数据丢失防护和 Microsoft Teams
本文内容
Microsoft Teams 的 DLP 许可
DLP 保护范围
策略提示帮助教育用户
将 Microsoft Teams 作为位置添加到现有 DLP 策略
为 Microsoft Teams 定义新的 DLP 策略
阻止对敏感文档的外部访问
相关文章
显示另外 3 个
如果组织Microsoft Purview 数据丢失防护 (DLP) ,则可以定义策略来帮助防止用户在Microsoft Teams 频道或聊天会话中共享敏感信息。 下面是此保护工作原理的一些示例:
保护消息中的敏感信息 。 假设有人尝试在 Teams 聊天或频道中与来宾共享敏感信息, () 的外部用户。 如果定义了 DLP 策略来防止这种情况,则会删除包含发送给外部用户的敏感信息的消息。 这在几秒钟内根据 DLP 策略的配置方式自动发生。
备注
Microsoft Teams 的 DLP 在与具有以下内容Microsoft Teams 用户共享时会阻止敏感内容:
仅当发送方和接收方都处于“仅 Teams”模式并使用 Microsoft Teams 本机联合 时,外部聊天会话的 DLP 才有效。 用于 Teams 的 DLP 不会阻止与 Skype 或非本机联合聊天会话的 互操作 中的消息。
保护文档中的敏感信息 。 假设有人尝试在Microsoft Teams 频道或聊天中与来宾共享文档,并且该文档包含敏感信息。 如果定义了 DLP 策略来防止这种情况,则不会为这些用户打开该文档。 DLP 策略必须包含 SharePoint 和 OneDrive,才能强制实施保护。 这是显示在 Microsoft Teams 中的 SharePoint 的 DLP 示例,因此要求用户获得Office 365 DLP 许可, (包含在 Office 365 E3) 中,但不要求用户获得Office 365 高级合规版许可。
保护 Teams 共享频道中的通信 。 对于共享频道,将应用主机 Teams 团队 DLP 策略。 例如,假设 Contoso 团队 A 拥有一个共享频道。 团队 A 具有 DLP 策略 P1。 可通过三种方式共享频道:
与成员共享 :邀请 Contoso 中的 User1 加入共享频道,而无需使其成为团队 A 的成员。P1 涵盖此共享频道中的所有人,包括 User1。
在内部) 与团队 (共享 :与 Contoso 团队 B 中的另一个团队共享频道。其他团队可能有不同的 DLP 策略,但这并不重要。 P1 适用于此共享频道中的每个人,包括团队 A 和团队 B 用户。
与团队 (跨租户) 共享 :在 Fabrikam 中与团队 F 共享频道。 Fabrikam 可能有自己的 DLP 策略,但这并不重要。 P1 适用于此共享频道中的每个人,包括 Team A (Contoso) 和 Team F (Fabrikam) 用户。
在与 Microsoft Teams 中的外部用户聊天时保护通信 。 来自不同Microsoft 365 个组织(全部使用外部访问 功能)的人员都可以加入同一聊天会话。 每个用户都受其自己组织的 DLP 策略的约束。 例如,假设来自 Contoso 的 UserA、UserB 和 UserC 以及来自 Fabrikam 的 UserX、UserY 和 UserZ 都位于同一 Teams 聊天中。 Contoso 用于在 Teams 中共享信息的 DLP 策略适用于 UserA、UserB 和 UserC,而 Fabrikam 的 DLP 策略适用于 UserX、UserY 和 UserZ。 有关使用 Microsoft Teams 与组织外部的人员聊天的详细信息,请参阅 管理外部会议并使用Microsoft标识与人员和组织聊天
数据丢失防护 功能包括Microsoft Teams 聊天和频道消息,包括用于以下对象的 专用频道消息 :
Office 365 E5/A5/G5
Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/G5 信息保护和治理
Microsoft 365 E5/A5/G5/F5 合规性及 F5 安全性 + 合规性
Office 365和Microsoft 365 E3包括 SharePoint、OneDrive 和 Exchange 的 DLP 保护。 这还包括通过 Teams 共享的文件,因为 Teams 使用 SharePoint 和 OneDrive 来共享文件。
支持 Teams 聊天中的 DLP 保护需要 E5 许可证。
DLP 保护以不同的方式应用于 Teams 实体,如下表所述。
若要将 DLP Teams 策略的范围限定为所有聊天类型,请将策略范围限定为 “所有位置 ”,或验证每个 Teams 用户是否同时位于Microsoft 365 组中,并且位于作用域为策略的安全组或通讯组中。 有关详细信息, 请详细了解如何同步成员身份 。
展开表
策略范围
Teams 实体
DLP 保护
个人用户帐户
- 1:1/n 聊天 - Standard和共享频道消息 - 私人频道消息
-是的 -不 -是的
安全组/通讯组/未启用邮件的安全组
- 1:1/n 聊天 - Standard和共享频道消息 - 私人频道消息
-是的 -不 -是的
Microsoft 365 组
- 1:1/n 聊天 - Standard和共享频道消息 - 私人频道消息
-是的 -是的 -不
备注
当 DLP 策略的范围限定为Microsoft 365 个组时,DLP 保护将应用于使用标准频道和共享通道的组成员,这些成员Microsoft 365 个组所属的组,并且所有 1:1/n 聊天也适用于组成员,但为 Teams 聊天和频道消息配置 光学字符识别 时除外。
与 (Exchange、Outlook、SharePoint、OneDrive 和 Windows 设备上 DLP 策略提示的工作方式类似,当使用 DLP 策略触发操作时,Teams 中的策略提示会显示。 下面是策略提示的示例:
在这里,发件人尝试在 Microsoft Teams 频道中共享社会安全号码。 “ 我该怎么办?” 链接将打开一个对话框,该对话框为发件人提供了解决问题的选项。 请注意,发件人可以选择替代策略或通知管理员查看和解决问题。
可以选择允许组织中的用户替代 DLP 策略。 配置 DLP 策略时,可以使用默认策略提示,或为组织 自定义策略提示 。
回到我们的示例,当发件人在 Teams 频道中共享社会安全号码时,收件人会看到以下情况:
DLP 保护应用于聊天或频道线程中的实际消息。 从聊天或频道消息创建的“活动通知”中的简短预览版中也显示了消息信息。 当存在与 DLP 策略匹配项时,将隐藏相应的预览,并显示“预览不可用”消息,而不是阻止的预览。 如果发送的消息与 DLP 策略匹配,则还会为发件人生成活动条目。 已标记和阻止的消息,将创建表示“已阻止邮件”的活动。
若要执行该任务,须被分配具有编辑 DLP 策略权限的角色。 若要了解详细信息,请参阅Microsoft Purview 合规门户中的权限 。
为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户 。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户 。
登录到 Microsoft Purview 门户 >数据丢失防护 >策略 。
选择一个策略,然后选择“ 编辑策略 ” (铅笔图标) 。
在工具中导航,直到转到 “自定义高级 DLP 规则 ”屏幕。
创建新规则,或编辑策略的现有规则。
向下滚动到 “用户通知 ”,并将 “使用通知告知用户并帮助告知他们正确使用敏感信息” 开关设置为 “开 ”。
在“Microsoft 365 服务 ”下,选择“使用策略提示通知Office 365服务中的用户 ”。
在 “策略提示 ”下,选择“ 自定义策略提示文本 ”。
指定要用于策略提示的文本。
如果策略提示应用于 Microsoft Exchange 中的用户活动,并且您希望在发送电子邮件之前有一个对话框显示提示,请选择“ 在发送之前将策略提示显示为最终用户的对话框 ”。
选择 “保存” ,然后选择 “下一步 ”。
在“策略模式 ”页上,如果需要,检查“在模拟模式下显示策略提示 ”旁边的框。
依次选择 “下一步 ”、“ 提交 ”和“ 完成 ”。
登录到 Microsoft Purview 合规门户 >数据丢失防护 >策略 。
选择策略,然后选择 “编辑” (铅笔图标) 。
在工具中导航,直到转到 “自定义高级 DLP 规则 ”屏幕。
创建新规则,或编辑策略的现有规则。
向下滚动到“用户通知 ”,选择“使用策略提示通知Office 365服务中的用户 ”,然后选择“自定义策略提示文本 ”。
指定要用于电子邮件通知和/或策略提示的文本,然后选择“保存 ”。
选择“保存 ”。
完成工具工作。 在最后一个屏幕上,选择“ 提交 ”。
大约需要一小时,让更改通过数据中心运行并同步到用户帐户。
将 Microsoft Teams 作为位置添加到现有 DLP 策略
若要执行该任务,须被分配具有编辑 DLP 策略权限的角色。 若要了解详细信息,请参阅 Microsoft Purview 合规门户 .md#permissions) 中的权限。
为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户 。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户 。
登录到 Microsoft Purview 门户 >数据丢失防护 >策略 。
选择一个策略,然后选择“ 编辑策略 ” (铅笔图标) 。
在工具中导航,直到到达 “选择要应用策略的位置 ”页。
选择 “Teams 聊天和频道消息 ”。
选择“ 下一步 ”,并一直完成该过程。
Choose Submit .
大约需要一小时,让更改通过数据中心运行并同步到用户帐户。
转到Microsoft Purview 合规门户 并登录。
选择 “数据丢失防护 >策略 ”。
选择一个策略,然后选择 “编辑策略 ”。
在工具中导航,直到到达 “选择要应用策略的位置 ”页。
将 Teams 聊天和频道消息 选项切换为 “打开 ”。
选择“ 下一步 ”,并一直完成该过程。
Choose Submit .
大约需要一小时,让更改通过数据中心运行并同步到用户帐户。
为 Microsoft Teams 定义新的 DLP 策略
有关如何创建和实施新的 DLP 策略的信息,请参阅 创建和部署数据丢失防护策略 。
默认情况下,可以通过 将新文件标记为敏感 ,确保文档受到保护,直到 DLP 扫描并将它们标记为安全共享。
条件
内容包含以下任一敏感信息类型 :[选择所有应用]
操作
添加操作
限制访问或加密Microsoft 365 个位置 >的内容仅阻止组织外部的人员
> [!div class="mx-imgBorder"]
策略提示 [选择所有适用]
> [!div class="mx-imgBorder"]
备注
事件报告的发件人地址现在 no-reply-MicrosoftInformationProtectionOnline@microsoft.com 为 。