Microsoft Purview Data Loss Prevention user email notification will soon get advanced incident remediation capabilities. This new feature allows users to take remediation actions directly from their mailbox, streamlining the remediation process.

This message is associated with Microsoft 365 Roadmap ID 464996.

[When this will happen:]

Public Preview: We will begin rolling out in early December 2024 and expect to complete by early January 2025.

We will communicate the plan for General Availability in a separate post.

[How this will affect your organization:]

This feature will allow users to take remediation actions on Microsoft OneDrive files and Microsoft SharePoint files that cause a policy match.

Key actions in the actionable email notifications will include:

• Stop sharing file
• Delete file
• Apply sensitivity label on the file
• Apply retention label on the file
• Override the policy
• Report false positive
• Report unable to take action

This change will be available by default for admins to configure.

[What you need to do to prepare:]

Admin experience: Using the feature

To use this feature, follow these steps:

1. Create or edit a policy in Purview Data Loss Prevention for OneDrive or SharePoint.

2. Create a rule and select the required conditions and actions. Turn on User notifications and select Notify users in Office 365 service with a policy tip or email notifications. Then, select Preview and edit notification email:

3. A flyout will open where you can configure the actions in the notification email:

Note: You can only use markdown mode when configuring the email body with actions. HTML is not supported unless no action is selected.

4. After you have made the changes, select Save. Select the users who will be notified. Save the rule.

User experience

When a DLP rule matches a file, users selected in rule configuration will receive an email notification. The actions will be at the end of the email.

After selecting an action in an email, the user will experience this behavior:

• Stop sharing: Any sharing access and links on the file will be removed.
• Delete: File will be deleted
• Override (visible in email only if user override is enabled): User needs to enter the business justification if selected and policy will be overridden.
• Apply sensitivity or retention label: OneDrive or SharePoint folder or site where file is located will open, and the user can apply the sensitivity or the retention label in the file details section
• Report false positive: User needs to enter the justification and admin will be notified.
• Unable to take action: User needs to enter the justification and admin will be notified.

If the action is successful, the actions will be replaced by success message. For unsuccessful actions, an error message will be shown.

Admin experience: Auditing

Admin can track the action taken by users using the unified audit log in the Purview compliance portal and Advanced Hunting in the Defender security portal.

Filters to use in unified audit log:

1. For file activities in SharePoint and OneDrive (Delete, Unshare, Apply Retention Label, Apply Sensitivity Label):

Record types = SharepointFileOperation

File, folder, or site = “File URL (file link)”

2. For (Report False Positive, Unable to take action, Override):

Activities – operation names = DLPInfo

Record types = ComplianceDLPSharePoint

Learn more: Send email notifications and show policy tips for DLP policies | Microsoft Learn

This rollout will happen automatically by the specified date with no admin action required before the rollout. Review your current configuration to determine the impact for your organization. You may want to notify your users and admins about this change and update any relevant documentation.

Microsoft Purview データ損失防止ユーザーの電子メール通知には、まもなく高度なインシデント修復機能が追加されます。この新機能により、ユーザーはメールボックスから直接修復アクションを実行できるため、修復プロセスが効率化されます。

このメッセージは、Microsoft 365 ロードマップ ID 464996に関連付けられています。

[これがいつ起こるか:]

パブリック プレビュー: 2024 年 12 月初旬にロールアウトを開始し、2025 年 1 月初旬までに完了する予定です。

一般提供の計画については、別の投稿でお知らせします。

[これがあなたの組織にどのように影響しますか:]

この機能により、ユーザーは Microsoft OneDrive ファイルや、ポリシーの一致の原因となる Microsoft SharePoint ファイルに対して修復アクションを実行できます。

アクション可能なメール通知の主なアクションには、次のものが含まれます。

• ファイルの共有を停止する
• ファイルの削除
• ファイルに秘密度ラベルを適用する
• ファイルに保持ラベルを適用する
• ポリシーをオーバーライドする
• 誤検知を報告する
• 対応できない報告

この変更は、管理者がデフォルトで構成できます。

【準備に必要なこと】

管理者エクスペリエンス: 機能の使用

この機能を使用するには、次の手順を実行します。

1. OneDrive または SharePoint の Purview データ損失防止でポリシーを作成または編集します。

2. ルールを作成し、必要な条件とアクションを選択します。[ユーザー通知] をオンにし、[Office 365 サービスのユーザーにポリシー ヒントまたはメール通知で通知する] を選択します。次に、[通知メールのプレビューと編集] を選択します。

3. ポップアップが開き、通知メールのアクションを構成できます。

手記： マークダウンモードは、アクションを使用してメール本文を設定する場合にのみ使用できます。HTML は、アクションが選択されていない限りサポートされません。

4. 変更を加えたら、[ 保存] を選択します。通知するユーザーを選択します。ルールを保存します。

ユーザーエクスペリエンス

DLP ルールがファイルと一致すると、ルール設定で選択したユーザーにメール通知が送信されます。アクションはメールの最後にあります。

電子メールでアクションを選択すると、ユーザーは次の動作を経験します。

• 共有を停止します。 ファイルに対する共有アクセスとリンクはすべて削除されます。
• 削除: ファイルは削除されます
• 上書き (ユーザーの上書きが有効になっている場合にのみメールに表示されます): 選択した場合、ユーザーは業務上の正当な理由を入力する必要があり、ポリシーが上書きされます。
• 秘密度または保持ラベルを適用する: ファイルが配置されている OneDrive または SharePoint フォルダーまたはサイトが開き、ユーザーはファイルの詳細セクションで秘密度または保持ラベルを適用できます
• 誤検知の報告: ユーザーは正当な理由を入力する必要があり、管理者に通知されます。
• 対処できません: ユーザーは正当な理由を入力する必要があり、管理者に通知されます。

アクションが成功すると、アクションは成功メッセージに置き換えられます。アクションが失敗した場合は、エラーメッセージが表示されます。

管理者エクスペリエンス: 監査

管理者は、Purview コンプライアンス ポータルの統合監査ログと Defender セキュリティ ポータルの Advanced Hunting を使用して、ユーザーが実行したアクションを追跡できます。

統合監査ログで使用するフィルター:

1. SharePoint と OneDrive でのファイル アクティビティ (削除、共有解除、保持ラベルの適用、秘密度ラベルの適用) の場合:

レコードの種類 = SharepointFileOperation

ファイル、フォルダ、またはサイト = “ファイルの URL (ファイルのリンク)”

2. (誤検出の報告、アクションを実行できない、オーバーライド):

アクティビティ – 操作名 = DLPInfo

レコードの種類 = ComplianceDLPSharePoint

詳細: DLP ポリシーのメール通知を送信し、ポリシーのヒントを表示する |マイクロソフト ラーン

このロールアウトは、ロールアウト前に管理者の操作を必要とせずに、指定された日付までに自動的に行われます。現在の構成を確認して、組織への影響を判断します。この変更についてユーザーと管理者に通知し、関連するドキュメントを更新することをお勧めします。