从设备收集与数据丢失防护策略匹配文件的入门

本文将引导你完成设备上文件活动证据收集的先决条件和配置步骤，并介绍如何查看复制和保存的项。

提示

如果你不是 E5 客户，请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

下面是为设备上的文件活动配置和使用证据收集的高级步骤。

1. 载入设备
2. 了解你的要求Create托管 Azure 存储帐户
3. 将 Azure 存储 Blob 添加到帐户
4. 在 Microsoft (预览版) 管理的存储帐户上启用和配置证据收集
5. 配置 DLP 策略
6. 预览证据

开始之前

在开始这些过程之前，应查看 了解设备上文件活动的证据收集。

许可和订阅

开始使用 DLP 策略之前，请确认 Microsoft 365 订阅 和任何加载项。

有关许可的信息，请参阅适用于企业的 Microsoft 365、Office 365、企业移动性 + 安全性和Windows 11订阅。

请参阅创建自定义基于角色的访问控制所需的Microsoft Entra ID P1 或 P2 的先决条件许可要求， (RBAC) 。

权限

需要标准Microsoft Purview 数据丢失防护 (DLP) 权限。 有关详细信息，请参阅权限。

载入设备

在使用复制匹配项之前，必须先将 Windows 10/11 设备加入 Purview，请参阅将 Windows 设备载入 Microsoft 365 概述。

了解你的要求

重要

每个容器继承其所处存储帐户的权限。 不能为每个容器设置不同的权限。 如果需要为不同区域配置不同的权限，则必须创建多个存储帐户，而不是多个容器。

在设置 Azure 存储并将功能范围限定为用户之前，应该有以下问题的答案。

是否需要按照角色或部门划分项目和访问权限？

例如，如果组织希望有一组管理员或 DLP 事件调查人员可以查看高级领导保存的文件，以及另一组管理员或 DLP 事件调查人员用于人力资源中保存的项目，则应为组织的高级领导创建一个 Azure 存储帐户，为人力资源部门创建另一个 Azure 存储帐户。 这可确保 Azure 存储管理员或 DLP 事件调查人员只能查看其各自组中与 DLP 策略匹配的项。

是否要使用容器来组织保存的项目？

可以在同一存储帐户中创建多个证据容器，以便对保存的文件进行排序。 例如，一个用于从人力资源部门保存的文件，另一个用于 IT 部门的文件。

防止删除或修改保存的项目的策略是什么？

在 Azure 存储中，数据保护是指保护存储帐户及其内部数据不被删除或修改的策略，以及删除或修改数据后还原数据的策略。 Azure 存储还提供灾难恢复选项（包括多个级别的冗余），以保护数据免受硬件问题或自然灾害导致的服务中断的影响。 如果主要区域中的数据中心不可用，它还可以使用客户管理的故障转移来保护数据。 有关详细信息，请参阅 数据保护概述。

还可以为 Blob 数据配置不可变性策略，以防止被覆盖或删除的已保存项。 有关详细信息，请参阅 使用不可变存储存储业务关键 Blob 数据

支持用于存储和预览证据的文件类型

可以存储	可预览
终结点 DLP 监视的所有文件类型	支持在 OneDrive、SharePoint 和 Teams 中预览文件的所有文件类型

将匹配项保存到 Azure Blob 存储

若要保存 Microsoft Purview 检测到何时应用数据丢失防护策略的证据，需要设置 Azure Blob 存储。 可以通过两种方式来执行此操作：

1. Create客户管理的存储
2. Create Microsoft 托管存储 (预览)

有关详细信息和这两种类型的存储的比较，请参阅 在检测到敏感信息时存储证据 (预览) 。

Create客户管理的存储

Azure 文档集中记录了设置 Azure 存储帐户、容器和 Blob 的过程。 下面是相关文章的链接，可参考这些文章来帮助你入门：

1. Azure Blob 存储简介
2. Create存储帐户
3. 默认为 并使用 Microsoft Entra ID 授权访问 blob
4. 使用 Azure 门户管理 Blob 容器
5. 使用 PowerShell 管理块 Blob

请务必保存 Azure Blob 容器的名称和 URL。 若要查看 URL，请打开 Azure 存储门户 >主页>存储帐户>容器>属性

Azure Blob 容器 URL 的格式为：https://storageAccountName.blob.core.windows.net/containerName。

将 Azure 存储 Blob 添加到帐户

可通过多种方式将 Azure 存储 Blob 添加到帐户。 选择以下方法 之一 。

为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息，请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息，请参阅 Microsoft Purview 合规门户。

Microsoft Purview 门户

若要使用 Microsoft Purview 门户添加 Azure Blob 存储，请执行以下操作：

1. 登录到 Microsoft Purview 门户，然后选择菜单栏中的 “设置” 齿轮。
2. 选择 “数据丢失防护”。
3. 选择 “终结点 DLP 设置”。
4. 展开 “为设备上的文件活动设置证据收集”。
5. 将开关从 “关” 更改为 “开”。
6. 在 “在设备上设置证据缓存 ”字段中，选择设备脱机时应在本地保存证据的时间量。 可以选择 7、 30 或 60 天。
7. (客户托管商店或 Microsoft 托管商店 (预览) ) 选择存储类型，然后选择“+ 添加存储”。
   1. 对于 客户管理的存储：
      1. 选择 “客户托管存储：”，然后选择“ + 添加存储”。
      2. 输入 为帐户指定名称，并输入存储 Blob 的 URL 。
      3. 选择“保存”。
   2. 对于 Microsoft 托管存储：
      1. 选择 Microsoft 托管应用商店 (预览版)

Microsoft Purview 门户中的 DLP 策略

若要在 Microsoft Purview 门户中使用 DLP 策略创建工作流添加 Azure Blob 存储，请执行以下操作：

1. 登录到 Microsoft Purview 门户，然后选择 “数据丢失防护”。
2. 按照步骤创建新策略。
3. 在 “位置” 步骤中，确保仅选择了 “设备位置 ”，然后选择“ 下一步”。
4. 在“策略设置”步骤中，选择“Create”或自定义高级 DLP 规则。
5. 选择“+Create规则”，并使用你选择的值添加“条件”、“操作”、“用户通知”和“用户替代”。
6. 在 “事件报告 ”部分中，“ 规则匹配发生时向管理员发送警报 ”开关应默认为 “打开 ”。 (如果不是，请将其打开。)
7. 选中“ 收集原始文件作为终结点上所有选定文件活动的证据”旁边的复选框。
8. 选择要为其收集证据的活动。
9. 选择复选框项旁边的 “添加存储 ”。
10. 在 “终结点 DLP 设置” 页上，展开 “设置设备上文件活动的证据收集 ”，并确保将选项切换为“ 开”。

合规性门户

若要使用合规性门户添加 Azure Blob 存储，请执行以下操作：

1. 从合规性门户的左侧导航窗格开始，导航到 数据丢失防护>概述>数据丢失防护设置>终结点 DLP 设置。
2. 展开 “为设备上的文件活动设置证据收集 ”，并将开关设置为“ 打开”。
3. 在 “在设备上设置证据缓存 ”字段中，选择设备脱机时应在本地保存证据的时间量。 可以选择 7、 30 或 60 天。
4. (客户托管商店或 Microsoft 托管商店 (预览) ) 选择存储类型，然后选择“+ 添加存储”。
   1. 对于 客户管理的存储：
      1. 选择 “客户托管存储：”，然后选择“ + 添加存储”。
      2. 输入 为帐户指定名称，并输入存储 Blob 的 URL 。
      3. 选择“保存”。
   2. 对于 Microsoft 托管存储：
      1. 选择 Microsoft 托管应用商店 (预览版)

合规性门户中的 DLP 策略工作流

若要在合规性门户中使用 DLP 策略创建工作流添加 Azure Blob 存储，请执行以下操作：

1. 在左侧导航窗格中，导航到 “数据丢失防护>策略”。
2. 选择编辑现有策略或创建新策略。
3. 完成策略创建工作流。 在“策略设置”页上，选择“Create”或自定义高级 DLP 规则。
4. 在“ 位置 ”页上，确保仅选择了 “设备 位置”，然后选择“ 下一步”。
5. 在“定义策略设置”页上，选择“Create”或自定义高级 DLP 规则。
6. 选择“+ Create规则”。
7. 像往常一样通过规则生成器，选择以下选项：
   1. 在 “事件报告 ”部分中，选择“ 在管理员警报和报表中使用此严重级别*”选项。
   2. 将 “发生规则匹配时向管理员发送警报 ”选项切换为 “开”。
   3. 选中“ 收集原始文件作为终结点上所有选定文件活动的证据”旁边的复选框。
   4. 选择 “添加存储”。 将在新窗口中打开 “终结点 DLP 设置 ”页。
   5. 在 “终结点 DLP 设置” 页上，展开 “设置设备上文件活动的证据收集 ”，并确保将选项切换为“ 开”。
   6. 对于 “在设备上设置证据缓存”，指定设备与服务器断开连接时文件应保留的天数。
   7. 选择“ + 添加存储”。
   8. 在 “添加帐户” 浮出控件中，输入 Blob 的名称和 URL。
   9. 选择“保存”。
   10. 返回到规则生成器，选择每次 活动与规则匹配时发送警报。
   11. 选择" 保存"。
   12. 完成创建或编辑规则，然后选择“ 提交”。

设置对 Azure Blob 存储的权限

使用Microsoft Entra授权，必须在 blob 上配置两组权限 (角色组) ：

1. 一个用于管理员和调查人员，以便他们可以查看和管理证据
2. 一个适用于需要从其设备将项上传到 Azure 的用户

最佳做法是为所有用户强制实施 最低特权 ，而不考虑角色。 通过强制实施最低权限，可以确保用户权限仅限于其角色所需的权限。 若要配置用户权限，请在 Microsoft Defender for Office 365 和 Microsoft Purview 中创建角色和角色组。

管理员和调查人员对 Azure Blob 的权限

为 DLP 事件调查人员创建角色组后，必须配置后面的 “调查员操作 ”和“ 调查员数据操作 ”部分中所述的权限。

有关配置 Blob 访问的详细信息，请参阅以下文章：

• 如何授权访问Azure 门户中的 blob 数据
• 分配共享级别权限。

调查人员操作

为调查员角色配置以下对象和操作权限：

Object	权限
Microsoft.Storage/storageAccounts/blobServices	读取：列出 Blob 服务
Microsoft.Storage/storageAccounts/blobServices	读取：获取 Blob 服务属性或统计信息
Microsoft.Storage/storageAccounts/blobServices/containers	读取：获取 Blob 容器
Microsoft.Storage/storageAccounts/blobServices/containers	读取：Blob 容器列表
Microsoft.Storage/storageAccounts/blobServices/containers/blobs	读取：读取 blob
Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action	其他：生成用户委托密钥

调查员数据操作

Object	权限
Microsoft.Storage/storageAccounts/blobServices/containers/blobs	读取：读取 Blob

调查员角色组的 JSON 应如下所示：

"permissions": [
            {

                "actions": [

                    "Microsoft.Storage/storageAccounts/blobServices/read",

                    "Microsoft.Storage/storageAccounts/blobServices/containers/read",

                 "Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"

                ],

                "notActions": [],

                "dataActions": [

                    "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"

                ],

                "notDataActions": []

            }

        ]

用户对 Azure Blob 的权限

为用户角色的 Azure Blob 分配以下对象和操作权限：

用户操作

Object	权限
Microsoft.Storage/storageAccounts/blobServices	读取：列出 Blob 服务
Microsoft.Storage/storageAccounts/blobServices/containers	读取：获取 Blob 容器
Microsoft.Storage/storageAccounts/blobServices/containers	写入：放置 Blob 容器

用户数据操作

Object	权限
Microsoft.Storage/storageAccounts/blobServices/containers/blobs	写入：写入 Blob
Microsoft.Storage/storageAccounts/blobServices/containers/blobs	其他：添加 Blob 内容

用户角色组的 JSON 应如下所示：

"permissions": [
  {
     "actions": [
       "Microsoft.Storage/storageAccounts/blobServices/containers/read",
       "Microsoft.Storage/storageAccounts/blobServices/containers/write",
       "Microsoft.Storage/storageAccounts/blobServices/read"
     ],
     "notActions": [],
     "dataActions": [
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action",
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write"
     ],
     "notDataActions": []
    }
 ]

在 Microsoft (预览版管理的存储帐户上启用和配置证据收集)

为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息，请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息，请参阅 Microsoft Purview 合规门户。

Microsoft Purview 门户

若要在 Microsoft Purview 门户中对 Microsoft 管理的存储帐户启用和配置证据收集，请执行以下操作：

1. 登录到菜单栏中的 Microsoft Purview 门户>“设置” 齿轮。
2. 选择 “数据丢失防护”。
3. 选择 “终结点 DLP 设置”。
4. 展开 “为设备上的文件活动设置证据收集 ”，并将开关设置为“ 打开”。
5. 在 “选择存储类型”下，选择“ Microsoft 托管存储”。

合规性门户

若要在合规性门户内对 Microsoft 管理的存储帐户启用和配置证据收集，请执行以下操作：

1. 打开Microsoft Purview 合规门户>数据丢失防护>数据丢失防护设置>终结点 DLP 设置。
2. 展开 “为设备上的文件活动设置证据收集 ”，并将开关设置为“ 打开”。
3. 在 “在设备上设置证据缓存 ”字段中，选择设备脱机时应在本地保存证据的时间量。 可以选择 7、 30 或 60 天。
4. 在 “选择存储类型”下，选择“ Microsoft 托管存储 (预览) 。

配置 DLP 策略

Create DLP 策略，就像平常一样。 有关策略配置示例，请参阅Create和部署数据丢失防护策略。

使用以下设置配置策略：

• 确保 “设备 ”是唯一选定的位置。
• 在 “事件报告”中，将 规则匹配发生时向管理员发送警报 切换为 “开”。
• 在 “事件报告”中，选择“ 收集原始文件”作为终结点上所有选定文件活动的证据。
• 选择所需的存储帐户。
• 选择要将匹配项复制到 Azure 存储的活动，例如：
  • 复制到可移动 USB 设备
  • 复制到网络共享
  • Print
  • 使用未安装蓝牙应用复制或移动
  • 使用 RDP 复制或移动

预览证据

有多种方法可以预览证据，具体取决于选择的存储类型。

存储类型	预览选项
客户托管	- 使用活动资源管理器 - 使用合规性门户
Microsoft 托管 (预览版)	- 使用活动资源管理器

通过活动资源管理器预览证据

为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息，请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息，请参阅 Microsoft Purview 合规门户。

Microsoft Purview 门户

1. 登录到 Microsoft Purview 门户>数据丢失防护>活动资源管理器。
2. 使用“ 日期 ”下拉列表，选择你感兴趣的时间段的 “开始 ”和“ 结束 日期”。
3. 在结果列表中，双击要调查的活动的行项。
4. 在浮出控件窗格中，指向存储证据的 Azure Blob 的链接显示在 “证据文件”下。
5. 选择 Azure Blob 存储链接以显示匹配的文件。

合规性门户

1. 打开Microsoft Purview 合规门户>数据丢失防护>活动资源管理器。
2. 使用“ 日期 ”下拉列表，选择你感兴趣的时间段的 “开始 ”和“ 结束 日期”。
3. 在结果列表中，选择要调查的活动。
4. 在浮出控件窗格中，指向存储证据的 Azure Blob 的链接显示在 “证据文件”下。
5. 选择 Azure Blob 存储链接以显示匹配的文件。

通过合规性门户“警报”页预览证据

为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息，请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息，请参阅 Microsoft Purview 合规门户。

Microsoft Purview 门户

1. 登录到 Microsoft Purview 门户>数据丢失防护>警报。
2. 使用“ 日期 ”下拉列表，选择你感兴趣的时间段的 “开始 ”和“ 结束 日期”。
3. 在结果列表中，双击要调查的活动的行项。
4. 在浮出控件窗格中，选择“ 查看详细信息”。
5. 选择“ 事件 ”选项卡。
6. 在“ 详细信息 ”窗格中，选择“ 源”选项卡。将显示匹配的文件。

合规性门户

1. 打开Microsoft Purview 合规门户并导航到“数据丢失防护>警报”。
2. 使用“ 日期 ”下拉列表，选择你感兴趣的时间段的 “开始 ”和“ 结束 日期”。
3. 在结果列表中，选择要调查的活动。
4. 在浮出控件窗格中，选择“ 查看详细信息”。
5. 选择“ 事件 ”选项卡。
6. 在“ 详细信息 ”窗格中，选择“ 源 ”选项卡。将显示匹配的文件。

注意

如果已匹配的文件已存在于 Azure 存储 Blob 中，则在对文件进行更改并且用户对该文件执行操作之前，不会再次上传该文件。

已知行为

• 如果系统崩溃或重启，存储在设备缓存中的文件不会保留。
• 可从设备上传的文件的最大大小为 500 MB。
• 如果在扫描的文件上触发了 实时保护 ，或者如果文件存储在网络共享上，则不会收集证据文件。
• 如果在单个文件中检测到多个策略规则，则仅当最严格的策略规则配置为收集证据时，才会存储证据文件。