数据丢失防护和 Microsoft Teams
如果组织Microsoft Purview 数据丢失防护 (DLP) ,则可以定义策略来帮助防止用户在Microsoft Teams 频道或聊天会话中共享敏感信息。 下面是此保护工作原理的一些示例:
- 保护消息中的敏感信息。 假设有人尝试在 Teams 聊天或频道中与来宾共享敏感信息, () 的外部用户。 如果定义了 DLP 策略来防止这种情况,则会删除包含发送给外部用户的敏感信息的消息。 这在几秒钟内根据 DLP 策略的配置方式自动发生。
注意
Microsoft Teams 的 DLP 在与具有以下内容Microsoft Teams 用户共享时会阻止敏感内容:
仅当发送方和接收方都处于“仅 Teams”模式并使用 Microsoft Teams 本机联合时,外部聊天会话的 DLP 才有效。 Teams 的 DLP 不会阻止与Skype或非本机联合聊天会话的 互操作 中的消息。
保护文档中的敏感信息。 假设有人尝试在Microsoft Teams 频道或聊天中与来宾共享文档,并且该文档包含敏感信息。 如果定义了 DLP 策略来防止这种情况,则不会为这些用户打开该文档。 DLP 策略必须包含 SharePoint 和 OneDrive,才能强制实施保护。 这是显示在 Microsoft Teams 中的 SharePoint DLP 示例,因此要求用户获得 Office 365 DLP (包含在 Office 365 E3) 中的许可,但不要求用户获得 Office 365 高级合规性许可。
保护 Teams 共享频道中的通信。 对于共享频道,将应用主机 Teams 团队 DLP 策略。 例如,假设 Contoso 团队 A 拥有一个共享频道。 团队 A 具有 DLP 策略 P1。 可通过三种方式共享频道:
- 与成员共享:邀请 Contoso 中的 User1 加入共享频道,而无需使其成为团队 A 的成员。P1 涵盖此共享频道中的所有人,包括 User1。
- 在内部) 与团队 (共享 :与 Contoso 团队 B 中的另一个团队共享频道。其他团队可能有不同的 DLP 策略,但这并不重要。 P1 适用于此共享频道中的每个人,包括团队 A 和团队 B 用户。
- 与团队 (跨租户) 共享 :在 Fabrikam 中与团队 F 共享频道。 Fabrikam 可能有自己的 DLP 策略,但这并不重要。 P1 适用于此共享频道中的每个人,包括 Team A (Contoso) 和 Team F (Fabrikam) 用户。
在与 Microsoft Teams 中的外部用户聊天时保护通信。 来自不同Microsoft 365 个组织且全部使用 外部访问 功能的人员都可以加入同一聊天会话。 每个用户都受其自己组织的 DLP 策略的约束。 例如,假设来自 Contoso 的 UserA、UserB 和 UserC 以及来自 Fabrikam 的 UserX、UserY 和 UserZ 都位于同一 Teams 聊天中。 Contoso 用于在 Teams 中共享信息的 DLP 策略适用于 UserA、UserB 和 UserC,而 Fabrikam 的 DLP 策略适用于 UserX、UserY 和 UserZ。 有关使用 Microsoft Teams 与组织外部的人员聊天的详细信息,请参阅 管理外部会议并使用Microsoft标识与人员和组织聊天
提示
开始使用 Microsoft Copilot for Security,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的 Microsoft Copilot for Security。
Microsoft Teams 的 DLP 许可
数据丢失防护 功能包括Microsoft Teams 聊天和频道消息,包括用于以下对象的 专用频道消息 :
- Office 365 E5/A5/G5
- Microsoft 365 E5/A5/G5
- Microsoft 365 E5/A5/G5 信息保护和治理
- Microsoft 365 E5/A5/G5/F5 合规性及 F5 安全性 + 合规性
Office 365 和 Microsoft 365 E3 包括针对 SharePoint、OneDrive 和 Exchange 的 DLP 保护。 这还包括通过 Teams 共享的文件,因为 Teams 使用 SharePoint 和 OneDrive 来共享文件。
支持 Teams 聊天中的 DLP 保护需要 E5 许可证。
重要
有关许可的信息,请参阅 Microsoft 365、Office 365、企业移动性 + 安全性和适用于企业的 Windows 11 订阅。
提示
DLP 仅适用于聊天或频道线程中的实际消息。 活动通知(包括短消息预览并基于用户的通知设置显示) 不包括 在 Teams DLP 中。 预览中显示的消息部分中的任何敏感信息都将在通知中保持可见,即使在应用 DLP 策略并从邮件本身中删除敏感信息之后也是如此。
DLP 保护范围
DLP 保护以不同的方式应用于 Teams 实体,如下表所述。
若要将 DLP Teams 策略的范围限定为所有聊天类型,请将策略范围限定为 “所有位置”,或验证每个 Teams 用户是否同时位于Microsoft 365 组中,并且位于作用域为策略的安全组或通讯组中。 有关详细信息, 请详细了解如何同步成员身份。
策略范围 | Teams 实体 | DLP 保护 |
---|---|---|
个人用户帐户 | - 1:1/n 聊天 - 标准和共享频道消息 - 私人频道消息 |
-是的 -不 -是的 |
安全组/通讯组/未启用邮件的安全组 | - 1:1/n 聊天 - 标准和共享频道消息 - 私人频道消息 |
-是的 -不 -是的 |
Microsoft 365 组* | - 1:1/n 聊天 - 标准和共享频道消息 - 私人频道消息 |
-不 -是的 -不 |
注意
当 DLP 策略的范围限定为Microsoft 365 个组时,DLP 保护将应用于使用与其所属的组关联的标准和共享通道的组成员。
策略提示帮助教育用户
与 (Exchange、Outlook、SharePoint、OneDrive 和 Windows 设备上 DLP 策略提示的工作方式类似,当使用 DLP 策略触发操作时,Teams 中的策略提示会显示。 下面是策略提示的示例:
在这里,发件人尝试在 Microsoft Teams 频道中共享社会安全号码。 “ 我该怎么办?” 链接将打开一个对话框,该对话框为发件人提供了解决问题的选项。 请注意,发件人可以选择替代策略或通知管理员查看和解决问题。
可以选择允许组织中的用户替代 DLP 策略。 配置 DLP 策略时,可以使用默认策略提示,或为组织 自定义策略提示 。
回到我们的示例,当发件人在 Teams 频道中共享社会安全号码时,收件人会看到以下情况:
自定义策略提示
若要执行该任务,须被分配具有编辑 DLP 策略权限的角色。 若要了解详细信息,请参阅 Microsoft Purview 合规性门户中的权限。
为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规性门户。
登录到 Microsoft Purview 门户>数据丢失防护>策略。
选择一个策略,然后选择“ 编辑策略 ” (铅笔图标) 。
在工具中导航,直到转到 “自定义高级 DLP 规则 ”屏幕。
创建新规则,或编辑策略的现有规则。
向下滚动到 “用户通知 ”,并将 “使用通知告知用户并帮助告知他们正确使用敏感信息” 开关设置为 “开”。
在 “Microsoft 365 服务”下,选择“ 使用策略提示通知 Office 365 服务中的用户”。
在 “策略提示 ”下,选择“ 自定义策略提示文本”。
指定要用于策略提示的文本。
如果策略提示应用于 Microsoft Exchange 中的用户活动,并且您希望在发送电子邮件之前有一个对话框显示提示,请选择“ 在发送之前将策略提示显示为最终用户的对话框”。
选择 “保存” ,然后选择 “下一步”。
在 “策略模式 ”页上,选中 “在模拟模式下显示策略提示 ”旁边的框(如果需要)。
依次选择 “下一步”、“ 提交”和“ 完成”。
将 Microsoft Teams 作为位置添加到现有 DLP 策略
若要执行该任务,须被分配具有编辑 DLP 策略权限的角色。 若要了解详细信息,请参阅 Microsoft Purview 合规性门户中的权限。md#permissions) 。
为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规性门户。
登录到 Microsoft Purview 门户>数据丢失防护>策略。
选择一个策略,然后选择“ 编辑策略 ” (铅笔图标) 。
在工具中导航,直到到达 “选择要应用策略的位置 ”页。
选择 “Teams 聊天和频道消息”。
选择“ 下一步 ”,并一直完成该过程。
Choose Submit.
大约需要一小时,让更改通过数据中心运行并同步到用户帐户。
为 Microsoft Teams 定义新的 DLP 策略
有关如何创建和实施新的 DLP 策略的信息,请参阅 创建和部署数据丢失防护策略。
阻止对敏感文档的外部访问
默认情况下,可以通过 将新文件标记为敏感,确保文档受到保护,直到 DLP 扫描并将它们标记为安全共享。
建议的 DLP 策略结构
条件
内容包含以下任一敏感信息类型:[选择所有应用]
内容从 Microsoft 365> 共享与组织外部的人员
操作
添加操作
限制访问或加密Microsoft 365 个位置>的内容仅阻止组织外部的人员
使用通知通知你的用户,并帮助他们正确使用敏感信息>使用策略提示通知 Office 365 中的用户
通知这些人 [选择所有应用]
策略提示 [选择所有适用]
注意
事件报告的发件人地址现在 no-reply-MicrosoftInformationProtectionOnline@microsoft.com为 。