Microsoft、Defenderのエンドポイント機密データアラートを廃止 — Purview DLPへ移行を必須化(2026年3月23日)
Microsoftは、Microsoft Defender ポータルでのエンドポイントにおける「機密データ」アラート機能を2026年3月23日付で廃止しました。組織は今後、機密データの検出・通知・ポリシー適用・調査を行うために Microsoft Purview DLP へ移行する必要があります。本記事では今回の変更点の全体像、影響範囲、現場でとるべき具体的な対応手順と注意点をわかりやすく整理します。
概要:何が変わったのか(要点まとめ)
本変更では、Microsoft Defender ポータル内で「エンドポイント上の機密データに関するアラート(Endpoint DLP-sensitive data alerting)」を新規作成・運用する機能が廃止され、同種の検出・通知とポリシー運用は Microsoft Purview DLP に一本化されます。これにより Defender ポータルで作成した既存の該当アラートポリシーは、所定の廃止日をもってアラートを生成しなくなります。Microsoft 365 Message Center Archive+1
(参考)この変更は Microsoft 365 管理センターのメッセージ ID MC1217649 として案内されており、2月16日に新規ポリシー作成メニューから該当アクティビティ項目が削除され、3月23日に既存ポリシーのアラート生成が停止するスケジュールでした。Microsoft 365 Message Center Archive
影響を受ける対象(誰が影響を受けるか)
-
Microsoft Defender XDR のアラートポリシーを使って、エンドポイント上の機密データ活動(コピー、アップロード、クリップボード経由の持ち出しなど)を監視している組織。Microsoft 365 Message Center Archive
-
Microsoft Defender ポータルでこれらのアラートポリシーを作成・管理している管理者・SecOpsチーム。Neowin
具体的には「USBにコピー」「外部共有へアップロード」「許可されていないアプリでの機密ファイルアクセス」など、エンドポイント上でのデータ操作に関するアラートを利用していた運用が影響を受けます。Microsoft 365 Message Center Archive
スケジュール(重要な日付)
-
2026年2月16日:Microsoft Defender ポータルの新規アラート作成メニューから「機密データに関する活動」オプションが削除。以降、新規でその種類を使ったアラートは作成不可。Microsoft 365 Message Center Archive
-
2026年3月23日:既存の該当アラートポリシーもアラートを生成しなくなる(機能の完全廃止)。Microsoft 365 Message Center Archive
※本記事公開時点(2026年3月23日)で機能は廃止済みとされています。早急な対応が必要です。Neowin
なぜこの変更が行われたのか(背景と狙い)
Microsoftはデータ漏えい防止(DLP)機能を一元化し、検出から制御・調査までをより統合されたプラットフォームで提供することを目的としています。これにより、ポリシー設計の一貫性が増し、より高度な調査機能や Defender XDR の分析と連携した運用が可能になると説明されています。統合により重複した設定や運用の混乱を避け、長期的には管理負担の軽減と検出精度の向上を目指す意図と読み取れます。Microsoft 365 Message Center Archive
現場で直ちにやるべきこと(短期チェックリスト)
-
影響を受けるアラートポリシーの洗い出し
Defender ポータル内のアラートポリシーを確認し、「機密データ活動」タイプを使用している既存ポリシーをリストアップする。これを最優先で移行対象として扱う。Microsoft 365 Message Center Archive -
Purview DLP での同等ポリシー作成計画を立てる
検出ルール、スコープ(デバイス・ユーザー・対象ファイル)、通知方法、対応フロー(自動隔離やアラート優先度)を設計する。Microsoft 365 Message Center Archive -
テスト環境での検証
Purview DLP にポリシーを作成したら、まずは限定的なテストグループで検証を実施。検出ログ、誤検知の傾向、運用フローの確認を行う。 -
運用手順書・SLAの更新と周知
SecOps、ヘルプデスク、ISM(情報セキュリティ管理者)へ影響と新手順を共有。インシデント対応フローや連絡経路も更新する。 -
監査とログ集約の確認
Purview DLP の検出ログが既存のSIEMやログ基盤へ確実に届くか、アラートの連携が維持されるかをチェックする。
Purview DLP へ移行する際の実務的なポイント
-
ルールのマッピング:Defender で使っていた「機密データアクティビティの種類」を、Purview DLP のルール条件(機密情報タイプ、ファイル拡張子、レジストリやプロセスの検知条件など)へ落とし込む必要があります。単純コピーではなく、Purview 側のポリシー表現に合わせてリファクタリングする作業が発生します。Microsoft 365 Message Center Archive
-
アラート閾値とノイズ対策:Purview はより柔軟な動作が可能ですが、その分設定次第でノイズ(誤検知)も増え得ます。段階的に閾値を調整しつつ、初期はモニターモードで運用することを推奨します。
-
自動対応の設計:エンドポイント上での自動隔離やプロセス停止などを行う場合は、業務への影響を最小化する設計(例:まずは通知→承認→実行の流れ)を検討してください。
-
権限とロール分離:Purview と Defender 間で権限設計が異なる場合があります。管理者権限の見直し、監査ログの走る範囲を明確にしておきましょう。
よくある課題とその対策
-
課題1:短期間での移行リソース不足
→ 対策:優先順位をつけ、最もリスクの高いデータ流出シナリオ(外部アップロード、USB持ち出しなど)から順に移行。臨時的に運用ルールを強化してリスクをカバー。 -
課題2:Purview のルール表現に慣れていない
→ 対策:Microsoft の公式ドキュメントや検証用テンプレートを活用し、段階的に学習しながら実装する。社内トレーニングやハンズオンを行うと効果的。Microsoft 365 Message Center Archive -
課題3:監査・ログ形式が変わることによるSIEM連携の不整合
→ 対策:ログのフィールドマッピングを事前に設計し、SIEM側の受け入れルールを更新する。必要ならば正規化スクリプトを用意する。
コミュニケーション:社内向け周知テンプレ(要点)
-
いつ(2026年3月23日)以降、Defender 側の該当アラートは動作しなくなること。Microsoft 365 Message Center Archive
-
移行先は Microsoft Purview DLP であること、関連する担当チーム(SecOps/SOC/ITサポート)の役割分担。
-
テスト日程と想定される影響(検出試験中の一時的な誤検知や通知増加など)。
-
連絡先(移行プロジェクトのリード、インシデント時のエスカレーション先)。
参考情報と出典
-
Microsoft 365 管理センター メッセージ(Message ID: MC1217649)— Endpoint DLP-sensitive data alerting retiring in Defender(通知とスケジュール)。Microsoft 365 Message Center Archive
-
各種技術メディア報道(例:Neowin の報道)— 廃止のタイミングと現場の影響についてわかりやすく整理。Neowin
最後に(推奨)
今回の廃止は「機能が消える=ただちに運用停止」のリスクをもたらしますが、逆に考えれば Purview DLP へ移行することで「検出・制御・調査」を一貫したプラットフォームで強化できる好機でもあります。まずは影響ポリシーの洗い出し→Purview 側でのパイロット実装→限定展開→本番切替、という段階的アプローチを早めに開始してください。必要ならば、外部コンサルティングや Microsoft のサポートを活用して移行期間中のリスクを低減することをおすすめします。Microsoft 365 Message Center Archive+1
(関連記事)本件に関連する Microsoft のその他のセキュリティ/Defender アップデートは公式の更新ノートやメッセージセンターで随時公開されています。定期的にチェックし、組織のセキュリティ運用計画に反映してください。Microsoft 365 Message Center Archive+1
この記事は、組織のセキュリティ運用担当者が実務で即使える形で要点と対応手順を整理したものです。
