Справочник по политике защиты от потери данных

политики Защита от потери данных Microsoft Purview (DLP) имеют множество компонентов для настройки. Чтобы создать эффективную политику, необходимо понять, что предназначение каждого компонента и как его конфигурация изменяет поведение политики. В этой статье представлена подробная структура политики защиты от потери данных.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Подготовка к работе

Если вы не знакомы с Microsoft Purview DLP, вот список основных статей, которые вам понадобятся при реализации защиты от потери данных:

1. Административные единицы
2. Сведения о Защита от потери данных Microsoft Purview. В этой статье вы узнаете о дисциплине защиты от потери данных и реализации DLP корпорацией Майкрософт.
3. Спланируйте защиту от потери данных (DLP) — проработав эту статью, вы:
   1. Определение заинтересованных лиц
   2. Описание категорий конфиденциальной информации для защиты
   3. Установка целей и стратегии
4. Справочник по политике защиты от потери данных . Эта статья, которую вы читаете, содержит сведения обо всех компонентах политики защиты от потери данных и о том, как каждая из них влияет на поведение политики.
5. Разработка политики защиты от потери данных . В этой статье описано, как создать инструкцию намерения политики и сопоставить ее с определенной конфигурацией политики.
6. Create и развертывание политик защиты от потери данных. В этой статье представлены некоторые распространенные сценарии намерения политики, которые будут сопоставлены с параметрами конфигурации. В нем также описывается настройка этих параметров.
7. Сведения об изучении оповещений защиты от потери данных . В этом артефакте вы узнаете о жизненном цикле оповещений с момента создания до окончательного исправления и настройки политики. Он также знакомит вас с инструментами, используемыми для исследования оповещений.

Кроме того, необходимо учитывать следующие ограничения платформы:

• Максимальное количество политик MIP + MIG в клиенте: 10 000
• Максимальный размер политики защиты от потери данных (100 КБ)
• Максимальное количество правил защиты от потери данных:
  • В политике: ограничивается размером политики.
  • В клиенте: 600
• Максимальный размер отдельного правила защиты от потери данных: 100 КБ (102 400 символов)
• Предел доказательств GIR: 100, с каждым свидетельством SIT, в пропорции вхождения
• Максимальный размер текста, который можно извлечь из файла для сканирования: 2 МБ
• Ограничение размера регулярных выражений для всех прогнозируемых совпадений: 20 КБ
• Ограничение длины имени политики: 64 символа
• Ограничение длины правила политики: 64 символа
• Ограничение длины примечания: 1024 символа
• Ограничение длины описания: 1024 символа

Шаблоны политики

Шаблоны политик защиты от потери данных сортируются по четырем категориям:

• политики, которые могут обнаруживать и защищать типы финансовой информации.
• политики, которые могут обнаруживать и защищать типы медицинской и медицинской информации.
• политики, которые могут обнаруживать и защищать типы сведений о конфиденциальности .
• Шаблон настраиваемой политики, который можно использовать для создания собственной политики, если ни один из них не соответствует потребностям вашей организации.

В следующей таблице перечислены все шаблоны политик и типы конфиденциальной информации (SIT), которые они охватывают.

Категория	Шаблон	СИДЕТЬ
Финансы	Финансовые данные для Австралии	- Код - SWIFTНомер - налогового файла АвстралииНомер - банковского счета в АвстралииНомер карта кредита
Финансы	Финансовые данные в Канаде	- Номер - карта кредитаНомер банковского счета в Канаде
Финансы	Финансовые данные Франции	- Номер - карта кредитаНомер дебетовой карта ЕС
Финансы	Финансовые данные для Германии	- Номер - карта кредитаНомер дебетовой карта ЕС
Финансы	Финансовые данные для Израиля	- Номер - банковского счета в ИзраилеКод - SWIFTНомер карта кредита
Финансы	Финансовые данные для Японии	- Номер - банковского счета в ЯпонииНомер карта кредита
Финансы	Стандарт защиты данных PCI (PCI DSS)	- Номер карта кредита
Финансы	Закон Саудовской Аравии о борьбе с киберпреступностью	- Код - SWIFTНомер международного банковского счета (IBAN)
Финансы	Финансовые данные для Саудовской Аравии	- Номер - карта кредитаКод - SWIFTНомер международного банковского счета (IBAN)
Финансы	Финансовые данные Великобритании	- Номер - карта кредитаНомер - дебетовой карта ЕСКод SWIFT
Финансы	Финансовые данные США	- Номер - карта кредитаНомер - банковского счета в СШАНомер маршрутизации ABA
Финансы	Правила федеральной торговой комиссии (FTC) США	- Номер - карта кредитаНомер - банковского счета в СШАНомер маршрутизации ABA
Финансы	Закон Gramm-Leach-Bliley (GLBA) (США Gramm-Leach-Bliley Act (GLBA) Enhanced	- Номер - карта кредитаНомер - банковского счета в СШАИндивидуальный идентификационный номер налогоплательщика США (ITIN) - Номер социального страхования США (SSN) - Номер -паспорта США/ВеликобританииНомер - водительского удостоверения СШАВсе полные имена - Физические адреса США
Финансы	Акт Грэма-Лича-Блили (GLBA) для США	- Номер - карта кредитаНомер - банковского счета в СШАИндивидуальный идентификационный номер налогоплательщика США (ITIN) - Номер социального страхования США (SSN)
Медицина	Расширенный закон о медицинских записях Австралии (Закон HRIP)	- Номер - налогового файла АвстралииНомер - медицинского счета в АвстралииВсе полные имена - Все медицинские условия - Физические адреса Австралии
Медицина	Акт HRIP в Австралии	- Номер - налогового файла АвстралииНомер медицинского счета в Австралии
Медицина	Акт HIA для Канады	- Номер - паспорта КанадыНомер - социального страхования в КанадеНомер - службы здравоохранения КанадыЛичный идентификационный номер здоровья Канады
Медицина	Закон Канады о личной медицинской информации (PHIA) Манитоба	- Номер - социального страхования в КанадеНомер - службы здравоохранения КанадыЛичный идентификационный номер здоровья Канады
Медицина	Канадский закон о личном здоровье (PHIPA) Онтарио	- Номер - паспорта КанадыНомер - социального страхования в КанадеНомер - службы здравоохранения КанадыЛичный идентификационный номер здоровья Канады
Медицина	Акт о доступе к медицинским отчетам для Соединенного Королевства	- Номер - национальной службы здравоохранения ВеликобританииНомер национального страхования Великобритании (NINO)
Медицина	Закон США о медицинском страховании (HIPAA) расширен	- Международная классификация заболеваний (ICD-9-CM) - Международная классификация заболеваний (ICD-10-CM) - Все полные имена - Все медицинские условия - Физические адреса США
Медицина	Закон о медицинском страховании (HIPAA) для США	- Международная классификация заболеваний (ICD-9-CM) - Международная классификация заболеваний (ICD-10-CM)
Конфиденциальность	Расширенный закон о конфиденциальности Австралии	- Номер - водительского удостоверения АвстралииНомер - паспорта АвстралииВсе полные имена - Все медицинские условия - Физические адреса Австралии
Конфиденциальность	Закон о конфиденциальности для Австралии	- Номер - водительского удостоверения АвстралииНомер паспорта Австралии
Конфиденциальность	Персональные данные для Австралии	- Номер - налогового файла АвстралииНомер водительского удостоверения Австралии
Конфиденциальность	Персональные данные для Канады	- Номер - водительского удостоверения КанадыНомер - банковского счета в КанадеНомер - паспорта КанадыНомер - социального страхования в КанадеНомер - службы здравоохранения КанадыЛичный идентификационный номер здоровья Канады
Конфиденциальность	Акт PIPA для Канады	- Номер - паспорта КанадыНомер - социального страхования в КанадеНомер - службы здравоохранения КанадыЛичный идентификационный номер здоровья Канады
Конфиденциальность	Акт PIPEDA для Канады	- Номер - водительского удостоверения КанадыНомер - банковского счета в КанадеНомер - паспорта КанадыНомер - социального страхования в КанадеНомер - службы здравоохранения КанадыЛичный идентификационный номер здоровья Канады
Конфиденциальность	Закон о защите данных для Франции	- Национальный идентификатор Франции карта (CNI) - Номер социального страхования Франции (INSEE)
Конфиденциальность	Персональные данные для Франции	- Номер социального страхования Франции (INSEE) - Номер - водительского удостоверения ФранцииНомер - паспорта ФранцииНациональный идентификатор Франции карта (CNI)
Конфиденциальность	Расширенный общий регламент по защите данных (GDPR)	- Физические адреса - АвстрииФизические адреса Бельгии - Физические адреса Болгарии - Физические адреса - ХорватииФизические адреса - КипраФизические адреса в Чешской Республике - Физические адреса - ДанииФизические адреса Эстонии - Физические адреса Финляндии - Физические адреса - Для ФранцииФизические адреса - в ГерманииФизические адреса - ГрецииФизические адреса - ВенгрииФизические адреса Ирландии - Физические адреса - ИталииФизические адреса Латвии - Физические адреса Литвы - Физические адреса Люксембурга - Физические адреса Мальты - Физические адреса Нидерландов - Физические адреса - ПольшиПортугальские физические адреса - Физические адреса - РумынииФизические адреса - СловакииФизические адреса - СловенииФизические адреса - ИспанииФизические адреса - ШвецииНомер - социального страхования АвстрииНомер социального страхования Франции (INSEE) - Номер социального страхования Греции (AMKA) - Венгерский номер социального страхования (TAJ) - Номер социального страхования Испании (SSN) - Удостоверение - личности АвстрииУдостоверение - личности КипраНомер - удостоверения личности в ГерманииНомер удостоверения личности Мальты - Национальная идентификационная карта Франции (CNI) - Национальная идентификационная карта - ГрецииНациональный идентификатор - ФинляндииНациональный идентификатор Польши (PESEL) - Национальный идентификатор - ШвецииХорватия Персональный идентификационный номер - (OIB)Чешский персональный идентификационный номер - Персональный идентификационный номер - ДанииЛичный идентификационный код - ЭстонииЛичный идентификационный номер - ВенгрииЛюксембургский национальный идентификационный номер физических лиц - Национальный идентификационный номер Люксембурга (не физические лица) - Финансовый кодекс - ИталииЛичный код - ЛатвииЛичный код - ЛитвыЛичный числовой код Румынии (CNP) - Номер - службы гражданина Нидерландов (BSN)Номер - личной государственной службы Ирландии (PPS)Единый гражданский номер Болгарии - Национальный номер - БельгииИспания DNI - Уникальный номер - гражданина СловенииСловакия Персональный номер - Номер карточки гражданина Португалии - Номер налогового идентификатора Мальты - Идентификационный номер - налогоплательщика АвстрииИдентификационный номер - налогоплательщика КипраИдентификационный номер налогоплательщика Франции (numéro SPI.) - Идентификационный номер - налогоплательщика в ГерманииГреческий идентификационный номер - налогоплательщикаИдентификационный номер - налогоплательщика в ВенгрииИдентификационный номер - налогоплательщика в НидерландахИдентификационный номер - налогоплательщика в ПольшеНалоговый идентификационный номер Португалии - Идентификационный номер - налогоплательщика СловенииИдентификационный номер - налогоплательщика в ИспанииИдентификационный номер - налогоплательщика в ШвецииАвстрийские водительские права - Номер - водительского удостоверения БельгииНомер - водительского удостоверения в БолгарииНомер - водительского удостоверения в ХорватииНомер - водительского удостоверения КипраНомер - водительского удостоверения в ЧехииНомер - водительского удостоверения ДанииНомер - водительского удостоверения в ЭстонииНомер - водительского удостоверения ФинляндииНомер - водительского удостоверения Для ФранцииНомер - водительского удостоверения в ГерманииНомер - водительского удостоверения ГрецииНомер - водительского удостоверения ВенгрииНомер - водительского удостоверения ИрландииНомер - водительского удостоверения в ИталииНомер - водительского удостоверения ЛатвииНомер - водительского удостоверения в ЛитвеНомер - водительского удостоверения ЛюксембургаНомер - водительского удостоверения МальтыНомер - водительского удостоверения НидерландовНомер - водительского удостоверения в ПольшеНомер - водительского удостоверения ПортугалииНомер - водительского удостоверения РумынииНомер - водительского удостоверения СловакииНомер - водительского удостоверения СловенииНомер - водительского удостоверения в ИспанииНомер - водительского удостоверения ШвецииНомер - паспорта АвстрииНомер - паспорта БельгииНомер паспорта Болгарии - Номер - паспорта ХорватииНомер - паспорта КипраНомер паспорта в Чешской Республике - Номер - паспорта ДанииНомер паспорта в Эстонии - Номер паспорта Финляндии - Номер - паспорта для ФранцииНомер - немецкого паспортаНомер - паспорта ГрецииНомер - паспорта ВенгрииНомер паспорта Ирландии - Номер - паспорта ИталииНомер - паспорта ЛатвииНомер - паспорта ЛитвыНомер - паспорта ЛюксембургаНомер паспорта Мальты - Номер - паспорта НидерландовПаспорт - ПольшиНомер паспорта Португалии - Номер - паспорта РумынииНомер - паспорта в СловакииНомер - паспорта СловенииНомер - паспорта ИспанииНомер - шведского паспортаНомер - дебетовой карты ЕСВсе полные имена
Конфиденциальность	Общий регламент по защите данных (GDPR).	- Номер - дебетовой карта ЕСНомер - водительского удостоверения ЕСНациональный идентификационный номер - ЕСНомер - паспорта ЕСНомер социального страхования в ЕС или эквивалентная идентификация - Идентификационный номер налогоплательщика ЕС
Конфиденциальность	Персональные данные для Германии	- Номер - водительского удостоверения в ГерманииНомер паспорта Германии
Конфиденциальность	Персональные данные для Израиля	- Национальный идентификационный номер в Израиле
Конфиденциальность	Защита конфиденциальности для Израиля	- Национальный идентификационный номер - в ИзраилеНомер банковского счета в Израиле
Конфиденциальность	Расширенные данные о персональных данных (PII) в Японии	- Номер социального страхования в Японии (SIN) - Япония Мой номер — Персональный - Номер - паспорта в ЯпонииНомер - водительского удостоверения в ЯпонииВсе полные имена - Физические адреса Японии
Конфиденциальность	Персональные данные для Японии	- Номер - регистрации резидента ЯпонииНомер социального страхования в Японии (SIN)
Конфиденциальность	Расширенная защита персональных данных в Японии	- Номер социального страхования в Японии (SIN) - Япония Мой номер — Персональный - Номер - паспорта в ЯпонииНомер - водительского удостоверения в ЯпонииВсе полные имена - Физические адреса Японии
Конфиденциальность	Защита личной информации в Японии	- Номер - регистрации резидента ЯпонииНомер социального страхования в Японии (SIN)
Конфиденциальность	Персональные данные Саудовской Аравии	- Национальный идентификатор Саудовской Аравии
Конфиденциальность	Закон о защите данных для Соединенного Королевства	- Номер национального страхования Великобритании (NINO) - Номер - паспорта США/ВеликобританииКод SWIFT
Конфиденциальность	Нормы конфиденциальности и электронных коммуникаций для Соединенного Королевства	- Код SWIFT
Конфиденциальность	Персональные данные для Соединенного Королевства	- Номер национального страхования Великобритании (NINO) - Номер паспорта США/Великобритании
Конфиденциальность	Кодекс использования персональных данных в Интернете (PIOCP) для Соединенного Королевства	- Номер национального страхования Великобритании (NINO) - Номер - национальной службы здравоохранения ВеликобританииКод SWIFT
Конфиденциальность	Патриотический акт США улучшен	- Номер - карта кредитаНомер - банковского счета в СШАИндивидуальный идентификационный номер налогоплательщика США (ITIN) - Номер социального страхования США (SSN) - Все полные имена - Физические адреса США
Конфиденциальность	Патриотический акт США	- Номер - карта кредитаНомер - банковского счета в СШАИндивидуальный идентификационный номер налогоплательщика США (ITIN) - Номер социального страхования США (SSN)
Конфиденциальность	Улучшены данные личных сведений (PII) США	- Индивидуальный идентификационный номер налогоплательщика США (ITIN) - Номер социального страхования США (SSN) - Номер - паспорта США/ВеликобританииВсе полные имена - Физические адреса США
Конфиденциальность	Персональные данные для США	- Индивидуальный идентификационный номер налогоплательщика США (ITIN) - Номер социального страхования США (SSN) - Номер паспорта США/Великобритании
Конфиденциальность	Улучшены законы сша об уведомлении о нарушениях	- Номер - карта кредитаНомер -банковского счета в СШАНомер - водительского удостоверения СШАНомер социального страхования США (SSN) - Все полные имена - Номер - паспорта США/ВеликобританииВсе медицинские условия
Конфиденциальность	Государственные законы об уведомлении о нарушениях безопасности для США	- Номер - карта кредитаНомер -банковского счета в СШАНомер - водительского удостоверения СШАНомер социального страхования США (SSN)
Конфиденциальность	Законы о конфиденциальности номеров социального страхования США	- Номер социального страхования США (SSN)

Область политики

См. раздел Административные единицы , чтобы убедиться, что вы понимаете разницу между неограниченным администратором и администратором с ограниченным доступом к административной единице.

Политики защиты от потери данных ограничены двумя разными уровнями. Первый уровень применяет политики неограниченного область администраторов ко всем:

• users
• groups
• группы рассылки
• учетные записи
• сайты
• Экземпляры облачных приложений
• локальные репозитории
• Рабочие области Power BI

в вашей организации (в зависимости от выбранных расположений) или в подгруппах организации, которые называются политиками ограниченного доступа к административным единицам.

На этом уровне администратор с ограниченным доступом к административной единице сможет выбрать только те административные единицы, которым они назначены.

Второй уровень области политики защиты от потери данных — это расположения , которые поддерживают DLP. На этом уровне администраторы без ограничений и администраторы, ограниченные административными единицами, будут видеть только пользователей, группы рассылки, группы и учетные записи, которые были включены в первый уровень области политики и доступны для этого расположения.

Неограниченные политики

Неограниченные политики создаются и управляются пользователями в следующих группах ролей:

• Администратор соответствия требованиям
• Администратор данных о соответствии требованиям
• Защита информации
• Администратор Information Protection
• Администратор безопасности

Дополнительные сведения см. в разделе Разрешения .

Администраторы без ограничений могут управлять всеми политиками и просматривать все оповещения и события, которые передаются из совпадений политик, на панели мониторинга оповещений и действий защиты от потери данных Обозреватель.

Политики ограниченного доступа к административным единицам

Административные единицы — это подмножества Microsoft Entra ID и создаются для управления коллекциями пользователей, групп, групп рассылки и учетных записей. Эти коллекции обычно создаются в соответствии с бизнес-группами или геополитическими областями. Административные единицы имеют делегированного администратора, связанного с административной единицей в группе ролей. Они называются администраторами с ограниченным доступом к административным единицам.

Защита от потери данных поддерживает связывание политик с административными единицами. Дополнительные сведения о реализации см. в разделе Административные единицы в Портал соответствия требованиям Microsoft Purview. Администраторы административных единиц должны быть назначены одной из ролей или групп ролей, что и администраторы политик неограниченной защиты от потери данных, чтобы создавать политики защиты от потери данных для своей административной единицы и управлять ими.

Группа административных ролей защиты от потери данных	Cna
Неограниченный администратор	— создание и область политик защиты от потери данных для всей организации . Изменение всех политик защиты от потери данных; создание и область политики защиты от потери данных в административных единицах ; просмотр всех оповещений и событий из всех политик защиты от потери данных
Администратор с ограниченным доступом к административной единице — должен быть членом или назначенным группе ролей или роли, которые могут администрировать защиту от потери данных.	— создавать и область политики защиты от потери данных только для административной единицы, в которую они назначены . Изменение политик защиты от потери данных, связанных с административной единицей , просмотр оповещений и событий только из политик защиты от потери данных, которые относятся к их административной единице.

Расположения

Политика защиты от потери данных может находить и защищать элементы, содержащие конфиденциальную информацию, в нескольких расположениях.

Расположение	Поддержка административных единиц	Включение и исключение область	Состояние данных	Дополнительные предварительные требования
Exchange	Да	— Группы рассылки — группы безопасности, не поддерживающие электронную почту, — динамические списки рассылки — группы Microsoft 365 (только участники группы, а не группа в качестве сущности)	данные в движении	Нет
SharePoint	Нет	Сайты	неактивных данных при использовании	Нет
OneDrive	Да	— Группы рассылки — группы безопасности— группы безопасности, не поддерживающие электронную почту, — группы Microsoft 365 (только участники группы, а не группа в качестве сущности)	неактивных данных при использовании	Нет
сообщения в чатах и каналах Teams	Да	— Группы рассылки — группы безопасности — группы безопасности с поддержкой почты — группы Microsoft 365 (только участники группы, а не группа в качестве сущности)	данные при перемещении данных в использовании	См. раздел Область защиты от потери данных
Экземпляров	Нет	Экземпляр облачного приложения	неактивных данных	- Использование политик защиты от потери данных для облачных приложений сторонних разработчиков
Устройства	Да	— Группы рассылки — группы безопасности— группы безопасности, не поддерживающие электронную почту, — группы Microsoft 365 (только участники группы, а не группа в качестве сущности)	данные при использовании данных в движении	- Сведения о защите от потери данных конечных - точекНачало работы с предотвращением - потери данных конечной точкиНастройка параметров прокси-сервера устройства и подключения к Интернету для Information Protection
Локальные репозитории (общие папки и SharePoint)	Нет	Репозиторий	неактивных данных	- Сведения о защите от потери данных в локальных репозиториях - Начало работы с локальными репозиториями защиты от потери данных
Power BI	Нет	Рабочие области	данные в использовании	Нет
Сторонние приложения	Нет	Нет	Нет	Нет
Power BI	Нет	Нет	Нет	Нет

Определение расположения Exchange

Если вы решили включить определенные группы рассылки в Exchange, политика защиты от потери данных ограничивается только сообщениями электронной почты, отправленными членами этой группы. Аналогичным образом исключение группы рассылки исключает все сообщения электронной почты, отправленные членами этой группы рассылки, из оценки политики.

Отправитель —	Получатель	Результирующий поведение
В область	Н/Д	Политика применена
Вне области поддержки	В область	Политика не применяется

Вычисление расположения exchange область

Ниже приведен пример вычисления область расположения Exchange

Предположим, что у вас есть четыре пользователя в организации: U1, U2, U3, U4 и две группы рассылки DG1 и DG2 , которые вы будете использовать для определения областей включения расположения Exchange и исключений. Членство в группах настраивается следующим образом:

Группа рассылки	Участие
DG1	U1, U2
DG2	U2, U3

U4 не является членом какой-либо группы.

Включить параметр	Параметр "Исключить"	Политика применяется к	Политика не применяется к	Объяснение поведения
Все	Нет	Все отправители в организации Exchange (U1, U2, U3, U4)	Н/Д	Если ни один из них не определен, включаются все отправители
DG1	Нет	Отправители-члены DG1 (U1, U2)	Все отправители, которые не являются членами DG1 (U3, U4)	Если один параметр определен, а другой — нет, используется определенный параметр
Все	DG2	Все отправители в организации Exchange, которые не являются членами DG2 (U1, U4)	Все отправители, являющиеся членами DG2 (U2, U3)	Если один параметр определен, а другой — нет, используется определенный параметр
DG1	DG2	U1	U2, U3, U4	Исключение переопределений включает

Вы можете применять политику ко всем участникам списков рассылки, динамических групп рассылки и групп безопасности. Политика защиты от потери данных может содержать до 50 таких инструкций по включению и исключению.

Область расположения SharePoint и OneDrive

Если вам потребуется включить или исключить определенные сайты SharePoint или учетные записи OneDrive, имейте в виду, что политика защиты от потери данных может содержать не более 100 подобных включений или исключений. Это ограничение можно превысить, применив политику ко всей организации или к целым расположениям.

Если вам потребуется включить или исключить определенные учетные записи или группы OneDrive, имейте в виду, что политика защиты от потери данных может содержать в качестве подобных включений или исключений не более 100 учетных записей пользователей или 50 групп.

Поддержка расположения для определения содержимого

Политики защиты от потери данных обнаруживают конфиденциальные элементы, сопоставляя их с типом конфиденциальной информации (SIT), меткой конфиденциальности или меткой хранения. Каждое расположение поддерживает различные методы определения конфиденциального содержимого. При объединении расположений в политике способ определения содержимого может меняться по принципу определения в одном расположении.

Важно!

При выборе нескольких расположений для политики значение "нет" для категории определения контента имеет приоритет над значением "да". Например, при выборе только сайтов SharePoint политика будет поддерживать обнаружение конфиденциальных элементов по одному или нескольким элементам SIT, меткам конфиденциальности или по меткам хранения. Но при выборе сайтов SharePoint и расположений сообщений чата и каналов Teams политика будет поддерживать только обнаружение конфиденциальных элементов с помощью SIT.

Расположение	Содержимое может быть определено с помощью SIT	Содержимое может быть определено меткой конфиденциальности	Содержимое можно определить с помощью метки хранения
Электронная почта Exchange в Интернете	Да	Да	Нет
SharePoint на сайтах Microsoft 365	Да	Да	Да
OneDrive для рабочих или учебных учетных записей	Да	Да	Да
Сообщения чата и канала Teams	Да	Нет	Нет
Устройства	Да	Да	Нет
Экземпляров	Да	Да	Да
Локальные репозитории	Да	Да	Нет
Power BI	Да	Да	Нет

DLP поддерживает использование обучаемых классификаторов в качестве условия для обнаружения конфиденциальных документов. Содержимое можно определить с помощью обучаемых классификаторов в Exchange, сайтах SharePoint, учетных записях OneDrive, чатах и каналах Teams, а также устройствах. Дополнительные сведения см. в разделе Обучаемые классификаторы.

Примечание.

Защита от потери данных поддерживает обнаружение меток конфиденциальности в сообщениях электронной почты и вложениях. Дополнительные сведения см. в статье Использование меток конфиденциальности в качестве условий в политиках защиты от потери данных.

Правила

Правила — это бизнес-логика политик защиты от потери данных. Они состоят из следующих:

• Условия, которые при совпадении активируют действия политики
• Уведомления пользователей , информирующие пользователей о том, что они делают что-то, что активирует политику, и помогают информировать их о том, как ваша организация хочет обрабатывать конфиденциальную информацию
• Переопределения пользователей при настройке администратором позволяют пользователям выборочно переопределять действие блокировки
• Отчеты об инцидентах , уведомляющие администраторов и других ключевых заинтересованных лиц о совпадении правил
• Дополнительные параметры , которые определяют приоритет для оценки правил и могут остановить дальнейшую обработку правил и политик.

Политика содержит одно или несколько правил. Правила применяются последовательно, начиная с правила с наивысшим приоритетом, в каждой политике.

Приоритет, по которому оцениваются и применяются правила;

Расположения размещенных служб

Для размещенных расположений служб, таких как Exchange, SharePoint и OneDrive, каждому правилу присваивается приоритет в том порядке, в котором оно создается. Это означает, что правило, созданное первым, имеет первый приоритет, созданное второе правило имеет второй приоритет и т. д.

При проверке соответствия контента правилам правила обрабатываются в порядке их приоритета. Если содержимое соответствует нескольким правилам, применяется первое вычислимые правила с самыми строгими действиями. Например, если содержимое соответствует всем приведенным ниже правилам, правило 3 применяется, так как это правило с наивысшим приоритетом, наиболее строгим правилом:

• Правило 1: только уведомляет пользователей
• Правило 2: уведомляет пользователей, ограничивает доступ и разрешает переопределения
• Правило 3. Уведомляет пользователей, ограничивает доступ и не разрешает переопределения пользователей
• Правило 4. Ограничивает доступ

Правила 1, 2 и 4 будут оцениваться, но не применяться. В этом примере совпадения для всех правил записываются в журналы аудита и отображаются в отчетах защиты от потери данных, даже если применяется только самое строгое правило.

Вы можете использовать какое-либо правило для выполнения определенного требования защиты, а затем с помощью политики защиты от потери данных сгруппировать стандартные требования к защите, например все правила, необходимые для выполнения требований того или иного нормативного акта.

Можно создать политику защиты от потери данных, которая помогает обнаруживать информацию, попадающую под действие акта о передаче и защите данных учреждений здравоохранения (HIPAA). Эта политика защиты от потери данных может помочь защитить данные HIPAA (что) на всех сайтах SharePoint и всех сайтах OneDrive (где) путем поиска любого документа, содержащего эту конфиденциальную информацию, которая предоставляется пользователям за пределами организации (условия), а затем блокируя доступ к документу и отправляя уведомление (действия). Эти требования хранятся в виде отдельных правил и сгруппированы в политику защиты от потери данных, чтобы упростить управление и создание отчетов.

Для конечных точек

Если элемент соответствует нескольким правилам защиты от потери данных, DLP использует сложный алгоритм, чтобы решить, какие действия следует применить. Конечная точка защиты от потери данных будет применять агрегат или сумму большинства ограничительных действий. Защита от потери данных использует эти факторы при вычислении.

Порядок приоритета политики Если элемент соответствует нескольким политикам и эти политики имеют идентичные действия, применяются действия из политики с наивысшим приоритетом.

Порядок приоритета правила Если элемент соответствует нескольким правилам в политике и эти правила имеют одинаковые действия, применяются действия из правила с наивысшим приоритетом.

Режим политики Если элемент соответствует нескольким политикам и эти политики имеют одинаковые действия, действия из всех политик, которые находятся в режиме включения в состояние (режим принудительного применения), применяются преимущественно по сравнению с политиками в разделе Запуск политики в режиме имитации с подсказками политики и Запуск политики в режиме имитации .

Действий Если элемент соответствует нескольким политикам и эти политики отличаются по действиям, применяется агрегат или сумма наиболее ограничительных действий.

Конфигурация групп авторизации . Если элемент соответствует нескольким политикам и эти политики отличаются по действию, применяется агрегат или сумма наиболее ограничительных действий.

Параметры переопределения Если элемент соответствует нескольким политикам и эти политики отличаются параметром переопределения, действия применяются в следующем порядке:

Нет переопределения>Разрешить переопределение

Ниже приведены сценарии, иллюстрирующие поведение среды выполнения. Для первых трех сценариев у вас есть три политики защиты от потери данных, настроенные следующим образом:

Имя политики	Условие для соответствия	Действие	Приоритет политики
ABC	Содержимое содержит номер карта кредита	Блокировка печати, аудит всех остальных операций исходящего трафика пользователей	0
MNO	Содержимое содержит номер карта кредита	Блокировка копирования на USB,аудит всех остальных исходящих действий пользователей	1
XYZ	Содержимое содержит номер социального страхования США	Блокировка копирования в буфер обмена, аудит всех остальных исходящих действий пользователя	2

Элемент содержит номера карта кредитов

Элемент на отслеживаемом устройстве содержит кредитные карта номера, поэтому он соответствует политике ABC и политике MNO. ABC и MNO находятся в режиме Включить .

Политика	Действие исходящего трафика в облако	Действие "Копировать в буфер обмена"	Действие "Копирование в USB"	Действие "Копировать в общий сетевой ресурс"	Действие "Не разрешенные приложения"	Действие печати	Копирование через действие Bluetooth	Действие "Копирование на удаленный рабочий стол"
ABC	Аудит	Аудит	Аудит	Аудит	Аудит	Блокировка	Аудит	Аудит
MNO	Аудит	Аудит	Блокировка	Аудит	Аудит	Аудит	Аудит	Аудит
Действия, применяемые во время выполнения	Аудит	Аудит	Блокировка	Аудит	Аудит	Блокировка	Аудит	Аудит

Элемент содержит номера кредитной карта и номера социального страхования США

Элемент на отслеживаемом устройстве содержит номера кредитных карта и номера социального страхования США, поэтому этот элемент соответствует политике ABC, политике MNO и политике XYZ. Все три политики находятся в режиме включения .

Политика	Действие исходящего трафика в облако	Действие "Копировать в буфер обмена"	Действие "Копирование в USB"	Действие "Копировать в общий сетевой ресурс"	Действие "Не разрешенные приложения"	Действие печати	Копирование через действие Bluetooth	Действие "Копирование на удаленный рабочий стол"
ABC	Аудит	Аудит	Аудит	Аудит	Аудит	Блокировка	Аудит	Аудит
MNO	Аудит	Аудит	Блокировка	Аудит	Аудит	Аудит	Аудит	Аудит
XYZ	Аудит	Блокировка	Аудит	Аудит	Аудит	Блокировка	Аудит	Аудит
Действия, применяемые во время выполнения	Аудит	Блокировка	Блокировка	Аудит	Аудит	Блокировка	Аудит	Аудит

Элемент содержит кредиты карта номера, различные состояния политики

Элемент на отслеживаемом устройстве содержит номер кредитной карта, поэтому он соответствует политике ABC и политике MNO. Политика ABC находится в режиме включить, а MNO политики — в режиме запуска политики в режиме имитации .

Политика	Действие исходящего трафика в облако	Действие "Копировать в буфер обмена"	Действие "Копирование в USB"	Действие "Копировать в общий сетевой ресурс"	Действие "Не разрешенные приложения"	Действие печати	Копирование через действие Bluetooth	Действие "Копирование на удаленный рабочий стол"
ABC	Аудит	Аудит	Аудит	Аудит	Аудит	Блокировка	Аудит	Аудит
MNO	Аудит	Аудит	Блокировка	Аудит	Аудит	Аудит	Аудит	Аудит
Действия, применяемые во время выполнения	Аудит	Аудит	Аудит	Аудит	Аудит	Блокировка	Аудит	Аудит

Элемент содержит кредитные карта номера, разную конфигурацию переопределения

Элемент на отслеживаемом устройстве содержит номер кредитной карта, поэтому он соответствует политике ABC и политике MNO. Политика ABC находится в разделе Включить состояние , а политика MNO — в положение Включить состояние. Для них настроены разные действия переопределения .

Политика	Действие исходящего трафика в облако	Действие "Копировать в буфер обмена"	Действие "Копирование в USB"	Действие "Копировать в общий сетевой ресурс"	Действие "Не разрешенные приложения"	Действие печати	Копирование через действие Bluetooth	Действие "Копирование на удаленный рабочий стол"
ABC	Аудит	Аудит	Блокировать с переопределением	Аудит	Аудит	Блокировка	Аудит	Аудит
MNO	Аудит	Аудит	Блокировать без переопределения	Аудит	Аудит	Аудит	Аудит	Аудит
Действия, применяемые во время выполнения	Аудит	Аудит	Блокировать без переопределения	Аудит	Аудит	Блокировка	Аудит	Аудит

Элемент содержит кредитные карта номера, различные конфигурации групп авторизации

Элемент на отслеживаемом устройстве содержит номер кредитной карта, поэтому он соответствует политике ABC и политике MNO. Политика ABC находится в разделе Включить состояние , а политика MNO — в положение Включить состояние. Для них настроены разные действия группы авторизации .

Политика	Действие исходящего трафика в облако	Действие "Копировать в буфер обмена"	Действие "Копирование в USB"	Действие "Копировать в общий сетевой ресурс"	Действие "Не разрешенные приложения"	Действие печати	Копирование через действие Bluetooth	Действие "Копирование на удаленный рабочий стол"
ABC	Аудит	Аудит	Группа проверки подлинности A — блок	Аудит	Аудит	Группа проверки подлинности A — блок	Аудит	Аудит
MNO	Аудит	Аудит	Группа проверки подлинности A — блокировка с переопределением	Аудит	Аудит	Группа проверки подлинности B — блок	Аудит	Аудит
Действия, применяемые во время выполнения	Аудит	Аудит	Группа проверки подлинности A — блок	Аудит	Аудит	Группа проверки подлинности A — блокировать, группа проверки подлинности B — блокировать	Аудит	Аудит

Условия

Условия определяют, что нужно искать в правиле, а также контекст, в котором используются эти элементы. Они говорят правило: когда вы найдете элемент, который выглядит так и используется таким образом, это совпадение, и остальные действия в политике должны выполняться с ним. С помощью условий можно назначать разные действия для разных уровней риска. Например, обмен конфиденциальным контентом внутри организации представляет меньший риск и требует меньше действий, чем предоставление доступа к нему пользователям за пределами организации.

Примечание.

Пользователи, не являющиеся гостевыми учетными записями в Active Directory или Microsoft Entra клиенте принимающей организации, считаются сотрудниками организации.

Содержимое содержит

Все расположения поддерживают условие Содержимое содержит . Вы можете выбрать несколько экземпляров каждого типа контента и дополнительно уточнить условия с помощью операторов Любой из этих операторов (логическое ИЛИ) или Все эти операторы (логическое И):

• типы конфиденциальной информации
• метки конфиденциальности
• Метки хранения
• Обучаемые классификаторы

в зависимости от расположений , к которые вы решили применить политику.

Правило будет искать только наличие выбранных меток конфиденциальности и меток хранения .

СИТ имеют предопределенный уровень достоверности , который при необходимости можно изменить. Дополнительные сведения см. в разделе Дополнительные сведения об уровнях достоверности.

Важно!

SiT имеет два разных способа определения параметров максимального числа уникальных экземпляров. Дополнительные сведения см. в разделе Поддерживаемые значения числа экземпляров для SIT.

Адаптивная защита в Microsoft Purview (предварительная версия)

Адаптивная защита интегрирует Управление внутренними рисками Microsoft Purview профили рисков в политики защиты от потери данных, чтобы защита от потери данных могла защититься от динамически выявленных рисков. При настройке в управлении внутренними рисками уровень риска предварительной оценки для адаптивной защиты будет отображаться в качестве условия для Exchange Online, устройств и расположений Teams. Дополнительные сведения см. в статье Сведения об адаптивной защите в статье Защита от потери данных (предварительная версия).

Условия, поддерживающие адаптивную защиту

• Уровень риска инсайдерской оценки для адаптивной защиты —

со следующими значениями:

• Повышенный уровень риска
• Средний уровень риска
• Уровень незначительного риска

Контекст условия

Доступные параметры контекста меняются в зависимости от выбранного расположения. При выборе нескольких расположений доступны только те условия, которые имеют общие расположения.

Поддержка Exchange условий

• Содержимое содержит
• Уровень риска инсайдерской оценки для адаптивной защиты —
• Содержимое не помечено
• Доступ к содержимому осуществляется из Microsoft 365
• Содержимое получено от
• IP-адрес отправителя
• Заголовок содержит слова или фразы
• Атрибут SENDER AD содержит слова или фразы
• Набор символов содержимого содержит слова
• Заголовок соответствует шаблонам
• Атрибут SENDER AD соответствует шаблонам
• Атрибут Ad Recipient содержит слова или фразы
• Атрибут ПОЛУЧАТЕЛЯ AD соответствует шаблонам
• Получатель является членом
• Свойство документа
• Не удалось проверить содержимое любого вложения электронной почты
• Документ или вложение защищены паролем
• Если отправитель переопределил подсказку политики
• Отправитель является членом
• Проверка содержимого любого вложения электронной почты не завершена
• Адрес получателя содержит слова
• Расширение файла :
• Домен получателя
• Получатель
• Отправитель —
• Домен отправителя —
• Адрес получателя соответствует шаблонам
• Имя документа содержит слова или фразы
• Имя документа соответствует шаблонам
• Тема содержит слова или фразы
• Тема соответствует шаблонам
• Тема или текст содержит слова или фразы
• Тема или текст соответствует шаблонам
• Адрес отправителя содержит слова
• Адрес отправителя соответствует шаблонам
• Размер документа равен или больше
• Содержимое документа содержит слова или фразы
• Содержимое документа соответствует шаблонам
• Размер сообщения равен или больше
• Тип сообщения —
• Важность сообщения :

Совет

Дополнительные сведения об условиях, поддерживаемых Exchange, включая значения PowerShell, см. в статье Справочник по условиям и действиям Exchange по предотвращению потери данных.

Условия, поддерживаемые SharePoint

• Содержимое содержит
• Доступ к содержимому осуществляется из Microsoft 365
• Свойство документа
• Расширение файла :
• Имя документа содержит слова или фразы
• Размер документа равен или больше
• Документ, созданный
• Документ, созданный членом

Условия, поддерживаемые учетными записями OneDrive

• Содержимое содержит
• Доступ к содержимому осуществляется из Microsoft 365
• Свойство документа
• Расширение файла :
• Имя документа содержит слова или фразы
• Размер документа равен или больше
• Документ, созданный
• Документ, созданный членом
• Документ является общим

Условия, поддерживаемые чатом и сообщениями каналов Teams

• Содержимое содержит
• Уровень риска инсайдерской оценки для адаптивной защиты —
• Доступ к содержимому осуществляется из Microsoft 365
• Домен получателя — -Recipient is
• Отправитель —
• Домен отправителя —

Условия, поддерживаемые для конечных точек

• Содержимое содержит
• Содержимое не помечается (файлы PDF и Office полностью поддерживаются).
  Это условие обнаруживает содержимое, к которому не применена метка конфиденциальности. Чтобы убедиться, что обнаружены только поддерживаемые типы файлов, следует использовать это условие с расширением файла или Тип файла — условия.
• Не удалось проверить документ
  Это условие применяется к файлам, которые невозможно проверить по одной из следующих причин:
  — Файл содержит одну или несколько временных ошибок извлечения текста.
  — файл защищен паролем
  — Размер файла превышает поддерживаемое ограничение (максимальный размер файлов: 64 МБ для несжатых файлов; 256 МБ для сжатых файлов).
• Имя документа содержит слова или фразы.
  Обнаруживает документы с именами файлов, которые содержат любые указанные слова или фразы, например , file, credit cardpatentи т. д.
• Имя документа соответствует шаблонам
  Обнаруживает документы, в которых имя файла соответствует определенным шаблонам. Чтобы определить шаблоны, используйте подстановочные знаки. Сведения о шаблонах регулярных выражений см. в документации по регулярным выражениям здесь.
• Документ или вложение защищены паролем
  Это условие обнаруживает только открытые защищенные файлы. Файлы PDF, Файлы Office, .ZIP, .7z и зашифрованные файлы Symantec PGP полностью поддерживаются.
• Свойство Document — Обнаруживает документы с пользовательскими свойствами, соответствующими указанным значениям. Например, Department = 'Marketing'. Project = 'Secret'
• Размер документа равен или больше
  Обнаруживает документы с размерами файлов, равными или превышающим указанное значение.

  Важно!

  Рекомендуется задать это условие для обнаружения элементов размером более 100 КБ.

• Расширение файла :
• Тип файла :
• Сканирование не завершено
  Это условие применяется, когда сканирование файла началось, но остановлено до сканирования всего файла. Основная причина неполной проверки заключается в том, что извлеченный текст в файле превышает максимальный допустимый размер. (Максимальный размер извлеченного текста: несжатые файлы: 4 МБ; Сжатые файлы: N=1000 / Время извлечения = 5 минут.)
• Пользователь, обращаюсь к конфиденциальному веб-сайту из Microsoft Edge Дополнительные сведения см. в разделе Сценарий 6 Мониторинг или ограничение действий пользователей в конфиденциальных доменах служб (предварительная версия).
• Уровень риска инсайдерской оценки для адаптивной защиты —

См. также действия конечных точек, которые можно отслеживать и выполнять.

Примечание.

Требования к операционной системе для условий в предварительной версии.

Чтобы использовать любое из этих условий, устройства конечных точек должны работать под управлением одной из следующих операционных систем:

• Windows 11 23H2:4 декабря 2023 г. — KB5032288 (сборки ОС 22621.2792 и 22631.2792). Предварительная версия

• Windows 11 22H2:4 декабря 2023 г. — KB5032288 (сборки ОС 22621.2792 и 22631.2792) предварительная версия — служба поддержки Майкрософт

• Windows 11 21H2:12 декабря 2023 г. — KB5033369 (сборка ОС 22000.2652) — служба поддержки Майкрософт

• Windows 10 22H2:30 ноября 2023 г. — KB5032278 (сборка ОС 19045.3758), предварительная версия — служба поддержки Майкрософт

• Windows 10 21H2:30 ноября 2023 г. — KB5032278 (сборка ОС 19045.3758), предварительная версия — служба поддержки Майкрософт

• Windows Server 2022/2019:14 ноября 2023 г. — KB5032198 (сборка ОС 20348.2113) — служба поддержки Майкрософт (или более поздняя версия)

Важно!

Сведения о требованиях Adobe к использованию функций Защита от потери данных Microsoft Purview (DLP) с PDF-файлами см. в статье Adobe: поддержка Защита информации Microsoft Purview в Acrobat.

Экземпляры условий поддерживают

• Содержимое содержит
• Доступ к содержимому осуществляется из Microsoft 365

Условия Поддержка локальных репозиториев

• Содержимое содержит
• Расширение файла :
• Свойство документа

Условия, поддерживаемые Power BI

• Содержимое содержит

Группы условий

Иногда требуется правило, чтобы определить только одну вещь, например все содержимое, содержащее номер социального страхования США, который определяется одним SIT. Однако во многих сценариях, когда типы элементов, которые вы пытаетесь определить, являются более сложными и, следовательно, труднее определить, требуется большая гибкость при определении условий.

Например, для выявления контента, попадающего под действие акта о передаче и защите данных учреждений здравоохранения HIPAA (США), нужно найти:

• данные, которые содержат определенные типы конфиденциальной информации, например номера социального страхования (SSN) или номера Управления по борьбе с наркотиками США (DEA);

  И

• контент, который определить сложнее, например записи об уходе за пациентом или описания оказанных медицинских услуг. Чтобы выявить такие данные, потребуется выполнить поиск по большим спискам ключевых слов, например по Международной классификации болезней (ICD-9-CM или ICD-10-CM).

Этот тип данных можно определить, группируя условия и используя логические операторы (AND, OR) между группами.

Для Закона США о медицинском страховании (HIPPA) условия сгруппированы следующим образом:

Первая группа содержит SIT, которые идентифицируют человека, а вторая группа содержит SIT, которые определяют медицинский диагноз.

Условия можно сгруппировать и объединить логическими операторами (AND, OR, NOT), чтобы определить правило путем указания того, что следует включить, а затем определения исключений в другой группе, присоединенной к первой с помощью NOT. Дополнительные сведения о том, как Purview DLP реализует логические и вложенные группы, см. в статье Сложное проектирование правил.

Ограничения платформы защиты от потери данных для условий

Предикат	Workload	Ограничение	Стоимость оценки
Содержимое содержит	EXO,SPO/ODB	125 SIT на правило	Высокая
Доступ к содержимому осуществляется из Microsoft 365	EXO,SPO/ODB	-	Высокая
IP-адрес отправителя	EXO	Длина <отдельного диапазона = 128; Число <= 600	Низкая
Если отправитель переопределил подсказку политики	EXO	-	Низкая
Отправитель —	EXO	Длина отдельного сообщения электронной почты <= 256; Число <= 600	Средняя
Отправитель является членом	EXO	Число <= 600	Высокая
Домен отправителя —	EXO	Длина <доменного имени = 67; Число <= 600	Низкая
Адрес отправителя содержит слова	EXO	Длина <отдельного слова = 128; Число <= 600	Низкая
Адрес отправителя соответствует шаблонам	EXO	Длина <регулярного выражения = 128 символов; Число <= 600	Низкая
Атрибут SENDER AD содержит слова	EXO	Длина <отдельного слова = 128; Число <= 600	Средняя
Атрибут Sender AD соответствует шаблонам	EXO	Длина <регулярного выражения = 128 символов; Число <= 600	Средняя
Не удается проверить содержимое вложений электронной почты	EXO	Поддерживаемые типы файлов	Низкая
Неполная проверка содержимого вложения электронной почты	EXO	Размер > 1 МБ	Низкая
Вложение защищено паролем	EXO	Типы файлов: файлы Office, .PDF, .ZIP и 7z	Низкая
Расширение вложенного файла	EXO,SPO/ODB	Count <= 600 на правило	Высокая
Получатель входит в группу	EXO	Число <= 600	Высокая
Домен получателя	EXO	Длина <доменного имени = 67; Count <= 5000	Низкая
Получатель	EXO	Длина отдельного сообщения электронной почты <= 256; Число <= 600	Низкая
Адрес получателя содержит слова	EXO	Длина <отдельного слова = 128; Число <= 600	Низкая
Адрес получателя соответствует шаблонам	EXO	Число <= 300	Низкая
Имя документа содержит слова или фразы	EXO	Длина <отдельного слова = 128; Число <=600	Низкая
Имя документа соответствует шаблонам	EXO	Длина <регулярного выражения = 128 символов; Число <= 300	Низкая
Свойство документа	EXO,SPO/ODB	-	Низкая
Размер документа равен или больше	EXO	-	Низкая
Тема содержит слова или фразы	EXO	Длина <отдельного слова = 128; Число <= 600	Низкая
Заголовок содержит слова или фразы	EXO	Длина <отдельного слова = 128; Число <= 600	Низкая
Тема или текст содержит слова или фразы	EXO	Длина <отдельного слова = 128; Число <= 600	Низкая
Набор символов содержимого содержит слова	EXO	Число <= 600	Низкая
Заголовок соответствует шаблонам	EXO	Длина <регулярного выражения = 128 символов; Число <= 300	Низкая
Тема соответствует шаблонам	EXO	Длина <регулярного выражения = 128 символов; Число <= 300	Низкая
Тема или текст соответствует шаблонам	EXO	Длина <регулярного выражения = 128 символов; Число <= 300	Низкая
Тип сообщения —	EXO	-	Низкая
Размер сообщения больше	EXO	-	Низкая
С важностью	EXO	-	Низкая
Атрибут SENDER AD содержит слова	EXO	Каждая пара значений атрибута: имеет длину <регулярного выражения = 128 символов; Число <= 600	Средняя
Атрибут Sender AD соответствует шаблонам	EXO	Каждая пара значений атрибута: имеет длину <регулярного выражения = 128 символов; Число <= 300	Средняя
Документ содержит слова	EXO	Длина <отдельного слова = 128; Число <= 600	Средняя
Документ соответствует шаблонам	EXO	Длина <регулярного выражения = 128 символов; Число <= 300	Средняя

Действия

Любой элемент, который проходит через фильтр условий , будет иметь все действия , определенные в правиле, примененном к нему. Необходимо настроить необходимые параметры для поддержки действия. Например, если выбрать Exchange с действием Ограничить доступ или зашифровать содержимое в расположениях Microsoft 365 , необходимо выбрать один из следующих вариантов:

• Запрет доступа пользователей к общему содержимому SharePoint, OneDrive и Teams
  • Блокировать всех. Только владелец контента, последний модификатор и администратор сайта будут по-прежнему иметь доступ
  • Блокировать только людей за пределами вашей организации. Пользователи в вашей организации будут по-прежнему иметь доступ.
• Шифрование сообщений (применяется только к содержимому Exchange)

Действия, доступные в правиле, зависят от выбранных расположений. Ниже перечислены доступные действия для каждого отдельного расположения.

Важно!

Для расположений SharePoint и OneDrive документы будут блокироваться упреждающе сразу после обнаружения конфиденциальной информации (независимо от того, является ли документ общим или нет) для всех внешних пользователей; внутренние пользователи будут по-прежнему иметь доступ к документу.

Поддерживаемые действия: Exchange

Когда правила политики защиты от потери данных применяются в Exchange, они могут быть остановлены, не остановлены или ни один из них. Большинство правил, поддерживаемых Exchange, не останавливаются. Неостанавливающиеся действия оцениваются и применяются непосредственно перед обработкой последующих правил и политик, как описано в разделе Расположения размещенных служб ранее в этой статье.

Однако если действие остановки активируется правилом политики защиты от потери данных, Purview прекращает обработку всех последующих правил. Например, при активации действия Ограничить доступ или зашифровать содержимое в расположениях Microsoft 365 дальнейшие правила или политики не обрабатываются.

Если действие не останавливается или не останавливается, Purview ожидает результата действия, прежде чем продолжить. Таким образом, когда исходящее электронное сообщение активирует действие Переслать сообщение на утверждение руководителю отправителя , Purview ожидает принятия менеджером решения о том, может ли быть отправлено сообщение. Если руководитель утвердит, действие ведет себя как неостанавливающееся действие, и последующие правила обрабатываются. В отличие от этого, если руководитель отклоняет отправку сообщения, переадресация сообщения на утверждение руководителю отправителя ведет себя как действие остановки и блокирует отправку сообщения электронной почты; никакие последующие правила или политики не обрабатываются.

В следующей таблице перечислены действия, поддерживаемые Exchange, и указано, остановлены ли они или не останавливаются.

Действие	Остановка и без остановки
Ограничение доступа или шифрование содержимого в расположениях Microsoft 365	Остановки
Установка заголовков	Не останавливается
Удаление заголовка	Не останавливается
Перенаправление сообщения определенным пользователям	Не останавливается
Пересылать сообщение для утверждения руководителю отправителя	Ни
Пересылка сообщения для утверждения определенным утверждателям	Ни
Добавление получателя в поле "К"	Не останавливается
Добавление получателя в поле Копия	Не останавливается
Добавление получателя в поле СК	Не останавливается
Добавление диспетчера отправителя в качестве получателя	Не останавливается
Удаление шифрования сообщений и защиты прав	Не останавливается
Тема предварительного Email	Не останавливается
Добавление HTML-заявления об отказе от ответственности	Не останавливается
Изменение темы Email	Не останавливается
Доставка сообщения в размещенный карантин	Остановки
Применение фирменной символики к зашифрованным сообщениям	Не останавливается

Совет

Если вы уже Шифрование сообщений Microsoft Purview реализовано действие Применить фирменную символику к зашифрованным сообщениям, шаблоны автоматически отображаются в раскрывающемся списке. Если вы хотите реализовать Шифрование сообщений Microsoft Purview, ознакомьтесь с разделом Добавление фирменной символики организации в Шифрование сообщений Microsoft Purview зашифрованных сообщений, чтобы узнать, как создать и настроить шаблоны фирменной символики.

Дополнительные сведения о действиях, поддерживаемых Exchange, включая значения PowerShell, см. в статье Справочник по условиям и действиям Exchange для предотвращения потери данных.

Поддерживаемые действия: SharePoint

• Ограничение доступа или шифрование содержимого в расположениях Microsoft 365

Поддерживаемые действия: OneDrive

• Ограничение доступа или шифрование содержимого в расположениях Microsoft 365

Поддерживаемые действия: сообщения чата и канала Teams

• Ограничение доступа или шифрование содержимого в расположениях Microsoft 365

Поддерживаемые действия: Устройства

Вы можете указать DLP для Audit only, Block with overrideили Block (действия) этих действий пользователей для подключенных устройств.

• Ограничение доступа или шифрование содержимого в расположениях Microsoft 365
• Аудит или ограничение действий при доступе пользователей к конфиденциальным сайтам в браузерах Microsoft Edge на устройствах Windows
• Аудит или ограничение действий на устройствах
• Действия домена службы и браузера
• Действия с файлами для всех приложений
• Действия ограниченных приложений
• Действия с файлами для приложений в группах ограниченных приложений (предварительная версия)

Ограничение доступа или шифрование содержимого в расположениях Microsoft 365

Используйте его, чтобы запретить пользователям получать электронную почту или получать доступ к общим файлам SharePoint, OneDrive, файлам Teams и элементам PowerBI. Это действие может заблокировать всех пользователей или заблокировать только тех, кто находится за пределами вашей организации.

Аудит или ограничение действий при доступе пользователей к конфиденциальным сайтам в браузерах Microsoft Edge на устройствах Windows

Используйте это действие для управления попытками пользователей:

Действие	Описание и параметры
Печать сайта	Определяет, когда пользователи пытаются распечатать защищенный сайт с подключенных устройств.
Копирование данных с сайта	Определяет, когда пользователи пытаются скопировать данные с защищенного сайта с подключенных устройств.
Сохранение сайта в виде локальных файлов (сохранить как)	Определяет, когда пользователи пытаются сохранить защищенный сайт в качестве локальных файлов с подключенных устройств.

Аудит или ограничение действий на устройствах

Используйте его для ограничения действий пользователей по действиям домена службы и браузера, действиям файлов для всех приложений, действиям ограниченных приложений. Чтобы использовать действия аудита или ограничения на устройствах, необходимо настроить параметры в параметрах защиты от потери данных и в политике, в которой вы хотите их использовать. Дополнительные сведения см. в статье Ограниченные приложения и группы приложений .

Действия домена службы и браузера

Когда вы настраиваете домены облачной службы и список Не разрешенных браузеров (см. раздел Ограничения браузера и домена для конфиденциальных данных) и пользователь пытается отправить защищенный файл в домен облачной службы или получить к нему доступ из неразрешенного браузера, можно настроить действие политики для Audit only, Block with overrideили Block действия.

Действие	Описание и параметры
Отправка в домен облачных служб с ограниченным доступом или доступ из не разрешенного приложения	Определяет, когда защищенные файлы заблокированы или разрешены для отправки в домены облачной службы. См. статьи Ограничения браузера и домена для конфиденциальных данных и Сценарий 6. Мониторинг или ограничение действий пользователей в конфиденциальных доменах служб).
Вставка в поддерживаемые браузеры	Определяет, когда пользователи вставляют конфиденциальную информацию в текстовое поле или веб-форму с помощью Microsoft Edge, Google Chrome (с расширением Microsoft Purview) или Mozilla Firefox (с расширением Microsoft Purview). Оценка не зависит от классификации исходного файла. Дополнительные сведения см. в разделе Действия конечных точек, которые можно отслеживать и выполнять действия.

Действия с файлами для всех приложений

С помощью параметра Действия файлов для всех приложений выберите Не ограничивать действия файлов или Применить ограничения к определенным действиям. При выборе параметра Применить ограничения к определенным действиям выбранные здесь действия применяются, когда пользователь получил доступ к защищенному элементу защиты от потери данных.

Действие	Описание и параметры
Копирование в буфер обмена	Определяет, когда защищенные файлы копируются в буфер обмена на подключенном устройстве. Дополнительные сведения см. в разделах Действия конечных точек, которые можно отслеживать и выполнять, и Копирование в буфер обмена.
Копирование на съемные устройства	Определяет, когда защищенные файлы копируются или перемещаются с подключенного устройства на съемные USB-устройства. Дополнительные сведения см. в разделе Группы съемных USB-устройств.
Копирование в сетевую папку	Определяет, когда защищенные файлы копируются или перемещаются с подключенного устройства в любую сетевую папку. Дополнительные сведения см. в статье Покрытие общих сетевых папок и исключения.
Print	Определяет, когда защищенный файл печатается с подключенного устройства. Дополнительные сведения см. в разделе Группы принтеров.
Копирование или перемещение с использованием запрещенного приложения Bluetooth	Определяет, когда защищенный файл копируется или перемещается с подключенного устройства с Windows с помощью не разрешенного приложения Bluetooth. Дополнительные сведения см. в разделе Не разрешенные (ограниченные) приложения Bluetooth. Это не поддерживается для macOS.
Копирование или перемещение с помощью RDP	Определяет, когда пользователи копируют или перемещают защищенные файлы с подключенного устройства Windows в другое расположение с помощью протокола RDP. Это не поддерживается для macOS.

Действия ограниченных приложений

Ранее назывались неоплаченными приложениями, действия с ограниченными приложениями — это приложения, на которые вы хотите наложить ограничения. Эти приложения определяются в списке в параметрах защиты от потери данных в конечной точке. Когда пользователь пытается получить доступ к защищенному файлу защиты от потери данных с помощью приложения, которое находится в списке, можно либо Audit only, Block with overrideлибо Block действие. Действия защиты от потери данных, определенные в разделе Действия ограниченных приложений , переопределяются, если приложение является членом группы приложений с ограниченным доступом. Затем применяются действия, определенные в группе ограниченных приложений.

Действие	Описание и параметры
Доступ с помощью приложений с перемеченным доступом	Определяет, когда не разрешенные приложения пытаются получить доступ к защищенным файлам на подключенном устройстве Windows. Дополнительные сведения см. в разделе Ограниченные приложения и группы приложений.

Действия с файлами для приложений в группах ограниченных приложений (предварительная версия)

Вы определяете ограниченные группы приложений в параметрах защиты от потери данных в конечной точке и добавляете ограниченные группы приложений в политики. При добавлении ограниченной группы приложений в политику необходимо выбрать один из следующих параметров:

• Не ограничивать действия с файлами
• Применение ограничений ко всем действиям
• Применение ограничений к определенному действию

Если выбрать один из параметров Применить ограничения и пользователь пытается получить доступ к защищенному файлу защиты от потери данных с помощью приложения, которое входит в группу приложений с ограниченным доступом, вы можете Audit onlyлибо , Block with overrideлибо Block действием. Действия защиты от потери данных, определенные здесь, переопределяют действия, определенные в разделе Ограниченные действия приложения и Действия файлов для всех приложений приложения.

Дополнительные сведения см. в разделе Ограниченные приложения и группы приложений .

Примечание.

Расположение устройств предоставляет множество вложенных действий (условий) и действий. Дополнительные сведения см. в статье Действия конечных точек, которые можно отслеживать и выполнять.

Важно!

Условие Копирования в буфер обмена определяет, когда пользователь копирует сведения из защищенного файла в буфер обмена. Используйте функцию Копирования в буфер обмена для блокировки, блокировки с переопределением или аудита, когда пользователи копируют данные из защищенного файла.

Условие Вставить в поддерживаемые браузеры определяет, когда пользователь пытается вставить конфиденциальный текст в текстовое поле или веб-форму с помощью Microsoft Edge, Google Chrome с расширением Microsoft Purview или Mozilla Firefox с расширением Microsoft Purview независимо от того, откуда поступила эта информация. Используйте команду Вставить в поддерживаемые браузеры для блокировки, блокировки с переопределением или аудита при вставке пользователями конфиденциальной информации в текстовое поле или веб-форму.

Действия экземпляров

• Ограничение доступа или шифрование содержимого в расположениях Microsoft 365
• Ограничение сторонних приложений

Действия локальных репозиториев

• Ограничьте доступ или удалите локальные файлы.
  • Запрет доступа пользователей к файлам, хранящимся в локальных репозиториях
  • Установка разрешений на файл (разрешения, унаследованные от родительской папки)
  • Перемещение файла из места, где он хранится, в папку карантина

Подробные сведения см. в разделе Действия локального репозитория защиты от потери данных .

Действия Power BI

• Уведомлять пользователей с помощью сообщения электронной почты и подсказок политики
• Отправка оповещений администратору

Действия, доступные при объединении расположений

Если выбрать Exchange и любое другое отдельное расположение для политики, к ней будет применена

• Ограничьте доступ или зашифруйте содержимое в расположениях Microsoft 365. Доступны все действия для действий расположения, отличных от Exchange.

Если выбрано два или более расположений, не относящихся к Exchange, для политики, к ней будет применено значение

• Ограничьте доступ или зашифруйте содержимое в расположениях Microsoft 365, и будут доступны все действия для действий расположений, отличных от Exchange.

Например, если выбрать расположения Exchange и Устройства, будут доступны следующие действия:

• Ограничение доступа или шифрование содержимого в расположениях Microsoft 365
• Аудит или ограничение действий на устройствах Windows

Если выбрать Устройства и экземпляры, будут доступны следующие действия:

• Ограничение доступа или шифрование содержимого в расположениях Microsoft 365
• Аудит или ограничение действий на устройствах Windows
• Ограничение сторонних приложений

Вступает ли действие в силу или нет, зависит от того, как вы настраиваете режим политики. Вы можете запустить политику в режиме имитации с подсказкой политики или без нее, выбрав параметр Запустить политику в режиме имитации . Вы решили запустить политику сразу через час после ее создания, выбрав параметр Включить ее сразу, или вы можете просто сохранить ее и вернуться к ней позже, выбрав параметр Отключить .

Ограничения платформы защиты от потери данных для действий

Имя действия	Workload	Ограничения
Ограничение доступа или шифрование содержимого в Microsoft 365	EXO,SPO/ODB
Установка заголовков	EXO
Удаление заголовка	EXO
Перенаправление сообщения определенным пользователям	EXO	Всего 100 во всех правилах защиты от потери данных. Не может быть DL/SG
Пересылать сообщение для утверждения руководителю отправителя	EXO	Диспетчер должен быть определен в AD
Пересылка сообщения для утверждения определенным утверждателям	EXO	Группы не поддерживаются
Добавление получателя в поле "К "	EXO	Число <получателей = 10; Не может быть DL/SG
Добавление получателя в поле Копия	EXO	Число <получателей = 10; Не может быть DL/SG
Добавление получателя в поле СК	EXO	Число <получателей = 10; Не может быть DL/SG
Добавление диспетчера отправителя в качестве получателя	EXO	Атрибут Manager должен быть определен в AD
Применение html-заявления об отказе от ответственности	EXO
Тема prepend	EXO
Применение шифрования сообщений	EXO
Удаление шифрования сообщений	EXO

Уведомления пользователей и советы по политике

Когда пользователь пытается выполнить действие с конфиденциальным элементом в контексте, который соответствует условиям правила (например, содержимое, например книга Excel на сайте OneDrive, которая содержит персональные данные и предоставляется гостю), вы можете сообщить ему об этом с помощью сообщений электронной почты с уведомлениями пользователей и всплывающих всплывающих окон подсказки политики в контексте. Эти уведомления полезны, так как они повышают осведомленность и помогают информировать пользователей о политиках защиты от потери данных в вашей организации.

Важно!

• Сообщения электронной почты с уведомлениями отправляются без защиты.
• Email уведомления поддерживаются только для служб Microsoft 365.

поддержка уведомлений Email по выбранному расположению

Выбранное расположение	Поддерживаемые уведомления Email
Устройства	— не поддерживается
Exchange + устройства	— Поддерживается для Exchange — не поддерживается для устройств.
Exchange	-Поддерживается
SharePoint + устройства	— поддерживается для SharePoint — не поддерживается для устройств.
SharePoint	-Поддерживается
Exchange + SharePoint	— Поддерживается для Exchange — поддерживается для SharePoint.
Устройства + SharePoint + Exchange	— Не поддерживается для устройств — поддерживается Для SharePoint поддерживается для Exchange.
Teams	— не поддерживается
OneDrive	— Поддерживается для OneDrive для работы или учебы — не поддерживается для устройств.
Power-BI	— не поддерживается
Экземпляров	— не поддерживается
Локальные репозитории	— не поддерживается
Exchange + SharePoint + OneDrive	— Поддерживается для Exchange — поддерживается для SharePoint — поддерживается для OneDrive.

Вы также можете предоставить пользователям возможность переопределить политику, чтобы они не блокировались, если у них есть допустимые бизнес-потребности или если политика обнаруживает ложноположительный результат.

Параметры конфигурации уведомлений пользователей и подсказок политики зависят от выбранных расположений мониторинга. Если вы выбрали:

• Exchange
• SharePoint;
• OneDrive;
• Чат и канал Teams
• Экземпляров

Вы можете включить или отключить уведомления пользователей для различных приложений Майкрософт. См. статью Советы по политике защиты от потери данных.

• Вы можете включить или отключить уведомления с помощью подсказки политики.
  • Уведомления по электронной почте для пользователя, отправившего, поделившегося или последнего изменения содержимого ИЛИ
  • уведомлять определенных людей

и настройте текст сообщения электронной почты, тему и текст подсказки политики.

Подробные сведения о настройке сообщений электронной почты с уведомлениями пользователей см. в разделе Пользовательские Уведомления по электронной почте.

Если вы выбрали только устройства, вы получите все те же параметры, которые доступны для Exchange, SharePoint, OneDrive, чата и канала Teams, а также экземпляров, а также возможность настройки заголовка и содержимого уведомлений, отображаемых на устройстве Windows 10/11.

Заголовок и текст текста можно настроить с помощью следующих параметров.

Общее имя	Параметр	Пример
имя файла	%%FileName%%	Документ Contoso 1
имя процесса	%%ProcessName%%	Word
имя политики	%%PolicyName%%	Строго конфиденциальность Contoso
action	%%AppliedActions%%	вставка содержимого документа из буфера обмена в другое приложение

Настраиваемые всплывающие окна ограничения символов

На уведомления пользователей распространяются следующие ограничения символов:

Переменная	Ограничение символов
DLP_MAX-SIZE-TITLE	120
DLP_MAX-SIZE-CONTENT	250
DLP_MAX-SIZE-JUSTIFICATION	250

%%AppliedActions%% подставляет эти значения в текст сообщения:

общее имя действия	значение, замещенное в для параметра %%AppliedActions%%
копирование в удаляемое хранилище	запись в съемный носитель
копирование в сетевую папку	запись в общую сетевую папку
Печати	Печати
вставка из буфера обмена	вставка из буфера обмена
копирование через Bluetooth	передача через Bluetooth
Открыть с помощью не разрешенного приложения	открытие с помощью этого приложения
копирование на удаленный рабочий стол (RDP)	перенос на удаленный рабочий стол
отправка на не разрешенный веб-сайт	отправка на этот сайт
доступ к элементу через не разрешенный браузер	открытие с помощью этого браузера

Использование этого настраиваемого текста

%%AppliedActions%% Имя файла %%FileName%% через %%ProcessName%% запрещено вашей организацией. Выберите "Разрешить", если вы хотите обойти политику %%PolicyName%%

создает следующий текст в настраиваемом уведомлении:

Вставка из имени файла буфера обмена: contoso doc 1 через WINWORD.EXE не разрешена вашей организацией. Нажмите кнопку "Разрешить", если вы хотите обойти политику Contoso с высоким уровнем конфиденциальности.

Настраиваемые советы политики можно локализовать с помощью командлета Set-DlpComplianceRule -NotifyPolicyTipCustomTextTranslations.

Примечание.

Уведомления пользователей и советы по политике недоступны для локального расположения

Подсказка политики отображается только для самого строгого правила с самым высоким приоритетом. Например, вместо подсказки для правила, которое только отправляет уведомление, будет показана подсказка политики для правила, блокирующего доступ к контенту. Это позволяет избежать вывода сразу нескольких подсказок политики.

Дополнительные сведения о настройке и использовании уведомлений пользователей и чаевых политик, включая настройку текста уведомлений и подсказок, см. в статье.

• Отправка Уведомления по электронной почте и отображение советов по политикам защиты от потери данных.

Ссылки на подсказки политики

Сведения о поддержке советов по политикам и уведомлений для различных приложений можно найти здесь:

• Справочник по политике защиты от потери данных для Outlook для Microsoft 365
• Справочник по политике защиты от потери данных для Outlook в Интернете
• Советы по политике защиты от потери данных ссылались на SharePoint в Microsoft 365 и OneDrive. веб-клиент

Блокировка и уведомления в SharePoint в Microsoft 365 и OneDrive

В следующей таблице показано поведение блокировки защиты от потери данных и уведомления для политик, которые относятся к SharePoint в Microsoft 365 и OneDrive.

Условия	Конфигурация действий	Конфигурация уведомлений пользователя	Конфигурация отчетов об инцидентах	Блокировка и поведение уведомлений
- Доступ к содержимому осуществляется из Microsoft 365 - с людьми за пределами моей организации	Действия не настроены	- Уведомления пользователей, для которых задано значение При уведомлении пользователей в Office 365 служба с подсказкой политики выбран - параметр Уведомление пользователя, отправившего, поделившегося или последнего изменения содержимого выбрано.-	- Отправка оповещений администраторам при совпадении правила с параметром On - Send каждый раз, когда действие совпадает с правилом, для - отчеты об инцидентах по электронной почте по электронной почте, чтобы уведомлять вас о совпадении политики с установленным значением Включено.	Уведомления будут отправляться только в том случае, если файл предоставляется внешнему пользователю, а внешний пользователь обращается к файлу.
- Доступ к содержимому осуществляется из Microsoft 365 - только с людьми в моей организации	Действия не настроены	- Уведомления пользователей, для которых задано значение При уведомлении пользователей в Office 365 служба с подсказкой политики выбран - параметр Уведомление пользователя, отправившего, поделившегося или последнего изменения содержимого выбрано.-	- Отправка оповещения администраторам при совпадении правила с параметром On - Send каждый раз, когда действие соответствует правилу - Использовать отчеты об инцидентах электронной почты, чтобы уведомлять вас о совпадении политики, для параметра Включено.	Уведомления отправляются при отправке файла
- Доступ к содержимому осуществляется из Microsoft 365 - только с людьми в моей организации	- Выбрано ограничение доступа или шифрование содержимого в расположениях Microsoft 365 - Выбран параметр Запретить пользователям получать электронную почту или получать доступ к общим файлам SharePoint, OneDrive и Teams -Выбор параметра Блокировать всех	- Уведомления пользователей, для которых задано значение При уведомлении пользователей в Office 365 служба с подсказкой политики выбран - параметр Уведомление пользователя, отправившего, поделившегося или последнего изменения содержимого выбрано.-	- Отправка оповещений администраторам при совпадении правила с параметром On - Send Каждый раз, когда действие соответствует правилу, устанавливается значение При - использовании сообщения об инцидентах электронной почты, чтобы уведомлять вас о совпадении политики с установленным значением Включено.	— Доступ к конфиденциальным файлам блокируется сразу после их отправки. — уведомления отправляются при отправке файла.
- Доступ к содержимому осуществляется из Microsoft 365 - с людьми за пределами моей организации	- Параметр Ограничить доступ или зашифровать содержимое в расположениях Microsoft 365 установлен флажок Блокировать получение электронной почты пользователями или доступ к общей папке SharePoint, OneDrive, а для файлов Teams выбран параметр - Блокировать только людей за пределами организации. -	- Уведомления пользователей, для которых задано значение При уведомлении пользователей в Office 365 служба с подсказкой политики выбран - параметр Уведомление пользователя, отправившего, поделившегося или последнего изменения содержимого выбрано.-	- Отправка оповещения администраторам при совпадении правила с параметром On - Send каждый раз, когда действие соответствует правилу - Использовать отчеты об инцидентах электронной почты, чтобы уведомлять вас о совпадении политики, для параметра Включено.	- Доступ к конфиденциальному файлу блокируется сразу после его отправки, независимо от того, является ли документ общим или нет для всех внешних пользователей. — Если конфиденциальная информация добавляется в файл после предоставления общего доступа и доступа к ней пользователем за пределами организации, то будут отправляться оповещения и отчеты об инцидентах. Если документ содержит конфиденциальную информацию перед отправкой, внешний общий доступ будет заблокирован заранее. Так как внешний общий доступ в этом сценарии блокируется при отправке файла, оповещения или отчеты об инцидентах не отправляются. Подавление оповещений и отчетов об инцидентах предназначено для предотвращения потока оповещений для пользователя для каждого заблокированного файла. — Упреждающая блокировка будет отображаться как событие в Обозреватель журнала аудита и действий.
- Доступ к содержимому осуществляется из Microsoft 365 - с людьми за пределами моей организации	- Параметр Ограничить доступ или зашифровать содержимое в расположениях Microsoft 365 выбран параметр Блокировать получение электронной почты пользователями или доступ к общей папке SharePoint, OneDrive, а выбран параметр - Блокировать все выбранные файлы Teams.-	- Уведомления пользователей, для которых задано значение При уведомлении пользователей в Office 365 служба с подсказкой политики выбран - параметр Уведомление пользователя, отправившего, поделившегося или последнего изменения содержимого выбрано.-	- Отправка оповещения администраторам при совпадении правила с параметром On - Send каждый раз, когда действие соответствует правилу - Использовать отчеты об инцидентах электронной почты, чтобы уведомлять вас о совпадении политики, для параметра Включено.	Уведомления отправляются при совместном доступе к файлу внешнему пользователю и доступе внешнего пользователя к файлу.
- Доступ к содержимому осуществляется из Microsoft 365	- Для ограничения доступа или шифрования содержимого в расположениях Microsoft 365 выбран параметр Блокировать только людей, которым был предоставлен доступ к содержимому, с помощью параметра "Любой пользователь со ссылкой". -	- Уведомления пользователей с параметром По - уведомлению пользователей в Office 365 выбрана служба с подсказкой политики. - Уведомление пользователя, отправившего, поделившегося или последнего изменения выбранного содержимого	- Отправка оповещения администраторам при совпадении правила с параметром On - Send каждый раз, когда действие соответствует правилу - Использовать отчеты об инцидентах электронной почты, чтобы уведомлять вас о совпадении политики, для параметра Включено.	Уведомления отправляются сразу после отправки файла.

Дополнительные сведения о URL-адресе

Пользователи могут узнать, почему их действия блокируются. Вы можете настроить сайт или страницу с дополнительными сведениями о политиках. Если выбрать Указать URL-адрес соответствия для конечного пользователя, чтобы узнать больше о политиках вашей организации (доступно только для Exchange), и пользователь получает уведомление о подсказках политики в Outlook Win 32, ссылка Дополнительные сведения будет указывать на URL-адрес сайта, который вы указали. Этот URL-адрес имеет приоритет над URL-адресом глобального соответствия, настроенным с помощью Set-PolicyConfig -ComplainceURL.

Важно!

Необходимо настроить сайт или страницу, на которые с нуля указывает подробнее . Microsoft Purview не предоставляет эту функциональность из коробки.

Переопределения пользователей

Цель переопределений пользователей — предоставить пользователям возможность обойти с обоснованием действия, блокирующие политику защиты от потери данных для конфиденциальных элементов в Exchange, SharePoint, OneDrive или Teams, чтобы они могли продолжить свою работу. Переопределения пользователей включаются только в том случае, если для уведомления пользователей в службах Office 365 включена подсказка политики, поэтому переопределения пользователей идут рука об руку с уведомлениями и советами политики.

Примечание.

Переопределения пользователей недоступны для расположения локальных репозиториев.

Как правило, переопределения пользователей полезны при первом развертывании политики в организации. Отзывы, полученные от любых оправданий переопределения и выявления ложноположительных результатов, помогают в настройке политики.

• Если подсказки политики самого строгого правила разрешают пользователям переопределять его, то также будут переопределены все остальные правила, которым соответствует контент.

X-Header для бизнес-обоснования

Когда пользователь переопределяет блок с действием переопределения в сообщении электронной почты, параметр переопределения и предоставленный текст сохраняются в журнале аудита и в X-заголовке сообщения электронной почты. Чтобы просмотреть бизнес-обоснование переопределения, выполните поиск в журнале аудита по ExceptionInfo значению для получения сведений. Ниже приведен пример значений журнала аудита:

{
    "FalsePositive"; false,
    "Justification"; My manager approved sharing of this content",
    "Reason"; "Override",
    "Rules": [
         "<message guid>"
    ]
}

Если у вас есть автоматизированный процесс, который использует значения бизнес-обоснования, процесс может получить доступ к этой информации программным способом в данных X-заголовка электронной почты.

Примечание.

Значения msip_justification хранятся в следующем порядке:

False Positive; Recipient Entitled; Manager Approved; I Acknowledge; JustificationText_[free text].

Обратите внимание, что значения разделяются точкой с запятой. Максимально допустимое количество свободного текста — 500 символов.

Отчеты об инцидентах

Если правило совпадает, вы можете отправить сотруднику по соответствию требованиям (или любым другим пользователям) оповещение с подробными сведениями о событии и просмотреть их на панели мониторинга оповещений о потере данных Microsoft Purview и на портале Microsoft 365 Defender. Оповещение содержит сведения об элементе, который был сопоставлен, фактическое содержимое, соответствующее правилу, и имя пользователя, который в последний раз изменил содержимое.

В предварительной версии сообщения электронной почты с оповещениями администратора включают такие сведения, как:

• Уровень серьезности оповещений
• Время возникновения оповещения
• Действие.
• Обнаруженные конфиденциальные данные.
• Псевдоним пользователя, действие которого вызвало оповещение.
• Политика, которая была сопоставлена.
• Идентификатор оповещения
• Операция конечной точки, предпринятая, если расположение устройства находится в область политики.
• Используемое приложение.
• Имя устройства, если совпадение произошло на устройстве конечной точки.

Защита от потери данных передает сведения об инцидентах другим Защита информации Microsoft Purview службам, таким как управление внутренними рисками. Чтобы получить сведения об инцидентах для управления внутренними рисками, необходимо установить для параметра Уровень серьезности отчетов об инцидентахзначение Высокий.

Типы оповещений

Оповещения можно отправлять каждый раз, когда действие соответствует правилу, которое может быть шумным, или их можно агрегировать на основе количества совпадений или объема элементов за заданный период времени. Существует два типа оповещений, которые можно настроить в политиках защиты от потери данных.

Оповещения об одном событии обычно используются в политиках, которые отслеживают события с высокой степенью конфиденциальности, которые происходят в малом объеме, например в одном сообщении электронной почты с 10 или более кредитом клиента карта номерах, отправляемых за пределы вашей организации.

Оповещения об агрегатных событиях обычно используются в политиках, которые отслеживают события, происходящие в большем объеме в течение определенного периода времени. Например, совокупное оповещение может быть активировано, когда 10 отдельных сообщений электронной почты с одним номером кредита клиента карта отправляется за пределы вашей организации в течение 48 часов.

Другие параметры оповещений

При выборе параметра Использовать отчеты об инцидентах электронной почты для уведомления о совпадении политики можно включить:

• Имя пользователя, который в последний раз изменял содержимое.
• Типы конфиденциального содержимого, соответствующие правилу.
• Уровень серьезности правила.
• Содержимое, соответствующее правилу, включая окружающий текст.
• Элемент, содержащий содержимое, соответствующее правилу.

Дополнительные сведения об оповещениях см. в разделе:

• Оповещения в политиках защиты от потери данных. Описание оповещений в контексте политики защиты от потери данных.
• Начало работы с оповещениями защиты от потери данных. Сведения о необходимых разрешениях, разрешениях и предварительных требованиях для оповещений защиты от потери данных и справочных сведений об оповещениях.
• Create и развертывание политик защиты от потери данных. Содержит рекомендации по настройке оповещений в контексте создания политики защиты от потери данных.
• Сведения об изучении оповещений защиты от потери данных. В этой статье рассматриваются различные методы изучения оповещений защиты от потери данных.
• Изучение инцидентов потери данных с помощью Microsoft Defender XDR. Как исследовать оповещения защиты от потери данных на портале Microsoft Defender.

Сбор доказательств для действий с файлами на устройствах

Если вы включили настройку сбора доказательств для действий с файлами на устройствах и добавили учетные записи хранения Azure, можно выбрать Сбор исходного файла в качестве подтверждения для всех выбранных действий с файлами в конечной точке и учетной записи хранения Azure, в которую вы хотите скопировать элементы. Необходимо также выбрать действия, для которые нужно скопировать элементы. Например, если выбрать печать , но не Копировать в сетевую папку, в учетную запись хранения Azure будут скопированы только элементы, которые печатаются с отслеживаемых устройств.

Дополнительные параметры

При наличии нескольких правил в политике можно использовать дополнительные параметры для управления дальнейшей обработкой правил, если оно соответствует редактизаемом правилу, а также для задания приоритета для оценки правила.

См. также

• Сведения о защите от потери данных
• Планирование защиты от потери данных (DLP)
• Create и развертывание политик защиты от потери данных