Tworzenie i wdrażanie zasad ochrony przed utratą danych

W zasadach Ochrona przed utratą danych w Microsoft Purview (DLP) istnieje wiele opcji konfiguracji. Każda opcja zmienia zachowanie zasad. W tym artykule przedstawiono niektóre typowe scenariusze intencji dla zasad, które zostaną zamapowane na opcje konfiguracji. Następnie przeprowadzi Cię przez proces konfigurowania tych opcji. Po zapoznaniu się z tymi scenariuszami będziesz dobrze korzystać z środowiska użytkownika tworzenia zasad DLP w celu tworzenia własnych zasad.

Sposób wdrażania zasad jest równie ważnym projektem zasad. Istnieje wiele opcji kontrolowania wdrażania zasad. W tym artykule pokazano, jak korzystać z tych opcji, aby zasady osiągają twoje intencje, unikając kosztownych zakłóceń biznesowych.

Porada

Jeśli nie jesteś klientem E5, skorzystaj z 90-dniowej wersji próbnej rozwiązań Microsoft Purview, aby dowiedzieć się, w jaki sposób dodatkowe możliwości usługi Purview mogą pomóc organizacji w zarządzaniu potrzebami w zakresie zabezpieczeń danych i zgodności. Rozpocznij teraz w centrum portal zgodności Microsoft Purview Trials Hub. Dowiedz się więcej o warunkach rejestracji i wersji próbnej.

Przed rozpoczęciem

Jeśli dopiero zaczynasz korzystać z programu Microsoft Purview DLP, oto lista podstawowych artykułów, które należy znać podczas implementowania DLP:

1. Jednostki administracyjne (wersja zapoznawcza)
2. Dowiedz się więcej o Ochrona przed utratą danych w Microsoft Purview — w artykule przedstawiono dziedzinę zapobiegania utracie danych i implementację DLP firmy Microsoft.
3. Planowanie zapobiegania utracie danych — korzystając z tego artykułu, wykonasz następujące czynności:
   1. Identyfikowanie uczestników projektu
   2. Opis kategorii informacji poufnych w celu ochrony
   3. Ustawianie celów i strategii
4. Dokumentacja zasad ochrony przed utratą danych — w tym artykule przedstawiono wszystkie składniki zasad DLP i sposób, w jaki każdy z nich wpływa na zachowanie zasad.
5. Projektowanie zasad DLP — w tym artykule przedstawiono tworzenie instrukcji intencji zasad i mapowanie jej na określoną konfigurację zasad.
6. Tworzenie i wdrażanie zasad ochrony przed utratą danych — w tym artykule, który teraz czytasz, przedstawiono niektóre typowe scenariusze intencji zasad, które będą mapowane na opcje konfiguracji. Następnie przeprowadzi Cię przez proces konfigurowania tych opcji i zawiera wskazówki dotyczące wdrażania zasad.

Licencjonowanie jednostek SKU/subskrypcji

Przed rozpoczęciem pracy z zasadami DLP należy potwierdzić subskrypcję platformy Microsoft 365 i wszelkie dodatki.

Aby uzyskać szczegółowe informacje o licencjonowaniu, zobacz: Wskazówki dotyczące licencjonowania platformy Microsoft 365 dotyczące zgodności z zabezpieczeniami &

Uprawnienia

Konto używane do tworzenia i wdrażania zasad musi być członkiem jednej z tych grup ról

• Administrator zgodności
• Administrator danych zgodności
• Information Protection
• Information Protection Administracja
• Administrator zabezpieczeń

Ważna

Przed rozpoczęciem upewnij się, że rozumiesz różnicę między administratorem bez ograniczeń a jednostką administracyjną administratora z ograniczeniami (wersja zapoznawcza ).

Szczegółowe role i grupy ról

Istnieją role i grupy ról, których można użyć do dostosowywania kontroli dostępu.

Oto lista odpowiednich ról. Aby dowiedzieć się więcej, zobacz Uprawnienia w portal zgodności Microsoft Purview.

• Zarządzanie zgodnością DLP
• Information Protection Administracja
• analityk Information Protection
• badacz Information Protection
• czytelnik Information Protection

Oto lista odpowiednich grup ról. Aby dowiedzieć się więcej, zobacz Aby dowiedzieć się więcej o nich, zobacz Uprawnienia w portal zgodności Microsoft Purview.

• Information Protection
• administratorzy Information Protection
• analitycy Information Protection
• Information Protection śledczy
• czytniki Information Protection

Scenariusze tworzenia zasad

W poprzednim artykule Projektowanie zasad DLP przedstawiono metodologię tworzenia instrukcji intencji zasad, a następnie mapowania tej instrukcji intencji na opcje konfiguracji zasad. W tej sekcji przedstawiono przykłady, a także kilka kolejnych i przedstawiono rzeczywisty proces tworzenia zasad. Te scenariusze należy wykonać w środowisku testowym, aby zapoznać się z interfejsem użytkownika tworzenia zasad.

W przepływie tworzenia zasad istnieje tak wiele opcji konfiguracji, że nie można uwzględnić każdej lub nawet większości konfiguracji. W tym artykule opisano kilka najpopularniejszych scenariuszy zasad DLP. Dzięki tym procesom będziesz mieć praktyczne doświadczenie w wielu różnych konfiguracjach.

Scenariusz 1 Blokowanie wiadomości e-mail z numerami kart kredytowych

Ważna

Jest to hipotetyczny scenariusz z hipotetycznymi wartościami. Jest on przeznaczony tylko do celów ilustracyjnych. Należy zastąpić własne typy informacji poufnych, etykiety poufności, grupy dystrybucyjne i użytkowników.

Wymagania wstępne i założenia dotyczące scenariusza 1

W tym scenariuszu jest używana etykieta Wysoce poufne poufności, więc wymaga utworzenia i opublikowania etykiet poufności. Aby dowiedzieć się więcej, zobacz:

• Dowiedz się więcej o etykietach poufności
• Wprowadzenie do etykiet poufności
• Tworzenie i konfigurowanie etykiet poufności i ich zasad

W tej procedurze jest używany hipotetyczny zespół ds. finansów grupy dystrybucyjnej w Contoso.com i hipotetyczny adresat adele.vance@fabrikam.comSMTP.

Instrukcja i mapowanie intencji zasad scenariusza 1

Musimy zablokować wiadomości e-mail do wszystkich adresatów, które zawierają numery kart kredytowych lub które mają zastosowaną etykietę poufności "wysoce poufne", z wyjątkiem sytuacji, gdy wiadomość e-mail jest wysyłana od kogoś z zespołu finansowego do adele.vance@fabrikam.comusługi . Chcemy powiadomić administratora zgodności za każdym razem, gdy wiadomość e-mail zostanie zablokowana, i powiadomić użytkownika, który wysłał element, i nikt nie może zastąpić bloku. Śledź wszystkie wystąpienia tego zdarzenia wysokiego ryzyka w dzienniku.

Instrukcja	Udzielono odpowiedzi na pytanie dotyczące konfiguracji i mapowanie konfiguracji
"Musimy zablokować wiadomości e-mail do wszystkich adresatów..."	- Gdzie monitorować: Zakres administracyjny programu Exchange - : Pełna akcja katalogu - : Ograniczanie dostępu lub szyfrowanie zawartości w lokalizacjach > platformy Microsoft 365 Uniemożliwia użytkownikom odbieranie wiadomości e-mail lub uzyskiwanie dostępu do udostępnionych plików > programu SharePoint, OneDrive i Teams Blokuj wszystkich
"... które zawierają numery kart kredytowych lub mają zastosowaną etykietę poufności "wysoce poufne".	- Co monitorować, użyj niestandardowych warunków szablonu - dla dopasowania, aby go edytować, aby dodać etykietę poufności o wysokim poziomie poufności
"... chyba że..."	Konfiguracja grupy warunków — utwórz zagnieżdżoną grupę warunków NOT przyłączoną do pierwszych warunków przy użyciu wartości logicznej AND
"... wiadomość e-mail jest wysyłana od kogoś z zespołu finansowego..."	Warunek dopasowania: nadawca jest członkiem
"... i..."	Warunek dopasowania: dodaj drugi warunek do grupy NOT
"... do adele.vance@fabrikam.com..."	Warunek dopasowania: Nadawca jest
"... Powiadom..."	Powiadomienia użytkowników: włączone
"... administratora zgodności za każdym razem, gdy wiadomość e-mail jest zablokowana i powiadamia użytkownika, który wysłał element..."	Powiadom użytkowników w usłudze Office 365 z wybraną poradą dotyczącą zasad: - Powiadom następujące osoby: wybrano osobę, która wysłała, udostępniła lub zmodyfikowała zawartość: wybrano pozycję - Wyślij wiadomość e-mail do tych dodatkowych osób: dodaj adres e-mail administratora zgodności
"... i nikt nie może przesłonąć bloku...	Zezwalaj na przesłonięcia z usług M365: nie zaznaczono
"... Śledź wszystkie wystąpienia tego zdarzenia wysokiego ryzyka w dzienniku".	- Użyj tego poziomu ważności w alertach i raportach administratora: wysoki poziom - Wyślij alert do administratorów, gdy wystąpi dopasowanie reguły: wybierz pozycję - Wyślij alert za każdym razem, gdy działanie jest zgodne z regułą: wybrano

Kroki tworzenia zasad dla scenariusza 1

Ważna

Na potrzeby tej procedury tworzenia zasad zaakceptujesz domyślne wartości dołączania/wykluczania i pozostawisz zasady wyłączone. Te zmiany będą zmieniane podczas wdrażania zasad.

1. Zaloguj się do portal zgodności Microsoft Purview.

2. W portal zgodności Microsoft Purview > lewym pasmie nawigacyjnym> RozwiązaniaZasady>zapobiegania> utracie > danych+ Tworzenie zasad.

3. Wybierz pozycję Niestandardowe z listy Kategorie .

4. Wybierz pozycję Niestandardowe z listy Szablony .

5. Nadaj zasadom nazwę.

Ważna

Nie można zmienić nazw zasad.

5. Wypełnij opis. Instrukcję intencji zasad można użyć tutaj.

6. Wybierz pozycję Dalej.

7. Wybierz pozycję Pełny katalog w obszarze Administracja jednostek.

8. Ustaw stan lokalizacji poczty e-mail programu Exchangena wartość Włączone. Ustaw dla wszystkich pozostałych stan lokalizacji wartość Wyłączone.

9. Wybierz pozycję Dalej.

10. Zaakceptuj wartości domyślne dla opcji Uwzględnij = wszystkie i Wyklucz = brak.

11. Należy już wybrać opcję Utwórz lub dostosuj zaawansowane reguły DLP .

12. Wybierz pozycję Dalej.

13. Wybierz pozycję Utwórz regułę. Nadaj regule nazwę i podaj opis.

14. Wybierz pozycję Dodaj warunek>Zawartość zawiera>opcję Dodaj>typy informacji poufnych>Numer karty kredytowej. Wybierz pozycję Add (Dodaj).

15. Wybierz pozycję Dodajetykiety poufności warunku>>Wysoce poufne. Wybierz pozycję Add (Dodaj).

16. Wybierz pozycję Dodaj grupę>, A>NIE>Dodaj warunek.

17. Wybierz pozycję Nadawca jest członkiem zespołu finansowego>Dodaj lub Usuń grupy dystrybucyjne>.

18. Wybierz pozycję Dodaj warunek>I>adresat jest. Dodaj adele.vance@fabrikam.com i wybierz pozycję Dodaj.

19. Wybierz pozycję Dodaj i akcję>Ogranicz dostęp lub zaszyfruj zawartość w lokalizacjach> platformy Microsoft 365Ogranicz dostęp lub zaszyfruj zawartość w lokalizacjach> platformy Microsoft 365Uniemożliwia użytkownikom odbieranie wiadomości e-mail lub uzyskiwanie dostępu do udostępnionego pliku programu SharePoint, OneDrive i Teams.>Blokuj wszystkich.

20. Ustaw opcję Powiadomienia użytkownikana wartość Włączone.

21. Wybierz pozycję Powiadom użytkowników w usłudze Office 365 z poradą> dotyczącą zasadPowiadom te osoby>Osoba, która wysłała, udostępniła lub zmodyfikowała zawartość.

22. Wybierz pozycję Wyślij wiadomość e-mail do tych dodatkowych osób i dodaj adres e-mail administratora zgodności.

23. Upewnij się, że niewybrano opcji Zezwalaj na zastępowanie z usług M365.

24. Ustaw opcję Użyj tego poziomu ważności w alertach administratora i raportach na wysoki.

25. Ustaw pozycję Wyślij alert do administratorów, gdy wystąpi dopasowanie reguły do pozycjiWłączone.

26. Wybierz pozycję Wyślij alert za każdym razem, gdy działanie będzie zgodne z regułą.

27. Wybierz pozycję Zapisz.

28. Wybierz pozycję Dalej>, nie zamykaj>następnego>przesyłania.

Scenariusz 2 Pokaż poradę dotyczącą zasad jako wyskakujące okienko nadmiernego udostępniania (wersja zapoznawcza)

Wyskakujące okienko nadmiernego udostępniania jest funkcją E5.

Ważna

Jest to hipotetyczny scenariusz z hipotetycznymi wartościami. Jest on przeznaczony tylko do celów ilustracyjnych. Należy zastąpić własne typy informacji poufnych, etykiety poufności, grupy dystrybucyjne i użytkowników.

Ważna

Aby zidentyfikować minimalną wersję programu Outlook obsługującą tę funkcję, użyj tabeli możliwości programu Outlook i wiersza Zapobieganie nadmiernemu udostępnianiu jako porada dotycząca zasad DLP.

Wymagania wstępne i założenia dotyczące scenariusza 2

W programie Outlook Win 32 wyskakujące okienko nadmiernego udostępniania wyświetla wyskakujące okienko przed wysłaniem komunikatu. Wybierz pozycję Pokaż poradę zasad jako okno dialogowe dla użytkownika przed wysłaniem porady dotyczącej zasad podczas tworzenia reguły DLP dla lokalizacji programu Exchange. W tym scenariuszu jest używana etykieta Wysoce poufne poufności, więc wymaga utworzenia i opublikowania etykiet poufności. Aby dowiedzieć się więcej, zobacz:

• Dowiedz się więcej o etykietach poufności
• Wprowadzenie do etykiet poufności
• Tworzenie i konfigurowanie etykiet poufności i ich zasad

W tej procedurze jest używana hipotetyczna domena firmy w Contoso.com.

Intencja i mapowanie zasad scenariusza 2

Musimy zablokować wiadomości e-mail do wszystkich adresatów, którzy mają zastosowaną etykietę poufności "wysoce poufne", chyba że domena adresata jest contoso.com. Chcemy powiadomić użytkownika o wysłaniu przy użyciu okna dialogowego wyskakujących wiadomości i nikt nie może zastąpić bloku.

Instrukcja	Udzielono odpowiedzi na pytanie dotyczące konfiguracji i mapowanie konfiguracji
"Musimy zablokować wiadomości e-mail do wszystkich adresatów..."	- Gdzie monitorować: Zakres administracyjny programu Exchange - : Pełna akcja katalogu - : Ograniczanie dostępu lub szyfrowanie zawartości w lokalizacjach > platformy Microsoft 365 Uniemożliwia użytkownikom odbieranie wiadomości e-mail lub uzyskiwanie dostępu do udostępnionych plików > programu SharePoint, OneDrive i Teams Blokuj wszystkich
"... które mają zastosowaną etykietę poufności "wysoce poufne".	- Co monitorować: użyj szablonu - niestandardowego Warunki dopasowania: edytuj go, aby dodać etykietę poufności o wysokim poziomie poufności
"... chyba że..."	Konfiguracja grupy warunków — utwórz zagnieżdżoną grupę warunków NOT przyłączoną do pierwszych warunków przy użyciu wartości logicznej AND
"... domena adresata jest contoso.com".	Warunek dopasowania: Domena adresata to
"... Powiadom..."	Powiadomienia użytkowników: włączone
"... wysyłany przez użytkownika z dialogiem wyskakującym..."	Porady dotyczące zasad: wybierz pozycję - Pokaż poradę dotyczącą zasad jako okno dialogowe dla użytkownika końcowego przed wysłaniem: wybrane
"... i nikt nie może przesłonąć bloku...	Zezwalaj na przesłonięcia z usług M365: nie zaznaczono

Aby skonfigurować wyskakujące okienka nadmiernego udostępniania z tekstem domyślnym, reguła DLP musi zawierać następujące warunki:

• Zawartość zawiera > etykiety > poufności, aby wybrać etykiety poufności

i warunek oparty na adresacie

• SentTo
• SentToAMemberOf
• RecpientDomainIs

Po spełnieniu tych warunków porada dotycząca zasad wyświetla niezaufanych adresatów, gdy użytkownik zapisuje wiadomość e-mail w programie Outlook przed jej wysłaniem.

Kroki tworzenia zasad dla scenariusza 2

Ważna

Na potrzeby tej procedury tworzenia zasad zaakceptujesz domyślne wartości dołączania/wykluczania i pozostawisz zasady wyłączone. Te zmiany będą zmieniane podczas wdrażania zasad.

1. Zaloguj się do portal zgodności Microsoft Purview.

2. W portal zgodności Microsoft Purview > lewym pasmie nawigacyjnym> RozwiązaniaZasady>zapobiegania> utracie > danych+ Tworzenie zasad.

3. Wybierz pozycję Niestandardowe z listy Kategorie .

4. Wybierz pozycję Niestandardowe z listy Szablony .

5. Nadaj zasadom nazwę.

Ważna

Nie można zmienić nazw zasad.

5. Wypełnij opis. Instrukcję intencji zasad można użyć tutaj.

6. Wybierz pozycję Dalej.

7. Wybierz pozycję Pełny katalog w obszarze Administracja jednostek.

8. Ustaw stan lokalizacji poczty e-mail programu Exchangena wartość Włączone. Ustaw dla wszystkich pozostałych stan lokalizacji wartość Wyłączone.

9. Wybierz pozycję Dalej.

10. Zaakceptuj wartości domyślne dla opcji Uwzględnij = wszystkie i Wyklucz = brak.

11. Należy już wybrać opcję Utwórz lub dostosuj zaawansowane reguły DLP .

12. Wybierz pozycję Dalej.

13. Wybierz pozycję Utwórz regułę. Nadaj regule nazwę i podaj opis.

14. Wybierz pozycję Dodaj warunek>Zawartość zawiera> opcjęDodaj>etykiety> poufnościWysoce poufne. Wybierz pozycję Add (Dodaj).

15. Wybierz pozycję Dodaj grupę>, A>NIE>Dodaj warunek.

16. Wybierz pozycję Domena adresata jest>contoso.com. Wybierz pozycję Add (Dodaj).

Porada

Adresat jest , a adresat jest członkiem może być również używany w poprzednim kroku i wyzwoli wyskakujące okienko nadmiernego udostępniania.

17. Wybierz pozycję Dodaj i akcję>Ogranicz dostęp lub zaszyfruj zawartość w lokalizacjach> platformy Microsoft 365Ogranicz dostęp lub zaszyfruj zawartość w lokalizacjach> platformy Microsoft 365Uniemożliwia użytkownikom odbieranie wiadomości e-mail lub uzyskiwanie dostępu do udostępnionego pliku programu SharePoint, OneDrive i Teams.>Blokuj wszystkich.

18. Ustaw opcję Powiadomienia użytkownikana wartość Włączone.

19. Wybierz pozycję Porady dotyczące>zasad Pokaż poradę dotyczącą zasad jako okno dialogowe dla użytkownika końcowego przed wysłaniem.

20. Upewnij się, że niewybrano opcji Zezwalaj na zastępowanie z usług M365.

21. Wybierz pozycję Zapisz.

22. Wybierz pozycję Dalej>, nie zamykaj>następnego>przesyłania.

Kroki programu PowerShell dotyczące tworzenia zasad dla scenariusza 2

Zasady i reguły DLP można również skonfigurować w programie PowerShell. Aby skonfigurować wyskakujące okienka nadmiernego udostępniania przy użyciu programu PowerShell, najpierw należy utworzyć zasady DLP (przy użyciu programu PowerShell) i dodać reguły DLP dla każdego typu wyskakujących ostrzeżeń, usprawiedliwienia lub bloku.

Zasady DLP skonfigurujesz i okrążysz je przy użyciu polecenia New-DlpCompliancePolicy. Następnie skonfigurujesz każdą regułę nadmiernego udostępniania przy użyciu polecenia New-DlpComplianceRule

Aby skonfigurować nowe zasady DLP dla scenariusza nadmiernego udostępniania wyskakujących okienka, użyj tego fragmentu kodu:

PS C:\> New-DlpCompliancePolicy -Name <DLP Policy Name> -ExchangeLocation All

Te przykładowe zasady DLP są ograniczone do wszystkich użytkowników w organizacji. Określanie zakresu zasad DLP przy użyciu -ExchangeSenderMemberOf elementów i -ExchangeSenderMemberOfException.

Parametr	Konfiguracja
-ContentContainsSensitiveInformation	Konfiguruje co najmniej jeden warunk etykiety poufności. Ten przykład zawiera jeden z nich. Co najmniej jedna etykieta jest obowiązkowa.
-ExceptIfRecipientDomainIs	Lista zaufanych domen.
-NotifyAllowOverride	Opcja "WithJustification" włącza przyciski radiowe uzasadniania, a pozycja "Bezzasadności" wyłącza je.
-NotifyOverrideRequirements Opcja "WithAcknowledgement" włącza nową opcję potwierdzenia. Jest to opcjonalne.

Aby skonfigurować nową regułę DLP do generowania wyskakującym okienku ostrzeżenia przy użyciu zaufanych domen, uruchom ten kod programu PowerShell.

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator="Or";name="Default";labels=@(@{name=<Label GUID>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")

Aby skonfigurować nową regułę DLP w celu wygenerowania wyskakujące okienko uzasadniające przy użyciu zaufanych domen, uruchom ten kod programu PowerShell.

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com") -NotifyAllowOverride "WithJustification"

Aby skonfigurować nową regułę DLP w celu wygenerowania wyskakujących wyskakujących bloków przy użyciu zaufanych domen, uruchom ten kod programu PowerShell.

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")

Wdrożenie

Pomyślne wdrożenie zasad to nie tylko wprowadzenie zasad do środowiska w celu wymuszenia kontroli nad akcjami użytkowników. Przypadkowe, przyspieszone wdrożenie może negatywnie wpłynąć na proces biznesowy i drażnić użytkowników. Te konsekwencje spowalniają akceptację technologii DLP w organizacji i bezpieczniejsze zachowania, które promuje. Ostatecznie sprawia, że poufne elementy są mniej bezpieczne w dłuższej perspektywie.

Przed rozpoczęciem wdrażania upewnij się, że znasz wdrożenie zasad. Zawiera on ogólne omówienie procesu wdrażania zasad i ogólne wskazówki.

W tej sekcji szczegółowo opisano trzy typy kontrolek, których będziesz używać w porozumieniu do zarządzania zasadami w środowisku produkcyjnym. Pamiętaj, że możesz zmienić dowolną z tych wartości w dowolnym momencie, a nie tylko podczas tworzenia zasad.

Trzy osie zarządzania wdrożeniami

Istnieją trzy osie, których można użyć do kontrolowania procesu wdrażania zasad, zakresu, stanu zasad i akcji. Należy zawsze stosować przyrostowe podejście do wdrażania zasad, począwszy od trybu najmniej wpływowego/testowego do pełnego wymuszania.

Zalecane konfiguracje kontroli wdrażania

Gdy stan zasad jest	Zakres zasad może być	Wpływ akcji zasad
Test	Zakres zasad lokalizacji może być wąski lub szeroki	— Można skonfigurować dowolną akcję — brak wpływu skonfigurowanych akcji na użytkownika — Administracja widzi alerty i może śledzić działania
Testowanie za pomocą wskazówek dotyczących zasad	Zasady powinny być ograniczone do grupy pilotażowej, a następnie rozszerzać zakres podczas dostosowywania zasad	— Można skonfigurować dowolną akcję — brak wpływu skonfigurowanych akcji na użytkownika — użytkownicy mogą otrzymywać porady i alerty dotyczące zasad — Administracja widzi alerty i może śledzić działania
Włączanie	Wszystkie wystąpienia lokalizacji docelowej	— Wszystkie skonfigurowane akcje są wymuszane w działaniach użytkowników — Administracja widzi alerty i może śledzić działania
Nie zamykaj go	nie dotyczy	nie dotyczy

Stan

Stan to podstawowa kontrolka, która służy do wdrażania zasad. Po zakończeniu tworzenia zasad należy ustawić stan zasad na Wartość Nie wyłączaj. Należy pozostawić go w tym stanie podczas pracy nad konfiguracją zasad i dopóki nie otrzymasz ostatecznej recenzji i wyloguj się. Stan można ustawić na:

• Najpierw przetestuj: żadne akcje zasad nie są wymuszane, zdarzenia są poddawane inspekcji. W tym stanie można monitorować wpływ zasad w konsoli alertów DLP i konsoli Eksploratora działań DLP.
• Najpierw przetestuj je i pokaż wskazówki dotyczące zasad w trybie testowym: żadne akcje nie są wymuszane, ale użytkownicy otrzymają wskazówki dotyczące zasad i wiadomości e-mail z powiadomieniami, aby zwiększyć ich świadomość i edukować.
• Włącz ją od razu: jest to tryb pełnego wymuszania.
• Nie zamykaj: zasady są nieaktywne. Użyj tego stanu podczas opracowywania i przeglądania zasad przed wdrożeniem.

Stan zasad można zmienić w dowolnym momencie.

Działania

Akcje są działaniami wykonywanymi przez zasady w odpowiedzi na działania użytkowników dotyczące elementów poufnych. Ponieważ można je zmienić w dowolnym momencie, możesz zacząć od najmniej mających wpływ opcji Zezwalaj (dla urządzeń) i Tylko inspekcja (dla wszystkich innych lokalizacji), zbierać i przeglądać dane inspekcji i używać ich do dostosowywania zasad przed przejściem do bardziej restrykcyjnych akcji.

• Zezwalaj: działanie użytkownika może występować, więc nie ma to wpływu na żadne procesy biznesowe. Uzyskasz dane inspekcji i nie będzie żadnych powiadomień ani alertów użytkownika.

Uwaga

Akcja Zezwalaj jest dostępna tylko dla zasad, które są ograniczone do lokalizacji Urządzenia .

• Tylko inspekcja: działanie użytkownika może wystąpić, więc nie ma to wpływu na procesy biznesowe. Uzyskasz dane inspekcji i będziesz mógł dodawać powiadomienia i alerty, aby zwiększyć świadomość i wytrenować użytkowników, aby wiedzieli, że to, co robią, jest ryzykownym zachowaniem. Jeśli organizacja zamierza później wymusić bardziej restrykcyjne akcje, możesz o tym poinformować użytkowników.
• Blokuj z przesłonięciami: działanie użytkownika jest domyślnie blokowane. Można przeprowadzać inspekcję zdarzenia, zgłaszać alerty i powiadomienia. Ma to wpływ na proces biznesowy, ale użytkownicy mają możliwość zastąpienia bloku i podania przyczyny zastąpienia. Ponieważ otrzymujesz bezpośrednią opinię od użytkowników, ta akcja może pomóc w zidentyfikowaniu wyników fałszywie dodatnich, których można użyć do dalszego dostrajania zasad.

Uwaga

W przypadku usług Exchange Online i SharePoint Online przesłonięcia są konfigurowane w sekcji powiadomień użytkownika.

• Blokuj: działanie użytkownika jest blokowane bez względu na wszystko. Można przeprowadzać inspekcję zdarzenia, zgłaszać alerty i powiadomienia.

Zakres zasad

Wszystkie zasady są ograniczone do co najmniej jednej lokalizacji, takiej jak Exchange, SharePoint Online, Teams i Urządzenia. Domyślnie po wybraniu lokalizacji wszystkie wystąpienia tej lokalizacji należą do zakresu i żadne z nich nie są wykluczone. Możesz dodatkowo uściślić wystąpienia lokalizacji (takie jak lokacje, grupy, konta, grupy dystrybucyjne, skrzynki pocztowe i urządzenia), do których są stosowane zasady, konfigurując opcje dołączania/wykluczania lokalizacji. Aby dowiedzieć się więcej na temat opcji określania zakresu dołączania/wykluczania, zobacz Lokalizacje.

Ogólnie rzecz biorąc, masz większą elastyczność określania zakresu, gdy zasady są w stanie Testowanie go jako pierwszego , ponieważ nie są podejmowane żadne akcje. Możesz zacząć od zakresu, dla który zostały zaprojektowane zasady, lub przejść szeroko, aby zobaczyć, jak zasady wpłyną na elementy poufne w innych lokalizacjach.

Następnie po zmianie stanu na Najpierw przetestuj go i pokaż wskazówki dotyczące zasad, należy zawęzić zakres do grupy pilotażowej, która może przekazać Ci opinię i być wczesnymi użytkownikami, którzy mogą być zasobem dla innych, gdy wejdą do programu.

Gdy od razu przeniesiesz zasady, aby je włączyć, rozszerzysz zakres o wszystkie wystąpienia lokalizacji, które były zamierzone podczas projektowania zasad.

Kroki wdrażania zasad

1. Po utworzeniu zasad i ustawieniu jego stanu na Wartość Nie wyłączaj, przejrzyj je wraz z uczestnikami projektu.
2. Zmień stan na Najpierw przetestuj go. Zakres lokalizacji może być w tym momencie szeroki, dzięki czemu można zbierać dane dotyczące zachowania zasad w wielu lokalizacjach lub po prostu zacząć od jednej lokalizacji.
3. Dostosuj zasady na podstawie danych dotyczących zachowania, aby lepiej spełniać intencje biznesowe.
4. Zmień stan na Najpierw przetestuj go i pokaż wskazówki dotyczące zasad. Uściślij zakres lokalizacji, aby w razie potrzeby obsługiwać grupę pilotażową, i użyj opcji dołączania/wykluczania, tak aby zasady były najpierw wdrażane w tej grupie pilotażowej.
5. Zbierz opinie użytkowników oraz dane alertów i zdarzeń, jeśli zajdzie taka potrzeba, dostosuj zasady i plany. Upewnij się, że rozwiązujesz wszystkie problemy, które pojawiają się u użytkowników. Użytkownicy najprawdopodobniej napotkają problemy i będą stawiać pytania, o których nie myśleliśmy w fazie projektowania. W tym momencie opracuj grupę superużytów. Mogą one stanowić zasób ułatwiający szkolenie innych użytkowników w miarę zwiększania zakresu zasad i dołączania większej liczby użytkowników. Przed przejściem do następnego etapu wdrażania upewnij się, że zasady osiągają cele kontroli.
6. Zmień stan, aby włączyć go od razu. Zasady są w pełni wdrożone. Monitorowanie alertów DLP i eksploratora działań DLP. Adres alertów.

Zobacz też

• Dowiedz się więcej o lokalnym skanerze DLP
• Korzystanie ze skanera lokalnego DLP
• Dowiedz się więcej o ochronie przed utratą danych
• Wprowadzenie do Eksploratora działań
• Subskrypcja platformy Microsoft 365