開始使用數據外洩防護模擬模式
您可以使用 Microsoft Purview 資料外洩防護 (DLP) 模擬模式來查看:
- 原則對生產環境的影響,而不強制執行。
- 如果強制執行原則,則會由原則比對的所有專案。
本文將逐步引導您完成模擬模式必要條件、組態選項,以及如何檢視模擬結果。
提示
開始使用 Microsoft Copilot for Security,探索使用 AI 功能,更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的安全性 Microsoft Copilot。
開始之前
授權
開始使用 DLP 原則之前,請確認您的 Microsoft 365 訂閱 和任何附加元件。
如需授權的相關信息,請參閱 Microsoft 365、Office 365、Enterprise Mobility + Security 和 Windows 11 訂閱企業版。
權限
您用來與模擬模式互動的帳戶必須是 資訊保護 系統管理員角色。 如需使用模擬模式所需角色和角色群組的詳細資訊,請參閱 許可權。 如需 Microsoft Purview 合規性中角色和角色群組的詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 中的角色和角色群組,Microsoft Purview 合規性
系統設定
若要在要 檢閱的專案上查看其原生應用程式中來自端點裝置的相符專案,您必須 為裝置上的檔案活動設定辨識項集合。
管理 DLP 模擬模式
您可以在建立原則或建立之後,將原則設定為模擬模式。 您也可以關閉已處於模擬模式之原則的模擬模式。
- 使用 建立和部署數據外洩防護 原則中的步驟來建立新原則或編輯現有原則。
- 原則設定工作流程中的最後一個步驟是 模擬或開啟原則。 選 取 [在模擬模式中執行原則 ] 以啟用模擬模式。 選取 [ 立即開啟] 或 [ 關閉] 以停用模擬模式。 您可以進一步選取:
- 在模擬模式中使用 顯示原則提示 ,以協助在用戶採取可能觸發原則動作的動作時進行教育。
- 如果未在模擬后的十五天內編輯原則,請開啟原則 ,以開啟原則而不需進一步的互動。
- 選 取 [下一步 ] 和 [ 提交]。
停用之後,最多可能需要 24 小時,深入解析才會停止出現在 [概觀] 頁面上。
在模擬模式中檢視 DLP 原則
針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
登入 Microsoft Purview 入口網站>數據外洩防護>原則。
選取狀態為 [ 模擬中 ] 或 [ 使用通知在模擬中 ] 的原則,以開啟飛出窗格。
選 取 [檢視模擬 ],以查看 [模擬概觀]、 [要檢閱的專案] 和 [ 警示] 索引 卷標。
模擬模式狀態消息
注意事項
在模擬模式中執行原則的掃描結果會儲存 30 天。 您可以在模擬模式中繼續執行原則的時間超過該時間,但只會顯示最近 30 天期間的結果。
當原則在模擬模式中執行時,大部分位置的內容掃描會即時進行,也就是說,它會在傳送電子郵件或 Teams 訊息時發生。 SharePoint 和 OneDrive 位置的內容掃描運作方式稍有不同。 除了在檔上傳至這些位置時掃描內容之外,在模擬模式中執行的原則可以顯示三個額外的進度訊息: [已完成]、[ 進行中] 和 [ 已過期]。 下表會識別並描述每個位置可用的狀態訊息:
模擬模式依位置掃描狀態
| 位置 | 狀態消息描述 |
|---|---|
| Exchange | 即時 - 傳送訊息時會掃描內容 |
| SharePoint |
已完成 - 表示掃描 Sharepoint 和/或 OneDrive 中的現有內容已完成。 只有當 SharePoint 和/或 OneDrive 是唯一在範圍內的位置時,才會顯示此狀態消息。 進行中 - 表示仿真正在執行。 結果會隨著找到更多相符專案而更新。 |
| OneDrive |
已完成 - 表示掃描 Sharepoint 和/或 OneDrive 中的現有內容已完成。 只有當 SharePoint 和/或 OneDrive 是唯一在範圍內的位置時,才會顯示此狀態消息。 進行中 - 表示仿真正在執行。 結果會隨著找到更多相符專案而更新。 |
| Teams 聊天和頻道訊息 | 即時 - 傳送訊息時會掃描內容 |
| 裝置 | 即時 - 從裝置傳輸時會掃描內容 |
| 網狀架構和Power BI | 即時 - 上傳時會掃描內容 |
下表說明與整體原則模擬進度相關的狀態消息。
整體模擬模式狀態
| 模擬狀態 | 描述 |
|---|---|
| 已完成 | 只有在 DLP 原則範圍僅限於 SharePoint、OneDrive 或兩者時才可使用。 表示已掃描所有待用數據。 |
| 進行中。 | 模擬掃描正在進行中。 偵測到其他原則相符專案時,會更新結果。 |
| 已到期 | 所仿真的原則已超過 30 天。 Microsoft Purview 只會保留模擬數據 30 天。 若要取得最近 30 天視窗之前掃描的待用數據掃描結果,請重新執行掃描。 |
只有 SharePoint 和 OneDrive 位置中相符的前 100 個項目會顯示供檢閱。 這可能與相符項目總數不同。
模擬事件會顯示在 活動總管中。 您可以篩選具有 TestWithNotifyUser、TestWithoutNotifyUser 並強制執行值的原則模式。