配置适当的Microsoft Purview 数据丢失防护 (DLP) 策略时,DLP 会在发送电子邮件之前检查电子邮件中是否有任何标记或敏感信息,并应用 DLP 策略中定义的操作。 此功能需要 Microsoft 365 E5 订阅,以及支持此功能的 Outlook 版本。 有关所需版本的详细信息,请参阅Microsoft 365 专属 Outlook的过度共享对话框。
重要
下面是具有假设值的假设方案。 它仅用于说明目的。 实现此功能时,应替换自己的敏感信息类型、敏感度标签、通讯组和用户。
提示
开始使用Microsoft Security Copilot,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的Microsoft Security Copilot。
在开始使用 DLP 策略之前,请确认 Microsoft 365 订阅 和任何加载项。
有关许可的信息,请参阅 Microsoft 365、Office 365、企业移动性 + 安全性 和 Windows 11 企业订阅。
用于创建和部署策略的帐户必须是以下角色组之一的成员
重要
在开始之前,请阅读 管理单元 ,确保了解 不受限制的管理员 和管理 单元受限管理员之间的区别。
可以使用多个角色和角色组来微调访问控制。
下面是适用角色的列表。 若要了解详细信息,请参阅Microsoft Purview 合规门户中的权限。
下面是适用角色组的列表。 若要详细了解它们,请参阅Microsoft Purview 合规门户中的权限。
在 Microsoft 365 专属 Outlook 中,过度共享弹出窗口在发送消息之前显示弹出窗口。 若要启用这些弹出窗口,请先将策略范围限定为 Exchange 位置,然后在为该策略创建 DLP 规则时,在策略提示中选择“在 发送前向用户显示策略提示 对话框”选项。
我们的示例方案使用 “高度机密 敏感度”标签,因此它要求你已创建并发布了敏感度标签。 若要了解详细信息,请参阅:
此过程使用 contoso.com。 假设的公司域。
对于此示例,我们的策略意向声明是:
我们需要阻止所有应用了“高度机密”敏感度标签的收件人的电子邮件,除非收件人域 contoso.com。 我们希望在用户发送电子邮件时使用弹出对话框通知用户。 不允许任何用户替代块。
| 语句 | 配置问题解答和配置映射 |
|---|---|
| “我们需要阻止发送给所有收件人的电子邮件...” |
-
监视位置:Exchange - 管理范围:完整目录 - 操作:限制访问或加密Microsoft 365 位置 > 的内容 阻止用户接收电子邮件或访问共享的 SharePoint、OneDrive 和 Teams 文件 > 阻止所有人 |
| "...应用了“高度机密”敏感度标签...” |
-
要监视的内容:对匹配使用自定义模板 - 条件:编辑它以添加 高度机密 的敏感度标签 |
| "...除非...” | 条件组配置 - 使用布尔 AND 创建联接到第一个条件的嵌套布尔 NOT 条件组 |
| "...收件人域 contoso.com。” | 匹配条件:收件人域为 |
| "...通知...” | 用户通知:已启用 |
| "...发送时具有弹出对话框的用户...” |
策略提示:选择在 - 发送之前将策略提示显示为最终用户的对话框:已选择 |
| "...不允许任何用户替代块... | 允许从 M365 服务替代:未选择 |
若要使用默认文本配置过度共享弹出窗口,DLP 规则必须包含以下条件:
以及以下一个或多个基于收件人的条件
满足这些条件时,策略提示会在用户在 Outlook 中撰写邮件时显示不受信任的收件人,然后再发送邮件。
(可选)可以在 dword) 中设置 dlpwaitonsendtimeout Regkey (Value ,这些设备上要针对过度共享弹出窗口实现“等待发送”。 此注册表项 (RegKey) 定义当用户选择“ 发送”时保留电子邮件的最长时间。 这允许系统完成已标记或敏感内容的 DLP 策略评估。 可以在以下位置找到此 RegKey:
*Software\Policies\Microsoft\office\16.0\Outlook\options\Mail*
可以通过组策略设置此 RegKey (指定等待时间来评估敏感内容) 、脚本或其他用于配置注册表项的机制。
如果使用 组策略,请确保已下载最新版本的 组策略 Microsoft 365 企业应用版管理模板文件,然后从用户配置>>管理模板>>Microsoft Office 2016 >> 安全设置导航到此设置。 如果使用 Microsoft 365 的云策略服务,请按名称搜索设置以对其进行配置。
设置此值并配置 DLP 策略后,会在发送电子邮件之前检查其敏感信息。 如果消息包含与策略中定义的条件匹配项,则会在用户选择“ 发送”之前显示策略提示通知。
此 RegKey 允许指定 Outlook 客户端的 等待发送 行为。
以下是每个设置的含义:
未配置 或 禁用:这是默认值。 如果未配置 dlpwaitonsendtimeout ,则不会在用户发送消息之前检查该消息。 单击“ 发送 ”后,将立即发送电子邮件。 DLP 数据分类服务评估消息并应用 DLP 策略中定义的操作。
已启用:在单击“ 发送 ”时,但在发送邮件之前,将检查电子邮件。 可以设置等待 DLP 策略评估完成的时间限制, (T 值(以秒为单位) )。 如果策略评估未在指定时间内完成,则会显示“仍然发送”按钮,允许用户绕过预发送检查。 T 值范围为 0 到 9999 秒。
重要
如果 T 值大于 9999,则将其替换为 10000,并且不显示“ 仍然发送 ”按钮。 这会将消息保留到策略评估完成,并且不会为用户提供 替代 选项。 完成评估的持续时间可能因 Internet 速度、内容长度和定义的策略数等因素而异。 某些用户可能比其他用户更频繁地遇到策略评估邮件,具体取决于在其邮箱上部署的策略。
若要详细了解如何配置和使用 GPO,请参阅在Microsoft Entra 域服务托管域中管理组策略。
为正在使用的门户选择相应的选项卡。 根据 Microsoft 365 计划,Microsoft Purview 合规门户已停用或即将停用。
若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户。
登录到 Microsoft Purview 门户>数据丢失防护>策略
选择“ + 创建策略”。
从“类别”列表中选择“自定义”。
从“法规”列表中选择“自定义”。
为策略指定 名称。
重要
无法重命名策略。
填写说明。 可在此处使用策略意向语句。
选择 下一步。
选择“管理员单位”下的“完整目录”。
仅选择 Exchange 电子邮件 位置。
选择 下一步。
在 “定义策略设置” 页上,选择 “创建或自定义高级 DLP 规则”。
应已选择 “创建或自定义高级 DLP 规则 ”选项。
选择 下一步。
选择“ 创建规则”。 命名规则并提供说明。
选择 “添加条件>内容包含>添加>敏感度标签>高度机密”。 选择添加。
选择“添加组>”和>“不>添加条件”。
选择“ 收件人域已>contoso.com”。 选择添加。
提示
还可以使用 Recipient is 或 Recipient is 的成员 而不是 Recipient 域 is 触发过度共享弹出窗口。
选择“ 添加操作>”“限制访问”或“加密Microsoft 365 个位置的内容。
选择 “阻止用户接收电子邮件或访问共享的 SharePoint、OneDrive 和 Teams 文件以及 Power BI 项目”。
选择 “阻止所有人”。
将 “用户通知” 切换开关设置为 “开”。
选择“ 策略提示>”在发送仅适用于 Exchange 工作负载 () 之前,将策略提示显示为最终用户的对话框 。
如果已选中,请取消选中 “允许从 M365 服务替代 ”选项。
选择“保存”。
将 “状态” 切换开关更改为“ 打开 ”,然后选择“ 下一步”。
在“策略模式”页上,选择“在测试模式下运行策略”,并检查“在模拟模式下显示策略提示”选项的框。
选择 “下一步 ”,然后选择“ 提交”。
选择“完成”。
也可以在 PowerShell 中配置 DLP 策略和规则。 若要使用 PowerShell 配置过度共享弹出窗口,请先使用 PowerShell) 创建 DLP 策略 (,并为每个警告、证明或阻止弹出类型添加 DLP 规则。
你将使用 New-DlpCompliancePolicy 配置 DLP 策略并设置其范围。 然后,使用 New-DlpComplianceRule 配置每个过度共享规则
若要为过度共享弹出方案配置新的 DLP 策略,请使用以下代码片段:
PS C:\> New-DlpCompliancePolicy -Name <DLP Policy Name> -ExchangeLocation All
此示例 DLP 策略的范围限定为组织中的所有用户。 使用 -ExchangeSenderMemberOf 和 -ExchangeSenderMemberOfException限定 DLP 策略的范围。
| 参数 | 配置 |
|---|---|
| -ContentContainsSensitiveInformation | 配置一个或多个敏感度标签条件。 此示例包括一个。 至少一个标签是必需的。 |
| -ExceptIfRecipientDomainIs | 受信任的域列表。 |
| -NotifyAllowOverride | “WithJustification”启用理由单选按钮,“WithoutJustification”禁用它们。 |
| -NotifyOverrideRequirements | “WithAcknowledgement”启用新的确认选项。 这是可选项。 |
若要配置新的 DLP 规则以使用受信任的域生成 警告 弹出窗口,请运行以下 PowerShell 代码:
PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator="Or";name="Default";labels=@(@{name=<Label GUID>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")
若要配置新的 DLP 规则以使用受信任的域生成 合理 弹出窗口,请运行以下 PowerShell 代码:
PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com") -NotifyAllowOverride "WithJustification"
若要配置新的 DLP 规则以使用受信任的域生成 阻止 弹出窗口,请运行以下 PowerShell 代码:
PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")
使用这些过程访问 业务理由 X-Header。
培训
模块
Implement Microsoft Purview Data Loss Prevention - Training
This module examines how organizations can use Microsoft Purview Data Loss Prevention to help protect sensitive data and define the protective actions that organizations can take when a DLP rule is violated. MS-102
认证
Microsoft Certified: Information Protection and Compliance Administrator Associate - Certifications
演示保护 Microsoft 365 部署的数据安全、生命周期管理、信息安全和合规性基础知识。