在数据丢失防护策略中使用命名实体
在开始使用 命名实体 之前,请阅读了解它们。
提示
如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。
准备工作
SKU/订阅许可
有关完整的许可详细信息,请参阅 服务说明。
权限
用于创建和编辑数据丢失防护 (DLP) 策略的帐户必须具有 DLP 合规性管理 角色权限。 有关详细信息,请参阅 将用户或组添加到 Microsoft Purview 内置角色组。
支持的位置
可以使用命名实体 SCT 和增强策略来检测和保护这些位置中的敏感项:
- SharePoint 网站
- OneDrive 账户
- Teams 聊天和通道消息
- 设备 (Windows 10/11 终结点设备)
- Exchange 邮箱
- 实例
不支持命名实体 SCT 和增强策略:
- 本地存储库
- Power BI
创建和编辑增强的策略
若要创建或编辑 DLP 策略,请使用 创建和部署数据丢失防护策略中的过程。
支持命名实体的工作负载和服务
- Microsoft 365 电子数据展示 支持在 Substrate 服务中使用命名实体。
- 实例支持在 Defender for Cloud 应用门户中Microsoft Defender for Cloud Apps策略中使用命名实体。
- Insider Risk Management 支持在 Substrate 服务中使用命名实体。
- 记录管理 支持使用命名实体。
- 精确数据匹配敏感信息类型 支持使用命名实体。
统一 DLP
| 工作负载/服务 | 对命名实体的支持 |
|---|---|
| Office Win32 客户端策略提示 | 不支持 |
| Office WAC 客户端策略提示 | 支持 |
| OWA 策略提示 | 不支持 |
| Microsoft 365 专属 Outlook策略提示 | 支持 |
| 终结点 (Windows 10 和 11 个设备) | 支持 |
| Exchange 传输规则 | 支持 |
| OneDrive for Business静态数据 | 支持 |
| SharePoint Online 静态数据 | 支持 |
| Teams 静态数据 | 支持 |
| Email消息静态数据 | 支持具有隐私服务计划的租户 |
| 实例 |
自动标记
| 工作负载/服务 | 对命名实体的支持 |
|---|---|
| Office Win32 客户端脱机 | 受支持,用户必须选择标签并手动应用 |
| 联机 Office Win32 客户端联机 | 受旧置信度方案支持 |
| Outlook Online | 受旧置信度方案支持 |
| Office WAC 客户端 | 支持 |
| OWA | 支持 |
| Exchange 传输 | 支持 |
| OneDrive for Business静态数据 | 支持 |
| SharePoint Online 静态数据 | 支持 |
| Microsoft Purview 信息保护扫描程序 | 不支持 |
已知问题
| 问题 | 影响 |
|---|---|
| DLP 策略提示 (OWA、Outlook、Office Win32 客户端) | 具有实体条件的策略提示导致“无匹配” |
| 中文、日语、韩语) (人名的亚洲语言支持 | 仅对基于拉丁语的字符集支持的命名实体 (即不支持汉字) 人员名称 |
| 本地存储库 | 不支持作为工作负荷 |
| Power BI (预览版) | 不支持 |
使用命名实体 SCT 的最佳做法
下面是创建或编辑使用命名实体 SIT 的策略时可以使用的一些做法。
在电子表格中查找数据时,请使用低实例计数 (3 到 5 个) ,而 SIT 所需的数据所需的关键字 (keyword) 仅在列标题中。 例如,假设你要查找美国社会保险号码,并且关键字 (keyword)
Social Security Number仅出现在列标题中。 由于 (确凿证据) 的值位于下面的单元格中,因此很可能只有前几个实例与关键字 (keyword) 足够接近才能检测到。如果使用命名实体 SIT(如“所有全名”)来帮助查找美国社会保险号码,请使用更大的实例计数,例如 10 或 50。 然后,当同时检测到人员姓名和 SSN 时,更有可能获得真正的阳性。
可以使用 自动标记模拟 来测试命名实体 SCT 的准确性。 使用命名实体 SIT 运行模拟,以查看哪些项与策略匹配。 利用此信息,可以通过调整自定义策略或增强模板条件中的实例计数和置信度来微调准确性。 在生产中部署包含命名实体的 DLP 或自动标记策略之前,可以循环访问模拟,直到准确性达到所需位置。 下面是流概述:
- 确定要在模拟模式下测试的 SIT 或 SIT 组合(自定义或克隆和编辑)
- 标识或创建自动标记策略在 Exchange、SharePoint 网站或 OneDrive 帐户中找到匹配项时应用的敏感度标签
- 创建使用步骤 1 中的 SIT 的敏感度自动标记策略,该策略与 DLP 策略中使用的条件和例外相同
- 运行策略模拟
- 查看结果
- 优化 SIT 或策略以及实例计数和置信度,以减少误报。
- 重复,直到获得所需的准确度结果