Начало работы с чрезмерным распространением всплывающих окон
При настройке соответствующей политики Защита от потери данных Microsoft Purview (DLP) защита от потери данных будет проверка сообщения электронной почты перед отправкой любых помеченных или конфиденциальных данных и применить действия, определенные в политике защиты от потери данных. Для этой функции требуется подписка Microsoft 365 E5, а также версия Outlook, которая ее поддерживает. Чтобы определить минимальную требуемую версию Outlook, используйте таблицу возможностей Для Outlook и просмотрите строку Предотвращение чрезмерного совместного использования как подсказки политики защиты от потери данных .
Важно!
Ниже приведен гипотетический сценарий с гипотетическими значениями. Это только в иллюстративных целях. При реализации этой функции следует заменить собственные типы конфиденциальной информации, метки конфиденциальности, группы рассылки и пользователей.
Совет
Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.
Прежде чем приступить к использованию политик защиты от потери данных, подтвердите подписку На Microsoft 365 и все надстройки.
Сведения о лицензировании см. в статье Подписки Microsoft 365, Office 365, Enterprise Mobility + Security и Windows 11 для предприятий.
Учетная запись, используемая для создания и развертывания политик, должна быть членом одной из следующих групп ролей.
- Администратор соответствия требованиям
- Администратор данных о соответствии требованиям
- Защита информации
- Администратор Information Protection
- Администратор безопасности
Важно!
Прочтите статью Административные единицы , прежде чем начать, чтобы убедиться, что вы понимаете разницу между неограниченным администратором и администратором с ограниченным доступом к административной единице.
Существует несколько ролей и групп ролей, которые можно использовать для точной настройки элементов управления доступом.
Ниже приведен список применимых ролей. Дополнительные сведения см. в разделе Разрешения в Портал соответствия требованиям Microsoft Purview.
- Управление соответствием требованиям DLP
- Администратор Information Protection
- Аналитик Information Protection
- Исследователь Information Protection
- Читатель Information Protection
Ниже приведен список применимых групп ролей. Дополнительные сведения о них см. в разделе Разрешения в Портал соответствия требованиям Microsoft Purview.
- Защита информации
- Администраторы Information Protection
- Аналитики Information Protection
- Исследователи Information Protection
- Читатели Information Protection
В Outlook для Microsoft 365 всплывающее окно oversharing отображает всплывающее окно перед отправкой сообщения. Чтобы включить эти всплывающие окна, сначала область политику в расположение Exchange, а затем при создании правила защиты от потери данных для этой политики выберите параметр Показать подсказку политики в качестве диалогового окна для пользователя перед отправкой в подсказке политики.
В нашем примере сценария используется метка конфиденциальности , поэтому требуется, чтобы вы создали и опубликовали метки конфиденциальности. Дополнительные сведения см. в статьях
- Сведения о метках конфиденциальности
- Начало работы с метками конфиденциальности
- Создание и настройка меток конфиденциальности и соответствующих политик
В этой процедуре используется contoso.com. гипотетический домен компании.
В этом примере наше заявление о намерениях политики:
Нам необходимо заблокировать сообщения электронной почты всем получателям, к которым применена метка конфиденциальности, если домен получателя не contoso.com. Мы хотим уведомить пользователя во всплывающем диалоге при отправке сообщения электронной почты. Пользователям не может быть разрешено переопределять блок.
Statement | Ответы на вопрос о конфигурации и сопоставление конфигурации |
---|---|
"Нам нужно заблокировать сообщения электронной почты всем получателям..." |
-
Мониторинг: Административный область Exchange- : Действие полного каталога - : ограничение доступа или шифрование содержимого в расположениях > Microsoft 365 Блокировать получение электронной почты или доступ к общим файлам > SharePoint, OneDrive и Teams Блокировать всех |
"... к которым применена метка конфиденциальности "строго конфиденциальности...". |
-
Что отслеживать: используйте настраиваемые условия шаблона - для соответствия: измените его, чтобы добавить метку конфиденциальности |
"... Если..." | Конфигурация группы условий . Создание вложенной логической группы условий NOT, присоединенной к первым условиям, с помощью логического И |
"... домен получателя — contoso.com". | Условие для соответствия: домен получателя — |
"... Уведомить..." | Уведомления пользователей: включено |
"... пользователь со всплывным диалогом при отправке..." |
Советы по политике: выберите - Показать подсказку политики в качестве диалогового окна для конечного пользователя перед отправкой: выбрано |
"... Никакие пользователи не могут переопределить блок... | Разрешить переопределения из служб M365: не выбран |
Чтобы настроить переохваченные всплывающие окна с текстом по умолчанию, правило защиты от потери данных должно включать следующие условия:
- Содержимое содержит>Метки конфиденциальности>выберите метки конфиденциальности
и одно или несколько из следующих условий на основе получателей
- Получатель
- Получатель входит в группу
- Домен получателя
При выполнении этих условий подсказка политики отображает недоверенных получателей, пока пользователь пишет почту в Outlook, перед отправкой.
При необходимости можно задать regkey dlpwaitonsendtimeout (значение в dword) на всех устройствах, на которых вы хотите реализовать "ожидание при отправке" для всплывающих окон oversharing. Этот раздел реестра (RegKey) определяет максимальное время хранения сообщения электронной почты, когда пользователь нажимает кнопку Отправить. Это позволяет системе завершить оценку политики защиты от потери данных для помеченного или конфиденциального содержимого. Этот regKey можно найти в разделе:
*Software\Policies\Microsoft\office\16.0\Outlook\options\Mail*
Этот regKey можно задать с помощью групповой политики (укажите время ожидания для оценки конфиденциального содержимого), скрипт или другой механизм настройки разделов реестра.
Если вы используете групповая политика, убедитесь, что вы скачали последнюю версию файлов административных шаблонов групповая политика для Приложения Microsoft 365 для предприятий, а затем перейдите к этому параметру в разделе Конфигурация >> пользователей Административные шаблоны >> Майкрософт. Параметры безопасности Office 2016>>. Если вы используете службу "Облачная политика" для Microsoft 365, найдите параметр по имени, чтобы настроить его.
Если это значение задано и настроена политика защиты от потери данных, сообщения электронной почты проверяются на наличие конфиденциальной информации перед отправкой. Если сообщение содержит соответствие условиям, определенным в политике, перед нажатием кнопки Отправить появится уведомление о подсказке политики.
Этот regKey позволяет указать поведение ожидания при отправке для клиентов Outlook.
Вот что означает каждый из параметров:
Не настроено или отключено: это значение по умолчанию. Если dlpwaitonsendtimeout не настроено, сообщение не проверяется перед отправкой пользователем. Сообщение электронной почты будет отправлено сразу после нажатия кнопки Отправить . Служба классификации данных защиты от потери данных оценит сообщение и применит действия, определенные в политике защиты от потери данных.
Включено: сообщение электронной почты проверяется при нажатии кнопки Отправить , но перед отправкой сообщения. Можно задать ограничение по времени ожидания завершения оценки политики защиты от потери данных (значение T в секундах). Если оценка политики не завершена в указанное время, появится кнопка Отправить в любом случае, позволяющая пользователю обойти предварительно отправляемый проверка. Диапазон значений T — от 0 до 9999 секунд.
Важно!
Если значение T больше 9999, оно заменяется на 10000, а кнопка Отправить в любом случае не отображается. Это сообщение хранится до завершения оценки политики и не предоставит пользователю параметр переопределения . Длительность завершения оценки может отличаться в зависимости от таких факторов, как скорость Интернета, длина содержимого и количество определенных политик. Некоторые пользователи могут чаще сталкиваться с сообщениями об оценке политики, чем другие, в зависимости от политик, развернутых в их почтовом ящике.
Дополнительные сведения о настройке и использовании объекта групповой политики см. в статье Администрирование групповая политика в управляемом домене Доменные службы Microsoft Entra.
Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.
Войдите на портал >Microsoft PurviewПолитики защиты от> потери данных.
Выберите + Создать политику.
Выберите Настраиваемые в списке Категории .
Выберите Настраиваемый в списке Правила .
Присвойте политике имя.
Важно!
Политики не могут быть переименованы.
Заполните описание. Инструкцию намерения политики можно использовать здесь.
Нажмите кнопку Далее.
Выберите Полный каталогв разделе Администратор единиц.
Выберите только расположение электронной почты Exchange .
Нажмите кнопку Далее.
На странице Определение параметров политики выберите Создать или настроить расширенные правила защиты от потери данных.
Уже должен быть выбран параметр Создать или настроить расширенные правила защиты от потери данных .
Нажмите кнопку Далее.
Выберите Создать правило. Назовите правило и укажите описание.
Выберите Добавить условие>Содержимое содержит>метки>конфиденциальности>с высоким уровнем конфиденциальности. Нажмите кнопку Добавить.
Выберите Добавить группу>И>НЕ>добавить условие.
Выберите Домен получателя contoso.com>. Нажмите кнопку Добавить.
Совет
Вы также можете использовать Recipient is или Recipient is a member , а не Recipient domain is для активации всплывающего окна переохвачений.
Выберите Добавить действие>Ограничить доступ или зашифровать содержимое в расположениях Microsoft 365.
Выберите Блокировать получение пользователями электронной почты или доступ к общим файлам SharePoint, OneDrive и Teams, а также элементам Power BI.
Выберите Блокировать всех.
Установите переключатель Уведомления пользователей в значение Вкл.
Выберите Советы политики>. Показать подсказку политики в качестве диалогового окна для конечного пользователя перед отправкой (доступно только для рабочей нагрузки Exchange).
Если этот параметр уже установлен, снимите флажок Разрешить переопределение из служб M365 .
Выберите Сохранить.
Измените переключатель Состояние на Вкл. , а затем нажмите кнопку Далее.
На странице Режим политики выберите Запустить политику в тестовом режиме и проверка поле для параметра Показывать советы политики в режиме имитации.
Нажмите кнопку Далее , а затем нажмите кнопку Отправить.
Нажмите кнопку Готово.
Политики и правила защиты от потери данных также можно настроить в PowerShell. Чтобы настроить переохваченные всплывающие окна с помощью PowerShell, сначала создайте политику защиты от потери данных (с помощью PowerShell) и добавьте правила защиты от потери данных для каждого типа всплывающего окна предупреждения, обоснования или блокировки.
Вы настроите и область политику защиты от потери данных с помощью New-DlpCompliancePolicy. Затем вы настроите каждое правило oversharing с помощью New-DlpComplianceRule.
Чтобы настроить новую политику защиты от потери данных для всплывающего сценария переохвачений, используйте следующий фрагмент кода:
PS C:\> New-DlpCompliancePolicy -Name <DLP Policy Name> -ExchangeLocation All
Этот пример политики защиты от потери данных распространяется на всех пользователей в вашей организации. Оставьте область политик защиты от потери данных с помощью -ExchangeSenderMemberOf
и -ExchangeSenderMemberOfException
.
Параметр | Конфигурация |
---|---|
-ContentContainsSensitiveInformation | Настраивает одно или несколько условий меток конфиденциальности. Этот пример включает один из них. По крайней мере одна метка является обязательной. |
-ExceptIfRecipientDomainIs | Список доверенных доменов. |
-NotifyAllowOverride | "WithJustification" включает переключатели обоснования, а "Безоправие" отключает их. |
-NotifyOverrideRequirements | Параметр WithAcknowledgement включает новый параметр подтверждения. Этот шаг необязательный. |
Чтобы настроить новое правило защиты от потери данных для создания всплывающего окна предупреждения с использованием доверенных доменов, выполните следующий код PowerShell:
PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator="Or";name="Default";labels=@(@{name=<Label GUID>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")
Чтобы настроить новое правило защиты от потери данных для создания всплывающего окна "Оправдание " с использованием доверенных доменов, выполните следующий код PowerShell:
PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com") -NotifyAllowOverride "WithJustification"
Чтобы настроить новое правило защиты от потери данных для создания блочного всплывающего окна с использованием доверенных доменов, выполните следующий код PowerShell:
PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")
Используйте эти процедуры для доступа к X-заголовку бизнес-обоснования.