Поделиться через

Ускорение окончательного удаления конфиденциальной информации из почтовых ящиков

Руководство по лицензированию Microsoft 365 для обеспечения безопасности и соответствия требованиям.

Примечание.

Очистка приоритета развертывается в предварительной версии и может быть изменена.

Хотя для этой функции требуются дополнительные разрешения и несколько утверждений, строго регулируемым организациям, которые используют блокировку сохранения , может потребоваться дополнительная защита от отключения приоритетной очистки на уровне клиента, чтобы убедиться, что их политики соответствуют требуемым нормативным требованиям.

Используйте функцию очистки приоритета в разделе Управление жизненным циклом данных в Microsoft Purview, если вам нужно окончательно удалить конфиденциальное содержимое из почтовых ящиков Exchange, несмотря на параметры хранения, в котором хранится элемент или удержание eDiscovery. Элементы по-прежнему проходят один и тот же процесс удаления с одинаковым временем, чтобы обеспечить постоянное удаление, соответствующее требованиям, но нет необходимости ждать истечения срока хранения или удержания. Очистка приоритета может быть реализована для обеспечения безопасности или конфиденциальности в ответ на инцидент или для соответствия нормативным требованиям. Например:

  • Запрос на конфиденциальность. Вы получаете запрос на удаление личной информации о сотруднике, который покинул организацию, и все почтовые ящики имеют политику хранения для хранения элементов в течение двух лет.

  • Утечка данных. Сотрудник случайно получил конфиденциальную информацию о будущем приобретении, и вам нужно удалить эту информацию, несмотря на все удержания электронных данных в организации.

Так как удаление является необратимым и может переопределить существующие удержания и даже блокировку сохранения, процесс требует нескольких утверждений, конкретных ролей и аудита. После рассмотрения этих мер безопасности, если у вашей организации по-прежнему есть опасения по поводу этой возможности, вы можете просто продолжать использовать политики хранения и метки хранения , чтобы обеспечить удаление содержимого в соответствии с требованиями, а не использовать очистку приоритета.

В рамках очистки приоритета используются метки хранения с политиками автоматического применения. Однако вы не взаимодействуете с этими метками и политиками вручную, и они заменяют принципы хранения , чтобы добиться необходимого ускоренного удаления.

Примечание.

Если элемент подлежит очистке с несколькими приоритетами, приоритет имеет новейший.

Важные исключения для очистки приоритета:

  • Вы не можете использовать очистку приоритета для элементов, помеченных как запись или нормативная запись.

  • Хотя очистка с приоритетом может переопределять удержания обнаружения электронных данных, данные уже могут быть скопированы в набор проверки обнаружения электронных данных , где их невозможно удалить с помощью очистки приоритета. Эти данные автоматически удаляются, когда администратором обнаружения электронных данных удаляется весь случай обнаружения электронных данных.

Как и при автоматическом применении меток хранения, очистка приоритета поддерживает имитацию, поэтому вы можете проверка возвращаемые примеры в случае, если конфигурация политики нуждается в какой-либо тонкой настройке.

Сравнение очистки приоритета для различных рабочих нагрузок

Хотя вы можете использовать функцию очистки приоритета для почтовых ящиков и файлов в SharePoint и OneDrive, типичные варианты использования отличаются. В следующей таблице приведены некоторые другие различия в поведении и конфигурации. В результате этих различий невозможно создать политику очистки для всех трех расположений в одной политике.

Поведение или конфигурация Exchange SharePoint/OneDrive
Типичный вариант использования: Утечка данных

Удаление конфиденциальных данных для соответствия требованиям		 Удаление устаревших записей и расшифровок собраний Teams

Удаление сохраненных файлов в архивной библиотеке
Типичное использование политики: Редкий Для записей и расшифровок собраний Teams: Непрерывно

Для библиотеки хранения: после того, как пользователь покинет организацию
Правило для двух пользователей: В политике назначается другой администратор очистки приоритета для просмотра элементов после включения политики Еще один администратор очистки приоритета включается в поток конфигурации политики, прежде чем политика будет включена.
Назначение утверждающих политик: — администратор очистки приоритета
— администратор обнаружения электронных данных
— диспетчер хранения		 — администратор обнаружения электронных данных
Моделирование, необходимое перед выполнением политики: Нет (но рекомендуется) Да
Переопределение блокировки сохранения: Да Только в том случае, если политика настроена только для удаления

Кроме того, необходимые разрешения для Exchange отличаются от необходимых разрешений для SharePoint и OneDrive.

Предварительные требования для очистки приоритета

Убедитесь, что вы можете выполнить предварительные требования, которые должны быть выполнены, прежде чем использовать приоритетную очистку для ускорения окончательного удаления конфиденциальных данных. К этим требованиям относятся разрешения и утверждающие лица.

Из-за встроенных мер безопасности сама функция включена по умолчанию на уровне клиента. Однако очистку приоритета можно отключить на странице параметров очистки приоритета. Если вы не можете создать новые политики очистки приоритета, см. инструкции по отключению функции, чтобы проверка состояние и отменить конфигурацию.

Примечание.

Почтовый ящик должен содержать не менее 10 МБ данных для поддержки очистки приоритета.

Разрешения для очистки приоритета

Для успешного доступа к очистке приоритета и управления ею на портале Microsoft Purview пользователи должны иметь роль Администратор приоритетной очистки. Эта роль необходима для создания политик очистки приоритета и управления ими, включения или отключения функции или утверждения элементов на начальном этапе утверждения. Эта роль автоматически добавляется в группу ролей "Управление организацией", но ее необходимо добавить вручную в любую другую группу ролей.

Кроме того, роль "Средство просмотра очистки приоритета " обеспечивает только видимость политик и параметров очистки приоритета без возможности внесения изменений или создания новых политик.

Роли просмотра содержимого Обозреватель списка и Обозреватель просмотра содержимого необходимы для просмотра содержимого элементов и сведений в режиме имитации и на этапах утверждения.

Как и в случае с управлением записями, каждый пользователь, обращающийся к странице Очистка приоритета>в ожидании очистки , видит только элементы, которые ему назначены для утверждения. Чтобы отслеживать комплексный процесс очистки приоритета, используйте аудит и идентификатор очистки приоритета в качестве условия поиска.

Утверждающие политики

В качестве защиты от случайного или вредоносного удаления каждый элемент, подлежащий очистке приоритета, всегда требует, чтобы по крайней мере еще один человек одобрил постоянное удаление в дополнение к пользователю, создавшему политику очистки приоритета. Утверждающие должны быть отдельными пользователями. Группы безопасности с поддержкой почты в настоящее время не поддерживаются.

  • Для всех политик требуется утверждение администратора очистки приоритета.
  • Если к элементу также применяются параметры хранения из метки хранения или политик хранения, также требуется утверждение диспетчера хранения.
  • Если на элемент также распространяется одно или несколько удержаний eDiscovery, также требуется утверждение администратора eDiscovery.

Требования к роли утверждающего

Утверждающий на каждом этапе процесса проверки должен иметь правильные роли, прежде чем можно будет создать политику.

Reviewer Необходимые роли
Администраторы очистки приоритета — Администратор очистки приоритета
— Средство просмотра содержимого классификации данных
— Средство просмотра списка классификации данных
— Управление ликвидацией
Диспетчеры хранения — Управление хранением
— Средство просмотра содержимого классификации данных
— Средство просмотра списка классификации данных
— Управление ликвидацией
Администраторы обнаружения электронных данных — Поиск и очистка
-Держать
-Обзор
— Средство просмотра содержимого классификации данных
— Средство просмотра списка классификации данных
— Управление ликвидацией

Примечание.

Если проверяющему на каком-либо этапе заранее не назначены правильные роли, создание политики завершается ошибкой.

Инструкции по добавлению пользователей в роли по умолчанию или созданию собственных групп ролей см. в следующих рекомендациях:

Хотя для каждого этапа можно указать несколько утверждающих лиц, для утверждения на каждом этапе требуется только один человек из каждого этапа.

Включить аудит

Убедитесь, что аудит включен по крайней мере за один день до создания и запуска политики очистки с первым приоритетом. Аудит также требуется для просмотра результатов моделирования, если политика включена в режиме имитации. Дополнительные сведения см. в разделе Поиск в журнале аудита.

Ограничения очистки приоритета

  • Почтовые ящики групп поддерживаются только в адаптивных областях .

  • Для запроса KeyQL некоторые свойства и условия, поддерживаемые обнаружением электронных данных, не поддерживаются при очистке приоритета. К ним относятся SenderAuthor, SubjectTitle (c:c) и (c:s).

  • В режиме имитации политика очистки приоритета может неправильно отображать элементы электронной почты, помеченные как записи и нормативные записи. Эти элементы фактически не находятся в область для очистки приоритета вне режима моделирования.

  • В отличие от проверки ликвидации меток хранения:

    • Вы не можете настроить уведомление по электронной почте
    • Утверждающие не могут назначить дополнительных утверждающих лиц
    • Автоматическое утверждение по истечении указанного периода времени не выполняется.

  • Если утверждающий не согласен на окончательное удаление идентифицированного элемента, он должен назначить ему существующую метку хранения (любую конфигурацию). Убедитесь, что утверждающие знают, какие метки хранения подходят для этого действия.

  • Хотя вы можете удалить политику очистки приоритета, если процесс утверждения для нее завершен, элементы по-прежнему могут быть удалены без возможности восстановления.

Создание политики очистки приоритета

Перед созданием политики очистки приоритета определите, следует ли сделать ее адаптивной или статической. Дополнительные сведения см. в статье Адаптивные или статические области политик для хранения. Если вы решили использовать адаптивную политику, перед созданием политики очистки приоритета необходимо создать одну или несколько адаптивных областей, а затем выбрать их во время настройки политики. Инструкции см. в статье Сведения о конфигурации адаптивных областей.

  1. Вход на портал> Microsoft PurviewРешения>Управление жизненным циклом> данныхОчистка приоритета, а затем выберите + Создать очистку приоритета.

    Если параметр Очистка приоритета не отображается, проверка разрешения.

  2. Введите имя и описание политики очистки приоритета, а затем нажмите кнопку Далее. Имя отображается для конечных пользователей, но необязательное описание отображается только администраторам очистки приоритета и указанным утверждателям политики. Это ограничение означает, что любые введенные сведения могут быть информативными и конкретными, не беспокоясь о том, что эти сведения видят несанкционированные пользователи.

  3. В поле Выберите тип очистки приоритета выберите Адаптивный или Статический , а затем нажмите кнопку Далее.

    1. Для адаптивной область добавьте одну или несколько адаптивных областей. Для почтового ящика пользователя добавьте область пользователя. Для почтового ящика группы добавьте область группы Microsoft 365. Затем выберите одно или несколько расположений почтовых ящиков в соответствии с областями.
    2. Для статического область выберите Политика для Exchange Online, а затем выберите Exchange Online расположение. При необходимости можно изменить, какие почтовые ящики следует включить или исключить.

    Чтобы помочь вам решить:

    • Все почтовые ящики включены: лучше всего, если вы не знаете, где находится содержимое. Применение политики может занять больше времени, но это стоит, если содержимое может находиться в неизвестных почтовых ящиках.
    • Конкретные почтовые ящики: самый быстрый вариант для небольшого известного набора почтовых ящиков. Используйте для включения или исключения до 100 почтовых ящиков.
    • Почтовые ящики пользователей по атрибутам. Статический область нельзя использовать, если вы хотите использовать атрибуты для назначения почтовых ящиков пользователей по регионам, отделам и т. д. Вместо этого вернитесь в конфигурацию политики и выберите вместо этого адаптивные области. Однако избегайте, если область включает более 1 миллиона почтовых ящиков.

  4. Нажмите кнопку Далее.

  5. На странице Расскажите нам, что вы ищете, введите текст в поле редактора KeyQL, чтобы создать запрос с помощью свойств электронной почты Exchange. Запрос можно уточнить с помощью операторов поиска, таких как AND, OR и NOT.

    Например, чтобы найти все содержимое, отправленное после 2 февраля 2024 г., с вложением с именем ContosoEmployeeSalaries.xlsx: AttachmentNames:ContosoEmployeeSalaries.xlsx AND sent>=2024-02-02

    Дополнительные сведения о синтаксисе запроса, использующего язык KeyQL (KeyQL), см. в справочнике по синтаксису язык KeyQL (KeyQL).

    Эта политика на основе запросов использует тот же индекс поиска, что и поиск контента обнаружения электронных данных для идентификации содержимого. Дополнительные сведения о свойствах, доступных для поиска, которые можно использовать для электронной почты, см. в разделе Поиск содержимого в Exchange Online.

  6. На странице Выберите, когда следует удалять содержимое , укажите, следует ли окончательно удалить соответствующие элементы как можно скорее или сохранить их в течение определенного периода, а затем удалить их. В большинстве случаев вы выбираете первый вариант, чтобы удалить элемент как можно скорее. Используйте альтернативный вариант только в том случае, если элементы должны храниться по соображениям соответствия требованиям и вы не можете использовать метку хранения для этой цели. Например, к элементу уже применена метка хранения с более длительным сроком хранения.

    Примечание.

    Политика очистки приоритета переопределяет принципы хранения , которые обычно определяют, когда элемент должен быть сохранен или окончательно удален.

  7. На странице Назначение того, кто будет утверждать, что будет удаляться , необходимо указать другого утверждающего приоритета, утверждающего, если к идентифицированным элементам применены параметры хранения (например, политика хранения, метка хранения или политика удержания в судебном порядке), и утверждающий для тех случаев, когда к определенному элементу применено одно или несколько удержаний eDiscovery.

    • Администраторы очистки приоритета. Необходимо назначить роль "Очистка приоритета" Администратор и является утверждающей на первом этапе для всех приоритетных очистки для этой политики. Это должен быть другой пользователь, который создал политику очистки приоритета, но не применяется.
    • Диспетчеры хранения. Должна быть назначена роль управления хранением. Утверждение от указанных пользователей требуется, если на идентифицированное содержимое распространяется одна или несколько политик хранения или судебных удержаний.
    • Администраторы обнаружения электронных данных. Необходимо назначить роль администратора обнаружения электронных данных. Утверждение от указанных пользователей требуется, если идентифицированное содержимое подлежит одному или нескольким удержаниям обнаружения электронных данных.

  8. На странице Выбор режима политики укажите, следует ли сначала запустить политику в режиме имитации или включить ее, или пока нет.

    Выполнение политики в режиме имитации задерживает окончательное удаление, но позволяет проверить совпадения образцов и уточнить запрос. Он также позволяет другим пользователям просматривать результаты перед утверждением, даже если они не назначены утверждающие.

  9. Для очистки приоритета необходимо подтвердить, установив флажок, который вы понимаете, как эта политика может переопределить удержания обнаружения электронных данных и другие примененные параметры хранения.

  10. На странице Политика очистки приоритета создана , вы увидите идентификатор очистки , который используется для отслеживания и мониторинга этой политики. Используйте функцию Copy или скопируйте ее позже из сведений о политике, чтобы отслеживать ход выполнения этой политики из сведений аудита.

Если вы решили запустить политику в режиме имитации:

  • В зависимости от количества почтовых ящиков для поиска может потребоваться несколько часов.
  • Политику можно включить на срок до семи дней. Через семь дней имитация должна быть перезапущена.

Если включить политику, как и в случае с политиками автоматического применения меток хранения, может потребоваться до семи дней, чтобы применить политику к элементам и запустить процесс утверждения.

Процесс утверждения политики очистки приоритета

Если политика очистки приоритета включена и элементы определяются, утверждающие политику получают уведомления по электронной почте с напоминанием раз в неделю. Они могут выбрать ссылку в сообщениях электронной почты с уведомлениями и напоминаниями, чтобы перейти непосредственно на страницу Очистка приоритета управления>> жизненным циклом данныхв ожидании очистки на портале, чтобы просмотреть содержимое для утверждения. Кроме того, утверждающие могут вручную перейти на эту страницу на портале.

Чтобы реализовать элемент управления безопасностью, использующий правило из двух пользователей, для каждой очистки приоритета всегда требуется другой администратор очистки приоритета, утверждающий окончательное удаление идентифицированных элементов. Затем, если к элементам применены параметры хранения, администраторы хранения должны утвердить их на следующем этапе. И, наконец, если элементы включены в удержание eDiscovery, они также требуют другого утверждения от администратора обнаружения электронных данных. После завершения всех необходимых утверждений элементы удаляются безвозвратно и не могут быть восстановлены пользователями, администраторами или корпорацией Майкрософт.

На странице Ожидающие очистки элементы, определяемые политикой очистки приоритета, отображаются с состоянием Ожидание ликвидации и предполагаемым количеством идентифицированных элементов. Это могут быть разные элементы или один и тот же элемент в нескольких почтовых ящиках.

Когда утверждающий выбирает один из элементов списка, на следующей странице отображаются отдельные элементы с именами элементов, расположениями и отправителями. При выборе элемента в области предварительного просмотра отображаются его тема, источник, сведения и журнал. В журнале отображаются все утверждения очистки приоритета на дату для этого элемента с комментариями утверждающего, если они доступны.

После просмотра всех элементов утверждающий может по отдельности или несколько выбрать их и выбрать Утвердить удаление. Затем они должны подтвердить действие с необязательным комментарием и выбрать Применить.

Кроме того, если элемент не должен быть удален окончательно как можно скорее, утверждающий должен выбрать Relabel и выбрать существующую метку хранения.

Элементы, утвержденные или повторно помеченные, перемещаются на вкладку Удаленные элементы . До семи дней для окончательного удаления элементов.

Экспорт представлений

Утверждающий может использовать параметр Экспорт на страницах Ожидающие очистки и Удаленные элементы для экспорта сведений об элементах в любом из представлений в виде .csv файла, который затем можно сортировать и управлять с помощью Excel.

Мониторинг очистки приоритета

Состояние очистки приоритета для каждой политики можно отслеживать из раздела Очистка приоритета управления жизненным> циклом данных. Например, состояние отображается В моделировании или Включено (ожидание), которое меняется на Включено (успешно).

Используйте сведения о политике, чтобы определить ее идентификатор очистки и вставьте этот номер как строку поиска ключевое слово из решения аудита. Чтобы использовать диапазон дат, не забудьте указать даты в формате UTC.

Существует два события аудита, характерные для очистки приоритета для почтовых ящиков:

  • Имя операции PriorityCleanupTagApplied: когда элемент определен для очистки приоритета, и если это привело к удалению существующей метки хранения.
  • Имя операции PriorityCleanupDelete: удаление элемента почтового ящика путем очистки приоритета.

В настоящее время эти события не имеют понятных имен, которые можно выбрать на портале Microsoft Purview.

Другие события аудита такие же, как и те, которые используются для создания и настройки метки хранения и политики автоматической маркировки, а также события для проверки ликвидации.

Взаимодействие с конечным пользователем для очистки приоритета

Так как при очистке приоритета не используется процесс обратимого удаления, пользователи видят панель сообщений Хранение: в своих сообщениях электронной почты в Outlook, когда они определены для очистки приоритета. Они также видят имя политики очистки приоритета, затем (–1 день), чтобы указать, что она должна быть удалена как можно скорее, и предполагаемый день и время окончания срока действия на основе этого –1 дня.

Например, если политика очистки приоритета называется "Тест политики очистки":

Срок хранения: проверка политики очистки (-1 день) истекает: чт 6.02.2024

Совет

Если вы предпочитаете, чтобы конечные пользователи не видели сообщение о хранении, это можно сделать, сначала выполнив поиск и очистку электронных данных, чтобы обратимо удалить элементы. По завершении примените политику очистки приоритета, чтобы окончательно удалить обратимо удаленные элементы.

После окончательного утверждения очистки приоритета элемент автоматически исчезает из Outlook.

Отключение очистки приоритета для клиента

После рассмотрения мер безопасности дополнительных разрешений и нескольких утверждений, если у вашей организации по-прежнему есть опасения по поводу этой возможности, вы можете отключить возможность создания приоритетных политик очистки. При отключении очистки приоритета вы отключаете ее для SharePoint и OneDrive , а также для Exchange.

  1. Вход на портал> Microsoft PurviewРешения>Управление жизненным циклом данных.
  2. В правом верхнем углу выберите Параметры очистки приоритета.
  3. На странице Конфигурация отключите элемент управления для очистки приоритета и нажмите кнопку Сохранить.

Новые политики очистки приоритета нельзя создать, пока вы не включите элемент управления и снова нажмите кнопку Сохранить .

Если политики очистки приоритета уже созданы при отключении элемента управления:

  • Существующие политики очистки приоритета продолжают функционировать

  • Существующие политики очистки приоритета можно удалить

  • Существующие политики очистки приоритета не могут быть изменены

См. также

Переопределение удерживает для очистки файлов для Copilot и восстановления хранилища

  • Last updated on