了解数据丢失防护中的自适应保护
Microsoft Purview 中的自适应保护将 Microsoft Purview 内部风险管理 与 Microsoft Purview 数据丢失防护 (DLP) 集成。 当内部风险识别出参与风险行为的用户时,会动态分配给内部风险级别。 然后,自适应保护可以自动创建 DLP 策略,以帮助保护组织免受与内部风险级别关联的风险行为。 随着内部风险管理中的用户内部风险级别发生变化,应用于用户的 DLP 策略可以进行调整。
可以手动创建 DLP 策略,帮助防止内部风险也识别出的风险行为。
若要了解自适应保护以及如何配置自适应 保护,请参阅帮助动态缓解风险 。
自适应保护在 DLP 策略中的显示方式
如果不熟悉 DLP 策略,应在使用自适应保护之前查看以下文章:
在内部风险中配置自适应保护后,称为“自适应保护用户风险级别”的条件将可用于为范围限定为Exchange Online、设备和 Teams 位置的策略配置的规则。
自适应保护的预览体验成员风险级别的条件有三个值:
- 提升的风险级别
- 中等风险级别
- 次要风险级别
这些内部风险级别配置文件在内部风险中定义。 可以在策略规则中选择一个、两个或全部三个。 详细了解 内部风险级别。
可以手动配置属于自适应保护的 DLP 策略,并使用 内部风险中的快速设置配置 从模板自动创建 DLP 策略。
Manual configuration - 手动配置
手动配置自适应保护 DLP 策略,就像 配置任何其他策略一样。 只需选择 “自适应保护是条件”的“预览体验成员风险级别 ”,然后选择所需的内部风险级别配置文件,配置所有其他策略选项,并根据正常过程部署策略。
快速设置配置
如果使用快速设置在内部风险中配置自适应保护,则会自动创建 DLP 策略,因此应注意它们。 快速设置将为 Teams 和Exchange Online创建一个策略,其中包含两个规则,一个用于提升的风险配置文件,一个用于中等和次要内部风险级别。 它还将为具有两个规则的设备创建一个策略,一个用于提升的风险配置文件,一个用于中等和次要内部风险级别。
提示
预览体验成员风险仅显示使用 自适应保护的预览体验成员风险级别的 DLP 策略的视图。 打开Microsoft Purview 合规门户>Insider 风险管理>自适应保护以查看列表。 需要 DLP 具有以下角色之一才能访问内部风险节点:
- 合规性管理员
- 合规性数据管理员
- 组织管理 (非全局管理员的用户必须是 Exchange 管理员,才能查看由 基本移动性和安全性 管理的设备并执行操作,Microsoft 365)
- 全局管理员
- DLP 合规性管理
- 仅查看 DLP 合规性管理
重要
Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一种高特权角色,只能在无法使用较低特权角色的情况下使用。
Teams 和 Exchange 联机 DLP 策略的策略值
这是在快速安装过程中创建的 Teams 和 Exchange DLP 策略的配置。 策略名称为 Teams 和 Exchange DLP 的自适应保护策略。
规则:Teams 和 Exchange DLP 的自适应保护阻止规则
| DLP 策略元素 | 配置的值 |
|---|---|
| 条件 |
自适应保护的内部风险级别为 - 提升的风险级别 AND - 内容从 Microsoft 365 与组织外部的人员共享 |
| 操作 |
限制访问或加密Microsoft 365 个位置 - 的内容仅阻止组织外部的人员 |
| 用户通知 |
上 - 使用策略提示 通知用户– 通知发送、共享或上次修改内容的用户 |
| 用户替代 | 关闭 |
| 事件报告 |
上 - 严重性级别 - 低 - 每次活动与规则匹配时发送警报 |
| 其他选项 | 关闭 |
| 状态 |
在模拟模式下 - 运行策略未选择策略提示 |
规则:Teams 和 Exchange DLP 的自适应保护审核规则
| DLP 策略元素 | 配置的值 |
|---|---|
| 条件 |
自适应保护的内部风险级别为 - 中等风险级别、次要风险级别 AND - 内容从 Microsoft 365 与组织外部的人员共享 |
| 操作 | None |
| 用户通知 |
上 - 使用策略提示 - 通知用户通知发送、共享或上次修改内容的用户 |
| 用户替代 | 关闭 |
| 事件报告 |
上 - 严重性级别 - 低 - 每次活动与规则匹配时发送警报 |
| 其他选项 | 关闭 |
| 状态 |
在模拟模式下 - 运行策略未选择策略提示 |
设备 DLP 策略的策略值
这是在快速安装过程中创建的设备 DLP 策略的配置。 策略名称为 Endpoint DLP 的自适应保护策略。
重要
若要在设备上使用自适应保护,必须启用 高级分类扫描和保护 ,或者如果要手动创建自适应保护策略,请选择 “文件类型为 条件”。
重要
如果用户是默认自适应保护设备 DLP 策略的目标,并且是独立的设备 DLP 策略的目标,则只会应用 限制性最高的 策略的操作。
规则:终结点 DLP 的自适应保护阻止规则
| DLP 策略元素 | 配置的值 |
|---|---|
| 条件 |
自适应保护的内部风险级别为 - 提升的风险级别 AND - 文件类型为 - Word处理 - 电子表格 - 演示文稿 - 存档 - 邮件 |
| 操作 |
审核或限制设备上的 - 活动上传到受限的云服务域或从未经允许的浏览器进行访问 - 阻止 所有应用 - 的文件活动对特定活动 - 应用限制复制到剪贴板 - 阻止 - 复制到可移动 USB 设备 - 阻止 - 复制到网络共享 - 阻止 - 打印 - 块 受限应用活动 - 受限应用的访问权限 - 阻止 |
| 用户通知 | 关闭 |
| 用户替代 | 关闭 |
| 事件报告 |
上 - 严重性级别 - 低 - 每次活动与规则匹配时发送警报 |
| 其他选项 | 关闭 |
| 状态 |
在模拟模式下 - 运行策略未选择“策略提示”选项 |
规则:终结点 DLP 的自适应保护规则
| DLP 策略元素 | 配置的值 |
|---|---|
| 条件 |
自适应保护的内部风险级别为 - 中等风险级别、次要风险级别 AND - 文件类型为 - Word处理 - 电子表格 - 演示文稿 - 存档 - 邮件 |
| 操作 |
审核或限制设备上的 - 活动上传到受限制的云服务域或从未经允许的浏览器进行访问 - 审核 所有应用 - 的文件活动对特定活动 - 应用限制复制到剪贴板 – 审核 - 复制到可移动 USB 设备 - 审核 - 复制到网络共享 - 审核 -打印 - 审核 受限应用活动 - 受限应用的访问权限 - 审核 |
| 用户通知 | 关闭 |
| 用户替代 | 关闭 |
| 事件报告 |
上 - 严重性级别 - 低 - 每次活动与规则匹配时发送警报 |
| 其他选项 | 关闭 |
| 状态 |
在模拟模式下 - 运行策略未选择策略提示选项 |