过度共享弹出窗口入门

配置适当的 Microsoft Purview 数据丢失防护 (DLP) 策略时，DLP 会在发送电子邮件之前检查电子邮件中是否有任何标记或敏感信息，并应用 DLP 策略中定义的操作。 此功能需要 Microsoft 365 E5 订阅，以及支持此功能的 Outlook 版本。 若要确定所需的最低版本的 Outlook，请使用 Outlook 的功能表，并在 “防止过度共享为 DLP 策略提示 ”行中查找。

重要

下面是具有假设值的假设方案。 它仅用于说明目的。 实现此功能时，应替换自己的敏感信息类型、敏感度标签、通讯组和用户。

提示

如果你不是 E5 客户，请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从 Microsoft Purview 合规性门户试用中心开始。 了解有关 注册和试用条款的详细信息。

准备工作

SKU/订阅许可

在开始使用 DLP 策略之前，请确认 Microsoft 365 订阅 和任何加载项。

有关许可的信息，请参阅 Microsoft 365、Office 365、企业移动性 + 安全性和适用于企业的 Windows 11 订阅。

权限

用于创建和部署策略的帐户必须是以下角色组之一的成员

• 合规性管理员
• 合规性数据管理员
• 信息保护
• 信息保护管理员
• 安全管理员

重要

在开始之前，请阅读 管理单元 ，确保了解 不受限制的管理员 和管理 单元受限管理员之间的区别。

精细的角色和角色组

可以使用多个角色和角色组来微调访问控制。

下面是适用角色的列表。 若要了解详细信息，请参阅 Microsoft Purview 合规性门户中的权限。

• DLP 合规性管理
• 信息保护管理员
• 信息保护分析师
• 信息保护调查员
• 信息保护读者

下面是适用角色组的列表。 若要详细了解它们，请参阅 Microsoft Purview 合规性门户中的权限。

• 信息保护
• 信息保护管理员
• 信息保护分析师
• 信息保护调查员
• 信息保护读者

先决条件和假设条件

在 Outlook for Microsoft 365 中，在发送邮件之前，过度共享弹出窗口会显示一个弹出窗口。 若要启用这些弹出窗口，请先将策略范围限定为 Exchange 位置，然后在为该策略创建 DLP 规则时，在策略提示中选择“在 发送前向用户显示策略提示 对话框”选项。

我们的示例方案使用 “高度机密 敏感度”标签，因此它要求你已创建并发布了敏感度标签。 若要了解详细信息，请参阅：

• 了解敏感性标签
• 开始使用敏感度标签
• 创建和配置敏感度标签及其策略

此过程使用 contoso.com。 假设的公司域。

策略意向和映射

对于此示例，我们的策略意向声明是：

我们需要阻止所有应用了“高度机密”敏感度标签的收件人的电子邮件，除非收件人域 contoso.com。 我们希望在用户发送电子邮件时使用弹出对话框通知用户。 不允许任何用户替代块。

语句	配置问题解答和配置映射
“我们需要阻止发送给所有收件人的电子邮件...”	- 监视位置：Exchange - 管理范围：完整目录 - 操作：限制访问或加密Microsoft 365 位置 > 的内容 阻止用户接收电子邮件或访问共享的 SharePoint、OneDrive 和 Teams 文件 > 阻止所有人
"...应用了“高度机密”敏感度标签...”	- 要监视的内容：对匹配使用自定义模板 - 条件：编辑它以添加 高度机密 的敏感度标签
"...除非...”	条件组配置 - 使用布尔 AND 创建联接到第一个条件的嵌套布尔 NOT 条件组
"...收件人域 contoso.com。”	匹配条件：收件人域为
"...通知...”	用户通知：已启用
"...发送时具有弹出对话框的用户...”	策略提示：选择在 - 发送之前将策略提示显示为最终用户的对话框：已选择
"...不允许任何用户替代块...	允许从 M365 服务替代：未选择

若要使用默认文本配置过度共享弹出窗口，DLP 规则必须包含以下条件：

• 内容包含>敏感度标签>选择敏感度标签 ()

以及以下一个或多个基于收件人的条件

• 收件人为
• 收件人所在组为
• 收件人域为

满足这些条件时，策略提示会在用户在 Outlook 中撰写邮件时显示不受信任的收件人，然后再发送邮件。

配置“等待发送时”的步骤

（可选）可以在 dword) 中设置 dlpwaitonsendtimeout Regkey (Value ，这些设备上要针对过度共享弹出窗口实现“等待发送”。 此注册表项 (RegKey) 定义当用户选择“ 发送”时保留电子邮件的最长时间。 这允许系统完成已标记或敏感内容的 DLP 策略评估。 可以在以下位置找到此 RegKey：

*Software\Policies\Microsoft\office\16.0\Outlook\options\Mail*

可以通过组策略设置此 RegKey (指定等待时间来评估敏感内容) 、脚本或其他用于配置注册表项的机制。

如果使用组策略，请确保已下载适用于 Microsoft 365 企业应用的组策略管理模板文件的最新版本，然后从 用户配置 >> 管理模板 >> Microsoft Office 2016 >> 安全设置导航到此设置。 如果使用 Microsoft 365 的云策略服务，请按名称搜索设置以对其进行配置。

如果设置了此值并配置了 DLP 策略，则会在发送电子邮件之前检查其敏感信息。 如果消息包含与策略中定义的条件匹配项，则会在用户单击“ 发送”之前显示策略提示通知。

此 RegKey 允许指定 Outlook 客户端的 等待发送 行为。

下面是每个设置的含义：

未配置 或 禁用：这是默认值。 如果未配置 dlpwaitonsendtimeout ，则不会在用户发送消息之前检查该消息。 单击“ 发送 ”后，将立即发送电子邮件。 DLP 数据分类服务将评估消息并应用 DLP 策略中定义的操作。

已启用：在单击“ 发送 ”时，但在实际发送邮件之前，将检查电子邮件。 可以设置等待 DLP 策略评估完成的时间限制， (T 值（以秒为单位) ）。 如果策略评估未在指定时间内完成，则会显示“ 仍然发送 ”按钮，允许用户绕过预发送检查。 T 值范围为 0 到 9999 秒。

重要

如果 T 值大于 9999，则将其替换为 10000，并且不显示“ 仍然发送 ”按钮。 这将保留消息，直到策略评估完成，并且不会为用户提供 替代 选项。 完成评估的持续时间可能因 Internet 速度、内容长度和定义的策略数等因素而异。 某些用户可能比其他用户更频繁地遇到策略评估邮件，具体取决于在其邮箱上部署的策略。

若要详细了解如何配置和使用 GPO，请参阅 管理 Microsoft Entra 域服务托管域中的组策略。

为过度共享弹出窗口创建 DLP 策略的步骤

为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户，请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息，请参阅 Microsoft Purview 合规性门户。

Microsoft Purview 门户

1. 登录到 Microsoft Purview 门户>数据丢失防护>策略

2. 选择“ + 创建策略”。

3. 从“类别”列表中选择“自定义”。

4. 从“法规”列表中选择“自定义”。

5. 为策略指定 名称。

   重要

   无法重命名策略。

6. 填写说明。 可在此处使用策略意向语句。

7. 选择“下一步”。

8. 在“管理单元”下选择“完整目录”。

9. 仅选择 Exchange 电子邮件 位置。

10. 选择“下一步”。

11. 在 “定义策略设置” 页上，选择 “创建或自定义高级 DLP 规则”。

12. 应已选择 “创建或自定义高级 DLP 规则 ”选项。

13. 选择“下一步”。

14. 选择“ 创建规则”。 命名规则并提供说明。

15. 选择 “添加条件>内容包含>添加>敏感度标签>高度机密”。 选择添加。

16. 选择“添加组>”和>“不>添加条件”。

17. 选择“ 收件人域已>contoso.com”。 选择添加。

    提示

    还可以使用 Recipient is 或 Recipient is 的成员 而不是 Recipient 域 is 触发过度共享弹出窗口。

18. 选择“ 添加操作>”“限制访问”或“加密Microsoft 365 个位置的内容。

19. 选择 “阻止用户接收电子邮件或访问共享的 SharePoint、OneDrive 和 Teams 文件以及 Power BI 项目”。

20. 选择 “阻止所有人”。

21. 将 “用户通知” 切换开关设置为 “开”。

22. 选择“ 策略提示>”在发送仅适用于 Exchange 工作负载 () 之前，将策略提示显示为最终用户的对话框 。

23. 如果已选中，请取消选中 “允许从 M365 服务替代 ”选项。

24. 选择“保存”。

25. 将 “状态” 切换开关更改为“ 打开 ”，然后选择“ 下一步”。

26. 在 “策略模式 ”页上，选择“ 在测试模式下运行策略 ”，并选中“ 在模拟模式下显示策略提示 ”选项的框。

27. 选择 “下一步 ”，然后选择“ 提交”。

28. 选择“完成”。

合规性门户

1. 登录到 Microsoft Purview 合规性门户>解决方案>数据丢失防护>策略>+ 创建策略。

2. 从“类别”列表中选择“自定义”。

3. 从“模板”列表中选择“自定义”。

4. 为策略指定 名称。

   重要

   无法重命名策略。

5. 输入说明。 可在此处使用策略意向语句。

6. 选择“下一步”。

7. 在“管理单元”下选择“完整目录”。

8. 仅选择 Exchange 电子邮件 位置。。

9. 选择“下一步”。

10. 接受“全部包含” = 和“排除无” = 的默认值。

11. 应已选择 “创建或自定义高级 DLP 规则 ”选项。

12. 选择“下一步”。

13. 选择“ 创建规则”。 命名规则并提供说明。

14. 选择 “添加条件>内容包含>添加>敏感度标签>高度机密”。 选择添加。

15. 选择“添加组>”和>“不>添加条件”。

16. 选择“ 收件人域已>contoso.com”。 选择添加。

    提示

    收件人是 ， 收件人是 的成员 ，也可以在上一步中使用，并将触发过度共享弹出窗口。

17. 选择“ 添加操作>限制访问或加密Microsoft 365 个位置>中的内容限制访问或加密Microsoft 365 个位置>中的内容阻止用户接收电子邮件或访问共享的 SharePoint、OneDrive 和 Teams 文件。>阻止所有人。

18. 将 “用户通知” 设置为 “开”。

19. 选择“ 策略提示>在发送之前将策略提示显示为最终用户的对话框”。

20. 确保未选择“允许从 M365 服务替代”。

21. 选择“保存”。

22. 选择 “下一步>”“使其关闭>下一次>提交”。

创建策略的 PowerShell 步骤

也可以在 PowerShell 中配置 DLP 策略和规则。 若要使用 PowerShell 配置过度共享弹出窗口，请先使用 PowerShell) 创建 DLP 策略 (，并为每个警告、证明或阻止弹出类型添加 DLP 规则。

你将使用 New-DlpCompliancePolicy 配置 DLP 策略并设置其范围。 然后，使用 New-DlpComplianceRule 配置每个过度共享规则

若要为过度共享弹出方案配置新的 DLP 策略，请使用以下代码片段：

PS C:\> New-DlpCompliancePolicy -Name <DLP Policy Name> -ExchangeLocation All

此示例 DLP 策略的范围限定为组织中的所有用户。 使用 -ExchangeSenderMemberOf 和 -ExchangeSenderMemberOfException限定 DLP 策略的范围。

参数	配置
-ContentContainsSensitiveInformation	配置一个或多个敏感度标签条件。 此示例包括一个。 至少一个标签是必需的。
-ExceptIfRecipientDomainIs	受信任的域列表。
-NotifyAllowOverride	“WithJustification”启用理由单选按钮，“WithoutJustification”禁用它们。
-NotifyOverrideRequirements	“WithAcknowledgement”启用新的确认选项。 这是可选项。

若要配置新的 DLP 规则以使用受信任的域生成 警告 弹出窗口，请运行以下 PowerShell 代码：

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator="Or";name="Default";labels=@(@{name=<Label GUID>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")

若要配置新的 DLP 规则以使用受信任的域生成 合理 弹出窗口，请运行以下 PowerShell 代码：

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com") -NotifyAllowOverride "WithJustification"

若要配置新的 DLP 规则以使用受信任的域生成 阻止 弹出窗口，请运行以下 PowerShell 代码：

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")

使用这些过程访问 业务理由 X-Header。

另请参阅

• 数据丢失防护警报仪表板入门
• 创建和部署数据丢失防护策略