使用通信合规性报告和审核

重要

Microsoft Purview 通信合规性提供的工具可帮助组织检测法规合规性 (例如 SEC 或 FINRA) 和业务行为违规，例如敏感信息或机密信息、骚扰或威胁性语言，以及共享成人内容。 根据隐私设计构建，用户名默认为假名化，内置基于角色的访问控制，管理员选择调查人员，审核日志已到位，以帮助确保用户级隐私。

提示

开始使用 Microsoft Copilot for Security，探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的 Microsoft Copilot for Security。

报表

注意

目前，如果角色 的范围由一个或多个管理单元限定，则不会将管理单元应用于报表。 可以看到组织中的所有报表。

“报表”仪表板是查看所有通信合规性报告的中心位置。 若要查看和管理报表，必须将用户分配到 通信合规性查看者 角色组。

报表小组件提供对通信合规性活动状态进行全面评估时最常用的见解的快速视图。 报表小组件中包含的信息不可导出。 详细报告提供与特定通信合规性领域相关的深入信息，并提供在查看时筛选、分组、排序和导出信息的功能。

对于日期范围筛选器，事件的日期和时间在协调世界时 (UTC) 中列出。 筛选邮件时，报表的所有筛选器都适用于 00：00：00 UTC 开始日期到 UTC 结束日期 23：59：59。

“报表”仪表板包含以下报表小组件和详细报表链接：

报表小组件

• 最近的策略匹配项：显示活动策略随时间推移的匹配项数。
• 按策略解析的项目：显示策略随时间推移解析的策略匹配警报数。
• 匹配次数最多的策略：显示给定时间段的策略和匹配数，匹配项排名最高到最低。
• 策略匹配最多的用户：显示给定时间段内 (或匿名用户名) 的用户和策略匹配数。
• 按策略升级：显示给定时间内每个策略的升级数。

详细报告

使用“ 导出报表 ”选项创建包含任何详细报表的报表详细信息的 .CSV 文件。 “导出报表”选项支持高达 3 MB 的文件大小下载。

• 策略设置和状态：详细介绍了策略配置和设置，以及每个策略的一般状态， (消息) 匹配和操作。 包括策略信息以及策略与用户和组的关联方式、位置、评审百分比、审阅者、状态以及策略的上次修改时间。 使用 “导出” 选项创建包含报表详细信息的 .CSV 文件。

• 每个策略的项目和操作：查看和导出匹配项以及每个策略的修正操作。 包括策略信息以及策略与以下项的关联方式：

  • 匹配项
  • 已升级的项
  • 已解决的项目
  • 标记为合规
  • 标记为不符合
  • 标记为可疑
  • 待审阅的项目
  • 用户通知
  • 已创建案例

• 每个位置的项目和操作：查看和导出每个Microsoft 365 个位置的匹配项目和修正操作。 包括有关工作负载平台如何与以下内容关联的信息：

  • 匹配项
  • 已升级的项
  • 已解决的项目
  • 标记为合规
  • 标记为不符合
  • 标记为可疑
  • 待审阅的项目
  • 用户通知
  • 已创建案例

• 按用户排序的活动：按用户查看和导出匹配项和修正操作。 包括有关用户如何与以下内容关联的信息：

  • 匹配项
  • 已升级的项
  • 已解决的项目
  • 标记为合规
  • 标记为不符合
  • 标记为可疑
  • 待审阅的项目
  • 用户通知
  • 已创建案例

注意

显示的项和操作仅适用于在上述日期范围筛选器中包含的日期范围内 匹配 的项目和操作。

• 每个位置的敏感信息类型 (预览) ：查看和导出有关在通信合规性策略中检测敏感信息类型和关联源的信息。 包括组织中配置的源中敏感信息类型实例的总体总计和特定细分。 每个第三方源的值显示在 .CSV 文件中的单独列中。 示例如下：

  • 电子邮件：Exchange 电子邮件中检测到的敏感信息类型。
  • Teams：Microsoft Teams 频道和聊天消息中检测到的敏感信息类型。
  • Microsoft Copilot for Microsoft 365：在 Copilot 交互中检测到的敏感信息类型。
  • Viva Engage：在 Viva Engage 收件箱、帖子、聊天和答复中检测到的敏感信息类型。
  • 第三方源：检测到与组织中配置的第三方连接器关联的活动的敏感信息类型。 若要查看报表中特定敏感信息类型的第三方源细目，请将鼠标悬停在第三方源列中敏感信息类型的值上。
  • 其他：用于内部系统处理的敏感信息类型。 选择或取消选择报表的此源不会影响任何值。

• 电子邮件爆炸发件人：查看和导出从通信合规性策略中筛选出来的电子邮件的发件人列表，以减少“干扰”。 筛选电子邮件爆炸 是一种通信合规性策略设置。 “电子邮件爆炸发件人”报告包括以下字段：

  • 策略名称
  • 策略上次修改日期
  • 发件人
  • 筛选的邮件数

导出邮件详细信息报表

可以创建自定义报告并查看进入特定策略范围的消息的详细信息。 这些报表可用于对消息进行全面评审，并可用于在可自定义的时间段内创建报表快照。 可以创建一次性报表，或者如果经常需要创建同一个报表，可以计划每天、每周或每月创建一次报表。 每个策略最多可以创建五个计划。

创建报表时，策略的审阅者会收到一封电子邮件通知，其中包含指向“ 导出 ”选项卡的链接，可在其中将报表下载为 CSV 文件。

创建报表

为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户，请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息，请参阅 Microsoft Purview 合规性门户。

Microsoft Purview 门户

1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户 。

2. 转到 通信合规性 解决方案。

3. 在左侧导航栏中选择“ 策略 ”。

4. 选择策略，然后选择页面右上角的“ 导出报表 ”按钮。

5. 在“ 导出选项 ”窗格的“ 包括来自这些用户的项”下，选择以下选项之一：

   • 所有用户。 如果要为策略中的所有用户创建包含邮件信息的报表，请选择此选项。
   • 选择用户。 选择此选项，然后从列表中选择特定用户，以创建包含这些特定用户发送的消息的报表。 列表中只有发送了已标记的邮件的用户可用。

6. 在 “选择频率” 列表中，选择要创建报表的频率。

7. 如果是一次性报表，请输入报告的开始日期和结束日期。 如果是定期报告，请输入开始发送报告的日期和停止发送报告的日期。

   注意

   如果为定期报表选择“ 每日”、“ 每周”或“ 每月” ，则报表将开始收集前一天、周或月的消息，具体取决于你选择的选项。 例如，如果选择“ 每日 ”作为频率，并选择“ 2024 年 6 月 4 日”作为报告的开始日期，则报告将从 6 月 3 日开始收集消息。

8. 在“ 向这些审阅者发送报告 ”列表中，通过添加或删除审阅者进行所需的任何更改。 默认情况下，将列出策略创建期间 (添加) 的所有策略审阅者。

9. 在 “报表名称 ”字段中，接受建议的报表名称或根据需要进行更改。

10. 为) 的一次性 报表选择“创建 报表 (”或 “开始定期报表) 的计划导出 (”。

    此时会显示 “准备计划报表 ”对话框。

11. 若要查看报表的计划，请选择“ 管理计划导出”。

    提示

    还可以通过从“导出”选项卡中选择“管理计划报表”来编辑报表计划。

12. 若要对计划的报表进行更改，请执行以下操作：

    1. 选中报表的复选框，然后选择 “编辑”。
    2. 在“ 导出选项 ”对话框中，进行所需的更改。

    注意

    如果要更改报表的频率或开始日期，请删除上一屏幕中的报表，然后再次创建报表。

注意

每个策略最多可以创建五个计划报表。 如果某个策略已有五个计划报表，并且想要创建一个新报表，则必须删除其中一个现有报表计划，然后才能创建新报表计划。

在报表准备就绪时下载报表

创建报表所需的时间取决于计划报表的数量和报表的大小。 当报表准备就绪时，策略的审阅者会收到一封电子邮件通知，其中包含指向“ 导出 ”选项卡的链接。 若要从“ 导出 ”选项卡下载报表，请选择处于 “准备下载” 状态的报表，然后选择列表上方 的“下载导出 () ”按钮。

注意

如果所选时间段未在报表中返回任何消息结果，则表示所选时间段内没有消息。 报表将为空白。

合规性门户

1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 合规性门户 。

2. 转到 通信合规性 解决方案。

3. 选择“策略”选项卡。

4. 选择策略，然后选择页面右上角的“ 导出报表 ”按钮。

5. 在“ 导出选项 ”窗格的“ 包括来自这些用户的项”下，选择以下选项之一：

   • 所有用户。 如果要为策略中的所有用户创建包含邮件信息的报表，请选择此选项。
   • 选择用户。 选择此选项，然后从列表中选择特定用户，以创建包含这些特定用户发送的消息的报表。 列表中只有发送了已标记的邮件的用户可用。

6. 在 “选择频率” 列表中，选择要创建报表的频率。

7. 如果是一次性报表，请输入报告的开始日期和结束日期。 如果是定期报告，请输入开始发送报告的日期和停止发送报告的日期。

   注意

   如果为定期报表选择“ 每日”、“ 每周”或“ 每月” ，则报表将开始收集前一天、周或月的消息，具体取决于你选择的选项。 例如，如果选择“ 每日 ”作为频率，并选择“ 2024 年 6 月 4 日”作为报告的开始日期，则报告将从 6 月 3 日开始收集消息。

8. 在“ 向这些审阅者发送报告 ”列表中，通过添加或删除审阅者进行所需的任何更改。 默认情况下，将列出策略创建期间 (添加) 的所有策略审阅者。

9. 在 “报表名称 ”字段中，接受建议的报表名称或根据需要进行更改。

10. 为) 的一次性 报表选择“创建 报表 (”或 “开始定期报表) 的计划导出 (”。

    此时会显示 “准备计划报表 ”对话框。

11. 若要查看报表的计划，请选择“ 管理计划导出”。

    提示

    还可以通过从“导出”选项卡中选择“管理计划报表”来编辑报表计划。

12. 若要对计划的报表进行更改，请执行以下操作：

    1. 选中报表的复选框，然后选择 “编辑”。
    2. 在“ 导出选项 ”对话框中，进行所需的更改。

    注意

    如果要更改报表的频率或开始日期，请删除上一屏幕中的报表，然后再次创建报表。

注意

每个策略最多可以创建五个计划报表。 如果某个策略已有五个计划报表，并且想要创建一个新报表，则必须删除其中一个现有报表计划，然后才能创建新报表计划。

在报表准备就绪时下载报表

创建报表所需的时间取决于计划报表的数量和报表的大小。 当报表准备就绪时，策略的审阅者会收到一封电子邮件通知，其中包含指向“ 导出 ”选项卡的链接。 若要从“ 导出 ”选项卡下载报表，请选择处于 “准备下载” 状态的报表，然后选择列表上方 的“下载导出 () ”按钮。

注意

如果所选时间段未在报表中返回任何消息结果，则表示所选时间段内没有消息。 报表将为空白。

邮件详细信息报表中包含的内容

邮件详细信息报告包含策略中每个消息项的以下信息：

• 匹配 ID：通信合规性中消息副本的唯一 ID。
• Internet 消息 ID：跨平台的消息的唯一 ID。
• 对话系列 ID：消息的线程 ID。
• 发件人列：邮件的发件人。 如果策略匹配是来自 Microsoft Copilot for Microsoft 365 的响应，则值为“Copilot”。
• 收件人列：邮件中包含的收件人。 如果策略匹配是 Copilot 的提示，则值为“Copilot”。
• 日期：发送邮件的日期。
• 位置：发送消息的通道。 这可以是 Exchange Online、Teams、Viva Engage 或通信合规性支持的任何第三方通道。
• 主题：邮件的主题。 如果是 Copilot 交互，则消息的主题为“Copilot”，Microsoft 365 应用的名称。 例如：“Excel 中的 Copilot”。
• 包含附件：邮件的任何附件的状态。 值为 “是” 或 “否”。
• 策略名称：与消息关联的策略的名称。 对于报表中的所有邮件，此值将相同。
• 项目状态：策略中邮件项的状态。 值为 Pending 或 Resolved。
• 标记：分配给消息的标记。 值为 “可疑”、“符合”或 “不符合”。
• 关键字匹配：消息的关键字匹配。
• 可训练分类器 ID：匹配的可训练分类器的 ID。
• 可训练分类器名称和匹配关键字：可训练分类器的名称和触发分类器匹配的关键字的名称。
• 审阅者：分配给邮件的审阅者。
• 挂起 (天) ：消息处于挂起状态的天数。 对于已解析的消息，值为 0。
• 已解决的注释：解析时输入的消息的注释。
• 解决日期：解决消息) 协调世界时 (协调世界时。
• 上次更新时间：上次更新器的用户名。
• 上次更新时间：上次更新消息) 日期和协调世界时 (UTC。
• 批注历史记录：邮件警报的所有注释列表，包括批注作者和日期，以及注释 (UTC 协调世界时) 。

提示

还可以 选择特定邮件详细信息并将其导出为可下载文件

Audit

在某些情况下，必须向法规或合规性审核员提供信息，以证明用户活动和通信已限定范围。 此信息可能是与定义的组织策略或通信合规性策略发生更改时关联的所有活动的摘要。 通信合规性策略具有内置的审核线索，可完全准备好进行内部或外部审核。 通信策略会捕获每个创建、编辑和删除操作的详细审核历史记录，以提供作用域内过程的证明。

重要

必须先为组织启用审核，然后才能记录通信合规性事件。 若要启用审核，请参阅 启用审核日志。 当活动触发Microsoft 365 审核日志中捕获的事件时，可能需要长达 48 小时才能在通信合规性策略中查看这些事件。

若要查看通信合规性策略更新活动，请在主页上选择任何 策略的“导出策略更新 ”控件。 必须为你分配 全局管理员 或 通信合规性管理员 角色才能导出更新活动。 此操作以 .CSV 格式生成包含以下信息的审核文件：

重要

Microsoft建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数，有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限。

字段	详细信息
CreationDate	在策略中执行更新活动的日期。
UserIds	在策略中执行更新活动的用户。
操作	对策略执行的更新操作。
AuditData	所有策略更新活动的主数据源。 所有更新活动都记录并用逗号分隔符分隔。

若要查看策略的通信合规性评审活动，请在特定策略的“概述”页上选择“导出评审活动”控件。 必须分配全局 管理员 或 通信合规性管理员 角色才能导出评审活动。 此操作以 .CSV 格式生成包含以下信息的审核文件：

重要

Microsoft建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数，有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限。

字段	详细信息
CreationDate	在策略中执行评审活动的日期。
UserIds	在策略中执行评审活动的用户。
操作	查看对策略执行的操作。
AuditData	所有策略评审活动的主数据源。 所有评审活动都以逗号分隔符进行记录和分隔。

还可以在统一审核日志中或使用 Search-UnifiedAuditLog PowerShell cmdlet 查看审核活动。 若要详细了解审核日志保留策略，请参阅 管理审核日志保留策略。

例如，以下示例返回所有作用域内评审活动的活动， (策略和规则) ：

Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -RecordType AeD -Operations SupervisoryReviewTag

此示例返回通信合规性策略的更新活动：

Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -RecordType Discovery -Operations SupervisionPolicyCreated,SupervisionPolicyUpdated,SupervisionPolicyDeleted

此示例返回与当前通信合规性策略匹配的活动：

Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -Operations SupervisionRuleMatch

通信合规性策略匹配存储在每个策略的作用域邮箱中。 在某些情况下，可能需要检查作用域邮箱的大小以获取策略，以确保未达到当前的 100 GB 存储大小或 100 万邮件限制。 如果达到邮箱限制，则不会捕获策略匹配项，你需要使用相同的设置) 创建新的策略 (，以继续捕获相同活动的匹配项。

若要检查策略的作用域邮箱的大小，请完成以下步骤：

1. 连接到 Exchange Online PowerShell。

2. 运行以下命令：

   ForEach ($p in Get-SupervisoryReviewPolicyV2 | Sort-Object Name)
   {
      "<Name of your communication compliance policy>: " + $p.Name
      Get-MailboxStatistics $p.ReviewMailbox | ft ItemCount,TotalItemSize
   }