通信合规性规划

重要

Microsoft Purview 通信合规性提供的工具可帮助组织检测法规合规性 (例如 SEC 或 FINRA) 和业务行为违规行为,例如敏感或机密信息、骚扰或威胁性语言以及成人内容的共享。 根据隐私设计构建,用户名默认为假名化,内置基于角色的访问控制,管理员选择调查人员,审核日志已到位,以帮助确保用户级隐私。

在组织中开始 实现通信合规性 之前,信息技术和合规性管理团队应审查一些重要的规划活动和注意事项。 全面了解和规划以下方面的部署将有助于确保通信合规性功能的实现和使用顺利进行,并与解决方案的最佳做法保持一致。

观看以下视频,了解如何通过通信合规性满足法规遵从性要求:

有关详细信息以及规划流程的概述,以解决组织中的合规性和风险活动,请参阅 启动内部风险管理计划

还可以检查Microsoft机制视频,了解内部风险管理和通信合规性如何协同工作,以帮助最大程度地降低来自组织中的用户的数据风险。

重要

目前,在 Azure 服务依赖项支持的地理区域和国家/地区托管的租户中提供了通信合规性。 若要验证组织是否支持通信合规性,请参阅 Azure 依赖项可用性(按国家/地区)。

提示

如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

与组织中的利益干系人合作

确定组织中适当的利益干系人,以便协作以针对通信合规性警报采取措施。 建议的一些利益干系人要考虑包括在初始规划和端到端 通信合规性工作流 中,这些利益干系人来自组织以下领域:

  • 信息技术
  • 合规性
  • 隐私
  • 安全性
  • 人力资源
  • 法律

规划调查和修正工作流

选择专门的利益干系人,在 Microsoft Purview 门户Microsoft Purview 合规门户按常规节奏调查和查看警报和案例。 请确保了解如何将用户和利益干系人分配到组织中的不同通信合规性角色组。

重要

配置角色组之后,可能需要长达 30 分钟时间将角色组权限应用到整个组织的已分配用户。

配置权限

有六个角色组用于配置初始权限来管理通信合规性功能。 若要在 Microsoft Purview 合规门户 中将通信合规性作为菜单选项提供并继续执行这些配置步骤,必须将你分配到其中一个组。 有关详细信息,请参阅 启用通信合规性权限

限定范围的用户

在开始使用通信合规性之前,必须确定需要审查谁的通信。 在策略中,用户电子邮件地址标识要对其应用策略的个人或组。 这些组的一些示例包括Microsoft 365 组、基于 Exchange 的通讯组列表、Viva Engage社区和Microsoft Teams 频道。 还可以使用特定排除组或组列表进行检查,从而排除特定用户或组。 有关通信合规性策略中支持的组类型的详细信息,请参阅 通信合规性入门

重要

通信合规性策略涵盖的用户必须具有Microsoft 365 E5 合规许可证、具有高级合规性加载项的Office 365 企业版 E3 许可证,或者包含在Office 365 企业版 E5 订阅中。 如果没有现有的企业 E5 计划,并且想要尝试通信合规性,可以注册 Office 365 企业版 E5 试用版

审阅者

创建通信合规性策略时,必须确定谁审阅作用域内用户的消息。 在策略中,用户电子邮件地址标识用于查看范围通信的个人或组。 所有审阅者必须在Exchange Online上托管邮箱,必须分配给通信合规性分析员通信合规性调查员角色组,并且必须在他们需要调查的策略中分配邮箱。 审阅者添加到策略时,他们会自动收到一封电子邮件,通知他们分配到此策略,并提供有关审阅过程的信息的链接。

适用于作用域内用户和审阅者的组

为了简化设置,我们建议为需要审阅其通信的人员创建组,并为审阅这些通信的人员创建组。 如果你已经在使用组,可能需要创建若干个组。 例如,如果要标识两组不同人员之间的通信,或者想要指定不在范围内的组。 在策略中分配通讯组时,该策略将检测来自通讯组每个用户的所有电子邮件。 在策略中分配Microsoft 365 组时,该策略将检测发送到该组的所有电子邮件,而不是每个组成员收到的单个电子邮件。

注意

在创建策略之前,应决定是否要为用户或组应用 自适应范围 。 有关详细信息,请参阅 合规性解决方案的自适应策略范围

将组和通讯组列表添加到通信合规性策略是总体条件和规则集的一部分,因此策略支持的最大组和通讯组列表数因同时添加到策略的条件数而异。 每个策略应支持大约 20 个组或通讯组列表,具体取决于策略中存在的其他条件的数量。

下图可帮助你为组织中的组配置通信合规性策略:

策略成员 支持的组 不支持的组
限定范围的用户
排除的用户
通讯组
Microsoft 365 组
动态通讯组
嵌套通讯组
启用邮件的安全组
Microsoft具有动态成员身份的 365 个组
审阅者 通讯组
动态通讯组
嵌套通讯组
启用邮件的安全组

隐私

保护具有策略匹配项的用户的隐私非常重要,有助于提高数据调查和分析评审的客观性,以针对通信合规性警报。 此设置仅适用于显示通信合规性解决方案的用户名。 它不会影响名称在其他合规性解决方案或管理中心中的显示方式。

对于具有通信合规性匹配的用户,可以在 通信合规性设置中选择以下设置之一:

  • 显示用户名的匿名版本:用户名是匿名的,以防止 通信合规性分析师 角色组中的用户看到谁与策略警报相关联。 通信合规性调查员角色组中的用户将始终看到用户名,而不是匿名版本。 例如,用户“Grace Taylor”将在通信合规性体验的所有区域以随机化名出现,例如“AnonIS8-988”。 选择此设置会匿名处理具有当前和过去策略匹配项的所有用户,并适用于所有策略。 选择此选项时,通信合规性警报详细信息中的用户配置文件信息将不可用。 但是,在向现有策略添加新用户或将用户分配到新策略时,会显示用户名。 如果选择关闭此设置,则会为具有当前或过去策略匹配的所有用户显示用户名。
  • 不显示用户名的匿名版本:将显示通信合规性警报的所有当前和过去策略匹配项的用户名。 为用户显示所有通信合规性警报 (名称、职务、别名和组织或部门) 的用户配置文件信息。

规划通信合规性策略

使用 预定义模板 快速轻松地创建通信合规性策略,用于分析潜在不适当的内容、敏感信息和法规合规性问题。 自定义通信合规性策略允许灵活地检测和调查特定于组织和要求的问题。

规划通信合规性策略时,请考虑以下方面:

  • 考虑将组织中的所有用户添加为通信合规性策略的范围。 在某些情况下,将特定用户标识为单个策略的范围非常有用,但大多数组织应在针对骚扰或歧视检测优化的通信合规性策略中包括所有用户。
  • 确定是否要将自适应范围应用于通信合规性策略。 有关详细信息,请参阅 用于保留的自适应策略范围。 创建多个策略可能会导致更高的管理开销。
  • 将要评审的通信百分比配置为 100%,以确保策略捕获组织在通信中关注的所有问题。
  • 可以分析从 第三方源 导入到 Microsoft 365 组织中的邮箱中的数据的通信。 若要包括对这些平台中的通信的评审,需要在通信策略检测到满足策略条件的邮件之前,为这些服务配置第三方连接器。
  • 策略可以支持在自定义通信合规性策略中检测除英语以外的语言。 使用所选语言生成自定义关键字 (keyword) 冒犯性字词字典,或使用 Microsoft 365 中的可训练分类器构建自己的机器学习模型。
  • 所有组织都有不同的通信标准和策略需求。 使用通信合规性 策略条件 检测特定关键字,或使用 自定义敏感信息类型检测特定类型的信息

在 Microsoft 365 美国政府云和商业云之间迁移

如果将组织从 Microsoft 365 美国政府云迁移到全球商业云或从全球商业云迁移到政府云,则不会迁移活动案例和警报。 在开始迁移之前关闭所有警报和案例。

创建通信合规性策略演练

想要深入了解如何设置新的通信合规性策略和修正警报? 观看以下 15 分钟的视频,了解通信合规性策略如何帮助你检测潜在不适当的消息、调查潜在违规和修正合规性问题。


准备好开始了吗?

若要为 Microsoft 365 组织配置通信合规性,请参阅配置通信合规性或检查 Contoso 的案例研究,以及他们如何快速配置通信合规性策略来检测Microsoft Teams、Exchange Online和Viva Engage通信中的潜在不适当内容。