Vytvoření a nasazení zásad ochrany před únikem informací

Zásady Ochrana před únikem informací Microsoft Purview (DLP) mají mnoho možností konfigurace. Každá možnost mění chování zásad. Tento článek obsahuje některé běžné scénáře záměrů pro zásady, které namapujete na možnosti konfigurace. Pak vás provede konfigurací těchto možností. Jakmile se s těmito scénáři seznámíte, budete moct používat uživatelské prostředí pro vytváření zásad ochrany před únikem informací k vytváření vlastních zásad.

Způsob nasazení zásad je stejně důležitý jako návrh zásad. Nasazení zásad můžete řídit několika způsoby. V tomto článku se dozvíte, jak tyto možnosti použít, aby zásady dosáhly vašeho záměru a zároveň se vyhnuly nákladným přerušením podnikání.

Tip

Pokud nejste zákazníkem E5, využijte 90denní zkušební verzi řešení Microsoft Purview a zjistěte, jak můžou další funkce purview pomoci vaší organizaci spravovat požadavky na zabezpečení dat a dodržování předpisů. Začněte hned v centru zkušebních verzí Portál dodržování předpisů Microsoft Purview. Přečtěte si podrobnosti o podmínkách registrace a zkušebních verzích.

Než začnete

Pokud s Microsoft Purview DLP začínáte, tady je seznam základních článků, které byste měli při implementaci ochrany před únikem informací znát:

1. Jednotky pro správu (Preview)
2. Informace o Ochrana před únikem informací Microsoft Purview – tento článek vás seznámí s disciplínou ochrany před únikem informací a implementací ochrany před únikem informací od Microsoftu.
3. Plánování ochrany před únikem informací (DLP) – Při práci s tímto článkem budete:
   1. Identifikace zúčastněných stran
   2. Popis kategorií citlivých informací, které se mají chránit
   3. Nastavení cílů a strategie
4. Referenční informace o zásadách ochrany před únikem informací – Tento článek představuje všechny součásti zásad ochrany před únikem informací a způsob, jakým každá z nich ovlivňuje chování zásad.
5. Návrh zásad ochrany před únikem informací – Tento článek vás provede vytvořením prohlášení o záměru zásady a jeho mapováním na konkrétní konfiguraci zásad.
6. Vytvoření a nasazení zásad ochrany před únikem informací – Tento článek, který právě čtete, představuje některé běžné scénáře záměrů zásad, které namapujete na možnosti konfigurace. Pak vás provede konfigurací těchto možností a poskytne pokyny k nasazení zásad.

Licence na skladovou položku nebo předplatná

Než začnete se zásadami ochrany před únikem informací, měli byste potvrdit své předplatné Microsoft 365 a všechny doplňky.

Úplné podrobnosti o licencování najdete v tématu : Pokyny k licencování Microsoftu 365 pro dodržování předpisů zabezpečení & .

Oprávnění

Účet, který použijete k vytvoření a nasazení zásad, musí být členem jedné z těchto skupin rolí.

• Správce dodržování předpisů
• Správce dat dodržování předpisů
• Information Protection
• Information Protection Správa
• Správce zabezpečení

Důležité

Než začnete, ujistěte se, že rozumíte rozdílu mezi neomezeným správcem a jednotkami pro správu s omezeným přístupem (Preview).

Podrobné role a skupiny rolí

Existují role a skupiny rolí, které můžete použít k vyladění řízení přístupu.

Tady je seznam použitelných rolí. Další informace najdete v tématu Oprávnění v Portál dodržování předpisů Microsoft Purview.

• Správa dodržování předpisů před únikem informací
• Information Protection Správa
• Information Protection Analytik
• Information Protection vyšetřovatel
• Information Protection Reader

Tady je seznam použitelných skupin rolí. Další informace najdete v tématu Další informace o nich najdete v tématu Oprávnění v Portál dodržování předpisů Microsoft Purview.

• Information Protection
• správci Information Protection
• Analytici Information Protection
• Information Protection vyšetřovatelé
• Information Protection Čtenáři

Scénáře vytváření zásad

V předchozím článku Návrh zásad ochrany před únikem informací jste se seznámili s metodologií vytvoření prohlášení o záměru zásady a následného mapování tohoto prohlášení o záměru na možnosti konfigurace zásad. Tato část obsahuje tyto příklady a několik dalších a provede vás procesem samotného vytváření zásad. Tyto scénáře byste měli projít v testovacím prostředí, abyste se seznámili s uživatelským rozhraním pro vytváření zásad.

V toku vytváření zásad je tolik možností konfigurace, že není možné pokrýt všechny nebo dokonce většinu konfigurací. Tento článek se proto věnuje několika nejběžnějším scénářům zásad ochrany před únikem informací. Když si je projdete, získáte praktické zkušenosti s celou řadou konfigurací.

Scénář 1 – Blokování e-mailů s čísly platebních karet

Důležité

Jedná se o hypotetický scénář s hypotetickými hodnotami. Je to jen pro ilustrativní účely. Měli byste nahradit vlastní typy citlivých informací, popisky citlivosti, distribuční skupiny a uživatele.

Předpoklady a předpoklady scénáře 1

Tento scénář používá popisek citlivosti Vysoce důvěrné , takže vyžaduje, abyste vytvořili a publikovali popisky citlivosti. Více k tomu najdete tady:

• Další informace o popiscích citlivosti
• Začínáme s popisky citlivosti
• Vytvoření a konfigurace popisků citlivosti a jejich zásad

Tento postup používá hypotetickou distribuční skupinu Finanční tým v Contoso.com a hypotetického příjemce adele.vance@fabrikam.comSMTP .

Scénář 1 – prohlášení o záměru zásad a mapování

Musíme blokovat e-maily všem příjemcům, kteří obsahují čísla platebních karet nebo mají použitý popisek citlivosti "vysoce důvěrné", s výjimkou případů, kdy e-mail odešle někdo z finančního týmu na adele.vance@fabrikam.comadresu . Chceme informovat správce dodržování předpisů pokaždé, když je e-mail zablokovaný, a upozornit uživatele, který položku odeslal, a nikdo nemůže toto blokování přepsat. Sledujte všechny výskyty této vysoce rizikové události v protokolu.

Prohlášení	Zodpovězená otázka týkající se konfigurace a mapování konfigurace
"Musíme blokovat e-maily všem příjemcům..."	- Kde monitorovat: Obor správy Exchange - : Akce úplného adresáře - : Omezení přístupu nebo šifrování obsahu v umístěních > Microsoft 365 Blokování uživatelů v přijímání e-mailů nebo přístupu ke sdíleným souborům > SharePointu, OneDrivu a Teams Blokovat všechny
"... obsahující čísla platebních karet nebo označení citlivosti "vysoce důvěrné"	- Co monitorovat, použijte vlastní šablonu - Podmínky pro shodu a upravte ji a přidejte popisek citlivosti s vysokou důvěrou.
"... s výjimkou případů, kdy..."	Konfigurace skupiny podmínek – Vytvořte vnořenou logickou skupinu podmínek NOT připojenou k prvním podmínkám pomocí logického operátoru AND.
"... e-mail je odeslán od někoho z finančního týmu..."	Podmínka shody: Odesílatel je členem
"... a..."	Podmínka shody: Přidání druhé druhé podmínky do skupiny NOT
"... na adele.vance@fabrikam.com...	Podmínka shody: Odesílatel je
"... Oznámit..."	Oznámení uživatelů: povoleno
"... správce dodržování předpisů pokaždé, když je zablokovaný e-mail, a upozornit uživatele, který položku odeslal..."	Upozornit uživatele ve službě Office 365 pomocí tipu na zásadu: vybráno - Upozornit tyto osoby: vybraná Osoba, která odeslala, sdílela nebo upravila obsah: vybraná možnost - Odeslat e-mail těmto dalším lidem: Přidejte e-mailovou adresu správce dodržování předpisů.
"... a nikdo nemůže přepsat blok...	Povolit přepsání ze služeb M365: není vybráno
"... Sledovat všechny výskyty této vysoce rizikové události v protokolu."	- Tuto úroveň závažnosti použijte v upozorněních a sestavách správce: Vysoká hodnota - Odeslání upozornění správcům při výskytu shody pravidla: vybráno - Odeslat výstrahu pokaždé, když aktivita odpovídá pravidlu: vybráno

Postup vytvoření zásady pro scénář 1

Důležité

Pro účely tohoto postupu vytváření zásad přijmete výchozí hodnoty zahrnutí a vyloučení a necháte zásadu vypnutou. Tyto změny budete měnit při nasazování zásad.

1. Přihlaste se k Portál dodržování předpisů Microsoft Purview.

2. V levém navigačním > panelu Portál dodržování předpisů Microsoft Purview> řešení >Zásady> ochrany před >únikem informací+ Vytvořit zásadu.

3. V seznamu Kategorie vyberte Vlastní.

4. V seznamu Šablony vyberte Vlastní.

5. Pojmenujte zásadu.

Důležité

Zásady nelze přejmenovat.

5. Vyplňte popis. Tady můžete použít prohlášení o záměru zásad.

6. Vyberte Další.

7. V části jednotky Správa vyberte Úplný adresář.

8. Nastavte stav umístění e-mailu Exchange na Zapnuto. Nastavte stav všech ostatních umístění na Vypnuto.

9. Vyberte Další.

10. Přijměte výchozí hodnoty pro Zahrnout = vše a Vyloučit = žádné.

11. Možnost Vytvořit nebo přizpůsobit rozšířená pravidla ochrany před únikem informací by už měla být vybraná.

12. Vyberte Další.

13. Vyberte Vytvořit pravidlo. Pojmenujte pravidlo a zadejte popis.

14. Vyberte Přidat podmínku>Obsah obsahuje>Přidat> typy >citlivých informacíČíslo platební karty. Zvolte Přidat.

15. Vyberte Přidat podmínku>Popisky> citlivostiVysoce důvěrné. Zvolte Přidat.

16. Vyberte Přidat skupinu>A>NE>Přidat podmínku.

17. Vyberte Odesílatel je členem finančního>týmuPřidat nebo odebrat distribuční skupiny>.

18. Zvolte Přidat podmínku>A>Příjemce je. Přidejte adele.vance@fabrikam.com a vyberte Přidat.

19. Vyberte Přidat a akci>Omezit přístup nebo šifrovat obsah v umístěních> Microsoft 365Omezení přístupu nebo šifrování obsahu v umístěních> Microsoft 365Blokovat uživatelům příjem e-mailů nebo přístup ke sdíleným souborům SharePointu, OneDrivu a Teams.>Blokovat všechny.

20. Nastavte Oznámení uživatelů na Zapnuto.

21. Vyberte Upozornit uživatele v Office 365 službě pomocí tipu> zásadUpozornit tyto osoby>: Osoba, která odeslala, sdílela nebo upravila obsah.

22. Vyberte Odeslat e-mail těmto dalším lidem a přidejte e-mailovou adresu správce dodržování předpisů.

23. Ujistěte se, že není vybraná možnost Povolit přepsání ze služeb M365.

24. Nastavte možnost Použít tuto úroveň závažnosti v upozorněních a sestavách správce na vysokou.

25. Nastavte Možnost Odeslat upozornění správcům, když dojde ke shodě pravidel , na Zapnuto.

26. Vyberte Odeslat upozornění pokaždé, když aktivita odpovídá pravidlu.

27. Zvolte Uložit.

28. Zvolte Next(Další>) Keep it off >Next Submit (Další>odeslání).

Scénář 2: Zobrazení upozornění na zásadu jako automaticky otevírané okno s nadměrným sdílením (Preview)

Nadměrné sdílení automaticky otevíraných oken je funkce E5.

Důležité

Jedná se o hypotetický scénář s hypotetickými hodnotami. Je to jen pro ilustrativní účely. Měli byste nahradit vlastní typy citlivých informací, popisky citlivosti, distribuční skupiny a uživatele.

Důležité

Pokud chcete zjistit minimální verzi Outlooku, která tuto funkci podporuje, použijte tabulku schopností pro Outlook a řádek Zabránění nadměrnému sdílení jako tip zásad ochrany před únikem informací.

Předpoklady a předpoklady scénáře 2

V Outlooku Win 32 se v překryvné nabídce před odesláním zprávy zobrazí automaticky otevírané okno. Před odesláním tipu k zásadám při vytváření pravidla ochrany před únikem informací pro umístění Exchange vyberte Zobrazit pro uživatele jako dialogové okno. Tento scénář používá popisek citlivosti Vysoce důvěrné , takže vyžaduje, abyste vytvořili a publikovali popisky citlivosti. Více k tomu najdete tady:

• Další informace o popiscích citlivosti
• Začínáme s popisky citlivosti
• Vytvoření a konfigurace popisků citlivosti a jejich zásad

Tento postup používá hypotetickou doménu společnosti v Contoso.com.

Scénář 2 – záměr zásad a mapování

Musíme blokovat e-maily všem příjemcům, kteří mají použitý popisek citlivosti "vysoce důvěrné", s výjimkou případů, kdy je doména příjemce contoso.com. Chceme upozornit uživatele při odeslání pomocí automaticky otevíraných oken a nikomu nemůžeme povolit, aby blok přepsal.

Prohlášení	Zodpovězená otázka týkající se konfigurace a mapování konfigurace
"Musíme blokovat e-maily všem příjemcům..."	- Kde monitorovat: Obor správy Exchange - : Akce úplného adresáře - : Omezení přístupu nebo šifrování obsahu v umístěních > Microsoft 365 Blokování uživatelů v přijímání e-mailů nebo přístupu ke sdíleným souborům > SharePointu, OneDrivu a Teams Blokovat všechny
"... které mají označení citlivosti "vysoce důvěrné"..."	- Co monitorovat: Použití vlastní šablony - Podmínky pro shodu: Upravte ji a přidejte popisek citlivosti s vysokou důvěrou .
"... s výjimkou případů, kdy..."	Konfigurace skupiny podmínek – Vytvořte vnořenou logickou skupinu podmínek NOT připojenou k prvním podmínkám pomocí logického operátoru AND.
"... doména příjemce je contoso.com."	Podmínka shody: Doména příjemce je
"... Oznámit..."	Oznámení uživatelů: povoleno
"... uživatel při odeslání s automaticky otevíraným dialogem..."	Tipy pro zásady: Vybraná možnost - Zobrazit tip k zásadám jako dialogové okno pro koncového uživatele před odesláním: vybráno
"... a nikdo nemůže přepsat blok...	Povolit přepsání ze služeb M365: není vybráno

Pokud chcete nakonfigurovat nadměrné sdílení automaticky otevíraných oken s výchozím textem, musí pravidlo ochrany před únikem informací obsahovat tyto podmínky:

• Obsah obsahuje > popisky > citlivosti: Zvolte popisky citlivosti.

a podmínku založenou na příjemci

• Odesláno
• SentToAMemberOf
• RecpientDomainIs

Když jsou tyto podmínky splněné, zobrazí se v tipu na zásadu nedůvěryhodní příjemci, když uživatel píše e-mail v Outlooku před odesláním.

Postup vytvoření zásad pro scénář 2

Důležité

Pro účely tohoto postupu vytváření zásad přijmete výchozí hodnoty zahrnutí a vyloučení a necháte zásadu vypnutou. Tyto změny budete měnit při nasazování zásad.

1. Přihlaste se k Portál dodržování předpisů Microsoft Purview.

2. V levém navigačním > panelu Portál dodržování předpisů Microsoft Purview> řešení >Zásady> ochrany před >únikem informací+ Vytvořit zásadu.

3. V seznamu Kategorie vyberte Vlastní.

4. V seznamu Šablony vyberte Vlastní.

5. Pojmenujte zásadu.

Důležité

Zásady nelze přejmenovat.

5. Vyplňte popis. Tady můžete použít prohlášení o záměru zásad.

6. Vyberte Další.

7. V části jednotky Správa vyberte Úplný adresář.

8. Nastavte stav umístění e-mailu Exchange na Zapnuto. Nastavte stav všech ostatních umístění na Vypnuto.

9. Vyberte Další.

10. Přijměte výchozí hodnoty pro Zahrnout = vše a Vyloučit = žádné.

11. Možnost Vytvořit nebo přizpůsobit rozšířená pravidla ochrany před únikem informací by už měla být vybraná.

12. Vyberte Další.

13. Vyberte Vytvořit pravidlo. Pojmenujte pravidlo a zadejte popis.

14. Vyberte Přidat podmínku>Obsah obsahuje>Přidat>popisky> citlivostiVysoce důvěrné. Zvolte Přidat.

15. Vyberte Přidat skupinu>A>NE>Přidat podmínku.

16. Vyberte Doména příjemce je>contoso.com. Zvolte Přidat.

Tip

Příjemce je a Příjemce je členem je možné použít také v předchozím kroku a aktivuje nadměrné sdílení automaticky otevírané okno.

17. Vyberte Přidat a akci>Omezit přístup nebo šifrovat obsah v umístěních> Microsoft 365Omezení přístupu nebo šifrování obsahu v umístěních> Microsoft 365Blokovat uživatelům příjem e-mailů nebo přístup ke sdíleným souborům SharePointu, OneDrivu a Teams.>Blokovat všechny.

18. Nastavte Oznámení uživatelů na Zapnuto.

19. Vyberte Tipy>pro zásady: Před odesláním zobrazit tip k zásadám jako dialogové okno pro koncového uživatele.

20. Ujistěte se, že není vybraná možnost Povolit přepsání ze služeb M365.

21. Zvolte Uložit.

22. Zvolte Next(Další>) Keep it off >Next Submit (Další>odeslání).

Kroky PowerShellu pro vytvoření zásad pro scénář 2

Zásady a pravidla ochrany před únikem informací je také možné nakonfigurovat v PowerShellu. Pokud chcete nakonfigurovat nadměrné sdílení automaticky otevíraných oken pomocí PowerShellu, nejprve vytvořte zásadu ochrany před únikem informací (pomocí PowerShellu) a přidejte pravidla ochrany před únikem informací pro každý typ upozornění, odůvodnění nebo blokování automaticky otevíraných oken.

Zásady ochrany před únikem informací nakonfigurujete a nastavíte pomocí rutiny New-DlpCompliancePolicy. Pak nakonfigurujete každé pravidlo nadměrného sdílení pomocí rutiny New-DlpComplianceRule.

Pokud chcete nakonfigurovat nové zásady ochrany před únikem informací pro scénář nadměrného sdílení automaticky otevíraných oken, použijte tento fragment kódu:

PS C:\> New-DlpCompliancePolicy -Name <DLP Policy Name> -ExchangeLocation All

Tato ukázková zásada ochrany před únikem informací je vymezená na všechny uživatele ve vaší organizaci. K vymezení rozsahu zásad ochrany před únikem informací použijte -ExchangeSenderMemberOf a -ExchangeSenderMemberOfException.

Parametr	Konfigurace
-ContentContainsSensitiveInformation	Nakonfiguruje jednu nebo více podmínek popisku citlivosti. Tato ukázka obsahuje jednu z nich. Alespoň jeden popisek je povinný.
-ExceptIfRecipientDomainIs	Seznam důvěryhodných domén
-NotifyAllowOverride	"WithJustification" umožňuje přepínači pro zdůvodnění, "WithoutJustification" je zakáže.
-NotifyOverrideRequirements Funkce WithAcknowledgement umožňuje novou možnost potvrzení. Tato položka není povinná.

Pokud chcete nakonfigurovat nové pravidlo ochrany před únikem informací, které vygeneruje automaticky otevírané okno s upozorněním pomocí důvěryhodných domén, spusťte tento kód PowerShellu.

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator="Or";name="Default";labels=@(@{name=<Label GUID>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")

Pokud chcete nakonfigurovat nové pravidlo ochrany před únikem informací, které vygeneruje automaticky otevírané okno bloku pomocí důvěryhodných domén, spusťte tento kód PowerShellu.

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com") -NotifyAllowOverride "WithJustification"

Pokud chcete nakonfigurovat nové pravidlo ochrany před únikem informací, které vygeneruje automaticky otevírané okno bloku pomocí důvěryhodných domén, spusťte tento kód PowerShellu.

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")

Nasazení

Úspěšné nasazení zásad nespočívá jenom v tom, že do svého prostředí vynutíte řízení akcí uživatelů. Náhodné a uspěchané nasazení může negativně ovlivnit obchodní proces a naštvát uživatele. Tyto důsledky zpomalí přijetí technologie ochrany před únikem informací ve vaší organizaci a bezpečnější chování, které podporuje. Díky tomu budou vaše citlivé položky z dlouhodobého hlediska méně bezpečné.

Než začnete s nasazením, ujistěte se, že jste si přečetli téma Nasazení zásad. Poskytuje široký přehled procesu nasazení zásad a obecné pokyny.

V této části se podrobněji seznámíte se třemi typy ovládacích prvků, které budete používat při správě zásad v produkčním prostředí. Mějte na paměti, že můžete libovolnou z těchto možností kdykoli změnit, nejen během vytváření zásad.

Tři osy správy nasazení

Existují tři osy, které můžete použít k řízení procesu nasazení zásad, rozsahu, stavu zásad a akcí. K nasazení zásad byste měli vždy přistupovat přírůstkovým způsobem, počínaje režimem s nejmenším dopadem nebo testováním až po úplné vynucování.

Doporučené konfigurace řízení nasazení

Pokud je stav zásad	Rozsah zásad může být	Dopad akcí zásad
Test	Rozsah zásad umístění může být úzký nebo široký.	- Můžete nakonfigurovat libovolnou akci bez dopadu na uživatele z nakonfigurovaných akcí – Správa uvidí výstrahy a může sledovat aktivity.
Testování pomocí tipů pro zásady	Zásady by měly být vymezeny tak, aby cílily na pilotní skupinu, a při ladění zásad by měly tento rozsah rozšiřovat.	- Můžete nakonfigurovat libovolnou akci – Nakonfigurované akce nemají žádný dopad na uživatele – Uživatelé můžou dostávat tipy a upozornění zásad – Správa vidí upozornění a můžou sledovat aktivity.
Zapněte ho	Všechny instance cílového umístění	– Všechny nakonfigurované akce se vynucují u aktivit uživatelů – Správa vidí výstrahy a může sledovat aktivity.
Držte to dál	N/a	N/a

Stav

Stav je primární ovládací prvek, který použijete k zavedení zásad. Když jste dokončili vytváření zásad, nastavili jste stav zásady na Ponechat vypnuté. Během práce na konfiguraci zásad byste ho měli nechat v tomto stavu, dokud nedostanete konečnou kontrolu a neodhlásíte se. Stav je možné nastavit na:

• Nejdřív to otestujte: Nevynucují se žádné akce zásad, události se auditují. V tomto stavu můžete monitorovat dopad zásad v konzole upozornění na únik informací a v konzole Průzkumníka aktivit ochrany před únikem informací.
• Nejprve ho otestujte a v testovacím režimu zobrazte tipy k zásadám: Nevynucují se žádné akce, ale uživatelé dostanou tipy k zásadám a e-maily s oznámeními, které jim pomůžou zvýšit povědomí a informovat je.
• Hned ho zapněte: Toto je režim úplného vynucování.
• Nechejte to vypnuto: Zásada je neaktivní. Tento stav použijte při vývoji a kontrole zásad před nasazením.

Stav zásad můžete kdykoli změnit.

Akce

Akce jsou akce, které zásady dělají v reakci na aktivity uživatelů na citlivých položkách. Vzhledem k tomu, že je můžete kdykoli změnit, můžete začít s nejnižším dopadem, povolit (pro zařízení) a pouze audit (pro všechna ostatní umístění), shromáždit a zkontrolovat data auditu a použít je k vyladění zásad před přechodem na přísnější akce.

• Povolit: Aktivita uživatele je povolená, takže nejsou ovlivněny žádné obchodní procesy. Získáte data auditu a nebudou k dispozici žádná oznámení ani upozornění uživatelů.

Poznámka

Akce Povolit je dostupná jenom pro zásady, které jsou vymezeny na umístění zařízení .

• Pouze audit: Aktivita uživatele může probíhat, takže to neovlivní žádné obchodní procesy. Získáte data auditu a můžete přidat oznámení a upozornění, abyste zvýšili povědomí a vytrénovali uživatele, aby věděli, že to, co dělají, je rizikové chování. Pokud vaše organizace bude chtít později vynutit přísnější akce, můžete to říct i uživatelům.
• Blokovat s přepsáním: Aktivita uživatele je ve výchozím nastavení blokovaná. Událost můžete auditovat, posílat upozornění a oznámení. To má vliv na obchodní proces, ale vaši uživatelé mají možnost přepsat blok a uvést důvod přepsání. Vzhledem k tomu, že dostáváte přímou zpětnou vazbu od uživatelů, může vám tato akce pomoct identifikovat falešně pozitivní shody, které můžete použít k dalšímu ladění zásad.

Poznámka

Pro Exchange Online a SharePoint Online jsou přepsání nakonfigurovaná v části oznámení uživatele.

• Blokovat: Aktivita uživatele se zablokuje bez ohledu na to, co se děje. Událost můžete auditovat, posílat upozornění a oznámení.

Rozsah zásad

Každá zásada je vymezená na jedno nebo více umístění, jako je Exchange, SharePoint Online, Teams a Zařízení. Když ve výchozím nastavení vyberete umístění, všechny instance tohoto umístění spadají do oboru a žádná z nich se nevyloučí. Konfigurace možností zahrnutí/vyloučení pro umístění můžete dále upřesnit, na které instance umístění (například weby, skupiny, účty, distribuční skupiny, poštovní schránky a zařízení), na které se zásada použije. Další informace o možnostech zahrnutí/vyloučení rozsahu najdete v tématu Umístění.

Obecně platí, že máte větší flexibilitu při nastavování rozsahu, když je zásada ve stavu Test it out first , protože se neprovedou žádné akce. Můžete začít jenom s rozsahem, pro který jste zásady navrhli, nebo se můžete podívat, jak zásady ovlivní citlivé položky v jiných umístěních.

Když pak změníte stav tak, abyste ho nejdřív otestovali a zobrazili tipy k zásadám, měli byste zúžit rozsah na pilotní skupinu, která vám může poskytnout zpětnou vazbu a být prvním uživatelem, který může být prostředkem pro ostatní, když se připojí.

Když zásadu přesunete na Zapnout hned, rozšíříte rozsah tak, aby zahrnoval všechny instance umístění, které jste chtěli při návrhu zásady použít.

Kroky nasazení zásad

1. Jakmile vytvoříte zásadu a nastavíte její stav na Keep it off ,proveďte její konečnou kontrolu se zúčastněnými stranami.
2. Změňte stav na Nejdřív to otestujte. Rozsah umístění může být v tomto okamžiku široký, takže můžete shromáždit data o chování zásad ve více umístěních nebo začít s jedním umístěním.
3. Vylaďte zásady na základě dat o chování tak, aby lépe odpovídaly obchodnímu záměru.
4. Změňte stav na Test to first out a show policy tips. V případě potřeby upřesněte rozsah umístění tak, aby podporovala pilotní skupinu, a využijte zahrnutí a vyloučení tak, aby se zásady nejprve nasadily do této pilotní skupiny.
5. Shromážděte zpětnou vazbu uživatelů a data o výstrahách a událostech, v případě potřeby vylaďte zásady a další plány. Ujistěte se, že jste vyřešili všechny problémy, které vaši uživatelé vyvoďte. Vaši uživatelé se s největší pravděpodobností setkají s problémy a zpochybní věci, na které jste ve fázi návrhu nemysleli. V tuto chvíli vytvořte skupinu superuživatelů. Můžou být prostředkem, který pomůže vytrénovat ostatní uživatele, protože se zvětší rozsah zásad a přidají se do nich další uživatelé. Než přejdete do další fáze nasazení, ujistěte se, že zásady dosahují vašich kontrolních cílů.
6. Změňte stav na Zapnout hned. Zásada je plně nasazená. Monitorování upozornění ochrany před únikem informací a Průzkumníka aktivit ochrany před únikem informací Vyřešte upozornění.

Viz také

• Informace o místním skeneru ochrany před únikem informací
• Použití místního skeneru ochrany před únikem informací
• Informace o ochraně před únikem informací
• Začínáme s Průzkumníkem aktivit
• Předplatné Microsoftu 365