資料遺失防護 (DLP) Microsoft Defender for Cloud Apps利用內容檢查來偵測檔案中的敏感資訊。 啟用內容檢查功能後,Defender for Cloud Apps 會分析由表達式定義的文字模式檔案。 符合這些表達的文字會被視為匹配,可用來判定是否違反政策。
你可以使用預設或自訂的表達式,並定義一個閾值,判斷比賽何時構成違規。 例如,你可以設定 10 的門檻,當檔案包含至少 10 個信用卡號碼時會發出警示。
匹配的文字會被「X」字元取代,匹配前後 (100個字元的上下文則被遮罩) 。 語境中的數字會被「#」取代,且不會被儲存。 若要揭露匹配的最後四位數字,請在檔案政策中啟用「 Unmask the the last four character 」設定。
您也可以定義檢查的檔案元素——內容、元資料或檔名。 預設情況下,檢查同時適用於內容與元資料。 此方法允許檢查受保護檔案、偵測敏感資料、執行合規及適用治理控管,同時減少誤報並使執法符合內部分類標準。
必要條件
要檢查加密檔案並啟用標籤掃描,全域管理員必須先在 Microsoft Entra ID 中授予 Defender for Cloud Apps 一次性管理員同意。
注意事項
Microsoft 建議您使用權限最少的角色。 此策略有助於提升組織的安全。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
要做到這點,在 Defender 入口網站,進入設定>雲端應用程式 > Microsoft 資訊保護 > 檢查受保護檔案,然後選擇授權權限。
受保護檔案的內容檢查
一旦獲得同意,Defender for Cloud Apps 會在租戶中配置 Microsoft 雲端應用程式安全 (內部) 應用程式。 該應用程式使用 Azure 權利管理服務>的內容(Content.SuperUser)權限來解密與檢查受保護檔案。
以下應用程式 ID 依據您的 Microsoft 雲端環境適用:
應用程式識別碼
| 環境 | 應用程式識別碼 |
|---|---|
| 公開 | 25a6a87d-1e19-4c71-9cb0-16e88ff608f1 |
| 費爾法克斯 | BD5667E4-0484-4262-a9db-93faa0893899 |
| GCCM | 23105e90-1dfc-497a-bb5d-8b18a44ba061 |
注意事項
應用程式 ID 是 Defender for Cloud Apps 在 Public、Fairfax 及 GCC-M 環境中使用的內部服務主體,用以檢查並執行受保護檔案的 DLP 政策。 不要移除或停用這些應用程式 ID。 這樣做會破壞檢查功能,並阻止 DLP 政策套用到受保護的檔案。 務必確認你環境的 App ID 是否存在且已啟用。
設定 Microsoft 資訊保護設定
為了賦予 Defender for Cloud Apps 必要的權限:
請前往設定>Microsoft 資訊保護。
在 Microsoft 資訊保護設定中,請設定以下一項或兩種選項之一:
自動掃描新檔案,檢查 Microsoft 資訊保護敏感標籤及內容檢查警告。 啟用後,App 連接器會掃描新檔案,尋找來自 Microsoft 資訊保護的敏感度標籤。
僅掃描此租戶的 Microsoft 資訊保護敏感標籤及內容檢查警告的檔案。 啟用後,只有租戶內套用的敏感性標籤會被掃描。 外部租戶貼上的標籤則被忽略。
選擇選項後,選擇 儲存 以套用你的變更。
為受保護檔案設定檔案政策
在 Defender 入口網站,前往 設定 > Cloud Apps > Policy > 管理。
請依照步驟 建立新的檔案政策。
選擇 「套用至所有檔案」或 「套用至所選檔案 」以指定要掃描的檔案。 如果你有內部分類關鍵字標準,想排除在保單中,這個選項很有用。
選擇檢查方法>資料分類服務以啟用政策內容檢查。
同時勾選兩個選項—— 檢查受保護檔案 ,並解除 匹配中最後4個字元的遮罩。
後續步驟
如果你遇到任何問題,我們隨時準備協助。 若要獲得產品問題的協助或支援,請 開啟客服單。