共用方式為


開始使用測試人員風險管理鑑識辨識項

重要事項

鑑識辨識項是測試人員風險管理中選擇加入的附加元件功能,可讓安全性小組以視覺方式深入瞭解潛在的內部數據安全性事件,並內建用戶隱私權。 鑑識辨識項包含可自定義的事件觸發程式和內建的使用者隱私權保護控件,讓安全性小組能夠進一步調查、瞭解及回應潛在的內部數據風險,例如未經授權的數據外流敏感數據。

組織會自行設定正確的原則,包括哪些具風險的事件是擷取鑑識辨識項的最高優先順序,以及哪些數據最敏感。 鑑識辨識項預設為關閉,原則建立需要雙重授權,且用戶名稱可以使用假名化 (遮罩,這是測試人員風險管理) 默認開啟的。 在測試人員風險管理內設定原則和檢閱安全性警示,會利用強大的角色型訪問控制 (RBAC) ,確保組織中指定的個人採取適當的動作,並提供額外的稽核功能。

重要事項

Microsoft Purview 內部風險管理 相互關聯各種訊號,以識別潛在的惡意或意外內部風險,例如IP竊取、數據外泄和安全性違規。 內部風險管理可讓客戶建立原則來管理安全性與合規性。 根據設計使用隱私權建置,用戶預設會以假名化,且已備妥角色型訪問控制和稽核記錄,以協助確保用戶層級隱私權。

在組織中設定鑑識辨識項,類似於從內部風險管理原則範本設定其他原則。 一般而言,您將遵循相同的基本設定步驟來設定鑑識辨識項,但在開始使用基本設定步驟之前,有幾個區域需要功能特定的設定動作。

提示

開始使用 Microsoft Copilot for Security,探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的 Microsoft Copilot for Security

步驟 1:確認您的訂用帳戶並設定數據記憶體存取

開始使用鑑識辨識項之前,您應該確認內部 風險管理訂用帳戶 和任何附加元件。

此外,您需要將下列網域新增至防火牆和 Proxy 伺服器允許清單,以支援組織的鑑識辨識辨識項擷取記憶體:

全球 - 網域

- compliancedrive.microsoft.com
- *.events.data.microsoft.com
- officeclient.microsoft.com
- odc.officeapps.live.com
- hrd.svc.cloud.microsoft

GCC/GCC High - 網域

- *.compliancedrive.microsoft.us
- tb.events.data.microsoft.com
- officeclient.microsoft.com
- odc.officeapps.live.com
- hrd.svc.cloud.microsoft

DOD - 網域

- dod.compliancedrive.apps.mil
- pf.events.data.microsoft.com
- officeclient.microsoft.com
- odc.officeapps.live.com
- hrd.svc.cloud.microsoft

如需這些端點的詳細資訊, 請參閱 Microsoft 365 端點

注意事項

擷取和擷取數據會儲存在這些網域中,而且只會指派給您的組織。 沒有其他 Microsoft 365 組織可以存取貴組織的鑑識辨識項擷取。

鑑識辨識項數據會儲存在設定 Exchange Online Protection (EOP) 或交換區域的一個區域中。

步驟 2:設定支援的裝置

符合鑑識辨識項擷取資格的使用者裝置必須上線至 Microsoft Purview 合規性入口網站,而且必須安裝 Microsoft Purview 用戶端。

重要事項

Microsoft Purview 用戶端會自動收集與裝置設定和效能計量相關的一般診斷數據。 這包括重大錯誤、RAM 耗用量、進程失敗和其他數據的數據。 此數據可協助我們評估用戶端的健康情況,並找出任何問題。 如需如何使用診斷數據的詳細資訊,請參閱 Microsoft 產品條款上的搭配在線服務使用軟體。

如需裝置和設定需求的清單,請參 閱瞭解鑑識辨識項。 若要將支援的裝置上線,請完成將 Windows 10 和 Windows 11 裝置上線至 Microsoft 365 概觀一文中所述的步驟。

安裝 Microsoft Purview 用戶端

針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站

  1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。

  2. 移至 測試人員風險管理 解決方案。

  3. 選取左側導覽中的 [ 識辨識辨識項],然後選取 [ 用戶端安裝]

  4. 取 [下載安裝程式套件 (x64 版本) 以下載適用於 Windows 的安裝套件。

  5. 下載安裝套件之後,請使用您慣用的方法,在使用者的裝置上安裝用戶端。 這些選項可能包括手動在裝置或工具上安裝用戶端,以協助自動化用戶端安裝:

    • Microsoft Intune:Microsoft Intune 是管理所有裝置的整合式解決方案。 Microsoft 將 Configuration ManagerIntune 結合在一起,而不需要複雜的移轉,而且具有簡化的授權。
    • 第三方裝置管理解決方案:如果您的組織使用第三方裝置管理解決方案,請參閱這些工具的檔以安裝用戶端。

步驟 3:設定設定

鑑識辨識項有數個組態設定,可為擷取的安全性相關用戶活動類型、擷取參數、帶寬限制和脫機擷取選項提供彈性。 鑑識辨識項擷取可讓您只在幾個步驟中根據您的需求建立原則,並將使用者新增至原則需要雙重授權。

針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站

  1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。

  2. 移至 測試人員風險管理 解決方案。

  3. 選取左側導覽中的 [ 識辨識辨識項],然後選取 [ 鑑識辨識辨識項設定]

  4. 取 [鑑識辨識辨識項擷取 ],以在鑑識辨識項原則中啟用擷取支援。 如果稍後關閉此功能,這會移除所有先前新增的鑑識辨識項原則使用者。

    重要事項

    用來擷取使用者裝置上活動的 Microsoft Purview 用戶端,是根據 Microsoft 產品條款的使用軟體與在線服務來取得授權。 請注意,客戶必須完全負責使用內部風險管理解決方案,包括 Microsoft Purview 用戶端,以符合所有適用的法律。

  5. 在 [擷 取] 視窗 區段中,定義何時要啟動和停止活動擷取。 可用值為 10 秒30 秒1 分鐘3 分鐘5 分鐘

  6. 在 [ 上傳頻寬限制 ] 區段中,定義每天每個使用者要上傳至數據記憶體帳戶的擷取數據量。 可用的值為 100 MB250 MB500 MB1 GB2 GB

  7. [脫機擷取快取限制 ] 區段中,定義啟用脫機擷取時,要儲存在用戶裝置上的快取大小上限。 可用的值為 100 MB250 MB500 MB1 GB2 GB

  8. 選取 [儲存]

步驟 4:Create 原則

鑑識辨識項原則會定義要針對已設定裝置擷取的安全性相關用戶活動範圍。 擷取鑑識辨識項有兩個選項:

  • 只擷取特定活動 (例如列印或外泄檔案) 。 使用此選項,您可以選擇您想要擷取的裝置活動,而且原則只會擷取選取的活動。 您也可以選擇擷取特定傳統型應用程式和/或網站的活動。 如此一來,您就可以只專注於顯示風險的活動、應用程式和網站。
  • 擷取已核准的使用者在其裝置上執行的所有活動。 此選項通常用於特定的一段時間,例如,當特定使用者可能涉及可能導致安全性事件的風險活動時。 如果您選取此選項,則會自動包含所有鑑識辨識項指標,包括裝置指標和 增強式網路釣魚保護指標。 若要保留容量和用戶隱私權,您可以選擇從擷取中排除特定傳統型應用程式和/或網站,如下所述。

建立原則之後,您會將其包含在鑑識辨識項要求中,以控制要為要求已核准的使用者擷取的活動。

注意事項

連續鑑識原則 (擷取所有活動) 優先於選擇性鑑識辨識項原則, (只擷取特定活動) 。

僅擷取特定活動

針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站

  1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。

  2. 移至 測試人員風險管理 解決方案。

  3. 選取左側導覽中的 [ 鑑識辨識 辨識項],然後選取 [ 鑑識辨識辨識項原則]

  4. Create 取鑑識辨識項原則

  5. 在 [ 範圍] 頁面上,選取 [ 特定活動]。 此選項只會擷取使用者包含的原則所偵測到的活動。 這些活動是由鑑識辨識項原則中選取的指標所定義。 此選項的擷取將可在 [警示] 或 [案例] 儀錶板上的 [鑑識辨識辨識項 (預覽) ] 索引卷標上檢閱。

  6. 選取 [下一步]

  7. [名稱與訂閱] 頁面上,完成下列欄位:

    • 需要 (名稱) :輸入鑑識辨識項原則的易記名稱。 建立原則之後,就無法變更此名稱。
    • 描述 (選擇性) :輸入鑑識辨識項原則的描述。
  8. 選取 [下一步]

  9. 在 [ 選擇要擷取的裝置活動 ] 頁面上:

    1. 選取您想要擷取的任何裝置活動。 原則只會擷取選取的活動。

      注意事項

      如果無法選取指標,系統會提示您開啟指標。

    2. 您也可以選擇在原則中擷取特定桌面應用程式和/或網站的活動,方法是選取 [要擷取的應用程式和網頁瀏覽活動] 底下的 [開啟特定應用程式或網站] 複選框。

    重要事項

    如果您想要擷取瀏覽活動 (在鑑識辨識項原則中包含或排除特定 URL) ,請務必 安裝必要的瀏覽器擴充功能。 您也需要開啟至少一個瀏覽指標。 如果您尚未開啟一或多個瀏覽指標,如果您選擇包含或排除傳統型應用程式或網站,系統會提示您這麼做。 擷取瀏覽活動的觸發事件是URL列中的URL更新,其中包含指定的URL。

    1. 選取 [下一步]
  10. (選擇性) 如果您選擇擷取特定桌面應用程式和網站的活動,請在 [ 新增您想要擷取活動的應用程式和網站 ] 頁面中:

    1. 若要新增傳統型應用程式,請選取 [ 新增傳統型應用程式],輸入可執行檔的名稱 (例如 teams.exe) ,然後選取 [ 新增]。 針對您想要新增 (最多 25 個應用程式) 的每個傳統型應用程式重複此程式。 若要尋找應用程式的可執行檔名稱,請開啟任務管理員,然後檢視應用程式的屬性。 以下是一些常見應用程式的 exe 名稱清單:Microsoft Edge (msedge.exe) 、Microsoft Excel (Excel.exe) 、Snipping 工具 (SnippingTool.exe) 、Microsoft Teams (Teams.exe) 、Microsoft Word (WinWord.exe) 和 Microsoft 遠端桌面 Connection (mstsc.exe) 。

    注意事項

    有時候,應用程式的exe名稱可能會根據裝置和開啟應用程式的許可權而有所不同。 例如,在 Windows 11 企業裝置上,在沒有系統管理員許可權的情況下開啟 Windows PowerShell 時,會 WindowsTerminal.exe exe 名稱,但在以系統管理員許可權開啟時,exe 名稱會變更為 powershell.exe。 請務必在這類案例中包含/排除這兩個 exe 名稱。

    1. 若要新增 Web 應用程式或網站,請選取 [ 新增 Web 應用程式和網站],輸入 URL (例如) https://teams.microsoft.com ,然後選取 [ 新增]。 針對您想要新增的每個 Web 應用程式或網站重複此程式。 每個 URL 最多可以新增 25 個 URL,字元長度為 100。

    提示

    如果應用程式具有桌面和 Web 版本,請務必同時新增桌面可執行檔和 Web URL,以確保您擷取這兩者的活動。

    1. 選取 [下一步]
  11. 在 [ 檢閱設定和完成] 頁面上,檢閱您為原則選擇的設定,以及您選取專案的任何建議或警告。 編輯任何原則值,或選取 [提交 ] 以建立和啟用原則。

  12. 完成原則設定步驟之後,請繼續進行步驟 5。

擷取所有活動

針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站

  1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。

  2. 移至 測試人員風險管理 解決方案。

  3. 選取左側導覽中的 [ 鑑識辨識 辨識項],然後選取 [ 鑑識辨識辨識項原則]

  4. Create 辨識辨識項原則。

  5. 在 [ 範圍] 頁面上,選取 [ 所有活動]。 此選項會擷取使用者執行的任何活動。 此選項的擷取將可在 [用戶活動報告 ] (預覽) 儀錶板上的 [鑒識辨識辨識項 (預覽) ] 索引卷標上檢閱。

  6. 選取 [下一步]

  7. [名稱與訂閱] 頁面上,完成下列欄位:

    • 需要 (名稱) :輸入鑑識辨識項原則的易記名稱。 建立原則之後,就無法變更此名稱。
    • 描述 (選擇性) :輸入鑑識辨識項原則的描述。
  8. 選取 [下一步]

  9. 在 [ 選擇要擷取的裝置活動 ] 頁面上,如果您想要從擷取中排除特定桌面應用程式和/或 Web 應用程式或網站,請在 [要擷取 的應用程式和網頁瀏覽活動] 下,選取 [ 排除特定應用程式或網站] 複選框。

  10. 選取 [下一步]

  11. 如果您選擇從擷取中排除特定傳統型應用程式和網站,請在 [ 排除應用程式/URL] 頁面中:

    • 若要從擷取中排除傳統型應用程式,請選取 [ 排除傳統型應用程式],輸入可執行檔的名稱 (例如 teams.exe) ,然後選取 [ 新增]。 針對您想要排除的每個傳統型應用程式重複此程式 (最多 25 個應用程式) 。 若要尋找應用程式的可執行檔名稱,請開啟任務管理員,然後檢視應用程式的屬性。
    • 若要排除 Web 應用程式或網站,請選取 [排除 Web 應用程式和網站],輸入 URL (例如) https://teams.microsoft.com ,然後選取 [ 新增]。 針對您想要排除的每個 Web 應用程式或網站重複此程式。 每個 URL 最多可以排除 25 個字元長度為 100 的 URL。

    提示

    如果應用程式具有桌面和 Web 版本,請務必同時新增桌面可執行檔和 Web URL,以確定您同時排除這兩者。

  12. 在 [ 檢閱設定和完成] 頁面上,檢閱您為原則選擇的設定,以及您選取專案的任何建議或警告。 編輯任何原則值,或選取 [提交 ] 以建立和啟用原則。

  13. 完成原則設定步驟之後,請繼續進行步驟 5。

步驟 5:定義和核准擷取的使用者

在擷取安全性相關的用戶活動之前,系統管理員必須遵循鑑識辨識項中的雙重授權程式。 此程式會要求貴組織中的適用人員定義並核准為特定使用者啟用視覺擷取。

您必須要求為特定使用者啟用鑑識辨識項擷取。 提交要求時,組織中的核准者會在電子郵件中收到通知,而且可以核准或拒絕要求。 如果核准,使用者會出現在 [ 已核准的使用者 ] 索引標籤上,並符合擷取的資格。 如需詳細資訊,請參閱下列連結:

後續步驟

設定鑑識辨識辨識項原則之後,可能需要兩小時的時間來強制執行原則,因為 (安裝在端點裝置上的鑑識辨識辨識項用戶端) 上線。 當用戶端擷取剪輯時,最多可能需要一小時的時間才能檢閱剪輯。 如需有關管理鑑識辨識項和檢閱剪輯擷取的詳細資訊,請參閱 管理信息風險管理鑑識辨識項 一文。