数据丢失防护策略参考
Microsoft Purview 数据丢失防护 (DLP) 策略有许多要配置的组件。 若要创建有效的策略,需要了解每个组件的用途以及其配置如何更改策略的行为。 本文详细介绍了 DLP 策略。
提示
开始使用 Microsoft Copilot for Security,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的安全性Microsoft Copilot。
开始之前
如果你不熟悉 purview DLP Microsoft,下面是实现 DLP 时需要的核心文章列表:
- 管理单元
- 了解Microsoft Purview 数据丢失防护 - 本文介绍数据丢失防护规则和 DLP 的实现Microsoft
- 规划数据丢失防护 (DLP) - 通过完成本文,你将:
- 数据丢失防护策略参考 - 本文现在介绍了 DLP 策略的所有组件以及每个组件如何影响策略的行为
- 设计 DLP 策略 - 本文指导你创建策略意向语句并将其映射到特定策略配置。
- 创建和部署数据丢失防护策略 - 本文介绍一些映射到配置选项的常见策略意向方案。 它还将指导你配置这些选项。
- 了解如何调查数据丢失防护警报 - 本文介绍从创建到最终修正和策略优化的警报的生命周期。 它还介绍了用于调查警报的工具。
此外,还需要了解平台的以下约束:
- 租户中 MIP + MIG 策略的最大数目:10,000
- DLP 策略的最大大小 (100 KB)
- DLP 规则的最大数目:
- 在策略中:受策略大小限制
- 在租户中:600
- 单个 DLP 规则的最大大小:100 KB (102,400 个字符)
- GIR 证据限制:100,每个 SIT 证据,按发生比例
- 可从文件中提取以供扫描的文本的最大大小:2 MB
- 预测的所有匹配项的正则表达式大小限制:20 KB
- 策略名称长度限制:64 个字符
- 策略规则长度限制:64 个字符
- 注释长度限制:1,024 个字符
- 说明长度限制:1,024 个字符
策略模板
DLP 策略模板分为四类:
- 可以检测和保护 财务 信息类型的策略。
- 可以检测和保护 医疗和健康 信息类型的策略。
- 可以检测和保护 隐私 信息类型的策略。
- 一个 自定义 策略模板,可用于生成自己的策略(如果其他策略都不能满足组织的需求)。
下表列出了它们涵盖 (SIT) 的所有策略模板和敏感信息类型。
策略范围
请参阅 管理单元 ,确保了解不受限制的管理员和管理单元受限管理员之间的区别。
DLP 策略的范围分为两个不同级别。 第一个级别将不受限制的管理员范围策略应用于组织中以下所有 (具体取决于所选位置) 或组织的子组(称为 “管理单元受限策略”):
- users
- groups
- 通讯组
- 账户
- 网站
- 云应用实例
- 本地存储库
- 构造工作区和 Power BI 工作区
在此级别,受限制的管理单元管理员只能从分配到的管理单元进行选择。
DLP 策略范围的第二个级别是 DLP 支持 的位置 。 在此级别,不受限制和管理单元限制的管理员都只能看到在第一级策略范围中包含的用户、通讯组、组和帐户,这些用户、通讯组、组和帐户可用于该位置。
不受限制的策略
不受限制的策略由以下角色组中的用户创建和管理:
- 合规性管理员
- 合规性数据管理员
- 信息保护
- 信息保护管理员
- 安全管理员
有关更多详细信息,请参阅 权限 一文。
不受限制的管理员可以管理所有策略,并查看从策略匹配流入警报仪表板和 DLP 活动资源管理器的所有警报和事件。
管理单元受限策略
管理单元是Microsoft Entra ID的子集,用于管理用户、组、通讯组和帐户的集合。 这些集合通常沿着业务集团线或地缘政治区域创建。 管理单元具有委托的管理员,该管理员与角色组中的管理单元相关联。 这些称为管理单元受限管理员。
DLP 支持将策略与管理单元相关联。 有关Microsoft Purview 合规门户中的实现详细信息,请参阅管理单元。 需要将管理单元管理员分配到与不受限制 DLP 策略的管理员相同的角色或角色组之一,以便为其管理单元创建和管理 DLP 策略。
DLP 管理角色组 | 能 |
---|---|
不受限制的管理员 | - 创建 DLP 策略并将其限定为整个组织 - 编辑所有 DLP 策略 - 创建 DLP 策略并将其限定为管理单元 - 查看所有 DLP 策略中的所有警报和事件 |
管理单元受限管理员 - 必须是可以管理 DLP 的角色组/角色的成员/分配 |
- 仅创建 DLP 策略并将其范围限定到其分配到 的管理单元 - 编辑与其管理单元关联的 DLP 策略 - 仅查看作用域为其管理单元 的 DLP 策略中的警报和事件 |
位置
DLP 策略可以查找和保护跨多个位置包含敏感信息的项。
注意
终结点 DLP 无法检测文档中另一个租户的标签。
位置 | 支持管理单元 | 包括/排除范围 | 数据状态 | 附加先决条件 |
---|---|---|---|---|
Exchange Online | 是 | - 通讯组 - 安全组 - 未启用电子邮件的安全组 - 动态通讯组列表 - Microsoft 365 个组,仅 (组成员,而不将组作为实体) |
data-in-motion | 否 |
SharePoint Online | 否 | 网站 | data-at-rest data-in-use |
否 |
OneDrive | 是 | - 通讯组 - 安全组 - 已启用非电子邮件的安全组 - Microsoft 365 个组,仅 (组成员,而不将组作为实体) |
data-at-rest data-in-use |
否 |
Teams 聊天和通道消息 | 是 | - 通讯组 - 安全组 - 已启用邮件的安全组 - Microsoft 365 个组,仅 (组成员,而不将组作为实体) |
data-in-motion data-in-use |
请参阅 DLP 保护的范围 |
实例 | 否 | 云应用实例 | data-at-静态 | - 对非Microsoft云应用使用数据丢失防护策略 |
设备 | 是 | - 通讯组 - 安全组 - 已启用非电子邮件的安全组 - Microsoft 365 个组,仅 (组成员,而不将组作为实体) |
data-in-use data-in-motion |
-
了解终结点数据丢失防护 - 终结点数据丢失防护 - 入门为信息保护配置设备代理和 Internet 连接设置 |
本地存储库 (文件共享和 SharePoint) | 否 | 存储库 | data-at-静态 |
-
了解数据丢失防护本地存储库 - 本地存储库数据丢失防护入门 |
构造和 Power BI | 否 | 工作区 | data-in-use | 否 |
第三方应用 | None | 否 | 否 | 否 |
Exchange 位置范围
如果选择在 Exchange 中包含特定通讯组,DLP 策略的范围仅限于该组的成员发送的电子邮件。 同样,排除通讯组会从策略评估中排除该通讯组成员发送的所有电子邮件。
发件人为 | 收件人为 | 结果行为 |
---|---|---|
在范围内 | 不适用 | 应用策略 |
超出范围 | 在范围内 | 未应用策略 |
Exchange 位置范围计算
下面是如何计算 Exchange 位置范围的示例:
假设你的组织中有四个用户和两个通讯组,你将使用这些用户来定义 Exchange 位置包含和排除范围。 组成员身份设置如下:
通讯组 | 成员身份 |
---|---|
Group1 | User1、User2 |
Group2 | User2、User3 |
无组 | User4 |
包括设置 | 排除设置 | 策略适用于 | 策略不适用于 | 行为说明 |
---|---|---|---|---|
全部 | None | Exchange 组织中的所有发件人 (User1、User2、User3、User4) | 不适用 | 如果未定义这两个发件人,则包括所有发件人 |
Group1 | None | Group1 (User1、User2) 的成员发件人 | 不属于 Group1 的所有发件人 (User3、User4) | 如果定义了一个设置,而另一个未定义,则使用定义的设置 |
全部 | Group2 | Exchange 组织中不是 Group2 (User1、User4) 成员的所有发件人 | 属于 Group2 (User2、User3) 的所有发件人 | 如果定义了一个设置,而另一个未定义,则使用定义的设置 |
Group1 | Group2 | User1 | User2、User3、User4 | 排除替代包括 |
可选择将策略的影响范围限定为通讯组列表、动态通讯组和安全组的成员。 一条 DLP 策略可包含不超过 50 个这种包含和排除。
OneDrive 位置范围
界定 OneDrive 位置策略的范围时,除了将 DLP 策略应用于组织中的所有用户和组外,还可以将策略的范围限制为特定用户和组。 DLP 支持将策略的范围限定为最多 100 个个人用户。
例如,如果要包含超过 100 个用户,必须首先将这些用户放入通讯组或安全组(视情况而定)。 然后,可以将策略范围限定为最多 50 个组。
在某些情况下,你可能希望将策略应用于一个或两个组,以及两个或三个不属于这些组的单个用户。 在这里,最佳做法是将这两三个人分成一组。 这是确保策略范围限定为所有预期用户的唯一方法。
原因是,仅列出用户时,DLP 会将指定的所有用户添加到策略范围。 同样,仅添加组时,DLP 会将所有组的所有成员添加到策略范围。
假设你具有以下组和用户:
通讯组 | 成员身份 |
---|---|
Group1 | User1、User2 |
Group2 | User2、User3 |
如果将策略的范围限制为仅用户或组,则 DLP 会将策略应用于用户,如下表所示:
指定范围 | DLP 范围评估行为 | 范围内的用户 |
---|---|---|
(仅限用户) User1 User2 |
DLP 采用指定用户的联合 | User1、User2 |
仅 (组) Group1 Group2 |
DLP 采用指定组的联合 | User1、User2、User3 |
但是,当用户和组在范围配置中混合时,事情就变得复杂了。 原因如下:DLP 仅将用户策略的范围限定为列出的组和用户的 交集 。
在确定要包含在作用域中的用户和组时,DLP 使用以下操作顺序:
- 评估组成员身份的联合
- 评估用户联合
- 评估组成员和用户的交集,即结果重叠的位置
然后,它将策略的范围应用于组成员和用户的交集。
让我们扩展示例,使用同一组组,并添加不在组中的 User4:
通讯组 | 成员身份 |
---|---|
Group1 | User1、User2 |
Group2 | User2、User3 |
无组 | 用户 4 |
下表说明了在范围说明中同时包含用户和组的情况下,策略范围界定的工作原理。
指定范围 | DLP 范围评估行为 | 范围内的用户 |
---|---|---|
Group1 Group2 User3 User4 |
第一次评估:组的联合: (Group1 + Group2) = User1, User2, User3 第二次评估:用户联合: (User3 + User4) = User3, User4 第三个评估:组和用户的交集 (重叠) : (Group1 + Group2) = User1, User2, User3 (User3 + User4) = User3, User4 |
User3 (User3 是出现在第一次和第二次评估结果中的唯一用户。) |
Group1 Group2 User1 User3 User4 |
第一次评估:组的联合: (Group1 + Group2) = User1, User2, User3 第二次评估:用户联合: (User1 + User3 + User4) = User1, User3, User4 第三个评估:组和用户的交集 (重叠) : (Group1 + Group2) = User1, User3 (User1 + User3, User4) = User1, User3, User4 |
User1、 User3 (这些是出现在第一个和第二个评估结果中的唯一用户。) |
如何定义内容的位置支持
DLP 策略通过将敏感项与敏感信息类型 (SIT) 、敏感度标签或保留标签进行匹配来检测它们。 每个位置都支持定义敏感内容的不同方法。 在策略中合并位置时如何定义内容,可能会从限制为单个位置时定义内容的方式有所改变。
重要
为策略选择多个位置时,内容定义类别的“否”值优先于“是”值。 例如,仅选择 SharePoint 网站时,该策略将支持按一个或多个 SIT、敏感度标签或保留标签检测敏感项目。 但是,选择 SharePoint 网站 以及 Teams 聊天和频道消息位置时,该策略仅支持按 SIT 检测敏感项目。
位置 | 内容可由 SIT 定义 | 可以定义内容敏感度标签 | 可以通过保留标签定义内容 |
---|---|---|---|
Exchange Online 电子邮件 | 是 | 是 | 否 |
Microsoft 365 个网站的 SharePoint | 是 | 是 | 是 |
适用于工作或学校帐户的 OneDrive | 是 | 是 | 是 |
Teams 聊天和频道消息 | 是 | 否 | 否 |
设备 | 是 | 是 | 否 |
实例 | 是 | 是 | 是 |
本地存储库 | 是 | 是 | 否 |
构造和 Power BI | 是 | 是 | 否 |
DLP 支持使用可训练分类器作为检测敏感文档的条件。 可通过 Exchange、SharePoint 网站、OneDrive 帐户、Teams 聊天和频道以及设备中的可训练分类器定义内容。 有关详细信息,请参阅 可训练的分类器。
注意
DLP 支持检测电子邮件和附件上的敏感度标签。 有关详细信息,请参阅 在 DLP 策略中使用敏感度标签作为条件。
Rules
规则是 DLP 策略的业务逻辑。 它们包括:
- 匹配时触发策略操作的条件
- 用户通知 ,用于在用户执行触发策略的操作时通知用户,并帮助告知他们组织希望如何处理敏感信息
- 由 管理员配置的用户替代,允许用户选择性地替代阻止操作
- 发生规则匹配时通知管理员和其他关键利益干系人的事件报告
- 定义 规则评估优先级的其他选项,并可以停止进一步的规则和策略处理。
策略包含一个或多个规则。 规则按顺序执行,从每个策略中优先级最高的规则开始。
评估和应用规则的优先级
托管服务位置
对于托管服务位置(如 Exchange、SharePoint 和 OneDrive),每个规则都按创建顺序分配优先级。 这意味着第一个创建的规则具有第一优先级,第二个创建的规则具有第二个优先级,依此类说。
对照规则评估内容时,按优先级顺序处理规则。 如果内容与多个规则匹配,则会强制实施具有 最 严格操作的第一个评估规则。 例如,如果内容与以下所有规则匹配,则强制实施 规则 3 ,因为它是最高优先级、限制性最高的规则:
- 规则 1:仅通知用户
- 规则 2:通知用户、限制访问并允许用户替代
- 规则 3:通知用户、限制访问,不允许用户替代
- 规则 4:限制访问
将评估规则 1、2 和规则 4,但不会应用。 在此示例中,所有规则的匹配项都记录在审核日志中,并显示在 DLP 报告中,即使只应用了限制性最高的规则。
可使用规则来满足特定保护要求,然后使用 DLP 策略将常见保护要求组合在一起,例如符合特定规则所需的所有规则。
例如,DLP 策略可能会帮助您检测是否存在受健康保险可携性与责任法案 (HIPAA) 约束的信息。 此 DLP 策略可帮助保护 HIPAA 数据 () 所有 SharePoint 网站和所有 OneDrive 网站 (“位置”) ,方法是查找包含与组织外部人员共享的敏感信息的任何文档, (条件) 然后阻止访问文档并发送通知 (操作) 。 这些要求存储为单个规则,并作为一项 DLP 策略组合在一起以简化管理和报告。
对于终结点
当项与多个 DLP 规则匹配时,DLP 会通过复杂的算法来决定要应用哪些操作。 终结点 DLP 应用最限制性操作的聚合或总和。 DLP 在进行计算时使用这些因素。
策略优先级顺序 当项与多个策略匹配,并且这些策略具有相同的操作时,将应用最高优先级策略中的操作。
规则优先级顺序 如果某个项与策略中的多个规则匹配,并且这些规则具有相同的操作,则会应用来自最高优先级规则的操作。
策略模式 当一个项目与多个策略匹配,并且这些策略具有相同的操作时,来自处于“ 打开 状态” (强制模式) 的所有策略的操作将优先应用于在 模拟模式下运行策略(带有策略提示) 和“ 在模拟模式状态下运行策略 ”。
行动 如果项与多个策略匹配,并且这些策略在操作上有所不同,则会应用限制性最强操作的聚合或总和。
授权组 配置 当一个项与多个策略匹配,并且这些策略在操作上有所不同时,将应用最严格的操作的聚合或总和。
替代选项 当项与多个策略匹配,并且这些策略在替代选项中有所不同时,将按以下顺序应用操作:
无替代>允许替代
下面是演示运行时行为的方案。 对于前三种方案,有三个 DLP 策略配置如下:
策略名称 | 要匹配的条件 | 操作 | 策略优先级 |
---|---|---|---|
ABC | 内容包含信用卡编号 | 阻止打印,审核所有其他用户出动 | 0 |
MNO | 内容包含信用卡编号 | 阻止复制到 USB,审核所有其他用户出动 | 1 |
XYZ | 内容包含美国社会安全号码 | 阻止复制到剪贴板,审核所有其他用户出动 | 2 |
项包含信用卡编号
受监视设备上的项包含信用卡编号,因此它与策略 ABC 和策略 MNO 匹配。 ABC 和 MNO 都处于 “打开” 模式。
Policy | 云出口操作 | “复制到剪贴板”操作 | 复制到 USB 操作 | 复制到网络共享操作 | “未允许的应用”操作 | 打印操作 | 通过蓝牙操作复制 | 复制到远程桌面操作 |
---|---|---|---|---|---|---|---|---|
ABC | Audit | Audit | Audit | Audit | Audit | 阻止 | Audit | Audit |
MNO | Audit | Audit | 阻止 | Audit | Audit | Audit | Audit | Audit |
在运行时应用的操作 | Audit | Audit | 阻止 | Audit | Audit | 阻止 | Audit | Audit |
项目包含信用卡号码和美国社会保险号码
受监视设备上的项目包含信用卡号码和美国社会保障号码,因此此项与策略 ABC、策略 MNO 和策略 XYZ 匹配。 这三个策略都处于 “打开” 模式。
Policy | 云出口操作 | “复制到剪贴板”操作 | 复制到 USB 操作 | 复制到网络共享操作 | “未允许的应用”操作 | 打印操作 | 通过蓝牙操作复制 | 复制到远程桌面操作 |
---|---|---|---|---|---|---|---|---|
ABC | Audit | Audit | Audit | Audit | Audit | 阻止 | Audit | Audit |
MNO | Audit | Audit | 阻止 | Audit | Audit | Audit | Audit | Audit |
XYZ | Audit | 阻止 | Audit | Audit | Audit | 阻止 | Audit | Audit |
在运行时应用的操作 | Audit | 阻止 | 阻止 | Audit | Audit | 阻止 | Audit | Audit |
项包含额度卡编号、不同的策略状态
受监视设备上的项包含信用卡编号,因此它与策略 ABC 和策略 MNO 匹配。 策略 ABC 处于 打开 模式,策略 MNO 处于 以模拟模式运行策略 状态。
Policy | 云出口操作 | “复制到剪贴板”操作 | 复制到 USB 操作 | 复制到网络共享操作 | “未允许的应用”操作 | 打印操作 | 通过蓝牙操作复制 | 复制到远程桌面操作 |
---|---|---|---|---|---|---|---|---|
ABC | Audit | Audit | Audit | Audit | Audit | 阻止 | Audit | Audit |
MNO | Audit | Audit | 阻止 | Audit | Audit | Audit | Audit | Audit |
在运行时应用的操作 | Audit | Audit | Audit | Audit | Audit | 阻止 | Audit | Audit |
项包含信用卡编号,不同的替代配置
受监视设备上的项包含信用卡编号,因此它与策略 ABC 和策略 MNO 匹配。 策略 ABC 处于 “打开 状态”中,策略 MNO 处于 “打开 状态”。 它们配置了不同的 替代 操作。
Policy | 云出口操作 | “复制到剪贴板”操作 | 复制到 USB 操作 | 复制到网络共享操作 | “未允许的应用”操作 | 打印操作 | 通过蓝牙操作复制 | 复制到远程桌面操作 |
---|---|---|---|---|---|---|---|---|
ABC | Audit | Audit | 通过替代阻止 | Audit | Audit | 阻止 | Audit | Audit |
MNO | Audit | Audit | 阻止而不替代 | Audit | Audit | Audit | Audit | Audit |
在运行时应用的操作 | Audit | Audit | 阻止而不替代 | Audit | Audit | 阻止 | Audit | Audit |
项包含信用卡编号、不同授权组配置
受监视设备上的项包含信用卡编号,因此它与策略 ABC 和策略 MNO 匹配。 策略 ABC 处于 “打开 状态”中,策略 MNO 处于 “打开 状态”。 它们配置了不同的 授权组 操作。
Policy | 云出口操作 | “复制到剪贴板”操作 | 复制到 USB 操作 | 复制到网络共享操作 | “未允许的应用”操作 | 打印操作 | 通过蓝牙操作复制 | 复制到远程桌面操作 |
---|---|---|---|---|---|---|---|---|
ABC | Audit | Audit | 身份验证组 A - 阻止 | Audit | Audit | 身份验证组 A - 阻止 | Audit | Audit |
MNO | Audit | Audit | 身份验证组 A - 使用替代阻止 | Audit | Audit | 身份验证组 B - 块 | Audit | Audit |
在运行时应用的操作 | Audit | Audit | 身份验证组 A - 阻止 | Audit | Audit | 身份验证组 A - 阻止、身份验证组 B - 阻止 | Audit | Audit |
条件
条件是定义规则要查找的内容以及使用这些项的上下文的位置。 它们告诉规则:当你找到如下所示且正在使用的项时,它是一个匹配项,并且策略中的其余操作应针对它执行。 你可以使用条件向不同的风险级别分配不同操作。 例如,相较与组织外部人员共享的敏感信息,可在内部共享的敏感内容的风险更低、需要执行的操作更少。
注意
在主机组织的 Active Directory 或Microsoft Entra租户中拥有非来宾帐户的用户被视为组织内部的人员。
内容包含
所有位置都支持 “内容包含” 条件。 可以选择每种内容类型的多个实例,并使用以下 任意 (逻辑 OR) 或 所有这些 (逻辑 AND) 运算符进一步优化条件:
规则将仅查找是否存在你选择的任何 敏感度标签 和 保留标签 。
SIT 具有预定义 的置信度级别 ,可根据需要进行更改。 有关详细信息,请参阅 有关置信度的详细信息。
重要
SCT 有两种不同的方法来定义最大唯一实例计数参数。 若要了解详细信息,请参阅 SIT 的实例计数支持的值。
Microsoft Purview 中的自适应保护
自适应保护将Microsoft Purview 内部风险管理风险配置文件集成到 DLP 策略中,以便 DLP 可帮助防范动态识别的风险行为。 在内部风险管理中配置时,自适应保护的预览体验成员风险级别将显示为Exchange Online、设备和 Teams 位置的条件。 有关更多详细信息,请参阅 了解数据丢失防护中的自适应保护 。
自适应保护支持的条件
- 自适应保护的内部风险级别是...
具有以下值:
- 提升的风险级别
- 中等风险级别
- 次要风险级别
条件上下文
可用上下文选项会根据你选择的位置而更改。 如果选择多个位置,则只有这些位置的共同条件可用。
Exchange 支持的条件
- 内容包含
- 自适应保护的内部风险级别为
- 未标记内容
- 内容从 Microsoft 365 共享
- 从 接收内容
- 发件人 IP 地址为
- 标头包含字词或短语
- 发件人 AD 属性包含字词或短语
- 内容字符集包含字词
- 标题与模式匹配
- 发送方 AD 属性匹配模式
- Recipient AD 属性包含字词或短语
- 收件人 AD 属性匹配模式
- 收件人是
- 文档属性为
- 无法扫描任何电子邮件附件的内容
- 文档或附件受密码保护
- 发件人是否重写了策略提示
- 发件人是
- 任何电子邮件附件的内容均未完成扫描
- 收件人地址包含字词
- 文件扩展名为
- 收件人域为
- 收件人为
- 发件人为
- 发件人域为
- 收件人地址与模式匹配
- 文档名称包含字词或短语
- 文档名称与模式匹配
- 主题包含字词或短语
- 主题与模式匹配
- 主题或正文包含字词或短语
- 主题或正文匹配模式
- 发件人地址包含字词
- 发件人地址与模式匹配
- 文档大小等于 或 大于
- 文档内容包含字词或短语
- 文档内容匹配模式
- 消息大小等于 或 大于
- 消息类型为
- 消息重要性为
提示
有关 Exchange 支持的条件(包括 PowerShell 值)的详细信息,请参阅: 数据丢失防护 Exchange 条件和操作参考。
SharePoint 支持的条件
- 内容包含
- 内容从 Microsoft 365 共享
- 文档属性为
- 文件扩展名为
- 文档名称包含字词或短语
- 文档大小等于 或 大于
- 文档创建者
OneDrive 帐户支持的条件
- 内容包含
- 内容从 Microsoft 365 共享
- 文档属性为
- 文件扩展名为
- 文档名称包含字词或短语
- 文档大小等于 或 大于
- 文档创建者
- 文档是共享的
Teams 聊天和频道消息支持的条件
- 内容包含
- 自适应保护的内部风险级别为
- 内容从 Microsoft 365 共享
- 收件人域为 -Recipient is
- 发件人为
- 发件人域为
终结点支持的条件
内容包含: 指定要检测的内容。 有关支持的文件类型的详细信息,请参阅 扫描内容的文件。
内容未标记: 检测未应用敏感度标签的内容。 若要帮助确保仅检测到受支持的文件类型,应将此条件与 文件扩展名为 或文件类型为 条件一起使用。 ) 完全支持 (PDF 和 Office 文件。
无法扫描文档: 适用于由于以下原因之一而无法扫描的文件:
- 文件包含一个或多个暂时性文本提取错误
- 文件受密码保护
- 文件大小超过支持的限制 (最大文件大小:64 MB(对于未压缩的文件);256 MB 的压缩文件)
文档名称包含字词或短语: 检测文件名中包含您指定的任何字词或短语的文档,例如:
file
、credit card
、patent
等。文档名称与模式匹配: 检测文件名与特定模式匹配的文档。 若要定义模式,请使用通配符。 有关正则表达式模式的信息,请参阅 此处的正则表达式文档。
文档或附件受密码保护: 仅检测打开的受保护文件。 完全支持以下文件:
- 存档文件 (ZIP、.7z、RAR)
- Office 文件
- Symantec PGP 加密文件
文档大小等于 或 大于: 检测文件大小等于或大于指定值的文档。
重要
建议设置此条件以检测大于 10KB 的项目
文件类型为: 检测以下文件类型:
文件类型 应用 受监视的文件扩展名 字处理 Word、PDF doc、.docx、.docm、.dot、dotx、.dotm、.docb、.pdf XML 电子表格 Excel、CSV、TSV .xls、.xlsx、.xlt、.xlm、.xlsm、xltx、xltm、xlsb、.xlw、.csv、.tsv 演示文稿 PowerPoint .ppt、.pptx、.pos、.pps、.pptm、.potx、.potm、.ppam、.ppsx 电子邮件 Outlook 。味精 重要
文件扩展名和文件类型选项不能用作同一规则中的条件。 如果要将它们用作同一策略中的条件,它们必须采用单独的规则。
若要使用 “文件类型为 条件”,必须具有以下版本的 Windows 之一:
Windows 终结点 (X64) :
- Windows 10 (21H2、22H2)
Windows 终结点 (ARM64) :
- Windows 11 (21H2、22H2)
文件扩展名为: 除了检测扩展名与“ 文件类型为 条件”所涵盖扩展名相同的文件中的敏感信息外,还可以使用 “文件扩展名为 ”条件来检测需要监视的任何文件扩展名的文件中的敏感信息。 为此,请将必要的文件扩展名(用逗号分隔)添加到策略中的规则。 只有那些支持文件类型的 Windows 版本才支持文件扩展名为条件。
警告
在策略规则中包含以下任何文件扩展名可能会显著增加 CPU 负载:.dll、.exe、.mui、.ost、.pf、.pst。
扫描未完成: 当文件扫描开始,但在扫描整个文件之前停止时适用。 扫描不完整的主要原因是文件中提取的文本超出了允许的最大大小。 (提取的文本的最大大小:未压缩的文件:4 MB;压缩文件:N=1000 /提取时间 = 5 分钟。)
Document 属性为: 检测具有与指定值匹配的自定义属性的文档。 例如:
Department = 'Marketing'
、Project = 'Secret'
。 若要为自定义属性指定多个值,请使用双引号。 例如,“部门:市场营销,销售”。用户从 Microsoft Edge 访问了敏感网站: 有关详细信息,请参阅 方案 6 监视或限制敏感服务域上的用户活动 (预览) 。
自适应保护的内部风险级别为: 检测内部风险级别。
另请参阅: 可以监视和采取措施的终结点活动。
五个条件的操作系统要求
- 无法扫描文档
- 文档名称包含字词或短语
- 文档名称与模式匹配
- 文档大小等于 或 大于
- 扫描未完成
若要使用这些条件中的任何一个,终结点设备必须运行以下操作系统之一:
Windows 11 23H2:2023年 12 月 4 日 — KB5032288 (操作系统内部版本 22621.2792 和 22631.2792) 预览版
Windows 11 22H2:2023年 12 月 4 日 — KB5032288 (操作系统内部版本 22621.2792 和 22631.2792) 预览版 - Microsoft 支持部门
Windows 11 21H2:2023 年 12 月 12 日 — KB5033369 (OS 内部版本 22000.2652) - Microsoft 支持部门
Windows 10 22H2:2023年 11 月 30 日 — KB5032278 (操作系统内部版本 19045.3758) 预览版 - Microsoft 支持部门
Windows 10 21H2:2023年 11 月 30 日 — KB5032278 (操作系统内部版本 19045.3758) 预览版 - Microsoft 支持部门
Windows Server 2022/2019:2023 年 11 月 14 日 — KB5032198 (OS 内部版本 20348.2113) - Microsoft 支持部门 (或更高版本)
条件“Document 属性为”的操作系统要求
Windows 11:2024 年 2 月 29 日 — KB5034848 (OS 内部版本 22621.3235 和 22631.3235) 预览版 - Microsoft 支持部门 (或更高版本)
Windows 10:2024 年 2 月 29 日 — KB5034843 (OS 内部版本 19045.4123) 预览版 - Microsoft 支持部门 (或更高版本)
重要
有关将 Microsoft Purview 数据丢失防护 (DLP) 功能与 PDF 文件配合使用的 Adobe 要求的信息,请参阅 Adobe:Acrobat 中的Microsoft Purview 信息保护支持文章。
实例支持的条件
- 内容包含
- 内容从 Microsoft 365 共享
本地存储库支持的条件
- 内容包含
- 文件扩展名为
- 文档属性为
条件 构造和 Power BI 支持
- 内容包含
条件组
有时,只需要一个规则来标识一个内容,例如包含美国社会安全号码的所有内容,该号码由单个 SIT 定义。 但是,在许多情况下,尝试识别的项类型更加复杂,因此更难定义,因此需要更灵活地定义条件。
例如,若要标识应遵循美国健康保险法案 (HIPAA) 的内容,需要查找:
包含特定类型敏感信息的内容,例如美国。社会安全号码或毒品管制局 (DEA) 号码。
AND
更难以标识的内容,例如有关患者护理的通信,或者提供的医疗服务说明。 识别此内容需要匹配极为庞大的关键字列表中的关键字,如国际疾病分类(ICD-9-CM 或 ICD-10-CM)。
可以通过对条件进行分组并使用逻辑运算符在组之间 (AND、OR) 来标识此类数据。
对于《 美国健康保险法》 (HIPAA) ,条件按如下所示分组:
第一组包含标识个人的 SCT,第二组包含标识医疗诊断的 SCT。
条件可以通过布尔运算符 (AND、OR、NOT) 进行分组和联接,以便通过声明应包含的内容,然后在第一个由 NOT 联接到的不同组中定义排除项来定义规则。 若要详细了解 Purview DLP 如何实现布尔值和嵌套组,请参阅 复杂规则设计。
条件的 DLP 平台限制
谓词 | Workload | 限制 | 评估成本 |
---|---|---|---|
内容包含 | EXO/SPO/ODB | 每个规则 125 个 SCT | 高 |
内容从 Microsoft 365 共享 | EXO/SPO/ODB | - | 高 |
发件人 IP 地址为 | EXO | 单个范围长度 <= 128;Count <= 600 | 低 |
发件人是否重写了策略提示 | EXO | - | 低 |
发件人为 | EXO | 单个电子邮件长度 <= 256;Count <= 600 | 中 |
发件人是 | EXO | Count <= 600 | 高 |
发件人域为 | EXO | 域名长度 <= 67;Count <= 600 | 低 |
发件人地址包含字词 | EXO | 单个字长度 <= 128;Count <= 600 | 低 |
发件人地址与模式匹配 | EXO | 正则表达式长度 <= 128 字符;Count <= 600 | 低 |
Sender AD 属性包含字词 | EXO | 单个字长度 <= 128;Count <= 600 | 中 |
发送方 AD 属性匹配模式 | EXO | 正则表达式长度 <= 128 字符;Count <= 600 | 中 |
无法扫描电子邮件附件 () 的内容 | EXO | 支持的文件类型 | 低 |
电子邮件附件内容扫描不完整 | EXO | 大小 > 1 MB | 低 |
附件受密码保护 | EXO | 文件类型:Office 文件、.PDF、.ZIP 和 7z | 低 |
附件的文件扩展名为 | EXO/SPO/ODB | 计数 <= 每个规则 600 个 | 高 |
收件人所在组为 | EXO | Count <= 600 | 高 |
收件人域为 | EXO | 域名长度 <= 67;Count <= 5000 | 低 |
收件人为 | EXO | 单个电子邮件长度 <= 256;Count <= 600 | 低 |
收件人地址包含字词 | EXO | 单个字长度 <= 128;Count <= 600 | 低 |
收件人地址与模式匹配 | EXO | Count <= 300 | 低 |
文档名称包含字词或短语 | EXO | 单个字长度 <= 128;Count <=600 | 低 |
文档名称匹配模式 | EXO | 正则表达式长度 <= 128 字符;Count <= 300 | 低 |
文档属性为 | EXO/SPO/ODB | - | 低 |
文档大小等于 或 大于 | EXO | - | 低 |
主题包含字词或短语 | EXO | 单个字长度 <= 128;Count <= 600 | 低 |
标头包含字词或短语 | EXO | 单个字长度 <= 128;Count <= 600 | 低 |
主题或正文包含字词或短语 | EXO | 单个字长度 <= 128;Count <= 600 | 低 |
内容字符集包含字词 | EXO | Count <= 600 | 低 |
标题与模式匹配 | EXO | 正则表达式长度 <= 128 字符;Count <= 300 | 低 |
主题与模式匹配 | EXO | 正则表达式长度 <= 128 字符;Count <= 300 | 低 |
主题或正文匹配模式 | EXO | 正则表达式长度 <= 128 字符;Count <= 300 | 低 |
消息类型为 | EXO | - | 低 |
消息大小超过 | EXO | - | 低 |
具有重要性 | EXO | - | 低 |
Sender AD 属性包含字词 | EXO | 每个属性键值对:具有正则表达式长度 <= 128 字符;Count <= 600 | 中 |
发送方 AD 属性匹配模式 | EXO | 每个属性键值对:具有正则表达式长度 <= 128 字符;Count <= 300 | 中 |
文档包含字词 | EXO | 单个字长度 <= 128;Count <= 600 | 中 |
文档匹配模式 | EXO | 正则表达式长度 <= 128 字符;Count <= 300 | 中 |
操作
通过 条件 筛选器的任何项都将具有在应用规则中定义的任何 操作 。 必须配置所需的选项才能支持该操作。 例如,如果选择了“ 限制访问或加密 Microsoft 365 位置中的内容 ”操作的 Exchange,则需要从以下选项中进行选择:
- 阻止用户访问共享的 SharePoint、OneDrive 和 Teams 内容
- 阻止所有人。 只有内容所有者、最后修饰符和网站管理员才能继续拥有访问权限
- 仅阻止组织外部的人员。 组织内的用户将继续具有访问权限。
- 加密电子邮件(仅适用于 Exchange 中的内容)
规则中可用的操作取决于所选位置。 下面列出了每个位置的可用操作。
重要
对于 SharePoint 和 OneDrive 位置,在检测到敏感信息 (后,无论文档是否对所有外部用户共享) ,都会主动阻止文档;内部用户将继续有权访问文档。
支持的操作:Exchange
在 Exchange 中应用 DLP 策略规则时,它们可能 处于停止、 非停止状态或 两者都没有。 Exchange 支持的大多数规则都是非停止的。 在处理后续规则和策略之前,将立即评估并应用非停止操作,如本文前面的 托管服务位置 中所述。
但是,当 DLP 策略规则触发 停止 操作时,Purview 将停止处理任何后续规则。 例如,当触发 “限制访问或加密Microsoft 365 位置中的内容 ”操作时,不会处理进一步的规则或策略。
如果操作 既不是 停止操作,也不是非停止操作,Purview 将等待操作的结果发生,然后再继续操作。 因此,当传出的电子邮件触发 “转发邮件以批准发件人的经理 ”操作时,Purview 将等待管理员决定是否可以发送电子邮件。 如果经理批准,该操作将充当非停止操作,并处理后续规则。 相反,如果经理拒绝发送电子邮件, 则转发邮件以供发件人的经理批准 的行为是停止操作,并阻止发送电子邮件:不处理后续规则或策略。
下表列出了 Exchange 支持的操作,并指示它们是停止操作还是非停止操作。
操作 | 正在停止/非停止 |
---|---|
限制访问或加密Microsoft 365 个位置的内容 | 停止 |
设置标头 | 非停止 |
删除标头 | 非停止 |
将消息重定向到特定用户 | 非停止 |
将邮件转发给发件人的经理进行审批 | 两者均无 |
将审批消息转发给特定审批者 | 两者均无 |
将收件人添加到“收件人”框 | 非停止 |
将收件人添加到“抄送”框 | 非停止 |
将收件人添加到密件抄送框 | 非停止 |
将发件人的经理添加为收件人 | 非停止 |
删除邮件加密和权限保护 | 非停止 |
主题前面Email | 非停止 |
添加 HTML 免责声明 | 非停止 |
修改Email主题 | 非停止 |
将邮件传递到托管隔离区 | 停止 |
将品牌应用于加密邮件 | 非停止 |
提示
对于“将品牌应用于加密邮件”操作,如果已实现Microsoft Purview 邮件加密,模板将自动显示在下拉列表中。 如果要实现Microsoft Purview 邮件加密,请参阅将组织的品牌添加到Microsoft Purview 邮件加密加密邮件,了解邮件加密的背景以及如何创建和配置品牌模板。
有关 Exchange 支持的操作(包括 PowerShell 值)的详细信息,请参阅: 数据丢失防护 Exchange 条件和操作参考。
支持的操作:SharePoint
- 限制访问或加密Microsoft 365 个位置的内容
支持的操作:OneDrive
- 限制访问或加密Microsoft 365 个位置的内容
支持的操作:Teams 聊天和频道消息
- 限制访问或加密Microsoft 365 个位置的内容
支持的操作:设备
可以告知 DLP 仅审核、 使用替代阻止或 阻止 (这些用户活动) 已载入设备的操作。
- 限制访问或加密Microsoft 365 个位置的内容
- 审核或限制用户在 Windows 设备上的 Microsoft Edge 浏览器中访问敏感网站时的活动
- 审核或限制设备上的活动
- 服务域和浏览器活动
- 所有应用的文件活动
- 受限应用活动
- 受限应用组中应用的文件活动(预览)
限制访问或加密Microsoft 365 个位置的内容
使用此来阻止用户接收电子邮件或访问共享的 SharePoint、OneDrive、Teams 文件和 Power BI 项目。 此操作可以阻止所有人或仅阻止组织外部的人员。
审核或限制用户在 Windows 设备上的 Microsoft Edge 浏览器中访问敏感网站时的活动
使用此操作来控制用户何时尝试:
活动 | 说明/选项 |
---|---|
打印站点 | 检测用户何时尝试从已载入设备打印受保护的站点。 |
从站点复制数据 | 检测用户何时尝试从已载入的设备复制受保护站点中的数据。 |
将站点另存为) (本地文件 | 检测用户何时尝试从已载入设备将受保护的站点保存为本地文件。 |
审核或限制设备上的活动
使用它可以按服务域和浏览器活动、所有应用的文件活动、受限应用活动来限制用户活动。 若要 在设备上使用审核或限制活动,必须在 DLP 设置 和要使用的策略中配置选项。 有关详细信息,请参阅 受限应用和应用组 。
具有操作的 DLP 规则“ 审核”或“限制设备上的活动 ”可以配置“ 阻止”和“替代 ”。 将此规则应用于文件时,将阻止对文件执行受限操作的任何尝试。 将显示一条通知,其中包含用于替代限制的选项。 如果用户选择替代,则允许该操作的期限为 1 分钟,在此期间用户可以无限制地重试操作。 此行为的例外是,将敏感文件拖放到 Edge 中,如果重写规则,该边缘将立即附加该文件。
服务域和浏览器活动
配置 “允许/阻止云服务域 ”和“ 未启用的浏览器 ”列表 (请参阅 对敏感数据) 的浏览器和域限制 ,并且用户尝试将受保护的文件上传到云服务域或从未启用的浏览器访问它时,可以配置 Audit only
对 、 Block with override
或 Block
活动的策略操作。
活动 | 说明/选项 |
---|---|
上传到受限的云服务域或从未访问的应用 | 检测何时阻止或允许将受保护的文件上传到云服务域。 请参阅 对敏感数据的浏览器和域限制 和 方案 6 监视或限制敏感服务域上的用户活动) 。 |
粘贴到支持的浏览器 | 检测用户使用 Microsoft Edge、Google Chrome (Microsoft Purview 扩展) 或 Mozilla Firefox ( (Microsoft Purview 扩展) 将敏感信息粘贴到文本字段或 Web 表单中。 评估独立于源文件的分类。 有关详细信息,请参阅: 可以监视和操作的终结点活动。 |
所有应用的文件活动
使用 “所有应用的文件活动 ”选项,可以选择 “不限制文件活动 ”或“ 对特定活动应用限制”。 选择“ 对特定活动应用限制”时,当用户访问 DLP 保护项时,将应用此处选择的操作。
活动 | 说明/选项 |
---|---|
复制到剪贴板 | 检测何时将受保护的文件复制到已载入设备上的剪贴板。 有关详细信息,请参阅可以监视和操作的终结点活动和复制到剪贴板行为 |
复制到可移动设备 | 检测何时将受保护的文件从已载入设备复制或移动到可移动 USB 设备。 有关详细信息,请参阅 可移动 USB 设备组。 |
复制到网络共享 | 检测何时将受保护的文件从已载入设备复制或移动到任何网络共享。 有关详细信息,请参阅 网络共享覆盖范围和排除项。 |
检测何时从载入的设备打印受保护的文件。 有关详细信息,请参阅 打印机组。 | |
使用未经允许的蓝牙应用复制或移动 | 检测何时使用未加入的蓝牙应用从已载入的 Windows 设备复制或移动受保护的文件。 有关详细信息,请参阅 不受限制 () 蓝牙应用。 macOS 不支持此操作。 |
使用 RDP 复制或移动 | 检测用户何时使用 RDP 将受保护的文件从已载入的 Windows 设备复制或移动到其他位置。 macOS 不支持此操作。 |
受限应用活动
以前称为“未启用的应用”, 受限应用活动 是你想要施加限制的应用。 可以在终结点 DLP 设置的列表中定义这些应用。 当用户尝试使用列表中的应用访问 DLP 保护的文件时,你可以 、 Audit only
Block with override
或 Block
活动。 如果 应用是受限应用 组的成员,则会重写受限应用活动中定义的 DLP 操作。 然后应用受限应用组中定义的操作。
活动 | 说明/选项 |
---|---|
受限应用的访问权限 | 检测未加入的应用何时尝试访问已载入的 Windows 设备上的受保护文件。 有关详细信息,请参阅 受限应用和应用组。 |
受限应用组中应用的文件活动(预览)
在终结点 DLP 设置中定义受限应用组,并将受限应用组添加到策略。 将受限应用组添加到策略时,必须选择以下选项之一:
- 不限制文件活动
- 对所有活动应用限制
- 对特定活动应用限制
选择“应用限制”选项之一,并且用户尝试使用受限应用组中的应用访问 DLP 保护的文件时,你可以Audit only
Block with override
按活动、 或 Block
。 此处定义的 DLP 操作将覆盖 在“受限应用活动” 和 “应用的所有应用的文件活动 ”中定义的操作。
有关详细信息,请参阅 受限应用和应用组。
注意
设备位置提供了许多子活动 (条件) 和操作。 若要了解详细信息,请参阅 可以监视和采取措施的终结点活动。
重要
“复制到剪贴板”条件检测用户何时将信息从受保护的文件复制到剪贴板。 当用户从受保护的文件中复制信息时,使用“ 复制到剪贴板” 来阻止、使用替代进行阻止或审核。
“粘贴到支持的浏览器”条件可检测用户何时尝试使用 Microsoft Edge、具有 Microsoft Purview 扩展的 Google Chrome 或具有 Microsoft Purview 扩展的 Mozilla Firefox 将敏感文本粘贴到文本字段或 Web 表单,而不管该信息来自何处。 当用户将敏感信息粘贴到文本字段或 Web 窗体时,使用 “粘贴到支持的浏览器 ”来阻止、使用替代进行阻止或审核。
实例操作
- 限制访问或加密Microsoft 365 个位置的内容
- 限制第三方应用
本地存储库操作
- 限制访问或删除本地文件。
- 阻止用户访问存储在本地存储库中的文件
- 设置对文件的权限 (从父文件夹继承的权限)
- 将文件从存储到隔离文件夹
有关完整详细信息,请参阅 DLP 本地存储库操作 。
构造和 Power BI 操作
- 使用电子邮件和策略提示通知用户
- 向管理员发送警报
合并位置时可用的操作
如果选择 Exchange 和要应用策略的任何其他单个位置,则
- 限制访问或加密Microsoft 365 个位置的内容,并且所有非 Exchange 位置操作的操作都可用。
如果选择两个或更多非 Exchange 位置来应用策略,则
- 限制访问或加密Microsoft 365 个位置的内容,非 Exchange 位置操作的所有操作都将可用。
例如,如果选择 Exchange 和设备位置,这些操作将可用:
- 限制访问或加密Microsoft 365 个位置的内容
- 审核或限制 Windows 设备上的活动
如果选择“设备和实例”,这些操作将可用:
- 限制访问或加密Microsoft 365 个位置的内容
- 审核或限制 Windows 设备上的活动
- 限制第三方应用
操作是否生效取决于如何配置策略模式。 可以通过选择“在模拟模式下运行策略”选项,选择在模拟 模式下运行策略 ,从而在不显示策略提示的情况下运行策略。 选择在创建策略后一小时立即运行该策略,方法是选择“ 立即打开” 选项,也可以选择仅保存该策略,然后通过选择“ 将其关闭 ”选项返回到该策略。
针对操作的 DLP 平台限制
操作名称 | Workload | 限制 |
---|---|---|
限制访问或加密 Microsoft 365 中的内容 | EXO/SPO/ODB | |
设置标头 | EXO | |
删除标头 | EXO | |
将消息重定向到特定用户 | EXO | 所有 DLP 规则的总数为 100。 不能是 DL/SG |
将邮件转发给发件人的经理进行审批 | EXO | 应在 AD 中定义管理器 |
将审批消息转发给特定审批者 | EXO | 不支持组 |
将收件人添加到“ 收件人 ”框 | EXO | 收件人计数 <= 10;不能是 DL/SG |
将收件人添加到 “抄送 ”框 | EXO | 收件人计数 <= 10;不能是 DL/SG |
将收件人添加到 密件抄送 框 | EXO | 收件人计数 <= 10;不能是 DL/SG |
将发件人的经理添加为收件人 | EXO | 应在 AD 中定义管理器属性 |
应用 HTML 免责声明 | EXO | |
预置主题 | EXO | |
应用邮件加密 | EXO | |
删除邮件加密 | EXO |
用户通知和策略提示
当用户尝试在符合规则条件 (的上下文中对敏感项目执行活动时,例如,OneDrive 网站上包含个人身份信息 (PII 的 Excel 工作簿等内容) 并与来宾) 共享,你可以通过用户通知电子邮件和上下文内策略提示弹出窗口告知他们有关该事件的信息。 这些通知很有用,因为它们可提高人们对组织的 DLP 策略的认识,并帮助教育用户。
重要
- 发送通知电子邮件时未受保护。
- Email通知仅支持Microsoft 365 服务。
按所选位置Email通知支持
所选位置 | 支持Email通知 |
---|---|
设备 | - 不支持 |
Exchange + 设备 | - Exchange 支持 - 设备不支持 |
Exchange | -支持 |
SharePoint + 设备 | - SharePoint 支持 - 设备不支持 |
SharePoint | -支持 |
Exchange + SharePoint | - 支持 Exchange - SharePoint 支持 |
设备 + SharePoint + Exchange | - 设备 不支持 - Exchange 支持的 SharePoint 支持 |
Teams | - 不支持 |
OneDrive | - 适用于工作或学校 的 OneDrive 支持 - 设备不支持 |
Fabric 和 Power-BI | - 不支持 |
实例 | - 不支持 |
本地存储库 | - 不支持 |
Exchange + SharePoint + OneDrive | - 支持 Exchange - 支持 SharePoint - 支持 OneDrive |
还可以为用户提供 替代策略的选项,以便在他们有有效的业务需求或策略检测到误报时不会阻止他们。
用户通知和策略提示配置选项因所选的监视位置而异。 如果选择:
- Exchange
- SharePoint
- OneDrive
- Teams 聊天和频道
- 实例
可以为各种Microsoft应用启用/禁用用户通知,请参阅 数据丢失防护策略提示参考。
还可以使用策略提示启用/禁用通知。
- 向发送、共享或上次修改内容的用户电子邮件通知或
- 通知特定人员
此外,还可以自定义电子邮件文本、主题和策略提示文本。
有关自定义最终用户通知电子邮件的详细信息,请参阅自定义电子邮件通知。
如果选择了“仅设备”,将获得适用于 Exchange、SharePoint、OneDrive、Teams 聊天和频道和实例的所有相同选项,以及用于自定义Windows 10/11 设备上显示的通知标题和内容的选项。
可以使用以下参数自定义文本的标题和正文。
公用名 | 参数 | 示例 |
---|---|---|
文件名 | %%FileName%% | Contoso 文档 1 |
进程名称 | %%ProcessName%% | Word |
策略名称 | %%PolicyName%% | Contoso 高度机密 |
action | %%AppliedActions%% | 将文档内容从剪贴板粘贴到另一个应用 |
自定义消息字符限制弹出窗口
用户通知受以下字符限制的约束:
变量 | 字符限制 |
---|---|
DLP_MAX-SIZE-TITLE |
120 |
DLP_MAX-SIZE-CONTENT |
250 |
DLP_MAX-SIZE-JUSTIFICATION |
250 |
%%AppliedActions%% 将这些值替换为消息正文:
操作公用名称 | 在 中替换为 %%AppliedActions%% 参数的值 |
---|---|
复制到可删除存储 | 写入可移动存储 |
复制到网络共享 | 写入网络共享 |
打印 | printing |
从剪贴板粘贴 | 从剪贴板粘贴 |
通过蓝牙复制 | 通过蓝牙传输 |
使用未安装的应用打开 | 使用此应用打开 |
复制到远程桌面 (RDP) | 传输到远程桌面 |
上传到未启用的网站 | 上传到此网站 |
通过未启用的浏览器访问项目 | 使用此浏览器打开 |
使用此自定义文本
%%AppliedActions%% 组织不允许通过 %%ProcessName%% 的文件名 %%FileName%%。 如果要绕过策略 %%PolicyName%% ,请选择“允许”
在自定义通知中生成以下文本:
从剪贴板“文件名”粘贴:组织不允许通过 WINWORD.EXE 粘贴 Contoso 文档 1。 如果要绕过 Contoso 高度机密策略,请选择“允许”按钮
可以使用 Set-DlpComplianceRule -NotifyPolicyTipCustomTextTranslations cmdlet 本地化自定义策略提示。
注意
用户通知和策略提示不适用于本地位置
仅显示来自最高优先级、最具限制性的规则的策略提示。 例如,阻止访问内容的规则所提供的策略提示比起只是发送通知的规则所提供的策略提示,前者的显示优先级高于后者。 这会让用户看不到策略提示的级联方式。
若要详细了解用户通知和策略提示配置和使用,包括如何自定义通知和提示文本,请参阅发送电子邮件通知和显示 DLP 策略的策略提示。
策略提示参考
可在此处找到有关不同应用的策略提示和通知支持的详细信息:
- Microsoft 365 的 Outlook 数据丢失防护策略提示参考
- Outlook 网页版的数据丢失防护策略提示参考
- 数据丢失防护策略提示参考 Microsoft 365 和 OneDrive 中的 SharePoint。 Web 客户端
Microsoft 365 和 OneDrive 中的 SharePoint 中的阻止和通知
下表显示了 Microsoft 365 和 OneDrive 中范围限定为 SharePoint 的策略的 DLP 阻止和通知行为。 请注意,这不是一个详尽的列表,还有一些其他设置不在本文范围内。
注意
此表中描述的通知行为可能需要启用以下设置:
用户通知:
- 打开
- 使用策略提示通知Office 365服务中的用户
- 通知发送、共享或上次修改内容的用户
事件报告:
- 发生规则匹配时,向管理员发送警报
- 每次选择与规则匹配的活动时发送警报
- 使用电子邮件事件报告在发生策略匹配时通知你
条件 | 限制访问设置 | 阻止和通知行为 |
---|---|---|
- 内容从 Microsoft 365**- 与组织外部的人员共享 | 未配置 | 仅当文件与外部用户共享且外部用户访问文件时,才会发送用户通知、警报和事件报告 |
- 内容从 Microsoft 365**- 仅与组织中的人员共享 | 未配置 | 上传文件时会发送用户通知、警报和事件报告 |
- 内容从 Microsoft 365**- 仅与组织中的人员共享 |
-
限制访问或加密Microsoft 365 个位置的内容 - 阻止用户接收电子邮件或访问共享的 SharePoint、OneDrive 和 Teams 文件 - 阻止所有人 |
- 上传敏感文件后,将立即阻止访问这些文件。 - 上传文件时发送用户通知、警报和事件报告 |
- 内容从 Microsoft 365 共享 - 与组织外部的人员共享 |
-
限制访问或加密Microsoft 365 个位置的内容 - 阻止用户接收电子邮件或访问共享的 SharePoint、OneDrive 和 Teams 文件 - 仅阻止组织外部的人员 |
- 上传敏感文件后,将立即阻止对该文件的访问,无论文档是否为所有外部用户共享。 - 如果在组织外部的用户共享和访问文件时将敏感信息添加到文件中,则会发送警报和事件报告。 - 如果文档在上传前包含敏感信息,则会主动阻止外部共享。 由于上传文件时会阻止此方案中的外部共享,因此不会发送任何警报或事件报告。 抑制警报和事件报告旨在防止针对每个被阻止的文件向用户发出大量警报。 - 主动阻止将在审核日志和活动资源管理器中显示为事件。 |
- 内容从 Microsoft 365 共享 - 与组织外部的人员共享 |
-
限制访问或加密Microsoft 365 个位置的内容 - 阻止用户接收电子邮件或访问共享的 SharePoint、OneDrive 和 Teams 文件 - 阻止所有人 |
- 当组织外部的第一个用户访问文档时,该事件将导致文档被阻止。 - 预计在短时间内,具有文件链接的外部用户访问文档。 - 与外部用户共享文件以及外部用户访问该文件时,会发送用户通知、警报和事件报告 |
- 内容从 Microsoft 365 共享 |
-
限制访问或加密Microsoft 365 个位置的内容 - 仅阻止通过“具有链接的任何人”选项获得对内容的访问权限的人员 |
上传文件时会发送用户通知、警报和事件报告 |
了解详细信息 URL
用户可能想要了解其活动被阻止的原因。 可以配置站点或页面,以详细了解策略。 如果选择“ 为最终用户提供符合性 URL”以了解有关组织策略的详细信息, (仅适用于 Exchange) ,并且用户在 Outlook Win32 中收到策略提示通知,则 “了解详细信息” 链接将指向你提供的网站 URL。 此 URL 优先于使用 Set-PolicyConfig -ComplainceURL 配置的全局符合性 URL。
重要
必须配置“ 了解详细信息 ”从头开始指向的站点或页面。 Microsoft Purview 不提供现装的此功能。
用户重写
用户替代的意图是为用户提供一种绕过 DLP 策略阻止对 Exchange、SharePoint、OneDrive 或 Teams 中敏感项的操作的方法,以便他们可以继续其工作。 仅当启用了使用策略提示通知Office 365服务中的用户时,才会启用用户替代,因此用户替代与通知和策略提示并驾齐下。
注意
用户替代不适用于本地存储库位置。
通常,当组织首次推出策略时,用户替代非常有用。 从任何替代理由和识别误报中获得的反馈有助于优化策略。
- 如果限制最严格的规则中的策略提示允许用户替换规则,那么替换此规则还会替换与此内容相匹配的所有其他规则。
业务理由 X-Header
当用户在电子邮件上使用替代操作替代块时,替代选项和他们提供的文本将存储在 审核日志 和电子邮件 X 标头中。 若要查看业务理由替代,请在审核日志ExceptionInfo
中搜索值以获取详细信息。 下面是审核日志值的示例:
{
"FalsePositive"; false,
"Justification"; My manager approved sharing of this content",
"Reason"; "Override",
"Rules": [
"<message guid>"
]
}
如果你有一个使用业务理由值的自动化流程,则该过程可以在电子邮件 X 标头数据中以编程方式访问该信息。
注意
值 msip_justification
按以下顺序存储:
False Positive; Recipient Entitled; Manager Approved; I Acknowledge; JustificationText_[free text]
.
请注意,值用分号分隔。 允许的最大自由文本为 500 个字符。
事件报告
匹配规则后,可以向合规性主管 (或你选择) 的任何人员发送一封包含事件详细信息的警报电子邮件,并且可以在Microsoft Purview 数据丢失防护警报仪表板和Microsoft 365 Defender 门户中查看它们。 警报包括有关已匹配的项目、与规则匹配的实际内容以及上次修改内容的人员的姓名的信息。
在预览版中,管理员警报电子邮件包括如下详细信息:
- 警报严重性
- 警报发生的时间
- 活动。
- 检测到的敏感数据。
- 其活动触发了警报的用户的别名。
- 匹配的策略。
- 警报 ID
- 如果 设备 位置在策略范围内,则尝试的终结点操作。
- 正在使用的应用。
- 如果匹配发生在终结点设备上,则为设备名称。
DLP 将事件信息馈送给其他Microsoft Purview 信息保护服务,例如内部风险管理。 若要向内部风险管理获取事件信息,必须将 “事件报告 严重性级别”设置为 “高”。
警报类型
每次活动与规则匹配时,都可以发送警报,该规则可能会干扰,或者可以根据在一定时间段内匹配项的数量或项数进行聚合。 可以在 DLP 策略中配置两种类型的警报。
单事件警报通常用于监视少量发生的高度敏感事件的策略,例如单个电子邮件包含 10 个或更多客户信用卡发送到组织外部的数字。
聚合事件警报 通常用于策略中,这些策略监视在一段时间内发生量较大的事件。 例如,当 10 封单独的电子邮件在组织外部发送 48 小时后,每个电子邮件具有一个客户信用卡号码,可能会触发聚合警报。
其他警报选项
选择“ 使用电子邮件事件报告”在发生策略匹配时通知你 时,可以选择包括:
- 上次修改内容的人员的姓名。
- 与规则匹配的敏感内容的类型。
- 规则的严重性级别。
- 与规则匹配的内容,包括周围的文本。
- 包含与规则匹配的内容的项。
有关警报的详细信息,请参阅:
- DLP 策略中的警报:描述 DLP 策略上下文中的警报。
- 数据丢失防护警报入门:涵盖 DLP 警报的必要许可、权限和先决条件以及警报参考详细信息。
- 创建和部署数据丢失防护策略:包括有关创建 DLP 策略的上下文中的警报配置指南。
- 了解如何调查数据丢失防护警报:介绍用于调查 DLP 警报的各种方法。
- 使用Microsoft Defender XDR调查数据丢失事件:如何在Microsoft Defender门户中调查 DLP 警报。
设备上文件活动的证据收集
如果已 为设备上的文件活动启用安装证据收集 并添加了 Azure 存储帐户,则可以 选择“收集原始文件”作为终结点上所有选定文件活动的证据 ,以及要将项复制到的 Azure 存储帐户。 还必须选择要为其复制项的活动。 例如,如果选择“ 打印 ”,但未 选择“复制到网络共享”,则只有从受监视设备打印的项才会复制到 Azure 存储帐户。
其他选项
如果策略中有多个规则,则可以使用 “其他”选项 来控制进一步的规则处理(如果与正在编辑的规则匹配),以及设置规则评估的优先级。 仅 Exchange 和 Teams 位置支持此操作