活动资源管理器入门
通过数据分类概述和内容资源管理器选项卡,可查看已发现和标记的内容以及该内容的位置。 活动资源管理器 通过允许你监视已标记内容执行的操作来完善此功能套件。 活动资源管理器提供已标记内容上活动的历史视图。 活动信息是从 Microsoft 365 统一审核日志中收集的、经过转换的,然后在活动资源管理器 UI 中提供。 活动资源管理器报告最多 30 天的数据。
有 30 多种不同的筛选器可供使用,其中一些筛选器包括:
- 日期范围
- 活动类型
- 位置
- 用户
- 敏感度标签
- 保留标签
- 文件路径
- DLP 策略
提示
如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。
先决条件
访问和使用数据分类的每个帐户,都必须拥有从以下其中一个订阅向其分配的许可证:
- Microsoft 365 (E5)
- Office 365 (E5)
- 高级合规性(E5)加载项
- 高级威胁智能(E5)加载项
- Microsoft 365 E5/A5 信息保护和管控
- Microsoft 365 E5/A5 合规
权限
帐户必须在其中任一角色组中显式分配成员身份,或者必须显式授予该角色。
角色和角色组
可以使用一些角色和角色组来微调访问控制。 若要详细了解它们,请参阅Microsoft Purview 合规门户中的权限。
| Microsoft Purview 角色 | Microsoft Purview 角色组 | Microsoft 365 角色 | Microsoft 365 角色组 |
|---|---|---|---|
| 信息保护管理员 | 信息保护 | 全局管理员 | 合规性管理员 |
| 信息保护分析师 | 信息保护管理员 | 合规性管理员 | 安全管理员 |
| 信息保护调查员 | 信息保护调查员 | 安全管理员 | 安全信息读取者 |
| 信息保护读者 | 信息保护分析师 | 合规性数据管理员 | |
| 信息保护读者 |
活动类型
活动资源管理器从多个活动源的审核日志中收集信息。
Microsoft Office 原生应用程序中的敏感度标签活动和保留标签活动的一些示例、Microsoft 信息保护客户端和扫描程序、SharePoint、Exchange (敏感度标签仅) ,OneDrive 包括:
- 已应用的标签
- 已更改(已升级、已降级或已删除)的标签
- 自动标记模拟
- 已读文件
对于活动资源管理器中列出的当前活动列表,请转到活动资源管理器并打开现有筛选器。 下拉列表中提供了活动列表。
特定于 Microsoft 信息保护 客户端和扫描程序的标签活动(活动资源管理器中包括:
- 已应用保护
- 已更改保护
- 已删除保护
- 已发现文件
有关哪些标记活动使其进入活动资源管理器的更多详细信息,请参阅 标记活动资源管理器中可用的事件。
此外,使用终结点数据丢失防护 (DLP) ,活动资源管理器会收集来自 Exchange、SharePoint、OneDrive、Teams 聊天和频道、本地 SharePoint 文件夹和库、本地文件共享以及运行 Windows 10、Windows 11以及三个最新 macOS 版本中的任何一个的设备的 DLP 策略匹配事件。 从Windows 10设备收集的一些示例事件包括对文件采取的以下操作:
- 删除
- 创造
- 复制到剪贴板
- 修改
- 阅读
- 打印
- 重命名
- 复制到网络共享
- 由未安装的应用访问
了解对具有敏感度标签的内容执行的操作有助于确定已实施的控制措施(如Microsoft Purview 数据丢失防护策略)是否有效。 如果没有,或者如果你发现意外 ((例如大量标记为 highly confidential 降级为 general) 的项目),则可以管理策略并采取新操作来限制不需要的行为。
注意
活动资源管理器当前不监视 Exchange 的保留活动。
注意
如果用户将 Teams DLP 判决报告为误报,活动将在活动资源管理器的列表中显示为 DLP 信息。 条目不会显示任何规则和策略匹配详细信息,但将显示合成值。 也不会为误报生成事件报告。
活动类型事件和警报
下表针对三个示例策略配置列出了在活动资源管理器中触发的事件,具体取决于是否检测到策略匹配。
| 策略配置 | 为此操作类型触发的活动资源管理器事件 | 匹配 DLP 规则时触发的活动资源管理器事件 | 已触发活动资源管理器警报 |
|---|---|---|---|
| 策略包含一个规则,允许活动无需审核。 | 是 | 否 | 否 |
| 策略包含两个规则:允许规则 #1 匹配;审核规则 #2 的策略匹配项。 | 是 仅 (规则 #2) |
是 仅 (规则 #2) |
是 仅 (规则 #2) |
| 策略包含两个规则:允许且不审核这两个规则的匹配项。 | 是 | 否 | 否 |