資料外洩防護和 Microsoft Teams
如果您的組織已 Microsoft Purview 資料外洩防護 (DLP) ,您可以定義原則,協助防止人員在Microsoft Teams 頻道或聊天會話中共用敏感性資訊。 以下是此防護系統運行方式的部分範例:
- 保護訊息中的敏感性資訊。 假設有人嘗試在 Teams 聊天或頻道中與來賓共用敏感性資訊, (外部使用者) 。 如果您已定義 DLP 原則來防止這種情況,則會刪除具有傳送給外部使用者之敏感性資訊的訊息。 這會根據 DLP 原則的設定方式,在數秒內自動發生。
注意事項
Microsoft Teams 的 DLP 會在與具有下列專案的Microsoft Teams 使用者共享時封鎖敏感性內容:
外部聊天會話的 DLP 只有在寄件人和接收者都處於僅限 Teams 模式且使用 Microsoft Teams 原生同盟時才能運作。 Teams 的 DLP 不會封鎖與 Skype 或非原生同盟聊天會話 互操作 的訊息。
保護檔中的敏感性資訊。 假設有人嘗試在Microsoft Teams 頻道或聊天中與來賓共享檔,而檔包含敏感性資訊。 如果您已定義 DLP 原則來防止此錯誤,該文件將不會向這些使用者開啟。 您的 DLP 原則必須包含 SharePoint 和 OneDrive,才能強制執行保護。 這是顯示在 Microsoft Teams 中的 DLP for SharePoint 範例,因此要求使用者必須獲得 Office 365 E3) 中所含 Office 365 DLP (的授權,但不需要授權使用者 Office 365 進階合規性。
保護 Teams 共用通道中的通訊。 針對共用頻道,會套用主機 Teams 小組 DLP 原則。 例如,假設 Contoso 的小組 A 擁有共用頻道。 小組 A 具有 DLP 原則 P1。 共用通道的方式有三種:
- 與成員共用:您邀請來自 Contoso 的 User1 加入共用頻道,而不讓他們成為小組 A 的成員。P1 涵蓋此共用頻道中的所有人,包括 User1。
- 與小組共用 (內部) :您與 Contoso,Team B 中的另一個小組共用頻道。該其他小組可能有不同的 DLP 原則,但這並不重要。 P1 適用於此共用頻道中的每個人,包括小組 A 和小組 B 使用者。
- 與小組共用 (跨租使用者) :您可以在 Fabrikam 中與小組 F 共用頻道。 Fabrikam 可能有自己的 DLP 原則,但這並不重要。 P1 適用於此共用頻道中的每個人,包括 Team A (Contoso) 和 Team F (Fabrikam) 使用者。
保護與 Microsoft Teams 中的外部使用者聊天時的通訊。 人員 來自所有使用外部存取功能的不同Microsoft 365 組織,都可以加入相同的聊天會話。 每個使用者都受限於自己組織的 DLP 原則。 例如,假設所有來自 Contoso 的 UserA、UserB 和 UserC,以及來自 Fabrikam 的 UserX、UserY 和 UserZ 都位於相同的 Teams 聊天中。 Contoso 在 Teams 中共用資訊的 DLP 原則適用於 UserA、UserB 和 UserC,而 Fabrikam 的 DLP 原則則適用於 UserX、UserY 和 UserZ。 如需使用 Microsoft Teams 與組織外部人員聊天的詳細資訊,請參閱使用Microsoft身分識別 管理外部會議和與人員和組織聊天
提示
開始使用安全性 Microsoft Copilot,以探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的安全性 Microsoft Copilot。
Microsoft Teams 的 DLP 授權
數據外洩防護 功能包括Microsoft Teams 聊天和頻道訊息, 包括下列的私人頻道訊息 :
- Office 365 E5/A5/G5
- Microsoft 365 E5/A5/G5
- Microsoft 365 E5/A5/G5 資訊保護 與治理
- Microsoft 365 E5/A5/G5/F5 合規性和 F5 安全性與合規性
Office 365 和 Microsoft 365 E3 包含 SharePoint、OneDrive 和 Exchange 的 DLP 保護。 這也包括透過Teams共用的檔案,因為Teams會使用SharePoint和 OneDrive 來共用檔案。
Teams 聊天中的 DLP 保護支援需要 E5 授權。
提示
DLP 僅適用於聊天或頻道對話中的實際訊息。 活動通知,包括簡短訊息預覽,並根據使用者的通知設定顯示, 不 包含在Teams DLP中。 即使套用 DLP 原則並從訊息本身移除敏感性資訊,出現在預覽中訊息部分的任何敏感性資訊仍會在通知中顯示。
DLP 保護的範圍
DLP 保護會以不同的方式套用至 Teams 實體,如下表所述。
若要將 DLP Teams 原則的範圍設定為所有聊天類型,請將原則的範圍設定為 [所有位置],或確認每個 Teams 使用者都位於Microsoft 365 群組中,且位於安全組或通訊群組中,且範圍為原則。 如需詳細資訊, 請深入瞭解如何同步成員資格。
原則範圍 | Teams 實體 | DLP 保護 |
---|---|---|
個別用戶帳戶 | - 1:1/n 聊天 - 標準和共用通道訊息 - 私人頻道訊息 |
-是的 -不 -是的 |
安全組/通訊群組/未啟用郵件的安全組 | - 1:1/n 聊天 - 標準和共用通道訊息 - 私人頻道訊息 |
-是的 -不 -是的 |
Microsoft 365 群組 | - 1:1/n 聊天 - 標準和共用通道訊息 - 私人頻道訊息 |
-是的 -是的 -不 |
注意事項
當 DLP 原則的範圍設為Microsoft 365 群組時,DLP 保護會套用至使用與其所屬所有Microsoft 365 群組相關聯的標準和共用通道的群組成員,而且所有 1:1/n 聊天也適用於群組成員,除非已針對 Teams 聊天和頻道訊息設定 光學字元辨識 。
原則提示有助於教育使用者
類似於 DLP 原則提示在 Exchange 、Outlook、SharePoint、OneDrive 和 Windows 裝置上的 (運作方式,當動作使用 DLP 原則觸發時,Teams 中的原則提示就會出現。 以下是原則提示的範例:
在這裡,寄件人嘗試在 Microsoft Teams 頻道中共用社會安全號碼。 [ 我可以做什麼?] 鏈接會開啟對話方塊,為寄件者提供解決問題的選項。 請注意,寄件者可以選擇覆寫原則,或通知系統管理員檢閱並解決問題。
您可以選擇允許組織中的使用者覆寫 DLP 原則。 當您設定 DLP 原則時,可以使用預設原則提示,或 自定義 組織的原則提示。
回到我們的範例,當發件人共用Teams頻道中的社會安全號碼時,收件者會看到以下內容:
自訂原則提示
若要執行這項工作,您必須被指派為具有編輯 DLP 原則權限的角色。 若要深入瞭解,請參閱 Microsoft Purview 合規性入口網站 中的許可權。
針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
登入 Microsoft Purview 入口網站>數據外洩防護>原則。
選取原則,然後選擇 [ 編輯 原則 (鉛筆圖示) 。
瀏覽工具,直到您進入 [自定義進階 DLP 規則] 畫面為止。
建立新規則,或編輯原則的現有規則。
向下卷動至 [使用者通知 ],然後將 [ 使用通知] 設定為 [通知] 以通知您的使用者,並協助教育他們正確使用敏感性資訊 切換為 [ 開啟]。
在 [Microsoft 365 服務] 底下,選取 [使用原則提示通知 Office 365 服務中的使用者]。
在 [ 原則提示] 底下,選取 [自定義原則提示文字]。
指定您要用於原則提示的文字。
如果原則提示適用於 Microsoft Exchange 中的用戶活動,而且您想要在傳送電子郵件之前先顯示提示,請選取 [傳 送前顯示原則提示作為終端使用者的對話框]。
依序選擇 [ 儲存 ] 和 [ 下一步]。
在 [ 原則模式] 頁面上,視需要選取 [ 在模擬模式中顯示原則提示 ] 旁的方塊。
選擇 [下一步],選擇 [ 提交],然後選擇 [ 完成]。
將 Microsoft Teams 新增為現有 DLP 原則的位置
若要執行這項工作,您必須被指派為具有編輯 DLP 原則權限的角色。 若要深入瞭解,請參閱 Microsoft Purview 合規性入口網站.md#permissions) 中的許可權。
針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
登入 Microsoft Purview 入口網站>數據外洩防護>原則。
選取原則,然後選擇 [ 編輯 原則 (鉛筆圖示) 。
瀏覽工具,直到您到達 [選擇要套用原則的位置 ] 頁面為止。
選 取 [Teams 聊天和頻道訊息]。
選擇 [下一步 ],並逐步執行到程序的結尾。
Choose Submit.
允許大約一小時讓您的變更透過您的資料中心運作,並同步至用戶帳戶。
定義 Microsoft Teams 的新 DLP 原則
如需如何建立和實作新 DLP 原則的資訊,請參閱 建立和部署數據外洩防護原則。
防止外部存取敏感性文件
您可以將 新檔案預設為敏感性,以確保檔受到保護,直到 DLP 掃描並標示為安全共用為止。
建議的 DLP 原則結構
Conditions
內容包含下列任何敏感性資訊類型:[選取所有適用專案]
內容會從 Microsoft 365> 共用與組織外部的人員
動作
新增動作
限制存取或加密Microsoft 365 個位置>中的內容僅封鎖組織外部的人員
使用通知通知您的使用者,並協助教育他們正確使用敏感性資訊>使用原則提示通知 Office 365 中的使用者
通知這些人 [選取所有適用專案]
原則提示 [選取所有適用專案]
注意事項
事件報告的寄件者地址現在是 no-reply-MicrosoftInformationProtectionOnline@microsoft.com。