将 Exchange 数据丢失防护策略迁移到Microsoft Purview 合规门户

exchange 数据丢失防护 (DLP) 策略 已被弃用。 Microsoft Purview 合规门户中提供了更丰富的 DLP 功能,包括 Exchange DLP。 可以使用 DLP 策略迁移向导来帮助将 Exchange DLP 策略转到要管理它们的合规性门户。

迁移向导的工作原理是读取 Exchange 中 DLP 策略的配置,然后在合规性门户中创建重复策略。 默认情况下,向导会在 模拟模式下运行策略中创建策略的新版本,以便你无需强制执行任何操作即可查看它们在环境中产生的影响。 准备好完全过渡到合规性门户版本后, 必须

  1. 在 Exchange 管理员 中心 (EAC) 中停用或删除源策略。
  2. 编辑策略的合规性门户版本,并将其状态从“在模拟模式下运行策略”更改为“立即打开”模式。

警告

如果在将合规性中心版本设置为 “强制实施 ”之前未删除或停用 EAC 中的源策略,则会尝试强制实施操作,并且将收到重复事件。 这是不支持的配置。

迁移向导仅迁移 Exchange DLP 策略和关联的邮件流规则。 不迁移独立 Exchange 邮件流规则。

提示

开始使用 Microsoft Copilot for Security,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的安全性Microsoft Copilot

迁移工作流

将 DLP 策略从 Exchange 迁移到合规性门户中的统一 DLP 管理控制台有四个阶段。

  1. 准备迁移
    1. 评估并比较EXCHANGE ONLINE (EXO) DLP 策略和合规性门户 DLP 策略,以获取重复功能。
    2. 确定要完全按原样引入的 EXO DLP 策略,可以使用向导迁移这些策略。
    3. 确定要在 Exchange 管理中心合并和合并哪些 EXO DLP 策略,然后使用迁移向导将它们引入合规性门户。
  2. 执行迁移 - 使用向导
  3. 测试和验证 - 检查结果
  4. 激活迁移的策略

开始之前

SKU/订阅和许可

在开始使用 DLP 策略之前,请确认 Microsoft 365 订阅 和任何加载项。

有关许可的信息,请参阅 Microsoft 365、Office 365、企业移动性 + 安全性 和 Windows 11 企业订阅

权限

用于运行迁移向导的帐户必须有权访问合规性门户中的 Exchange 管理员 控制台 DLP 页和统一 DLP 控制台。

准备迁移

  1. 如果不熟悉 DLP、合规性门户 DLP 控制台或 Exchange 管理员中心 DLP 控制台,则应在尝试策略迁移之前熟悉自己。
    1. Exchange Online数据丢失防护 (DLP) 策略
    2. 了解终结点数据丢失防护
    3. 创建和部署数据丢失防护策略
  2. 通过提出以下问题来评估 Exchange DLP 和合规性门户策略:
问题 操作 迁移过程
是否仍需要该策略? 如果没有,请将其删除或停用 不迁移
它是否与任何其他 Exchange 或合规性门户 DLP 策略重叠? 如果是,是否可以合并重叠的策略? - 如果它与另一个 Exchange 策略重叠,请在 Exchange 管理员 中心手动创建合并的 DLP 策略,然后使用迁移向导。
- 如果它与现有合规性门户策略重叠,则可以修改现有合规性门户策略以匹配,请勿迁移 Exchange 版本
Exchange DLP 策略的范围是否严格,是否具有明确定义的条件、操作、包含和排除项? 如果是,使用向导迁移是一个很好的候选项,请记下策略,以便你以后记得回来删除它 使用向导迁移

迁移

评估了所有 Exchange 和合规性门户 DLP 策略的需求和兼容性后,可以使用迁移向导。

为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 登录到 Microsoft Purview 门户

  2. 如果有可迁移的 Exchange DLP 策略,页面顶部将显示一个横幅,告知你。

  3. 选择横幅中的“ 迁移策略 ”以打开迁移向导。 列出了所有 Exchange DLP 策略。 无法选择以前迁移的策略。

  4. 选择要迁移的策略。 可以使用分阶段方法单独迁移或分组迁移它们,也可以一次性迁移所有这些方法。 选择 下一步

  5. 查看浮出控件窗格是否有任何警告或消息。 在继续操作之前,请解决任何问题。

  6. 选择要在其中创建新合规性门户策略的模式, 立即将其打开在模拟模式下运行策略,或 将其关闭。 默认值为 “在模拟模式下运行策略”。 选择 下一步

  7. 可以创建更多基于其他统一 DLP 位置的 Exchange DLP 策略的策略。 这将为迁移的 Exchange 策略生成一个新的统一 DLP 策略,并为在此处选择的任何其他位置生成一个新的统一 DLP 策略。

重要

其他 DLP 位置(如设备、SharePoint、OneDrive、本地、MCAS 或 Teams 聊天和频道消息)不支持的任何 Exchange DLP 策略条件和操作都将从附加策略中删除。 此外,还必须为其他位置完成前期工作。 请参阅:

  1. 查看迁移向导会话设置。 选择 下一步
  2. 查看迁移报告。 请注意涉及 Exchange 邮件流规则的任何故障。 可以修复它们并重新移送关联的策略。

迁移的策略现在将显示在合规性门户 DLP 控制台中的 DLP 策略列表中。

常见错误和缓解措施

错误消息 Reason 缓解措施/建议的步骤
方案 () 中已存在名称为 <Name of the policy>Dlp符合性策略。 此策略迁移可能已提前完成,然后在同一会话中重新尝试。 刷新会话以更新可用于迁移的策略列表。 以前迁移的所有策略都应处于 状态 Already migrated
方案 () 中已存在名称为 <Name of the policy>Hold符合性策略。 同一租户中存在同一名称的保留策略。 - 将 EAC 中的 DLP 策略重命名为其他名称。
- 重试迁移受影响的策略。
DLP-group@contoso.com 不能用作条件的值, Shared By 因为它是通讯组或已启用邮件的安全组。 使用 Shared by Member of 谓词检测特定组成员的活动。 传输规则允许在条件中使用组, sender is 但统一 DLP 不允许。 更新传输规则以从条件中删除所有组电子邮件地址, sender is 并在必要时将组添加到 sender is a member of 条件。 重试迁移受影响的策略
找不到收件人 DLP-group@contoso.com。 如果新建,请在一段时间后重试操作。 如果已删除或已过期,请使用有效值重置它,然后重试。 在 或 recipient is a member of 条件中使用的sender is a member of组地址可能已过期或无效。 - 删除/替换 Exchange 管理中心传输规则中的所有无效组电子邮件地址。
- 重试迁移受影响的策略。
谓词中指定的 FromMemberOf 值必须是启用邮件的安全组。 传输规则允许在条件中使用 sender is a member of 单个用户;但是,统一 DLP 不允许使用该规则。 - 更新传输规则以从条件中删除所有单独的用户电子邮件地址, sender is a member of 并在必要时将用户添加到条件 sender is
- 重试迁移受影响的策略。
谓词中指定的 SentToMemberOf 值必须是启用邮件的安全组。 传输规则允许在 条件下使用单个用户, recipient is a member of 但统一 DLP 不允许使用。 - 更新传输规则以从条件中删除所有单独的用户电子邮件地址, recipient is a member of 并在必要时将用户添加到条件 recipient is
- 重试迁移受影响的策略。
<Name of condition>仅 Exchange 支持使用 参数。 删除此参数或仅启用 Exchange 位置。 合规性门户中可能存在另一个名称相同的策略,而其他位置(如 SPO/ODB/Teams)不支持上述条件。 在 Exchange 管理中心中重命名 DLP 策略,然后重试迁移。

测试和验证

测试和查看策略。

  1. 按照 模拟模式入门测试 DLP 策略 过程中的过程进行操作。
  2. 在模拟模式下查看策略创建的事件,仪表板策略和活动资源管理器中。

查看 Exchange 管理员 Center DLP 与 Microsoft Purview 统一 DLP 之间的策略匹配

为了确保迁移的策略按预期方式运行,可以从两个管理中心导出报表,并比较策略匹配项。

  1. 连接到 Exchange Online PowerShell

  2. 导出 EAC DLP 报表。 可以复制此 cmdlet 并插入相应的值:

    Get-MailDetailDlpPolicyReport -StartDate <dd/mm/yyyy -EndDate <dd/mm/yyyy> -PageSize 5000 | select Date, MessageId, DlpPolicy, TransportRule -Unique | Export-CSV <"C:\path\filename.csv">
    
  3. 导出 统一 DLP 报表。 可以复制此 cmdlet 并插入相应的值:

    Get-DlpDetailReport -StartDate <dd/mm/yyyy> -EndDate <dd/mm/yyyy> -PageSize 5000 | select Date, Location, DlpCompliancePolicy, DlpComplianceRule -Unique | Export-CSV <"C:\path\filename.csv">
    

激活迁移的策略

对迁移的策略运行方式感到满意后,可以将其设置为 “强制实施”。

  1. 打开 Exchange 管理员中心 DLP 控制台。
  2. 停用或删除源策略。
  3. 打开Microsoft Purview 合规门户 DLP 控制台,然后选择要激活的策略进行编辑。
  4. 将状态更改为 “打开”。