创建和管理通信合规性策略
重要
Microsoft Purview 通信合规性提供了一些工具,可帮助组织检测 (法规遵从性违规行为,例如 SEC 或 FINRA) ,例如敏感信息或机密信息、骚扰或威胁性语言以及共享成人内容。 根据隐私设计构建,默认情况下,用户名以假名化,内置基于角色的访问控制,管理员选择调查人员,审核日志已到位,以确保用户级隐私。
提示
如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。
策略
重要
不支持使用 PowerShell 创建和管理通信合规性策略。 若要创建和管理这些策略,必须在 通信合规性解决方案中使用策略管理控制。
你可以在 Microsoft Purview 合规门户为 Microsoft 365 组织创建通信合规性策略。 通信合规性策略定义组织中哪些通信和用户需要审查,定义通信必须满足哪些自定义条件,并指定谁应进行评审。 分配有 通信合规性管理员 角色的用户可以设置策略,分配有此角色的任何人都可以访问 Microsoft Purview 中的 通信合规性 页面和全局设置。 如果需要,可以将对策略的修改历史记录导出到 .csv (逗号分隔值) 文件,该文件还包括等待审阅的警报状态、已升级的项目和已解决的项目。 无法重命名策略,并且可以在不再需要时删除策略。
策略模板
策略模板是预定义的策略设置,可用于快速创建策略,以解决常见的合规性方案。 其中每个模板在条件和范围上都有所不同,所有模板都使用相同类型的扫描信号。 可以从以下策略模板中进行选择:
| 区域 | 策略模板 | 详细信息 |
|---|---|---|
| 不适当的文本 | 检测不适当的文本 | - 位置:Exchange Online、Microsoft Teams、Viva Engage - 方向:入站、出站、内部 - 审阅百分比:100% - 条件:威胁、歧视和有针对性的骚扰分类器 |
| 不适当的图像 | 检测不适当的图像 | - 位置:Exchange Online、Microsoft Teams、Viva Engage - 方向:入站、出站、内部 - 审阅百分比:100% - 条件:成人和不雅图像分类器 |
| 敏感信息 | 检测敏感信息类型 | - 位置:Exchange Online、Microsoft Teams、Viva Engage - 方向:入站、出站、内部 - 审阅百分比:10% - 条件:敏感信息、现装内容模式和类型、自定义字典选项、大于 1 MB 的附件 |
| 法规遵从性 | 检测财务合规性 | - 位置:Exchange Online、Microsoft Teams、Viva Engage - 方向:入站、出站 - 审阅百分比:10% - 条件:客户投诉、礼品 & 娱乐、洗钱、监管串通、股票操纵和未经授权的披露分类器 |
| 利益冲突 | 检测利益冲突 | - 位置:Exchange Online、Microsoft Teams、Viva Engage - 方向:内部 - 审阅百分比:100% - 条件:无 |
从创建策略开始,每隔 24 小时扫描一次通信。 例如,如果在上午 11:00 创建不适当的内容策略,该策略将在每天上午 11:00 每 24 小时收集一次通信合规性信号。 编辑策略这次不会更改。 若要查看策略的上次扫描日期和协调世界时 (UTC) ,请导航到“策略”页上的“上次策略扫描”列。 创建新策略后,最长可能需要 24 小时才能查看第一个策略扫描日期和时间。
用户报告的消息策略
注意
创建第一个通信合规性策略后,将为你的组织实现 用户报告的消息 策略。 创建第一个策略后,最多可能需要 30 天才能使用此功能。
作为检测和修正组织中不适当消息的分层防御的一部分,你可以使用 Microsoft Teams 中的用户报告消息来补充通信合规性策略。 为了帮助营造安全合规的工作环境,此功能使组织中的用户能够自行报告不适当的内部个人和群组聊天消息,例如骚扰或威胁性语言、共享成人内容以及共享敏感信息或机密信息。
默认情况下, 在 Teams 管理中心启用的 Teams 邮件中的 “报告不适当内容 ”选项允许组织中的用户提交不适当的内部个人和群组聊天消息,供策略的通信合规性审阅者审阅。 支持在 Teams 组和私人聊天中报告消息的默认系统策略支持这些消息。
当用户提交 Teams 聊天消息以供审阅时,该消息将复制到用户报告的消息策略。 报告的消息最初对所有聊天成员保持可见,并且不会向聊天成员或提交者通知频道、私人或群组聊天中已报告消息。 用户无法多次报告同一消息,并且该消息在策略评审过程中仍对聊天会话中包含的所有用户可见。
在评审过程中,通信合规性审阅者可以对邮件执行所有标准 修正操作 ,包括从 Teams 聊天中删除邮件。 根据邮件的修正方式,邮件发件人和收件人将在审阅后在 Teams 聊天中看到不同的 通知消息 。
来自 Teams 聊天的用户报告消息是用户报告消息策略处理的唯一消息,并且只能修改为策略分配的审阅者。 所有其他策略属性不可编辑。 创建策略时,分配给策略的初始审阅者都是通信合规性管理员角色组的成员, (如果填充了至少一个用户) 或组织的全局管理员角色组的所有成员。 如果填充了至少一个用户) 或从组织的全局管理员角色组中随机选择的用户,则策略创建者是从通信合规性管理员角色组中随机选择的用户 (。
管理员应立即为你的组织分配自定义审阅者到此策略。 这可能包括审阅者,例如合规性官、风险官或人力资源部门的成员。 若要自定义作为用户报告消息提交的聊天消息的审阅者,请完成以下步骤:
- 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 。
- 转到 “通信合规性”。
- 在“ 策略 ”选项卡上,选择“ 用户报告的消息 ”策略,然后选择“ 编辑”。
- 在“ 检测用户报告的消息 ”窗格中,为策略分配审阅者。 审阅者必须在 Exchange Online 上托管邮箱。 审阅者添加到策略时,他们会自动收到一封电子邮件,通知他们分配到此策略,并提供有关审阅过程的信息的链接。
- 选择“保存”。
默认情况下,“报告不适当的内容”选项处于启用状态,可以通过 Teams 管理员 中心的 Teams 消息传送策略进行控制。 除非创建并分配自定义策略,否则组织中的用户会自动接收全局策略。 编辑全局策略中的设置,或创建并分配一个或多个自定义策略以打开或关闭 “报告不当内容 ”选项。 若要了解详细信息,请参阅 在 Teams 中管理消息传递策略。
重要
如果使用 PowerShell 在 Teams 管理员中心打开或关闭最终用户报告选项,则必须使用 Microsoft Teams cmdlet 模块版本 4.2.0 或更高版本。
内部风险管理集成策略
当用户体验到雇佣 Duressor 时,他们可能会从事风险活动。 工作场所压力可能会导致某些用户出现非特性性或恶意行为,这些行为可能会在组织的消息传递系统上显示为潜在的不当行为。 通信合规性可以使用专用的检测不当文本策略,向内部风险管理风险用户策略提供在适用消息中检测到的风险信号。 如果在配置 有风险的员工的数据泄露 或内部风险管理中 风险员工策略违反安全策略 时,选择 (作为选项) ,则会自动创建此策略。
为内部风险管理策略配置时,将在通信合规性中创建名为“ 邮件中风险用户 - (创建日期) ”的专用策略,并自动包括策略中的所有组织用户。 此策略使用内置的 威胁、骚扰和歧视分类器 开始检测消息中的风险行为,并自动将这些信号发送到内部风险管理。 如果需要,可以编辑此策略,以更新包含的用户的范围以及策略条件和分类器。
在 24 小时内发送 5 封或更多被归类为潜在风险的消息的用户会自动进入包含此选项的预览体验成员风险管理策略的范围。 一旦进入范围,内部风险管理策略将检测策略中配置的潜在风险活动,并生成警报(如果适用)。 从发送有风险的消息到将用户引入内部风险管理策略的范围,最多可能需要 48 小时。 如果针对内部风险管理策略检测到的潜在风险活动生成警报,则会将警报的触发事件标识为来自通信合规性风险活动。
分配给 Insider Risk Management 调查员 角色组的所有用户都会在专用通信合规性策略中自动分配为审阅者。 如果内部风险管理调查人员需要直接在通信合规性警报页上查看关联的风险用户警报, (从内部风险管理警报详细信息) 链接,则必须手动将其添加到 通信合规性调查员 角色组中。
在将通信合规性与内部风险管理集成之前,在检测包含可能不当文本的消息时,还应考虑以下指南:
- 对于没有现有 检测不当文本 策略的组织。 消息中新的 Risky 用户 -) 策略创建日期 ( 由内部风险管理策略向导自动创建。 在大多数情况下,不需要进一步的操作。
- 对于具有现有 检测不当文本 策略的组织。 消息中新的 Risky 用户 -) 策略创建日期 ( 由内部风险管理策略向导自动创建。 尽管对于消息中可能存在不适当的文本,你将有两个通信合规性策略,但调查人员不会看到针对同一活动的重复警报。 内部风险管理调查人员仅看到专用集成策略的警报,通信合规性调查人员仅看到现有策略的警报。 如果需要,可以编辑专用策略,以更改范围内的用户或单个策略条件(如果适用)。
暂停策略
创建通信合规性策略后,可能会根据需要暂时暂停该策略。 暂停策略可用于测试或排查策略匹配,或优化策略条件。 暂停策略不会在这些情况下删除策略,而是保留现有策略警报和消息以供正在进行的调查和评审。 暂停策略会阻止在策略暂停时针对策略中定义的所有用户消息条件的检查和警报生成。 若要暂停或重启策略,用户必须是 通信合规性管理员 角色组的成员。
若要暂停策略,请导航到“ 策略 ”页,选择一个策略,然后从操作工具栏中选择“ 暂停策略 ”。 在“ 暂停策略 ”窗格中,选择“ 暂停”确认要暂停策略。 在某些情况下,暂停策略最多可能需要 24 小时。 暂停策略后,不会为与策略匹配的消息创建警报。 但是,与暂停策略之前创建的警报关联的消息仍可用于调查、审查和修正。
暂停策略的策略状态可能指示以下几种状态:
- 活动:策略处于活动状态
- 已暂停:策略已完全暂停。
- 暂停:策略正在暂停。
- 恢复:正在恢复过程中的策略。
- 恢复时出错:恢复策略时遇到错误。 对于错误堆栈跟踪,请将鼠标悬停在“策略”页上“状态”列中的“ 恢复 状态错误”。
- 暂停时出错:暂停策略时遇到错误。 对于错误堆栈跟踪,请将鼠标悬停在“策略”页上“状态”列中的“暂停状态中的 错误 ”。
若要恢复策略,请导航到“ 策略 ”页,选择一个策略,然后从操作工具栏中选择“ 恢复策略 ”。 在“ 恢复策略 ”窗格中,通过选择“ 恢复”确认要恢复策略。 在某些情况下,可能需要长达 24 小时才能恢复策略。 恢复策略后,将创建与策略匹配的消息警报,并可用于调查、审查和修正。
复制策略
对于具有现有通信合规性策略的组织,在某些情况下,从现有策略创建新策略可能会有所帮助。 复制策略会创建现有策略的精确副本,包括所有范围内用户、所有分配的审阅者和所有策略条件。 某些方案可能包括:
- 已达到策略存储限制:活动通信合规性策略具有消息存储限制。 达到策略的存储限制时,会自动停用该策略。 需要继续检测、捕获停用策略涵盖的不当消息并对其执行操作的组织可以快速创建具有相同配置的新策略。
- 检测和查看不同用户组的不当消息:某些组织可能倾向于创建具有相同配置的多个策略,但为每个策略包含不同的范围内用户和不同的审阅者。
- 具有小更改的类似策略:对于具有复杂配置或条件的策略,可能会节省从类似策略创建新策略的时间。
若要复制策略,用户必须是 通信合规性 或 通信合规性管理员 角色组的成员。 从现有策略创建新策略后,最长可能需要 24 小时才能查看与新策略配置匹配的消息。
若要复制策略并创建新策略,请完成以下步骤:
- 选择要复制的策略。
- 选择命令栏上的“ 复制策略 命令栏”按钮,或从策略的操作菜单中选择“ 复制 策略”。
- 在 “复制策略 ”窗格中,可以在“ 策略名称 ”字段中接受策略的默认名称,也可以重命名策略。 新策略的策略名称不能与现有活动或已停用策略相同。 根据需要完成 “说明” 字段。
- 如果不需要进一步自定义策略,请选择“ 复制策略 ”以完成该过程。 如果需要更新新策略的配置,请选择“ 自定义策略”。 这会启动策略向导,以帮助你更新和自定义新策略。
将策略标记为收藏夹
创建通信合规性策略后,可以将该策略标记为收藏夹。 将策略标识为收藏夹后,可以筛选显示在策略列表顶部的收藏夹策略。 通过将策略标记为收藏夹,还可以按收藏夹轻松对策略进行排序。
若要将策略标记为收藏夹,可以使用以下选项:
- 标记为收藏夹:使你可以将所选策略标记为收藏夹,以便可以轻松找到你最感兴趣的策略,而无需搜索它们。
- 对收藏夹进行排序:按收藏夹对策略进行排序,以便收藏夹策略显示在列表顶部。
- 自定义列:选择列出要查看的收藏夹。 还可以选择按升序或降序对收藏策略进行排序。
按组对策略进行排序:
- 所有策略:这是默认视图,显示列表中的所有策略。
- 仅限收藏夹:按列表顶部的收藏夹对策略进行分组。
策略活动检测
从创建策略开始,每小时扫描一次通信。 例如,如果在上午 11:00 创建不适当的内容策略,则策略从创建策略时开始每小时收集一次通信合规性信号。 编辑策略这次不会更改。 若要查看策略的上次扫描日期和协调世界时 (UTC) ,请导航到“策略”页上的“上次策略扫描”列。 创建新策略后,最长可能需要一小时才能查看第一个策略扫描日期和时间。
下表概述了对支持的内容类型进行检测的时间:
| 内容类型 | 检测时间 |
|---|---|
| Email正文内容 | 1 小时 |
| Teams 正文内容 | 1 小时 |
| Viva Engage正文内容 | 24 小时 |
| Email OCR | 24 小时 |
| Teams OCR | 24 小时 |
| Email附件 | 24 小时 |
| 团队附件 | 24 小时 |
| Teams 新式附件 | 24 小时 |
| Teams 元数据 | 1 小时 |
| Email元数据 | 1 小时 |
| Teams 共享频道 | 24 小时 |
| Teams 脚本 | 1 小时 |
对于 2022 年 7 月 31 日之前创建的现有策略,最多可能需要 24 小时才能检测消息并查看与这些策略匹配的警报。 若要减少这些策略的延迟, 请复制现有策略 并从副本创建新策略。 如果不需要保留旧策略中的任何数据,可以暂停或删除这些数据。
若要标识较旧的策略,请查看“策略”页上的“上次策略扫描”列。 较旧的策略将显示扫描的完整日期,而 2022 年 7 月 31 日之后创建的策略将显示 1 小时前 的扫描。 降低延迟的另一个选项是等待到 2023 年 2 月 28 日,以便现有策略自动迁移到新的检测条件。
存储限制通知
每个通信合规性策略的存储限制大小为 100 GB 或 100 万条消息,以先达到者为准。 当策略接近这些限制时,通知电子邮件会自动发送给分配给 通信合规性 或 通信合规性管理员 角色组的用户。 当存储大小或消息计数达到限制的 80%、90% 和 95% 时,将发送通知消息。 达到策略限制时,会自动停用策略,并且策略停止处理警报的消息。
重要
如果策略由于达到存储和消息限制而停用,请务必评估如何管理已停用的策略。 如果删除策略,则将永久删除所有邮件、关联的附件和邮件警报。 如果需要维护这些项目以供将来使用,请不要删除已停用的策略。
若要管理接近存储和消息限制的策略,请考虑创建策略的副本以保持覆盖范围连续性,或执行以下操作来帮助最大程度地减少当前策略存储大小和消息计数:
- 考虑减少分配给策略的用户数。 从策略中删除用户或为不同的用户组创建不同的策略有助于减缓策略大小和总消息的增长。
- 检查策略中是否存在过多的误报警报。 请考虑向策略条件添加异常或更改,以忽略常见的误报警报。
- 如果策略已达到存储或消息限制并已停用,请创建策略的副本,以继续检测相同的条件和用户并采取操作。
策略设置
用户
可以选择“ 所有用户 ”或在通信合规性策略中定义特定用户。 选择 所有用户 会将策略应用到所有用户和用户作为成员的所有组。 选择特定用户会将策略应用到特定用户和特定用户作为成员的所有组。
方向
默认情况下, 显示“方向为” 条件,无法删除。 策略中的通信方向设置是单独选择的,也可以一起选择:
- 入站:检测从外部和内部发件人(包括策略中的其他作用域内用户) 发送到 作用域内用户的通信。
- 出站:检测 从 限定范围的用户发送到外部和内部收件人(包括策略中的其他作用域内用户)的通信。
- 内部:检测策略中作用域内用户或组 之间的 通信。
敏感信息类型
可以选择将敏感信息类型包含在通信合规性策略中。 敏感信息类型是预定义或自定义数据类型,可帮助识别和保护信用卡号码、银行帐号、护照号码等。 作为了解Microsoft Purview 数据丢失防护的一部分,敏感信息配置可以使用模式、字符邻近度、置信度甚至自定义数据类型来帮助识别和标记可能敏感的内容。 默认敏感信息类型为:
- 金融
- 医疗和健康
- 隐私
- 自定义信息类型
重要
敏感信息类型有两种不同的方法来定义最大唯一实例计数参数。 若要了解详细信息,请参阅 创建自定义敏感信息类型。
通信合规性解决方案支持默认敏感信息类型和捆绑的命名实体敏感信息类型,它们是敏感信息类型的集合。 若要详细了解敏感信息详细信息和默认类型中包含的模式,请参阅 敏感信息类型实体定义。 有关支持的捆绑命名实体敏感信息类型的信息,请参阅以下文章:
若要详细了解敏感信息详细信息和默认类型中包含的模式,请参阅 敏感信息类型实体定义。
自定义关键字 (keyword) 字典
) 配置自定义关键字 (keyword) 字典 (或词典,以提供特定于组织或行业的关键字的简单管理。 关键字字典支持多达 100 KB 的术语, (字典中的压缩后) ,并支持任何语言。 压缩后的租户限制也是 100 KB。 如果需要,可以将多个自定义关键字 (keyword) 字典应用于单个策略,或为每个策略提供一个关键字 (keyword) 字典。 这些字典在通信合规性策略中分配,可以从文件 ((如 .CSV 或 .TXT 列表) )或 可从可导入的列表中获取。 如果需要支持特定于组织和策略的术语或语言,请使用自定义词典。
分类
内置的可训练和全局分类器 检查组织中所有通信渠道的发送和接收消息,以查找不同类型的合规性问题。 分类器将人工智能和关键字组合来识别消息中可能违背反骚扰策略的内容。
通信合规性使用特定的内置可训练和全局分类器来检查特定于本部分所述的图像和语言类别的内容。
图像
通信合规性检测以下类型的图像:
| 分类器 | 说明 |
|---|---|
| 成人图像 | 检测可能具有性明确性的图像。 |
| 高利图像 | 检测可能描绘暴力和戈尔的图像。 |
| 不雅图像 | 检测可能具有性暗示性的图像,但与被视为成人的图像相比,其内容不太明确。 |
扫描和处理以下图像格式的 100 KB 到 4 MB 的图像:
- .jpg/.jpeg (联合摄影专家组)
- .png (便携式网络图形)
- .bmp (位图)
- .gif (图形交换格式)
目前仅在 Microsoft Teams 和 Exchange Online 中支持图像评估。 Viva Engage不支持它。
有关应用可检测图像中成人、高丽和猥亵内容的内容标志的信息,请参阅 成人内容检测。
语言
使用分类器的通信合规性策略检查和评估满足 最小字数要求的消息,具体取决于内容的语言。 有关这些分类器支持的语言、字数计数要求和文件类型的完整列表,请参阅 可训练分类器定义。
若要识别包含不符合字数计数要求的不当语言内容的邮件并采取措施,可以创建敏感信息类型或自定义关键字 (keyword) 字典,用于通信合规性策略检测此类内容。
| 分类器 | 说明 |
|---|---|
| 公司破坏 | 检测可能提及损害或销毁公司资产或财产的行为的消息。 此分类器可帮助客户管理法规合规性义务,例如 NERC 关键基础结构保护标准或州法规(如华盛顿州第 9.05 章 RCW)。 |
| 客户投诉 | 根据受监管行业的法律要求,检测可能建议对组织的产品或服务提出客户投诉的消息。 此分类器可帮助客户管理法规合规性义务,例如 FINRA 规则 4530、FINRA 4513、FINRA 2111、消费者金融保护局、联邦法规第 21 章:食品和药品以及联邦贸易委员会法案。 |
| 歧视 | 检测潜在的明确歧视性语言,与其他社区相比,对针对非裔美国人/黑人社区的歧视性语言特别敏感。 |
| 礼品 & 娱乐 | 检测可能建议交换礼品或娱乐以换取服务的信息,这违反了与贿赂相关的法规。 此分类器可帮助客户管理法规遵从性义务,例如《反海外腐败行为法》 (FCPA) 、英国贿赂法和 FINRA 规则 2320。 |
| 骚扰 | 检测多种语言的潜在冒犯性内容,这些语言针对有关种族、肤色、宗教、民族血统的人。 |
| 洗钱 | 发现可能暗示洗钱或从事隐瞒或伪装收益来源或目的地的行为的迹象。 此分类器可帮助客户管理监管合规义务,例如《银行保密法》、《美国爱国者法》、FINRA 规则 3310 和 2020 年《反洗钱法》。 |
| 脏话 | 检测多种语言中可能冒犯大多数人的潜在亵渎内容。 |
| 监管串通 | 检测可能违反法规反串通要求的消息,例如试图隐瞒敏感信息。 此分类器可帮助客户管理监管合规义务,例如《谢尔曼反垄断法》、1933年《证券交易法》、1934年《证券交易法》、1940年《投资顾问法》、《联邦委员会法》和《Robinson-Patman 法》。 |
| 股票操作 | 检测可能操纵股票的迹象,例如建议购买、出售或持有可能暗示试图操纵股价的股票。 此分类器可帮助客户管理法规遵从性义务,例如 1934 年《证券交易法》、FINRA 规则 2372 和 FINRA 规则 5270。 |
| 威胁 | 检测多种语言的潜在威胁性内容,这些内容旨在对个人或财产实施暴力或人身伤害。 |
| 未经授权的披露 | 检测包含明确指定为机密或未经授权的个人内部内容的信息共享。 此分类器可帮助客户管理法规合规性义务,例如 FINRA 规则 2010 和 SEC 规则 10b-5。 |
重要
由于已知问题,分类器可能会检测到大量批量发件人/新闻稿内容。 创建策略时,可以通过选择“筛选电子邮件爆炸检查”框来缓解对大量批量发件人/新闻稿内容的检测。 还可以编辑现有策略以启用此功能。
光学字符识别 (OCR)
注意
Microsoft Purview 包括适用于Microsoft Purview 内部风险管理、Microsoft Purview 数据丢失防护、Microsoft Purview 数据丢失管理和自动标记的 OCR (预览) 设置。 可以使用 OCR (预览) 设置为这些解决方案和技术提供图像扫描功能。 通信合规性具有本部分中所述的内置 OCR 扫描功能,目前不支持 OCR (预览版) 设置。
配置内置或自定义通信合规性策略,以扫描和识别组织中可能不适当的图像中的打印文本或手写文本。 集成 Azure 认知服务和光学扫描支持 ,用于识别图像中的文本,可帮助分析师和调查人员检测和处理主要为非文本的通信中可能错过不当行为的情况。
可以从模板、自定义策略在新策略中启用光学字符识别 (OCR) ,也可以更新现有策略以扩展对处理嵌入图像和附件的支持。 在从策略模板创建的策略中启用后,电子邮件和 Microsoft Teams 聊天消息中的嵌入或附加图像支持自动扫描。 对于嵌入在文档文件中的图像,不支持 OCR 扫描。 对于自定义策略,必须在策略中配置与关键字、内置分类器或敏感信息类型关联的一个或多个条件设置,以启用 OCR 扫描的选择。
扫描并处理以下图像格式的 50 KB 到 4 MB 的图像:
- .jpg/.jpeg (联合摄影专家组)
- .png (便携式网络图形)
- .bmp (位图)
- .tiff (标记图像文件格式)
- .pdf (可移植文档格式)
注意
目前仅电子邮件支持对嵌入和附加 .pdf 图像进行扫描和提取。
查看启用了 OCR 的策略的挂起策略匹配项时,标识并匹配策略条件的图像将显示为关联警报的子项。 可以查看原始图像,以在上下文中使用原始消息评估标识的文本。 检测到的图像可能需要长达 48 小时才能与警报一起提供。
条件设置
你为策略选择的条件适用于来自组织中电子邮件和第三方来源 (通信,例如来自 Instant Bloomberg) 。
下表详细介绍了每种条件。
| Condition | 如何使用此条件 |
|---|---|
| 内容与这些分类器中的任何一个匹配 | 在邮件中包含或排除任何分类器时,应用于策略。 某些分类器在组织中预定义,并且自定义分类器必须单独配置,然后才能满足此条件。 在策略中,只能将一个分类器定义为条件。 有关配置分类器的详细信息,请参阅 了解可训练的分类器。 |
| 内容包含这些敏感信息类型中的任何一种 | 在邮件中包含或排除任何敏感信息类型时,应用于策略。 某些分类器在租户中预定义,自定义分类器可以单独配置,也可以作为条件分配过程的一部分进行配置。 你选择的每个敏感信息类型都是单独应用的,只有其中一种敏感信息类型必须应用于策略才能应用于邮件。 有关自定义敏感信息类型的详细信息,请参阅 了解敏感信息类型。 |
| 从这些域中的任何一个域接收消息 未从这些域中的任何一个接收消息 |
应用策略以在收到的邮件中包含或排除特定域。 输入条件文本时,请确保使用以下语法: -输入每个域,并使用逗号分隔多个域。 -不要在用逗号分隔的项之间包含空格。 -删除所有前导空格和尾随空格。 输入的每个域单独应用,只有一个域才能将策略应用于邮件。 如果要使用 从这些域中的任何一个接收的消息 来查找来自特定域的消息,则需要将此与另一个条件(如 Message 包含其中任何一个字词或 内容与这些分类器中的任何一个匹配)组合在一起,否则可能会获得意外结果。 如果要扫描所有电子邮件,但想要排除不需要查看 (新闻稿、公告等特定域的邮件) ,则必须配置 “未从这些域接收邮件 ”条件,该条件排除了域 (示例“contoso.com,wingtiptoys.com') 。 |
| 消息将发送到这些域中的任何一个 不会将消息发送到这些域中的任何一个 |
应用策略以在发送的消息中包含或排除特定域。 输入条件文本时,请确保使用以下语法: -输入每个域,并使用逗号分隔多个域。 -不要在用逗号分隔的项之间包含空格。 -删除所有前导空格和尾随空格。 每个域单独应用;只有一个域才能将策略应用到邮件。 如果要排除发送到两个特定域的所有电子邮件,请使用两个域 (示例“contoso.com,wingtiptoys.com') ”配置 邮件不会发送到其中任何 域的条件。 |
| 从这些外部电子邮件地址中的任何一个接收邮件 不会从这些外部电子邮件地址接收邮件 |
应用策略以包括或排除从特定外部电子邮件地址接收或未接收的邮件 (示例 someone@outlook.com) 。 使用此条件仅监视来自组织外部的消息 (通过防火墙) 的消息。 输入电子邮件地址时,请确保使用以下语法: - 输入每个电子邮件地址,并使用逗号分隔多个电子邮件地址。 - 不要在电子邮件地址之间包括用逗号分隔的空格。 - 删除所有前导空格和尾随空格。 - 删除任何单引号或双引号 |
| 邮件将发送到这些外部电子邮件地址中的任何一个 邮件不会发送到这些外部电子邮件地址中的任何一个 |
应用策略以包括或排除发送到或未发送到特定外部电子邮件地址的邮件 (示例 someone@outlook.com) 。 使用此条件仅监视在组织外部发送的消息 (通过防火墙) 的消息。 输入电子邮件地址时,请确保使用以下语法: - 输入每个电子邮件地址,并使用逗号分隔多个电子邮件地址。 - 不要在电子邮件地址之间包括用逗号分隔的空格。 - 删除所有前导空格和尾随空格。 - 删除任何单引号或双引号 |
| 邮件使用其中任一标签进行分类 邮件未使用其中任何标签进行分类 |
在邮件中包含或排除某些保留标签时应用策略。 必须单独配置保留标签,并且已配置标签将作为此条件的一部分进行选择。 你选择的每个标签单独应用 (只有其中一个标签必须应用策略才能应用于邮件) 。 有关保留标签的详细信息,请参阅 了解保留策略和保留标签。 |
| 邮件包含这些字词中的任何一个 邮件不包含这些字词 |
在邮件中包含或排除某些字词或短语时应用策略。 输入条件文本时,请确保使用以下语法: - 删除所有前导空格和尾随空格。 - 在每个关键字 (keyword) 或关键短语前后添加引号。 - 用逗号分隔每个关键字 (keyword) 或关键短语。 - 不要在用逗号分隔的项之间包含空格。 例子: “银行家”,“内幕交易”,“机密 123” 输入的每个单词或短语单独应用 (只有一个单词必须应用策略才能应用于邮件) 。 若要详细了解如何输入字词或短语,请参阅下一部分Matching words and phrases to emails or attachments。 |
| 附件包含这些字词中的任何一个 附件不包含这些字词 |
在邮件附件中包含或排除某些字词或短语时应用策略, (例如Word文档) 。 输入条件文本时,请确保使用以下语法: - 删除所有前导空格和尾随空格。 - 在每个关键字 (keyword) 或关键短语前后添加引号。 - 用逗号分隔每个关键字 (keyword) 或关键短语。 - 不要在用逗号分隔的项之间包含空格。 例子: “银行家”,“内幕交易”,“机密 123” 输入的每个单词或短语单独应用 (只有一个单词必须应用策略才能应用于附件) 。 若要详细了解如何输入字词或短语,请参阅下一部分Matching words and phrases to emails or attachments。 |
| 附件是其中任一文件类型 附件不是这些文件类型 |
若要将通信纳入包含或排除特定附件类型的范围,请输入文件扩展名 (,例如 .exe 或 .pdf) 。 如果要包含或排除多个文件扩展名,请输入用逗号分隔的文件类型 (示例 .exe,.pdf,.zip) 。 不要在用逗号分隔的项之间包含空格。 只有一个附件扩展必须匹配才能应用策略。 |
| 邮件大小大于 消息大小不大于 |
若要根据特定大小查看邮件,请使用这些条件指定邮件在接受审阅之前可以达到的最大或最小大小。 例如,如果指定 “邮件大小”大于>1.0 MB,则所有 1.01 MB 及更大的消息都会接受评审。 这种情况下,您可以选择字节、千字节、兆字节或千兆字节。 |
| 附件大于 附件不大于 |
若要根据邮件附件的大小查看邮件,请在邮件及其附件接受审阅之前指定附件的最大或最小大小。 例如,如果指定 “附件”大于>2.0 MB,则附件为 2.01 MB 及更高的所有邮件都会接受审阅。 这种情况下,您可以选择字节、千字节、兆字节或千兆字节。 |
重要
如果条件包含列表,则不要在列表项之间包含空格。 例如,输入“bias, harassment”而不是“bias, harassment”。
将字词和短语与电子邮件或附件匹配
输入并用逗号分隔的每个单词将单独应用 (只有一个单词必须应用策略条件才能应用于电子邮件或附件) 。 例如,使用条件 ,Message 包含其中任何一个字词,关键字“banker”、“confidential”和“insider trading”用逗号分隔 (banker,confidential,“insider trading”) 。 该策略适用于包含“银行家”、“机密”或短语“内幕交易”的任何消息。 只有出现其中一个字词或短语,才能应用此策略条件。 邮件或附件中的字词必须与输入的内容完全匹配。
重要
导入自定义词典文件时,必须使用回车符分隔每个单词或短语,并在单独的行中分隔。 例如:
银行家
机密
内幕交易
若要扫描电子邮件和附件中的相同关键字,请为邮件中要扫描的术语创建自定义关键字 (keyword) 字典。 此策略配置标识在电子邮件 或 电子邮件附件中显示的已定义关键字。 使用标准条件策略设置 (“邮件”包含上述任何字词 , 而“附件”包含这些字词) 标识邮件和附件中的术语要求邮件和附件中 都 存在术语。
输入多个条件
如果输入多个条件,Microsoft 365 会将所有条件一起使用来确定何时对通信项目应用通信合规性策略。 设置多个条件时,必须满足所有条件才能应用策略,除非输入异常。 例如,如果消息包含“交易”一词且大于 2 MB,则需要应用策略。 但是,如果消息还包含“已由 Contoso financial 批准”一词,则不应应用该策略。 在此示例中,将定义这三个条件,如下所示:
- 消息包含这些字词中的任何一个,关键字 (keyword) “交易”
- 消息大小大于,值为 2 MB
- 邮件不包含这些字词,关键字为“已由 Contoso 财务团队批准”
审阅百分比
如果要减少要审查的内容量,可以指定受通信合规性策略管理的所有通信的百分比。 一个随机的样本会从匹配所选策略条件的内容中被实时选取出来。 如果你想要审查者所有项目,可以在通信合规性策略中配置 100% 审查。
筛选电子邮件爆炸
使用 “筛选电子邮件爆炸” 设置可排除从电子邮件爆炸服务发送的邮件。 与指定条件匹配的消息不会生成警报。 这包括批量电子邮件,例如新闻稿、垃圾邮件、网络钓鱼和恶意软件。 选择此选项后,可以查看列出已筛选掉的批量电子邮件发件人 的报告 。
注意
在分析内容之前,会筛选发件人列表,因此可能存在与内容条件不匹配的发件人。 换句话说,报表中可能有额外的发件人。
警报策略
配置策略后,将自动创建相应的警报策略,并为与策略中定义的条件匹配的消息生成警报。 创建策略开始后,最多可能需要 24 小时才能接收来自活动指示器的警报。 默认情况下,所有策略匹配的警报触发器都会在关联的警报策略中分配中等严重级别。 一旦在关联的警报策略中达到聚合触发器阈值级别,就会为通信合规性策略生成警报。 对于任何警报,每 24 小时发送一次单个电子邮件通知,无论与策略条件匹配的单个邮件数量如何。 例如,Contoso 启用了不适当的内容策略,在 1 月 1 日,有 100 个策略匹配项生成了 6 个警报。 1 月底发送六个警报的单个电子邮件通知。
对于通信合规性策略,默认配置以下警报策略值:
| 警报策略触发器 | 默认值 |
|---|---|
| 聚集 | 简单聚合 |
| 阈值 | 默认值:4 个活动 最小值:3 个活动 最大值:2,147,483,647 个活动 |
| Window | 默认值:60 分钟 最小值:60 分钟 最大值:10,000 分钟 |
注意
活动的警报策略阈值触发器设置支持通信合规性策略的最小值为 3 或更高。
可以在 Microsoft Purview 的“ 警报策略 ”页上更改针对活动数、活动时间段和警报策略中的特定用户的触发器的默认设置。
更改警报策略的严重性级别
如果要更改特定通信合规性策略的警报策略中分配的严重性级别,请完成以下步骤:
使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 。
转到 “策略”。
在“策略”页上选择“Office 365警报”,打开“警报策略”页。
选中要更新的通信合规性策略的复选框,然后选择 “编辑策略”。
在“ 说明 ”选项卡上,选择“ 严重性 ”下拉列表以配置策略警报级别。
选择“ 保存 ”,将新的严重性级别应用于策略。
选择“ 关闭 ”退出警报策略详细信息页。