分享方式:


數據外洩防護原則參考

Microsoft Purview 資料外洩防護 (DLP) 原則有許多元件需要設定。 若要建立有效的原則,您必須瞭解每個元件的用途,以及其組態如何改變原則的行為。 本文提供 DLP 原則的詳細結構。

提示

開始使用安全性 Microsoft Copilot,探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的安全性 Microsoft Copilot

開始之前

如果您不熟悉 purview DLP Microsoft,以下是您在實作 DLP 時所需的核心文章清單:

  1. 管理單位
  2. 瞭解 Microsoft Purview 資料外洩防護 - 本文將介紹數據外泄防護專業領域和Microsoft的 DLP 實作
  3. 規劃資料外洩防護 (DLP) - 透過本文,您將:
    1. 識別專案關係人
    2. 描述要保護的敏感性資訊類型
    3. 設定目標和策略
  4. 數據外洩防護原則參考 - 您正在閱讀的本文現在介紹 DLP 原則的所有元件,以及每個元件如何影響原則的行為
  5. 設計 DLP 原則 - 本文會逐步引導您建立原則意圖語句,並將它對應至特定的原則設定。
  6. 建立和部署數據外洩防護原則 - 本文提供一些您對應至設定選項的常見原則意圖案例。 它也會逐步引導您設定這些選項。
  7. 瞭解如何調查數據外洩防護警示 - 本文將介紹從建立到最終補救和原則微調的警示生命週期。 它也會向您介紹用來調查警示的工具。

此外,您也必須注意平臺的下列條件約束:

  • 租使用者中的 MIP + MIG 原則數目上限:10,000
  • DLP 原則的大小上限 (100 KB)
  • DLP 規則的數目上限:
    • 在原則中:受限於原則的大小
    • 在租使用者中:600
  • 個別 DLP 規則的大小上限:100 KB (102,400 個字元)
  • GIR 辨識項限制:100 個,每個 SIT 辨識項依發生比例
  • 可從檔案擷取以進行掃描的文字大小上限:2 MB
  • 預測的所有相符專案的 Regex 大小限制:20 KB
  • 原則名稱長度限制:64 個字元
  • 原則規則長度限制:64 個字元
  • 批注長度限制:1,024 個字元
  • 描述長度限制:1,024 個字元

原則範本

DLP 原則範本會排序為四個類別:

  • 可偵測及保護 財務 資訊類型的原則。
  • 可偵測及保護 醫療和健康 情況資訊類型的原則。
  • 可偵測及保護 隱私權 資訊類型的原則。
  • 自定義原則範本,您可以在其他原則都不符合貴組織的需求時,用來建置您自己的原則。

下表列出所有原則範本,以及 (SIT) 涵蓋的敏感性資訊類型。

類別 範本
財務 澳洲財務資料 - SWIFT 程式代碼
- 澳大利亞稅務檔案編號
- 澳大利亞銀行帳戶號碼
- 信用卡號碼
財務 加拿大金融數據 - 信用卡號碼
- 加拿大銀行帳戶號碼
財務 法國金融數據 - 信用卡號碼
- 歐盟轉帳卡號碼
財務 德國財務資料 - 信用卡號碼
- 歐盟轉帳卡號碼
財務 以色列財務資料 - 以色列銀行帳戶號碼
- SWIFT 程式代碼
- 信用卡號碼
財務 日本財務資料 - 日本銀行帳戶號碼
- 信用卡號碼
財務 PCI 資料安全性標準 (PCI DSS) - 信用卡號碼
財務 沙烏地阿拉伯反網路犯罪法 - SWIFT 程式代碼
- IBAN) (國際銀行帳戶號碼
財務 沙烏地阿拉伯財務資料 - 信用卡號碼
- SWIFT 程式代碼
- IBAN) (國際銀行帳戶號碼
財務 英國財務數據 - 信用卡號碼
- 歐盟轉帳卡號碼
- SWIFT 程式代碼
財務 美國財務數據 - 信用卡號碼
- 美國銀行帳戶號碼
- ABA 路由號碼
財務 美國聯邦貿易委員會 (FTC) 消費者規則 - 信用卡號碼
- 美國銀行帳戶號碼
- ABA 路由號碼
財務 增強的 GLBA (美國 Gramm-Leach-Bliley Act) - 信用卡號碼
- 美國銀行帳戶號碼
- ITIN) (美國個人身份識別
- 編號SSN
- ) (美國社會安全號碼 美國/英國護照號碼
-美國驅動程式的授權號碼
- 所有完整名稱
- 美國實體位址
財務 美國 Gramm-Leach-Bliley 法案 (GLBA) - 信用卡號碼
- 美國銀行帳戶號碼
- ITIN) (美國個人身份識別
- 編號SSN) (美國社會安全號碼
醫療與健康 澳大利亞 (HRIP Act) 增強的健全狀況記錄法 - 澳大利亞稅務檔案編號
- 澳大利亞醫療帳戶號碼
- 所有完整名稱
- 所有醫療條款和條件
- 澳大利亞實體位址
醫療與健康 澳洲醫療記錄法案 (HRIP 法案) - 澳大利亞稅務檔案編號
- 澳大利亞醫療帳戶號碼
醫療與健康 加拿大健康資訊法案 (HIA) - 加拿大護照號碼
- 加拿大社會保險號碼
- 加拿大健康情況服務號碼
- 加拿大個人健康情況標識碼
醫療與健康 加拿大個人健康情況資訊法案 (PHIA) Manitoba - 加拿大社會保險號碼
- 加拿大健康情況服務號碼
- 加拿大個人健康情況標識碼
醫療與健康 加拿大個人健康 (PHIPA) Ontario - 加拿大護照號碼
- 加拿大社會保險號碼
- 加拿大健康情況服務號碼
- 加拿大個人健康情況標識碼
醫療與健康 英國存取醫療報告法案 - 英國國家健康服務號碼
- NINO) (英國國家保險編號
醫療與健康 美國健康保險法案 (HIPAA) 增強
- 國際疾病分類 (ICD-9-CM)
- ICD-10-CM (疾病的國際分類)
- 所有完整名稱
- 所有醫療條款和條件
- 美國實體位址
醫療與健康 美國健康保險法案 (HIPAA) - 國際疾病分類 (ICD-9-CM)
- 國際疾病分類 (ICD-10-CM)
隱私權 澳大利亞隱私權法案增強 - 澳大利亞驅動程式的授權號碼
- 澳大利亞的護照號碼
- 所有完整名稱
- 所有醫療條款和條件
- 澳大利亞實體位址
隱私權 澳洲隱私權法案 - 澳大利亞驅動程式授權號碼
- 澳大利亞的護照號碼
隱私權 澳洲個人識別資訊 (PII) 資料 - 澳大利亞稅務檔案編號
- 澳大利亞驅動程式的授權號碼
隱私權 加拿大個人識別資訊 (PII) 資料 - 加拿大驅動程式的授權號碼
- 加拿大銀行帳戶號碼
- 加拿大護照號碼
- 加拿大社會保險號碼
- 加拿大健康情況服務號碼
- 加拿大個人健康情況標識碼
隱私權 加拿大個人資訊保護法案 (PIPA) - 加拿大護照號碼
- 加拿大社會保險號碼
- 加拿大健康情況服務號碼
- 加拿大個人健康情況標識碼
隱私權 加拿大個人資訊保護法案 (PIPEDA) - 加拿大驅動程式的授權號碼
- 加拿大銀行帳戶號碼
- 加拿大護照號碼
- 加拿大社會保險號碼
- 加拿大健康情況服務號碼
- 加拿大個人健康情況標識碼
隱私權 法國資料保護法案 - 法國國家標識碼卡 (CNI)
- 法國社會安全號碼 (INSEE)
隱私權 法國個人識別資訊 (PII) 資料 - 法國社會安全號碼 (INSEE)
- 法國駕照號碼
- 法國護照號碼
- 法國國家標識碼卡 (CNI)
隱私權 (GDPR) 增強的一般數據保護規定 - 奧地利實體位址
- 比利時實體位址
- 保加利亞實體位址
- 克羅埃西亞實體位址
- 他的實體位址
- 捷克實體位址
- 丹麥實體位址
- 愛沙尼亞實體位址
- 芬蘭實體位址
- 法國實體位址
- 德國實體位址
- 希臘實體位址
- 匈牙利實體位址
- 愛爾蘭實體位址
- 義大利實體位址
- 拉脫維亞實體位址
- 立陶宛實體位址
- 盧森堡實體位址
- 斯洛伐克實體位址
- 荷蘭實體位址
- 波蘭實體位址
- 葡萄牙文實體位址
- 羅馬尼亞實體位址
- 斯洛伐克實體位址
- 斯洛維尼亞實體位址
- 西班牙實體位址
- 瑞典實體位址
- 奧地利社會安全號碼
- 法國社會安全號碼 (INSEE)
- 希臘社會安全號碼 (AMKA)
- 匈牙利社會安全號碼 (TAJ)
- 西班牙社會安全號碼 (SSN)
- 奧地利身分識別卡
- 身分識別卡片
- 德國身分識別卡號碼
- 身分識別卡號碼
- 法國國家標識碼卡 (CNI)
- 希臘國家標識碼卡
- 芬蘭國家標識碼
- 波蘭國家標識碼 (PESEL)
- 瑞典國家標識碼
- 克羅埃西亞人識別 (OIB) 號碼
- 捷克人個人身分識別號碼
- 丹麥個人標識碼
- 愛沙尼亞個人識別碼
- 匈牙利個人標識碼
- Luxemburg National Identification Number natural person
- (非自然人
- ) 義大利會計代碼
- 拉脫維亞個人代碼
- 立陶宛個人代碼
- 羅馬尼亞個人數值代碼 (CNP)
- 荷蘭公民服務 (BSN) 號碼
- 愛爾蘭個人公用服務 (PPS) 號碼
- 保加利亞統一公民編號
- 比利時國家數位
- 西班牙 DNI
- 斯洛維尼亞唯一的主要公民號碼
- 斯洛伐克個人號碼
- 葡萄牙公民卡片號碼
- 額地稅標識碼
- 奧地利稅標識碼
- 額地稅務標識碼
-法國稅務標識碼 (numéro SPI.)
- 德國稅務標識碼
- 希臘稅務標識碼
- 匈牙利稅務標識碼
- 荷蘭稅務標識碼
- 波蘭稅務標識碼
- 葡萄牙稅務標識碼
- 斯洛維尼亞稅務標識碼
- 西班牙稅務標識碼
- 瑞典稅務標識碼
- 奧地利驅動程序授權
- 比利時駕照號碼
- 保加利亞駕照號碼
- 克羅埃西亞駕照號碼
- 他的駕照號碼
- 捷克駕照號碼
- 丹麥駕照號碼
- 愛沙尼亞駕照號碼
- 芬蘭駕照號碼
- 法國駕照號碼
- 德國駕照號碼
- 希臘駕照號碼
- 匈牙利駕照號碼
- 愛爾蘭駕照號碼
- 義大利駕照號碼
- 拉脫維亞駕照號碼
- 立陶宛駕照號碼
- Luxemburg 驅動程式的授權號碼
- 斯洛伐克駕駛的授權號碼
- 荷蘭駕照號碼
- 波蘭駕照號碼
- 葡萄牙駕照號碼
- 羅馬尼亞駕照號碼
- 斯洛伐克駕照號碼
- 斯洛維尼亞駕照號碼
- 西班牙駕照號碼
- 瑞典駕照號碼
- 奧地利 Passport 號碼
- 比利時護照號碼
- 保加利亞護照號碼
- 克羅埃西亞護照號碼
- 登入護照號碼
- 捷克護照號碼
- 丹麥護照號碼
- 愛沙尼亞護照號碼
- 芬蘭護照號碼
- 法國 Passport 號碼
- 德文 Passport 號碼
- 希臘護照號碼
- 匈牙利護照號碼
- 愛爾蘭護照號碼
- 義大利 Passport 號碼
- 拉脫維亞護照號碼
- 立陶宛護照號碼
- Luxemburg Passport 號碼
- 登入護照號碼
- 荷蘭 Passport 號碼
- 波蘭 Passport
- 葡萄牙 Passport 號碼
- 羅馬尼亞護照號碼
- 斯洛伐克護照號碼
- 斯洛維尼亞護照號碼
- 西班牙 Passport 號碼
- 瑞典護照號碼
- 歐盟轉帳卡號碼
- 所有完整名稱
隱私權 一般資料保護規定 (GDPR) - 歐盟轉帳卡號碼
- 歐盟駕照號碼
- 歐盟國家標識碼
- 歐盟護照號碼
- 歐盟社會安全號碼或對等識別
- 歐盟稅務標識碼
隱私權 德國個人識別資訊 (PII) 資料 - 德國駕照號碼
- 德國護照號碼
隱私權 以色列個人識別資訊 (PII) 資料 - 以色列國家標識碼
隱私權 以色列隱私權保護 - 以色列國家標識碼
- 以色列銀行帳戶號碼
隱私權 增強的日本個人標識資訊 (PII) 數據 - 日本社會保險號碼 (SIN)
- 日本我的號碼 - 個人
- 日本護照號碼
- 日本驅動程式的授權號碼
- 所有完整名稱
- 日本實體位址
隱私權 日本個人識別資訊 (PII) 資料 - 日本常駐註冊號碼
- 日本社會保險號碼 (SIN)
隱私權 增強個人資訊的日本保護 - 日本社會保險號碼 (SIN)
- 日本我的號碼 - 個人
- 日本護照號碼
- 日本驅動程式的授權號碼
- 所有完整名稱
- 日本實體位址
隱私權 日本個人資訊保護法 - 日本常駐註冊號碼
- 日本社會保險號碼 (SIN)
隱私權 沙烏地阿拉伯個人標識 (PII) 數據 - 沙烏地阿拉伯國家標識碼
隱私權 英國資料保護法案 - NINO
- ) (英國國家保險號碼 美國/英國護照號碼
- SWIFT 程式代碼
隱私權 英國隱私權與電子通訊條例 - SWIFT 程式代碼
隱私權 英國個人識別資訊 (PII) 資料 - NINO
- ) (英國國家保險號碼 美國/英國護照號碼
隱私權 英國線上個人資訊實務守則 (PIOCP) - NINO
- ) (英國國家保險號碼 英國國家健康服務號碼
- SWIFT 程式代碼
隱私權 美式法案增強 - 信用卡號碼
- 美國銀行帳戶號碼
- ITIN) (美國個人身份識別
- 編號SSN
- ) (美國社會安全號碼 所有完整名稱
- 美國實體位址
隱私權 美國愛國者法案 - 信用卡號碼
- 美國銀行帳戶號碼
- ITIN) (美國個人身份識別
- 編號SSN) (美國社會安全號碼
隱私權 增強的 PII) 數據 (美國個人標識資訊 - ITIN) (美國個人身份識別
- 編號SSN
- ) (美國社會安全號碼 美國/英國護照號碼
- 所有完整名稱
- 美國實體位址
隱私權 美國個人識別資訊 (PII) 資料 - ITIN) (美國個人身份識別
- 編號SSN
- ) (美國社會安全號碼 美國/英國護照號碼
隱私權 增強美國州/州外洩通知法 - 信用卡號碼
- 美國銀行帳戶號碼
-美國驅動程式的授權號碼
- SSN
- ) (美國社會安全號碼 所有完整名稱
- 美國/英國護照號碼
- 所有醫療條款和條件
隱私權 美國國家違規通知法 - 信用卡號碼
- 美國銀行帳戶號碼
-美國驅動程式的授權號碼
- SSN) (美國社會安全號碼
隱私權 美國國家社會安全號碼保密法 - SSN) (美國社會安全號碼

原則範圍界定

請參閱 管理單位 ,以確定您瞭解不受限制的系統管理員與受管理單位限制的系統管理員之間的差異。

DLP 原則的範圍為兩個不同的層級。 第一個層級會根據) 選取的位置或組織子群組,將不受限制的系統管理範圍原則套用至組織中下列所有專案 (,稱為管理 單位限制原則

  • 使用者
  • 通訊群組
  • 帳戶
  • 網站
  • 雲端應用程式實例
  • 內部部署存放庫
  • 網狀架構和Power BI工作區

在此層級,受管理單位限制的系統管理員只能從其指派的管理單位中挑選。

DLP 原則範圍的第二層是由 DLP 支援 的位置 。 在此層級中,不受限制和管理單位限制的系統管理員只會看到使用者、通訊群組、群組和帳戶,這些使用者、通訊群組和帳戶都包含在第一層原則範圍中,且可供該位置使用。

不受限制的原則

不受限制的原則是由這些角色群組中的使用者建立和管理:

  • 合規性系統管理員
  • 合規性資料管理員
  • 資訊保護
  • 資訊保護系統管理員
  • 安全性系統管理員

如需詳細資訊,請參閱 許可權 一文。

不受限制的系統管理員可以管理所有原則,並查看從原則相符專案流向 警示儀錶板DLP 活動總管的所有警示和事件。

管理單位限制原則

系統管理單位是您 Microsoft Entra ID 的子集,其建立目的是為了管理使用者、群組、通訊群組和帳戶的集合。 這些集合通常會沿著業務群組或地緣政治區域建立。 管理單位具有與角色群組中管理單位相關聯的委派系統管理員。 這些稱為管理單位限制的系統管理員。

DLP 支援將原則與管理單位建立關聯。 如需 Microsoft Purview 合規性入口網站 中的實作詳細數據,請參閱管理單位。 必須將管理單位系統管理員指派給其中一個與不受限制 DLP 原則系統管理員相同的角色或角色群組,才能為其管理單位建立和管理 DLP 原則。

DLP 系統管理角色群組
不受限制的系統管理員 - 建立 DLP 原則並將其範圍設定為整個組織
- 編輯所有 DLP 原則
- 建立 DLP 原則並將其範圍設定為管理單位
- 檢視所有 DLP 原則的所有警示和事件
管理單位受限制的系統管理員
- 必須是可管理 DLP 之角色群組/角色的成員/指派成員
- 建立 DLP 原則並僅限指派給其指派
的管理單位 - 編輯與其管理單位
相關聯的 DLP 原則 - 僅從限於其管理單位的 DLP 原則檢視警示和事件

位置

DLP 原則可以尋找並保護跨多個位置包含敏感性信息的專案。

位置 支援管理單位 包含/排除範圍 數據狀態 其他必要條件
Exchange Online - 通訊群組
- 安全組
- 未啟用電子郵件的安全組
- 動態通訊組清單
- 僅Microsoft 365 個群組 (群組成員,而非以實體)
數據移動中
SharePoint Online 網站 待用
數據使用中的數據
OneDrive - 通訊群組
- 安全組
- 未啟用電子郵件的安全組 - 僅Microsoft 365 個群組
(群組成員,而非實體)
待用
數據使用中的數據
Teams 聊天和頻道訊息 - 通訊群組
- 安全組
- 啟用郵件的安全組 - 僅Microsoft 365 個群組
(群組成員,而非實體)
使用中
的數據移動中數據
請參閱 DLP 保護範圍
執行個體 雲端應用程式實例 待用數據 - 針對非Microsoft雲端應用程式使用數據外洩防護原則
裝置 - 通訊群組
- 安全組
- 未啟用電子郵件的安全組 - 僅Microsoft 365 個群組
(群組成員,而非實體)
數據使用中
的數據移動中
- 瞭解端點數據外洩防護
- 開始使用端點數據外洩防護
- 設定 資訊保護的裝置 Proxy 和因特網連線設定
內部部署存放庫 (檔案共用和 SharePoint) 存放庫 待用數據 - 了解內部部署存放庫
- 的數據外洩防護開始使用數據外泄防護內部部署存放庫
網狀架構和Power BI 工作區 使用中的數據
協力廠商應用程式

Exchange 位置範圍界定

如果您選擇在 Exchange 中包含特定通訊群組,DLP 原則的範圍只會限於該群組成員所傳送的電子郵件。 同樣地,排除通訊群組會從原則評估中排除該通訊群組成員所傳送的所有電子郵件。

寄件者為 收件者為 結果行為
在範圍中 不適用 套用原則
超出範圍 在範圍中 未套用原則
Exchange 位置範圍計算

以下是如何計算 Exchange 位置範圍的範例:

假設您的組織中有四個使用者,以及兩個用來定義 Exchange 位置包含和排除範圍的通訊群組。 群組成員資格的設定如下:

通訊群組 [成員資格]
Group1 User1、User2
Group2 User2、User3
沒有群組 User4
包含設定 排除設定 原則適用於 原則不適用於 行為說明
全部 Exchange 組織中的所有寄件者 (User1、User2、User3、User4) 不適用 當兩者都未定義時,會包含所有寄件者
Group1 Group1 (User1、User2) 的成員發件者 不是 Group1 成員的所有寄件者 (User3、User4) 當定義了一個設定,而另一個設定未定義時,就會使用已定義的設定
全部 Group2 Exchange 組織中不是 Group2 成員的所有寄件者 (User1, User4) 屬於 Group2 (User2、User3 成員的所有發件者) 當定義了一個設定,而另一個設定未定義時,就會使用已定義的設定
Group1 Group2 User1 User2、User3、User4 排除覆寫包括

您可以選擇將原則限定至通訊清單、動態通訊群組和安全性群組的成員。 DLP 原則最多可包含 50 項此類的包含和排除。

OneDrive 位置範圍界定

針對 OneDrive 位置設定原則範圍時,除了將 DLP 原則套用至組織中的所有使用者和群組之外,您還可以將原則的範圍限制為特定使用者和群組。 DLP 支援最多 100 個個別使用者的範圍原則。

例如,如果您想要包含超過100個使用者,您必須視需要先將這些使用者放在通訊群組或安全組中。 然後,您可以將原則的範圍設定為最多 50 個群組。

在某些情況下,您可能會想要將原則套用至一或兩個群組,再加上兩個或三個不屬於其中一個群組的個別使用者。 在這裡,最佳做法是 將這兩個或三個人放在自己的群組中。 這是確定原則的範圍限定在所有預定使用者的唯一方式。

這是因為當您只列出使用者時,DLP 會將所有指定的使用者新增至原則範圍。 同樣地,當您只新增群組時,DLP 會將所有群組的所有成員新增至原則範圍。

假設您有下列群組和使用者:

通訊群組 [成員資格]
Group1 User1、User2
Group2 User2、User3

如果您將原則的範圍限制為 限使用者或 組,DLP 會將原則套用至使用者,如下表所示:

指定的範圍 DLP 範圍評估行為 範圍內的使用者
(僅限使用者)
User1
User2
DLP 會取得指定使用者的聯集 User1、User2
僅 (群組)
Group1
Group2
DLP 會取得指定群組的聯集 User1、User2、User3

不過,當使用者和群組混合在範圍設定中時,事情就會變得複雜。 原因如下:DLP 只會將原則範圍設定為使用者,以交 列出的群組和使用者。

DLP 會在判斷要包含在範圍中的使用者和群組時,使用下列作業順序:

  1. 評估群組成員資格的聯集
  2. 評估用戶的聯集
  3. 評估群組成員和使用者的交集,也就是結果重疊的位置

然後,它會將原則的範圍套用至群組成員和使用者的交集。

讓我們擴充我們的範例,使用同一組群組,然後新增不在群組中的User4:

通訊群組 [成員資格]
Group1 User1、User2
Group2 User2、User3
沒有群組 使用者 4

下表說明在範圍指示中同時包含使用者和群組的情況下,原則範圍設定的運作方式。

指定的範圍 DLP 範圍評估行為 範圍內的使用者
Group1
Group2
User3
User4
第一次評估:群組的聯集:
(Group1 + Group2) = User1, User2, User3

第二次評估:用戶的聯集:
(User3 + User4) = User3, User4

第三次評估:群組和使用者的交集 (重疊) :

(Group1 + Group2) = User1, User2, User3

(User3 + User4) = User3, User4
User3
(User3 是第一次和第二次評估結果中唯一出現的使用者。)
Group1
Group2
User1
User3
User4
第一次評估:群組的聯集:
(Group1 + Group2) = User1, User2, User3

第二次評估:用戶的聯集:
(User1 + User3 + User4) = User1, User3, User4

第三次評估:群組和使用者的交集 (重疊) :

(Group1 + Group2) = User1, User3

(User1 + User3, User4) = User1, User3, User4
User1User3
(這些是唯一出現在第一次和第二次評估結果中的使用者。)

如何定義內容的位置支援

DLP 原則會藉由將敏感性專案與敏感性資訊類型比對 (SIT) ,或與敏感度卷標或保留卷標進行比對來偵測敏感性專案。 每個位置都支持定義敏感性內容的不同方法。 當您合併原則中的位置時,如何定義內容,可以從限制為單一位置時定義內容的方式變更。

重要事項

當您為原則選取多個位置時,內容定義類別目錄的「否」值優先於「是」值。 例如,當您只選取 SharePoint 網站時,原則將支援依一或多個 SIT、敏感度標籤或保留標籤來偵測敏感性專案。 但是,當您選取 SharePoint 網站 Teams 聊天和頻道訊息位置時,原則只會支援透過 SIT 偵測敏感性專案。

位置 內容可由 SIT 定義 內容可以定義敏感度標籤 內容可由保留標籤定義
Exchange 電子郵件連線
Microsoft 365 網站中的 SharePoint
公司或學校帳戶的 OneDrive
Teams 聊天和頻道訊息
裝置
執行個體
內部部署存放庫
網狀架構和Power BI

DLP 支援使用可訓練分類器作為偵測敏感性文件的條件。 內容可以透過 Exchange、SharePoint 網站、OneDrive 帳戶、Teams 聊天和頻道,以及裝置中的可訓練分類器來定義。 如需詳細資訊,請 參閱可訓練分類器

注意事項

DLP 支援偵測電子郵件和附件上的敏感度標籤。 如需詳細資訊,請 參閱在 DLP 原則中使用敏感度標籤作為條件

規則

規則是 DLP 原則的商業規則。 它們是由下列項目所組成:

  • 符合時 會觸發原則 動作的條件
  • 使用者通知, 在使用者執行觸發原則的動作時通知使用者,並協助教育他們貴組織想要如何處理敏感性資訊
  • 用戶在 系統管理員設定時覆寫,允許用戶選擇性地覆寫封鎖動作
  • 事件報告 ,在規則相符時通知系統管理員和其他重要項目關係人
  • 其他選項 ,可定義規則評估的優先順序,並可停止進一步的規則和原則處理。

原則包含一或多個規則。 規則會依序執行,從每個原則中最高優先順序的規則開始。

評估和套用規則的優先順序

託管服務位置

針對 Exchange、SharePoint 和 OneDrive 等託管服務位置,每個規則都會依其建立順序指派優先順序。 這表示第一個建立的規則具有第一個優先順序、第二個建立的規則具有第二個優先順序,依此類推。

依優先順序排列的規則

以規則評估內容時,系統會依優先順序處理規則。 如果內容符合多個規則,則會強制執行具有 嚴格動作的第一個評估規則。 例如,如果內容符合下列所有規則,則會強制執行 規則 3 ,因為它是優先順序最高、限制最嚴格的規則:

  • 規則 1:只通知使用者
  • 規則 2:通知使用者、限制存取且允許使用者覆寫
  • 規則 3:通知使用者、限制存取,以及不允許使用者覆寫
  • 規則 4:限制存取

系統會評估規則 1、2 和 4,但不會套用。 在此範例中,所有規則的相符項目都會記錄在稽核記錄中,並顯示在 DLP 報告中,即使只套用最嚴格的規則也一樣。

您可以使用規則以符合特定的保護需求,然後使用 DLP 原則將常見保護需求分成一組,例如所有需要遵守特定法規的規則。

例如,您的 DLP 原則可能協助您偵測是否存在受到健康保險流通與責任法案 (HIPAA) 的資訊。 此 DLP 原則可協助保護 HIPAA 資料 (所有 SharePoint 網站和所有 OneDrive 網站 (「位置」) 的「用途」) ,方法是尋找包含與組織外部人員共用的敏感性資訊的任何檔, (條件) ,然後封鎖對檔的存取,並傳送通知 (動作) 。 這些需求會儲存為個別規則並分組為 DLP 原則,以簡化管理和報告。

圖表顯示 DLP 原則包含位置和規則

針對端點

當專案符合多個 DLP 規則時,DLP 會透過複雜的演算法來決定要套用的動作。 端點 DLP 會套用最嚴格動作的匯總或總和。 DLP 會在進行計算時使用這些因素。

原則優先順序順序 當專案符合多個原則,而且這些原則具有相同的動作時,就會套用最高優先順序原則的動作。

規則優先順序順序 當專案符合原則中的多個規則,且這些規則具有相同的動作時,就會套用最高優先順序規則的動作。

原則模式 當專案符合多個原則,而這些原則具有相同的動作時,所有處於 [ 開啟] 狀態 (強制執行模式) 的動作會優先套用到使用原則 提示在模擬模式中 執行原則和 在模擬模式狀態中 執行原則中的原則。

行動 當專案符合多個原則,而且這些原則的動作不同時,會套用最嚴格動作的匯總或總和。

授權群組組 態 當專案符合多個原則,且這些原則的運作方式不同時,會套用最嚴格動作的匯總或總和。

覆寫選項 當專案符合多個原則,而且這些原則在覆寫選項中有所不同時,會以下列順序套用動作:

無覆寫>允許覆寫

以下是說明運行時間行為的案例。 在前三個案例中,您已設定三個 DLP 原則,如下所示:

原則名稱 要比對的條件 動作 原則優先順序
ABC 內容包含信用卡號碼 封鎖列印、稽核所有其他使用者輸出活動 0
MNO 內容包含信用卡號碼 封鎖複製到 USB、稽核所有其他使用者輸出活動 1
XYZ 內容包含美國社會安全號碼 封鎖複製到剪貼簿、稽核所有其他使用者輸出活動 2
專案包含信用卡號碼

受監視裝置上的專案包含信用卡號碼,因此其符合原則 ABC 和原則 MNO。 ABC 和 MNO 都處於 開啟 模式。

原則 雲端輸出動作 複製到剪貼簿動作 複製到 USB 動作 複製到網路共享動作 不允許的應用程式動作 列印動作 透過藍牙動作複製 複製到遠端桌面動作
ABC 稽核 稽核 稽核 稽核 稽核 封鎖 稽核 稽核
MNO 稽核 稽核 封鎖 稽核 稽核 稽核 稽核 稽核
在運行時間套用的動作 稽核 稽核 封鎖 稽核 稽核 封鎖 稽核 稽核
專案包含信用卡號碼和美國社會安全號碼

受監視裝置上的專案包含信用卡號碼和美國社會安全號碼,因此此專案符合原則 ABC、原則 MNO 和原則 XYZ。 這三個原則都處於 [開啟] 模式。

原則 雲端輸出動作 複製到剪貼簿動作 複製到 USB 動作 複製到網路共享動作 不允許的應用程式動作 列印動作 透過藍牙動作複製 複製到遠端桌面動作
ABC 稽核 稽核 稽核 稽核 稽核 封鎖 稽核 稽核
MNO 稽核 稽核 封鎖 稽核 稽核 稽核 稽核 稽核
XYZ 稽核 封鎖 稽核 稽核 稽核 封鎖 稽核 稽核
在運行時間套用的動作 稽核 封鎖 封鎖 稽核 稽核 封鎖 稽核 稽核
專案包含信用卡號碼、不同的原則狀態

受監視裝置上的專案包含信用卡號碼,因此符合原則 ABC 和原則 MNO。 原則 ABC 處於 [開啟] 模式,而原則 MNO 處於 模擬模式狀態下 執行原則。

原則 雲端輸出動作 複製到剪貼簿動作 複製到 USB 動作 複製到網路共享動作 不允許的應用程式動作 列印動作 透過藍牙動作複製 複製到遠端桌面動作
ABC 稽核 稽核 稽核 稽核 稽核 封鎖 稽核 稽核
MNO 稽核 稽核 封鎖 稽核 稽核 稽核 稽核 稽核
在運行時間套用的動作 稽核 稽核 稽核 稽核 稽核 封鎖 稽核 稽核
專案包含信用卡號碼、不同的覆寫組態

受監視裝置上的專案包含信用卡號碼,因此符合原則 ABC 和原則 MNO。 原則 ABC 處於 [開啟] 狀態,而 原則 MNO 處於 [開啟] 狀態。 它們已設定不同的 覆寫 動作。

原則 雲端輸出動作 複製到剪貼簿動作 複製到 USB 動作 複製到網路共享動作 不允許的應用程式動作 列印動作 透過藍牙動作複製 複製到遠端桌面動作
ABC 稽核 稽核 封鎖並覆寫 稽核 稽核 封鎖 稽核 稽核
MNO 稽核 稽核 不覆寫封鎖 稽核 稽核 稽核 稽核 稽核
在運行時間套用的動作 稽核 稽核 不覆寫封鎖 稽核 稽核 封鎖 稽核 稽核
專案包含信用卡號碼、不同的授權群組設定

受監視裝置上的專案包含信用卡號碼,因此符合原則 ABC 和原則 MNO。 原則 ABC 處於 [開啟] 狀態,而 原則 MNO 處於 [開啟] 狀態。 它們已設定不同的 授權群組 動作。

原則 雲端輸出動作 複製到剪貼簿動作 複製到 USB 動作 複製到網路共享動作 不允許的應用程式動作 列印動作 透過藍牙動作複製 複製到遠端桌面動作
ABC 稽核 稽核 驗證群組 A - 封鎖 稽核 稽核 驗證群組 A - 封鎖 稽核 稽核
MNO 稽核 稽核 驗證群組 A - 使用覆寫封鎖 稽核 稽核 驗證群組 B - 區塊 稽核 稽核
在運行時間套用的動作 稽核 稽核 驗證群組 A - 封鎖 稽核 稽核 驗證群組 A - 封鎖、驗證群組 B - 封鎖 稽核 稽核

條件

條件是您定義規則要尋找的內容,以及使用這些項目的內容。 他們會告訴規則:當您找到看起來像 這樣 且正在使用的專案時 這是相符專案,而且應該對它採取原則中的其餘動作。 您可以使用條件對不同的風險層級指派不同的動作。 例如,相較於與組織外部人員共用的敏感性內容,內部共用的敏感性內容風險可能較低,所需的動作也較少。

注意事項

在主機組織的 Active Directory 或 Microsoft Entra 租使用者中具有非來賓帳戶的使用者,會被視為組織內的人員。

內容包含

所有位置都支持 內容包含 條件。 您可以選取每個內容類型的多個實體,並使用任 一 (邏輯 OR) 或 所有這些 (邏輯 AND) 運算子進一步精簡條件:

此規則只會尋找您所挑選的任何 敏感度標籤保留標籤

SIT 具有預先定義 的信賴等級 ,您可以視需要加以改變。 如需詳細資訊,請 參閱關於信賴等級的詳細資訊。

重要事項

SIT 有兩種不同的方式可定義最大唯一實例計數參數。 若要深入了解,請參閱 SIT 的執行個體計數支援值

Microsoft Purview 中的自適性保護

自適性保護會將 Microsoft Purview 內部風險管理 風險配置檔整合到 DLP 原則中,讓 DLP 有助於防範動態識別的風險行為。 在測試人員風險管理中設定時,調適型保護的測試人員風險層級會顯示為 Exchange Online、裝置和 Teams 位置的條件。 如需詳細資訊,請參閱 了解數據外泄防護中的自適性保護

Adaptive Protection 支援的條件
  • 調適型保護的測試人員風險層級...

使用下列值:

  • 提高的風險層級
  • 中等風險層級
  • 次要風險層級

條件內容

可用的內容選項會根據您選擇的位置而變更。 如果您選取多個位置,則只有位置有共通的條件可供使用。

條件 Exchange 支援
  • 內容包含
  • 調適型保護的測試人員風險層級為
  • 內容未加上標籤
  • 內容會從 Microsoft 365 共用
  • 從接收內容
  • 寄件者 IP 位址為
  • 標頭包含單字或片語
  • 寄件者 AD 屬性包含單字或詞組
  • 內容字元集包含文字
  • 標頭符合模式
  • 寄件者 AD 屬性符合模式
  • Recipient AD 屬性包含單字或片語
  • 收件者 AD 屬性符合模式
  • 收件者是的成員
  • 文件屬性為
  • 無法掃描任何電子郵件附件的內容
  • 檔或附件受到密碼保護
  • 已讓寄件人覆寫原則提示
  • 寄件者是的成員
  • 未完成掃描任何電子郵件附件的內容
  • 收件者地址包含文字
  • 擴展名為
  • 收件者網域為
  • 收件者為
  • 寄件者為
  • 寄件者網域為
  • 收件者地址符合模式
  • 檔名稱包含單字或片語
  • 檔名稱符合模式
  • 主旨包含單字或片語
  • 主題符合模式
  • 主旨或本文包含單字或詞組
  • 主旨或本文符合模式
  • 寄件者位址包含文字
  • 寄件者地址符合模式
  • 檔大小等於或大於
  • 檔案內容包含單字或片語
  • 檔內容符合模式
  • 訊息大小等於或大於
  • 訊息類型為
  • 訊息重要性為

提示

如需 Exchange 支援之條件的詳細資訊,包括 PowerShell 值,請參閱: 數據外洩防護 Exchange 條件和動作參考

SharePoint 支持的條件
  • 內容包含
  • 內容會從 Microsoft 365 共用
  • 文件屬性為
  • 擴展名為
  • 檔名稱包含單字或片語
  • 檔大小等於或大於
  • 建立的檔
條件 OneDrive 帳戶支援
  • 內容包含
  • 內容會從 Microsoft 365 共用
  • 文件屬性為
  • 擴展名為
  • 檔名稱包含單字或片語
  • 檔大小等於或大於
  • 建立的檔
  • 共用檔
條件 Teams 聊天和頻道訊息支援
  • 內容包含
  • 調適型保護的測試人員風險層級為
  • 內容會從 Microsoft 365 共用
  • 收件者網域為 -Recipient 為
  • 寄件者為
  • 寄件者網域為
端點支持的條件
  • 內容包含: 指定要偵測的內容。 如需支援檔類型的詳細資訊,請參閱 掃描內容的檔類型

  • 內容未標示: 偵測未套用敏感度標籤的內容。 為了協助確保只偵測到支援的檔類型,您應該將此條件與 擴展名為檔類型為 條件搭配使用。 (完全支援 PDF 和 Office 檔案) 。

  • 無法掃描檔: 適用於因下列其中一個原因而無法掃描的檔案:

    • 檔案包含一或多個暫時性文字擷取錯誤
    • 檔案受到密碼保護
    • 檔案大小超過支援的上限 (檔案大小上限:未壓縮檔案為 64 MB;壓縮檔案的 256 MB)
  • 檔名稱包含單字或片語: 偵測檔名包含您指定的任何單字或片語,例如: filecredit cardpatent等等。

  • 檔名稱符合模式: 偵測檔名符合特定模式的檔。 若要定義模式,請使用通配符。 如需 regex 模式的資訊,請參閱 這裡的正規表達式檔。

  • 檔或附件受到密碼保護: 只偵測已開啟的受保護檔案。 完整支援下列檔案:

    • 將檔案封存 (ZIP、.7z、RAR)
    • Office 檔案
    • PDF
    • Symantec PGP 加密檔案
  • 檔大小等於或大於: 偵測檔案大小等於或大於指定值的檔。

    重要事項

    建議您設定此條件來偵測大於 10KB 的專案

  • 檔類型為: 偵測下列檔案類型:

    檔案類型 應用程式 受監視的擴展名
    Word處理 Word、PDF doc、.docx、.docm、.dot、dotx、.dotm、.docb、.pdf
    試算表 Excel, CSV, TSV .xls、.xlsx、.xlt、.xlm、.xlsm、xltx、xltm、xlsb、.xlw、.csv、.tsv
    Presentation PowerPoint .ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx
    電子郵件 Outlook 。味精

    重要事項

    擴展名檔類型選項不能做為相同規則中的條件。 如果要將它們用作同一原則中的條件,它們必須在不同規則中。

若要使用 檔類型是 條件,您必須具有下列其中一個版本的 Windows:

  • Windows 端點 (X64) :

  • WINDOWS 端點 (ARM64) :

  • 擴展名為: 除了在擴展名與 [文件類型 ] 所涵蓋的檔案中偵測敏感性資訊是條件之外,您還可以使用 [擴展名條件 ] 來偵測檔案中具有您需要監視之任何擴展名的敏感性資訊。 若要這樣做,請將必要的擴展名,以逗號分隔至原則中的規則。 只有支援檔類型條件的 Windows 版本才支援擴展名條件。

    警告

    在原則規則中包含下列任何擴展名可能會大幅增加 CPU 負載:.dll、.exe、.mui、.ost、.pf、.pst。

  • 掃描未完成: 當檔案掃描開始時套用,但在掃描整個檔案之前停止。 掃描不完整的主要原因是檔案內擷取的文字超過允許的大小上限。 (擷取文字的大小上限:未壓縮的檔案:4 MB;壓縮的檔案:N=1000 / 擷取時間 = 5 分鐘。)

  • Document 屬性為: 偵測自定義屬性符合指定值的檔。 例如: Department = 'Marketing'Project = 'Secret'。 若要指定自定義屬性的多個值,請使用雙引號。 例如,“Department: Marketing, Sales”。

  • 使用者從 Microsoft Edge 存取敏感性網站: 如需詳細資訊,請參閱 案例 6 監視或限制敏感性服務網域上的用戶活動 (預覽)

  • 調適型保護的測試人員風險層級為: 偵測內部風險層級。

另請參閱: 您可以監視並採取動作的端點活動

五個條件的操作系統需求
  • 無法掃描檔
  • 檔名稱包含單字或片語
  • 檔名稱符合模式
  • 檔大小等於或大於
  • 掃描未完成

若要使用上述任一條件,您的端點裝置必須執行下列其中一個操作系統:

條件 『Document Property is』 的作業系統需求

重要事項

如需搭配 PDF 檔案使用 Microsoft Purview 資料外洩防護 (DLP) 功能的 Adobe 需求相關信息,請參閱 Acrobat 中的 Adobe:Microsoft Purview 資訊保護 支援一文。

條件實例支援
  • 內容包含
  • 內容會從 Microsoft 365 共用
條件內部部署存放庫支援
  • 內容包含
  • 擴展名為
  • 文件屬性為
條件網狀架構和Power BI支援
  • 內容包含

條件群組

有時候您只需要一個規則來識別一件事,例如包含單一 SIT 所定義之美國社會安全號碼的所有內容。 不過,在許多案例中,您嘗試識別的專案類型較為複雜,因此難以定義,因此需要在定義條件時有更大的彈性。

例如,若要識別受限於美國健康保險資訊流通及責任法案 (HIPAA) 的內容,您需要尋找:

  • 包含特定類型之機密資訊的內容,例如美國社會安全號碼或藥物管理局 (DEA) 編號。

    AND

  • 更難以識別的內容,例如病患的照護通訊或提供的醫療服務描述。 要識別此種內容,需要將關鍵字與大型的關鍵字清單比對,例如國際疾病分類 (ICD-9-CM 或 ICD-10-CM)。

您可以將條件分組,並使用邏輯運算子 (AND,或在群組之間) ,來識別這種類型的數據。

針對 美國健康保險法案 (HIPAA) ,條件會依下列方式分組:

HIPAA 原則條件

第一個群組包含識別個別的 SIT,而第二個群組包含識別醫療診斷的 SIT。

條件可以由布爾運算符 (AND、OR、NOT) 來分組和聯結,以便您定義規則,方法是說明應該包含哪些專案,然後在聯結至第一個的不同群組中定義由 NOT 聯結的排除專案。 若要深入瞭解 Purview DLP 如何實作布爾值和巢狀群組,請參閱 複雜規則設計

條件的 DLP 平臺限制

謂語 工作負載 限制 評估成本
內容包含 EXO/SPO/ODB 每個規則 125 個 SIT
內容會從 Microsoft 365 共用 EXO/SPO/ODB -
寄件者 IP 位址為 EXO 個別範圍長度 <= 128;Count <= 600
已讓寄件人覆寫原則提示 EXO -
寄件者為 EXO 個別電子郵件長度 <= 256;Count <= 600
寄件者是的成員 EXO Count <= 600
寄件者網域為 EXO 功能變數名稱長度 <= 67;Count <= 600
寄件者位址包含文字 EXO 個別字長度 <= 128;Count <= 600
寄件者地址符合模式 EXO Regex length <= 128 char;Count <= 600
寄件者 AD 屬性包含單字 EXO 個別字長度 <= 128;Count <= 600
寄件者 AD 屬性符合模式 EXO Regex length <= 128 char;Count <= 600
無法掃描電子郵件附件 () 的內容 EXO 支援的檔案類型
電子郵件附件內容的未完成掃描 EXO 大小 > 1 MB
附件受到密碼保護 EXO 檔類型:Office 檔案、.PDF、.ZIP 和 7z
附件的副檔名為 EXO/SPO/ODB 計數 <= 每個規則 600 個
收件者為以下的成員 EXO Count <= 600
收件者網域為 EXO 功能變數名稱長度 <= 67;Count <= 5000
收件者為 EXO 個別電子郵件長度 <= 256;Count <= 600
收件者地址包含文字 EXO 個別字長度 <= 128;Count <= 600
收件者地址符合模式 EXO Count <= 300
檔名稱包含單字或片語 EXO 個別字長度 <= 128;計數 <=600
檔名稱符合模式 EXO Regex length <= 128 char;Count <= 300
文件屬性為 EXO/SPO/ODB -
檔大小等於或大於 EXO -
主旨包含單字或片語 EXO 個別字長度 <= 128;Count <= 600
標頭包含單字或片語 EXO 個別字長度 <= 128;Count <= 600
主旨或本文包含單字或詞組 EXO 個別字長度 <= 128;Count <= 600
內容字元集包含文字 EXO Count <= 600
標頭符合模式 EXO Regex length <= 128 char;Count <= 300
主題符合模式 EXO Regex length <= 128 char;Count <= 300
主旨或本文符合模式 EXO Regex length <= 128 char;Count <= 300
訊息類型為 EXO -
訊息大小超過 EXO -
具有重要性 EXO -
寄件者 AD 屬性包含單字 EXO 每個屬性索引鍵值組:具有 Regex 長度 <= 128 char;Count <= 600
寄件者 AD 屬性符合模式 EXO 每個屬性索引鍵值組:具有 Regex 長度 <= 128 char;Count <= 300
檔包含單字 EXO 個別字長度 <= 128;Count <= 600
檔比對模式 EXO Regex length <= 128 char;Count <= 300

動作

任何透過 條件 篩選條件的專案,都會套用規則中定義的任何 動作 。 您必須設定必要的選項來支援動作。 例如,如果您選取 [使用限制存取權的 Exchange] 或 [加密 Microsoft 365 位置中的內容 ] 動作,您需要從下列選項中選擇:

  • 封鎖使用者存取共用 SharePoint、OneDrive 和 Teams 內容
    • 封鎖所有人。 只有內容擁有者、最後修飾詞和網站管理員才能繼續存取
    • 僅封鎖組織外部的人員。 組織內的使用者將繼續擁有存取權。
  • 加密電子郵件訊息 (僅適用於 Exchange 中的內容)

規則中可用的動作取決於已選取的位置。 以下列出每個個別位置的可用動作。

重要事項

針對 SharePoint 和 OneDrive 位置,在偵測到敏感性資訊 (之後,將會立即主動封鎖檔,不論是否共用檔,所有外部使用者) ;內部使用者將繼續擁有檔的存取權。

支持的動作:Exchange

在 Exchange 中套用 DLP 原則規則時,它們可能會 停止未停止,或 兩者皆非。 Exchange 支援的大部分規則都未暫止。 在處理後續規則和原則之前,會立即評估並套用非停止動作,如本文稍早的 託管服務位置 中所述。

不過,當 DLP 原則規則觸發 停止 動作時,Purview 會停止處理任何後續規則。 例如,觸發 [ 限制存取或加密Microsoft 365 位置中的內容 ] 動作時,不會處理任何進一步的規則或原則。

如果動作 不是 停止,也不是未中止,Purview 會等候動作的結果發生,然後再繼續。 因此,當外寄電子郵件觸發 [ 轉寄訊息以核准給寄件者管理員 ] 動作時,Purview 會等候管理員決定是否要傳送電子郵件。 如果管理員核准,動作的行為會是非暫止動作,並會處理後續規則。 相反地,如果經理拒絕傳送電子郵件,請將 核准的郵件轉寄給寄件者的經理 ,其行為會是停止動作,並封鎖電子郵件的傳送;不會處理後續的規則或原則。

下表列出 Exchange 支援的動作,並指出動作是停止還是未停止。

動作 中止/非中止
限制存取或加密Microsoft 365 個位置中的內容 停止
設定標頭 未停止
拿掉標頭 未停止
將訊息重新導向至特定使用者 未停止
將訊息轉寄給寄件者管理員以供核准 都不要
將核准的訊息轉寄給特定核准者 都不要
將收件者新增至 [收件者] 方塊 未停止
將收件者新增至 [副本] 方塊 未停止
將收件者新增至密件抄送方塊 未停止
將寄件人的管理員新增為收件者 未停止
拿掉訊息加密和版權保護 未停止
前置 Email 主旨 未停止
新增 HTML 免責聲明 未停止
修改 Email 主旨 未停止
將訊息傳遞至託管的隔離區 停止
將商標套用至加密的訊息 未停止

提示

針對 [將商標套用至加密訊息] 動作,如果您已實作 Microsoft Purview 郵件加密,範本會自動顯示在下拉式清單中。 如果您想要實作 Microsoft Purview 郵件加密,請參閱將組織的品牌新增至您的 Microsoft Purview 郵件加密 加密訊息,以取得訊息加密的背景資訊,以及如何建立和設定您的商標範本。

如需 Exchange 支援之動作的詳細資訊,包括 PowerShell 值,請參閱: 數據外洩防護 Exchange 條件和動作參考

支持的動作:SharePoint

  • 限制存取或加密Microsoft 365 個位置中的內容

支持的動作:OneDrive

  • 限制存取或加密Microsoft 365 個位置中的內容

支持的動作:Teams 聊天和頻道訊息

  • 限制存取或加密Microsoft 365 個位置中的內容

支援的動作:裝置

您可以告訴 DLP 僅稽核、 以覆寫方式封鎖封鎖 (已上線裝置) 這些用戶活動的動作。

限制存取或加密Microsoft 365 個位置中的內容

使用此功能來封鎖使用者接收電子郵件,或存取共用的 SharePoint、OneDrive、Teams 檔案和 Power BI 專案。 此動作可以封鎖所有人,或僅封鎖組織外部的人員。

當使用者存取 Windows 裝置上Microsoft Edge 瀏覽器中的敏感性網站時,稽核或限制活動

使用此動作來控制使用者何時嘗試:

活動 描述/選項
列印網站 偵測使用者何時嘗試從已上線的裝置列印受保護的網站。
從網站複製數據 偵測使用者何時嘗試從已上線的裝置複製受保護網站的數據。
將網站儲存為本機檔案 (另存新檔) 偵測使用者何時嘗試從上線裝置將受保護的網站儲存為本機檔案。
稽核或限制裝置上的活動

使用此方法可依服務網域和瀏覽器活動、所有應用程式的檔案活動、受限制的應用程式活動來限制用戶活動。 若要在 裝置上使用稽核或限制活動,您必須在 DLP 設定 和您想要使用它們的原則中設定選項。 如需詳細資訊,請參閱 受限制的應用程式和應用程式群組

具有稽核 或限制裝置上活動 動作的 DLP 規則,可以設定 「 封鎖並設定覆 寫」。 當此規則套用至檔案時,會封鎖對檔案執行限制動作的任何嘗試。 隨即顯示通知,其中包含覆寫限制的選項。 如果使用者選擇覆寫,則允許動作一段時間達 1 分鐘,在此期間,使用者可以無限制地重試動作。 此行為的例外狀況是將敏感性檔案拖放到Edge時,如果覆寫規則,該檔案會立即附加該檔案。

服務網域和瀏覽器活動

當您設定 [ 允許/封鎖雲端服務網域 ] 和 [ 不允許的瀏覽器 ] 清單時 (請參閱 敏感數據) 的瀏覽器和網域限制 ,以及使用者嘗試將受保護的檔案上傳至雲端服務網域,或從不允許的瀏覽器存取它時,您可以將原則動作設定為 Audit onlyBlock with overrideBlock 活動。

活動 描述/選項
上傳至受限制的雲端服務網域,或從不允許的應用程式存取 偵測受保護的檔案何時遭到封鎖或允許上傳至雲端服務網域。 請參閱 敏感數據的瀏覽器和網域限制案例 6 監視或限制敏感性服務網域上的用戶活動)
貼到支持的瀏覽器 偵測使用者使用 Microsoft Edge、Google Chrome (搭配 Microsoft Purview 擴充功能) 或具有 Microsoft Purview 延伸模組的 Mozilla Firefox ( (,將敏感性資訊貼到文字字段或 Web 窗體) 。 評估與原始程式檔的分類無關。 如需詳細資訊,請參閱: 您可以監視並採取動作的端點活動
所有應用程式的檔案活動

使用 [ 所有應用程式的檔案活動 ] 選項,您可以選取 [ 不要限制檔案活動 ] 或 [ 將限制套用至特定活動]。 當您選取 [ 將限制套用至特定活動] 時,當使用者存取 DLP 保護專案時,就會套用您在此處選取的動作。

活動 描述/選項
複製到剪貼簿 偵測何時將受保護的檔案複製到已上線裝置上的剪貼簿。 如需詳細資訊,請參閱 您可以監視並採取動作的端點活動複製到剪貼簿行為
複製到卸載式裝置 偵測何時將受保護的檔案複製或從上線裝置移至卸載式USB裝置。 如需詳細資訊,請 參閱卸除式USB裝置群組
複製到網路共用 偵測受保護的檔案何時複製或從上線裝置移至任何網路共用。 如需詳細資訊,請參閱 網路共用涵蓋範圍和排除範圍
Print 偵測何時從上線裝置列印受保護的檔案。 如需詳細資訊,請 參閱印表機群組
使用不允許的藍牙應用程式複製或移動 使用不允許的藍牙應用程式,偵測受保護的檔案何時從上線的 Windows 裝置複製或移動。 如需詳細資訊,請 參閱不允許 (限) 藍牙應用程式。 macOS 不支援此功能。
使用 RDP 複製或移動 偵測使用者何時使用 RDP 將受保護的檔案從已上線的 Windows 裝置複製或移動到另一個位置。 macOS 不支援此功能。
受限制的應用程式活動

先前稱為不允許的應用程式, 受限制的應用程式活動 是您想要限制的應用程式。 您可以在端點 DLP 設定的清單中定義這些應用程式。 當使用者嘗試使用清單上的應用程式存取 DLP 保護的檔案時,您可以使用 Audit onlyBlock with overrideBlock 活動。 如果應用程式是 受限制應用程式 群組的成員,則會覆寫限制應用程式活動中定義的 DLP 動作。 然後套用受限制應用程式群組中定義的動作。

活動 描述/選項
受限制的應用程式存取 偵測不允許的應用程式嘗試存取已上線 Windows 裝置上受保護的檔案。 如需詳細資訊,請參閱 受限制的應用程式和應用程式群組
[受限制的應用程式群組] 中的應用程式檔案活動 (預覽)

您可以在端點 DLP 設定中定義受限制的應用程式群組,並將受限制的應用程式群組新增至原則。 當您將受限制的應用程式群組新增至原則時,您必須選取下列其中一個選項:

  • 不要限制檔案活動
  • 將限制套用至所有活動
  • 將限制套用至特定活動

當您選擇其中一個 [ 套用限制 ] 選項,且使用者嘗試使用受限制應用程式群組中的應用程式存取受 DLP 保護的檔案時,您可以依活動來存 Audit only取 、 Block with overrideBlock 。 您在此處定義的 DLP 動作會覆寫限制 應用程式活動 和應用程式 所有應用程式的檔案活動 中定義的動作。

如需詳細資訊,請參閱 受限制的應用程式和應用程式群組

注意事項

裝置位置提供許多子活動 (條件) 和動作。 若要深入瞭解,請參閱 您可以監視並採取動作的端點活動

重要事項

複製到剪貼簿條件會偵測使用者何時從受保護的檔案將資訊複製到剪貼簿。 當使用者從受保護的檔案複製資訊時,使用 複製到剪貼簿 來封鎖、封鎖覆寫或稽核。

[貼到支持的瀏覽器] 條件會偵測使用者何時嘗試使用 Microsoft Edge 將敏感性文字貼到文字字段或 Web 窗體、使用 Microsoft Purview 擴充功能的 Google Chrome,或使用 Microsoft Purview 延伸模組的 Mozilla Firefox,無論該資訊來自何處。 當使用者將敏感性資訊貼到文字欄位或 Web 窗體時,請使用 貼上至支援的瀏覽器 來封鎖、封鎖覆寫或稽核。

實例動作

  • 限制存取或加密Microsoft 365 個位置中的內容
  • 限制第三方應用程式

內部部署存放庫動作

  • 限制存取或移除內部部署檔案。
    • 封鎖人員存取儲存在內部部署存放庫中的檔案
    • 設定繼承自父資料夾的檔案許可權 (許可權)
    • 將檔案從儲存到隔離資料夾的位置移動

如需完整詳細數據,請參閱 DLP 內部部署存放庫動作

網狀架構和Power BI 動作

  • 透過電子郵件和原則提示通知使用者
  • 將警示傳送給系統管理員

合併位置時可用的動作

如果您選取 Exchange 和任何其他要套用原則的單一位置,

  • 限制存取或加密Microsoft 365 個位置中的內容,而且可以使用非 Exchange 位置動作的所有動作。

如果您為要套用的原則選取兩個或多個非 Exchange 位置,則為

  • 限制存取或加密Microsoft 365 個位置中的內容,非 Exchange 位置動作的所有動作都可供使用。

例如,如果您選取 Exchange 和裝置位置,這些動作將可供使用:

  • 限制存取或加密Microsoft 365 個位置中的內容
  • 稽核或限制 Windows 裝置上的活動

如果您選取 [裝置和實例],這些動作將可供使用:

  • 限制存取或加密Microsoft 365 個位置中的內容
  • 稽核或限制 Windows 裝置上的活動
  • 限制第三方應用程式

動作是否生效取決於您設定原則模式的方式。 您可以選取 [在模擬模式中執行原則] 選項,選擇在 模擬模式中 執行原則,而不顯示原則提示。 您可以選取 [立即 啟] 選項,選擇在建立原則一小時后立即執行原則,也可以選擇只儲存它,稍後再選取 [ 將它保持關閉 ] 選項。

動作的 DLP 平臺限制

動作名稱 工作負載 限制
在 Microsoft 365 中限制存取或加密內容 EXO/SPO/ODB
設定標頭 EXO
拿掉標頭 EXO
將訊息重新導向至特定使用者 EXO 所有 DLP 規則總計 100 個。 不能是 DL/SG
將訊息轉寄給寄件者管理員以供核准 EXO 應在AD中定義管理員
將核准的訊息轉寄給特定核准者 EXO 不支援 群組
將收件者新增至 [ 收件者] 方塊 EXO 收件者計數 <= 10;不能是 DL/SG
將收件者新增至 [副本] 方 EXO 收件者計數 <= 10;不能是 DL/SG
將收件者新增至 密件抄送方 EXO 收件者計數 <= 10;不能是 DL/SG
將寄件人的管理員新增為收件者 EXO 應在AD中定義管理員屬性
套用 HTML 免責聲明 EXO
前置主旨 EXO
套用訊息加密 EXO
拿掉訊息加密 EXO

使用者通知和原則提示

當用戶嘗試在符合規則條件的內容中對敏感性專案進行活動 (例如,OneDrive 網站上包含個人標識資訊的 Excel 活頁簿等內容 (PII) ,並與來賓) 共用時,您可以透過使用者通知電子郵件和內容內原則提示彈出視窗讓他們知道。 這些通知很有用,因為它們可提高對貴組織 DLP 原則的認知並協助教育人員。

訊息列會顯示 Excel 2016 中的原則提示

重要事項

  • 通知電子郵件會在未受保護的情況下傳送。
  • Email 通知僅支援Microsoft 365 服務。

依選取的位置 Email 通知支援

選取的位置 支援 Email 通知
裝置 - 不支援
Exchange + 裝置 - 支援 Exchange
- 裝置不支援
Exchange -支援
SharePoint + 裝置 - 支援 SharePoint
- 裝置不支援
SharePoint -支援
Exchange + SharePoint - 支援 Exchange
- 支援 SharePoint
裝置 + SharePoint + Exchange - 裝置不支援
- 支援 Exchange 支援的 SharePoint
Teams - 不支援
OneDrive - 支援公司或學校
用 OneDrive - 裝置不支援
網狀架構和Power-BI - 不支援
執行個體 - 不支援
內部部署存放庫 - 不支援
Exchange + SharePoint + OneDrive - 支援 Exchange
- 支援 SharePoint
- 支援 OneDrive

您也可以為人員提供 覆寫原則的選項,讓他們在有有效的商務需求或原則偵測到誤判時,不會遭到封鎖。

使用者通知和原則提示設定選項會根據您選取的監視位置而有所不同。 如果您選取:

  • Exchange
  • SharePoint
  • OneDrive
  • Teams 聊天和頻道
  • 執行個體

您可以針對各種Microsoft應用程式啟用/停用使用者通知,請參閱 數據外泄防護原則提示參考

您也可以使用原則提示來啟用/停用通知。

  • 電子郵件通知給傳送、共用或上次修改內容 OR 的使用者
  • 通知特定人員

此外,您可以自定義電子郵件文字、主旨和原則提示文字。

適用於 Exchange、SharePoint、OneDrive、Teams 聊天和頻道和實例的使用者通知和原則提示設定選項

如需自定義使用者通知電子郵件的詳細資訊,請參閱 自定義電子郵件通知

如果您只選取 [裝置],您會取得適用於 Exchange、SharePoint、OneDrive、Teams 聊天和頻道和實例的所有相同選項,以及自定義顯示在 Windows 10/11 裝置上之通知標題和內容的選項。

適用於裝置的使用者通知和原則提示設定選項

您可以使用下列參數來自定義文字的標題和本文。

一般名稱 參數 範例
檔案名稱 %%FileName%% Contoso 檔 1
進程名稱 %%ProcessName%% Word
原則名稱 %%PolicyName%% Contoso 高度機密
action %%AppliedActions%% 將檔案內容從剪貼簿貼到另一個應用程式

自訂訊息字元限制快顯

使用者通知受限於下列字元限制:

變數 字元限制
DLP_MAX-SIZE-TITLE 120
DLP_MAX-SIZE-CONTENT 250
DLP_MAX-SIZE-JUSTIFICATION 250

%%AppliedActions%% 會將這些值取代為訊息本文:

動作一般名稱 在中取代為 %%AppliedActions%% 參數的值
複製到可移除的記憶體 寫入卸除式記憶體
複製到網路共用 寫入網路共用
列印 印刷
從剪貼簿貼上 從剪貼簿貼上
透過藍牙複製 透過藍牙傳輸
使用不允許的應用程式開啟 使用此應用程式開啟
複製到遠端桌面 (RDP) 傳輸至遠端桌面
上傳至不允許的網站 上傳至此網站
透過不允許的瀏覽器存取專案 使用此瀏覽器開啟

使用此自定義文字

%%已套用Actions%% 您的組織不允許透過 %%ProcessName%% 的檔案名 %%FileName%% 。 如果您想要略過原則 %%PolicyName%%,請選取 [允許]。

會在自訂通知中產生此文字:

從剪貼簿貼上檔名:組織不允許透過 WINWORD.EXE 的 Contoso 檔 1。 如果您想要略過 Contoso 高度機密原則,請選取 [允許] 按鈕

您可以使用 Set-DlpComplianceRule -NotifyPolicyTipCustomTextTranslations Cmdlet 將自定義原則提示本地化。

注意事項

內部部署位置無法使用使用者通知和原則提示

只會顯示最高優先順序、最嚴格規則的原則提示。 例如,會封鎖內容存取權的規則與僅傳送通知的規則,只會顯示前者的原則提示。 這樣可避免使用者看到重疊顯示的原則提示。

若要深入瞭解使用者通知和原則提示設定和使用方式,包括如何自定義通知和提示文字,請參閱 傳送電子郵件通知和顯示 DLP 原則的原則提示

原則提示參考

如需支援不同應用程式的原則提示和通知的詳細數據,請參閱這裡:

Microsoft 365 和 OneDrive 中的 SharePoint 封鎖和通知

下表顯示在 Microsoft 365 和 OneDrive 中設定為 SharePoint 之原則的 DLP 封鎖和通知行為。 請注意,這並非詳盡的清單,而且有其他設定不在本文的範圍內。

注意事項

此表格中所述的通知行為可能需要啟用下列設定:

使用者通知:

  • 開啟
  • 使用原則提示通知 Office 365 服務中的使用者
  • 通知傳送、共用或上次修改內容的使用者

事件報告:

  • 在規則相符時傳送警示給系統管理員
  • 每次選取符合規則的活動時傳送警示
  • 使用電子郵件事件報告在原則相符時通知您
條件 限制存取設定 封鎖和通知行為
- 內容是從Microsoft 365**- 與組織外部的人員共用 尚未設定 只有當檔案與外部用戶共用且外部使用者存取檔案時,才會傳送使用者通知、警示和事件報告
- 內容是從Microsoft 365**- 僅與組織內的人員共用 尚未設定 上傳檔案時,會傳送使用者通知、警示和事件報告
- 內容是從Microsoft 365**- 僅與組織內的人員共用 - 限制存取或加密Microsoft 365 個位置中的內容
- 封鎖使用者接收電子郵件或存取共用 SharePoint、OneDrive 和 Teams 檔案
- 封鎖所有人
- 敏感性檔案的存取會在上傳后立即遭到封鎖。
- 上傳檔案時會傳送使用者通知、警示和事件報告
- 內容會從 Microsoft 365 - 與組織外部的人員共用 - 限制存取或加密Microsoft 365 個位置中的內容
- 封鎖使用者接收電子郵件或存取共用 SharePoint、OneDrive 和 Teams 檔案
- 僅封鎖組織外部的人員
- 不論所有外部使用者是否共享檔,敏感性檔案的存取都會在上傳后立即遭到封鎖。
- 如果敏感性資訊在組織外部的用戶共用並存取之後新增至檔案,則會傳送警示和事件報告。
- 如果檔在上傳之前包含敏感性資訊,則會主動封鎖外部共用。 由於此案例中的外部共用會在檔案上傳時遭到封鎖,因此不會傳送任何警示或事件報告。 隱藏警示和事件報告的設計目的是要防止針對每個封鎖的檔案向使用者發出大量警示。
- 主動式封鎖會在稽核記錄和活動總管中顯示為事件。
- 內容會從 Microsoft 365 - 與組織外部的人員共用 - 限制存取或加密Microsoft 365 個位置中的內容
- 封鎖使用者接收電子郵件或存取共用 SharePoint、OneDrive 和 Teams 檔案
- 封鎖所有人
- 當組織外部的第一位使用者存取檔時,此事件會導致檔遭到封鎖。
- 預期有一小段時間,具有檔案連結的外部使用者將可存取檔。
- 當檔案與外部用戶共用,且外部使用者存取該檔案時,會傳送使用者通知、警示和事件報告
- 內容是從 Microsoft 365 共用 - 限制存取或加密Microsoft 365 個位置中的內容
- 僅封鎖透過 [具有連結的任何人] 選項獲得內容存取權的人員
上傳檔案時,會傳送使用者通知、警示和事件報告

深入瞭解 URL

使用者可能想要瞭解其活動遭到封鎖的原因。 您可以設定網站或頁面,進一步說明您的原則。 當您選取 [為使用者提供合規性 URL] 以深入瞭解貴組織的原則 (僅適用於 Exchange) ,且使用者在 Outlook Win32 中收到原則提示通知時, [深入瞭解] 連結會指向您提供的網站 URL。 此 URL 的優先順序高於 使用 Set-PolicyConfig -HostedceURL 設定的全域合規性 URL。

重要事項

您必須設定從頭開始 深入瞭解 的網站或頁面。 Microsoft Purview 未提供現用的這項功能。

使用者覆寫

使用者覆寫的目的是要讓使用者在 Exchange、SharePoint、OneDrive 或 Teams 中的敏感性專案上略過 DLP 原則封鎖動作,讓他們能夠繼續工作。 只有在啟用使用原則提示通知 Office 365 服務中的使用者時,才會啟用使用者覆寫,因此使用者覆寫會使用通知和原則提示進行手動。

DLP 原則的使用者覆寫選項

注意事項

內部部署存放庫位置無法使用使用者覆寫。

一般而言,當您的組織第一次推出原則時,使用者覆寫會很有用。 您從任何覆寫理由和識別誤判的意見反應,有助於微調原則。

  • 如果最嚴格規則中的原則提示允許人員覆寫規則,則覆寫此規則也將會覆寫內容符合的任何其他規則。

業務理由 X 標頭

當使用者在電子郵件上覆寫具有覆寫動作的區塊時,覆寫選項及其提供的文字會儲存在 稽核記錄 檔和電子郵件 X 標頭中。 若要檢視商業理由覆寫,請在稽核記錄ExceptionInfo中搜尋詳細數據的值。 以下是稽核記錄值的範例:

{
    "FalsePositive"; false,
    "Justification"; My manager approved sharing of this content",
    "Reason"; "Override",
    "Rules": [
         "<message guid>"
    ]
}

如果您有使用商業理由值的自動化程式,程式可以在電子郵件 X 標頭數據中以程式設計方式存取該資訊。

注意事項

這些 msip_justification 值會以下欄順序儲存:

False Positive; Recipient Entitled; Manager Approved; I Acknowledge; JustificationText_[free text].

請注意,這些值會以分號分隔。 允許的可用文字上限為 500 個字元。

事件報告

當符合規則時,您可以將警示電子郵件傳送給合規性主管 (或您選擇) 的任何人員,並提供事件的詳細數據,您可以在 Microsoft Purview 資料外洩防護 警示儀錶板和 Microsoft 365 Defender 入口網站中檢視這些警示。 警示包含已比對專案的相關信息、符合規則的實際內容,以及上次修改內容的人員名稱。

在預覽版中,系統管理員警示電子郵件包含詳細數據,例如:

  • 警示嚴重性
  • 警示的發生時間
  • 活動。
  • 偵測到的敏感數據。
  • 活動觸發警示之用戶的別名。
  • 符合的原則。
  • 警示標識碼
  • 如果 裝置 位置在原則範圍內,則嘗試執行的端點作業。
  • 正在使用的應用程式。
  • 如果端點裝置上發生相符專案,則為裝置名稱。

DLP 會將事件資訊饋送至其他 Microsoft Purview 資訊保護 服務,例如內部風險管理。 若要將事件資訊提供給內部風險管理,您必須將 事件報告 嚴重性層級設定為 [高]

每次規則符合或匯總到較少的報告時,都會傳送警示

警示類型

每次活動符合規則時,都可以傳送警示,這可能會產生雜訊,或是根據一段設定期間內的相符項目數目或專案量進行匯總。 有兩種類型的警示可在 DLP 原則中設定。

單一事件警示 通常用於監視低數量之高敏感性事件的原則,例如將10個或更多客戶信用卡號碼傳送到組織外部的單一電子郵件。

匯總事件警示 通常用於監視在較長時間內發生較大磁碟區之事件的原則中。 例如,當組織外部有10封具有一個客戶信用卡號碼的個別電子郵件傳送超過48小時時,就會觸發匯總警示。

其他警示選項

當您選取 [使用電子郵件事件報告在原則相符時通知您 ],您可以選擇包含:

  • 上次修改內容的人員名稱。
  • 符合規則的敏感性內容類型。
  • 規則的嚴重性層級。
  • 符合規則的內容,包括周圍的文字。
  • 包含符合規則之內容的專案。

如需警示的詳細資訊,請參閱:

裝置上檔案活動的辨識項集合

如果您已 針對裝置上的檔案活動啟用安裝辨識項集合 ,並新增了 Azure 儲存器帳戶,您可以選取 [收集原始檔案] 作為端點上所有選取檔案活動的辨識項 ,以及您想要複製專案的 Azure 儲存器帳戶。 您也必須選擇要複製項目的活動。 例如,如果您選取 [列印 ] 而不是 [ 複製到網络分享],則只會將從受監視裝置列印的專案複製到 Azure 儲存器帳戶。

其他選項

如果您在原則中有多個規則,您可以使用 [其他] 選項 來控制與您正在編輯的規則相符時的進一步規則處理,以及設定評估規則的優先順序。

另請參閱