隱私權風險管理中的資料過度使用原則

您的組織可能會將內容儲存在各種存取層級,包括可公開存取的區域和其他受限制的區域。 資料過度使用原則可協助您偵測及處理組織儲存的資料不夠安全的情況。 例如,如果對太多人開放內部網站的存取權,或尚未維護您的許可權設定,則儲存在該網站上的個人資料可能會容易遭到入侵。 資料過度使用原則可以針對這些風險評估您的資料,並警示您潛在的問題。

偵測到原則相符專案時,您可以傳送包含補救選項以解決問題的使用者電子郵件通知。 對於過度公開的資料,這些包括將內容專案設為私用、通知內容擁有者,或標記專案以供進一步檢閱。

我們的原則設定程式可讓您輕鬆地設定原則條件。 您可以完全控制警示時間和電子郵件頻率,讓使用者注意安全的資料處理做法。

有兩種方式可以建立原則:從 範本,這是我們使用預設設定的快速「現成」選項;或 自訂 選項,這是設定條件、警示和通知的引導式程式。

快速設定:使用具有預設設定的範本

預設資料過度使用原則會評估所有三個存取層級的個人資料:公用、外部和內部。

請遵循下列步驟來建立預設資料傳輸原則:

  1. Microsoft Purview 合規性入口網站中,在左側導覽中尋找 [Priva 隱私權風險管理],然後選取 [原則]

  2. 畫面右上角的 [建立原則],這會顯示列出所有原則建立選項的飛出視窗窗格。

  3. 在 [ 資料過度表達] 方塊中 ,選取 [ 建立]

  4. 飛出視窗窗格包含原則詳細資料。 選 取 [檢視設定] 會顯示預設設定。 您可以從這裡編輯設定,這會帶您進入下面所述的引導式程式。 若要繼續使用預設設定建立原則,只要輸入描述性名稱,然後選取 [ 建立原則]

您的原則將會建立,而且您會在 [ 原則 ] 頁面上找到該原則。 它會從 測試模式 開始,讓您可以在開啟之前監視其執行方式。

預設資料過度使用原則設定

從範本建立的資料過度使用原則會偵測到:

  • 當使用者對包含儲存在您組織 OneDrive 或 SharePoint 中的個人資料的專案提供過度廣泛的存取權時。 例如,原則會以下列方式偵測個人資料的共用:
    • 透過公用人員可以存取的連結
    • 透過連結或因為允許組織中每個人存取的許可權而導致
    • 將存取權授與外部使用者或來賓 OneDrive 或 SharePoint 檔案
  • 根據下列 分類群組的資料類型:
    • 歐盟一般資料保護法規 (GDPR)
    • 美國個人識別資訊
    • 美國元法案
    • 美國州外泄通知法
    • 美國 Gramm-Leach-Bliley Act (GLBA)
    • 美國健康保險可攜性和責任法案 (HIPAA)
    • HRIP) (澳大利亞健康情況記錄法
    • 澳洲隱私權法案
    • 日本個人識別資訊
    • 日本個人資訊保護法

自訂設定:引導式原則建立程式

自訂原則選項是建立新原則的引導式程式,方法是設定條件、指定警示嚴重性和頻率,以及開啟使用者電子郵件通知。

完成下列步驟,以建立新的資料過度使用原則:

  1. Microsoft Purview 合規性入口網站中,在左側導覽中尋找 [Priva 隱私權風險管理],然後選取 [原則]

  2. 選取畫面右上方的 [ 建立 原則] 按鈕,其中會顯示列出所有原則建立選項的飛出視窗窗格。

  3. 在 [ 自訂] 方塊中,選取 [ 建立]

  4. 在 [ 名稱和類型] 頁面上,選取 [資料過度表達] 原則範本。 輸入原則名稱,以協助您輕鬆地從 [原則 ] 頁面上的 清單中識別它,然後輸入選擇性描述,然後選取 [ 下一步]

  5. 在 [ 要監視的資料] 頁面上,選擇您想要原則監視的個人資料類型。 其中有兩個選項:

    • 分類群組:用來偵測個人資料或特定法規相關內容的敏感性資訊類型群組。 如果您選取此選項,則必須選取 [+新增分類群組 ],以從提供的清單中選擇一或多個群組。
    • 個別敏感性資訊類型:選取此選項可從個別 敏感性資訊類型的清單中選擇。

    深入瞭解 如何選擇要監視的資料。 當您完成選取要監視的資料時,請選取 [ 下一步]

  6. 在 [ 使用者和群組] 頁面上,選擇您組織中要套用原則的使用者。 您可以選取所有個別使用者和所有Office 365通訊群組,也可以選取特定的使用者和群組。 深入瞭解 如何選擇使用者和群組。 完成後,請選取 [下一步 ]

  7. 在 [ 位置] 頁面上,選取您想要涵蓋原則的 Microsoft 365 中所有資料位置。 從 OneDrive 帳戶和 SharePoint 網站中選擇。

    在 SharePoint 中,您可以指定所有網站或特定網站。 如果您選取 [特定 SharePoint 網站],您可以在 [URL] 欄位中輸入網站 URL。 您也可以選取 [+選擇網站],然後在飛出視窗窗格中,勾選您要選取之網站名稱左邊的方塊。

    深入瞭解 選擇位置。 當您完成選取位置時,請選取 [ 下一步]

  8. 在 [ 條件] 頁面上,選取原則將偵測到的資料過度表達條件類型:

    • 用:具有連結的任何人都可以存取內容。
    • 外部:組織外部的特定人員可以存取。
    • 內部:您組織中的所有使用者都可以存取。

    選取一個以上的存取層級會擴大資料範圍,而且可能會產生大量警示和使用者通知。

    在您選擇旁邊的方塊中放入核取方塊,然後選取 [ 下一步]

  9. 在 [ 結果] 頁面上,決定是否要在使用者符合原則所設定的條件時通知使用者。 如果您核取 [電子郵件通知] 方塊,當使用者的動作符合原則條件時,就會收到電子郵件通知。 電子郵件將包含直接從電子郵件採取補救動作的指示,以及隱私權訓練的連結。 您將指定電子郵件的頻率,以及您慣用隱私權訓練的 URL。

    深入瞭解設定 使用者通知。 當您完成選取結果時,請選取 [ 下一步]

  10. 在 [警示] 頁面上,使用切換開關開啟系統管理員會在隱私權風險管理之 [原則]區段的[警示] 頁面上看到的警示。 您將指定產生警示的頻率、產生警示之前相符專案的閾值,以及警示嚴重性。 深入瞭解 設定原則相符專案的警示。 完成後,請選取 [下一步 ]

  11. 在 [ 模式] 頁面上,決定是否要在第一次建立時以測試模式執行原則,這表示不會傳送任何警示或通知。 若要讓原則保持在我們建議的測試模式中,請選取切換開關至 [ 開啟 ] 位置。 深入瞭解 測試原則

注意

如果您將 [ 在測試模式中執行 ] 切換為 [關閉 ] 位置, 這會在您 建立完原則時開啟原則。 這表示在偵測到相符專案之後,您設定的任何警示或使用者通知都會開始產生。

  1. 在 [ 完成] 頁面上,檢閱您的選擇。 選取任何區段下方的 [ 編輯 ],以調整設定。 當您滿意原則的設定時,請選取 [ 提交 ] 以建立原則。

幾秒鐘之後,您會看到已建立原則的確認。 在確認頁面上選取 [完成],這會帶您前往您會在資料表頂端看到新原則的 [原則 ] 頁面。

後續步驟

如需如何編輯和管理原則的詳細資訊,請造訪 隱私權風險管理 原則。