配置终结点数据丢失防护设置

终结点数据丢失防护的许多方面 (DLP) 行为由应用于设备的所有 DLP 策略的集中配置设置控制。 使用这些设置来控制以下行为:

  • 云出口限制
  • 针对每个应用程序的用户活动执行各种类型的限制性操作
  • Windows 和 macOS 设备的文件路径排除
  • 浏览器和域限制
  • 在策略提示中替代策略的业务理由的出现
  • 是否自动审核对 Office、PDF 和 CSV 文件执行的操作

若要访问这些设置,请从Microsoft Purview 合规门户导航到数据丢失防护>概述>数据丢失防护设置>终结点设置

提示

开始使用 Microsoft Copilot for Security,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的安全性Microsoft Copilot

重要

有关将 Microsoft Purview 数据丢失防护 (DLP) 功能与 PDF 文件配合使用的 Adobe 要求的信息,请参阅 Adobe:Acrobat 中的Microsoft Purview 信息保护支持文章。

终结点 DLP Windows 10/11 和 macOS 设置

终结点 DLP 还允许载入运行以下版本的 Windows Server 的设备:

注意

安装支持的 Windows Server KB 会在服务器上禁用 分类 功能。 这意味着终结点 DLP 不会对服务器上的文件进行分类。 但是,终结点 DLP 仍将保护服务器上那些在服务器上安装这些 KB 之前分类的文件。 若要确保此保护,请安装Microsoft Defender版本 4.18.23100 (2023 年 10 月) 或更高版本。

默认情况下,最初载入 Windows 服务器时,不会为它们启用终结点 DLP。 在活动资源管理器中查看服务器的终结点 DLP 事件之前,必须先 为 Windows Server 启用 Endpoint DLP

正确配置后,相同的数据丢失保护策略可以自动应用于 Windows 电脑和 Windows 服务器。

Setting 子设置 Windows 10、1809 及更高版本、Windows 11、Windows Server 2019、Windows Server 2022 (21H2 及) for Endpoints (X64) macOS (三个最新版本) 注释
高级分类扫描和保护 分配的带宽限制 支持 支持 高级分类为 macOS 启用这些功能: - 文档指纹
- 精确数据匹配基于敏感信息类型
- 可训练的分类器
- 了解命名实体
Windows 的文件路径排除项 不适用 支持 不适用
Mac 的文件路径排除项 不适用 不适用 支持 macOS 包括默认启用的推荐排除项列表
为设备上的文件活动设置证据收集 在设备上设置证据缓存 支持 不支持
网络共享覆盖范围和排除项 不适用 支持 不支持
受限应用和应用组 受限应用组 支持 支持
受限应用和应用组 受限应用 支持 支持
受限应用和应用组 自动隔离设置 支持 支持
不允许的蓝牙应用 不适用 支持 支持
敏感数据的浏览器和域限制 不允许的浏览器 支持 支持
敏感数据的浏览器和域限制 服务域 支持 支持
敏感数据的浏览器和域限制 敏感服务域组 支持 支持
终结点 DLP 的其他设置 策略提示中的业务理由 支持 支持
始终审核已载入设备的文件活动 不适用 支持 支持
打印机组 不适用 支持 支持
可移动 USB 设备组 不适用 支持 支持
网络共享组 不适用 支持 支持
VPN 设置 不适用 支持 不支持

其他设置

Setting Windows 10/11、Windows 10、1809 及更高版本,Windows 11 Windows Server 2019、Windows Server 2022 (21H2 及) for Endpoints (X64) macOS (三个最新版本)
存档文件 支持 支持 支持
文件类型和文件扩展名 支持 支持 支持
为 Windows Server 启用终结点 DLP 不支持 支持 不支持

为 Windows Server 启用终结点 DLP

终结点 DLP 支持以下版本的 Windows Server:

载入 Windows Server 后,必须先启用终结点 DLP 支持,然后才能应用终结点保护。

若要使用 DLP 警报管理仪表板:

  1. 在 Microsoft Purview 门户中,导航到 数据丢失防护>概述
  2. 选择右上角的“设置”。
  3. “设置” 页上,选择“ 终结点设置” ,然后展开 “已载入服务器的终结点 DLP 支持”。
  4. 将开关设置为 “开”。

高级分类扫描和保护

高级分类扫描和保护允许 Microsoft Purview 基于云的数据分类服务扫描项目、对其进行分类,并将结果返回到本地计算机。 因此,可以利用 DLP 策略中的分类技术,例如精确数据匹配分类、可训练分类器凭据分类器和命名实体

注意

“粘贴到浏览器”操作不支持高级分类。

如果启用高级分类,则将内容从本地设备发送到云服务来进行扫描和分类。 如果担心带宽使用量,可以设置在滚动 24 小时内可以使用多少带宽的限制。 此限制在 终结点设置 中配置,并按设备应用。 如果设置了带宽使用限制,并且超出该使用限制,DLP 将停止将用户内容发送到云。 此时,数据分类将继续在设备上本地进行,但使用精确数据匹配、命名实体、可训练分类器和凭据分类器的分类不可用。 当累积带宽使用量低于滚动 24 小时限制时,会恢复与云服务的通信。

如果带宽使用量不为问题,请选择“ 无限制 ”以允许无限带宽使用。

高级分类文件扫描大小限制

即使为高级分类启用了 “无限制 ”,仍对可扫描的单个文件的大小存在限制。

  • 文本文件有 64 MB 的限制。
  • 启用光学字符识别 (OCR) 时,图像文件有 50 MB 的限制。

即使带宽限制设置为“ 无限制”,高级分类也不适用于大于 64 MB 的文本文件。

以下 Windows 版本 (及更高版本) 支持高级分类扫描和保护。

  • 所有Windows 11版本
  • Windows 10版本 20H1/21H1 或更高版本 (KB 5006738)
  • Windows 10 RS5 (KB 5006744)

注意

  • Office(Word、Excel、PowerPoint)和 PDF 文件类型支持高级分类。

  • DLP 策略评估始终发生在云中,即使未发送用户内容。

提示

若要对Windows 10设备使用高级分类,必须安装 KB5016688。 若要对Windows 11设备使用高级分类,必须在这些Windows 11设备上安装KB5016691。 此外,在 活动资源管理器 显示 DLP 规则匹配事件的上下文文本之前,必须启用高级分类。 若要了解有关上下文文本的详细信息,请参阅 上下文摘要

文件路径排除

如果要从设备上的 DLP 监视、DLP 警报和 DLP 策略强制实施中排除某些路径,可以通过设置文件路径排除来关闭这些配置设置。 排除位置中的文件不受审核,并且在这些位置中创建或修改的任何文件不受 DLP 策略强制执行的约束。 若要在 DLP 设置中配置路径排除,请导航到Microsoft Purview 合规门户>数据丢失防护>概述>数据丢失防护设置>终结点设置>Windows 的文件路径排除项。

Windows 10/11 台设备

可以使用以下逻辑为 Windows 10/11 设备构造排除路径:

  • \结尾的有效文件路径表示仅排除指定文件夹直接下的文件。
    例如:C:\Temp\

  • \*结尾的有效文件路径意味着仅排除指定文件夹的子文件夹中的文件。 不排除指定文件夹本身直接下的文件。
    例如:C:\Temp\*

  • 以 不带 或 \*结尾\的有效文件路径表示将排除指定文件夹及其所有子文件夹下直接下的所有文件。
    例如:C:\Temp

  • 两端的 \ 之间带有通配符的路径。
    例如:C:\Users\*\Desktop\

  • 一个路径,通配符介于两端和 (number) 之间\,用于指定要排除的子文件夹的确切数量。
    例如:C:\Users\*(1)\Downloads\

  • 带有 SYSTEM 环境变量的路径。
    例如:%SystemDrive%\Test\*

  • 此处所述的所有模式的组合。
    例如:%SystemDrive%\Users\*\Documents\*(2)\Sub\

默认情况下排除的 Windows 文件路径

  • %SystemDrive%\\Users\\*(1)\\AppData\\Roaming
  • %SystemDrive%\\Users\\*(1)\\AppData\\Local\\Temp
  • %%SystemDrive%\\Users\\*(1)\\AppData\\Local\\Microsoft\\Windows\\INetCache

macOS 设备

还可以为 macOS 设备添加自己的排除项。

  • 文件路径定义不区分大小写,因此 Useruser

  • 支持通配符值。 因此,路径定义可以在路径中间或路径末尾包含星号 (*) 。
    例如:/Users/*/Library/Application Support/Microsoft/Teams/*

默认情况下排除的 macOS 文件路径

/System

出于性能原因,端点 DLP 包括适用于 macOS 设备的推荐文件路径排除列表。 如果 “包括适用于 Mac 的建议文件路径排除项 ”开关设置为 “开”,则还会排除以下路径:

  • /Applications
  • /usr
  • /Library
  • /private
  • /opt
  • /Users/*/Library/Logs
  • /Users/*/Library/Containers
  • /Users/*/Library/Application Support
  • /Users/*/Library/Group Containers
  • /Users/*/Library/Caches
  • /Users/*/Library/Developer

建议将此切换开关设置为 “开”。 但是,可以通过将 切换开关设置为 “关闭”来停止排除这些路径。

为设备上的文件活动设置证据收集

标识与设备上的策略匹配的项时,DLP 可以将这些项复制到 Azure 存储帐户。 此功能可用于审核策略活动和对特定匹配项进行故障排除。 使用此部分可添加存储帐户的名称和 URL。

注意

在启用此功能之前,必须在该存储帐户中创建一个 Azure 存储帐户和一个容器。 还必须为帐户配置权限。 设置 Azure 存储帐户时,请记住,你可能希望使用与租户位于同一 Azure 区域/地缘政治边界中的存储帐户。 还应考虑配置 Azure 存储帐户访问层Azure 存储帐户定价

网络共享覆盖范围和排除项

网络共享覆盖范围和排除范围 将终结点 DLP 策略和操作扩展到网络共享和映射网络驱动器上的新文件和已编辑的文件。 如果还启用了 恰时保护 ,则恰时保护覆盖范围和排除范围将扩展到网络共享和映射驱动器。 如果要排除所有受监视设备的特定网络路径,请在 “排除这些网络共享路径”中添加路径值。

此表显示了网络共享覆盖范围和排除项的默认设置。

网络共享覆盖范围和排除项 实时保护 结果行为
已启用 Disabled - 范围限定为设备的 DLP 策略应用于设备连接到的所有网络共享和映射驱动器。 支持的操作:设备
已禁用 已启用 - 实时保护仅应用于终结点本地存储设备上的文件。
已启用 已启用 - 范围限定为设备的 DLP 策略应用于设备连接到的所有网络共享和映射驱动器。 支持的操作:设备
- 实时保护应用于设备连接到的所有网络共享和映射驱动器。

网络共享覆盖范围和排除项 是对 DLP 本地存储库操作的补充。 此表显示排除设置和结果行为,具体取决于是否为本地存储库启用或禁用 DLP。

网络共享覆盖范围和排除项 DLP 本地存储库 结果行为
已启用 Disabled - 范围限定为设备的 DLP 策略应用于设备连接到的所有网络共享和映射驱动器。 支持的操作:设备
已禁用 已启用 - 作用域为本地存储库的策略可以对文件共享和 SharePoint 文档库和文件夹中的本地静态数据强制实施保护操作。 DLP 本地存储库操作
已启用 已启用 - 范围限定为设备的 DLP 策略应用于设备连接到的所有网络共享和映射驱动器。 支持的操作:设备
- 作用域为本地存储库的策略可以对文件共享和 SharePoint 文档库和文件夹中的本地静态数据强制实施保护操作。 DLP 本地存储库操作

受限应用和应用组

受限应用

受限 应用 列表 (以前称为 “未允许的应用) ”是创建的应用程序的自定义列表。 配置当有人使用列表中的应用 访问 设备上受 DLP 保护的文件时,DLP 将采取哪些操作。 “受限应用”列表适用于运行三个最新 macOS 版本中的任何一个的 Windows 10/11 和 macOS 设备。

重要

  • 不要包含可执行文件的路径。 仅包括可执行名称 (,例如 browser.exe) 。

  • 为受限应用列表中的应用定义的操作 (auditblock with overrideblock) 仅在用户尝试 访问 受保护的项时适用。

如果在策略中选择了“ 受限应用的访问权限 ”,并且用户使用受限应用列表中的应用访问受保护的文件,则活动为 auditedblockedblocked with override,具体取决于“ 受限应用 ”列表的配置方式。 异常:如果 “受限应用 ”列表中的某个应用也是 受限应用组的成员,则为 “受限应用”组中 的活动配置的操作将替代为 “受限应用 ”列表配置的操作。 所有活动都经过审核,可在活动资源管理器中查看。

受限应用组 (预览)

受限应用组是在 DLP 设置中创建,然后添加到策略中的规则的应用集合。 将受限应用组添加到策略时,可以执行下表中定义的操作。

受限应用组选项 允许你执行的操作
不限制文件活动 告知 DLP 允许用户使用应用组中的应用访问 DLP 保护的项目,而无需在用户尝试 复制到剪贴板复制到 USB 可移动驱动器复制到网络驱动器或从应用 打印 时执行任何操作。
对所有活动应用限制 Audit only当用户尝试使用相关应用组中的应用访问受 DLP 保护的项目时,将 DLP 告知 、 Block with overrideBlock
对特定活动应用限制 此设置允许用户使用应用组中的应用访问受 DLP 保护的项目。 它还允许你在用户尝试复制到剪贴板Block复制到 USB 可移动驱动器、复制到网络驱动器Block with override打印时选择 DLP (、 或) 的默认操作Audit only

重要

受限应用 组中 的设置将覆盖受限应用 列表中 设置的任何限制(如果这些限制位于同一规则中)。 因此,如果应用位于受限应用列表中,并且也是受限应用组的成员,则会应用受限应用组的设置。

DLP 如何对活动应用限制

受限应用组中应用的文件活动所有应用的文件活动受限应用活动列表之间的交互范围限定为同一规则。

受限应用组替代

在“受限应用组中应用的文件活动”中定义的配置将替代“受限应用活动”列表和同一规则中“所有应用的文件活动”中的配置。

所有应用的受限应用活动和文件活动

如果为 受限应用活动 定义的操作在同一规则中为 Audit onlyBlock with override,则 受限应用活动所有应用的文件活动 将协同工作。 为什么? 仅当用户使用列表中的 应用 访问文件时,为受限应用活动定义的操作才适用。 用户获得访问权限后,则为 所有应用的文件活动 中的活动定义的操作适用。

例如,以以下示例为例。 假设 Notepad.exe 已添加到 受限应用并且所有应用的文件活动 都配置为 对特定活动应用限制,并且两者都按下表所示进行配置:

策略中的设置 应用名称 用户活动 要执行的 DLP 操作
受限应用活动 记事本 访问受 DLP 保护的项目 仅审核
所有应用的文件活动 所有应用 复制到剪贴板 仅审核
所有应用的文件活动 所有应用 复制到 USB 可移动设备 阻止
所有应用的文件活动 所有应用 复制到网络共享 仅审核
所有应用的文件活动 所有应用 打印 阻止
所有应用的文件活动 所有应用 使用未经允许的蓝牙应用复制或移动 Blocked
所有应用的文件活动 所有应用 远程桌面服务 通过替代阻止

当用户 A 使用记事本打开 DLP 保护的文件时,DLP 允许访问和审核活动。 当仍在记事本中时,用户 A 会尝试将内容从受保护项复制到剪贴板。 此操作成功,DLP 会审核活动。 然后,用户 A 尝试从记事本打印受保护项,但该活动受到阻止。

注意

如果将 受限应用访问 中要执行的 DLP 操作设置为 block,则将阻止所有访问,并且用户无法对文件执行任何活动。

仅所有应用的文件活动

如果某个应用不在受限应用组受限应用活动列表中的“文件”活动中,或者位于“受限应用活动”列表中,操作为 或 Block with override,则在同一Audit only规则中应用“文件”活动中定义的所有限制。

macOS 设备

还可以通过在 “受限应用活动 ”列表中定义敏感数据来阻止 macOS 应用访问敏感数据。

注意

必须输入跨平台应用,并输入它们所运行的操作系统的唯一路径。

若要查找 Mac 应用程序的完整路径:

  1. 在 macOS 设备上,打开“活动监视器”。 找到并双击要限制的进程。

  2. 选择“ 打开文件和端口 ”选项卡。

  3. 记下完整的路径名称,包括应用的名称。

自动隔离

若要防止云同步应用(如 onedrive.exe)将敏感项目同步到云,请使用自动隔离功能将云同步应用添加到受限应用列表

启用后,当受限应用尝试访问受 DLP 保护的敏感项时,将触发自动隔离。 自动隔离会将敏感项移动到管理员配置的文件夹。 如果配置为执行此操作,自动 quarrantine 可以将占位符保留 (.txt) 文件来代替原始文件。 可以配置占位符文件中的文本,以告知用户项的新位置和其他相关信息。

当未启用的云同步应用尝试访问受阻止 DLP 策略保护的项目时,请使用自动 quarrantine 功能。 DLP 可能会生成重复的通知。 可以通过启用 自动隔离来避免这些重复的通知。

还可以使用自动隔离来防止用户和管理员收到无休止的 DLP 通知链。 有关详细信息,请参阅 方案 4:避免使用自动隔离从云同步应用循环发送 DLP 通知

不受限制 () 蓝牙应用

若要防止用户通过特定的蓝牙应用传输受策略保护的文件,请将这些应用添加到终结点 DLP 设置中的 “未启用的蓝牙应用 ”列表。

敏感数据的浏览器和域限制

限制与策略匹配的敏感文件与不受限制的云服务域共享。

不允许的浏览器

对于 Windows 设备,可以限制使用指定的 Web 浏览器(由其可执行文件名称标识)。 指定的浏览器被阻止访问符合强制执行的 DLP 策略的条件的文件,该策略的上传到云服务限制设置为 blockblock override。 当这些浏览器被阻止访问文件时,最终用户会看到一条 Toast 通知,要求他们通过 Microsoft Edge 打开该文件。

对于 macOS 设备,必须添加完整的文件路径。 若要查找 Mac 应用程序的完整路径:

  1. 在 macOS 设备上,打开“活动监视器”。 找到并双击要限制的进程。

  2. 选择“打开文件和端口”选项卡。

  3. 请务必记下完整的路径名称,包括应用的名称。

服务域

此处 的服务域 与工作流中用于在 DLP 策略中创建规则的“ 审核或限制设备上的活动 ”设置协同工作。

创建规则时,可以在满足某些条件时使用操作来保护内容。 为终结点设备创建规则时,需要选择“ 审核或限制设备上的活动” 选项,并选择以下选项之一:

  • 仅审核
  • 通过替代阻止
  • 阻止

若要控制是否可将受策略保护的敏感文件上传到特定服务域,接下来需要导航到 终结点 DLP 设置>浏览器和敏感数据的域限制 ,并选择默认情况下是 阻止 还是 允许服务域

注意

服务域设置仅适用于使用 Microsoft Edge 上传的文件,或者使用安装了 Microsoft Purview Chrome 扩展的 Google Chrome 或 Mozilla Firefox 实例。

阻止

当“ 服务域 ”列表设置为 “阻止”时,可以使用 “添加云服务域 ”来指定应阻止的域。 允许所有其他服务域。 在这种情况下,仅当用户尝试将敏感文件上传到不在列表中的任何域时,才会应用 DLP 策略。

例如,请考虑以下配置:

  • DLP 策略配置为检测包含物理地址的敏感项目,并且“ 审核或限制设备上的活动 ”选项设置为“ 仅审核”。
  • 服务域” 设置设置为 “阻止”。
  • contoso.com 不在列表中。
  • wingtiptoys.com 位于列表中。

在这种情况下,如果用户尝试将具有物理地址的敏感文件上传到 contoso.com,则允许上传完成并生成审核事件,但不触发警报。

相反,如果用户尝试将具有信用卡号码的敏感文件上传到 wingtiptoys.com,则用户活动(即上传)也允许完成,并生成审核事件和警报。

另一个示例,请考虑以下配置:

  • DLP 策略配置为检测包含物理地址的敏感项目,并且“ 审核或限制设备上的活动 ”选项设置为 “阻止”。
  • 服务域” 设置设置为 “阻止”。
  • contoso.com 不在列表中。
  • wingtiptoys.com 位于列表中。

在这种情况下,如果用户尝试将具有物理地址的敏感文件上传到 contoso.com,则允许上传完成并触发审核事件,则会生成审核事件,但不触发警报。

相反,如果用户尝试将具有信用卡号码的敏感文件上传到 wingtiptoys.com,则会阻止用户活动(即上传),并生成审核事件和警报。

允许

当“ 服务域” 列表设置为 “允许”时,可以使用 “添加云服务域 ”来指定允许的域。 阻止所有其他服务域。 在这种情况下,仅当用户尝试将敏感文件上传到任何列出的域时,才会应用 DLP 策略。

例如,下面是两个起始配置:

  • DLP 策略配置为检测包含信用卡号码的敏感项目,并且“审核或限制设备上的活动”选项设置为“使用替代阻止”。
  • 服务域” 设置设置为 “允许”。
  • contoso.com 不在 “允许” 列表中。
  • wingtiptoys.com 位于 “允许” 列表中。

在这种情况下,如果用户尝试将具有信用卡号码的敏感文件上传到 contoso.com,则会阻止上传,并显示警告,为用户提供替代块的选项。 如果用户选择替代该块,则会生成审核事件并触发警报。

但是,如果用户尝试将包含信用卡号码的敏感文件上传到 wingtiptoys.com,则不会应用该策略。 允许上传完成,并生成审核事件,但不触发警报。

  • DLP 策略配置为检测包含物理地址的敏感项目,并且“审核或限制设备上的活动”选项设置为“仅审核”。
  • 服务域” 设置设置为“允许”。
  • contoso.com 不在列表中。
  • 列表中 wingtiptoys.com IS。

在这种情况下,如果用户尝试将具有物理地址的敏感文件上传到 contoso.com,则允许上传完成,并生成审核事件和警报。

相反,如果用户尝试将具有信用卡号码的敏感文件上传到 wingtiptoys.com,也允许完成用户活动(上传),则会生成审核事件,但不会触发警报。

重要

当服务限制模式设置为 “允许”时,在强制实施限制之前,必须至少配置一个服务域。

摘要表:允许/阻止行为

下表显示了系统的行为方式,具体取决于列出的设置。

终结点 DLP 服务域设置 DLP 策略规则 审核或限制设备上的活动设置 用户转到列出的站点 用户转到未列出的站点
允许 仅审核 - 审核用户活动
- 未生成警报
- 未应用 DLP 策略
- 审核用户活动
- 生成警报
- DLP 策略在审核模式下应用
允许 通过替代阻止 - 审核用户活动
- 未生成警报
- 未应用 DLP 策略
- 审核用户活动
- 生成警报
- DLP 策略在具有替代模式的阻止中应用
允许 阻止 - 审核用户活动
- 未生成警报
- 未应用 DLP 策略
- 审核用户活动
- 生成警报
- DLP 策略在阻止模式下应用
阻止 仅审核 - 审核用户活动
- 生成警报
- DLP 策略在审核模式下应用
- 审核用户活动
- 未生成警报
- 未应用 DLP 策略
阻止 通过替代阻止 - 审核用户活动
- 生成警报
- DLP 策略在具有替代模式的阻止中应用
- 审核用户活动 - 不生成警报
- 未应用 DLP 策略
阻止 阻止 - 审核用户活动
- 生成警报
- DLP 策略在阻止模式下应用
- 审核用户活动
- 未生成警报
- 未应用 DLP 策略

将域添加到列表时,请使用服务域的 FQDN 格式,而不使用结束时间段 (.) 。

例如:

Input URL 匹配行为
CONTOSO.COM 匹配指定的域名和任何子网站

://contoso.com

://contoso.com/

://contoso.com/anysubsite1

://contoso.com/anysubsite1/anysubsite2 (等 )

与子域或未指定的域不匹配

://anysubdomain.contoso.com

://anysubdomain.contoso.com.AU

* .CONTOSO.COM 匹配指定的域名、任何子域、任何站点

://contoso.com

://contoso.com/anysubsite

://contoso.com/anysubsite1/anysubsite2

://anysubdomain.contoso.com/

://anysubdomain.contoso.com/anysubsite/

://anysubdomain1.anysubdomain2.contoso.com/anysubsite/

://anysubdomain1.anysubdomain2.contoso.com/anysubsite1/anysubsite2 (等 )

不匹配未指定的域

://anysubdomain.contoso.com.AU/

www.contoso.com 匹配指定的域名

www.contoso.com

与未指定的域或子域不匹配

*://anysubdomain.contoso.com/,在这种情况下,必须输入 FQDN 域名本身 www.contoso.com

最多可以在 “敏感服务域”下配置 50 个域。

敏感服务域组

敏感服务域中列出网站时,当用户尝试执行以下操作之一时,可以 auditblock with override或完全 block 用户活动:

  • 从网站打印
  • 从网站复制数据
  • 将网站另存为本地文件
  • 将敏感文件上传或拖放到排除的网站
  • 将敏感数据粘贴到排除的网站

下表显示了哪些浏览器支持这些功能:

浏览器 支持的功能
Microsoft Edge - 打印网站
- 从站点复制数据
- 将站点另存为本地文件 (另存为)
- 粘贴到支持的浏览器
- 上传到受限制的云服务域
具有 Microsoft Purview 扩展的 Google Chrome () - 粘贴到支持的浏览器
- 上传到受限制的云服务域
使用 Microsoft Purview 扩展) 的 Mozilla Firefox ( - 上传到受限的云服务
- 粘贴到支持的浏览器

对于 “粘贴到支持的浏览器 ”操作,在用户尝试将文本粘贴到网页和系统完成对文本的分类和响应之间可能存在短暂的滞后时间。 如果发生此分类延迟,你可能会在 Chrome 和 Firefox 上的 Edge 或策略评估 Toast 中看到策略评估和检查完成通知。 下面是最小化通知数的一些提示:

  1. 当目标网站的策略配置为 “阻止 ”或“阻止”, 并覆盖 该用户的 “粘贴到支持的浏览器 ”时,将触发通知。 可以将整体操作配置为 “审核 ”,然后使用异常 “阻止 目标网站”。 或者,可以将整体操作设置为 “阻止 ”,然后使用异常 “审核 安全网站”。
  2. 使用最新的反恶意软件客户端版本。
  3. 确保 Microsoft Edge 的版本为 120 或更高版本。
  4. 安装以下 Windows KB:
    1. Windows 10:KB5032278KB5023773
    2. Windows 11 21H2:KB5023774
    3. Win 11 22H2: KB5032288KB5023778

注意

服务域设置仅适用于使用 Microsoft Edge 上传的文件,或者安装了 Microsoft Purview Chrome 扩展的 Google Chrome 或 Mozilla Firefox 实例。

对于设备,必须将 “敏感服务域 ”列表配置为在 DLP 策略中使用 “上传到受限云服务域 ”操作。 还可以定义要向其分配与全局网站组操作不同的策略操作的网站组。 最多可以将 100 个网站添加到单个组中,最多可以创建 150 个组。 有关详细信息,请参阅 方案 6:监视或限制敏感服务域上的用户活动

重要

有关 “粘贴到支持的浏览器 ”操作。 如果在此功能的规则上启用了“收集原始文件作为终结点上所有选定文件活动的证据”,则如果用户的 Windows 设备未安装反恶意软件客户端版本 4.18.23110 或更高版本,则源文本中可能会出现垃圾字符。 选择 “操作>下载 ”以查看实际内容。

有关详细信息,请参阅 方案 7:限制将敏感内容粘贴到浏览器中

在网站组中用于指定网站的支持的语法

如果使用 URL 来标识网站,请不要将网络协议作为 URL (的一部分包括在内,例如 ,https://file://) 。 相反,使用灵活的语法在网站组中包括和排除域、子域、网站和子网站。 例如,

  • 用作 * 通配符以指定所有域或所有子域。
  • / URL 末尾用作终止符,以仅限定到该特定站点。

如果添加的 URL 没有终止斜杠标记 ( /) ,该 URL 的范围将限定为该网站和所有子网站。

此语法适用于所有 http/https 网站。 下面是一些示例:

添加到网站组的 URL URL 将匹配 URL 不匹配
contoso.com //
// contoso.com contoso.com/ //
contoso.com/allsubsites1 contoso.com/allsubsites1/allsubsites2
//
//
// allsubdomains.contoso.com allsubdomains.contoso.com.au
contoso.com/ //
// contoso.com contoso.com/
//
// contoso.com/allsubsites1 contoso.com/allsubsites1/allsubsites2 //
allsubdomains.contoso.com allsubdomains.contoso.com/au
//
*.contoso.com //
//contoso.com contoso.com/allsubsites //
contoso.com/allsubsites1/allsubsites2 //
allsubdomains.contoso.com
// allsubdomains.contoso.com/allsubsites
//allsubdomains1/allsubdomains2/contoso.com/allsubsites1/allsubsites2
// allsubdomains.contoso.com.au
*.contoso.com/xyz //
// contoso.com contoso.com/xyz
//contoso.com/xyz/allsubsites/ //
allsubdomains.contoso.com/xyz allsubdomains.contoso.com/xyz/allsubsites
// allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites1/allsubsites2 //

//
//
// contoso.com/xyz/ allsubdomains.contoso.com/xyz/
*.contoso.com/xyz/ //
// contoso.com/xyz allsubdomains.contoso.com/xyz
//
// contoso.com contoso.com/xyz/allsubsites/
//allsubdomains.contoso.com/xyz/allsubsites/ //
allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites/ allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites1/allsubsites2
//

重要

URL 支持以下操作:

  • 打印站点
  • 从站点复制数据
  • 将站点另存为本地文件 (另存为)
  • 粘贴到支持的浏览器
  • 上传到受限的云服务域

IP 地址和 IP 地址范围支持以下操作:

  • 打印站点
  • 从站点复制数据
  • 将站点另存为本地文件 (另存为)

终结点 DLP 的其他设置

策略提示中的业务理由

可以控制用户如何与 用于配置策略提示的选项中的业务理由选项交互。 当用户执行受 DLP 策略中 以超越阻止 设置所保护的活动时,将出现此选项。 这是全局设置。 可从下列选项中进行选择:

  • 显示默认选项和自定义文本框:默认情况下,用户可以选择内置理由,也可以输入自己的文本。
  • 仅显示默认选项:用户只能从内置理由列表中选择。
  • 仅显示自定义文本框:用户只能输入自定义理由。 文本框显示在最终用户策略提示通知中,没有选项列表。

自定义下拉菜单中的选项

通过选择“自定义选项”下拉菜单,最多可以创建五个自定义选项,这些 选项在用户与策略通知提示交互时显示。

选项 默认文本
选项 1 这是已建立的业务工作流的一部分 ,也可以输入自定义文本
选项 2 我的经理已批准此操作,或者可以输入自定义文本
选项 3 需要紧急访问;我将单独通知我的经理,或者可以输入自定义文本
显示误报选项 这些文件中的信息不敏感,或者可以输入自定义文本
选项 5 其他,或者可以输入自定义文本

始终审核已载入设备的文件活动

默认情况下,当设备载入后,将自动审核 Office、PDF 和 CSV 文件的活动,并可在活动资源管理器中审阅。 如果希望仅在活动策略中包含已加入的设备时审核此活动,请关闭此功能。

始终审核已加入设备的文件活动,无论它们是否包含在活动策略中。

打印机组

使用此设置可定义要向其分配策略操作的打印机组,这些打印机与全局打印操作不同。

创建打印机组的最常见用例是使用它们将合同的打印限制为组织法律部门中的那些打印机。 在此处定义打印机组后,可以在范围限定为 “设备”的所有策略中使用它。 有关配置策略操作以使用授权组的详细信息,请参阅 方案 8 授权组

最多可以创建 20 个打印机组。 每个组最多可以包含 50 个打印机。

重要

macOS 15/Sequoia 的用户可能会看到此对话框 “com.microsoft.dlp.daemon”想要在本地网络上查找设备。 管理员可以告知其用户选择“ 允许” 以允许终结点 DLP 正确执行打印机保护。

用户的映像

注意

此功能适用于运行以下任何 Windows 版本的设备:

来看一个示例。 假设你希望 DLP 策略阻止向所有打印机打印合同,但法律部门中的打印机除外。

  1. 使用以下参数在每个组中分配打印机。

    • 友好打印机 名称 - 从设备管理器中的打印机设备属性详细信息中获取友好打印机名称值。
    • USB 打印机 - 通过计算机的 USB 端口连接的打印机。 如果要在未选择 USB 产品 ID 和 USB 供应商 ID 时强制实施任何 USB 打印机,请选择此选项。 还可以通过指定特定 USB 打印机的 USB 产品 ID 和 USB 供应商 ID 来分配该打印机。
    • USB 产品 ID - 从设备管理器中的打印机设备属性详细信息获取设备 实例 路径值。 将该值转换为产品 ID 和供应商 ID 格式。 有关详细信息,请参阅 标准 USB 标识符
    • USB 供应商 ID - 从设备管理器中的打印机设备属性详细信息获取设备 实例 路径值。 将该值转换为产品 ID 和供应商 ID 格式。 有关详细信息,请参阅 标准 USB 标识符
    • IP 范围
    • 打印到文件 - Microsoft打印为 PDF 或 Microsoft XPS 文档编写器。 如果只想强制Microsoft打印为 PDF,则应使用友好打印机名称与“Microsoft打印为 PDF”。
    • 在打印机上部署的通用打印 - 有关通用打印机的详细信息,请参阅 设置通用打印
    • 企业打印机 - 是通过域中的本地 Windows 打印服务器共享的打印队列。 其路径可能如下所示:\print-server\contoso.com\legal_printer_001。
    • 打印到本地 - 通过Microsoft打印端口连接的任何打印机,但不是上述任何类型。 例如:通过远程桌面或重定向打印机进行打印。

注意

不应使用 USB 打印机IP 范围打印到文件在打印机上部署的通用打印企业打印机打印到本地的多个参数。

  1. 为组中的每台打印机分配 一个显示名称。 这些名称仅显示在 Microsoft Purview 控制台中。

  2. 创建名为“法律打印机”的打印机组,并添加单个打印机 (,其别名) 友好名称;例如:legal_printer_001legal_printer_002legal_color_printer。 (一次可以选择多个参数,以帮助明确标识特定的 printer.)

  3. 将策略操作分配给 DLP 策略中的组:

    • Allow (审核,没有用户通知或警报)
    • Audit only (可以添加通知和警报)
    • Block with override (阻止操作,但用户可以替代)
    • Block (阻止,无论)

创建打印机组

  1. 打开Microsoft Purview 合规门户并导航到“数据丢失防护>概述>数据丢失防护设置>终结点设置>打印机组”。
  2. 选择 “创建打印机组”。
  3. 为组命名。
  4. 选择 “添加打印机”。
  5. 为打印机指定 友好名称。 所选名称仅在此处显示。
  6. 选择参数并提供值以明确标识特定打印机。
  7. 选择“添加”。
  8. 根据需要添加其他打印机。
  9. 选择 “保存” ,然后选择 “关闭”。

可移动 USB 设备组

使用此设置可定义要向其分配不同于全局打印操作的策略操作的可移动存储设备(如 U 盘)组。 例如,假设你希望 DLP 策略阻止将具有工程规范的项目复制到可移动存储设备,但用于备份异地存储数据的 USB 连接硬盘驱动器除外。

最多可以创建 20 个组,每个组中最多有 50 个可移动存储设备。

注意

此功能适用于运行以下任何 Windows 版本的设备:

  • Windows 10 及更高版本 (21H1、21H2) KB 5018482
  • 使用 KB 5018483 赢得 11 21H2、22H2
  • Windows 10 RS5 (KB 5006744) 和 Windows Server 2022

使用以下参数定义可移动存储设备。

  • 存储设备友好名称 - 从设备管理器中的存储设备属性详细信息中获取友好名称值。 支持通配符值。
  • USB 产品 ID - 从设备管理器中的 USB 设备属性详细信息获取设备实例路径值。 将其转换为产品 ID 和供应商 ID 格式。 有关详细信息,请参阅 标准 USB 标识符
  • USB 供应商 ID - 从设备管理器中的 USB 设备属性详细信息获取设备实例路径值。 将其转换为产品 ID 和供应商 ID 格式。 有关详细信息,请参阅 标准 USB 标识符
  • 序列号 ID - 从设备管理器中的存储设备属性详细信息中获取序列号 ID 值。 支持通配符值。
  • 设备 ID - 从设备管理器中的存储设备属性详细信息中获取设备 ID 值。 支持通配符值。
  • 实例路径 ID - 从设备管理器中的存储设备属性详细信息中获取设备 ID 值。 支持通配符值。
  • 硬件 ID - 从设备管理器中的存储设备属性详细信息中获取硬件 ID 值。 支持通配符值。

为组中的每个可移动存储设备分配 别名。 别名是一个友好名称,仅出现在 Microsoft Purview 控制台中。 因此,继续本示例,创建名为 Backup 的可移动存储设备组,并添加单个设备 (,其别名) 友好名称,例如 backup_drive_001、 和 backup_drive_002

可以多选参数,然后打印机组将包括满足这些参数的所有设备。

可以在 DLP 策略中将这些策略操作分配给组:

  • Allow (审核,没有用户通知或警报)
  • Audit only (可以添加通知和警报)
  • Block with 替代 (阻止操作,但用户可以替代)
  • Block (阻止,无论)

创建可移动 USB 设备组

  1. 打开 Microsoft Purview 合规门户>数据丢失防护>概述>数据丢失防护设置>终结点设置>可移动存储设备组
  2. 选择“ 创建可移动存储设备组”。
  3. 提供 组名称
  4. 选择 “添加可移动存储设备”。
  5. 提供 别名
  6. 选择参数并提供值以明确标识特定设备。
  7. 选择“添加”。
  8. 根据需要将其他设备添加到组。
  9. 选择 “保存” ,然后选择 “关闭”。

创建可移动存储组的最常见用例是使用它们来指定用户可以将文件复制到的可移动存储设备。 通常,仅允许指定 备份 组中的设备进行复制。

定义可移动存储设备组后,可以在范围限定为 “设备”的所有策略中使用它。 有关配置策略操作以使用 授权组的详细信息,请参阅方案 8: 授权组。

网络共享组

使用此设置可定义要向其分配策略操作的网络共享路径组,这些操作不同于全局网络共享路径操作。 例如,假设你希望 DLP 策略阻止用户保存受保护的文件或将其复制到网络共享,但特定组中的网络共享除外。

注意

此功能适用于运行以下任何 Windows 版本的设备:

  • Windows 10 及更高版本 (21H1、21H2) KB 5018482
  • 使用 KB 5018483 赢得 11 21H2、22H2
  • Windows 10 RS5 (KB 5006744) 和 Windows Server 2022

若要在组中包括网络共享路径,请定义所有共享开头的前缀。 例如:

  • “\Library”将匹配:

    • \Library 文件夹及其所有子文件夹。
  • 可以使用通配符,例如“\Users*\Desktop”将匹配:

    • “\Users\user1\Desktop”
    • “\Users\user1\user2\Desktop”
    • “\Users*\Desktop”
  • 还可以使用环境变量,例如:

    • %AppData%\app123

可以在 DLP 策略中将以下策略操作分配给组:

  • Allow (审核,没有用户通知或警报)
  • Audit only (可以添加通知和警报)
  • Block with override (阻止操作,但用户可以替代)
  • Block (阻止,无论)

定义网络共享组后,可以在作用域为 “设备”的所有 DLP 策略中使用它。 有关配置策略操作以使用授权组的详细信息,请参阅 方案 8 授权组

创建网络共享组

  1. 打开 Microsoft Purview 合规门户>数据丢失防护>概述>数据丢失防护设置>终结点设置>网络共享组。 1.选择 “创建网络共享组”。
  2. 提供 组名称
  3. 将文件路径添加到共享。
  4. 选择“添加”。
  5. 根据需要向组添加其他共享路径。
  6. 选择 “保存” ,然后选择 “关闭”。

VPN 设置

使用 VPN 列表仅控制通过该 VPN 执行的操作。

注意

此功能适用于运行以下任一版本的 Windows 的设备:

  • Windows 10 及更高版本 (21H1、21H2) KB 5018482
  • Windows 11 21H2、22H2 和 KB 5018483
  • Windows 10 RS5 (KB 5006744)

“VPN 设置”中列出 VPN 时,可以向其分配以下策略操作:

  • Allow (审核,没有用户通知或警报)
  • Audit only (可以添加通知和警报)
  • Block with override (阻止操作,但用户可以替代)
  • Block (阻止,无论)

这些操作可以单独或共同应用于以下用户活动:

  • 复制到剪贴板
  • 复制到 USB 可移动设备
  • 复制到网络共享
  • 打印
  • 使用不受允许 (受限) 蓝牙应用进行复制或移动
  • 使用 RDP 复制或移动

配置 DLP 策略以限制设备上的活动时,可以控制当用户连接到列出的任何 VPN 中的组织时所执行的每个活动会发生什么情况。

使用 服务器地址网络地址 参数定义允许的 VPN。

获取服务器地址或网络地址

  1. 在受 DLP 监视的 Windows 设备上,以管理员身份打开Windows PowerShell窗口。
  2. 运行以下 cmdlet,该 cmdlet 返回多个字段和值。
Get-VpnConnection
  1. 在 cmdlet 的结果中,找到 ServerAddress 字段并记录该值。 在 VPN 列表中创建 VPN 条目时,将使用 ServerAddress
  2. 找到 “名称” 字段并记录该值。 在 VPN 列表中创建 VPN 条目时 ,“名称” 字段映射到“ 网络地址 ”字段。

添加 VPN

  1. 打开Microsoft Purview 合规门户>数据丢失防护>概述>数据丢失防护设置>终结点设置>VPN 设置
  2. 选择 “添加或编辑 VPN 地址”。
  3. 提供运行 Get-VpnConnection后记录的服务器地址网络地址
  4. 选择“保存”
  5. 关闭项目。

重要

“网络限制 ”设置下,还将看到 “公司网络 ”选项。 公司网络连接 都是与组织资源的连接。 可以通过以管理员身份运行 Get-NetConnectionProfile cmdlet 来查看设备是否正在使用公司网络NetworkCategoryId如果输出中的 为 DomainAuthenticated,则表示计算机已连接到企业网络。 如果输出为任何其他内容,则计算机不是 。 在某些情况下,计算机可以同时连接 VPN 和已连接企业网络。 如果在 “网络限制”下选择了两者,则终结点 DLP 将根据顺序应用操作。 如果希望对 VPN 的操作是应用的操作,请将 VPN 条目移到 “企业网络”上方,以便 具有比 “企业网络”操作更高的优先级。

有关配置策略操作以使用 网络异常的详细信息,请参阅方案 9: 网络异常。

另请参阅