Начало работы с чрезмерным распространением всплывающих окон

При настройке соответствующей политики защиты от потери данных (DLP) Microsoft Purview DLP проверяет сообщения электронной почты перед их отправкой на наличие любой помеченной или конфиденциальной информации и применяет действия, определенные в политике защиты от потери данных. Для этой функции требуется подписка Microsoft 365 E5, а также версия Outlook, которая ее поддерживает. Чтобы определить минимальную требуемую версию Outlook, используйте таблицу возможностей Для Outlook и просмотрите строку Предотвращение чрезмерного совместного использования как подсказки политики защиты от потери данных .

Важно!

Ниже приведен гипотетический сценарий с гипотетическими значениями. Это только в иллюстративных целях. При реализации этой функции следует заменить собственные типы конфиденциальной информации, метки конфиденциальности, группы рассылки и пользователей.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Подготовка к работе

Лицензирование SKU/подписки

Прежде чем приступить к использованию политик защиты от потери данных, подтвердите подписку На Microsoft 365 и все надстройки.

Сведения о лицензировании см. в статье Подписки На Microsoft 365, Office 365, Enterprise Mobility + Security и Windows 11 для предприятий.

Разрешения

Учетная запись, используемая для создания и развертывания политик, должна быть членом одной из следующих групп ролей.

• Администратор соответствия требованиям
• Администратор данных о соответствии требованиям
• Защита информации
• Администратор Information Protection
• Администратор безопасности

Важно!

Прочтите статью Административные единицы , прежде чем начать, чтобы убедиться, что вы понимаете разницу между неограниченным администратором и администратором с ограниченным доступом к административной единице.

Детализированные роли и группы ролей

Существует несколько ролей и групп ролей, которые можно использовать для точной настройки элементов управления доступом.

Ниже приведен список применимых ролей. Дополнительные сведения см . в разделе Разрешения на портале соответствия требованиям Microsoft Purview.

• Управление соответствием требованиям DLP
• Администратор Information Protection
• Аналитик Information Protection
• Исследователь Information Protection
• Читатель Information Protection

Ниже приведен список применимых групп ролей. Дополнительные сведения о них см. в разделе Разрешения на портале соответствия требованиям Microsoft Purview.

• Защита информации
• Администраторы Information Protection
• Аналитики Information Protection
• Исследователи Information Protection
• Читатели Information Protection

Необходимые условия

В Outlook для Microsoft 365 всплывающее окно oversharing отображает всплывающее окно перед отправкой сообщения. Чтобы включить эти всплывающие окна, сначала оставьте область политики в расположении Exchange, а затем выберите диалоговое окно Показывать подсказку политики для пользователя перед отправкой в подсказке политики при создании правила защиты от потери данных для этой политики.

В нашем примере сценария используется метка конфиденциальности , поэтому требуется, чтобы вы создали и опубликовали метки конфиденциальности. Дополнительные сведения см. в статьях

• Сведения о метках конфиденциальности
• Начало работы с метками конфиденциальности
• Создание и настройка меток конфиденциальности и соответствующих политик

В этой процедуре используется contoso.com. гипотетический домен компании.

Назначение и сопоставление политики

В этом примере наше заявление о намерениях политики:

Нам необходимо заблокировать сообщения электронной почты всем получателям, к которым применена метка конфиденциальности, если домен получателя не contoso.com. Мы хотим уведомить пользователя во всплывающем диалоге при отправке сообщения электронной почты. Пользователям не может быть разрешено переопределять блок.

Statement	Ответы на вопрос о конфигурации и сопоставление конфигурации
"Нам нужно заблокировать сообщения электронной почты всем получателям..."	- Где отслеживать: область администрирования Exchange- : действие полного каталога - : ограничение доступа или шифрование содержимого в расположениях > Microsoft 365 Блокировать получение электронной почты или доступ к общим файлам > SharePoint, OneDrive и Teams Блокировать всех
"... к которым применена метка конфиденциальности "строго конфиденциальности...".	- Что отслеживать: используйте настраиваемые условия шаблона - для соответствия: измените его, чтобы добавить метку конфиденциальности
"... Если..."	Конфигурация группы условий . Создание вложенной логической группы условий NOT, присоединенной к первым условиям, с помощью логического И
"... домен получателя — contoso.com".	Условие для соответствия: домен получателя —
"... Уведомить..."	Уведомления пользователей: включено
"... пользователь со всплывным диалогом при отправке..."	Советы по политике: выберите - Показать подсказку политики в качестве диалогового окна для конечного пользователя перед отправкой: выбрано
"... Никакие пользователи не могут переопределить блок...	Разрешить переопределения из служб M365: не выбран

Чтобы настроить переохваченные всплывающие окна с текстом по умолчанию, правило защиты от потери данных должно включать следующие условия:

• Содержимое содержит>Метки конфиденциальности>выберите метки конфиденциальности

и одно или несколько из следующих условий на основе получателей

• Получатель
• Получатель входит в группу
• Домен получателя

При выполнении этих условий подсказка политики отображает недоверенных получателей, пока пользователь пишет почту в Outlook, перед отправкой.

Действия по настройке параметра "ожидание отправки"

При необходимости можно задать regkey dlpwaitonsendtimeout (значение в dword) на всех устройствах, на которых вы хотите реализовать "ожидание при отправке" для всплывающих окон oversharing. Этот раздел реестра (RegKey) определяет максимальное время хранения сообщения электронной почты, когда пользователь нажимает кнопку Отправить. Это позволяет системе завершить оценку политики защиты от потери данных для помеченного или конфиденциального содержимого. Этот regKey можно найти в разделе:

*Software\Policies\Microsoft\office\16.0\Outlook\options\Mail*

Этот regKey можно задать с помощью групповой политики (укажите время ожидания для оценки конфиденциального содержимого), скрипт или другой механизм настройки разделов реестра.

Если вы используете групповую политику, убедитесь, что вы загрузили последнюю версию файлов административных шаблонов групповой политики для приложений Microsoft 365 для предприятий, а затем перейдите к этому параметру в разделе Параметры безопасности конфигурации >> пользователей >>>>. Если вы используете службу "Облачная политика" для Microsoft 365, найдите параметр по имени, чтобы настроить его.

Если это значение задано и настроена политика защиты от потери данных, сообщения электронной почты проверяются на наличие конфиденциальной информации перед отправкой. Если сообщение содержит соответствие условиям, определенным в политике, перед нажатием кнопки Отправить появится уведомление о подсказке политики.

Этот regKey позволяет указать поведение ожидания при отправке для клиентов Outlook.

Вот что означает каждый из параметров:

Не настроено или отключено: это значение по умолчанию. Если dlpwaitonsendtimeout не настроено, сообщение не проверяется перед отправкой пользователем. Сообщение электронной почты будет отправлено сразу после нажатия кнопки Отправить . Служба классификации данных защиты от потери данных оценит сообщение и применит действия, определенные в политике защиты от потери данных.

Включено: сообщение электронной почты проверяется при нажатии кнопки Отправить , но перед отправкой сообщения. Можно задать ограничение по времени ожидания завершения оценки политики защиты от потери данных (значение T в секундах). Если оценка политики не завершена в указанное время, появится кнопка Отправить в любом случае, позволяющая пользователю обойти проверку перед отправкой. Диапазон значений T — от 0 до 9999 секунд.

Важно!

Если значение T больше 9999, оно заменяется на 10000, а кнопка Отправить в любом случае не отображается. Это сообщение хранится до завершения оценки политики и не предоставит пользователю параметр переопределения . Длительность завершения оценки может отличаться в зависимости от таких факторов, как скорость Интернета, длина содержимого и количество определенных политик. Некоторые пользователи могут чаще сталкиваться с сообщениями об оценке политики, чем другие, в зависимости от политик, развернутых в их почтовом ящике.

Дополнительные сведения о настройке и использовании объекта групповой политики см. в статье Администрирование групповой политики в управляемом домене доменных служб Microsoft Entra.

Действия по созданию политики защиты от потери данных для всплывающего окна переохвачений

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. на портале соответствия требованиям Microsoft Purview.

Портал Microsoft Purview

1. Войдите на портал >Microsoft PurviewПолитики защиты от> потери данных.

2. Выберите + Создать политику.

3. Выберите Настраиваемые в списке Категории .

4. Выберите Настраиваемый в списке Правила .

5. Присвойте политике имя.

   Важно!

   Политики не могут быть переименованы.

6. Заполните описание. Инструкцию намерения политики можно использовать здесь.

7. Нажмите кнопку Далее.

8. Выберите Полный каталог в разделе Единицы администрирования.

9. Выберите только расположение электронной почты Exchange .

10. Нажмите кнопку Далее.

11. На странице Определение параметров политики выберите Создать или настроить расширенные правила защиты от потери данных.

12. Уже должен быть выбран параметр Создать или настроить расширенные правила защиты от потери данных .

13. Нажмите кнопку Далее.

14. Выберите Создать правило. Назовите правило и укажите описание.

15. Выберите Добавить условие>Содержимое содержит>метки>конфиденциальности>с высоким уровнем конфиденциальности. Нажмите кнопку Добавить.

16. Выберите Добавить группу>И>НЕ>добавить условие.

17. Выберите Домен получателя contoso.com>. Нажмите кнопку Добавить.

    Совет

    Вы также можете использовать Recipient is или Recipient is a member , а не Recipient domain is для активации всплывающего окна переохвачений.

18. Выберите Добавить действие>Ограничить доступ или зашифровать содержимое в расположениях Microsoft 365.

19. Выберите Блокировать получение пользователями электронной почты или доступ к общим файлам SharePoint, OneDrive и Teams, а также элементам Power BI.

20. Выберите Блокировать всех.

21. Установите переключатель Уведомления пользователей в значение Вкл.

22. Выберите Советы политики>. Показать подсказку политики в качестве диалогового окна для конечного пользователя перед отправкой (доступно только для рабочей нагрузки Exchange).

23. Если этот параметр уже установлен, снимите флажок Разрешить переопределение из служб M365 .

24. Выберите Сохранить.

25. Измените переключатель Состояние на Вкл. , а затем нажмите кнопку Далее.

26. На странице Режим политики выберите Запустить политику в тестовом режиме и установите флажок Для параметра Показывать советы политики в режиме имитации .

27. Нажмите кнопку Далее , а затем нажмите кнопку Отправить.

28. Нажмите кнопку Готово.

Портал соответствия требованиям

1. Войдите напортал >соответствия требованиям Microsoft PurviewРешения > Политикизащиты от> потери данных и> Создание политики.

2. Выберите Настраиваемые в списке Категории .

3. Выберите Настраиваемые в списке Шаблоны .

4. Присвойте политике имя.

   Важно!

   Политики не могут быть переименованы.

5. Введите описание. Инструкцию намерения политики можно использовать здесь.

6. Нажмите кнопку Далее.

7. Выберите Полный каталог в разделе Единицы администрирования.

8. Выберите только расположение электронной почты Exchange .

9. Нажмите кнопку Далее.

10. Примите значения по умолчанию для значений Включить = все и Исключить = нет.

11. Уже должен быть выбран параметр Создать или настроить расширенные правила защиты от потери данных .

12. Нажмите кнопку Далее.

13. Выберите Создать правило. Назовите правило и укажите описание.

14. Выберите Добавить условие>Содержимое содержит>метки>конфиденциальности>с высоким уровнем конфиденциальности. Нажмите кнопку Добавить.

15. Выберите Добавить группу>И>НЕ>добавить условие.

16. Выберите Домен получателя contoso.com>. Нажмите кнопку Добавить.

    Совет

    Recipient is and Recipient is the member of также можно использовать на предыдущем шаге и активировать всплывающее окно oversharing.

17. Выберите Добавить действие>Ограничить доступ или зашифровать содержимое в расположениях> Microsoft 365Ограничение доступа или шифрование содержимого в расположениях> Microsoft 365. Запретить пользователям получать электронную почту или получать доступ к общему файлу SharePoint, OneDrive и Teams.>Блокировать всех.

18. Установите для уведомления пользователей значение Включено.

19. Выберите Советы политики>. Показать подсказку политики в качестве диалогового окна для конечного пользователя перед отправкой.

20. Убедитесь, что параметр Разрешить переопределение из служб M365не выбран.

21. Выберите Сохранить.

22. Нажмите кнопку Далее>отключить следующую>>отправку.

Шаги PowerShell для создания политики

Политики и правила защиты от потери данных также можно настроить в PowerShell. Чтобы настроить переохваченные всплывающие окна с помощью PowerShell, сначала создайте политику защиты от потери данных (с помощью PowerShell) и добавьте правила защиты от потери данных для каждого типа всплывающего окна предупреждения, обоснования или блокировки.

Вы настроите и обустроите политику защиты от потери данных с помощью Команды New-DlpCompliancePolicy. Затем вы настроите каждое правило oversharing с помощью New-DlpComplianceRule.

Чтобы настроить новую политику защиты от потери данных для всплывающего сценария переохвачений, используйте следующий фрагмент кода:

PS C:\> New-DlpCompliancePolicy -Name <DLP Policy Name> -ExchangeLocation All

Этот пример политики защиты от потери данных распространяется на всех пользователей в вашей организации. Оставьте область политик защиты от потери данных с помощью -ExchangeSenderMemberOf и -ExchangeSenderMemberOfException.

Параметр	Конфигурация
-ContentContainsSensitiveInformation	Настраивает одно или несколько условий меток конфиденциальности. Этот пример включает один из них. По крайней мере одна метка является обязательной.
-ExceptIfRecipientDomainIs	Список доверенных доменов.
-NotifyAllowOverride	"WithJustification" включает переключатели обоснования, а "Безоправие" отключает их.
-NotifyOverrideRequirements	Параметр WithAcknowledgement включает новый параметр подтверждения. Этот шаг необязательный.

Чтобы настроить новое правило защиты от потери данных для создания всплывающего окна предупреждения с использованием доверенных доменов, выполните следующий код PowerShell:

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator="Or";name="Default";labels=@(@{name=<Label GUID>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")

Чтобы настроить новое правило защиты от потери данных для создания всплывающего окна "Оправдание " с использованием доверенных доменов, выполните следующий код PowerShell:

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com") -NotifyAllowOverride "WithJustification"

Чтобы настроить новое правило защиты от потери данных для создания блочного всплывающего окна с использованием доверенных доменов, выполните следующий код PowerShell:

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")

Используйте эти процедуры для доступа к X-заголовку бизнес-обоснования.

См. также

• Начало работы с панелью мониторинга оповещений о защите от потери данных
• Создание и развертывание политик защиты от потери данных