共用方式為


了解裝置上檔案活動的證據集合

當您調查 Microsoft Purview 數據外洩防護 (DLP) 事件或針對 DLP 原則進行疑難解答時,取得符合原則的專案完整複本可能會很有説明。 DLP 可以將符合 DLP 原則的項目從上線的 Windows 裝置複製到 Azure 記憶體帳戶。 DLP 事件調查人員和已獲授與 Azure 記憶體 Blob 適當許可權的系統管理員,接著可以存取檔案。

若要開始設定和使用此功能,請參閱 開始從裝置收集符合數據外洩防護原則的檔案

提示

開始使用 Microsoft Copilot for Security,探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的 Microsoft Copilot for Security

如果您不熟悉 Microsoft Purview DLP,以下是您在實作 DLP 時所需的核心文章清單:

  1. 管理單位
  2. 瞭解Microsoft Purview 數據外洩防護 - 本文將介紹數據外泄防護專業領域和Microsoft的 DLP 實作。
  3. 規劃資料外洩防護 (DLP) - 透過本文,您將:
    1. 識別專案關係人
    2. 描述要保護的敏感性資訊類型
    3. 設定目標和策略
  4. 數據外洩防護原則參考 - 本文介紹 DLP 原則的所有元件,以及每個元件如何影響原則的行為。
  5. 設計 DLP 原則 - 本文會逐步引導您建立原則意圖語句,並將它對應至特定的原則設定。
  6. 建立和部署數據外洩防護原則 - 本文提供一些您將對應至設定選項的常見原則意圖案例,然後會逐步引導您設定這些選項。

裝置上檔案活動的辨識項集合符合 Purview

端點 DLP 是 較大 DLP 供應 專案的一部分,也是 Purview 中所提供較大服務範圍Microsoft一部分。 您應該瞭解裝置上檔案活動的辨識項集合如何符合較大的服務供應專案集合。

裝置和電子檔探索上檔案活動的辨識項集合

此功能會複製符合上線 Windows 裝置上 DLP 原則的專案,並將這些復本放在 Azure 記憶體帳戶中。 這些復本不會處於無變更狀態,而且不是該字詞法律意義的辨識項。 如果您為了法律目的需要尋找並保存專案,您應該使用 Microsoft Purview 電子檔探索解決方案。 電子搜索 (eDiscovery) 是識別與傳遞電子資訊的程序,而且此類資訊可在法律案件中做為呈堂證據。

裝置上檔案活動的辨識項集合和內容摘要

當專案和使用者對該專案採取的活動符合 DLP 原則中定義的條件時,活動總管中會顯示 DLPRuleMatch 事件。 DLP 支援的每個位置都是如此。 DLPRuleMatch 事件包含包含相符內容的有限文字數量。 這個有限的文字數量稱為 內容摘要

請務必瞭解裝置上檔案活動的辨識項集合與內容摘要之間的差異。 裝置上檔案活動的辨識項集合僅適用於已上線的 Windows 裝置。 它會將符合原則的整個項目複本儲存到 Azure 記憶體帳戶。 每個 DLP 原則規則相符項目都會擷取內容摘要,而且只包含有限數量的文字,而這些文字會圍繞觸發比對的目標文字。

涵蓋的用戶活動

您可以在裝置上設定檔案活動的辨識項集合,以在使用者嘗試對相符的項目執行下列其中一項活動時,將相符項目的複本儲存到 Azure 儲存器帳戶:

  • 複製到卸除式USB
  • 複製到網路共用
  • 列印
  • 使用不允許的藍牙應用程式複製或移動
  • 透過 RDP 複製或移動
  • 上傳至雲端服務網域,或從不允許的瀏覽器存取
  • 貼到支持的瀏覽器

這些活動的偵測是在 DLP 原則中設定。 如需如何建立 DLP 原則的詳細資訊,請參閱 建立和部署數據外洩防護原則使用端點數據外洩防護

涵蓋的動作

當您在端點 DLP 設定中為裝置上的檔案活動啟用辨識項收集,並設定 DLP 原則以使用此功能時,它會為這些動作儲存相符項目的複本:

  • 僅稽核
  • 封鎖並覆寫
  • 封鎖

這些動作是在 DLP 原則中設定。 如需如何建立 DLP 原則的詳細資訊,請參閱 建立和部署數據外洩防護原則使用端點數據外洩防護

設計考量

Azure 記憶體帳戶的區域

若要符合法規需求,請確定您使用的 Azure 記憶體帳戶與所複製來源裝置位於相同的地緣政治或法規界限。 此外,請留意 DLP 調查人員的地理政治位置,這些調查人員會在敏感性專案儲存後存取這些敏感性專案。 請考慮使用 管理單位 ,針對每個 DLP 原則適當地設定使用者和裝置的管理範圍。 若要瞭解如何使用數據外洩防護來遵守數據隱私權法規,請參閱使用 Microsoft Purview 部署數據隱私權法規的資訊保護。 裝置上檔案活動的辨識項集合最多支援 10 個 Azure 記憶體帳戶。

若要瞭解如何使用數據外洩防護來遵守數據隱私權法規,請參閱使用 Microsoft Purview 部署數據隱私權法規的資訊保護

本機記憶體和頻寬

根據預設,相符項目的複本會透過現有的網路連線,以異步方式儲存至已設定的 Azure 記憶體帳戶。 如果裝置沒有連線能力,則會在本機儲存相符的專案,最多可達 500 MB 的限制。 您可以在本機儲存最多 60 天的專案。

雖然裝置可連線至 Azure 記憶體帳戶 URL,但頻寬使用量沒有限制。 裝置上檔案活動的辨識項集合所使用的頻寬,不會影響進階 分類掃描和保護的預設或已設定頻寬限制。

Azure 記憶體帳戶

客戶負責建立和管理自己的 Azure 記憶體帳戶。 如果您不熟悉 Azure 記憶體,請參閱:

符合原則的專案會從使用者裝置複製到已登入使用者安全性內容中的 Azure 記憶體帳戶 Blob。 因此,在原則範圍內的所有用戶都必須具有 Blob 記憶體的讀取和寫入許可權。 如需詳細資訊, 請參閱開始從裝置收集符合數據外泄防護原則的檔案

同樣地,所有檢閱已儲存項目的系統管理員都必須具有 read Azure 記憶體帳戶 Blob 的許可權。 如需詳細資訊, 請參閱開始從裝置收集符合數據外泄防護原則的檔案

在預覽) 偵測到敏感性資訊時儲存辨識項 (

支援的檔案類型

如需支援檔類型的詳細資訊,請參閱 儲存和預覽辨識項的支持檔類型

支援的記憶體類型

當 Purview 偵測到內容中的敏感性資訊時,您有兩個選項可儲存 Purview 所收集的辨識項。 您可以使用 客戶管理 的數據存放區,或 Microsoft 受控數據存放區 (預覽) 。 您應該使用的選項取決於您的需求和使用案例。 若要協助您決定,請檢閱下列比較數據表。

記憶體類型比較

即使變更您的記憶體類型,只要角色型訪問控制 (RBAC) 許可權保持不變,相符的檔案仍會繼續包含在警示結果中。 由於客戶管理的記憶體是由客戶所擁有,因此 DLP 系統管理員可以繼續依每個檔案直接從記憶體下載檔。

下表識別客戶管理的記憶體與Microsoft管理的記憶體之間的差異,以收集內容中偵測到敏感性資訊的辨識項。

Feature 元素 客戶管理 Microsoft Managed (預覽)
檔案保留 您可以視需要/想要保留檔案。 檔案最多會保留 120 天。
端點設定 您必須在端點設定中新增 Blob 記憶體 (容器 URL) ,然後使用 Microsoft Entra 系統管理中心 為範圍內的使用者設定 Blob 的明確用戶權力。 設定端點設定時,所有設定和許可權都會以按下方式處理。
原則和位置設定 您必須針對套用原則的每個位置,以每個原則為基礎來新增和設定記憶體 Blob。 特定原則位置不需要選取任何記憶體。
數據存放區位置/區域 由客戶選擇 與您Microsoft Purview 租使用者相同的區域。
費用 除了您的 Entra 訂用帳戶成本之外,還會收取記憶體成本。 在預覽期間,記憶體不會產生額外的成本。
網路設定 您必須允許記憶體 Blob 的容器 URL 透過網路防火牆。 您必須在「允許」清單上包含 compliancedrive.microsoft.com ,才能通過網路防火牆。

變更記憶體類型

客戶可以隨時在記憶體類型之間切換。 不過,最佳做法是仔細規劃您長期需要的記憶體類型,並針對您的使用案例選取適當的選項。 如需這兩種記憶體類型之間差異的詳細資訊,請參閱 記憶體類型比較數據表

注意事項

切換記憶體類型時,您必須重新整理原則,以確保這些原則會套用至新數據存放區中的檔案。

變更辨識項檔案的記憶體類型影響

相符的檔案會繼續包含在警示結果中,即使在您變更記憶體管理類型之後,前提是角色型訪問控制 (RBAC) 許可權不會變更。

因為您擁有客戶管理的記憶體解決方案,所以 DLP 系統管理員可以在將檔案移至受Microsoft管理的記憶體解決方案之後,繼續依每個檔案直接下載檔。

下一步

下一個步驟是設定裝置上檔案活動的辨識項集合。

如需詳細資訊, 請參閱開始從裝置收集符合數據外泄防護原則的檔案