建立 DLP 原則來保護具有 FCI 或其他屬性的文件

  • 文章

Microsoft Purview 資料外洩防護 (DLP) 原則可以使用分類屬性或專案屬性來識別敏感性專案。 例如,您可以使用:

  • FCI) 屬性 (Windows Server 檔案分類基礎結構
  • SharePoint 文檔屬性
  • 第三方系統文檔屬性

顯示 Office 365和外部分類系統的圖表。

例如,您的組織可能會使用 Windows Server FCI 來識別具有個人資料的專案,例如社會安全號碼,然後根據每份檔中找到的個人資料類型和數目,將 [ 個人標識資訊 ] 屬性設定為 [高]、[ 中度]、[ ]、[ 用] 或 [ 非 PII ] 來分類這些檔。

在 Microsoft 365 中,您可以建立 DLP 原則來識別將該屬性設定為特定值的檔,例如 HighMedium,然後採取封鎖這些檔案存取等動作。 如果屬性設定為 Low,則相同的原則可以有另一個採取不同動作的規則,例如傳送電子郵件通知。 如此一來,DLP 會與 Windows Server FCI 整合,並可協助保護從 Windows Server 檔伺服器上傳或共用至 Microsoft 365 的 Office 檔。

DLP 原則只會尋找特定的屬性名稱/值組。 只要 屬性具有 SharePoint 搜尋的對應 Managed 屬性,就可以使用任何文檔屬性。 例如,SharePoint 網站集合可能會使用名為 「車程報表 」的內容類型,以及名為 Customer 的必要字段。 每當人員建立車程報告時,都必須輸入客戶名稱。 此屬性名稱/值組也可以在 DLP 原則中使用,例如,如果您想要在 [ 客戶 ] 欄位包含 Contoso 時封鎖來賓檔存取的規則。

如果您想要將 DLP 原則套用至具有特定 Microsoft 365 標籤的內容,請勿遵循這裡的步驟。 相反地,請參閱 l建立和部署數據外洩防護原則

提示

如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

建立 DLP 原則之前

您必須先在 SharePoint 系統管理中心建立 Managed 屬性,才能在 DLP 原則中使用 Windows Server FCI 屬性或其他屬性。 原因如下。

在 SharePoint 和 OneDrive 中,搜尋索引是透過在您的網站上編目內容來建立。 編目程式會以編目屬性的形式,從檔中挑選內容和元數據。 搜尋架構可協助編目程式決定要挑選的內容和元數據。 (元數據的範例是檔的作者和標題。) 不過,若要從檔取得內容和元數據到搜尋索引,編目屬性必須對應至 Managed 屬性。 只有 Managed 屬性會保留在索引中。 例如,與 author 相關的編目屬性會對應至與作者相關的 Managed 屬性。

注意事項

使用 ContentPropertyContainsWords 條件建立 DLP 規則時,請務必使用 Managed 屬性名稱,而不是編目屬性名稱。 這很重要,因為 DLP 會使用搜尋編目程式來識別和分類網站上的敏感性資訊,然後將該敏感性資訊儲存在搜尋索引的安全部分。 當您將文件上傳至 Office 365 時,SharePoint 會根據文檔屬性自動建立編目屬性。 不過,若要在 DLP 原則中使用 FCI 或其他屬性,該編目屬性必須對應至 Managed 屬性,才能將該屬性的內容保留在索引中。

如需搜尋和 Managed 屬性的詳細資訊,請 參閱在 SharePoint Online 中管理搜尋架構

步驟 1:上傳具有所需屬性的檔以 Office 365

首先,您必須上傳具有您想要在 DLP 原則中參考之屬性的檔。 Microsoft 365 會偵測屬性,並自動從中建立編目屬性。 在下一個步驟中,您將建立 Managed 屬性,然後將 Managed 屬性對應至這個編目屬性。

步驟 2:建立 Managed 屬性

  1. 登入 Microsoft 365 系統管理中心

  2. 在左側瀏覽窗格中,選擇 [管理員 中心>SharePoint]。 您現在位於 SharePoint 系統管理中心

  3. 在左側瀏覽窗格中,選擇 [搜尋]。 在 [搜尋管理] 頁面上,選擇 [ 管理搜尋架構]

    SharePoint 系統管理中心的搜尋管理頁面。

  4. 在 [ Managed 屬性] 頁面上, >新增 Managed 屬性

    已醒目提示 [新增 Managed 屬性] 按鈕的 [Managed 屬性] 頁面。

  5. 輸入屬性的名稱和描述。 此名稱會出現在您的 DLP 原則中。

  6. 針對 [類型],選擇 [ 文字]

  7. [主要特性] 底下,選取 [ 可查詢 ] 和 [ 可擷取]

  8. 在 [ 編目屬性的對 應] 下,選擇 [ 新增對應]

  9. 在 [ 編目屬性選取 ] 對話框中,尋找並選取對應至 Windows Server FCI 屬性或您將在 DLP 原則中使用的其他屬性的編目屬性,然後選擇 [ 確定]

    編目屬性選取對話框。

  10. 在頁面底部選擇 [ 確定]

建立使用FCI屬性或其他屬性的 DLP 原則

在此範例中,組織在其 Windows Server 檔伺服器上使用 FCI;具體而言,它們使用名為 個人標識資訊 的FCI分類屬性,其可能值為 HighModerateLowPublicNot PII。 現在,他們想要在 Office 365 的 DLP 原則中使用現有的 FCI 分類。

首先,他們會遵循上述步驟,在 SharePoint Online 中建立 Managed 屬性,這會對應至從 FCI 屬性自動建立的編目屬性。

接下來,他們會建立具有兩個規則的 DLP 原則,這兩個規則都使用條件 Document 屬性包含下列任何值

  • FCI PII 內容 - 高、中 如果FCI分類屬性 [ 個人標識資訊 ] 等於 [高 ] 或 [ 中度 ] 且檔與組織外部人員共用,則第一個規則會限制檔的存取權。

  • FCI PII 內容 - 低 如果FCI分類屬性 [ 個人標識資訊 ] 等於 [低 ] 且文件與組織外部人員共用,則第二個規則會傳送通知給檔擁有者。

建立 DLP 原則之後

完成前幾節中的步驟會建立 DLP 原則,以快速偵測該屬性的內容,但只有在該內容是新上傳 (,讓內容的索引) ,或該內容是舊的,但只是編輯 (,讓內容重新編製索引) 。

若要在任何地方偵測該屬性的內容,您必須重新編製文檔庫、網站或網站集合的索引,讓 DLP 原則知道該屬性的所有內容。 在 SharePoint 中,內容會在編輯內容時自動編目。 無法手動重新編製特定 SharePoint 網站的索引。

注意

無法重新編製 DLP 案例網站的索引。

如需詳細資訊,請參閱手動要求網站、文件庫或清單進行編目和重新建立索引

將網站重新編製索引 (選擇性)

  1. 在網站上 ,選擇 [ 設定] (右上角的齒輪圖示) >[網站設定]

  2. 在 [ 搜尋] 底下,選擇 [搜尋和離線可用性>重新編製索引網站]

詳細資訊