使用通信合规性报告和审核

  • 项目

重要

Microsoft Purview 通信合规性提供了工具来帮助组织检测法规合规性 (例如 SEC 或 FINRA) 和商业行为违规,例如敏感或机密信息、骚扰或威胁性语言,以及共享成人内容。 根据隐私设计构建,用户名默认为假名化,内置基于角色的访问控制,管理员选择调查人员,审核日志已到位,以帮助确保用户级隐私。

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

报表

报告仪表板是查看所有通信合规性报告的中心位置。 若要查看和管理报表,必须将用户分配到 通信合规性查看者 角色组。

报表小组件提供对通信合规性活动状态进行全面评估时最常用的见解的快速视图。 报表小组件中包含的信息不可导出。 详细报告提供与特定通信合规性领域相关的深入信息,并提供在查看时筛选、分组、排序和导出信息的功能。

对于日期范围筛选器,事件的日期和时间在协调世界时 (UTC) 中列出。 筛选邮件时,报表的所有筛选器都适用于 00:00:00 UTC 开始日期到 UTC 结束日期 23:59:59。

通信合规性报告仪表板

报告仪表板包含以下报表小组件和详细报表链接:

报表小组件

  • 最近的策略匹配项:显示活动策略随时间推移的匹配项数。
  • 按策略解析的项目:显示策略随时间推移解析的策略匹配警报数。
  • 策略匹配最多的用户:显示给定时间段内 (或匿名用户名) 的用户和策略匹配数。
  • 匹配次数最多的策略:显示给定时间段的策略和匹配数,匹配项排名最高到最低。
  • 按策略升级:显示给定时间内每个策略的升级数。

详细报告

使用“ 导出报表 ”选项创建包含任何详细报表的报表详细信息的 .CSV 文件。 “导出报表”选项支持高达 3 MB 的文件大小下载。

  • 策略设置和状态:详细介绍了策略配置和设置,以及每个策略的一般状态, (消息) 匹配和操作。 包括策略信息以及策略与用户和组的关联方式、位置、评审百分比、审阅者、状态以及策略的上次修改时间。 使用 “导出” 选项创建包含报表详细信息的 .CSV 文件。

  • 每个策略的项目和操作:查看和导出匹配项以及每个策略的修正操作。 包括策略信息以及策略与以下项的关联方式:

    • 匹配项
    • 已升级的项
    • 已解决的项目
    • 标记为合规
    • 标记为不符合
    • 标记为可疑
    • 待审阅的项目
    • 用户通知
    • 已创建案例

  • 每个位置的项目和操作:查看和导出每个 Microsoft 365 位置的匹配项和修正操作。 包括有关工作负载平台如何与以下内容关联的信息:

    • 匹配项
    • 已升级的项
    • 已解决的项目
    • 标记为合规
    • 标记为不符合
    • 标记为可疑
    • 待审阅的项目
    • 用户通知
    • 已创建案例

  • 按用户排序的活动:按用户查看和导出匹配项和修正操作。 包括有关用户如何与以下内容关联的信息:

    • 匹配项
    • 已升级的项
    • 已解决的项目
    • 标记为合规
    • 标记为不符合
    • 标记为可疑
    • 待审阅的项目
    • 用户通知
    • 已创建案例

注意

显示的项和操作仅适用于在上述日期范围筛选器中包含的日期范围内 匹配 的项目和操作。

  • 每个位置的敏感信息类型 (预览) :查看和导出有关在通信合规性策略中检测敏感信息类型和关联源的信息。 包括组织中配置的源中敏感信息类型实例的总体总计和特定细分。 每个第三方源的值显示在 .CSV 文件中的单独列中。 示例如下:

    • Email:Exchange 电子邮件中检测到的敏感信息类型。
    • Teams:在 Microsoft Teams 频道和聊天消息中检测到的敏感信息类型。
    • Viva Engage:在Viva Engage收件箱、帖子、聊天和答复中检测到的敏感信息类型。
    • 第三方源:检测到与组织中配置的第三方连接器关联的活动的敏感信息类型。 若要查看报表中特定敏感信息类型的第三方源细目,请将鼠标悬停在第三方源列中敏感信息类型的值上。
    • 其他:用于内部系统处理的敏感信息类型。 选择或取消选择报表的此源不会影响任何值。

  • Email爆破发件人:查看和导出从通信合规性策略中筛选出来的电子邮件的发件人列表,以减少“干扰”。筛选电子邮件爆炸是一种通信合规性策略设置。 Email爆炸发送方报告包括以下字段:

    • 策略名称
    • 策略上次修改日期
    • 发件人
    • 筛选的邮件数

导出邮件详细信息报表

在“策略”选项卡上,创建自定义报告并查看特定策略中包含的邮件的详细信息。这些报告可用于对邮件进行全面评审,并可用于创建报表快照可自定义时间段内消息的状态。 创建报表后,可以在“ 导出 ”选项卡上以 .CSV 文件的形式查看和下载邮件详细信息报表。

通信合规性消息详细信息报告

若要创建邮件详细信息报表,请执行以下操作:

  1. 使用属于 通信合规性调查员 角色组成员的帐户登录到 Microsoft Purview。
  2. 在“ 策略 ”选项卡上,选择一个策略,然后选择页面右上角的“ 导出报表 ”按钮。
  3. 在“ 导出选项 ”窗格中,在“报表名称”字段中输入 报表的名称
  4. “包括来自这些用户的项”下,选择以下选项之一:
    • 所有用户。 如果要为策略中的所有用户创建包含邮件信息的报表,请选择此选项。
    • 选择用户。 选择此选项,然后从列表中选择特定用户,以创建包含这些特定用户发送的消息的报表。 列表中只有发送了已标记的消息的用户可用。
  5. “选择日期范围”下,选择报表的 开始日期结束日期
  6. 选择"导出"。 此时会显示 “我们正在生成报表 ”窗格。

根据报表中的项数,可能需要几分钟到几小时才能准备好下载报表。 可以通过选择“我们正在生成报表”窗格中的“检查进度”按钮来检查进度,也可以转到“导出”选项卡来检查进度。 “导出”选项卡上的“状态”列显示“正在进行”“准备下载”。 最多可以同时处理 15 个单独的报表。 若要下载报表,请选择处于 “准备下载” 状态的报表,然后选择列表上方的“ 下载导出 () ”按钮。

注意

如果所选时间段未在报表中返回任何消息结果,则表示所选时间段内没有消息。 报表将为空白。

邮件详细信息报告包含策略中每个消息项的以下信息:

  • 匹配 ID:通信合规性中消息副本的唯一 ID。
  • Internet 消息 ID:跨平台的消息的唯一 ID。
  • 对话系列 ID:消息的线程 ID。
  • 发件人:邮件的发件人。
  • 收件人:邮件包含的收件人。
  • 日期:发送邮件的日期。
  • 位置:发送消息的通道。 这可以是Exchange Online、Teams、Viva Engage或通信合规性支持的任何第三方通道。
  • 主题:邮件的主题。
  • 包含附件:邮件的任何附件的状态。 值为 “是”“否”。
  • 策略名称:与消息关联的策略的名称。 对于报表中的所有邮件,此值将相同。
  • 项目状态:策略中邮件项的状态。 值为 PendingResolved
  • 标记:分配给消息的标记。 值为 “可疑”、“符合”“不符合”。
  • 关键字匹配:消息的关键字匹配。
  • 可训练分类器 ID:匹配的可训练分类器的 ID。
  • 可训练分类器名称和匹配关键字:可训练分类器的名称和触发分类器匹配的关键字的名称。
  • 审阅者:分配给邮件的审阅者。
  • 挂起 (天) :消息处于挂起状态的天数。 对于已解析的消息,值为 0。
  • 已解决的注释:解析时输入的消息的注释。
  • 解决日期:解决消息) 协调世界时 (协调世界时。
  • 上次更新时间:上次更新器的用户名。
  • 上次更新时间:上次更新消息) 日期和协调世界时 (UTC。
  • 批注历史记录:邮件警报的所有注释列表,包括批注作者和日期,以及注释 (UTC 协调世界时) 。

提示

还可以 选择特定邮件详细信息并将其导出为可下载文件

Audit

在某些情况下,必须向法规或合规性审核员提供信息,以证明用户活动和通信已限定范围。 此信息可能是与定义的组织策略或通信合规性策略发生更改时关联的所有活动的摘要。 通信合规性策略具有内置的审核线索,可完全准备好进行内部或外部审核。 通信策略会捕获每个创建、编辑和删除操作的详细审核历史记录,以提供作用域内过程的证明。

重要

必须先为组织启用审核,然后才能记录通信合规性事件。 若要启用审核,请参阅 启用审核日志。 当活动触发 Microsoft 365 审核日志中捕获的事件时,可能需要长达 48 小时才能在通信合规性策略中查看这些事件。

若要查看通信合规性策略更新活动,请在任何策略的“main”页上选择“导出策略更新”控件。 必须分配全局管理员通信合规性管理员角色才能导出更新活动。 此操作以 .CSV 格式生成包含以下信息的审核文件:

字段 详细信息
CreationDate 在策略中执行更新活动的日期。
UserIds 在策略中执行更新活动的用户。
操作 对策略执行的更新操作。
AuditData 所有策略更新活动的主数据源。 所有更新活动都记录并用逗号分隔符分隔。

若要查看策略的通信合规性评审活动,请在特定策略的“概述”页上选择“导出评审活动”控件。 必须为你分配全局管理员通信合规性管理员角色才能导出评审活动。 此操作以 .CSV 格式生成包含以下信息的审核文件:

字段 详细信息
CreationDate 在策略中执行评审活动的日期。
UserIds 在策略中执行评审活动的用户。
操作 查看对策略执行的操作。
AuditData 所有策略评审活动的主数据源。 所有评审活动都以逗号分隔符进行记录和分隔。

还可以在统一审核日志中或使用 Search-UnifiedAuditLog PowerShell cmdlet 查看审核活动。 若要详细了解审核日志保留策略,请参阅 管理审核日志保留策略

例如,以下示例返回所有作用域内评审活动的活动, (策略和规则) :

Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -RecordType AeD -Operations SupervisoryReviewTag

此示例返回通信合规性策略的更新活动:

Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -RecordType Discovery -Operations SupervisionPolicyCreated,SupervisionPolicyUpdated,SupervisionPolicyDeleted

此示例返回与当前通信合规性策略匹配的活动:

Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -Operations SupervisionRuleMatch

通信合规性策略匹配存储在每个策略的作用域邮箱中。 在某些情况下,可能需要为策略检查作用域邮箱的大小,以确保不会达到当前的 100 GB 存储大小或 100 万邮件限制。 如果达到邮箱限制,则不会捕获策略匹配项,你需要使用相同的设置) 创建新的策略 (,以继续捕获相同活动的匹配项。

若要检查策略的范围邮箱的大小,请完成以下步骤:

  1. 连接到 Exchange Online PowerShell

  2. 运行以下命令:

    ForEach ($p in Get-SupervisoryReviewPolicyV2 | Sort-Object Name)
{
   "<Name of your communication compliance policy>: " + $p.Name
   Get-MailboxStatistics $p.ReviewMailbox | ft ItemCount,TotalItemSize
}