创建和部署数据丢失防护策略

Microsoft Purview 数据丢失防护 (DLP) 策略中有许多配置选项。 每个选项都会更改策略的行为。 本文介绍映射到配置选项的策略的一些常见意向方案。 然后指导你配置这些选项。 熟悉这些方案后,你将具备使用 DLP 策略创建 UX 创建自己的策略所需的基本技能。

部署策略的方式与策略设计一样重要。 有多个 选项可用于控制策略部署。 本文介绍如何使用这些选项,以便策略在避免代价高昂的业务中断的同时实现你的意图。

提示

如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

开始之前

如果你不熟悉Microsoft Purview DLP,下面是实现 DLP 时应熟悉的核心文章列表:

  1. 管理单元
  2. 了解Microsoft Purview 数据丢失防护 - 本文介绍数据丢失防护规则和MICROSOFT DLP 的实现。
  3. 规划数据丢失防护 (DLP) - 通过本文,你将:
    1. 确定利益干系人
    2. 描述要保护的敏感信息类别
    3. 设置目标和策略
  4. 数据丢失防护策略参考 - 本文介绍 DLP 策略的所有组件以及每个组件如何影响策略的行为。
  5. 设计 DLP 策略 - 本文将指导你创建策略意向语句并将其映射到特定策略配置。
  6. 创建和部署数据丢失防护策略 - 本文介绍映射到配置选项的一些常见策略意向方案。 然后,它将指导你配置这些选项,并提供有关部署策略的指导。
  7. 了解如何调查数据丢失防护警报 - 本文介绍从创建到最终修正和策略优化的警报的生命周期。 它还介绍了用于调查警报的工具。

SKU/订阅许可

在开始使用 DLP 策略之前,请确认 Microsoft 365 订阅 和任何加载项。

有关许可的信息,请参阅 Microsoft 365、Office 365、企业移动性 + 安全性 和 Windows 11 企业订阅

权限

用于创建和部署策略的帐户必须是其中一个角色组的成员

  • 合规性管理员
  • 合规性数据管理员
  • 信息保护
  • 信息保护管理员
  • 安全管理员

重要

请确保在开始之前阅读管理单元,了解不受限制的管理员和管理单元受限管理员之间的区别。

细化角色和角色组

可以使用一些角色和角色组来微调访问控制。

下面是适用角色的列表。 若要了解详细信息,请参阅Microsoft Purview 合规门户中的权限

  • DLP 合规性管理
  • 信息保护管理员
  • 信息保护分析师
  • 信息保护调查员
  • 信息保护读者

下面是适用角色组的列表。 若要了解详细信息,请参阅要详细了解它们,请参阅Microsoft Purview 合规门户中的权限

  • 信息保护
  • 信息保护管理员
  • 信息保护分析师
  • 信息保护调查员
  • 信息保护读者

策略创建方案

上一篇文章 设计 DLP 策略 介绍了创建策略意向语句,然后将该意向语句映射到策略配置选项的方法。 本部分采用这些示例以及更多示例,并指导你完成实际的策略创建过程。 应在测试环境中完成这些方案,以熟悉策略创建 UI。

策略创建流程中的配置选项太多,无法涵盖每个配置,甚至大多数配置。 因此,本文介绍了几种最常见的 DLP 策略方案。 完成这些操作可提供跨各种配置的实践经验。

方案 1 阻止具有信用卡数字的电子邮件

重要

这是一个具有假设值的假设方案。 它仅用于说明目的。 应替换自己的敏感信息类型、敏感度标签、通讯组和用户。

方案 1 先决条件和假设

此方案使用 高度机密 敏感度标签,因此需要创建并发布了敏感度标签。 若要了解详细信息,请参阅:

此过程使用位于 Contoso.com 的假设通讯组 财务团队 和假设的 SMTP 收件人 adele.vance@fabrikam.com

此过程使用警报,请参阅: 数据丢失防护警报入门

方案 1 策略意向声明和映射

我们需要阻止向包含信用卡号码或应用了“高度机密”敏感度标签的所有收件人发送电子邮件,除非电子邮件是从财务团队adele.vance@fabrikam.com中的某人发送到 的。 我们希望在每次电子邮件被阻止时通知合规性管理员,并通知发送项目的用户,任何人都不能覆盖该阻止。 在日志中跟踪此高风险事件的所有事件,我们希望捕获并可用于调查的任何事件的详细信息

语句 配置问题解答和配置映射
“我们需要阻止发送给所有收件人的电子邮件...” - 监视位置:Exchange
- 管理范围:完整目录
- 操作:限制访问或加密Microsoft 365 位置>中的内容阻止用户接收电子邮件或访问共享的 SharePoint、OneDrive 和 Teams 文件>阻止所有人
"...包含信用卡数字或应用了“高度机密”敏感度标签...” - 要监视的内容:使用 自定义模板
- 匹配条件:编辑它以添加 高度机密 的敏感度标签
"...除非...” - 条件组配置:使用布尔 AND 创建联接到第一个条件的嵌套布尔 NOT 条件组
"...电子邮件是从财务团队中的某人发送的...” - 匹配条件: 发件人是 的成员
"...和...” - 匹配条件:向 NOT 组添加第二个条件
"...到 adele.vance@fabrikam.com...” - 匹配条件: 收件人为
"...通知...” - 用户通知: 已启用
- 策略提示: 已启用
"...每次阻止电子邮件时合规性管理员,并通知发送项目的用户...“。 - 策略提示: 已启用
- 通知这些人: 已选择
- 发送、共享或修改内容的人员: selected
- 将电子邮件发送给这些其他人:添加合规性管理员的电子邮件地址
"...并且不允许任何人替代该块... - 允许从 M365 服务替代:未选择
"...在日志中跟踪此高风险事件的所有事件,我们希望捕获并可用于调查的任何事件的详细信息。” - 在管理员警报和报告中使用此严重级别:
- 在发生规则匹配时向管理员发送警报: selected
- 每次活动与规则匹配时发送警报: 已选择

为方案 1 创建策略的步骤

重要

出于此策略创建过程的目的,你将接受默认的 include/exclude 值,并使策略保持关闭状态。 部署策略时,你将更改这些策略。

为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 登录到 Microsoft Purview 门户

  2. 打开 数据丢失防护 解决方案并导航到 “策略>+ 创建策略”。

  3. “类别”列表中选择“自定义”。

  4. “法规”列表中选择“自定义”。

  5. 选择“下一步”。

  6. 为策略指定名称 “名称”“说明”。 可在此处使用策略意向语句。

    重要

    无法重命名策略

  7. 选择 下一步

  8. 分配管理单位。 若要将策略应用于所有用户,请接受默认设置。

  9. 选择“下一步”。

  10. 选择应用策略的位置。 仅选择 Exchange 电子邮件 位置。 取消选择所有其他位置。

  11. 选择“下一步”。

  12. “定义策略设置” 页上,应已选择 “创建或自定义高级 DLP 规则 ”选项。

  13. 选择 下一步

  14. 选择“ 创建规则”。 命名规则并提供说明。

  15. “条件 ”下,选择 “添加条件>内容包含”

  16. (可选) 输入 组名称

  17. (可选) 选择 组运算符

  18. 选择 “添加>敏感信息类型>信用卡号”。

  19. 选择添加

  20. 仍在 “内容包含 ”部分,选择“ 添加>敏感度标签>高度机密 ”,然后选择“ 添加”。

  21. 接下来,在 “内容包含 ”部分下,选择 “添加组”。

  22. 将布尔运算符保留设置为 AND,然后将开关设置为 NOT

  23. 选择 “添加条件”。

  24. 选择 “发件人是其成员”。

  25. 选择“ 添加或删除通讯组”。

  26. 选择“ 财务团队 ”,然后选择“ 添加”。

  27. 选择 “添加条件>收件人是”。

  28. 在电子邮件字段中,输入 adele.vance@fabrikam.com 并选择“ 添加 ”。

  29. “操作”下,选择“添加操作>限制访问或加密 365 Microsoft位置的内容

  30. 选择“ 阻止用户接收电子邮件或访问共享的 SharePoint、OneDrive 和 Teams 文件”,然后选择“ 阻止所有人”。

  31. “用户通知” 切换开关设置为 “开”。

  32. 选择“Email通知>”通知发送、共享或上次修改内容的人员

  33. 选择是否将 匹配的电子邮件附加到通知

  34. 选择是否添加 策略提示

  35. “用户 ovverides”下,确保选择“允许覆盖来自 Microsoft 365 应用和服务...”

  36. “事件报告”下,将 “在管理员警报和报表中使用此严重性级别 ”设置为 “高”。

  37. 将每次活动与规则切换开关匹配时发送警报设置为“开”。

  38. 选择“保存”。

  39. 选择 “下一步”,然后选择“ 在模拟模式下运行策略”。

  40. 选择 “下一步 ”,然后选择“ 提交”。

  41. 选择“完成”

方案 2 阻止在 Microsoft 365 中通过 SharePoint 和 OneDrive 与外部用户共享敏感项目

对于 Microsoft 365 中的 SharePoint 和 OneDrive,可以创建一个策略来阻止通过 SharePoint 和 OneDrive 与外部用户共享敏感项目。

方案 2 先决条件和假设

此方案使用 机密 敏感度标签,因此需要你已创建并发布了敏感度标签。 若要了解详细信息,请参阅:

此过程使用假设的通讯组 Human Resources 和 Contoso.com 的安全团队的通讯组。

此过程使用警报,请参阅: 数据丢失防护警报入门

方案 2 策略意向声明和映射

我们需要阻止与包含社会安全号码、信用卡数据或具有“机密”敏感度标签的所有外部收件人共享 SharePoint 和 OneDrive 项目。 我们不希望这适用于人力资源团队的任何人。 我们还必须满足警报要求。 我们希望在每次共享文件并阻止文件时通过电子邮件通知安全团队。 此外,如果可能,我们希望通过电子邮件和界面中向用户发出警报。 最后,我们不希望策略出现任何异常,并且需要能够在系统中查看此活动。

语句 配置问题解答和配置映射
“我们需要阻止所有外部收件人共享 SharePoint 和 OneDrive 项目...”。 - 管理范围:完整目录
- 监视位置:SharePoint 网站OneDrive 帐户
- 匹配条件:我的组织
外部共享的第一个条件>- 操作:限制访问或加密Microsoft 365 个位置>中的内容阻止用户接收电子邮件或访问共享 SharePoint,OneDrive>仅阻止组织外部的人员
"...包含社会保险号码、信用卡数据或具有“机密”敏感度标签...” - 要监视的内容:使用 自定义 模板
- 匹配条件:创建第二个条件,该条件联接到第一个条件的布尔值 AND
- 匹配条件:第二个条件,第一个条件组 >内容包含敏感信息类型>美国社会安全号码 (SSN) 信用卡号
- 条件组配置 创建第二个条件组,通过布尔 OR
连接到第一个条件组- 匹配条件:第二个条件组,第二个条件 >内容包含其中任一敏感度标签>机密
“...我们不希望这适用于人力资源团队的任何人...“。 - 应用位置:排除人力资源团队 OneDrive 帐户
"...我们希望在每次共享文件时通过电子邮件通知安全团队...“。 - 事件报告:发生
规则匹配时向管理员发送警报 - 向这些人发送电子邮件警报 (可选) :添加安全团队
- 每次活动与规则匹配时发送警报:选定
- 使用电子邮件事件报告在发生策略匹配时通知你:On
- 向这些人发送通知:根据需要
添加单个管理员 - 还可以在报告中包括以下信息: 选择所有选项
"...此外,我们希望通过电子邮件和界面(如果可能)向用户发出警报...“。 - 用户通知:打开
- 使用策略提示通知Office 365中的用户:已选择
“...最后,我们不希望策略出现任何异常,并且需要能够在系统中查看此活动...“。 -用户替代: 未选择

配置条件后,摘要如下所示:

方案 2 的匹配摘要的策略条件。

为方案 2 创建策略的步骤

重要

出于此策略创建过程的目的,请将策略保持关闭状态。 部署策略时,可以更改这些策略。

为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 登录到 Microsoft Purview 门户

  2. 选择 “数据丢失防护>策略>+ 创建策略”。

  3. “类别”列表和“法规”列表中选择“自定义”。

  4. 选择“下一步”。

  5. 为策略指定名称 “名称”“说明”。 可在此处使用策略意向语句。

重要

无法重命名策略。

  1. 选择 下一步
  2. 接受“分配管理单元”页上的默认完整目录
  3. 选择“下一步”。
  4. 选择应用策略的位置。
    1. 确保已选择 SharePoint 网站OneDrive 帐户 位置。
    2. 取消选择所有其他位置。
    3. OneDrive 帐户旁边的“操作”列中选择“编辑”。
    4. 选择“ 所有用户和组 ”,然后选择“ 排除用户和组”。
    5. 选择 “+排除 ”,然后选择 “排除组”。
    6. 选择“ 人力资源”。
  5. 选择 “完成” ,然后选择“ 下一步”。
  6. “定义策略设置” 页上,应已选择 “创建或自定义高级 DLP 规则 ”选项。 选择“下一步”。
  7. “自定义高级 DLP 规则 ”页上,选择“ + 创建规则”。
  8. 为规则提供 “名称”“说明”。
  9. 选择“ 添加条件 ”,并使用以下值:
    1. 从 Microsoft 365 中选择“共享内容”。
    2. 选择组织外部的人员
  10. 选择“ 添加条件” 以创建第二个条件并使用这些值。
    1. 选择“ 内容包含”。
  11. 选择 “添加>敏感度标签> ”,然后选择 “机密”。
  12. 选择添加
  13. “操作”下,添加具有以下值的操作:
    1. 限制访问或加密Microsoft 365 个位置的内容
    2. 仅阻止组织外部的人员
  14. “用户通知” 开关设置为 “打开”。
  15. 选择“使用策略提示通知Office 365服务中的用户”,然后选择“通知发送、共享或上次修改内容的用户”。
  16. “用户替代”下,确保选择“允许 M365 服务替代”。
  17. “事件报告”下:
    1. “在管理员警报和报表中使用此严重级别 ”设置为 “低”。
    2. 规则匹配发生时向管理员发送警报 的切换开关设置为 “开”。
  18. 在“ 向这些人发送电子邮件警报 (可选) ”下,选择“ + 添加或删除用户 ”,然后添加安全团队的电子邮件地址。
  19. 选择 “保存” ,然后选择“ 下一步”。
  20. “策略模式 ”页上,选择“ 在模拟模式下运行策略 ”和“ 在模拟模式下显示策略提示”。
  21. 选择 “下一步 ”,然后选择“ 提交”。
  22. 选择“完成”

方案 3 将控件应用于扫描失败的支持文件

备注

方案 3 对扫描失败的支持文件应用控件目前处于 预览状态

如果要对位于 “监视的文件 ”列表上的文件的用户活动应用“审核”、“阻止”或“阻止”,但终结点 DLP 无法扫描的文件,请使用此方案。

方案 3 先决条件和假设

此方案要求你已将设备载入并报告到活动资源管理器中。 如果尚未载入设备,请参阅终结点数据丢失防护入门

重要

此功能仅支持以下操作类型:

  • 上传到受限的云服务域
  • 复制到可移动 USB 设备
  • 复制到网络共享
  • 打印

方案 3 策略意向语句和映射

有时,扫描终结点 DLP 支持的文件会失败。 这些文件中可能有敏感信息,但我们不知道。 在任何已载入的设备上扫描文件失败时,我们希望阻止用户将该文件复制到 USB 设备或网络共享。

语句 配置问题解答和配置映射
“扫描任何已载入设备上的文件失败时...” - 管理范围: 完整目录
- 监视位置: 设备
范围: 所有用户、组、设备、设备组
- 条件: 无法扫描文档
"...我们希望防止用户将该文件复制到 USB 设备或网络共享。” - 操作:选择 “审核”或“限制设备上的
活动”-清除“ ”上传到重新写入的云服务域或从未启用的浏览器
进行访问“-选择” 将限制应用于特定活动
“-选择” 复制到可移动 USB 设备“,选择” 使用替代
阻止“-选择” 复制到网络共享 “和” 使用替代
阻止“清除 ”复制到剪贴板“, ”打印使用未安装蓝牙应用复制或移动并使用 RDP 复制或移动

配置条件后,摘要如下所示:

方案 3 的匹配摘要的策略条件。

方案 3 配置策略操作

重要

出于此策略创建过程的目的,请将策略保持关闭状态。 部署策略时,可以更改这些策略。

为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 登录到 Microsoft Purview 门户
  2. 打开 数据丢失防护>策略
  3. 选择“创建策略”,然后从“类别”中选择“自定义”,然后选择“法规”中的“自定义策略模板”。
  4. 为新策略命名并提供说明。
  5. 选择“管理员单位”下的“完整目录”。
  6. 将位置范围限定为 “仅设备 ”。
  7. 创建规则,其中:
    1. “条件”中
      1. 选择“ 无法扫描文档”
    2. 操作中
      1. 选择 “审核”或“限制设备上的活动”。
      2. 清除 “上传到已重述的云服务域”或从未启用的浏览器进行访问
      3. 选择 “将限制应用于特定活动”
      4. 选择“复制到可移动 USB 设备”和“使用替代阻止
      5. 选择“ 复制到网络共享”,然后选择“ 使用替代阻止”
      6. 清除 “复制到剪贴板”、“ 打印”、“ 使用未安装蓝牙应用复制或移动”, 并使用 RDP 复制或移动
  8. 保存
  9. 选择“ 立即启用策略”。 选择“下一步”。
  10. 查看设置,然后选择“提交”。

方案 4 将控件应用于所有不受支持的文件

备注

方案 4 将控件应用于所有不受支持的文件处于 预览状态

如果想要对不在“监视的文件”列表中的文件的用户活动应用“审核”、“阻止”或“阻止”,而无需通过文件扩展名是条件枚举所有文件扩展名,则使用此方案。 使用此配置创建一个全面策略,以对 .mp3、.wav、.dat等文件进行控制。

注意

能够对所有文件应用控件是一项强大的功能,如果实施时没有适当谨慎,可能会产生无法识别的后果。 在将策略部署到生产环境之前,请务必在非生产环境中测试此策略。 此示例还演示如何选择性地 () 从策略范围中排除特定文件扩展名。

重要

此功能仅支持以下操作类型:

  • 上传到受限的云服务域
  • 复制到可移动 USB 设备
  • 复制到网络共享
  • 打印

方案 4 策略意向语句和映射

有许多类型的文件,终结点 DLP 不扫描,比我们可以跟踪的要多。我们不知道这些文件中是否有敏感信息,因此我们希望在用户尝试将这些文件复制到 USB 设备或网络共享之前设置检查点。 我们不希望中断 abc 文件类型的用户工作流,这是众所周知的,并且不会造成数据泄露的威胁。

语句 配置问题解答和配置映射
“有许多类型的文件终结点 DLP 不扫描,...” - 管理范围: 完整目录
- 监视位置: 设备
- 范围: 所有用户、组、设备、设备组
"...我们不希望中断 abc 文件类型的用户工作流,这是众所周知的,并且不会造成数据泄露的威胁。 - 终结点设置:创建不支持的文件扩展名排除列表,并将文件扩展名 abc 添加到列表中。
"...比我们可以跟踪的更多。我们不知道这些文件中是否有敏感信息,因此我们希望在它们尝试将这些文件复制到 USB 设备或网络共享之前设置检查点...“。
- 匹配条件:无法扫描
文档操作:选择“审核”或“限制设备上的
活动”-清除“”上传到重新写入的云服务域或从未启用的浏览器
进行访问“-选择”将限制应用于特定活动
“-选择”复制到可移动 USB 设备“,”使用替代
阻止“-选择”复制到网络共享“和”使用替代
阻止“清除”“复制到剪贴板”使用未安装蓝牙应用打印、复制或移动,并且无法使用 RDP
- select 文件复制或移动
- 选择 仅对不支持的文件扩展名应用限制

重要

此功能与文件扩展名的区别 在于 条件是:

  • 终结点 DLP 将扫描文件扩展名 条件的内容。 例如,你将能够看到事件或警报上的 敏感信息类型 值;另一方面,此功能不会扫描文件内容。
  • 文件扩展名是 触发内容扫描的条件可能会消耗更高的计算机资源(如 CPU 和内存),并可能导致某些文件类型的应用程序性能问题。

将文件类型添加到不支持的文件扩展名排除项

使用此设置可从策略中排除文件扩展名。

为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 登录到 Microsoft Purview 门户
  2. 打开 “设置”>数据丢失防护>终结点 DLP 设置>不支持的文件扩展名排除项。
  3. 选择 “添加文件扩展名”。
  4. 提供扩展。
  5. 选择“保存”
  6. 关闭项目。

方案 4 配置策略操作

为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 登录到 Microsoft Purview 门户
  2. 打开 数据丢失防护>策略
  3. 选择“创建策略”,然后从“类别”中选择“自定义”,然后选择“法规”中的“自定义策略模板”。
  4. 为新策略命名并提供说明。
  5. 选择“管理员单位”下的“完整目录”。
  6. 将位置范围限定为 “仅设备 ”。
  7. 创建规则,其中:
    1. “条件”中
      1. 选择“ 无法扫描文档”。
    2. 操作中
      1. 选择 “审核”或“限制设备上的活动”。
      2. 清除 “上传到已重述的云服务域”或从未启用的浏览器进行访问
      3. 选择 “将限制应用于特定活动”。
      4. 选择“ 复制到可移动 USB 设备”和“ 使用替代阻止”。
      5. 选择“ 复制到网络共享”和“ 使用替代阻止”。
      6. 清除“复制到剪贴板”,使用未安装的蓝牙应用打印、复制或移动,并使用 RDP 复制或移动
      7. 选择“ 仅对不支持的文件扩展名应用限制”。
  8. 保存
  9. 选择“ 立即启用策略”。 选择“下一步”。
  10. 查看设置,然后选择“提交”。

重要

在这种情况下,不能将 文档 扫描与其他条件一起使用。

重要

在此方案中,不能将此 文档 与其他条件一起扫描。

方案 5 将控件应用于某些不受支持的文件

备注

方案 5 将控件应用于某些不受支持的文件目前为 预览版

使用此配置可将“审核”、“使用替代阻止”或“阻止控制”应用于从“监视的文件”列表中定义的所有文件的文件类型列表。 例如,可以将控件应用于视频文件(如 .mp3 文件 (,这些文件仅受 EDLP) 监视。

重要

此功能仅支持以下操作类型:

  • 上传到受限的云服务域
  • 复制到可移动 USB 设备
  • 复制到网络共享
  • 打印

此配置使用 文件扩展名组 的组合,并且“ 文档无法扫描 ”条件。 它不使用 文件扩展名为 条件。 这意味着终结点 DLP 不会扫描包含在 文件扩展名组中 的文件的内容,并且不会在策略匹配项生成的事件或警报中看到 敏感信息类型的 值。

方案 5 策略意向语句和映射

我们 Wingtip Toys 在要对其应用控件的设备上有一个文件类型列表。 我们知道它们不在终结点 DLP 的受监视文件列表中。 我们希望防止用户将这些文件复制到 USB 设备或网络共享。 当他们尝试时,我们希望让他们知道,教育他们,他们正在尝试禁止的行动。

语句 配置问题解答和配置映射
“我们有一个要对其应用控件的设备上的文件类型列表...”。 - 管理范围: 完整目录
- 监视位置: 设备
范围: 所有用户、组、设备、设备组
“我们知道它们不在终结点 DLP 的受监视文件列表中。” - 终结点设置:创建 文件扩展名组
"...我们需要防止用户将这些文件复制到 USB 设备或网络共享。” - 匹配条件:无法扫描
文档 - 操作:选择审核或限制设备上的
活动 - 清除“上传到重新写入的云服务域或从未启用的浏览器
进行访问”-选择“将限制应用于特定活动
”-选择“复制到可移动 USB 设备”,>选择“阻止
- 复制到网络共享>阻止
复制到剪贴板”,“打印”、使用未安装蓝牙应用复制或移动,使用 RDP
选择文件复制或移动无法扫描
- 选择仅对不支持的文件扩展名应用限制
“当他们尝试时,我们想让他们知道,教育他们,他们正在尝试禁止的行动。 - 使用通知通知用户并帮助他们了解如何正确使用敏感信息:
终结点设备上 > ,在活动受限时向用户显示策略提示通知...: 选定
- 自定义通知: 选定的> 通知标题: Wingtip 玩具不复制文件>通知内容:FYI,Wingtip Toy 策略不允许将这种类型的文件复制到 USB 设备或网络共享。

创建文件扩展名组

为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 登录到 Microsoft Purview 门户
  2. 打开 “设置”>“数据丢失防护>终结点 DLP 设置>”“文件扩展名组”。
  3. 选择“ 创建文件扩展名组 ”并输入 组名称。 在此方案中,我们使用 Non-classified file extensions
  4. 提供扩展。
  5. 选择“保存”
  6. 关闭项目。

配置策略操作

为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 登录到 Microsoft Purview 门户
  2. 打开 数据丢失防护>策略
  3. 选择“创建策略”,然后从“类别”中选择“自定义”,然后选择“法规”中的“自定义策略模板”。
  4. 为新策略命名并提供说明。
  5. 选择“管理员单位”下的“完整目录”。
  6. 将位置范围限定为 “仅设备 ”。
  7. 创建规则,其中:
    1. “条件” 中。
      1. 无法扫描文档
    2. 操作中
      1. 选择: 审核或限制设备上的活动
      2. 清除: 上传到受限的云服务域或从未启用的浏览器进行访问
      3. 选择: 对特定活动应用限制
      4. 清除: 复制到剪贴板
      5. 选择: 复制到可移动 USB 设备>
      6. 选择: 复制到网络共享>阻止
      7. 清除: 打印
      8. 清除: 使用未安装蓝牙应用进行复制或移动
      9. 清除: 使用 RDP 复制或移动
      10. 清除: 受限应用的访问权限
      11. 选择: 仅对不支持的文件扩展名应用限制
      12. 选择: 添加文件扩展名组 ,然后选择 Non-classified file extensions
  8. “用户通知” 设置为 “开”。
    1. “终结点设备 ”下,选择“在 限制活动时向用户显示策略提示通知...”
    2. 选择 “自定义通知”。
      1. 通知标题中输入 Wingtip toys don't copy files
      2. “通知内容”中输入 FYI, Wingtip Toy policy doesn't let you copy that type of file to USB device or a network share
  9. 保存
  10. 选择“ 立即打开策略”。 选择“下一步”。
  11. 查看设置,然后选择“提交”。

重要

在此方案中,不能将此 文档 与其他条件一起扫描。

方案 6 禁用对某些受支持的文件的扫描并应用控件

备注

方案 6 禁止扫描某些受支持的文件,并应用 预览版控件。

通过禁用对 “监视的文件 ”列表中的某些文件类型的扫描,使用此配置可节省本地资源消耗。 可以使用替代控件将 Audit、Block 或 Block 应用于这些文件类型。

重要

此功能仅支持以下操作类型:

  • 上传到受限的云服务域
  • 复制到可移动 USB 设备
  • 复制到网络共享
  • 打印

方案 6 策略意向语句和映射

Bellows 学院需要节省所有用户 Windows 设备上的资源,减少 DLP 对文件扫描的减少将是一大帮助。 我们有一个文件类型列表,我们知道其内容,因为它们是自动生成的。 这些文件类型位于支持的文件类型列表中。 无需扫描这些自动生成的文件,但我们确实希望防止用户将它们复制到 USB 设备或网络共享。 当他们尝试时,我们希望让他们知道,教育他们,他们正在尝试禁止的行动。

语句 配置问题解答和配置映射
“Bellows 学院需要节省所有用户 Windows 设备上的资源,减少 DLP 对文件扫描的减少将是一个很大的帮助...”。 - 管理范围: 完整目录
- 监视位置: 设备
范围: 所有用户、组、设备、设备组
"...我们有一个文件类型列表,我们知道其内容,因为它们是自动生成的。 这些文件类型位于支持的文件类型列表中。 无需扫描这些自动生成的文件...” - 终结点设置:创建 文件扩展名组
- 禁用分类
...但我们确实希望阻止用户将它们复制到 USB 设备或网络共享... - 匹配条件:无法扫描
文档操作:选择“审核”或“限制设备上的
活动”-清除“”上传到重新写入的云服务域或从未启用的浏览器
进行访问“-选择”将限制应用于特定活动
“-选择”复制到可移动 USB 设备“”>阻止
- 复制到网络共享>“-”清除
复制到剪贴板“,”打印”、使用未安装蓝牙应用复制或移动,并且无法使用 RDP
- select 文件复制或移动
"...当他们尝试时,我们想让他们知道,教育他们,他们正在尝试禁止的行动。 - 使用通知通知用户,并帮助他们了解如何正确使用敏感信息:
终结点设备上 > ,在活动受限时向用户显示策略提示通知...: 选中
- 自定义通知: 选定的>通知标题:Bellows College IT 不会复制文件 >通知内容:FYI、Bellows College 数据丢失防护策略不允许将这种类型的文件复制到 USB 设备或网络共享

创建文件扩展名组

为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 登录到 Microsoft Purview 门户
  2. 打开 “设置”>“数据丢失防护>终结点 DLP 设置>”“文件扩展名组”。
  3. 选择“ 创建文件扩展名组 ”并输入 组名称。 在此方案中,我们使用 Student Class Registration file extensions
  4. 提供扩展。
  5. 选择“保存”
  6. 关闭项目。

禁用分类

使用此设置可从终结点 DLP 分类中排除特定文件扩展名。

为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 登录到 Microsoft Purview 门户
  2. 打开 “设置数据丢失>防护>终结点 DLP 设置>禁用分类”。
  3. 选择 “添加或编辑文件扩展名”。
  4. 提供扩展。
  5. 选择“保存”
  6. 关闭项目。

配置策略操作

为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 登录到 Microsoft Purview 门户
  2. 打开 数据丢失防护>策略
  3. 选择“创建策略”,然后从“类别”中选择“自定义”,然后选择“法规”中的“自定义策略模板”。
  4. 为新策略命名并提供说明。
  5. 选择“管理员单位”下的“完整目录”。
  6. 将位置范围限定为 “仅设备 ”。
  7. 创建规则,其中:
    1. “条件”中
      1. 无法扫描文档
    2. 操作中
      1. 选择: 审核或限制设备上的活动
      2. 选择: 对特定活动应用限制
      3. 清除: 复制到剪贴板
      4. 选择: 复制到可移动 USB 设备>
      5. 选择: 复制到网络共享>阻止
      6. 清除: 打印
      7. 清除: 使用未安装蓝牙应用进行复制或移动
      8. 清除: 使用 RDP 复制或移动
      9. 清除: 受限应用的访问权限
      10. 选择: 仅对不支持的文件扩展名应用限制
      11. 选择: 添加文件扩展名组 ,然后选择 Student Class Registration file extensions
    3. 保存
  8. 选择 立即将其打开。 选择“下一步”。
  9. 查看设置,然后选择“提交”。

重要

在这种情况下,不能将此文档与其他条件一起 扫描

部署

成功的策略部署不仅仅是将策略引入环境以强制控制用户操作。 杂乱无章的、匆忙的部署可能会对业务流程产生负面影响,并惹恼用户。 这些后果会减缓组织中 DLP 技术的接受度,以及它所促进的更安全的行为。 从长远来看,最终降低敏感项的安全性。

在开始部署之前,请确保已通读 策略部署。 它提供策略部署过程的广泛概述和一般指南。

本部分更深入地探讨在一起用于管理生产策略的三种类型的控件。 请记住,你可以随时更改其中任何一项,而不仅仅是在策略创建期间。

部署管理的三个轴

可以使用三个轴来控制策略部署过程、范围、策略状态和操作。 应始终采用增量方法来部署策略,从影响最小/模拟模式 到完全实施。

当策略状态为 策略范围可以是 策略操作的影响
在模拟模式下运行策略 位置的策略范围可以是窄或宽 - 可以配置任何操作
- 配置的操作
不会影响用户 - 管理员查看警报并可以跟踪活动
使用策略提示在模拟模式下运行策略 应将策略的范围限定为面向试点组,然后在优化策略时扩展范围 - 可以配置任何操作
- 配置的操作
不会影响用户 - 用户可以接收策略提示和警报
- 管理员查看警报并可以跟踪活动
将其打开 所有目标位置实例 - 对用户活动
强制实施所有配置的操作 - 管理员可查看警报并可以跟踪活动
将其关闭 不适用 不适用

状态

State 是用于推出策略的主要控件。 创建完策略后,将策略的状态设置为 “使其关闭”。 在处理策略配置时,应将其保留为此状态,直到获得最终评审并注销为止。 状态可以设置为:

  • 在模拟模式下运行策略:不强制实施任何策略操作,对事件进行审核。 处于此状态时,可以在 DLP 模拟模式概述和 DLP 活动资源管理器 控制台中监视策略的影响。
  • 在模拟模式下运行策略,并在模拟模式下显示策略提示:不会强制实施任何操作,但用户会收到策略提示和通知电子邮件,以提高其认知度并对其进行教育。
  • 立即将其打开:这是完全强制模式。
  • 将其关闭:策略处于非活动状态。 在部署前开发和查看策略时使用此状态。

可以随时更改策略的状态。

操作

操作是策略在响应敏感项上的用户活动时执行的操作。 由于可以随时更改这些内容,因此可以从影响最小、 允许 设备) (和 仅审核 所有其他位置) (开始,收集和查看审核数据,并在移动到限制性更严格的操作之前使用它来优化策略。

  • 允许:允许发生用户活动,因此不会影响任何业务流程。 你会收到审核数据,并且没有任何用户通知或警报。

    备注

    “允许”操作仅适用于作用域为“设备”位置的策略。

  • 仅审核:允许发生用户活动,因此不会影响任何业务流程。 你获取审核数据,可以添加通知和警报,以提高认知度,并培训用户知道他们正在执行的操作是一种有风险的行为。 如果你的组织打算稍后强制实施更严格的操作,你也可以告诉用户这一点。

  • 使用替代阻止:默认情况下会阻止用户活动。 可以审核事件、引发警报和通知。 这会影响业务流程,但用户可以选择替代块并提供替代原因。 由于你从用户那里获得直接反馈,因此此操作可以帮助你识别误报匹配项,可用于进一步优化策略。

    备注

    对于 Microsoft 365 中的 Exchange online 和 SharePoint,将在用户通知部分中配置替代。

  • 阻止:无论什么,用户活动都将被阻止。 可以审核事件、引发警报和通知。

策略范围

每个策略的范围限定为一个或多个位置,例如 Exchange、Microsoft 365 中的 SharePoint、Teams 和设备。 默认情况下,选择某个位置时,该位置的所有实例都属于该范围,并且不会排除任何实例。 通过配置位置的包含/排除选项,可以进一步优化位置 (实例(如站点、组、帐户、通讯组、邮箱和设备)) 应用策略。 若要详细了解包括/排除范围选项,请参阅 位置

通常,在策略处于 模拟模式状态下运行策略 时,可以更灵活地确定范围,因为不会采取任何操作。 可以仅从为策略设计的范围开始,也可以广泛了解策略将如何影响其他位置的敏感项。

然后,将状态更改为 “在模拟模式下运行策略”并显示策略提示时,应将范围缩小到一个试点组,该试点组可以提供反馈,成为早期采用者,当其他人加入时,他们可以成为他们的资源。

移动策略以 立即将其打开时,可以扩大范围,以包括设计策略时所需的所有位置实例。

策略部署步骤

  1. 创建策略并将其状态设置为 “使其关闭”后,请与利益干系人进行最终评审。
  2. 将状态更改为 在模拟模式下运行策略。 此时,位置范围可能很宽,因此可以跨多个位置收集有关策略行为的数据,或者仅从单个位置开始。
  3. 根据行为数据优化策略,使其更好地满足业务意图。
  4. 将状态更改为 在模拟模式下运行策略并显示策略提示。 根据需要优化位置范围以支持试点组,并利用包含/排除,以便策略首先推出到该试点组。
  5. 收集用户反馈以及警报和事件数据,如果需要,请进一步优化策略和计划。 请确保解决用户提出的所有问题。 你的用户很可能遇到问题,并提出有关你在设计阶段未想到的问题。 此时开发一组超级用户。 当策略范围增加且加入更多用户时,它们可以是帮助培训其他用户的资源。 在转到下一阶段部署之前,请确保策略已实现控制目标。
  6. 将状态更改为 立即将其打开。 策略已完全部署。 监视 DLP 警报和 DLP 活动资源管理器。 地址警报。