Справочник по политике защиты от потери данных

политики Защита от потери данных Microsoft Purview (DLP) имеют множество компонентов для настройки. Чтобы создать эффективную политику, необходимо понять, что предназначение каждого компонента и как его конфигурация изменяет поведение политики. В этой статье представлена подробная структура политики защиты от потери данных.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас в центре пробных версий Портал соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Подготовка к работе

Если вы не знакомы с Microsoft Purview DLP, вот список основных статей, которые вам понадобятся при реализации защиты от потери данных:

1. Административные единицы (предварительная версия)
2. Сведения о Защита от потери данных Microsoft Purview. В этой статье вы узнаете о дисциплине защиты от потери данных и реализации DLP корпорацией Майкрософт.
3. Ограничения типов конфиденциальной информации . Эти ограничения применяются ко всем политикам Microsoft Purview, которые используют типы конфиденциальной информации.
4. Спланируйте защиту от потери данных (DLP) — проработав эту статью, вы:
   1. Определение заинтересованных лиц
   2. Описание категорий конфиденциальной информации для защиты
   3. Установка целей и стратегии
5. Справочник по политике защиты от потери данных . Эта статья, которую вы читаете, содержит сведения обо всех компонентах политики защиты от потери данных и о том, как каждая из них влияет на поведение политики.
6. Разработка политики защиты от потери данных . В этой статье описано, как создать инструкцию намерения политики и сопоставить ее с определенной конфигурацией политики.
7. Создание и развертывание политик защиты от потери данных . В этой статье представлены некоторые распространенные сценарии намерения политики, которые будут сопоставлены с параметрами конфигурации. В нем также описывается настройка этих параметров.

Кроме того, необходимо учитывать следующие ограничения платформы:

• Максимальное количество политик MIP + MIG в клиенте: 10 000
• Максимальный размер политики защиты от потери данных (100 КБ)
• Максимальное количество правил защиты от потери данных:
  • В политике: ограничивается размером политики.
  • В клиенте: 600
• Максимальный размер отдельного правила защиты от потери данных: 100 КБ (102 400 символов)
• Предел доказательств GIR: 100, с каждым свидетельством SIT, в пропорции вхождения
• Ограничение на извлечение текста: 1 МБ
• Ограничение размера регулярных выражений для всех прогнозируемых совпадений: 20 КБ
• Ограничение длины имени политики: 64 символа
• Ограничение длины правила политики: 64 символа
• Ограничение длины примечания: 1024 символа
• Ограничение длины описания: 1024 символа

Шаблоны политики

Шаблоны политик защиты от потери данных предварительно разделены на четыре категории:

• Те, которые могут обнаруживать и защищать типы финансовой информации.
• Те, которые могут обнаруживать и защищать типы медицинской и медицинской информации.
• Те, которые могут обнаруживать и защищать типы конфиденциальности .
• Настраиваемый шаблон, который можно использовать для создания собственной политики, если один из остальных не соответствует потребностям вашей организации.

В этой таблице перечислены все шаблоны политик и типы конфиденциальной информации (SIT), которые они охватывают.

Категория	Шаблон	СИДЕТЬ
Финансы	Финансовые данные для Австралии	- Код - SWIFT Номер - налогового файла Австралии Номер - банковского счета в АвстралииНомер карта кредита
Финансы	Финансовые данные в Канаде	- Номер - карта кредита Номер банковского счета в Канаде
Финансы	Финансовые данные Франции	- Номер - карта кредита Номер дебетовой карта ЕС
Финансы	Финансовые данные для Германии	- Номер - карта кредита Номер дебетовой карта ЕС
Финансы	Финансовые данные для Израиля	- Номер - банковского счета в ИзраилеКод - SWIFT Номер карта кредита
Финансы	Финансовые данные для Японии	- Номер - банковского счета в ЯпонииНомер карта кредита
Финансы	Стандарт защиты данных PCI (PCI DSS)	- Номер карта кредита
Финансы	Закон Саудовской Аравии о борьбе с киберпреступностью	- Код - SWIFT Номер международного банковского счета (IBAN)
Финансы	Финансовые данные для Саудовской Аравии	- Номер - карта кредита Код - SWIFT Номер международного банковского счета (IBAN)
Финансы	Финансовые данные Великобритании	- Номер - карта кредита Номер - дебетовой карта ЕСКод SWIFT
Финансы	Финансовые данные США	- Номер - карта кредита Номер - банковского счета в СШАНомер маршрутизации ABA
Финансы	Правила федеральной торговой комиссии (FTC) США	- Номер - карта кредита Номер - банковского счета в СШАНомер маршрутизации ABA
Финансы	Закон Gramm-Leach-Bliley (GLBA) (США Gramm-Leach-Bliley Act (GLBA) Enhanced	- Номер - карта кредита Номер - банковского счета в СШАИндивидуальный идентификационный номер налогоплательщика США (ITIN) - Номер социального страхования США (SSN) - Номер -паспорта США/Великобритании Номер - водительского удостоверения СШАВсе полные имена - Физические адреса США
Финансы	Акт Грэма-Лича-Блили (GLBA) для США	- Номер - карта кредита Номер - банковского счета в СШАИндивидуальный идентификационный номер налогоплательщика США (ITIN) - Номер социального страхования США (SSN)
Медицина	Расширенный закон о медицинских записях Австралии (Закон HRIP)	- Номер - налогового файла Австралии Номер - медицинского счета в АвстралииВсе полные имена - Все медицинские условия - Физические адреса Австралии
Медицина	Акт HRIP в Австралии	- Номер - налогового файла АвстралииНомер медицинского счета в Австралии
Медицина	Акт HIA для Канады	- Номер - паспорта Канады Номер - социального страхования в Канаде Номер - службы здравоохранения КанадыЛичный идентификационный номер здоровья Канады
Медицина	Закон Канады о личной медицинской информации (PHIA) Манитоба	- Номер - социального страхования в Канаде Номер - службы здравоохранения КанадыЛичный идентификационный номер здоровья Канады
Медицина	Канадский закон о личном здоровье (PHIPA) Онтарио	- Номер - паспорта Канады Номер - социального страхования в Канаде Номер - службы здравоохранения КанадыЛичный идентификационный номер здоровья Канады
Медицина	Акт о доступе к медицинским отчетам для Соединенного Королевства	- Номер - национальной службы здравоохранения ВеликобританииНомер национального страхования Великобритании (NINO)
Медицина	Закон США о медицинском страховании (HIPAA) расширен	- Международная классификация заболеваний (ICD-9-CM) - Международная классификация заболеваний (ICD-10-CM) - Все полные имена - Все медицинские условия - Физические адреса США
Медицина	Закон о медицинском страховании (HIPAA) для США	- Международная классификация заболеваний (ICD-9-CM) - Международная классификация заболеваний (ICD-10-CM)
Конфиденциальность	Расширенный закон о конфиденциальности Австралии	- Номер - водительского удостоверения Австралии Номер - паспорта АвстралииВсе полные имена - Все медицинские условия - Физические адреса Австралии
Конфиденциальность	Закон о конфиденциальности для Австралии	- Номер - водительского удостоверения АвстралииНомер паспорта Австралии
Конфиденциальность	Персональные данные для Австралии	- Номер - налогового файла АвстралииНомер водительского удостоверения Австралии
Конфиденциальность	Персональные данные для Канады	- Номер - водительского удостоверения Канады Номер - банковского счета в КанадеНомер - паспорта Канады Номер - социального страхования в Канаде Номер - службы здравоохранения КанадыЛичный идентификационный номер здоровья Канады
Конфиденциальность	Акт PIPA для Канады	- Номер - паспорта Канады Номер - социального страхования в Канаде Номер - службы здравоохранения КанадыЛичный идентификационный номер здоровья Канады
Конфиденциальность	Акт PIPEDA для Канады	- Номер - водительского удостоверения Канады Номер - банковского счета в КанадеНомер - паспорта Канады Номер - социального страхования в Канаде Номер - службы здравоохранения КанадыЛичный идентификационный номер здоровья Канады
Конфиденциальность	Закон о защите данных для Франции	- Национальный идентификатор Франции карта (CNI) - Номер социального страхования Франции (INSEE)
Конфиденциальность	Персональные данные для Франции	- Номер социального страхования Франции (INSEE) - Номер - водительского удостоверения ФранцииНомер - паспорта Франции Национальный идентификатор Франции карта (CNI)
Конфиденциальность	Расширенный общий регламент по защите данных (GDPR)	- Физические адреса - Австрии Физические адреса Бельгии - Физические адреса Болгарии - Физические адреса - Хорватии Физические адреса - Кипра Физические адреса в Чешской Республике - Физические адреса - Дании Физические адреса Эстонии - Физические адреса Финляндии - Физические адреса - Для Франции Физические адреса - в Германии Физические адреса - Греции Физические адреса - Венгрии Физические адреса Ирландии - Физические адреса - Италии Физические адреса Латвии - Физические адреса Литвы - Физические адреса Люксембурга - Физические адреса Мальты - Физические адреса Нидерландов - Физические адреса - Польши Португальские физические адреса - Физические адреса - Румынии Физические адреса - Словакии Физические адреса - Словении Физические адреса - Испании Физические адреса - Швеции Номер - социального страхования АвстрииНомер социального страхования Франции (INSEE) - Номер социального страхования Греции (AMKA) - Венгерский номер социального страхования (TAJ) - Номер социального страхования Испании (SSN) - Удостоверение - личности Австрии Удостоверение - личности Кипра Номер - удостоверения личности в ГерманииНомер удостоверения личности Мальты - Национальная идентификационная карта Франции (CNI) - Национальная идентификационная карта - Греции Национальный идентификатор - Финляндии Национальный идентификатор Польши (PESEL) - Национальный идентификатор - Швеции Хорватия Персональный идентификационный номер - (OIB) Чешский персональный идентификационный номер - Персональный идентификационный номер - Дании Личный идентификационный код - Эстонии Личный идентификационный номер - Венгрии Люксембургский национальный идентификационный номер физических лиц - Национальный идентификационный номер Люксембурга (не физические лица) - Финансовый кодекс - Италии Личный код - Латвии Личный код - Литвы Личный числовой код Румынии (CNP) - Номер - службы гражданина Нидерландов (BSN) Номер - личной государственной службы Ирландии (PPS)Единый гражданский номер Болгарии - Национальный номер - Бельгии Испания DNI - Уникальный номер - гражданина Словении Словакия Персональный номер - Номер карточки гражданина Португалии - Номер налогового идентификатора Мальты - Идентификационный номер - налогоплательщика Австрии Идентификационный номер - налогоплательщика Кипра Идентификационный номер налогоплательщика Франции (numéro SPI.) - Идентификационный номер - налогоплательщика в Германии Греческий идентификационный номер - налогоплательщика Идентификационный номер - налогоплательщика в Венгрии Идентификационный номер - налогоплательщика в НидерландахИдентификационный номер - налогоплательщика в Польше Налоговый идентификационный номер Португалии - Идентификационный номер - налогоплательщика Словении Идентификационный номер - налогоплательщика в Испании Идентификационный номер - налогоплательщика в Швеции Австрийские водительские права - Номер - водительского удостоверения Бельгии Номер - водительского удостоверения в Болгарии Номер - водительского удостоверения в Хорватии Номер - водительского удостоверения Кипра Номер - водительского удостоверения в Чехии Номер - водительского удостоверения Дании Номер - водительского удостоверения в Эстонии Номер - водительского удостоверения Финляндии Номер - водительского удостоверения Для Франции Номер - водительского удостоверения в Германии Номер - водительского удостоверения Греции Номер - водительского удостоверения Венгрии Номер - водительского удостоверения Ирландии Номер - водительского удостоверения в Италии Номер - водительского удостоверения Латвии Номер - водительского удостоверения в Литве Номер - водительского удостоверения Люксембурга Номер - водительского удостоверения Мальты Номер - водительского удостоверения Нидерландов Номер - водительского удостоверения в Польше Номер - водительского удостоверения Португалии Номер - водительского удостоверения Румынии Номер - водительского удостоверения Словакии Номер - водительского удостоверения Словении Номер - водительского удостоверения в Испании Номер - водительского удостоверения ШвецииНомер - паспорта Австрии Номер - паспорта БельгииНомер паспорта Болгарии - Номер - паспорта Хорватии Номер - паспорта Кипра Номер паспорта в Чешской Республике - Номер - паспорта Дании Номер паспорта в Эстонии - Номер паспорта Финляндии - Номер - паспорта для ФранцииНомер - немецкого паспорта Номер - паспорта Греции Номер - паспорта Венгрии Номер паспорта Ирландии - Номер - паспорта Италии Номер - паспорта Латвии Номер - паспорта Литвы Номер - паспорта ЛюксембургаНомер паспорта Мальты - Номер - паспорта НидерландовПаспорт - Польши Номер паспорта Португалии - Номер - паспорта Румынии Номер - паспорта в СловакииНомер - паспорта Словении Номер - паспорта Испании Номер - шведского паспорта Номер - дебетовой карты ЕСВсе полные имена
Конфиденциальность	Общий регламент по защите данных (GDPR).	- Номер - дебетовой карта ЕС Номер - водительского удостоверения ЕСНациональный идентификационный номер - ЕС Номер - паспорта ЕС Номер социального страхования в ЕС или эквивалентная идентификация - Идентификационный номер налогоплательщика ЕС
Конфиденциальность	Персональные данные для Германии	- Номер - водительского удостоверения в ГерманииНомер паспорта Германии
Конфиденциальность	Персональные данные для Израиля	- Национальный идентификационный номер в Израиле
Конфиденциальность	Защита конфиденциальности для Израиля	- Национальный идентификационный номер - в Израиле Номер банковского счета в Израиле
Конфиденциальность	Расширенные данные о персональных данных (PII) в Японии	- Номер социального страхования в Японии (SIN) - Япония Мой номер — Персональный - Номер - паспорта в Японии Номер - водительского удостоверения в ЯпонииВсе полные имена - Физические адреса Японии
Конфиденциальность	Персональные данные для Японии	- Номер - регистрации резидента ЯпонииНомер социального страхования в Японии (SIN)
Конфиденциальность	Расширенная защита персональных данных в Японии	- Номер социального страхования в Японии (SIN) - Япония Мой номер — Персональный - Номер - паспорта в Японии Номер - водительского удостоверения в ЯпонииВсе полные имена - Физические адреса Японии
Конфиденциальность	Защита личной информации в Японии	- Номер - регистрации резидента ЯпонииНомер социального страхования в Японии (SIN)
Конфиденциальность	Персональные данные Саудовской Аравии	- Национальный идентификатор Саудовской Аравии
Конфиденциальность	Закон о защите данных для Соединенного Королевства	- Номер национального страхования Великобритании (NINO) - Номер - паспорта США/ВеликобританииКод SWIFT
Конфиденциальность	Нормы конфиденциальности и электронных коммуникаций для Соединенного Королевства	- Код SWIFT
Конфиденциальность	Персональные данные для Соединенного Королевства	- Номер национального страхования Великобритании (NINO) - Номер паспорта США/Великобритании
Конфиденциальность	Кодекс использования персональных данных в Интернете (PIOCP) для Соединенного Королевства	- Номер национального страхования Великобритании (NINO) - Номер - национальной службы здравоохранения ВеликобританииКод SWIFT
Конфиденциальность	Патриотический акт США улучшен	- Номер - карта кредита Номер - банковского счета в СШАИндивидуальный идентификационный номер налогоплательщика США (ITIN) - Номер социального страхования США (SSN) - Все полные имена - Физические адреса США
Конфиденциальность	Патриотический акт США	- Номер - карта кредита Номер - банковского счета в СШАИндивидуальный идентификационный номер налогоплательщика США (ITIN) - Номер социального страхования США (SSN)
Конфиденциальность	Улучшены данные личных сведений (PII) США	- Индивидуальный идентификационный номер налогоплательщика США (ITIN) - Номер социального страхования США (SSN) - Номер - паспорта США/ВеликобританииВсе полные имена - Физические адреса США
Конфиденциальность	Персональные данные для США	- Индивидуальный идентификационный номер налогоплательщика США (ITIN) - Номер социального страхования США (SSN) - Номер паспорта США/Великобритании
Конфиденциальность	Улучшены законы сша об уведомлении о нарушениях	- Номер - карта кредита Номер -банковского счета в США Номер - водительского удостоверения СШАНомер социального страхования США (SSN) - Все полные имена - Номер - паспорта США/ВеликобританииВсе медицинские условия
Конфиденциальность	Государственные законы об уведомлении о нарушениях безопасности для США	- Номер - карта кредита Номер -банковского счета в США Номер - водительского удостоверения СШАНомер социального страхования США (SSN)
Конфиденциальность	Законы о конфиденциальности номеров социального страхования США	- Номер социального страхования США (SSN)

Область политики

См. раздел Административные единицы (предварительная версия), чтобы убедиться, что вы понимаете разницу между неограниченным администратором и администратором с ограниченным доступом к административной единице.

Политики защиты от потери данных ограничены двумя разными уровнями. Первый уровень применяет политики неограниченного область администраторов ко всем:

• users
• groups
• группы рассылки
• учетные записи
• сайты
• Экземпляры облачных приложений
• локальные репозитории
• Рабочие области Power BI

в вашей организации (в зависимости от выбранных расположений) или в подгруппах организации, называемых политиками ограниченного доступа к административным единицам (предварительная версия).

На этом уровне администратор с ограниченным доступом к административной единице сможет выбрать только те административные единицы, которым они назначены.

Второй уровень области политики защиты от потери данных — это расположения , которые поддерживают DLP. На этом уровне администраторы без ограничений и администраторы, ограниченные административными единицами, будут видеть только пользователей, группы рассылки, группы и учетные записи, которые были включены в первый уровень области политики и доступны для этого расположения.

Неограниченные политики

Неограниченные политики создаются и управляются пользователями в следующих группах ролей:

• Администратор соответствия требованиям
• Администратор данных о соответствии требованиям
• Защита информации
• Администратор Information Protection
• Администратор безопасности

Дополнительные сведения см. в разделе Разрешения .

Администраторы без ограничений могут управлять всеми политиками и просматривать все оповещения и события, которые передаются из совпадений политик, на панели мониторинга оповещений и действий защиты от потери данных Обозреватель.

Политики с ограниченным доступом к административной единице (предварительная версия)

Административные единицы — это подмножества Azure Active Directory, которые создаются для управления коллекциями пользователей, групп, групп рассылки и учетных записей. Эти коллекции обычно создаются в соответствии с бизнес-группами или геополитическими областями. Административные единицы имеют делегированного администратора, связанного с административной единицей в группе ролей. Они называются администраторами с ограниченным доступом к административным единицам.

Защита от потери данных поддерживает связывание политик с административными единицами. Дополнительные сведения о реализации см. в разделе Административные единицы в Портал соответствия требованиям Microsoft Purview. Администраторы административных единиц должны быть назначены одной из ролей или групп ролей, что и администраторы политик неограниченной защиты от потери данных, чтобы создавать политики защиты от потери данных для своей административной единицы и управлять ими.

Группа административных ролей защиты от потери данных	Cna
Неограниченный администратор	— создание и область политик защиты от потери данных для всей организации . Изменение всех политик защиты от потери данных; создание и область политики защиты от потери данных в административных единицах ; просмотр всех оповещений и событий из всех политик защиты от потери данных
Администратор с ограниченным доступом к административной единице — должен быть членом или назначенным группе ролей или роли, которые могут администрировать защиту от потери данных.	— создавать и область политики защиты от потери данных только для административной единицы, в которую они назначены . Изменение политик защиты от потери данных, связанных с административной единицей , просмотр оповещений и событий только из политик защиты от потери данных, которые относятся к их административной единице.

Расположения

Политика защиты от потери данных может находить и защищать элементы, содержащие конфиденциальную информацию, в нескольких расположениях.

Расположение	Поддержка административных единиц	Включение и исключение область	Состояние данных	Дополнительные предварительные требования
Exchange	Да	- Группы рассылки - Группы безопасности - Группы безопасности, не поддерживающие почту, - Динамические списки рассылки - Группы Microsoft 365 (только участники группы, а не группа в качестве сущности)	данные в движении	Нет
SharePoint	Нет	Сайты	неактивных данных при использовании	Нет
OneDrive	Да	— Группы рассылки — группы безопасности— группы безопасности, не поддерживающие почту, — группы Microsoft 365 (только участники группы, а не группа в качестве сущности)	неактивных данных при использовании	Нет
сообщения в чатах и каналах Teams	Да	— Группы рассылки — группы безопасности— группы безопасности, не поддерживающие почту, — группы Microsoft 365 (только участники группы, а не группа в качестве сущности)	данные при перемещении данных в использовании	Нет
Microsoft Defender for Cloud Apps	Нет	Экземпляр облачного приложения	неактивных данных	- Использование политик защиты от потери данных для облачных приложений сторонних разработчиков
Устройства	Да	— Группы рассылки — группы безопасности— группы безопасности, не поддерживающие почту, — группы Microsoft 365 (только участники группы, а не группа в качестве сущности)	неактивных данных при использовании данных в движении	- Сведения о защите от потери данных конечных - точек Начало работы с предотвращением - потери данных конечной точки Настройка параметров прокси-сервера устройства и подключения к Интернету для Information Protection
Локальные репозитории (общие папки и SharePoint)	Нет	Репозиторий	неактивных данных	- Сведения о защите от потери данных в локальных репозиториях - Начало работы с локальными репозиториями защиты от потери данных
Power BI	Нет	Рабочие области	данные в использовании	Нет
Сторонние приложения	Нет	Нет	Нет	Нет
Power BI	Нет	Нет	Нет	Нет

Определение расположения Exchange

Если вы решили включить определенные группы рассылки в Exchange, политика защиты от потери данных ограничивается только сообщениями электронной почты, отправленными членами этой группы. Аналогичным образом при исключении группы рассылки все сообщения электронной почты, отправленные членами этой группы рассылки, исключаются из оценки политики.

Отправитель —	Получатель	Результирующий поведение
В область	Недоступно	Политика применена
Вне области поддержки	В область	Политика не применяется

Вычисление расположения exchange область

Ниже приведен пример вычисления область расположения Exchange

Предположим, что в вашей организации есть четыре пользователя: U1, U2, U3, U4 и две группы рассылки DG1 и DG2 , которые вы будете использовать для определения областей включения расположения Exchange и исключений. Членство в группах настраивается следующим образом:

Группа рассылки	Участие
DG1	U1, U2
DG2	U2, U3

U4 не является членом какой-либо группы.

Включить параметр	Параметр "Исключить"	Политика применяется к	Политика не применяется к	Объяснение поведения
Все	Нет	Все отправители в организации Exchange (U1, U2, U3, U4)	Недоступно	Если ни один из них не определен, включаются все отправители
DG1	Нет	Отправители-члены DG1 (U1, U2)	Все отправители, которые не являются членами DG1 (U3, U4)	Если один параметр определен, а другой — нет, используется определенный параметр
Все	DG2	Все отправители в организации Exchange, которые не являются членами DG2 (U1, U4)	Все отправители, являющиеся членами DG2 (U2, U3)	Если один параметр определен, а другой — нет, используется определенный параметр
DG1	DG2	U1	U2, U3, U4	Исключение переопределений включает

Вы можете применять политику ко всем участникам списков рассылки, динамических групп рассылки и групп безопасности. Политика защиты от потери данных может содержать до 50 таких инструкций по включению и исключению.

Область расположения SharePoint и OneDrive

Если вам потребуется включить или исключить определенные сайты SharePoint или учетные записи OneDrive, имейте в виду, что политика защиты от потери данных может содержать не более 100 подобных включений или исключений. Это ограничение можно превысить, применив политику ко всей организации или к целым расположениям.

Если вам потребуется включить или исключить определенные учетные записи или группы OneDrive, имейте в виду, что политика защиты от потери данных может содержать в качестве подобных включений или исключений не более 100 учетных записей пользователей или 50 групп.

Поддержка расположения для определения содержимого

Политики защиты от потери данных обнаруживают конфиденциальные элементы, сопоставляя их с типом конфиденциальной информации (SIT), меткой конфиденциальности или меткой хранения. Каждое расположение поддерживает различные методы определения конфиденциального содержимого. При объединении расположений в политике способ определения содержимого может меняться по принципу определения в одном расположении.

Важно!

При выборе нескольких расположений для политики значение "нет" для категории определения контента имеет приоритет над значением "да". Например, при выборе только сайтов SharePoint политика будет поддерживать обнаружение конфиденциальных элементов с помощью одного или нескольких элементов SIT, метки конфиденциальности или метки хранения. Но при выборе сайтов SharePoint и расположений сообщений чата и каналов Teams политика будет поддерживать только обнаружение конфиденциальных элементов с помощью SIT.

Расположение	Содержимое может быть определено с помощью SIT	Содержимое может быть определено меткой конфиденциальности	Содержимое можно определить с помощью метки хранения
Электронная почта Exchange в Интернете	Да	Да	Нет
Сайты SharePoint Online	Да	Да	Да
учетные записи OneDrive для бизнеса;	Да	Да	Да
Сообщения чата и канала Teams	Да	Нет	Нет
Устройства	Да	Да	Нет
Microsoft Defender for Cloud Apps	Да	Да	Да
Локальные репозитории	Да	Да	Нет
Power BI	Да	Да	Нет

DLP поддерживает использование обучаемых классификаторов в качестве условия для обнаружения конфиденциальных документов. Содержимое можно определить с помощью обучаемых классификаторов в Exchange Online, сайтах SharePoint Online, учетных записях OneDrive для бизнеса, чатах и каналах Teams, а также устройствах. Дополнительные сведения см. в разделе Обучаемые классификаторы.

Примечание.

Защита от потери данных поддерживает обнаружение меток конфиденциальности в сообщениях электронной почты и вложениях. Дополнительные сведения см. в статье Использование меток конфиденциальности в качестве условий в политиках защиты от потери данных.

Rules

Правила — это бизнес-логика политик защиты от потери данных. Они состоят из следующих:

• Условия , которые при совпадении активируют политику
• Действия , выполняемые при активации политики
• Уведомления пользователей , информирующие пользователей о том, что они делают что-то, что активирует политику, и помогают информировать их о том, как ваша организация хочет обрабатывать конфиденциальную информацию
• Переопределения пользователей при настройке администратором позволяют пользователям выборочно переопределять действие блокировки
• Отчеты об инцидентах , уведомляющие администраторов и других ключевых заинтересованных лиц о совпадении правил
• Дополнительные параметры , которые определяют приоритет для оценки правил и могут остановить дальнейшую обработку правил и политик.

Политика содержит одно или несколько правил. Правила применяются последовательно, начиная с правила с наивысшим приоритетом, в каждой политике.

Приоритет, по которому оцениваются и применяются правила;

Рабочие нагрузки размещенных служб

Для рабочих нагрузок размещенной службы, таких как Exchange Online, SharePoint Online и OneDrive для бизнеса, каждому правилу присваивается приоритет в том порядке, в котором оно создается. Это означает, что правило, созданное первым, имеет первый приоритет, созданное второе правило имеет второй приоритет и т. д.

При проверке соответствия контента правилам правила обрабатываются в порядке их приоритета. Если содержимое соответствует нескольким правилам, применяется первое вычислимые правила с самыми строгими действиями. Например, если содержимое соответствует всем приведенным ниже правилам, правило 3 применяется, так как это правило с наивысшим приоритетом, наиболее строгим правилом:

• Правило 1: только уведомляет пользователей
• Правило 2: уведомляет пользователей, ограничивает доступ и разрешает переопределения
• Правило 3. Уведомляет пользователей, ограничивает доступ и не разрешает переопределения пользователей
• Правило 4. Ограничивает доступ

Правила 1, 2 и 4 будут оцениваться, но не применяться. В этом примере совпадения для всех правил записываются в журналы аудита и отображаются в отчетах защиты от потери данных, даже если применяется только самое строгое правило.

Вы можете использовать какое-либо правило для выполнения определенного требования защиты, а затем с помощью политики защиты от потери данных сгруппировать стандартные требования к защите, например все правила, необходимые для выполнения требований того или иного нормативного акта.

Можно создать политику защиты от потери данных, которая помогает обнаруживать информацию, попадающую под действие акта о передаче и защите данных учреждений здравоохранения (HIPAA). Эта политика поможет защитить данные HIPAA (объект защиты) на всех сайтах SharePoint Online и OneDrive для бизнеса (расположение), выявляя все документы с подобной конфиденциальной информацией, доступ к которым предоставлен пользователям не из вашей организации (условия), а затем блокируя доступ к этим документам и отправляя уведомления (действия). Эти требования хранятся в виде отдельных правил и сгруппированы в политику защиты от потери данных, чтобы упростить управление и создание отчетов.

Для конечных точек

Если элемент соответствует нескольким правилам защиты от потери данных, DLP использует сложный алгоритм, чтобы решить, какие действия следует применить. Конечная точка защиты от потери данных будет применять агрегат или сумму большинства ограничительных действий. Защита от потери данных использует эти факторы при вычислении.

Порядок приоритета политики Если элемент соответствует нескольким политикам и эти политики имеют идентичные действия, применяются действия из политики с наивысшим приоритетом.

Порядок приоритета правила Если элемент соответствует нескольким правилам в политике и эти правила имеют одинаковые действия, применяются действия из правила с наивысшим приоритетом.

Режим политики Если элемент соответствует нескольким политикам и эти политики имеют одинаковые действия, действия из всех политик, которые находятся в режиме включения в состояние (режим принудительного применения), применяются преимущественно по сравнению с политиками в разделе Тест с подсказками политики и Состояние теста .

Тип действия, назначенногодействия пользователя. Если элемент соответствует нескольким политикам и эти политики отличаются по действиям, применяется агрегат или сумма наиболее ограничительных действий.

Конфигурация групп авторизации . Если элемент соответствует нескольким политикам и эти политики отличаются по действию, применяется агрегат или сумма наиболее ограничительных действий.

Параметры переопределения Если элемент соответствует нескольким политикам и эти политики отличаются параметром переопределения, действия применяются в следующем порядке:

Нет переопределения>Разрешить переопределение

Ниже приведены сценарии, иллюстрирующие поведение среды выполнения. Для первых трех сценариев у вас есть три политики защиты от потери данных, настроенные следующим образом:

Имя политики	Условие для соответствия	Действие	Приоритет политики
ABC	Содержимое содержит номер карта кредита	Блокировка печати, аудит всех остальных операций исходящего трафика пользователей	0
MNO	Содержимое содержит номер карта кредита	Блокировка копирования на USB,аудит всех остальных исходящих действий пользователей	1
XYZ	Содержимое содержит номер социального страхования США	Блокировка копирования в буфер обмена, аудит всех остальных исходящих действий пользователя	2

Элемент содержит номера карта кредитов

Элемент на отслеживаемом устройстве содержит кредитные карта номера, поэтому он соответствует политике ABC и политике MNO. ABC и MNO находятся в режиме Включить .

Политика	Действие исходящего трафика в облако	Действие "Копировать в буфер обмена"	Действие "Копирование в USB"	Действие "Копировать в общий сетевой ресурс"	Действие "Не разрешенные приложения"	Действие печати	Копирование через действие Bluetooth	Действие "Копирование на удаленный рабочий стол"
ABC	Аудит	Аудит	Аудит	Аудит	Аудит	Блокировка	Аудит	Аудит
MNO	Аудит	Аудит	Блокировка	Аудит	Аудит	Аудит	Аудит	Аудит
Действия, применяемые во время выполнения	Аудит	Аудит	Блокировка	Аудит	Аудит	Блокировка	Аудит	Аудит

Элемент содержит номера кредитной карта и номера социального страхования США

Элемент на отслеживаемом устройстве содержит номера кредитных карта и номера социального страхования США, поэтому этот элемент соответствует политике ABC, политике MNO и политике XYZ. Все три политики находятся в режиме включения .

Политика	Действие исходящего трафика в облако	Действие "Копировать в буфер обмена"	Действие "Копирование в USB"	Действие "Копировать в общий сетевой ресурс"	Действие "Не разрешенные приложения"	Действие печати	Копирование через действие Bluetooth	Действие "Копирование на удаленный рабочий стол"
ABC	Аудит	Аудит	Аудит	Аудит	Аудит	Блокировка	Аудит	Аудит
MNO	Аудит	Аудит	Блокировка	Аудит	Аудит	Аудит	Аудит	Аудит
XYZ	Аудит	Блокировка	Аудит	Аудит	Аудит	Блокировка	Аудит	Аудит
Действия, применяемые во время выполнения	Аудит	Блокировка	Блокировка	Аудит	Аудит	Блокировка	Аудит	Аудит

Элемент содержит кредиты карта номера, различные состояния политики

Элемент на отслеживаемом устройстве содержит номер кредитной карта, поэтому он соответствует политике ABC и политике MNO. Политика ABC находится в режиме включения , а MNO политики находится в тестовом состоянии.

Политика	Действие исходящего трафика в облако	Действие "Копировать в буфер обмена"	Действие "Копирование в USB"	Действие "Копировать в общий сетевой ресурс"	Действие "Не разрешенные приложения"	Действие печати	Копирование через действие Bluetooth	Действие "Копирование на удаленный рабочий стол"
ABC	Аудит	Аудит	Аудит	Аудит	Аудит	Блокировка	Аудит	Аудит
MNO	Аудит	Аудит	Блокировка	Аудит	Аудит	Аудит	Аудит	Аудит
Действия, применяемые во время выполнения	Аудит	Аудит	Аудит	Аудит	Аудит	Блокировка	Аудит	Аудит

Элемент содержит кредитные карта номера, разную конфигурацию переопределения

Элемент на отслеживаемом устройстве содержит номер кредитной карта, поэтому он соответствует политике ABC и политике MNO. Политика ABC находится в разделе Включить состояние , а политика MNO — в положение Включить состояние. Для них настроены разные действия переопределения .

Политика	Действие исходящего трафика в облако	Действие "Копировать в буфер обмена"	Действие "Копирование в USB"	Действие "Копировать в общий сетевой ресурс"	Действие "Не разрешенные приложения"	Действие печати	Копирование через действие Bluetooth	Действие "Копирование на удаленный рабочий стол"
ABC	Аудит	Аудит	Блокировать с переопределением	Аудит	Аудит	Блокировка	Аудит	Аудит
MNO	Аудит	Аудит	Блокировать без переопределения	Аудит	Аудит	Аудит	Аудит	Аудит
Действия, применяемые во время выполнения	Аудит	Аудит	Блокировать без переопределения	Аудит	Аудит	Блокировка	Аудит	Аудит

Элемент содержит кредитные карта номера, различные конфигурации групп авторизации

Элемент на отслеживаемом устройстве содержит номер кредитной карта, поэтому он соответствует политике ABC и политике MNO. Политика ABC находится в разделе Включить состояние , а политика MNO — в положение Включить состояние. Для них настроены разные действия группы авторизации .

Политика	Действие исходящего трафика в облако	Действие "Копировать в буфер обмена"	Действие "Копирование в USB"	Действие "Копировать в общий сетевой ресурс"	Действие "Не разрешенные приложения"	Действие печати	Копирование через действие Bluetooth	Действие "Копирование на удаленный рабочий стол"
ABC	Аудит	Аудит	Группа проверки подлинности A — блок	Аудит	Аудит	Группа проверки подлинности A — блок	Аудит	Аудит
MNO	Аудит	Аудит	Группа проверки подлинности A — блокировка с переопределением	Аудит	Аудит	Группа проверки подлинности B — блок	Аудит	Аудит
Действия, применяемые во время выполнения	Аудит	Аудит	Группа проверки подлинности A — блок	Аудит	Аудит	Группа проверки подлинности A — блокировать, группа проверки подлинности B — блокировать	Аудит	Аудит

Условия

Условия определяют, что нужно искать в правиле, а также контекст, в котором используются эти элементы. Они говорят правилу( когда вы найдете элемент, который выглядит следующим образом и используется как * что), это совпадение, и остальные действия в политике должны выполняться с ним. С помощью условий можно назначать разные действия для разных уровней риска. Например, обмен конфиденциальным контентом внутри организации представляет меньший риск и требует меньше действий, чем предоставление доступа к нему пользователям за пределами организации.

Примечание.

Пользователи с негостевыми учетными записями в клиенте Active Directory и Azure Active Directory главной организации считаются пользователями из организации.

Содержимое содержит

Все расположения поддерживают условие Содержимое содержит . Вы можете выбрать несколько экземпляров каждого типа контента и дополнительно уточнить условия с помощью операторов Любой из этих операторов (логическое ИЛИ) или Все эти операторы (логическое И):

• типы конфиденциальной информации
• метки конфиденциальности
• Метки хранения
• Обучаемые классификаторы

в зависимости от расположений , к которые вы решили применить политику.

Правило будет искать только наличие выбранных меток конфиденциальности и меток хранения .

СИТ имеют предопределенный уровень достоверности , который при необходимости можно изменить. Дополнительные сведения см. в разделе Дополнительные сведения об уровнях достоверности.

Важно!

SiT имеют два разных способа определения параметров max unique instance count. Дополнительные сведения см. в разделе Поддерживаемые значения числа экземпляров для SIT.

Адаптивная защита в Microsoft Purview (предварительная версия)

Адаптивная защита интегрирует Управление внутренними рисками Microsoft Purview профили рисков в политики защиты от потери данных, чтобы защита от потери данных могла защититься от динамически выявленных рисков. При настройке в управлении внутренними рисками уровень риска пользователя для адаптивной защиты будет отображаться в качестве условия для Exchange Online, устройств и расположений Teams. Дополнительные сведения см. в статье Сведения об адаптивной защите в статье Защита от потери данных (предварительная версия).

Условия, поддерживающие адаптивную защиту

• Уровень риска пользователя для адаптивной защиты —

со следующими значениями:

• Повышенный уровень риска
• Средний уровень риска
• Уровень незначительного риска

Контекст условия

Доступные параметры контекста меняются в зависимости от выбранного расположения. При выборе нескольких расположений доступны только те условия, которые имеют общие расположения.

Поддержка Exchange условий

• Содержимое содержит
• Уровень риска пользователя для адаптивной защиты —
• Содержимое не помечено
• Доступ к содержимому осуществляется из Microsoft 365
• Содержимое получено от
• IP-адрес отправителя
• Заголовок содержит слова или фразы
• Атрибут SENDER AD содержит слова или фразы
• Набор символов содержимого содержит слова
• Заголовок соответствует шаблонам
• Атрибут SENDER AD соответствует шаблонам
• Атрибут Ad Recipient содержит слова или фразы
• Атрибут ПОЛУЧАТЕЛЯ AD соответствует шаблонам
• Получатель является членом
• Свойство документа
• Не удалось проверить содержимое любого вложения электронной почты
• Документ или вложение защищены паролем
• Если отправитель переопределил подсказку политики
• Отправитель является членом
• Проверка содержимого любого вложения электронной почты не завершена
• Адрес получателя содержит слова
• Расширение файла :
• Домен получателя
• Получатель
• Отправитель —
• Домен отправителя —
• Адрес получателя соответствует шаблонам
• Имя документа содержит слова или фразы
• Имя документа соответствует шаблонам
• Тема содержит слова или фразы
• Тема соответствует шаблонам
• Тема или текст содержит слова или фразы
• Тема или текст соответствует шаблонам
• Адрес отправителя содержит слова
• Адрес отправителя соответствует шаблонам
• Размер документа равен или больше
• Содержимое документа содержит слова или фразы
• Содержимое документа соответствует шаблонам
• Размер сообщения равен или больше
• Тип сообщения —
• Важность сообщения :

Условия, поддерживаемые SharePoint

• Содержимое содержит
• Доступ к содержимому осуществляется из Microsoft 365
• Свойство документа
• Расширение файла :
• Имя документа содержит слова или фразы
• Размер документа равен или больше
• Документ, созданный
• Документ, созданный членом

Условия, поддерживаемые учетными записями OneDrive

• Содержимое содержит
• Доступ к содержимому осуществляется из Microsoft 365
• Свойство документа
• Расширение файла :
• Имя документа содержит слова или фразы
• Размер документа равен или больше
• Документ, созданный
• Документ, созданный членом
• Документ является общим

Условия, поддерживаемые чатом и сообщениями каналов Teams

• Содержимое содержит
• Уровень риска пользователей для адаптивной защиты —
• Доступ к содержимому осуществляется из Microsoft 365
• Домен получателя — -Recipient is
• Отправитель —
• Домен отправителя —

Условия, поддерживаемые устройствами

• Содержимое содержит
• Уровень риска пользователя для адаптивной защиты —
• Содержимое не помечается (файлы PDF и Office полностью поддерживаются). Этот предикат обнаруживает содержимое, к которому не применена метка конфиденциальности. Чтобы убедиться, что обнаружены только поддерживаемые типы файлов, следует использовать это условие с расширением файла или Тип файла — условия.
• Документ или вложение защищены паролем (файлы PDF, Office, .ZIP и зашифрованные файлы Symantec PGP полностью поддерживаются). Это условие обнаруживает только открытые защищенные файлы.
• Тип файла :
• Расширение файла :
• Пользователь обращается к конфиденциальному веб-сайту из Microsoft Edge. Дополнительные сведения см. в статье Сценарий 6 Мониторинг или ограничение действий пользователей в конфиденциальных доменах служб (предварительная версия).
• См. раздел Действия конечной точки, которые можно отслеживать и выполнять действия.

Важно!

Сведения о требованиях Adobe к использованию функций Защита от потери данных Microsoft Purview (DLP) с PDF-файлами см. в статье Adobe: поддержка Защита информации Microsoft Purview в Acrobat.

Условия, Microsoft Defender for Cloud Apps поддерживаются

• Содержимое содержит
• Доступ к содержимому осуществляется из Microsoft 365

Условия Поддержка локальных репозиториев

• Содержимое содержит
• Расширение файла :
• Свойство документа

Условия, поддерживаемые Power BI

• Содержимое содержит

Группы условий

Иногда требуется правило, чтобы определить только одну вещь, например все содержимое, содержащее номер социального страхования США, который определяется одним SIT. Но во многих сценариях, когда типы элементов, которые вы пытаетесь определить, являются более сложными и, следовательно, труднее определить, требуется большая гибкость при определении условий.

Например, для выявления контента, попадающего под действие акта о передаче и защите данных учреждений здравоохранения HIPAA (США), нужно найти:

• данные, которые содержат определенные типы конфиденциальной информации, например номера социального страхования (SSN) или номера Управления по борьбе с наркотиками США (DEA);

  И

• контент, который определить сложнее, например записи об уходе за пациентом или описания оказанных медицинских услуг. Чтобы выявить такие данные, потребуется выполнить поиск по большим спискам ключевых слов, например по Международной классификации болезней (ICD-9-CM или ICD-10-CM).

Этот тип данных можно определить, группируя условия и используя логические операторы (AND, OR) между группами.

Для Закона США о медицинском страховании (HIPPA) условия сгруппированы следующим образом:

Первая группа содержит SIT, которые идентифицируют человека, а вторая группа содержит SIT, которые определяют медицинский диагноз.

Условия можно сгруппировать и объединить с помощью логических операторов (AND, OR, NOT), чтобы определить правило путем указания того, что следует включить, а затем определить исключения в другой группе, присоединенной к первой с помощью NOT. Дополнительные сведения о том, как Purview DLP реализует логические и вложенные группы, см. в статье Сложное проектирование правил.

Ограничения платформы защиты от потери данных для условий

Предикат	Workload	Ограничение	Стоимость оценки
Содержимое содержит	EXO,SPO/ODB	125 SIT на правило	Высокая
Доступ к содержимому осуществляется из Microsoft 365	EXO,SPO/ODB	-	Высокая
IP-адрес отправителя	EXO	Длина <отдельного диапазона = 128; Число <= 600	Низкая
Если отправитель переопределил подсказку политики	EXO	-	Низкая
Отправитель —	EXO	Длина отдельного сообщения электронной почты <= 256; Число <= 600	Средняя
Отправитель является членом	EXO	Число <= 600	Высокая
Домен отправителя —	EXO	Длина <доменного имени = 67; Число <= 600	Низкая
Адрес отправителя содержит слова	EXO	Длина <отдельного слова = 128; Число <= 600	Низкая
Адрес отправителя соответствует шаблонам	EXO	Длина <регулярного выражения = 128 символов; Число <= 600	Низкая
Атрибут SENDER AD содержит слова	EXO	Длина <отдельного слова = 128; Число <= 600	Средняя
Атрибут Sender AD соответствует шаблонам	EXO	Длина <регулярного выражения = 128 символов; Число <= 600	Средняя
Не удается проверить содержимое вложений электронной почты	EXO	Поддерживаемые типы файлов	Низкая
Неполная проверка содержимого вложения электронной почты	EXO	Размер > 1 МБ	Низкая
Вложение защищено паролем	EXO	Типы файлов: файлы Office, ZIP и 7z	Низкая
Расширение вложенного файла	EXO,SPO/ODB	Число <= 50	Высокая
Получатель входит в группу	EXO	Число <= 600	Высокая
Домен получателя	EXO	Длина <доменного имени = 67; Count <= 5000	Низкая
Получатель	EXO	Длина отдельного сообщения электронной почты <= 256; Число <= 600	Низкая
Адрес получателя содержит слова	EXO	Длина <отдельного слова = 128; Число <= 600	Низкая
Адрес получателя соответствует шаблонам	EXO	Число <= 300	Низкая
Имя документа содержит слова или фразы	EXO	Длина <отдельного слова = 128; Число <=600	Низкая
Имя документа соответствует шаблонам	EXO	Длина <регулярного выражения = 128 символов; Число <= 300	Низкая
Свойство документа	EXO,SPO/ODB	-	Низкая
Размер документа равен или больше	EXO	-	Низкая
Тема содержит слова или фразы	EXO	Длина <отдельного слова = 128; Число <= 600	Низкая
Заголовок содержит слова или фразы	EXO	Длина <отдельного слова = 128; Число <= 600	Низкая
Тема или текст содержит слова или фразы	EXO	Длина <отдельного слова = 128; Число <= 600	Низкая
Набор символов содержимого содержит слова	EXO	Число <= 600	Низкая
Заголовок соответствует шаблонам	EXO	Длина <регулярного выражения = 128 символов; Число <= 300	Низкая
Тема соответствует шаблонам	EXO	Длина <регулярного выражения = 128 символов; Число <= 300	Низкая
Тема или текст соответствует шаблонам	EXO	Длина <регулярного выражения = 128 символов; Число <= 300	Низкая
Тип сообщения —	EXO	-	Низкая
Размер сообщения больше	EXO	-	Низкая
С важностью	EXO	-	Низкая
Атрибут SENDER AD содержит слова	EXO	Каждая пара значений атрибута: имеет длину <регулярного выражения = 128 символов; Число <= 600	Средняя
Атрибут Sender AD соответствует шаблонам	EXO	Каждая пара значений атрибута: имеет длину <регулярного выражения = 128 символов; Число <= 300	Средняя
Документ содержит слова	EXO	Длина <отдельного слова = 128; Число <= 600	Средняя
Документ соответствует шаблонам	EXO	Длина <регулярного выражения = 128 символов; Число <= 300	Средняя

Действия

Любой элемент, который проходит через фильтр условий , будет иметь все действия , определенные в правиле, примененном к нему. Необходимо настроить необходимые параметры для поддержки действия. Например, если выбрать Exchange с действием Ограничить доступ или зашифровать содержимое в расположениях Microsoft 365 , необходимо выбрать один из следующих вариантов:

• Запрет доступа пользователей к общему содержимому SharePoint, OneDrive и Teams
  • Блокировать всех. Только владелец контента, последний модификатор и администратор сайта будут по-прежнему иметь доступ
  • Блокировать только людей за пределами вашей организации. Пользователи в вашей организации будут по-прежнему иметь доступ.
• Шифрование сообщений (применяется только к содержимому Exchange)

Действия, доступные в правиле, зависят от выбранных расположений. Если выбрать только одно расположение для политики, к ней будет применено, доступные действия будут перечислены ниже.

Важно!

Для SharePoint Online и OneDrive для бизнеса расположений документы будут заблаговременно заблокированы сразу после обнаружения конфиденциальной информации, независимо от того, является ли документ общим или нет, для всех внешних пользователей, в то время как внутренние пользователи будут по-прежнему иметь доступ к документу.

Действия с расположением Exchange

• Ограничение доступа или шифрование содержимого в расположениях Microsoft 365
• Установка заголовков
• Удаление заголовка
• Перенаправление сообщения определенным пользователям
• Пересылать сообщение для утверждения руководителю отправителя
• Пересылка сообщения для утверждения определенным утверждателям
• Добавление получателя в поле "К"
• Добавление получателя в поле Копия
• Добавление получателя в поле СК
• Добавление диспетчера отправителя в качестве получателя
• Удалено шифрование сообщений O365 и защита прав
• Тема предварительного Email
• Добавление HTML-заявления об отказе от ответственности
• Изменение темы Email
• Доставка сообщения в размещенный карантин

Действия по расположению сайтов SharePoint

• Ограничение доступа или шифрование содержимого в расположениях Microsoft 365

Действия по расположению учетной записи OneDrive

• Ограничение доступа или шифрование содержимого в расположениях Microsoft 365

Действия в чате и сообщениях каналов Teams

• Ограничение доступа или шифрование содержимого в расположениях Microsoft 365

Действия устройств

• Ограничение доступа или шифрование содержимого в расположениях Microsoft 365
• Аудит или ограниченные действия при доступе пользователей к конфиденциальным веб-сайтам в браузере Microsoft Edge на устройствах с Windows (дополнительные сведения см. в разделе Сценарий 6 Мониторинг или ограничение действий пользователей в конфиденциальных доменах служб ).)
• Аудит или ограничение действий на устройствах

Чтобы использовать Audit or restrict activities on Windows devices, необходимо настроить параметры в параметрах защиты от потери данных и в политике, в которой вы хотите их использовать. Дополнительные сведения см. в статье Ограниченные приложения и группы приложений .

Расположение устройств предоставляет множество субактивностей (условий) и действий. Дополнительные сведения см. в статье Действия конечных точек, которые можно отслеживать и выполнять.

При выборе параметра Аудит или ограничение действий на устройствах Windows можно ограничить действия пользователей доменом службы или браузером и область действия, выполняемые DLP:

• Все приложения
• По списку ограниченных приложений, которые вы определяете
• Определяемая вами ограниченная группа приложений (предварительная версия).

Действия домена службы и браузера

Когда вы настраиваете домены облачной службы и список Не разрешенных браузеров (см. раздел Ограничения браузера и домена для конфиденциальных данных) и пользователь пытается отправить защищенный файл в домен облачной службы или получить к нему доступ из неразрешенного браузера, можно настроить действие политики для Audit only, Block with overrideили Block действия.

Действия с файлами для всех приложений

С помощью параметра Действия файлов для всех приложений выберите Не ограничивать действия файлов или Применить ограничения к определенным действиям. Если вы выберете применить ограничения к определенным действиям, выбранные здесь действия применяются, когда пользователь получил доступ к защищенному элементу защиты от потери данных. DLP Audit onlyможно указать , Block with override, Block (действия) для следующих действий пользователей:

• Копирование в буфер обмена
• Копирование на съемный USB-накопитель
• Копирование в сетевую папку
• Print
• Копирование или перемещение с помощью не разрешенного приложения Bluetooth
• Службы удаленных рабочих столов

Действия ограниченных приложений

Ранее называвшиеся неоплаченными приложениями, вы определили список приложений в параметрах защиты от потери данных конечной точки, на которые вы хотите наложить ограничения. Когда пользователь пытается получить доступ к защищенному файлу защиты от потери данных с помощью приложения, которое находится в списке, можно либо Audit only, Block with overrideлибо Block действие. Действия защиты от потери данных, определенные в разделе Действия ограниченных приложений , переопределяются, если приложение является членом группы приложений с ограниченным доступом. Затем применяются действия, определенные в группе ограниченных приложений.

Действия с файлами для приложений в группах ограниченных приложений (предварительная версия)

Вы определяете ограниченные группы приложений в параметрах защиты от потери данных в конечной точке и добавляете ограниченные группы приложений в политики. При добавлении ограниченной группы приложений в политику необходимо выбрать один из следующих параметров:

• Не ограничивать действия с файлами
• Применение ограничений ко всем действиям
• Применение ограничений к определенному действию

Если выбрать один из параметров Применить ограничения и пользователь пытается получить доступ к защищенному файлу защиты от потери данных с помощью приложения, которое входит в группу приложений с ограниченным доступом, вы можете Audit onlyлибо , Block with overrideлибо Block действием. Действия защиты от потери данных, определенные здесь, переопределяют действия, определенные в разделе Ограниченные действия приложения и Действия файлов для всех приложений приложения.

Дополнительные сведения см. в статье Ограниченные приложения и группы приложений .

действия Microsoft Defender for Cloud Apps

• Ограничение доступа или шифрование содержимого в расположениях Microsoft 365
• Ограничение сторонних приложений

Действия локальных репозиториев

• Ограничьте доступ или удалите локальные файлы.
  • Запрет доступа пользователей к файлам, хранящимся в локальных репозиториях
  • Установка разрешений на файл (разрешения, унаследованные от родительской папки)
  • Перемещение файла из места, где он хранится, в папку карантина

Подробные сведения см. в разделе Действия локального репозитория защиты от потери данных .

Действия Power BI

• Уведомлять пользователей с помощью сообщения электронной почты и подсказок политики
• Отправка оповещений администратору

Действия, доступные при объединении расположений

Если выбрать Exchange и любое другое отдельное расположение для политики, к ней будет применена

• Ограничение доступа или шифрование содержимого в расположениях Microsoft 365

и

• все действия для расположения, отличного от Exchange

доступны действия.

Если выбрано два или более расположений, не относящихся к Exchange, для политики, к ней будет применено значение

• Ограничение доступа или шифрование содержимого в расположениях Microsoft 365

И

• все действия для расположений, отличных от Exchange

будут доступны действия.

Например, если в качестве расположений выбрать Exchange и устройства, будут доступны следующие действия:

• Ограничение доступа или шифрование содержимого в расположениях Microsoft 365
• Аудит или ограничение действий на устройствах Windows

Если выбрать Устройства и Microsoft Defender for Cloud Apps, будут доступны следующие действия:

• Ограничение доступа или шифрование содержимого в расположениях Microsoft 365
• Аудит или ограничение действий на устройствах Windows
• Ограничение сторонних приложений

Вступает ли действие в силу или нет, зависит от того, как вы настраиваете режим политики. Вы можете запустить политику в тестовом режиме с подсказкой политики или без нее, выбрав параметр Протестировать первый выход . Вы решили запустить политику сразу через час после ее создания, выбрав параметр Включить ее сразу, или вы можете просто сохранить ее и вернуться к ней позже, выбрав параметр Отключить .

Ограничения платформы защиты от потери данных для действий

Имя действия	Workload	Ограничения
Ограничение доступа или шифрование содержимого в Microsoft 365	EXO,SPO/ODB
Установка заголовков	EXO
Удаление заголовка	EXO
Перенаправление сообщения определенным пользователям	EXO	Всего 100 во всех правилах защиты от потери данных. Не может быть DL/SG
Пересылать сообщение для утверждения руководителю отправителя	EXO	Диспетчер должен быть определен в AD
Пересылка сообщения для утверждения определенным утверждателям	EXO	Группы не поддерживаются
Добавление получателя в поле "К "	EXO	Число <получателей = 10; Не может быть DL/SG
Добавление получателя в поле Копия	EXO	Число <получателей = 10; Не может быть DL/SG
Добавление получателя в поле СК	EXO	Число <получателей = 10; Не может быть DL/SG
Добавление диспетчера отправителя в качестве получателя	EXO	Атрибут Manager должен быть определен в AD
Применение html-заявления об отказе от ответственности	EXO
Тема prepend	EXO
Применение OME	EXO
Удаление OME	EXO

Уведомления пользователей и советы по политике

Когда пользователь пытается выполнить действие с конфиденциальным элементом в контексте, который соответствует условиям правила, вы можете сообщить ему об этом с помощью уведомлений пользователей по электронной почте и всплывающих окон подсказки политики в контексте. Эти уведомления полезны, так как они повышают осведомленность и помогают информировать пользователей о политиках защиты от потери данных в вашей организации.

Например, такое содержимое, как книга Excel на сайте OneDrive для бизнеса, которое содержит персональные данные (PII) и предоставляется гостям.

Важно!

• Сообщения электронной почты с уведомлениями отправляются без защиты.
• Email уведомления поддерживаются только для служб Microsoft 365.

поддержка уведомлений Email по выбранному расположению

Выбранное расположение	Поддерживаемые уведомления Email
Устройства	— не поддерживается
Exchange + устройства	— Поддерживается для Exchange — не поддерживается для устройств.
Exchange	-Поддерживается
SharePoint + устройства	— поддерживается для SharePoint — не поддерживается для устройств.
SharePoint	-Поддерживается
Exchange + SharePoint	— Поддерживается для Exchange — поддерживается для SharePoint.
Устройства + SharePoint + Exchange	— Не поддерживается для устройств — поддерживается Для SharePoint поддерживается для Exchange.
Teams	— не поддерживается
OneDrive для бизнеса	-Поддерживается
OneDrive для бизнеса + устройства	— поддерживается для OneDrive для бизнеса — не поддерживается для устройств.
Power-BI	— не поддерживается
Microsoft Defender for Cloud Apps	— не поддерживается
Локальные репозитории	— не поддерживается

Вы также можете предоставить пользователям возможность переопределить политику, чтобы они не блокировались, если у них есть допустимые бизнес-потребности или если политика обнаруживает ложноположительный результат.

Параметры конфигурации уведомлений пользователей и подсказок политики зависят от выбранных расположений мониторинга. Если вы выбрали:

• Exchange
• SharePoint;
• OneDrive;
• Чат и канал Teams
• Defender for Cloud Apps

Вы можете включить или отключить уведомления пользователей для различных приложений Майкрософт. См. статью Советы по политике защиты от потери данных.

• Вы можете включить или отключить уведомления с помощью подсказки политики.
  • Уведомления по электронной почте для пользователя, отправившего, поделившегося или последнего изменения содержимого ИЛИ
  • уведомлять определенных людей

и настройте текст сообщения электронной почты, тему и текст подсказки политики.

Если вы выбрали только устройства, вы получите все те же параметры, которые доступны для Exchange, SharePoint, OneDrive, чата Teams и канала, а также Defender для облачных приложений, а также возможность настройки заголовка уведомлений и содержимого, которые отображаются на Windows 10 устройстве.

Вы можете настроить заголовок и текст текста с помощью этих параметров. Основной текст поддерживает следующее:

Общее имя	Параметр	Пример
имя файла	%%FileName%%	Документ Contoso 1
имя процесса	%%ProcessName%%	Word
имя политики	%%PolicyName%%	Строго конфиденциальность Contoso
action	%%AppliedActions%%	вставка содержимого документа из буфера обмена в другое приложение

%%AppliedActions%% подставляет эти значения в текст сообщения:

общее имя действия	значение, замещенное в для параметра %%AppliedActions%%
копирование в удаляемое хранилище	запись в съемный носитель
копирование в сетевую папку	запись в общую сетевую папку
Печати	Печати
вставка из буфера обмена	вставка из буфера обмена
копирование через Bluetooth	передача через Bluetooth
Открыть с помощью не разрешенного приложения	открытие с помощью этого приложения
копирование на удаленный рабочий стол (RDP)	перенос на удаленный рабочий стол
отправка на не разрешенный веб-сайт	отправка на этот сайт
доступ к элементу через не разрешенный браузер	открытие с помощью этого браузера

Использование этого настраиваемого текста

%%AppliedActions%% Имя файла %%FileName%% через %%ProcessName%% запрещено вашей организацией. Выберите "Разрешить", если вы хотите обойти политику %%PolicyName%%

создает следующий текст в настраиваемом уведомлении:

Вставка из имени файла буфера обмена: contoso doc 1 через WINWORD.EXE не разрешена вашей организацией. Нажмите кнопку "Разрешить", если вы хотите обойти политику Contoso с высоким уровнем конфиденциальности.

Настраиваемые советы политики можно локализовать с помощью командлета Set-DlpComplianceRule -NotifyPolicyTipCustomTextTranslations.

Примечание.

Уведомления пользователей и советы по политике недоступны для локального расположения

Подсказка политики отображается только для самого строгого правила с самым высоким приоритетом. Например, вместо подсказки для правила, которое только отправляет уведомление, будет показана подсказка политики для правила, блокирующего доступ к контенту. Это позволяет избежать вывода сразу нескольких подсказок политики.

Дополнительные сведения о настройке и использовании уведомлений пользователей и чаевых политик, включая настройку текста уведомлений и подсказок, см. в статье.

• Отправка Уведомления по электронной почте и отображение советов по политикам защиты от потери данных.

Ссылки на подсказки политики

Дополнительные сведения о поддержке советов по политикам и нотфикативов для различных приложений можно найти здесь:

• Справочник по политике защиты от потери данных для Outlook в Интернете

Блокировка и уведомления в SharePoint Online и OneDrive для бизнеса

В этой таблице показано поведение блокировки защиты от потери данных и уведомлений для политик, которые ограничены SharePoint Online и OneDrive для бизнеса.

Условия	Конфигурация действий	Конфигурация уведомлений пользователя	Конфигурация отчетов об инцидентах	Блокировка и поведение уведомлений
- Доступ к содержимому осуществляется из Microsoft 365 - с людьми за пределами моей организации	Действия не настроены	- Уведомления пользователей, для которых задано значение При уведомлении пользователей в Office 365 служба с подсказкой политики выбран - параметр Уведомление пользователя, отправившего, поделившегося или последнего изменения содержимого выбрано.-	- Отправка оповещений администраторам при совпадении правила с параметром On - Send каждый раз, когда действие совпадает с правилом, для - отчеты об инцидентах по электронной почте по электронной почте, чтобы уведомлять вас о совпадении политики с установленным значением Включено.	— Уведомления будут отправляться только в том случае, если файл предоставляется внешнему пользователю и внешний пользователь обращается к файлу.
- Доступ к содержимому осуществляется из Microsoft 365 - только с людьми в моей организации	Действия не настроены	- Уведомления пользователей, для которых задано значение При уведомлении пользователей в Office 365 служба с подсказкой политики выбран - параметр Уведомление пользователя, отправившего, поделившегося или последнего изменения содержимого выбрано.-	- Отправка оповещения администраторам при совпадении правила с параметром On - Send каждый раз, когда действие соответствует правилу - Использовать отчеты об инцидентах электронной почты, чтобы уведомлять вас о совпадении политики, для параметра Включено.	— уведомления отправляются при отправке файла.
- Доступ к содержимому осуществляется из Microsoft 365 - с людьми за пределами моей организации	- Параметр Ограничить доступ или зашифровать содержимое в расположениях Microsoft 365 установлен флажок Блокировать получение электронной почты пользователями или доступ к общей папке SharePoint, OneDrive, а для файлов Teams выбран параметр - Блокировать только людей за пределами организации. -	- Уведомления пользователей, для которых задано значение При уведомлении пользователей в Office 365 служба с подсказкой политики выбран - параметр Уведомление пользователя, отправившего, поделившегося или последнего изменения содержимого выбрано.-	- Отправка оповещения администраторам при совпадении правила с параметром On - Send каждый раз, когда действие соответствует правилу - Использовать отчеты об инцидентах электронной почты, чтобы уведомлять вас о совпадении политики, для параметра Включено.	- Доступ к конфиденциальному файлу блокируется сразу после его отправки . Уведомления отправляются, когда содержимое предоставляется из Microsoft 365 пользователям за пределами моей организации.
- Доступ к содержимому осуществляется из Microsoft 365 - с людьми за пределами моей организации	- Параметр Ограничить доступ или зашифровать содержимое в расположениях Microsoft 365 выбран параметр Блокировать получение электронной почты пользователями или доступ к общей папке SharePoint, OneDrive, а выбран параметр - Блокировать все выбранные файлы Teams.-	- Уведомления пользователей, для которых задано значение При уведомлении пользователей в Office 365 служба с подсказкой политики выбран - параметр Уведомление пользователя, отправившего, поделившегося или последнего изменения содержимого выбрано.-	- Отправка оповещения администраторам при совпадении правила с параметром On - Send каждый раз, когда действие соответствует правилу - Использовать отчеты об инцидентах электронной почты, чтобы уведомлять вас о совпадении политики, для параметра Включено.	Уведомления отправляются при совместном доступе к файлу внешнему пользователю и доступе внешнего пользователя к файлу.
- Доступ к содержимому осуществляется из Microsoft 365	- Для ограничения доступа или шифрования содержимого в расположениях Microsoft 365 выбран параметр Блокировать только людей, которым был предоставлен доступ к содержимому, с помощью параметра "Любой пользователь со ссылкой". -	- Уведомления пользователей с параметром По - уведомлению пользователей в Office 365 выбрана служба с подсказкой политики. - Уведомление пользователя, отправившего, поделившегося или последнего изменения выбранного содержимого	- Отправка оповещения администраторам при совпадении правила с параметром On - Send каждый раз, когда действие соответствует правилу - Использовать отчеты об инцидентах электронной почты, чтобы уведомлять вас о совпадении политики, для параметра Включено.	Уведомления отправляются сразу после отправки файла

Дополнительные сведения о URL-адресе

Пользователи могут узнать, почему их действия блокируются. Вы можете настроить сайт или страницу с дополнительными сведениями о политиках. Если выбрать Указать URL-адрес соответствия для конечного пользователя, чтобы узнать больше о политиках вашей организации (доступно только для рабочей нагрузки Exchange), и пользователь получит уведомление о подсказке политики в Outlook Win 32, ссылка Дополнительные сведения будет указывать на URL-адрес сайта, который вы указали. Этот URL-адрес имеет приоритет над URL-адресом глобального соответствия, настроенным с помощью Set-PolicyConfig -ComplainceURL.

Важно!

Необходимо настроить сайт или страницу, на которые с нуля указывает подробнее . Microsoft Purview не предоставляет эту функяциональность из коробки.

Переопределения пользователей

Переопределения пользователей позволяют пользователям обходить с обоснованием действия, блокирующие политику защиты от потери данных для конфиденциальных элементов в Exchange, SharePoint, OneDrive или Teams, чтобы они могли продолжить свою работу. Переопределения пользователей включаются только в том случае, если для уведомления пользователей в службах Office 365 включена подсказка политики, поэтому переопределения пользователей идут рука об руку с уведомлениями и советами политики.

Примечание.

Переопределения пользователей недоступны для расположения локальных репозиториев.

Как правило, переопределения пользователей полезны при первом развертывании политики в организации. Отзывы, полученные от любых оправданий переопределения и выявления ложноположительных результатов, помогают в настройке политики.

• Если подсказки политики самого строгого правила разрешают пользователям переопределять его, то также будут переопределены все остальные правила, которым соответствует контент.

Дополнительные сведения о переопределениях пользователей см. в разделе:

• Просмотр обоснования, предоставленного пользователем для переопределения

X-Header для бизнес-обоснования

Когда пользователь переопределяет блок с действием переопределения в сообщении электронной почты, параметр переопределения и предоставленный текст сохраняются в журнале аудита и в X-заголовке сообщения электронной почты. Чтобы просмотреть переопределения бизнес-обоснования, откройте отчет о ложноположительных срабатываниях и переопределениях защиты от потери данных или выполните поиск в журнале аудита на порталеExceptionInfo соответствия. Ниже приведен пример значений журнала аудита:

{
    "FalsePositive"; false,
    "Justification"; My manager approved sharing of this content",
    "Reason"; "Override",
    "Rules": [
         "<message guid>"
    ]
}

Если у вас есть автоматизированный процесс, который использует значения бизнес-обоснования, процесс может получить доступ к этой информации программным способом в данных X-заголовка электронной почты.

Отчеты об инцидентах

В случае совпадения с правилом вы можете отправить отчет с подробными сведениями об инциденте лицу, ответственному за соответствие требованиям (или любому другому пользователю). Отчет содержит сведения об элементе, который был сопоставлен, фактическое содержимое, соответствующее правилу, и имя пользователя, который в последний раз изменил содержимое. Для сообщений электронной почты отчет также включает исходное сообщение в виде вложения, которое соответствует политике защиты от потери данных.

Защита от потери данных передает сведения об инцидентах другим Защита информации Microsoft Purview службам, таким как управление внутренними рисками. Чтобы получить сведения об инцидентах для управления внутренними рисками, необходимо установить для параметра Уровень серьезности отчетов об инцидентахзначение Высокий.

Оповещения можно отправлять каждый раз, когда действие соответствует правилу, которое может быть шумным, или их можно объединить в меньшее количество оповещений на основе количества совпадений или объема элементов за заданный период времени.

Защита от потери данных сканирует электронную почту иначе, чем SharePoint Online или OneDrive для бизнеса элементов. В SharePoint Online и OneDrive для бизнеса DLP сканирует как существующие, так и новые элементы и генерирует отчет об инцидентах при обнаружении совпадения. В Exchange Online защита от потери данных сканирует новые сообщения электронной почты и создает отчет только при наличии соответствия политике. Защита от потери данных не сканирует ранее существующие элементы электронной почты, хранящиеся в почтовом ящике или архиве.

Сбор доказательств для действий с файлами на устройствах (предварительная версия)

Если вы включили сбор доказательств настройки для действий с файлами на устройствах (предварительная версия) и добавили учетные записи хранения Azure, можно выбрать Сбор исходного файла в качестве доказательства для всех выбранных действий с файлами в конечной точке и в учетную запись хранения Azure, в которую вы хотите скопировать элементы. Необходимо также выбрать действия, для которые нужно скопировать элементы. Например, если выбрать печать , но не Копировать в сетевую папку, в учетную запись хранения Azure будут скопированы только элементы, которые печатаются с отслеживаемых устройств.

Дополнительные параметры

При наличии нескольких правил в политике можно использовать дополнительные параметры для управления дальнейшей обработкой правил, если оно соответствует редактизаемом правилу, а также для задания приоритета для оценки правила.

См. также

• Сведения о защите от потери данных
• Планирование защиты от потери данных (DLP)
• [Создание и развертывание политик защиты от потери данных] (dlp-create-deploy-policy.md