
| セキュリティ ポリシー違反 (プレビュー) | 1K |
| 患者データの誤用 (プレビュー) | 5K |
| 危険なブラウザーの使用 (プレビュー) | 7K |
| 離職するユーザーによるセキュリティ ポリシー違反 (プレビュー) | 15K |
| 優先ユーザーによるセキュリティ ポリシー違反 (プレビュー) | 1K |
| 危険なユーザーによるセキュリティ ポリシー違反 (プレビュー) | 7.5K |
| フォレンジック証拠 | 無制限 |
注:
ポリシーに追加できるユーザーの最大数に制限はありません。 制限は、ポリシー テンプレートの スコープ内 のユーザー (トリガー イベントの後にスコープに入ったユーザー) に対してです。
その他のポリシー制限
| アイテム | 極限 |
|---|---|
| テンプレートの種類ごとに作成できるポリシーの最大数 | 20 |
| 優先度の高いサイトの最大数 | 50 |
| 優先度の秘密度ラベルの最大数 | 50 |
| 優先度の高い機密情報の種類の最大数 | 50 |
| 優先度ファイル拡張子の最大数 | 50 |
| 優先度トレーニング可能な分類子の最大数 | 5 |
適応型保護
|リスク レベルごとに DLP ポリシーにスコープを設定できるユーザーの最大数|10,000|
手動でのユーザー スコアリング
| アイテム | 極限 |
|---|---|
| 手動でスコア付けできるユーザーの最大数 | 4K |
場合
| アイテム | 極限 |
|---|---|
| アクティブなケースの最大数。 | 100 |
エクスポート
| アイテム | 極限 |
|---|---|
| [ユーザー] ページからエクスポートできる ユーザー の最大数 | 1000 |
| [アラート] ページからエクスポートできる アラートの 最大数 | 1000 |
| アクティビティ エクスプローラーから CSV ファイルにエクスポートできるログの最大数 | 100K |
アラート、ケース、および関連する成果物の保持制限
インサイダー リスク管理アラートが古くなるにつれて、ほとんどの組織にとって、潜在的に危険なアクティビティを最小限に抑えるためのアラートの価値が低下します。 逆に、アクティブなケースと関連するアーティファクト (アラート、インサイト、アクティビティ) は常に組織にとって価値があり、自動有効期限を設けるべきではありません。 これには、アクティブなケースに関連付けられているすべてのユーザーのアクティブなステータスにある、将来のすべてのアラートと成果物が含まれます。
制限された現在の値を提供する古いアイテムの数を最小限に抑えるために、インサイダー リスク管理アラート、ケース、およびユーザー レポートには、次の保持制限が適用されます。
| 項目 | 保有期間 |
|---|---|
| レビューが必要状態のアラート | アラートの作成から 120 日、その後は自動的に削除されます |
| アクティブなケース (および関連する成果物) | 無期限の保持、無期限 |
| 解決済みのケース (および関連する成果物) | ケースの解決から 120 日、その後は自動的に削除されます |
| ユーザー アクティビティ レポート | レポートの作成から 120 日、その後は自動的に削除されます |
コネクタ
| アイテム | 極限 |
|---|---|
| API によって処理できる JSON ファイル内のレコードの最大数 | 50K |