分享方式:


建立和部署數據外洩防護原則

Microsoft Purview 資料外洩防護 (DLP) 原則中有許多設定選項。 每個選項都會變更原則的行為。 本文針對您對應至組態選項的原則,提供一些常見的意圖案例。 然後,它會逐步引導您設定這些選項。 一旦您熟悉這些案例,就可以使用 DLP 原則建立 UX 來建立您自己的原則。

您部署原則的作法與重要的原則設計一樣重要。 您有 多個選項可控制原則部署。 本文說明如何使用這些選項,讓原則達到您的意圖,同時避免昂貴的業務中斷。

提示

如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

開始之前

如果您不熟悉 purview DLP Microsoft,以下是您在實作 DLP 時應該熟悉的核心文章清單:

  1. 管理單位
  2. 瞭解 Microsoft Purview 資料外洩防護 - 本文將介紹數據外泄防護專業領域和Microsoft的 DLP 實作。
  3. 規劃數據外洩防護 (DLP) - 透過本文,您將:
    1. 識別專案關係人
    2. 描述要保護的敏感性資訊類型
    3. 設定目標和策略
  4. 數據外洩防護原則參考 - 本文介紹 DLP 原則的所有元件,以及每個元件如何影響原則的行為。
  5. 設計 DLP 原則 - 本文會逐步引導您建立原則意圖語句,並將它對應至特定的原則設定。
  6. 建立和部署數據外洩防護原則 - 您正在閱讀的本文會呈現一些您對應至組態選項的常見原則意圖案例。 然後,它會逐步引導您設定這些選項,並提供部署原則的指引。
  7. 瞭解如何調查數據外洩防護警示 - 本文將介紹從建立到最終補救和原則微調的警示生命週期。 它也會向您介紹用來調查警示的工具。

SKU/訂閱授權

開始使用 DLP 原則之前,請確認您的 Microsoft 365 訂閱 和任何附加元件。

如需授權的相關信息,請參閱 Microsoft 365、Office 365、Enterprise Mobility + Security 和 Windows 11 訂閱。

權限

您用來建立和部署原則的帳戶必須是其中一個角色群組的成員

  • 合規性系統管理員
  • 合規性資料管理員
  • 資訊保護
  • 資訊保護系統管理員
  • 安全性系統管理員

重要事項

開始之前,請務必先閱讀管理單位,以瞭解不受限制的系統管理員受管理單位限制的系統管理員之間的差異。

細微的角色和角色 群組

您可以使用角色和角色群組來微調訪問控制。

以下是適用角色的清單。 若要深入瞭解,請參閱 Microsoft Purview 合規性入口網站 中的許可權

  • DLP 合規性管理
  • 資訊保護系統管理員
  • 資訊保護分析員
  • 資訊保護調查人員
  • 資訊保護讀者

以下是適用的角色群組清單。 若要深入瞭解,請參閱深入瞭解,請參閱 Microsoft Purview 合規性入口網站 中的許可權

  • 資訊保護
  • 資訊保護系統管理員
  • 資訊保護分析員
  • 資訊保護調查人員
  • 資訊保護讀者

原則建立案例

上一篇文章 設計 DLP 原則 會介紹建立原則意圖語句,然後將該意圖語句對應至原則組態選項的方法。 本節將採用這些範例,再加上一些範例,並逐步引導您完成實際的原則建立程式。 您應該在測試環境中處理這些案例,以熟悉原則建立UI。

原則建立流程中有許多設定選項,因此無法涵蓋每個或甚至大部分的設定。 因此,本文涵蓋數個最常見的 DLP 原則案例。 進行這些作業可讓您在各種不同的設定中提供實際操作體驗。

案例 1 封鎖具有信用卡號碼的電子郵件

重要事項

這是具有假設值的假設案例。 僅供說明之用。 您應該替換自己的敏感性資訊類型、敏感度標籤、通訊群組和使用者。

案例 1 必要條件和假設

此案例使用 高度機密 敏感度標籤,因此您必須建立併發佈敏感度標籤。 若要深入了解,請參閱:

此程式使用位於 Contoso.com 的假設通訊群組 財務小組 和假設的 SMTP 收件者 adele.vance@fabrikam.com

此程式使用警示,請參閱: 開始使用數據外泄防護警示

案例 1 原則意圖聲明和對應

我們需要封鎖電子郵件給所有包含信用卡號碼或已套用「高度機密」敏感度標籤的收件者,除非該電子郵件是從財務小組的某人傳送至 adele.vance@fabrikam.com。 我們想要在每次封鎖電子郵件時通知合規性系統管理員,並通知傳送項目的使用者,不允許任何人覆寫該區塊。 在記錄檔中追蹤此高風險事件的所有發生次數,而且我們希望擷取並可供調查的任何事件詳細數據

陳述式 已回答設定問題與設定對應
「我們需要封鎖所有收件者的電子郵件...」 - 監視位置:Exchange
- 系統管理範圍:完整目錄
- 動作:限制Microsoft 365 位置 > 中內容的存取或加密 封鎖使用者接收電子郵件或存取共用 SharePoint、OneDrive 和 Teams 檔案 > 封鎖所有人
"...包含信用卡號碼或已套用「高度機密」敏感度標籤...」 - 要監視的專案使用自定義範
- 本條件進行比對編輯,以新增高度機密敏感度標籤
"...除了 if...」 - 條件群組組態:使用布爾值 AND 建立聯結至第一個條件的巢狀布爾值 NOT 條件群組
"...電子郵件是從財務小組的某人傳送...」 - 比對的條件:發件者是 的成員
"...and...” - 比對的條件:將第二個條件新增至 NOT 群組
"...到 adele.vance@fabrikam.com...」 - 比對的條件:收件者為
"...通知...」 - 使用者通知:已啟用
- 的原則提示:已啟用
"...每次封鎖電子郵件時,合規性系統管理員都會通知傳送項目的使用者...」 - 原則提示:已啟用
- [通知這些人員]:選取
- [傳送、共用或修改內容的人員]:選取
- [傳送電子郵件給其他人員]:新增合規性系統管理員的電子郵件位址
"...不允許使用者覆寫區塊... - 允許從 M365 服務覆寫:未選取
"...在記錄檔中追蹤此高風險事件的所有發生次數,而且我們希望擷取並可供調查的任何事件詳細數據。」 - 在系統管理員警示和報告中使用此嚴重性層級:在發生規則比對時將警示傳送給系統管理員的高
- 值:每次活動符合規則時選取
- [傳送警示]: 選取

建立案例 1 原則的步驟

重要事項

基於此原則建立程式的目的,您將接受預設的包含/排除值,並將原則保持關閉。 當您部署原則時,將會變更這些專案。

針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站

  1. 登入 Microsoft Purview 入口網站

  2. 開啟 數據外洩防護 解決方案,並流覽至 [ 原則>+ 建立原則]

  3. 從 [類別] 列表中選取 [自定義]。

  4. 從 [法規] 列表中選取 [自定義]。

  5. 選擇 [下一步]

  6. 為原則命名 名稱描述。 您可以在這裡使用原則意圖語句。

    重要事項

    無法重新命名原則

  7. 選取 [下一步]

  8. 指派系統管理員單位。 若要將原則套用至所有使用者,請接受預設設定。

  9. 選擇 [下一步]

  10. 選擇要套用原則的位置。 只選取 Exchange 電子郵件 位置。 取消選取所有其他位置。

  11. 選擇 [下一步]

  12. 在 [ 定義原則設定 ] 頁面上,應該已選取 [ 建立或自定義進階 DLP 規則 ] 選項。

  13. 選取 [下一步]

  14. 取 [建立規則]。 將規則命名為 ,並提供描述。

  15. [條件] 底 下,選取 [新增條件>內容包含]

  16. (選擇性) 輸入 組名

  17. (選擇性) 選取 群組運算符

  18. 取 [新增>敏感性資訊類型>信用卡號碼]

  19. 選擇 [新增]

  20. 在 [ 內容包含] 區段中,選取 [ 新增>敏感度標籤>高度機密] ,然後選擇 [ 新增]

  21. 接下來,在 [ 內容包含] 區段下方,選擇 [ 新增群組]

  22. 將布爾運算符保持設定為 AND,然後將切換設定為 NOT

  23. 選取 [新增條件]

  24. 取 [寄件者] 是的成員

  25. 取 [新增] 或 [移除 群組]。

  26. 選取 [財務小組] ,然後選擇 [ 新增]

  27. 選擇 [新增條件>收件者為]

  28. 在 [電子郵件] 欄位中,輸入 並選取 adele.vance@fabrikam.com[新增]

  29. 在 [ 動作] 底下,選 取 [新增動作>][限制Microsoft 365 位置中的內容存取或加密

  30. 選取 [封鎖使用者接收電子郵件或存取共用 SharePoint、OneDrive 和 Teams 檔案],然後選取 [ 封鎖所有人]

  31. 將 [ 使用者通知] 切換為 [ 開啟]

  32. Email 通知>通知傳送、共用或上次修改內容的人員

  33. 選擇是否要將 相符的電子郵件訊息附加至通知

  34. 選擇是否要新增原則 提示

  35. [使用者][ovverides] 底下,確定選取 [允許來自 Microsoft 365 應用程式和服務的覆寫]。

  36. 在 [ 事件報告] 底下,將 [ 在系統管理員警示和報告中使用此嚴重性層級 ] 設定為 [ 高]

  37. 將 [每次活動符合規則時傳送警示] 切換為 [開啟]。

  38. 選擇 [儲存]

  39. 選擇 [下一步],然後選擇 [在模擬模式中執行原則]

  40. 選擇 [下一步 ],然後選擇 [ 提交]

  41. 選擇 [完成]

案例 2 封鎖在 Microsoft 365 中透過 SharePoint 和 OneDrive 與外部使用者共用敏感性專案

針對 Microsoft 365 中的 SharePoint 和 OneDrive,您會建立原則來封鎖透過 SharePoint 和 OneDrive 與外部用戶共用敏感性專案。

案例 2 必要條件和假設

此案例使用 機密 敏感度標籤,因此您必須建立併發佈敏感度標籤。 若要深入了解,請參閱:

此程式會使用假設的通訊群組 人力資源 ,以及安全性小組在 Contoso.com 的通訊群組。

此程式使用警示,請參閱: 開始使用數據外泄防護警示

案例 2 原則意圖聲明和對應

我們需要封鎖所有共用 SharePoint 和 OneDrive 專案的外部收件者,這些收件者包含社會安全號碼、信用卡數據或具有「機密」敏感度標籤。 我們不想要將此套用至人力資源小組的任何人。 我們也必須符合警示需求。 我們想要在每次共用檔案後封鎖時,使用電子郵件通知安全性小組。 此外,我們希望使用者盡可能透過電子郵件和介面內收到警示。 最後,我們不想要原則有任何例外狀況,而且需要能夠在系統內看到此活動。

陳述式 已回答設定問題與設定對應
「我們需要封鎖所有外部收件者共用 SharePoint 和 OneDrive 專案...」 - 系統管理範圍:要監視的完整目錄-
:SharePoint 網站、OneDrive 帳戶
- 相符條件:組織
- 動作外部共用的第一個條件>:限制存取或加密Microsoft 365 位置>的內容 封鎖使用者接收電子郵件或存取共用 SharePoint,OneDrive > 僅封鎖組織外部的人員
"...包含社會安全號碼、信用卡數據或具有「機密」敏感度標籤...」 - 要監視的專案:針對相符專案使用自定義範-
本條件:建立第二個條件,該條件會聯結至符合專案之布爾值和
- 條件的第一個條件:第二個條件、第一條件群組>內容包含美國社會安全號碼 (SSN) 敏感性資訊類型、信用卡號碼-
條件群組設定 建立第二個條件群組以布爾值或
- 比對的條件:第二個條件群組,第二個條件>內容包含任何這些敏感度卷標機密
“...我們不想要將此套用至人力資源小組的任何人...」 - 要套用的位置 會排除人力資源小組 OneDrive 帳戶
"...我們想要在每次共用檔案後封鎖時,使用電子郵件通知安全性小組...」 - 事件報告:發生規則相符
- 時傳送警示給系統管理員:將電子郵件警示傳送給這些人 (選擇性) :新增安全性小組
- 在每次活動符合規則時傳送警示:選取
- 的 [使用電子郵件事件報告] 可在發生原則相符時通知您:在傳送通知給這些人員
- :視需要
- 新增個別系統管理員您也可以在報表中包含下列資訊:選取所有選項
"...此外,我們希望使用者盡可能透過電子郵件和介面內收到警示...」 - 使用者通知:在
- [通知] 中使用具有原則提示的 Office 365:已選取
“...最後,我們不想要對原則有任何例外狀況,而且需要能夠在系統內看到此活動...」 - 使用者覆寫:未選取

設定條件時,摘要如下所示:

案例 2 的比對摘要原則條件。

建立案例 2 原則的步驟

重要事項

基於此原則建立程式的目的,您將關閉原則。 您會在部署原則時變更這些專案。

針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站

  1. 登入 Microsoft Purview 入口網站

  2. 取 [數據外泄防護>原則>+ 建立原則]

  3. 從 [類別] 清單和 [法規] 列表中選取 [自定義]。

  4. 選擇 [下一步]

  5. 為原則命名 名稱描述。 您可以在這裡使用原則意圖語句。

    重要事項

    原則無法重新命名。

  6. 選取 [下一步]

  7. 接受 [指派系統管理員單位] 頁面上的預設 [完整目錄]。

  8. 選擇 [下一步]

  9. 選擇要套用原則的位置。

    1. 確定已選取 SharePoint 網站OneDrive 帳戶 位置。
    2. 取消選取所有其他位置。
    3. OneDrive 帳戶旁的 [範圍] 資料行中,選取 [編輯]。
    4. 取 [所有使用者和群組] ,然後選取 [ 排除使用者和群組]
    5. 依序選擇 [+排除 ] 和 [ 排除群組]
    6. 取 [人力資源]
  10. 選擇 [完成 ],然後選擇 [ 下一步]

  11. 在 [ 定義原則設定 ] 頁面上,應該已選取 [ 建立或自定義進階 DLP 規則 ] 選項。 選擇 [下一步]

  12. 在 [ 自定義進階 DLP 規則] 頁面上,選取 [ + 建立規則]

  13. 為規則提供 [名稱 ] 和 [描述]

  14. 取 [新增條件 ] 並使用下列值:

    1. 選擇 [內容從 Microsoft 365 共用]
    2. 取 [與組織外部的人員搭配使用]
  15. 選取 [新增條件 ] 以建立第二個條件並使用這些值。

    1. 選取 [內容包含]
  16. 取 [新增>敏感度卷標]> ,然後選取 [ 機密]

  17. 選擇 [新增]

  18. 在 [ 動作] 底下,新增具有下列值的動作:

    1. 限制存取或加密Microsoft 365 個位置中的內容
    2. 僅封鎖組織外部的人員
  19. 將 [ 使用者通知] 切換為 [ 開啟]

  20. 選取 [使用原則提示通知 Office 365 服務中的使用者],然後選取 [通知傳送、共用或上次修改內容的使用者]

  21. 在 [使用者覆寫] 底下,確定選取 [允許從 M365 服務覆寫]。

  22. [事件報告] 底下:

    1. [在系統管理員警示和報告中使用此嚴重性層級 ] 設定為 [ 低]
    2. 將 [當 規則相符時傳送警示給系統管理員 ] 的切換開關設定為 [ 開啟]
  23. 在 [ 將電子郵件警示傳送給這些人 (選擇性) ],選擇 [+ 新增或移除使用者 ],然後新增安全性小組的電子郵件位址。

  24. 選擇 [ 儲存 ],然後選擇 [ 下一步]

  25. 在 [ 原則模式] 頁面上,選擇 [ 在模擬模式中 執行原則] 和 [ 在模擬模式中顯示原則提示]

  26. 選擇 [下一步 ],然後選擇 [ 提交]

  27. 選擇 [完成]

部署

成功部署原則不只是讓原則進入您的環境,以強制執行用戶動作的控制。 隨機、混亂的部署可能會對商務程式造成負面影響,並讓您的使用者感到困擾。 這些結果會讓您組織中 DLP 技術的接受速度變慢,以及其提升的更安全行為。 最終讓您的敏感性項目長期較不安全。

開始部署之前,請確定您已閱讀原則 部署。 它提供原則部署程式和一般指引的廣泛概觀。

本節將深入探討您在生產環境中用來管理原則的三種控件類型。 請記住,您可以隨時變更其中任何一項,而不只是在原則建立期間。

部署管理的三個軸

您可以使用三個軸來控制原則部署程式、範圍、原則狀態和動作。 您應該一律採取累加方式來部署原則,從影響最小/模擬模式 到完全強制執行。

當您的原則狀態為 時 您的原則範圍可以是 原則動作的影響
在模擬模式中執行原則 位置的原則範圍可以是縮小或廣泛 - 您可以設定任何動作 - 沒有來自已設定動作

的使用者影響 - 管理員 查看警示並追蹤活動
使用原則提示在模擬模式中執行原則 原則應該設定為以試驗群組為目標,然後在調整原則時展開範圍 - 您可以設定任何動作 - 沒有來自已設定動作

的使用者影響 - 使用者可以接收原則提示和警示
- 管理員 查看警示並追蹤活動
開啟 所有目標位置實例 - 所有設定的動作都會在用戶活動
上強制執行 - 管理員 查看警示並追蹤活動
將它保持關閉 n/a n/a

狀態

State 是您用來推出原則的主要控制件。 當您完成建立原則時,您會將原則的狀態設定為 [保持關閉]。 當您在處理原則設定時,以及在取得最終檢閱並註銷之前,您應該保持此狀態。 狀態可以設定為:

  • 在模擬模式中執行原則:不會強制執行任何原則動作,系統會稽核事件。 處於此狀態時,您可以在 DLP 模擬模式概觀和 DLP 活動總 管控制台中監視原則的影響。
  • 在模擬模式中執行原則,並在模擬模式中顯示原則提示:不會強制執行任何動作,但使用者會收到原則提示和通知電子郵件,以提高其認知並教育他們。
  • 立即開啟:這是完整強制模式。
  • 保持關閉:原則處於非作用中狀態。 在部署之前開發和檢閱原則時,請使用此狀態。

您可以隨時變更原則的狀態。

動作

動作是原則在回應敏感性項目上用戶活動時所執行的動作。 因為您可以隨時變更這些專案,所以可以從影響最小的開始: [允許) 的裝置 (] 和 [僅 稽核 (其他所有位置) 、收集和檢閱稽核數據,然後使用它來微調原則,再移至更嚴格的動作。

  • 允許:允許用戶活動發生,因此不會影響任何商務程式。 您會取得稽核數據,而且沒有任何使用者通知或警示。

    注意事項

    [ 允許 ] 動作僅適用於範圍為 [ 裝置 ] 位置的原則。

  • 僅稽核:允許用戶活動發生,因此不會影響任何商務程式。 您會取得稽核數據,而且您可以新增通知和警示來提高認知並訓練使用者,讓他們知道他們的行為是有風險的行為。 如果您的組織想要在稍後強制執行更嚴格的動作,您也可以告訴使用者。

  • 封鎖並覆寫:預設會封鎖用戶活動。 您可以稽核事件、引發警示和通知。 這會影響商務程式,但您的使用者可以選擇覆寫區塊,並提供覆寫的原因。 因為您會收到使用者的直接意見反應,所以此動作可協助您識別誤判相符專案,以供您進一步微調原則。

    注意事項

    針對 Microsoft 365 中的 Exchange Online 和 SharePoint,會在使用者通知區段中設定覆寫。

  • 封鎖:無論發生什麼狀況,用戶活動都會遭到封鎖。 您可以稽核事件、引發警示和通知。

原則範圍

每個原則的範圍都是一或多個位置,例如 Exchange、Microsoft 365 中的 SharePoint、Teams 和裝置。 根據預設,當您選取某個位置時,該位置的所有實例都會落在範圍內,而且不會排除任何實例。 您可以設定位置的包含/排除選項,進一步精簡位置 (的實例,例如網站、群組、帳戶、通訊群組、信箱和裝置) 套用原則。 若要深入瞭解包含/排除範圍選項,請參閱 位置

一般而言,當原則處於 模擬模式狀態執行 原則時,您在範圍設定方面會有更大的彈性,因為不會採取任何動作。 您可以從您為原則設計的範圍開始,或廣泛查看原則如何影響其他位置的敏感性專案。

然後,當您將狀態變更為 在模擬模式中執行原則並顯示原則秘訣時,您應該將範圍縮小為試驗群組,該試驗群組可提供您意見反應,並在其他人上線時成為其資源的早期採用者。

當您將原則移至 [立即開啟] 時,您會擴大範圍,以包含您在設計原則時想要的所有位置實例。

原則部署步驟

  1. 建立原則並將其狀態設定為 [關閉] 之後,請與專案關係人進行最終檢閱。
  2. 將狀態變更為 在模擬模式中執行原則。 此時位置範圍可能很廣泛,因此您可以跨多個位置收集原則行為的數據,或只從單一位置開始。
  3. 根據行為數據調整原則,使其更符合商務意圖。
  4. 將狀態變更為 在模擬模式中執行原則,並顯示原則提示。 視需要調整位置範圍以支持試驗群組,並使用包含/排除專案,以便先將原則推出至該試驗群組。
  5. 視需要收集使用者意見反應、警示和事件數據,進一步微調原則和您的計劃。 請確定您已解決使用者所遇到的所有問題。 您的使用者很可能會遇到問題,並針對您在設計階段未想到的事項提出問題。 此時開發一組進階使用者。 它們可以是一項資源,可協助訓練其他使用者,因為原則的範圍已增加,且有更多用戶上線。 在您移至下一個部署階段之前,請確定原則已達成您的控制目標。
  6. 將狀態變更為 立即開啟。 原則已完全部署。 監視 DLP 警示和 DLP 活動總管。 解決警示。