教程：通过管理员隔离区保护文件

文件策略工具非常适用于查找对信息保护策略的威胁。 例如，创建文件策略，在云中查找用户存储敏感信息的位置、信用卡号码和第三方 ICAP 文件。

本教程可帮助你使用 Microsoft Defender for Cloud Apps 来检测存储在云中且使你容易受到攻击的不必要的文件，并且立即采取操作，停止并锁定构成威胁的文件，通过使用管理员隔离区来保护云端的文件、修复问题并防止以后再出现信息泄露。

• 了解隔离的工作原理
• 设置管理员隔离区

重要

从 2024 年 9 月 1 日起，我们将弃用 Microsoft Defender for Cloud Apps 中的文件页。 此时，请创建并修改信息保护策略，并从云应用 > 策略 > 策略管理页查找恶意软件文件。 有关详细信息，请参阅 Microsoft Defender for Cloud Apps 中的文件策略。

了解隔离的工作原理

注意

• 有关支持管理员隔离区的应用列表，请参阅治理操作列表。
• Defender for Cloud Apps 标记的文件无法隔离。
• Defender for Cloud Apps 管理员隔离区操作限制为每天 100 次操作。
• 直接重命名或作为域重命名的一部分的 Sharepoint 网站不能用作管理员隔离区的文件夹位置。

1. 当文件与策略匹配时，“管理员隔离区”选项可用于文件。

2. 执行以下操作之一来隔离文件：

   • 手动应用“管理员隔离区”操作：

     

   • 在策略中将其设置为自动隔离操作：

     

3. 当应用“管理员隔离区”时，在后台会发生以下情况：

   1. 原始文件会移动到你设置的管理员隔离区文件夹。

   2. 原始文件已删除。

   3. 逻辑删除文件会上传到原始文件位置。

      

   4. 用户只能访问逻辑删除文件。 在该文件中，他们可以阅读 IT 部门提供的自定义准则并获取要提供给 IT 部门以释放文件的相关 ID。

4. 收到文件已隔离的警报时，请转到策略 -->策略管理。 然后选择信息保护选项卡。在包含文件策略的行中，选择行末尾的三个点，然后选择查看所有匹配项。 这会提供匹配项报告，可在其中查看匹配和隔离的文件：

   

5. 隔离文件后，可使用以下流程来修正威胁情况：

   1. 联机检查 SharePoint 上隔离文件夹中的文件。
   2. 此外，还可以查看审核日志，深入了解文件属性。
   3. 如果发现文件违反公司策略，请运行组织的事件响应 (IR) 进程。
   4. 如果发现文件没有危害，可以从隔离区还原该文件。 此时将释放原始文件，也就是将其复制回原始位置，删除逻辑删除，并且用户可以访问该文件。

   

6. 验证策略是否正常运行。 然后可以使用策略中的自动治理操作来防止进一步的泄露，并在策略匹配时自动应用管理员隔离区。

注意

还原文件时：

• 不会还原原始共享，应用默认的文件夹继承。
• 还原的文件仅包含最新版本。
• 客户负责隔离区文件夹站点的访问管理。

设置管理员隔离区

1. 设置检测安全漏洞的文件策略。 此类策略的示例包括：

   • 仅元数据策略，例如 SharePoint Online 中的敏感度标签
   • 本机 DLP 策略，例如搜索信用卡号的策略
   • ICAP 第三方策略，例如查找 Vontu 的策略

2. 设置隔离位置：

   1. 对于 Office 365 SharePoint 或 OneDrive for Business，作为策略的一部分，在完成设置之前，无法将文件放在管理员隔离区中：

      要进行管理员隔离区设置，请在 Microsoft Defender 门户中选择“设置”。 然后选择“云应用”。 在信息保护下，选择管理员隔离区。 提供隔离区文件夹位置的站点，以及在隔离用户文件时用户将收到的用户通知。

      注意

      Defender for Cloud Apps 将在所选站点上创建隔离区文件夹。

   2. 对于 Box，无法自定义隔离文件夹位置和用户消息。 文件夹位置是将 Box 连接到 Defender for Cloud Apps 的管理员的驱动器，并且用户消息为：已将此文件隔离到管理员驱动器，因为它可能违反了公司的安全和合规性策略。 请联系 IT 管理员寻求帮助。

后续步骤

保护组织的最佳做法

如果遇到任何问题，我们可以提供帮助。 要获取产品问题的帮助或支持，请开立支持票证。