通信合规性入门

重要

Microsoft Purview 通信合规性提供的工具可帮助组织检测法规合规性 (例如 SEC 或 FINRA) 和业务行为违规行为，例如敏感或机密信息、骚扰或威胁性语言以及成人内容的共享。 通信合规性是在设计上以隐私为构建的。 用户名默认为假名，内置基于角色的访问控制，管理员选择调查人员，审核日志已到位，以帮助确保用户级隐私。

使用通信合规性策略识别内部或外部审阅者分析的用户通信。 有关通信合规性策略如何帮助你检测组织中的通信的详细信息，请参阅 通信合规性策略。 若要查看 Contoso 如何快速配置通信合规性策略以检测Microsoft Teams、Exchange Online和Viva Engage通信中的潜在不适当内容，检查此案例研究。

订阅和计费

在开始使用通信合规性之前，请确认 Microsoft 365 订阅 和任何加载项。 若要访问和使用通信合规性，管理员需要验证其组织是否具有受支持的订阅以及用户是否分配了相应的许可证。 有关订阅和许可的详细信息，请参阅通信合规性的 订阅要求 。

此外，若要检测非Microsoft 365 AI 数据的不适当或有风险的交互，需要在组织中启用 即用即付计费 。 非Microsoft 365 AI 数据包括来自Microsoft和连接的外部 AI 应用程序的其他生成 AI 应用程序的信息。 此数据类型包括 Microsoft Fabric 中的 Copilot、智能 Microsoft Security Copilot 副驾驶®、Microsoft Copilot Studio，以及任何连接或云 AI 应用程序。 Microsoft 365 检测智能 Microsoft 365 Copilot 副驾驶®数据不适当或有风险的交互时，没有任何即用即付计费要求或费用。

重要

通信合规性目前适用于托管在地理区域和受Azure服务依赖项支持的国家/地区的租户。 若要验证组织是否支持通信合规性，请参阅按国家/地区Azure依赖项可用性。

此功能使用即用即付计费或每用户许可Microsoft Purview 功能或两者兼有。 为了帮助你了解和管理使用情况，Microsoft Purview 在 Microsoft Purview 门户中提供了一个 使用情况中心 。 有关详细信息，请参阅 管理即用即付和每用户许可使用情况。

建议的操作

建议的作可帮助组织快速开始实现通信合规性。 建议的作包含在“ 概述 ”页上，可帮助你完成配置和部署策略的步骤。

以下建议可帮助你开始并最大化通信合规性配置：

• 了解通信合规性：在完成设置之前，请查看我们的官方文档，了解、规划和部署组织中的通信合规性。
• 分配权限以确保团队能够完成工作：通过分配负责管理通信合规性功能以及调查和查看警报的团队成员，确保只有适当的利益干系人才能访问解决方案。
• 为要检测其通信的用户创建通讯组：创建包含通信合规性策略中包含的用户的通讯组。
• 创建第一个策略以开始检测通信：通过首先设置一个策略来识别组织内部和/或外部通信中的潜在违规，来检测和调查潜在的法规合规性违规行为。
• 查看警报以调查检测到的消息并采取措施：识别和分析与策略条件匹配的消息，以触发提供策略冲突上下文的警报，以便根据需要进行调查并采取措施。
• 查看报表，快速了解策略的执行情况：快速了解策略的执行情况，查看详细报告以进一步向下钻取，并导出结果以供进一步分析。

通信合规性中的每个作都有三个属性：

• 作：建议作的名称和说明。
• 建议、必需或可选：建议的作是强烈建议的、必需的还是可选的，以便通信合规性功能按预期运行。
• 估计完成时间：完成建议作的估计时间（以分钟为单位）。

从列表中选择建议，开始配置通信合规性。 每项推荐操作都会指导完成建议所需的活动，包括任何要求、预期内容以及在组织中配置功能的影响。 配置后，某些建议的作会自动标记为已完成。 如果不是，请在配置后手动选择作作为“完成”。

“策略”页上的建议作见解有助于汇总组织中的通信中当前的敏感信息类型和潜在的法规合规性冲突。 数据分类 以及敏感度标签、保留标签和敏感信息类型分类的应用支持这些见解。 这些见解是聚合的，不包含组织中用户的任何个人数据。

消息中的活动通过 可训练分类器类型 从使用 检测不当文本 策略模板或使用分类器的自定义策略的现有策略聚合。 在策略的警报仪表板上调查这些消息的警报。

涉及 敏感信息类型的 活动在现有策略涵盖的消息和现有策略未涵盖的消息中检测。 无法调查和修正现有策略未涵盖的见解消息，必须创建新策略来检测和修正将来消息中的类似活动。 所有敏感信息类型的见解聚合，包括组织之前未在现有通信合规性策略中定义的类型。 使用这些见解创建新的通信合规性策略或更新现有策略。 创建新策略后，此策略的消息警报可能与类似见解中标识的消息数量相等，也可能不匹配。 策略可能具有不同的条件、包含的用户数不同，并且仅检测在策略处于活动状态后发生的消息活动。

提示

若要禁用建议的作见解的显示，请使用 Microsoft 支持部门 打开请求。

步骤 1 (所需的) ：分配通信合规性的权限

若要在 Microsoft Purview 门户中使用任何与通信合规性相关的工具，用户需要相应的权限。 分配角色的最简单方法是将用户添加到 Microsoft Purview 门户的“角色组”页上的相应角色组。

有关分步指南，请参阅 在通信合规性中分配权限。

步骤 2（必选）：启用审核日志

通信合规性要求审核日志显示审阅者采取的警报和日志修正作。 审核日志汇总与定义的组织策略或通信合规性策略更改时关联的所有活动。

默认情况下，为 Microsoft 365 组织启用审核。 某些组织可能会出于特定原因禁用审核。 如果为组织禁用了审核，则其他管理员可能已将其关闭。 完成此步骤后，建议确认可以重新启用审核。

有关启用审核的逐步操作说明，请参阅 打开或关闭审核日志搜索。 打开审核之后，将显示一条消息，内容为正在准备审核日志，你可以在准备完成后几个小时内运行搜索。 只需执行此作一次。 有关使用审核日志的详细信息，请参阅 搜索审核日志。

步骤 3 (可选) ：为通信合规性设置组

创建通信合规性策略时，可以定义谁审阅了通信以及执行评审的人员。 在策略中，使用电子邮件地址标识个人或组。 若要简化设置，可以为接受通信审阅的人员创建组，也可以为审阅这些通信的人员创建组。 如果使用组，可能需要多个组。 例如，如果要检测两组不同人员之间的通信，或者想要指定一个不会限定范围的组，则可能需要多个组。

使用下图可帮助你为组织中的组配置通信合规性策略：

策略成员	支持的组	不支持的组
限定范围的用户 排除的用户	通讯组 Microsoft 365 组 启用邮件的安全组	动态通讯组 共享邮箱 嵌套通讯组 具有动态成员身份的Microsoft 365 组
审阅者	无	通讯组 动态通讯组 嵌套通讯组 启用邮件的安全组

在策略中分配 通讯组 时，该策略将检测 来自通讯组每个用户的所有电子邮件和 Teams 聊天。 在策略中分配 Microsoft 365 组 时，该策略将检测发送到 Microsoft 365 组的所有电子邮件和 Teams 聊天*，而不是每个组成员收到的单个电子邮件和聊天*。 建议在通信合规性策略中使用通讯组，以便自动检测每个用户的单个电子邮件和 Teams 聊天。

提示

若要实现更灵活的配置并减少管理开销，请考虑使用 自适应范围 而不是通讯组。

如果你是具有 Exchange 本地部署或外部电子邮件提供商的组织，并且想要检测用户的Microsoft Teams 聊天，则必须为具有本地或外部邮箱的用户创建通讯组。 在这些步骤的后面部分，将使用策略工作流中的 “选择用户和组” 选择来分配此通讯组。 有关为本地用户启用基于云的存储和 Teams 支持的要求和限制的详细信息，请参阅 搜索和导出本地用户的 Teams 聊天数据。

若要管理大型企业组织中的作用域内用户，可能需要检测跨大型组的所有用户的消息。 可以使用 PowerShell 为分配的组配置全局通信合规性策略的通讯组。 通过此配置，可以使用单个策略检测数千个用户的消息，并在新员工加入组织时更新通信合规性策略。

1. 使用以下属性为全局通信合规性策略创建专用通讯组：请确保不要将此通讯组用于其他目的或其他Office 365服务。

   • MemberDepartRestriction = Closed。 确保用户无法从通讯组中删除自己。
   • MemberJoinRestriction = Closed。 确保用户无法将自己添加到通讯组。
   • ModerationEnabled = True。 确保发送到此组的所有消息都经过批准，并且该组未用于通信合规性策略配置之外的通信。

   New-DistributionGroup -Name <your group name> -Alias <your group alias> -MemberDepartRestriction 'Closed' -MemberJoinRestriction 'Closed' -ModerationEnabled $true
   

2. 选择未使用的 Exchange 自定义属性 ，以记录添加到组织中的通信合规性策略的用户。

3. 按定期计划运行以下 PowerShell 脚本，将用户添加到通信合规性策略：

   $Mbx = (Get-Mailbox -RecipientTypeDetails UserMailbox -ResultSize Unlimited -Filter {CustomAttribute9 -eq $Null})
   $i = 0
   ForEach ($M in $Mbx)
   {
     Write-Host "Adding" $M.DisplayName
     Add-DistributionGroupMember -Identity <your group name> -Member $M.DistinguishedName -ErrorAction SilentlyContinue
     Set-Mailbox -Identity $M.Alias -<your custom attribute name> SRAdded
     $i++
   }
   Write-Host $i "Mailboxes added to supervisory review distribution group."
   

有关设置组的详细信息，请参阅：

• 创建和管理通讯组
• Microsoft 365 组概述

步骤 4 (可选) ：验证Viva Engage租户是否处于本机模式

在本机模式下，所有Viva Engage用户都处于Microsoft Entra ID，所有组都Microsoft 365 组，所有文件都存储在 SharePoint Online 中。 Viva Engage租户必须处于通信合规性策略的本机模式，以检查和识别Viva Engage中私人消息和社区对话中的风险对话。

有关在本机模式下配置Viva Engage的详细信息，请参阅：

• Microsoft 365 中的Viva Engage本机模式概述
• 为 Microsoft 365 的本机模式配置Viva Engage网络

步骤 5 (所需的) ：创建通信合规性策略

可以通过从多个 策略模板中进行选择来快速创建通信合规性策略，也可以创建自定义策略。

重要

如果角色 由一个或多个管理单元限定，则无法基于模板创建策略。 但是，可以 创建自定义策略。

从模板创建策略时，系统会根据所选模板自动为你选择许多设置。 最后一步是，如果要更改任何设置，可以自定义策略。

创建自定义策略时，可以自行选择所有设置。

从模板创建策略

1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户 。

2. 转到通信合规性解决方案。

3. 在左侧导航栏中选择“ 策略 ”。

4. 选择“ 创建策略”，然后选择其中一个策略模板。 例如，选择“ 检测不适当的文本”。

5. 在屏幕右侧的窗格中：

   1. 在 “策略名称” 字段中，确认或更新策略名称。 创建策略后，无法更改策略名称。
   2. 在 “范围中的用户或组 ”字段中，选择要应用策略的用户或组。 如果选择“ 检测利益冲突 ”模板，请选择两个作用域内组或两个作用域内用户来检测内部通信。
   3. 在 “审阅者” 字段中，选择策略的审阅者。 在此字段中添加的审阅者是在调查和修正工作流中上报警报时可以选择的审阅者。 将审阅者添加到策略时，他们会自动收到一封电子邮件，通知他们分配策略并链接到有关评审过程的信息。 审阅者是单个用户，所有审阅者都必须拥有在 Exchange Online 上托管的邮箱。
   4. 查看根据所选模板自动选择的设置列表。 若要自定义任何设置，请选择“ 自定义策略”，然后进行所需的更改。 如果一切正常，请选择“ 创建策略”。

   注意

   若要启用 光学字符识别 (OCR) 以识别邮件中与策略条件匹配的打印文本或手写文本的嵌入或附加图像，请选择“ 自定义策略”，然后在“ 选择条件和百分比 ”页上，选中“ 使用 OCR 从图像中提取文本 ”复选框。

创建自定义策略

1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户 。

2. 转到通信合规性解决方案。

3. 在左侧导航栏中选择“ 策略 ”。

4. 选择 “创建策略”，然后选择“ 自定义策略”。

5. 在 “名称和描述策略 ”页上，输入 (所需的) 名称和说明 (策略的可选) 。 创建策略名称后，无法更改它。 完成后，选择“ 下一步 ”。

6. 如果组织存在一个或多个管理单元，则会看到管理员单元 (预览) 页。 否则，你将看到“ 选择用户和审阅者 ”页面， (下一步) 和横幅，其中包含有关管理单元的详细信息的链接。

   若要将策略范围限定为一个或多个管理单元，请选择“ 添加管理单元”，选择要应用于策略的管理单元，然后选择“ 保存”。

   注意

   只能查看作用域为角色的管理单元。 如果你是不受限制的管理员，则可以查看组织的所有管理单元。 若要查看分配到的角色组和管理单元的摘要，请选择“ 查看我的权限”。

   完成管理员单元 (预览) 页面后，选择“下一步”。

7. 在 “选择用户和审阅者 ”页上：

   1. 在 “选择用户和组 ”部分中，选择以下选项之一：

   • 所有用户：此选项是最具包容性的，建议用于最广泛的保护。

     注意

     如果策略 的范围是一个或多个管理单元，则选择此选项将选择管理单元中的所有用户。

   • 选择用户：开始键入以查找特定用户或组。 选择此选项时，将显示 “针对符合此策略条件但未包含在策略中的用户的见解和建议 ”复选框。 如果希望在 所选用户之外的用户与策略条件匹配时接收建议来减少盲点，请保持选中此复选框。 如果选择“ 所有用户 ”选项或“ 选择自适应范围 ”选项，则此设置不可用。

     注意

     如果策略 由一个或多个管理单元限定，则只能选择属于这些管理单元的用户。

   • 选择自适应范围：自适应范围使用指定的查询来定义用户或组的成员身份。 若要使用自适应策略， 请在创建策略之前创建自适应范围，然后在选择此选项时选择该范围。 站点范围不适用于通信合规性，因此在添加范围时不会看到它们。 详细了解使用自适应范围的优势。

     注意

     如果策略 的范围由一个或多个管理单元 限定，则不显示 “选择自适应范围 ”选项。 目前，不能将自适应范围与管理单元一起使用。

   1. 在 “排除的用户和组 ”部分中，添加要从策略中排除的任何用户或组。

      注意

      如果策略 由一个或多个管理单元限定，则只能排除属于这些管理单元的用户和组。

   2. 在 “审阅者 ”部分中，选择策略的审阅者。 在本部分中添加的审阅者是在调查和修正工作流中上报警报时可以选择的审阅者。 将审阅者添加到策略时，他们会自动收到一封电子邮件，通知他们分配策略并链接到有关评审过程的信息。 审阅者是单个用户，所有审阅者都必须拥有在 Exchange Online 上托管的邮箱。

   3. 完成后，选择“ 下一步 ”。

8. 在“选择要检测通信的位置”页上，选择要检查的信道，包括 Exchange、Teams、Viva Engage或特定的生成 AI 通道。 支持的生成 AI 通道包括Microsoft Copilot体验、企业 AI 应用和其他 AI 应用。 如果在 Microsoft 365 中配置了连接器，还可以选择检查第三方源。 选择“下一页”以移动到下一页。

9. 在 “选择条件和查看百分比 ”页上：

   1. 在 “通信方向 ”部分中，选择要检测的通信方向，包括入站、出站或内部通信。
   2. 在 “条件 ”部分中，添加要检测 的条件 。 可以从邮件和邮件附件的多种不同条件中进行选择，包括检测以下情况的条件：
   • 默认或自定义 敏感信息类型。 可以在运行工作流之前创建敏感信息类型，也可以从工作流创建它们。
   • 默认或自定义关键字 (keyword) 字典。
   • Microsoft提供了可训练的分类器。 Microsoft提供的可训练分类器可以检测电子邮件或其他类型的文本正文中发送或接收的潜在不当语言和图像。 可以从以下内置Microsoft提供的可训练分类器中进行选择： 定向威胁、 亵渎、 定向骚扰、 成人图像、 猥亵图像和 Gory 图像。 通信合规性还包括内容安全分类器 (预览版) ，适用于基于大型语言模型的Microsoft Teams (LLM) 。 这些分类器包括 仇恨、 性、 暴力和 自我伤害。 详细了解基于大型语言模型的内容安全分类器。
   1. 在“ 光学字符识别 (OCR) ”部分中，若要启用 光学字符识别 (OCR) 以识别邮件中与策略条件匹配的印刷或手写文本的嵌入或附加图像，请选中“ 使用 OCR 从图像中提取文本 ”复选框。 必须在策略中配置与文本、关键字、Microsoft提供的可训练分类器或敏感信息类型关联的一个或多个条件设置，以启用复选框的选择。
   2. 在 “审阅百分比 ”部分中，移动滑块以更改要审阅的内容量。
   3. 在“筛选电子邮件爆炸”部分中，默认选中“从电子邮件爆破服务检查筛选邮件”框。 此设置会导致排除从电子邮件爆炸服务发送的邮件。 与特定条件匹配的消息不会生成警报。 此排除包括批量电子邮件 (，例如新闻稿) 、垃圾邮件、网络钓鱼和恶意软件。 可以查看包含已筛选掉的批量电子邮件发件人 的报告 。在分析内容之前，会筛选发件人列表，因此可能存在与报表) 中包含的其他发件人 (内容条件不匹配的发件人。
   4. 选择“下一页”以移动到下一页。

10. 在“ 查看并完成 ”页上，查看策略选择，然后选择“ 创建策略”。

有关创建通信合规性策略的注释和提示

• 配置策略后， 了解管理警报量的最佳做法。
• 不能使用 PowerShell 创建和管理通信合规性策略。 必须使用 通信合规性解决方案。
• 有关设置新的通信合规性策略和修正警报的深入演练，请参阅此 15 分钟视频：
  
  
  
  

创建或编辑策略时测试条件 (预览)

如果先创建或编辑策略而不测试条件，则可能需要等待很长时间才能验证策略是否按预期工作。 通常，在将策略推广到更广泛的组织之前，需要创建一个试点策略并对其进行几天的测试。 如果你是通信合规性管理员角色组或通信合规性角色组的成员，则可以通过在创建或编辑策略时测试条件来节省时间。 在将策略推广到更广泛的组织之前，可以微调条件，以确保策略按预期工作。

注意

目前，只能测试以下条件：

• 内容与这些分类器中的任何一个匹配
• 内容包含这些敏感信息类型中的任何一种

1. 确保你是通信合规性管理员角色组或通信合规性角色组的成员。 必须是其中一个角色组的成员才能使用此功能。

2. 创建策略或编辑现有策略。

3. 在 “条件和百分比 ”页上，输入条件后，选择“ 测试条件”。

   

   提示

   如果选择编辑策略，还可以从“策略”页或策略详细信息面板中的策略列表访问“测试条件”命令。

4. 在页面右侧显示的“ 测试策略条件 ”窗格中，执行以下作之一：

   • 选择“ 输入要测试的消息 ”选项，然后输入策略要检测的一些消息。 用逗号分隔消息。
   • 如果你有一个包含要检测的消息列表的 .txt 文件，请选择“ 上传文件以测试可训练的分类器是否检测到你指定的匹配元素 ”选项，然后选择“ 上传文件 ”以上传文本文件。

5. 选择“ 测试 ”可查看测试结果列表。

   提示

   如果未看到要查找的结果：

   • 检查 敏感信息类型 或 可训练分类器 的定义，确保它旨在检测所需的信息类型。
   • 确保邮件 满足最小字数计数要求。

步骤 6 (可选) ：更新通信合规性策略的合规性边界

合规性边界 在组织内创建逻辑边界，用于控制电子数据展示管理员可以搜索的用户内容位置 (，例如邮箱、OneDrive 帐户和 SharePoint 网站) 。

如果在组织中配置合规性边界，请更新合规性边界，以允许某些用户访问支持通信合规性策略的邮箱。 你需要允许通信合规性管理员和通信合规性审阅者访问策略管理以及调查和修正作才能正常工作。

若要允许通信合规性管理员和审阅者访问，请运行以下 PowerShell 命令。 即使将来添加新的通信合规性策略，也只需运行这些命令一次：

Import-Module ExchangeOnlineManagement
$UserCredential = Get-Credential
Connect-IPPSSession -Credential $UserCredential
New-ComplianceSecurityFilter -FilterName "CC_mailbox" -Users <list your Communication Compliance admins and reviewers user alias or email address> -Filters "Mailbox_Name -like 'SupervisoryReview{*'" -Action All

有关 cmdlet 语法的详细信息，请参阅 New-ComplianceSecurityFilter。

步骤 7 (可选) ：创建通知模板并配置用户匿名化

如果要通过向关联的用户发送提醒通知来响应策略警报，请在组织中至少创建一个通知模板。 通知模板字段在作为警报修正过程的一部分发送之前是可编辑的。 建议为每个通信合规性策略创建自定义通知模板。

当调查策略匹配并针对邮件采取措施时，还可以选择对显示用户名启用匿名处理。

创建模板并配置用户匿名化

1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户 。

2. 转到通信合规性解决方案。

3. 选择页面右上角的 “设置” ，选择“ 通信合规性”，选择“ 隐私 ”选项卡，选择“ 显示用户名的匿名版本”，然后选择“ 保存”。

4. 选择“ 通知模板 ”选项卡，然后选择“ 创建通知模板”。

5. 在右窗格中，填写以下字段：

   • 模板名称（必需）
   • 发送自（必需）
   • 抄送和密件抄送（可选）
   • 主题（必需）
   • 邮件正文（必需）

6. 选择“另存为” ，以创建并保存通知模板。

步骤 8 (可选) ：测试通信合规性策略

创建通信合规性策略后，请对其进行测试，以确保该策略正确强制实施定义的条件。 如果通信合规性策略包含敏感信息类型，则你可能还需要测试Microsoft Purview 数据丢失防护 (DLP) 策略。 请务必为策略提供激活时间，以便捕获要测试的通信。

提示

为了节省时间，可以在创建策略之前测试以下条件：

• 内容与这些分类器中的任何一个匹配
• 内容包含这些敏感信息类型中的任何一种
  在创建策略之前详细了解测试条件。

按照以下步骤测试通信合规性策略：

1. 以要测试的策略中定义的作用域用户身份登录时，打开电子邮件客户端、Microsoft Teams 或Viva Engage。

2. 发送符合通信合规性策略中定义的条件的电子邮件、Microsoft Teams 聊天或Viva Engage消息。 此测试可以是关键字 (keyword) 、附件大小、域等。 请确保确定策略中配置的条件设置是否过于严格或过于宽松。

   注意

   Email消息可能需要大约 24 小时才能在策略中完全处理。 Microsoft Teams、Viva Engage和第三方平台中的通信可能需要大约 48 小时才能在策略中完全处理。

3. 以通信合规性策略中指定的审阅者身份登录到 Microsoft 365。 转到 “通信合规性>警报” ，查看策略的警报。

4. 使用修正控件修正警报，并验证警报是否已正确解决。

后续步骤

完成这些步骤以创建第一个通信合规性策略后，24-48 小时后开始接收来自活动指示器的警报。 使用本文步骤 5 中的指南根据需要配置其他策略。

若要详细了解如何调查通信合规性警报，请参阅 调查和修正通信合规性警报。

若要跟上最新的通信合规性更新，请选择组织的通信合规性中的 新增功能 。