Microsoft SC-401 (Information Security Administrator) 1-10

Q1.Microsoft 365 E5 サブスクリプションがあり、その中に Channel1 という名前の Microsoft Teams チャネルが含まれています。
Channel1 には、研究開発ドキュメントが含まれています。
このサブスクリプションに Microsoft 365 Copilot を実装する予定です。
Channel1 に保存されているファイルの内容が、Copilot によって生成される回答に含まれ、承認されていないユーザーに表示されることを防ぐ必要があります。
何を使用するべきですか。

A. データ損失防止(DLP)
B. Microsoft Purview インサイダー リスク管理
C. Microsoft Purview 情報バリア(IB)
D. 秘密度ラベル

回答
D. 秘密度ラベル

Microsoft 365 Copilot は、ユーザーがアクセス権を持つ Microsoft 365 データを基に応答を生成します。
そのため、Channel1 の研究開発ドキュメントを未承認ユーザーの応答に含めないようにするには、ファイル自体に保護を適用できる秘密度ラベルを使用します。
秘密度ラベルでは、コンテンツの分類、暗号化、アクセス制御を設定でき、許可されたユーザーだけがファイルを開いたり利用したりできるようにできます
また、Copilot は秘密度ラベルを認識し、ラベル付けされたデータの保護を維持するように動作します。
DLP は主に情報の共有や送信の制御、インサイダー リスク管理は内部リスク検出、情報バリアはユーザー間通信や共同作業の分離が目的であり、この要件には秘密度ラベルが最も適しています。
Microsoft Purview Information Protection は現在 Microsoft Purview のデータ セキュリティ機能群として提供され、秘密度ラベルはその中核機能です

秘密度ラベルの詳細
秘密度ラベルを使用して暗号化を適用してコンテンツへのアクセスを制限する
Microsoft 365 とMicrosoft 365 Copilotでデータを保護および監査する方法

Q2.Microsoft 365 E5 サブスクリプションがあります。
Label1 という名前の秘密度ラベルを作成する必要があります。このソリューションでは、ユーザーが Microsoft 365 Copilot を使用して、Label1 が適用されたファイルを要約できるようにする必要があります。
Label1 には、どのアクセス許可を選択するべきですか。

A. コンテンツのエクスポート(EXPORT)
B. コンテンツのコピーと抽出(EXTRACT)
C. コンテンツの編集(DOCEDIT)
D. 権限の表示(VIEW)

回答
B. コンテンツのコピーと抽出(EXTRACT)

Microsoft 365 Copilot が秘密度ラベルで暗号化されたファイルの内容を要約するには、ユーザーに対象ファイルへのアクセス権があるだけでは不十分です。
Microsoft のドキュメントでは、秘密度ラベルにより暗号化が適用されている場合、Copilot がデータを返すには、ユーザーに EXTRACT 使用権限が必要とされています。
VIEW 権限のみでは、ユーザーは Copilot の外部でファイルを開いて表示できますが、Copilot は内容を要約できません。EXPORT は別形式での保存、DOCEDIT は編集、VIEW は表示のための権限であり、Copilot による要約の要件を満たす中心的な権限ではありません。
したがって、Label1 には「コンテンツのコピーと抽出(EXTRACT)」を選択します

秘密度ラベルの詳細
TeamsにおけるMicrosoft 365 CopilotおよびChannel Agentのセキュリティとコンプライアンス管理に関する考慮事項

Q3.Microsoft 365 E5 サブスクリプションがあります。
Microsoft SharePoint Online で秘密度ラベルのサポートを有効にする必要があります。
何を使用するべきですか。

A. Microsoft Purview ポータル
B. Microsoft Entra 管理センター
C. SharePoint 管理センター
D. Microsoft 365 管理センター

回答
C. SharePoint 管理センター

SharePoint Online と OneDrive に保存された Office ファイルで秘密度ラベルを利用するには、SharePoint 側で Information Protection 関連の設定を有効化する必要があります。
この設定は Microsoft Purview ポータルではなく、SharePoint 管理センターの「設定」から、Office ファイルの秘密度ラベルを有効にする機能として構成します
有効化すると、SharePoint と OneDrive に保存されたファイルに対して秘密度ラベルの認識、適用、暗号化されたファイルの処理などがサポートされます。
Microsoft Entra 管理センターは ID とアクセス管理、Microsoft 365 管理センターはテナント全体の一般管理が中心であり、この要件の直接的な設定場所ではありません。
したがって、使用するべき管理ツールは SharePoint 管理センターです

SharePoint および OneDrive でファイルの秘密度ラベルを有効にする

Q4.Microsoft 365 サブスクリプションがあります。
このサブスクリプションで暗号化されたメールをカスタマイズする必要があります。
このソリューションは、次の要件を満たす必要があります。
暗号化されたメールが送信されたときに、そのメールに会社のロゴが含まれるようにする。
管理作業を最小限に抑える。
どの PowerShell コマンドレットを実行するべきですか。

A. Set-IRMConfiguration
B. Set-OMEConfiguration
C. Set-RMSTemplate
D. New-OMEConfiguration

回答
B. Set-OMEConfiguration

暗号化メールに会社ロゴなどのブランド要素を追加するには、Microsoft Purview Message Encryption のブランド設定を変更します。
既存の暗号化メッセージ構成を更新する場合は、Set-OMEConfiguration コマンドレットを使用して、ロゴ、免責事項テキスト、メール本文テキスト、背景色などを設定できますNew-OMEConfiguration は新しいブランド テンプレートを作成する場合に使いますが、既存設定を変更するより作業が増えるため、管理作業の最小化という要件に合いません。
Set-IRMConfiguration は Information Rights Management の構成、Set-RMSTemplate は RMS テンプレート関連であり、暗号化メールのロゴ追加には適しません。
なお、OME は現在 Microsoft Purview Message Encryption として Microsoft Purview の一部に位置付けられています。
したがって、会社ロゴを含む暗号化メールのカスタマイズには Set-OMEConfiguration が最適です

Microsoft Purview Message Encryption暗号化されたメッセージにorganizationのブランドを追加する
Set-OMEConfiguration

Q5.Microsoft 365 E5 サブスクリプションがあります。
外部受信者に送信された暗号化メール メッセージを取り消せるようにするか、7日以内に期限切れになるようにする必要があります。
最初に何を構成する必要がありますか。

A. カスタム ブランド テンプレート
B. メール フロー ルール
C. 秘密度ラベル
D. 条件付きアクセス ポリシー

回答
C. 秘密度ラベル

外部受信者に送信する暗号化メールの取り消しや有効期限を制御するには、Microsoft Purview の秘密度ラベルで暗号化設定を構成します。
秘密度ラベルでは、メールやファイルに暗号化を適用し、アクセス許可、オフライン アクセスの期限、ユーザーやグループごとの利用権限を設定できます
暗号化されたメールの取り消しや期限管理は、単なるブランド表示や配送制御ではなく、コンテンツ保護の設定に該当します。
カスタム ブランド テンプレートはロゴや表示内容の変更、メール フロー ルールは条件に基づく処理、条件付きアクセス ポリシーはサインインやアプリ利用の制御が目的です。
したがって、最初に構成すべきものは 暗号化設定を含む秘密度ラベル です。

秘密度ラベルを使用して暗号化を適用してコンテンツへのアクセスを制限する
秘密度ラベルの詳細

Q6.Site1 という名前の Microsoft SharePoint Online サイトがあり、その中にドキュメント ライブラリが含まれています。
ライブラリには 1,000 件を超えるドキュメントが含まれています。
一部のドキュメントは求職者の履歴書です。
すべてのドキュメントは英語です。
履歴書として識別された任意のドキュメントに、秘密度ラベルを自動的に適用する予定です。
職務経験、学歴、実績を含むドキュメントだけが自動的にラベル付けされる必要があります。
履歴書を識別して分類する必要があります。
このソリューションでは、管理作業を最小限に抑える必要があります。
ソリューションには何を含めるべきですか。

A. トレーニング可能な分類子
B. キーワード辞書
C. 関数
D. 完全データ一致(EDM)分類子

回答
A. トレーニング可能な分類子

履歴書は、氏名、職務経験、学歴、実績などの構成要素を持つ一方で、文書ごとに表現や形式が異なる非構造化データです。
このような文書を識別するには、単純なキーワード辞書や関数よりも、文書の内容と構造を学習して分類できるトレーニング可能な分類子が適しています。Microsoft Purview では、トレーニング可能な分類子を秘密度ラベルの自動適用条件として使用できます
また、Microsoft が提供する事前トレーニング済み分類子には履歴書を識別する分類子が含まれており、英語のドキュメントに対して利用できます。
EDM 分類子は顧客番号など既知の正確なデータ照合に使うため、履歴書のような文書分類には適しません。
したがって、管理作業を最小限にするにはトレーニング可能な分類子を使用します

トレーニング可能な分類子の詳細
トレーニング可能な分類子の定義
Microsoft 365 データに秘密度ラベルを自動的に適用する

Q7.Windows クライアント コンピューターに適用されるデータ損失防止(DLP)ソリューションを計画しています。
ユーザーが機密情報を含むファイルを USB 記憶域デバイスにコピーしようとしたときに、次の要件が満たされるようにする必要があります。
ユーザーが Group1 という名前のグループのメンバーである場合、ユーザーはファイルのコピーを許可され、イベントが監査ログに記録される必要があります。
その他すべてのユーザーは、ファイルのコピーをブロックされる必要があります。
何を作成するべきですか。

A. 1 つの DLP ルールを含む 1 つの DLP ポリシー
B. 2 つの DLP ルールを含む 1 つの DLP ポリシー
C. それぞれ 1 つの DLP ルールを含む 2 つの DLP ポリシー

回答
B. 2 つの DLP ルールを含む 1 つの DLP ポリシー

Microsoft Purview Endpoint DLP では、Windows デバイス上で機密情報を含むファイルが USB リムーバブル デバイスへコピーされる操作を検出し、監査、警告、ブロックなどの制御を適用できます。
今回の要件では、同じ対象データと同じデバイス操作に対して、Group1 にはコピーを許可しつつ監査し、その他のユーザーにはコピーをブロックする必要があります。
そのため、1 つの DLP ポリシー内で、Group1 用の監査ルールと、その他のユーザー用のブロック ルールを分けて構成します1 つのルールだけでは、同じ条件で「監査のみ」と「ブロック」をユーザーごとに適切に分岐できません。
2 つの別ポリシーに分けるより、同一シナリオを 1 つのポリシーで管理した方が優先順位や適用範囲を整理しやすく、管理作業も抑えられます。
したがって、作成するべきものは、2 つの DLP ルールを含む 1 つの DLP ポリシーです

エンドポイント データ損失防止について
データ損失防止ポリシー リファレンス
データ損失防止ポリシーの作成と展開

Q8.Microsoft 365 サブスクリプションがあります。
ユーザーが Microsoft SharePoint ライブラリ内の個々のドキュメントに保持ラベルを適用できるようにする必要があります。
どの 2 つの操作を実行する必要がありますか。
各正解はソリューションの一部を表します。

A. Microsoft Defender for Cloud Apps から、ファイル ポリシーを作成する。
B. SharePoint 管理センターから、サイト設定を変更する。
C. SharePoint 管理センターから、レコード管理設定を変更する。
D. Microsoft Purview ポータルから、ラベルを発行する。
E. Microsoft Purview ポータルから、ラベルを作成する。

回答
D. Microsoft Purview ポータルから、ラベルを発行する。
E. Microsoft Purview ポータルから、ラベルを作成する。

SharePoint ライブラリ内の個々のドキュメントにユーザーが保持ラベルを適用できるようにするには、まず Microsoft Purview ポータルで保持ラベルを作成し、その後、対象ユーザーや SharePoint サイトに発行する必要があります。
保持ラベルは、コンテンツをどの期間保持するか、保持後に削除するか、レコードとして宣言するかなどを定義します。
ラベルを作成するだけではユーザーには表示されず、ラベル ポリシーとして発行して初めて SharePoint で利用可能になります
Microsoft Defender for Cloud Apps のファイル ポリシーや SharePoint 管理センターのサイト設定は、保持ラベルをユーザーに提供するための主要手順ではありません。
したがって、Microsoft Purview ポータルで保持ラベルを作成し、発行する操作が必要です

アイテム保持ラベルを発行してアプリに適用する
アイテム保持ポリシーと保持ラベルの詳細

Q9.Microsoft 365 E5 サブスクリプションがあり、その中に Site1 という名前の Microsoft SharePoint Online サイトが含まれています。
Microsoft Purview データ ライフサイクル管理を実装する必要があります。
最初に何を作成するべきですか。

A. 秘密度ラベル ポリシー
B. データ損失防止(DLP)ポリシー
C. 自動ラベル付けポリシー
D. 保持ラベル

回答
D. 保持ラベル

Microsoft Purview データ ライフサイクル管理では、SharePoint Online などのコンテンツをどの期間保持し、保持期間後に削除するかを制御します。
この制御の基礎になるのが保持ラベルです。
保持ラベルでは、コンテンツの保持期間、保持開始の基準、保持後の削除やレビューなどの動作を定義できます
保持ラベルを作成した後、そのラベルをユーザーが手動で適用できるように発行したり、自動適用ポリシーで条件に一致するコンテンツへ適用したりします。
秘密度ラベル ポリシーは情報保護、DLP ポリシーは情報漏えい防止、自動ラベル付けポリシーは既存のラベルを自動適用するためのものです。
したがって、最初に作成するべきものは保持ラベルです

アイテム保持ラベルを発行してアプリに適用する
アイテム保持ポリシーと保持ラベルの詳細

Q10.Microsoft 365 E5 サブスクリプションがあります。
次の場所に対して静的保持ポリシーを作成する必要があります。
Teams チャット
Exchange メール
SharePoint サイト
Microsoft 365 グループ
Teams チャネル メッセージ
必要な保持ポリシーの最小数はいくつですか。

A. 1
B. 2
C. 3
D. 4
E. 5

回答
B. 2

Microsoft Purview の保持ポリシーでは、Exchange メール、SharePoint サイト、Microsoft 365 グループなどの場所を 1 つの保持ポリシーにまとめて指定できます。
一方で、Teams チャットや Teams チャネル メッセージなどの Teams 関連の保持場所を選択すると、他の場所は同じ保持ポリシー内で選択できない制約があります。
そのため、Exchange メール、SharePoint サイト、Microsoft 365 グループ用に 1 つの保持ポリシーを作成し、Teams チャットと Teams チャネル メッセージ用に別の保持ポリシーを作成する必要があります
Teams のメッセージ保持は Teams 専用の場所として扱われるため、すべてを 1 つの静的保持ポリシーにまとめることはできません。
したがって、必要な保持ポリシーの最小数は 2 です

アイテム保持ポリシーを作成して構成する
Microsoft Teams の保持の詳細
アイテム保持ポリシーと保持ラベルの詳細