过度共享弹出窗口入门
配置用户设备注册表项和相应的Microsoft Purview 数据丢失防护 (DLP) 策略时,DLP 会在发送敏感信息之前检查电子邮件,并应用 DLP 策略中定义的操作。
过度共享弹出窗口是 E5 的一项功能。
重要
这是一个具有假设值的假设方案。 它仅用于说明目的。 应替换自己的敏感信息类型、敏感度标签、通讯组和用户。
重要
若要确定支持此功能的 Outlook 的最低版本,请使用 Outlook 的功能表和行 “防止过度共享”作为 DLP 策略提示。
提示
如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。
准备工作
SKU/订阅许可
在开始使用 DLP 策略之前,应确认 Microsoft 365 订阅 和任何加载项。
支持 AIP P2 许可证
有关完整的许可详细信息,请参阅: Microsoft 365 安全 & 合规性许可指南
权限
用于创建和部署策略的帐户必须是其中一个角色组的成员
- 合规性管理员
- 合规性数据管理员
- 信息保护
- 信息保护管理员
- 安全管理员
重要
在开始之前,请确保了解不受限制的管理员和管理单元之间的区别。
细化角色和角色组
可以使用一些角色和角色组来微调访问控制。
下面是适用角色的列表。 若要了解详细信息,请参阅Microsoft Purview 合规门户中的权限。
- DLP 合规性管理
- 信息保护管理员
- 信息保护分析师
- 信息保护调查员
- 信息保护读者
下面是适用角色组的列表。 若要了解详细信息,请参阅要详细了解它们,请参阅Microsoft Purview 合规门户中的权限。
- 信息保护
- 信息保护管理员
- 信息保护分析师
- 信息保护调查员
- 信息保护读者
先决条件和假设条件
在Microsoft 365 专属 Outlook发送消息之前,过度共享弹出窗口会显示一个弹出窗口。 在为 Exchange 位置创建 DLP 规则时,选择“在 发送策略提示之前将策略提示显示为用户的对话框 ”。 此方案使用 高度机密 敏感度标签,因此需要创建并发布了敏感度标签。 若要了解详细信息,请参阅:
此过程在 Contoso.com 使用假设的公司域。
策略意向和映射
我们需要阻止向应用了“高度机密”敏感度标签的所有收件人发送电子邮件,除非收件人域 contoso.com。 我们希望在发送时使用弹出对话框通知用户,并且不允许任何人替代该块。
| 语句 | 配置问题解答和配置映射 |
|---|---|
| “我们需要阻止发送给所有收件人的电子邮件...” | - 监视位置:Exchange - 管理范围:完整目录 - 操作:限制访问或加密 Microsoft 365 位置 > 中的内容 阻止用户接收电子邮件或访问共享的 SharePoint、OneDrive 和 Teams 文件 > 阻止所有人 |
| "...应用了“高度机密”敏感度标签...” | - 要监视的内容:对匹配使用自定义模板 - 条件:编辑它以添加 高度机密 的敏感度标签 |
| "...除非...” | 条件组配置 - 使用布尔 AND 创建联接到第一个条件的嵌套布尔 NOT 条件组 |
| "...收件人域 contoso.com。” | 匹配条件:收件人域为 |
| "...通知...” | 用户通知:已启用 |
| "...发送时显示弹出对话框的用户...” | 策略提示:选择在 - 发送之前将策略提示显示为最终用户的对话框:已选择 |
| "...并且不允许任何人替代该块... | 允许从 M365 服务替代:未选择 |
若要配置默认文本的过度共享弹出窗口,DLP 规则必须包含以下条件:
- 内容包含 > 敏感度标签 >选择敏感度标签 ()
和基于收件人的条件
- 收件人为
- 收件人所在组为
- 收件人域为
满足这些条件时,策略提示会在用户在 Outlook 中撰写邮件时显示不受信任的收件人,然后再发送邮件。
配置 Outlook 客户端的步骤
你需要在要实现过度共享弹出窗口的所有设备上配置 dword) 中的 dlpwaitonsendtimeout Regkey (Value 。 此注册表项定义等待评估敏感内容的时间量。 它位于:
Software\Policies\Microsoft\office\16.0\Outlook\options\Mail\Compose 邮件
可以通过组策略设置此 RegKey (指定等待时间来评估敏感内容) 、脚本或其他用于配置注册表项的机制。
如果使用 组策略,请确保已下载最新版本的 组策略 管理模板文件,以便Microsoft 365 企业应用版,并从用户配置>>管理模板 >> Microsoft Office 2016 >> 安全设置导航到此设置。 如果使用适用于 Microsoft 365 的云策略服务,请按名称搜索设置以对其进行配置。
如果设置了此值并配置了 DLP 策略,则会在发送电子邮件之前检查其敏感信息。 如果消息包含与策略中定义的条件匹配项,则会在用户单击“ 发送”之前显示策略提示通知。
此 RegKey 允许你在 Outlook 客户端上指定等待发送行为。 下面是每个设置的含义。
未配置 或 禁用:这是默认值。 如果未配置 dlpwaitonsendtimeout ,则不会在用户发送消息之前对其进行检查。 单击“ 发送 ”时,电子邮件不会暂停发送。 DLP 数据分类服务将评估消息并应用 DLP 策略中定义的操作。
已启用:在单击“ 发送 ”时,但在实际发送邮件之前,将检查电子邮件。 可以设置 DLP 策略评估完成 (T 值的时间限制,以秒为单位) 。 如果策略评估未在指定时间内完成,则会显示“仍然发送”按钮,允许用户绕过预发送检查。 T 值范围为 0 到 9999 秒。
重要
如果 T 值大于 9999,它将替换为 10000,并且不会显示“ 仍然发送 ”按钮。 这将保留消息,直到策略评估完成,并且没有用户替代选项。 完成评估的持续时间可能因 Internet 速度、内容长度和定义的策略数等因素而异。 某些用户可能比其他用户更频繁地遇到策略评估邮件,具体取决于在其邮箱上部署了哪些策略。
若要详细了解如何配置和使用 GPO,请参阅在 Azure Active Directory 域服务托管域中管理组策略。
为过度共享弹出策略提示创建 DLP 策略的步骤
重要
出于此策略创建过程的目的,你将接受默认的 include/exclude 值,并使策略保持关闭状态。 部署策略时,你将更改这些策略。
在Microsoft Purview 合规门户>左侧导航>解决方案>数据丢失防护>策略>+ 创建策略。
从“类别”列表中选择“自定义”。
从“模板”列表中选择“自定义”。
为策略指定 名称。
重要
无法重命名策略。
填写说明。 可在此处使用策略意向语句。
选择“下一步”。
选择“管理员单位”下的“完整目录”。
将 Exchange 电子邮件 位置状态设置为 “打开”。 将所有其他位置状态设置为 “关闭”。
选择“下一步”。
接受“全部包含” = 和“排除无” = 的默认值。
应已选择 “创建或自定义高级 DLP 规则 ”选项。
选择“下一步”。
选择“ 创建规则”。 命名规则并提供说明。
选择 “添加条件>内容包含>添加>敏感度标签>高度机密”。 选择添加。
选择“添加组>”和>“不>添加条件”。
选择“ 收件人域已>contoso.com”。 选择添加。
提示
收件人是 , 收件人是 的成员 ,也可以在上一步中使用,并将触发过度共享弹出窗口。
选择“添加并操作>限制访问或加密 Microsoft 365 位置>中的内容限制访问或加密 Microsoft 365 位置>中的内容阻止用户接收电子邮件或访问共享的 SharePoint、OneDrive 和 Teams 文件。>阻止所有人。
将 “用户通知” 设置为 “开”。
选择“ 策略提示>在发送之前将策略提示显示为最终用户的对话框”。
确保未选择“允许从 M365 服务替代”。
选择“保存”。
选择 “下一步>”“使其关闭>下一次>提交”。
创建策略的 PowerShell 步骤
也可以在 PowerShell 中配置 DLP 策略和规则。 若要使用 PowerShell 配置过度共享弹出窗口,请先使用 PowerShell) 创建 DLP 策略 (,并为每个警告、证明或阻止弹出窗口类型添加 DLP 规则。
你将使用 New-DlpCompliancePolicy 配置 DLP 策略并设置其范围。 然后,使用 New-DlpComplianceRule 配置每个过度共享规则
若要为过度共享弹出窗口方案配置新的 DLP 策略,请使用以下代码片段:
PS C:\> New-DlpCompliancePolicy -Name <DLP Policy Name> -ExchangeLocation All
此示例 DLP 策略的范围限定为组织中的所有用户。 使用 -ExchangeSenderMemberOf 和 -ExchangeSenderMemberOfException限定 DLP 策略的范围。
| 参数 | 配置 |
|---|---|
| -ContentContainsSensitiveInformation | 配置一个或多个敏感度标签条件。 此示例包括一个。 至少一个标签是必需的。 |
| -ExceptIfRecipientDomainIs | 受信任的域列表。 |
| -NotifyAllowOverride | “WithJustification”启用理由单选按钮,“WithoutJustification”禁用它们。 |
| -NotifyOverrideRequirements | “WithAcknowledgement”启用新的确认选项。 这是可选项。 |
若要配置新的 DLP 规则以使用受信任的域生成 警告 弹出窗口,请运行此 PowerShell 代码。
PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator="Or";name="Default";labels=@(@{name=<Label GUID>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")
若要配置新的 DLP 规则以使用受信任的域生成 合理 弹出窗口,请运行此 PowerShell 代码。
PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com") -NotifyAllowOverride "WithJustification"
若要配置新的 DLP 规则以使用受信任的域生成 块 弹出窗口,请运行此 PowerShell 代码。
PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")
使用这些过程访问 业务理由 X-Header。