分享方式:

Microsoft Purview 合規性管理員警示和警示原則

  • 文章

提示

如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

概觀

合規性管理員可以在變更發生時立即向您發出警示,讓您可以隨時掌握合規性目標。 例如,您可以設定警示來通知您改進動作的分數值因租使用者中的組態變更而增加或減少,或已指派改進動作給使用者執行實作或測試工作時。 檢視您可以建立警示 的事件類型

若要建立警示,您必須先設定警示原則,以概述觸發警示的條件和通知頻率。 當我們偵測到與您的原則條件相符時,您會收到包含詳細數據的電子郵件通知,讓您可以判斷是否要調查或採取進一步的動作。

所有警示都會列在合規性管理員的 [警示] 頁面上,而所有警示原則都會列在傳統 Microsoft Purview 合規性入口網站 (的 [原則] 頁面上,此頁面稱為警示原則) 。 所有組織都已為其設定 預設分數變更 原則。

了解原則和警示頁面

重要事項

用戶必須在 Microsoft Entra ID 中保有安全性讀取者角色,才能存取 [原則] 和 [警示] 頁面。 需要額外的安全性和合規性管理員角色,才能使用警示和警示原則。 請在警示原則 許可權中取得下列詳細數據。

原則頁面

如果使用合規性管理員中的傳統入口網站) 來檢視和管理警示原則,請選取 [原則 (] 或 [警示原則]。 [ 原則] 頁面包含列出您組織所建立之所有原則的數據表。 您可以從此頁面建立新原則、編輯現有原則、變更啟用狀態,以及刪除原則。

在 [ 狀態] 數據行中,[ 作用 中] 表示原則已生效,並在符合條件時觸發警示。 非作用中 表示原則存在,但不會產生警示。 原則數據表也會顯示原則的嚴重性,以及上次修改原則的日期。

若要檢視個別原則的詳細數據,請在數據表中選取其數據列。 隨即會出現顯示所有詳細數據的飛出視窗窗格。 選取窗格底部的 [ 動作 ] 按鈕,然後從選項中選取以編輯原則、檢視其警示或刪除原則。 在篩選條件上方,您也可以在數據表頂端附近找到要新增、編輯、刪除、啟用和停用的命令。

若要開始建立警示原則,請參閱 建立警示原則

警示頁面

選取 [合規 性管理員 ] 中的 [警示],以檢視和管理您的警示。 [ 警示] 頁面包含一個數據表,其中列出警示原則所產生的每個警示,以及其嚴重性和觸發事件 (例如,動作的分數變更) 和警示的日期。

若要檢視個別警示,請在數據表中選取其數據列。 飛出視窗窗格隨即出現,其中顯示窗格 [ 概觀 ] 索引卷標上的所有詳細數據。 [ 事件記錄檔] 索引 標籤會顯示觸發警示的使用者所採取的動作。

窗格底部的 [ 動作 ] 按鈕提供選項,可將警示指派給使用者以進行後續追蹤、傳送電子郵件給動作產生警示的使用者,或檢視產生警示之原則的詳細數據。 您也可以採取相同的動作,方法是選取當您將滑鼠停留在其數據列上方時,警示名稱左邊的圓形按鈕,然後選取靠近篩選條件上方數據表頂端的其中一個按鈕。

若要開始使用警示,請參 閱檢視和管理警示

警示原則許可權

下表概述哪些用戶可以根據其角色類型來建立和編輯警示和警示原則。 除了保留合規性管理員角色之外,使用者也需要 Microsoft Entra 角色,如下所示:

  • 若要檢視警示和警示原則:Microsoft Entra ID 中的安全性讀取者角色。
  • 若要建立或更新警示原則:Microsoft Entra ID 中的合規性系統管理員合規性數據管理員、安全性系統管理員或安全性操作員角色。

深入瞭解 Microsoft Purview 合規性入口網站 中的 Azure 角色

重要事項

Microsoft 建議您使用權限最少的角色。 將具有全域管理員角色的用戶數目降至最低,有助於改善組織的安全性。 深入瞭解 Microsoft Purview 角色和許可權

角色 可以建立和編輯原則 可以編輯警示
合規性管理員系統管理
合規性管理員評估者
合規性參與者
合規性管理員讀取者
全域管理員

瞭解如何 設定用戶權力並指派合規性管理員的角色

建立警示原則

您可以建立原則,在發生與改進動作相關的特定變更或事件時發出警示。 以下列出事件類型。

警示事件類型

  • 分數變更:由於組織中某人所做的設定變更,針對改進動作所獲得的分數增加或減少。 例如,如果您的組織建立測試人員風險管理原則,可能會增加特定動作點數的特定數量。
  • 指派變更:已將改進動作指派給使用者、重新指派給不同的使用者,或未指派給使用者。
  • 實作狀態變更:用戶已變更改進動作的實作狀態。
  • 測試狀態變更:用戶已變更改進動作的測試狀態。
  • 辨識項變更:使用者已在改進動作的 [檔案] 索引 標籤中 上傳或刪除辨識項檔。

默認分數變更原則

合規性管理員會設定預設警示原則,以監視改進動作中的分數變更。 當改進動作的分數變更時,默認原則會產生警示。 無法編輯默認原則的大部分設定。 但您可以將其他使用者新增為警示通知的收件者,我們建議使用。

以下是預設原則的設定:

  • 在 60 分鐘內偵測到的所有相符項目都會分組為單一警示,以減少過多的通知。 例如,如果五個改進動作在一小時內遇到分數變更,則會產生一個警示。

  • 這些警示的嚴重性層級為 中度

  • 貴組織的全域 管理員 是警示通知的預設收件者。

  • 您可以遵循下列步驟來新增更多警示收件者:

    • 在 [ 原則] 頁面上,尋找 合規性管理員默認警示原則
    • 核取其名稱左邊的方塊,然後選取靠近頂端的 [ 編輯 ] 按鈕,位於篩選條件上方。
    • 選取 [ 下一步 ] 按鈕,直到您進入 [ 警示收件者] 頁面為止。
    • 選取 [+選取收件者 ],然後核取您要接收電子郵件通知之飛出視窗窗格上每個使用者名稱旁邊的方塊。 完成時,選取 [ 新增收件者],然後選取 [ 下一步]
    • 在 [ 檢閱並完成] 頁面上,選取 [更新 ] 以儲存變更。

  • 無法刪除默認原則,但您可以 遵循下列步驟加以停用。

原則建立步驟

若要建立原則以根據一或多個事件產生警示,請遵循下列步驟:

  1. [合規性管理員] 中,移至 [原則 ] 頁面,然後選取 [ 新增 ] 以啟動原則建立精靈。

    提示

    在新的 Microsoft Purview 入口網站中,此 頁面稱為原則 ,可在左側導覽中找到,而不是作為頂端的索引卷標。

  2. 在 [ 名稱和描述 ] 頁面上,輸入原則的名稱和選擇性描述,然後選取 [ 下一步]

  3. 在 [ 條件] 頁面上,選取將觸發警示的一或多個事件。 在 [改進動作活動 ] 標頭下,選取 [ 新增子條件 ],然後核取將滑鼠停留在每個條件名稱左邊時出現的方塊。 您可以為原則選擇一或多個條件:指派變更、辨識項變更、實作狀態變更、分數變更、測試狀態變更。 完成時,按 [下一步]

  4. 在 [ 結果] 頁面上,選擇偵測到原則相符專案時會發生什麼事:

    • 在偵測到相符專案時,選取警示的嚴重性層級:低、中或高。
    • 選取偵測到相符專案時,您想要收到電子郵件通知的頻率。 您可以選擇在每個相符專案中收到通知,或選擇超過三個相符專案的特定數目臨界值。
    • 如果您選擇在三個以上的相符項目之後收到通知,您接著會指定必須達到該閾值的分鐘數 (例如,在 90 分鐘內) 4 個相符專案。

    完成後,請選取 [下一步]

  5. 在 [ 警示收件者 ] 頁面上,選取組織中的其他使用者,以在符合原則條件時接收電子郵件。 建立原則的用戶是預設收件者。 選取 [+選取收件者 ],然後核取您要接收電子郵件通知之飛出視窗窗格上每個使用者名稱旁邊的方塊。 完成時,選取 [ 新增收件者],然後選取 [ 下一步]

  6. 檢閱所有選取專案,然後選取 [ 編輯],對每個區段進行任何變更。 檢閱完成後,選取 [ 建立原則]

  7. 建立原則時,請選取 [ 完成]。 您會使用您剛才建立之原則的飛出視窗窗格 抵達 [原則 ] 頁面,該窗格已開啟。

一旦您建立原則之後,原則就會處於作用中狀態,這表示它會開始偵測相符專案併產生警示。 請參閱下方的 管理原則 一節,以瞭解如何停用或刪除原則。

建立或更新原則后,最多可能需要 24 小時的時間,才會產生該原則的警示。 請參閱下 方的檢視警示詳細數據 ,以瞭解如何觸發事件和警示匯總。

管理原則

[ 原則] 頁面包含您所有原則的數據表清單。 請參閱 原則頁面 以進一步瞭解此頁面。 貴組織中的任何使用者都可以檢視原則,但某些動作僅限於特定角色;請參閱 警示原則許可權

提示

在新的 Microsoft Purview 入口網站中,此 頁面稱為原則 ,可在左側導覽中找到,而不是作為頂端的索引卷標。

檢視原則詳細數據

原則頁面上 的數據列中選取原則,以顯示顯示原則詳細數據的飛出視窗面板,包括其比對條件、是否以及何時傳送警示通知以及傳送給誰,以及嚴重性層級。

面板底部的 [ 動作 ] 按鈕可讓您選擇編輯原則、刪除原則或檢視警示。

檢視原則的警示

從原則的飛出視窗面板中,選取 [ 動作 ],然後選 取 [檢視警示]。 系統會將您直接帶往 [警示] 頁面,其中包含該原則所產生之所有警示的篩選檢視。 瞭解如何 使用警示

編輯原則

您可以編輯原則的任何層面,但其名稱除外。 如果您想要變更其名稱,您必須建立具有新名稱的新原則。

若要編輯原則,請選取當您將滑鼠停留在其 [原則 ] 頁面上 的數據列上方時,其名稱左側顯示的 [四捨五入] 按鈕,然後選取靠近篩選條件上方的 [ 編輯 ] 按鈕。

系統會帶您前往原則建立精靈,您可以在其中對原則進行變更並加以儲存。 您也可以選取原則以顯示其詳細數據面板,然後從 [ 動作 ] 按鈕選取 [ 編輯原則]。 再次完成精靈之後,請檢閱您的選取專案,然後在最後一個步驟中選取 [更新 ] 以儲存變更。

更新的原則最多可能需要 24 小時才會產生警示。

啟用或停用原則

原則在建立後預設會立即啟動。 作用中時,原則會建立警示 (顯示在符合條件時) [ 警示 ] 頁面上,並將通知電子郵件傳送給指定的收件者。

若要將原則變更為 非作用中 狀態,這表示它不會產生警示,請在您將滑鼠停留在其數據列上方時,選取出現在原則名稱左邊的 [四捨五入] 按鈕。 然後選取資料表上方的 [停用 ] 命令。 您原則的狀態現在會讀取 [非使用中]。 若要重新啟用原則,請遵循相同的程式,然後選取篩選條件上方的 [ 啟用 ] 按鈕。

刪除原則

若要刪除原則,您可以在 [原則 ] 頁面上 選取其名稱旁邊的按鈕,然後選取靠近頁面頂端的 [ 刪除 ]。 您也可以選取原則以顯示其詳細數據面板,然後從 [ 動作 ] 按鈕選取 [ 刪除原則]

刪除是永久的。 一旦您刪除原則,它就不會再產生警示或電子郵件通知。 深入了解 連線到已刪除原則的警示

檢視和管理警示

[ 警示] 頁面會顯示數據表,其中包含您所有原則所產生的所有警示。 警示幾乎會在發生符合原則條件的事件之後立即產生。 警示名稱與產生警示的原則同名。

警示只能從使用中的原則產生。 產生警示之後,不論原則是作用中還是非作用中,警示都會保留在 [ 警示 ] 頁面上。

篩選警示檢視

您可以選取 [警示] 頁面上資料表上方的 [ 篩選 ] 命令來篩選警示 檢視 。 從 [ 篩選] 飛出視窗窗格中,選取下列篩選選項:

  • 事件類型
  • 嚴重性
  • 狀態
  • 指派給的使用者
  • 偵測日期
  • 原則名稱

進行選取之後,選取 [ 套用]。 飛出視窗窗格隨即關閉,而更新 的 [警示] 頁面會 顯示已篩選的檢視。 您的篩選會顯示在數據表的頂端,但並非所有篩選數據行都會顯示在數據表中。

檢視警示詳細數據

若要檢視警示的所有詳細數據,包括觸發警示的事件,請在數據表上選取其數據列。 飛出視窗窗格會在面板的 [ 概觀 ] 索引卷標上顯示警示的詳細數據。

飛出視窗面板的 [ 事件記錄 ] 索引標籤會列出產生警示的活動,例如分數變更或指派變更,以及與每個動作相關聯的使用者名稱和偵測到的日期。

警示事件

[警示] 頁面上的 [事件] 數據行會指出已偵測到的原則條件;換句話說,產生警示的活動。 警示詳細數據面板上的 [ 事件記錄 ] 索引標籤會列出事件的每個實例、相關聯的使用者,以及偵測到的日期。 事件值如下所列:

  • 分數變更:顯示點數的增加或減少數目
  • 指派變更:已將改進動作指派給使用者、重新指派給不同的使用者,或未指派給使用者
  • 實作狀態變更:用戶已變更改進動作的實作狀態
  • 測試狀態變更:用戶已變更改進動作的測試狀態。
  • 辨識項變更:使用者已在改進動作的 [檔案] 索引標籤中上傳或刪除辨識項檔
  • 多重事件:偵測到相同事件類型的多個實例;例如,已多次重新指派的單一改進動作
  • 多重條件:偵測到單一原則內的多個條件

一分鐘內多個事件的警示匯總

當多個符合警示原則條件的事件在一分鐘內發生時,稱為警示匯總的程式會將它們新增至現有的警示。

例如,當發生一個符合原則的事件時,會產生警示並顯示在 [ 警示 ] 頁面上,並傳送通知。 如果在第一個事件的一分鐘內發生另一個符合相同原則的事件,則合規性管理員會在現有警示的 [事件 記錄 檔] 索引標籤上新增另一個事件的詳細數據,而不是觸發新的警示。 警示匯總的目標是協助減少警示「疲勞」,並讓您專注於較少的警示並採取動作。

對警示採取動作

當其中一個原則產生警示時,您可以檢視造成警示的事件,並判斷您是否需要驗證或進一步調查事件。

若要對警示採取動作,請在 [ 警示 ] 頁面上選取其數據列,以顯示飛出視窗面板及其詳細數據、選取 [ 動作] 按鈕,然後選擇下列選項。 您也可以採取動作,方法是選取當您將滑鼠停留在其數據列上方時,警示名稱左邊的圓形按鈕,然後在篩選條件上方選取靠近頁面頂端的其中一個動作按鈕。

指派警示:您可能想要將警示指派給使用者,以調查或驗證造成警示的事件。 當您選擇此選項時,會開啟一個面板,您可以在其中選取組織中的使用者,並將警示指派給他們。 您可以在 [警示] 頁面上選取 [篩選],然後在 [指派給] 字段中輸入用戶的名稱,以篩選警示檢視。

Email 警示:您可能想要傳送電子郵件給與警示活動相關聯的使用者,以確認他們已採取動作。 當您選擇此選項時,它會開啟含有警示基本資訊的電子郵件範本,您可以使用進一步指示進行自定義並傳送給使用者。

檢視原則詳細數據:您可能想要檢閱觸發警示之原則的設定。 當您選取此選項時,系統會將您直接帶往已開啟原則詳細數據面板的 [原則] 頁面。 當您關閉原則詳細數據面板時,將不再位於 [ 警示 ] 頁面上。

變更狀態:您可以根據警示的影響檢閱以及是否需要調查來更新警示的狀態。 在下一節中深入瞭解警示狀態。

警示狀態

建立警示時,其狀態為 [作用中]。 當您檢閱每個警示的詳細資料時,您可以將其狀態更新為下列任何狀態:

  • 作用中:警示的默認狀態,直到其狀態變更為止
  • 調查:警示正在調查中
  • 已解決:警示不需要進一步調查或後續追蹤
  • 已關閉:警示不相關或不需要調查

若要指派或變更警示的狀態,請從數據表上的數據列中選取警示,然後選取頁面頂端附近的 [ 變更狀態 ],在篩選條件上方。 從 [更新警示狀態] 飛出視窗窗格,從下拉功能表中選取狀態,然後選取 [ 更新警示]

產生警示之後,其狀態與產生警示的原則狀態無關。 例如,可能會有與非作用中原則相關聯的作用中警示,而且在後續啟用或刪除的原則所產生的警示上,可能會有調查狀態。

刪除原則時

刪除原則時,該原則產生的任何警示都會保留在 [ 警示 ] 頁面上,但不會產生任何新的警示。

Email 警示通知

當您建立原則時,會傳送電子郵件給建立原則的使用者,提醒他們偵測到相符專案。 您可以選擇將這些電子郵件通知傳送給組織中的更多使用者。 警示會以近乎即時的方式發生,並在產生警示時立即傳送電子郵件通知。 電子郵件包含事件名稱、嚴重性、偵測到的時間,以及在合規性管理員中檢視警示的連結。

拿掉接收警示的使用者

如果您指定警示收件者,然後決定移除這些收件者,請遵循下列步驟。 偵測到原則相符專案時,原則建立者仍會收到電子郵件通知。

  1. 開始 編輯原則的步驟。
  2. 當您到達 [ 警示收件者] 畫面時,請選取 [+選取收件者]
  3. 在 [ 選取收件者 ] 飛出視窗面板中,尋找您想要從通知中移除的使用者,並取消核取其名稱左邊的方塊,然後選取 [ 新增收件者 ] 按鈕 (這會影響您將選取專案儲存) 。
  4. 繼續進行精靈,並確認使用者未出現在 [檢閱和完成] 頁面的 [收件者 ] 下方。 選 取 [更新 ] 以儲存您的設定並完成。