数据丢失防护模拟模式入门
可以使用Microsoft Purview 数据丢失防护 (DLP) 模拟模式查看:
- 不强制执行策略对生产环境的影响。
- 如果已强制实施策略,则由策略匹配的所有项。
本文逐步讲解模拟模式先决条件、配置选项以及如何查看模拟结果。
提示
开始使用 Microsoft Copilot for Security,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的安全性Microsoft Copilot。
开始之前
授权
在开始使用 DLP 策略之前,请确认 Microsoft 365 订阅 和任何加载项。
有关许可的信息,请参阅 Microsoft 365、Office 365、企业移动性 + 安全性 和 Windows 11 企业订阅。
权限
用于与模拟模式交互的帐户必须具有信息保护管理员角色。 有关使用模拟模式所需的角色和角色组的详细信息,请参阅 权限。 有关 Microsoft Purview 合规性中的角色和角色组的详细信息,请参阅 Microsoft Defender for Office 365 和 Microsoft Purview 合规性中的角色和角色组
系统配置
若要在“ 项”上查看终结点设备的本机应用程序中的匹配项,必须为 设备上的文件活动配置证据收集。
管理 DLP 模拟模式
可以将策略设置为在创建策略时或创建后处于模拟模式。 还可以关闭已处于模拟模式的策略的模拟模式。
- 使用 创建和部署数据丢失防护策略 中的步骤创建新策略或编辑现有策略。
- 策略配置工作流中的最后一步是 模拟或打开策略。 选择“ 在模拟模式下运行策略 ”以启用模拟模式。 选择“ 立即打开” 或“ 将其关闭 ”以禁用模拟模式。 可以进一步选择:
- 在模拟模式下显示策略提示 ,以帮助在用户采取可能触发策略操作的操作时进行教育。
- 如果在模拟后的 15 天内未编辑策略,请打开 策略,无需进一步交互即可打开策略。
- 选择“ 下一步 ”和“ 提交”。
禁用后,见解最多可能需要 24 小时才会停止显示在“概述”页上。
在模拟模式下查看 DLP 策略
为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户。
登录到 Microsoft Purview 门户>数据丢失防护>策略。
选择状态为“ 模拟中 ”或“ 使用通知进行模拟” 的策略以打开浮出窗格。
选择“ 查看模拟 ”以查看“ 模拟概述”、“ 要审阅的项目”和“ 警报 ”选项卡。
模拟模式状态消息
注意
在模拟模式下运行策略的扫描结果将保存 30 天。 可以继续在超过此时间的模拟模式下运行策略,但仅显示最近 30 天期间的结果。
当策略在模拟模式下运行时,大多数位置的内容扫描都是实时进行的,也就是说,在发送电子邮件或 Teams 消息时发生。 SharePoint 和 OneDrive 位置的内容扫描的工作方式略有不同。 除了在将文档上传到这些位置时扫描内容外,在模拟模式下运行的策略还可以显示三条额外的进度消息: 已完成、 正在进行和 已过期。 下表标识并描述了每个位置可用的状态消息:
模拟模式按位置扫描状态
| 位置 | 状态消息说明 |
|---|---|
| Exchange | 实时 - 发送消息时扫描内容 |
| SharePoint |
已完成 - 表示扫描 Sharepoint 和/或 OneDrive 中的现有内容已完成。 仅当 SharePoint 和/或 OneDrive 是范围内的唯一位置时,才会显示此状态消息。 正在进行 - 表示模拟正在运行。 结果会随着找到更多匹配项而更新。 |
| OneDrive |
已完成 - 表示扫描 Sharepoint 和/或 OneDrive 中的现有内容已完成。 仅当 SharePoint 和/或 OneDrive 是范围内的唯一位置时,才会显示此状态消息。 正在进行 - 表示模拟正在运行。 结果会随着找到更多匹配项而更新。 |
| Teams 聊天和通道消息 | 实时 - 发送消息时扫描内容 |
| 设备 | 实时 - 从设备传输时扫描内容 |
| 构造和 Power BI | 实时 - 上传时扫描内容 |
下表说明了与整体策略模拟进度相关的状态消息。
总体模拟模式状态
| 模拟状态 | 说明 |
|---|---|
| 已完成 | 仅在 DLP 策略范围限制为 SharePoint 和/或 OneDrive 时才可用。 指示已扫描所有静态数据。 |
| 正在进行 | 模拟扫描正在进行中。 检测到其他策略匹配项时,结果会更新。 |
| 已过期 | 正在模拟的策略超过 30 天。 Microsoft Purview 仅将模拟数据保留 30 天。 若要获取在最近 30 天时段之前扫描的静态数据的扫描结果,请重新运行扫描。 |
仅显示 SharePoint 和 OneDrive 位置中匹配的前 100 个项目以供审阅。 这可能与匹配项的总数不同。
模拟事件显示在 活动资源管理器中。 可以筛选 策略模式,该模式具有 TestWithNotifyUser、 TestWithoutNotifyUser 并 强制实施 值。