Использование отчетов и аудита о соответствии требованиям к обмену данными

Важно!

Microsoft Purview Communication Compliance предоставляет средства, помогающие организациям обнаруживать соответствие нормативным требованиям (например, SEC или FINRA) и нарушения бизнес-поведения, такие как конфиденциальная или конфиденциальная информация, преследование или угрозы языка, а также предоставление общего доступа к содержимому для взрослых. Созданные с учетом конфиденциальности по умолчанию, имена пользователей псевдонимизированы по умолчанию, элементы управления доступом на основе ролей встроены, следователи выбираются администратором, а журналы аудита позволяют обеспечить конфиденциальность на уровне пользователей.

Совет

Начните работу с Microsoft Copilot for Security, чтобы изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Copilot for Security в Microsoft Purview.

Отчеты

Примечание.

В настоящее время, если ваша роль ограничена одним или несколькими подразделениями администрирования, они не применяются к отчетам. Вы можете просмотреть все отчеты в организации.

Панель мониторинга "Отчеты " является центральным местом для просмотра всех отчетов о соответствии требованиям к обмену данными. Для просмотра отчетов и управления ими пользователи должны быть назначены группе ролей Средства проверки соответствия требованиям к обмену данными .

Мини-приложения отчетов предоставляют быстрое представление аналитических сведений, наиболее часто необходимых для общей оценки состояния действий по соответствию обмену данными. Сведения, содержащиеся в мини-приложениях отчетов, не экспортируются. Подробные отчеты содержат подробные сведения, связанные с определенными областями соответствия требованиям к обмену данными, а также позволяют фильтровать, группировать, сортировать и экспортировать информацию при проверке.

Для фильтра диапазона дат дата и время для событий перечислены в формате UTC. При фильтрации сообщений все фильтры для отчета применяются в даты начала 00:00:00 UTC к дате окончания 23:59:59 UTC.

Панель мониторинга "Отчеты" содержит следующие мини-приложения отчетов и подробные ссылки на отчеты:

Мини-приложения отчетов

• Последние совпадения политик: отображает количество совпадений по активным политикам с течением времени.
• Разрешенные элементы по политике: отображает количество оповещений о совпадении политик, разрешенных политиками с течением времени.
• Политика с наибольшим числом совпадений: отображает политики и количество совпадений за заданный период, ранжированные с наивысшим или наименьшим для совпадений.
• Пользователи с наибольшим количеством совпадений политик: отображает пользователей (или анонимные имена пользователей) и количество совпадений политик за заданный период.
• Эскалации по политике: отображает количество эскалаций для каждой политики за определенное время.

Подробные отчеты

Используйте параметр Экспорт отчета , чтобы создать файл .CSV, содержащий сведения об отчете для любого подробного отчета. Параметр Экспорт отчета поддерживает скачивание файлов размером до 3 МБ.

• Параметры политики и состояние. Содержит подробный обзор конфигурации и параметров политики, а также общего состояния каждой политики (совпадений и действий) в сообщениях. Содержит сведения о политике и о том, как политики связаны с пользователями и группами, расположениями, процентами просмотра, рецензентами, состоянием и моментом последнего изменения политики. Используйте параметр Экспорт , чтобы создать файл .CSV, содержащий сведения об отчете.

• Элементы и действия на политику: проверка и экспорт соответствующих элементов и действий по исправлению для каждой политики. Содержит сведения о политике и о том, как политики связаны с:

  • Элементы, сопоставленные
  • Элементы с эскалацией
  • Разрешенные элементы
  • Помечено как соответствующее
  • Помечен как несоответствующий
  • Помечено как сомнительные
  • Элементы, ожидающие проверки
  • Уведомление пользователя
  • Создано дело

• Элемент и действия по расположению. Просмотр и экспорт соответствующих элементов и действий по исправлению для каждого расположения Microsoft 365. Содержит сведения о том, как платформы рабочей нагрузки связаны с:

  • Элементы, сопоставленные
  • Элементы с эскалацией
  • Разрешенные элементы
  • Помечено как соответствующее
  • Помечен как несоответствующий
  • Помечено как сомнительные
  • Элементы, ожидающие проверки
  • Уведомление пользователя
  • Создано дело

• Действия по пользователям: просмотр и экспорт соответствующих элементов и действий по исправлению для каждого пользователя. Содержит сведения о том, как пользователи связаны с:

  • Элементы, сопоставленные
  • Элементы с эскалацией
  • Разрешенные элементы
  • Помечено как соответствующее
  • Помечен как несоответствующий
  • Помечено как сомнительные
  • Элементы, ожидающие проверки
  • Уведомление пользователя
  • Создано дело

Примечание.

Отображаемые элементы и действия относятся только к элементам и действиям, сопоставленным в течение диапазона дат, включенного в фильтр диапазона дат, упомянутый выше.

• Тип конфиденциальной информации для каждого расположения (предварительная версия). Просмотрите и экспортируйте сведения об обнаружении типов конфиденциальной информации и связанных источниках в политиках соответствия требованиям к обмену данными. Включает общее общее и конкретное распределение экземпляров типов конфиденциальной информации в источниках, настроенных в вашей организации. Значения для каждого стороннего источника отображаются в отдельных столбцах в файле .CSV. Примеры:

  • Электронная почта: типы конфиденциальной информации, обнаруженные в сообщениях электронной почты Exchange.
  • Teams: типы конфиденциальной информации, обнаруженные в каналах Microsoft Teams и сообщениях чата.
  • Microsoft Copilot для Microsoft 365: типы конфиденциальной информации, обнаруженные в взаимодействиях Copilot.
  • Viva Engage: типы конфиденциальной информации, обнаруженные в почтовых ящиках, публикациях, чатах и ответах Viva Engage.
  • Сторонние источники: типы конфиденциальной информации, обнаруженные для действий, связанных со сторонними соединителями, настроенными в вашей организации. Чтобы просмотреть разбивку сторонних источников для определенного типа конфиденциальной информации в отчете, наведите указатель мыши на значение типа конфиденциальной информации в столбце Стороннего источника.
  • Прочее. Типы конфиденциальной информации, используемые для внутренней обработки системы. Выбор или отмена выбора этого источника для отчета не повлияет ни на какие значения.

• Отправившие сообщения электронной почты: просмотрите и экспортируйте список отправителей сообщений электронной почты, которые были отфильтрованы из политик соответствия требованиям к обмену данными, чтобы снизить уровень шума. Фильтрация взрывов электронной почты — это параметр политики соответствия требованиям к обмену данными. Отчет отправителей по электронной почте содержит следующие поля:

  • Имя политики
  • Дата последнего изменения политики
  • Sender
  • Количество отфильтрованной почты

Экспорт отчета со сведениями о сообщении

Вы можете создавать настраиваемые отчеты и просматривать сведения о сообщениях, внесенных в область конкретных политик. Эти отчеты можно использовать для всех проверок сообщений и создания моментального снимка отчета за настраиваемый период времени. Вы можете создать одноразовый отчет или, если вам часто требуется создать один и тот же отчет, можно запланировать создание отчета на ежедневной, еженедельной или ежемесячной основе. Вы можете создать до пяти расписаний для каждой политики.

При создании отчета рецензенты политики получают уведомление по электронной почте со ссылкой на вкладку Экспорты , где они могут скачать отчет в виде CSV-файла.

Создание отчета

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. на портале соответствия требованиям Microsoft Purview.

Портал Microsoft Purview

1. Войдите на портал Microsoft Purview , используя учетные данные учетной записи администратора в организации Microsoft 365.

2. Перейдите к решению для обеспечения соответствия требованиям к обмену данными .

3. Выберите Политики в области навигации слева.

4. Выберите политику, а затем нажмите кнопку Экспорт отчета в правом верхнем углу страницы.

5. В области Параметры экспорта в разделе Включить элементы из этих пользователей выберите один из следующих вариантов:

   • Все пользователи. Выберите этот параметр, если вы хотите создать отчет со сведениями о сообщениях для всех пользователей в политике.
   • Выберите пользователей. Выберите этот параметр, а затем выберите определенных пользователей из списка, чтобы создать отчет с сообщениями, отправленными этими конкретными пользователями. В списке доступны только те пользователи, которые отправили сообщение, которое было помечено.

6. В списке Выбор частоты выберите частоту создания отчета.

7. Если это одноразовый отчет, введите дату начала и окончания отчета. Если это повторяющийся отчет, введите дату начала отправки отчетов и дату прекращения отправки отчетов.

   Примечание.

   Если для регулярного отчета выбрано значение Ежедневно, Еженедельно или Ежемесячно , отчет начнет собирать сообщения за предыдущий день, неделю или месяц в зависимости от выбранного параметра. Например, если выбрать ежедневно в качестве частоты и выбрать 4 июня 2024 г. в качестве даты начала отчета, отчет начнет собирать сообщения 3 июня.

8. В списке Отправить отчет этим рецензентам внесите необходимые изменения, добавив или удалив рецензентов. По умолчанию перечислены все рецензенты политики (добавленные во время создания политики).

9. В поле Имя отчета примите предлагаемое имя отчета или измените его при необходимости.

10. Выберите Создать отчет (для одноразовых отчетов) или Начать запланированный экспорт (для повторяющихся отчетов).

    Откроется диалоговое окно Подготовка запланированного отчета .

11. Чтобы просмотреть расписание отчетов, выберите Управление запланированными экспортами.

    Совет

    Вы также можете изменить расписание отчета, выбрав Управление запланированными отчетами на вкладке Экспорты .

12. Чтобы внести изменения в запланированный отчет, выполните приведенные далее действия.

    1. Установите флажок для отчета и нажмите кнопку Изменить.
    2. В диалоговом окне Параметры экспорта внесите необходимые изменения.

    Примечание.

    Если вы хотите изменить частоту или дату начала отчета, удалите отчет на предыдущем экране, а затем создайте отчет еще раз.

Примечание.

Для каждой политики можно создать до пяти запланированных отчетов. Если у вас уже есть пять запланированных отчетов для политики и вы хотите создать новый, необходимо удалить одно из существующих расписаний отчетов, прежде чем можно будет создать новое.

Скачивание отчета, когда он будет готов

Время, затраченное на создание отчета, зависит от количества запланированных отчетов и размера отчетов. Рецензенты политики получают уведомление по электронной почте со ссылкой на вкладку Экспорты , когда отчет будет готов. Чтобы скачать отчет на вкладке Экспорты , выберите отчет в состоянии Готово к скачиванию , а затем нажмите кнопку Скачать экспорт над списком.

Примечание.

Если выбранный период времени не возвращает результаты сообщений в отчете, это означает, что сообщений за выбранный период времени не было. Отчет будет пустым.

Портал соответствия требованиям

1. Войдите на портал соответствия требованиям , используя учетные данные учетной записи администратора в организации Microsoft 365.

2. Перейдите к решению для обеспечения соответствия требованиям к обмену данными .

3. Откройте вкладку Политики.

4. Выберите политику, а затем нажмите кнопку Экспорт отчета в правом верхнем углу страницы.

5. В области Параметры экспорта в разделе Включить элементы из этих пользователей выберите один из следующих вариантов:

   • Все пользователи. Выберите этот параметр, если вы хотите создать отчет со сведениями о сообщениях для всех пользователей в политике.
   • Выберите пользователей. Выберите этот параметр, а затем выберите определенных пользователей из списка, чтобы создать отчет с сообщениями, отправленными этими конкретными пользователями. В списке доступны только те пользователи, которые отправили сообщение, которое было помечено.

6. В списке Выбор частоты выберите частоту создания отчета.

7. Если это одноразовый отчет, введите дату начала и окончания отчета. Если это повторяющийся отчет, введите дату начала отправки отчетов и дату прекращения отправки отчетов.

   Примечание.

   Если для регулярного отчета выбрано значение Ежедневно, Еженедельно или Ежемесячно , отчет начнет собирать сообщения за предыдущий день, неделю или месяц в зависимости от выбранного параметра. Например, если выбрать ежедневно в качестве частоты и выбрать 4 июня 2024 г. в качестве даты начала отчета, отчет начнет собирать сообщения 3 июня.

8. В списке Отправить отчет этим рецензентам внесите необходимые изменения, добавив или удалив рецензентов. По умолчанию перечислены все рецензенты политики (добавленные во время создания политики).

9. В поле Имя отчета примите предлагаемое имя отчета или измените его при необходимости.

10. Выберите Создать отчет (для одноразовых отчетов) или Начать запланированный экспорт (для повторяющихся отчетов).

    Откроется диалоговое окно Подготовка запланированного отчета .

11. Чтобы просмотреть расписание отчетов, выберите Управление запланированными экспортами.

    Совет

    Вы также можете изменить расписание отчета, выбрав Управление запланированными отчетами на вкладке Экспорты .

12. Чтобы внести изменения в запланированный отчет, выполните приведенные далее действия.

    1. Установите флажок для отчета и нажмите кнопку Изменить.
    2. В диалоговом окне Параметры экспорта внесите необходимые изменения.

    Примечание.

    Если вы хотите изменить частоту или дату начала отчета, удалите отчет на предыдущем экране, а затем создайте отчет еще раз.

Примечание.

Для каждой политики можно создать до пяти запланированных отчетов. Если у вас уже есть пять запланированных отчетов для политики и вы хотите создать новый, необходимо удалить одно из существующих расписаний отчетов, прежде чем можно будет создать новое.

Скачивание отчета, когда он будет готов

Время, затраченное на создание отчета, зависит от количества запланированных отчетов и размера отчетов. Рецензенты политики получают уведомление по электронной почте со ссылкой на вкладку Экспорты , когда отчет будет готов. Чтобы скачать отчет на вкладке Экспорты , выберите отчет в состоянии Готово к скачиванию , а затем нажмите кнопку Скачать экспорт над списком.

Примечание.

Если выбранный период времени не возвращает результаты сообщений в отчете, это означает, что сообщений за выбранный период времени не было. Отчет будет пустым.

Что входит в отчет со сведениями о сообщении

Отчеты со сведениями о сообщениях содержат следующие сведения для каждого элемента сообщения в политике:

• Идентификатор соответствия: уникальный идентификатор копии сообщения в соответствии с требованиями к обмену данными.
• Идентификатор сообщения в Интернете: уникальный идентификатор сообщения на разных платформах.
• Идентификатор семейства бесед: идентификатор потока для сообщения.
• Столбец отправителей: отправитель сообщения. Если соответствие политике является ответом Microsoft Copilot для Microsoft 365, значением будет "Copilot".
• Столбец Recipient: получатели, включенные в сообщение. Если соответствие политике — это запрос на copilot, значение — "Copilot".
• Дата: дата отправки сообщения.
• Расположение: канал, по которому было отправлено сообщение. Это может быть Exchange Online, Teams, Viva Engage или любой сторонний канал, поддерживаемый соответствием требованиям к обмену данными.
• Тема: тема сообщения. Если это взаимодействие с Copilot, тема сообщения — "Copilot" и имя приложения Microsoft 365. Например, "Copilot в Excel".
• Содержит вложения: состояние всех вложений для сообщения. Значения: Да или Нет.
• Имя политики: имя политики, связанной с сообщением. Это значение будет одинаковым для всех сообщений в отчете.
• Состояние элемента: состояние элемента сообщения в политике. Значения: Pending или Resolved.
• Теги: теги, назначенные сообщению. Значения: Вопросим, Совместимым или Несоответствующим.
• Ключевые слова совпадают: ключевые слова соответствуют сообщению.
• Идентификатор обучаемого классификатора: идентификатор соответствующего обучаемого классификатора.
• Имя обучаемого классификатора и совпадающие ключевые слова: имя обучаемого классификатора и ключевых слов, которые активировали сопоставление классификатора.
• Рецензенты: рецензенты, назначенные сообщению.
• Pending for (days): количество дней, в течение которых сообщение находится в состоянии ожидания. Для разрешенных сообщений значение равно 0.
• Комментарий для разрешено: примечания для сообщения, введенного при разрешении.
• Дата разрешения: дата и универсальное скоординированное время (UTC) сообщение было разрешено.
• Последнее обновление: имя пользователя последнего обновления.
• Последнее обновление: дата и скоординированное универсальное время (UTC) сообщение было обновлено в последний раз.
• Журнал примечаний: список всех примечаний к оповещению сообщения, включая автора комментария и дату, а также универсальное скоординированное время (UTC) комментария.

Совет

Вы также можете выбрать и экспортировать определенные сведения о сообщении в виде скачиваемого файла.

Аудит

В некоторых случаях необходимо предоставить сведения нормативным или нормативным аудиторам, чтобы доказать, что действия и сообщения пользователей ограничены. Эта информация может быть сводной информацией обо всех действиях, связанных с определенной политикой организации, или при изменении политики соответствия требованиям к обмену данными. Политики соответствия требованиям к обмену данными имеют встроенные журналы аудита для полной готовности к внутреннему или внешнему аудиту. Подробные журналы аудита каждого действия по созданию, редактированию и удалению фиксируются политиками коммуникации, чтобы предоставить подтверждение процедур с заданной областью.

Важно!

Аудит должен быть включен для вашей организации, прежде чем будут записаны события соответствия требованиям к обмену данными. Чтобы включить аудит, см . раздел Включение журнала аудита. Когда действия активируют события, которые записываются в журнал аудита Microsoft 365, может потребоваться до 48 часов, прежде чем эти события можно будет просмотреть в политиках соответствия требованиям к обмену данными.

Чтобы просмотреть действия по обновлению политики соответствия требованиям к обмену данными, выберите элемент управления Экспорт обновлений политики на главной странице для любой политики. Для экспорта действий по обновлению вам должны быть назначены роли глобальных администраторов или администраторов соответствия требованиям к обмену данными . Это действие создает файл аудита в формате .CSV, содержащий следующие сведения:

Важно!

Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.

Поле	Сведения
CreationDate	Дата выполнения действия обновления в политике.
UserIds	Пользователь, выполняющий действие обновления в политике.
Операции	Операции обновления, выполняемые в политике.
AuditData	Основной источник данных для всех действий по обновлению политики. Все действия по обновлению записываются и разделяются разделителями-запятыми.

Чтобы просмотреть действия проверки соответствия требованиям для политики, выберите элемент управления Экспорт действий проверки на странице Обзор для определенной политики. Для экспорта действий проверки вам должны быть назначены роли глобальных администраторов или администраторов соответствия требованиям к коммуникациям . Это действие создает файл аудита в формате .CSV, содержащий следующие сведения:

Важно!

Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.

Поле	Сведения
CreationDate	Дата выполнения действия проверки в политике.
UserIds	Пользователь, выполняющий действие проверки в политике.
Операции	Проверка операций, выполненных в политике.
AuditData	Основной источник данных для всех действий по проверке политик. Все действия проверки записываются и разделяются разделителями-запятыми.

Действия аудита также можно просмотреть в едином журнале аудита или с помощью командлета PowerShell Search-UnifiedAuditLog . Дополнительные сведения о политиках хранения журналов аудита см. в статье Управление политиками хранения журналов аудита.

Например, в следующем примере возвращаются действия для всех действий проверки с заданной областью (политики и правила):

Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -RecordType AeD -Operations SupervisoryReviewTag

В этом примере возвращаются действия обновления для политик соответствия требованиям к обмену данными:

Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -RecordType Discovery -Operations SupervisionPolicyCreated,SupervisionPolicyUpdated,SupervisionPolicyDeleted

В этом примере возвращаются действия, соответствующие текущим политикам соответствия требованиям к обмену данными:

Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -Operations SupervisionRuleMatch

Соответствия политик соответствия требованиям к обмену данными хранятся в почтовом ящике с заданной областью для каждой политики. В некоторых случаях может потребоваться проверить размер почтового ящика с областью действия для политики, чтобы убедиться, что вы не приближаетесь к текущему размеру хранилища 100 ГБ или 1 миллиону сообщений. Если достигнуто ограничение почтового ящика, совпадения политик не записываются, и вам потребуется создать новую политику (с теми же параметрами), чтобы продолжать записывать совпадения для одних и того же действия.

Чтобы проверить размер почтового ящика с областью действия для политики, выполните следующие действия.

1. Подключение к PowerShell для Exchange Online.

2. Выполните следующую команду:

   ForEach ($p in Get-SupervisoryReviewPolicyV2 | Sort-Object Name)
   {
      "<Name of your communication compliance policy>: " + $p.Name
      Get-MailboxStatistics $p.ReviewMailbox | ft ItemCount,TotalItemSize
   }