Exchange Online中的数据丢失防护

项目
04/04/2023

注意

Exchange 管理中心中的旧Exchange Online数据丢失防护正在弃用。建议在Microsoft Purview 合规门户中创建 DLP 策略。有关此 DLP 的详细信息，请参阅了解数据丢失防护。

从 2022 年 4 月 1 日起，管理员将无法再在经典 Exchange 管理中心中对 DLP 策略进行配置更改。现有规则将继续按原样工作。
从 2022 年 8 月 1 日起，经典 Exchange 管理中心中的 DLP 策略管理体验将停用。管理员仍可以使用邮件流规则 (传输规则) 体验在只读模式下查看关联的规则。

可以使用迁移向导轻松迁移旧版Exchange Online DLP 策略。有关详细信息，请参阅将Exchange Online数据丢失防护策略迁移到Microsoft Purview 合规门户。

GCC-H 和 DoD 特殊云的详细时间线将单独传达。

了解Exchange Online中的 DLP 策略，包括它们包含的内容以及如何测试它们。您还将了解 Exchange DLP 中的新增功能。

由于将电子邮件大量用于包含敏感数据的业务关键通信，因此数据丢失预防 (DLP) 是企业邮件系统的一个重要问题。为了强制执行针对这类数据的遵从性要求并管理这类数据在电子邮件中的使用（而不影响工作人员的工作效率），DLP 功能使敏感数据的管理比以往更加简单。有关 DLP 的概念概述，请观看以下视频。

DLP 策略是包含条件集的简单数据包，这些数据包由邮件流规则（也称为传输规则）条件、例外和操作组成，而这些条件、例外和操作都是在 Exchange 管理中心 (EAC) 中创建，并激活以筛选邮件消息和附件。可以创建 DLP 策略，但选择不激活它。这使您可以测试策略而不影响邮件流。 DLP 策略可以使用现有邮件流规则的完整功能。事实上，为了完成新的 DLP 功能，Exchange Online中创建了许多新的邮件流规则类型。邮件流规则的一个重要新功能是提供了一种对可以并入到邮件流处理中的敏感信息进行分类的新方法。此新 DLP 功能通过关键字匹配、字典匹配、正则表达式计算和其他内容检查来执行深度内容分析，以检测违反组织 DLP 策略的内容。关于邮件流规则的详细信息，请参阅 Exchange Online 中的邮件流规则（传输规则），以及在 Exchange Online 中合并敏感信息规则和邮件流规则。您也可以使用 Exchange PowerShell 的 Exchange Online PowerShell cmdlets 管理 DLP 策略。

除了可自定义的 DLP 策略本身之外，还可以通知电子邮件发件人他们可能将违反一个策略，这一操作甚至在发送有问题的邮件之前即可执行。您可以通过配置策略提示来实现这点。策略提示类似于邮件提示，可配置为在 Microsoft Outlook 2013 客户端中提供简短说明，提供有关邮件创建者可能违反策略的信息。在 Exchange Online 中，策略提示还显示在以前称为 Outlook Web App) 和 OWA for Devices 的Outlook 网页版 (中。有关详细信息，请参阅策略提示。

注意

Exchange Online DLP 是一项高级功能。有关详细信息，请参阅 Exchange Online 许可、Exchange Online 服务说明以及 Exchange Online Protection 服务说明。

混合部署中本地用户之间发送的消息没有应用 Exchange Online DLP 策略，因为这些消息没有脱离本地基础结构。

制定保护敏感数据的策略

数据丢失防护可以帮助您标识和监视已在策略条件中定义的许多敏感信息类别，如私人身份证号码或信用卡号码。可以选择定义自己的自定义策略和邮件流规则，或使用 Microsoft 提供的预定义 DLP 策略模板来快速开始。有关包含的策略模板的详细信息，请参阅在 Exchange 中提供的 DLP 策略模板。策略模板包含一些您可以选择的条件、规则和操作，以便创建并保存可帮助您检查邮件的实际 DLP 策略。策略模板是一些模型，您可以选择这些模型或用于构建自己的特定规则，以创建满足您的数据丢失防护需求的策略。

可通过三种不同的方法开始使用 DLP：

应用 Microsoft 提供的现成模板：开始使用 DLP 策略的最快速方式是使用模板创建并实施新策略。这可使您省去从头构建新规则集的工作。您需要了解要检查的数据类型或是尝试应对的遵从性法规。您还需要了解处理这类数据的组织期望。有关详细信息，请参阅在 Exchange 中提供的 DLP 策略模板和从模板创建 DLP 策略。
从组织外部导入预生成的策略文件：您可以导入独立软件供应商已在邮件环境外部创建的策略。通过此方式可以扩展 DLP 解决方案以满足您的业务要求。
创建没有任何预先存在的条件的自定义策略：您的企业可能具有自己的要求来监视邮件系统内已知存在的特定数据类型。可以完全自己创建自定义策略，以便开始对自己独有的邮件数据进行检查和操作。需要了解在其中强制执行 DLP 策略的环境的要求和约束，以便创建这类自定义策略。有关详细信息，请参阅创建自定义 DLP 策略。

在添加了策略之后，可以查看和更改其规则、使策略处于不活动状态或完全删除它。

DLP 策略中的敏感信息类型

创建或更改 DLP 策略时，可以包含具有敏感信息检查的规则。敏感信息类型实体定义主题中列出的敏感信息类型可用于策略。在策略中建立的条件（如在执行某个操作之前必须发现某种内容的次数或是该操作的具体内容）可以在新自定义策略中进行自定义，以便满足特定策略要求。有关创建 DLP 策略的详细信息，请参阅创建自定义 DLP 策略。有关全套邮件流规则的详细信息，请参阅 Exchange Online 中的邮件流规则（传输规则）。

为了方便您使用敏感信息相关的规则，Microsoft 提供了已包括一些敏感信息类型的策略模板。但是，不能将此处列出的所有敏感信息类型的条件添加到策略模板，因为这些模板旨在帮助你专注于组织中最常见的与合规性相关的数据类型。有关预先生成的模板的详细信息，请参阅在 Exchange 中提供的 DLP 策略模板。可以为组织创建大量 DLP 策略并全部启用，以便检查许多不同类型的信息。还可以创建不基于现有模板的 DLP 策略。若要开始创建这样一个策略，请参阅创建自定义 DLP 策略。有关敏感信息类型的详细信息，请参阅敏感信息类型实体定义。

策略提示向用户通知敏感内容预期

您可以使用策略提示通知邮件在电子邮件发件人撰写电子邮件时通知他们可能的遵从性问题。在 DLP 策略中配置策略提示时，只有在发件人电子邮件中的某些内容符合策略中描述的条件时才显示通知邮件。策略提示类似于 Microsoft Exchange 2010 中引入的邮件提示。有关详细信息，请参阅策略提示。

与传统邮件分类一起检测敏感信息

与传统邮件分类相比，Exchange Online提供了一种有助于管理邮件和附件数据的新方法。 DLP 解决方案强大之处的一个重要因素是能够正确标识可能对组织、法规需求、地理位置或其他业务需求独有的机密或敏感内容。 Exchange Online可以使用新的体系结构进行深入内容分析，并结合通过 DLP 策略中的规则建立的检测条件来实现此目的。帮助防止Exchange Online数据丢失取决于配置正确的敏感信息规则集，以便它们提供高度的保护，同时尽量减少误报和负数的不当邮件流中断。这些类型的规则在整个 DLP 信息内称为敏感信息检测，在邮件流规则提供的框架内工作以便启用 DLP 功能。

有关这些新功能的详细信息，请参阅将敏感信息规则与 Exchange Online 邮件流规则集成。传统邮件分类字段仍可应用于 Exchange 中的邮件，这些字段也可与新敏感信息检测一起组合到单个 DLP 策略，或并发运行以便在 Exchange 内单独对它们进行评估。若要详细了解旧版 Exchange 2010 邮件分类，请参阅了解邮件分类。

安装先决条件

为了使用 DLP 功能，必须至少拥有一个配置了 Exchange Online 计划 2 的邮箱。有关详细信息，请参阅 Exchange Online 服务说明。