分享方式

使用調適型保護協助動態降低風險

重要事項

Microsoft Purview 內部風險管理會將各種訊號關聯起來,以識別潛在的惡意或無意內部風險,例如智慧財產權盜用、資料外洩及資安違規。 內部風險管理讓客戶能制定管理安全與合規的政策。 設計上以隱私為本,使用者預設為假名,並設有基於角色的存取控制與稽核日誌,以確保使用者層級的隱私。

Microsoft Purview 的自適應防護利用機器學習識別最關鍵風險,並主動且動態地套用以下保護控制:

與資料遺失防護、資料生命週期管理及條件存取的整合,幫助組織自動化應對內部風險,並縮短識別與修復潛在威脅所需的時間。 透過善用這四種解決方案的能力,組織能建立更全面的安全架構,同時應對內部與外部威脅。

重要事項

欲了解使用自適應保護(Adaptive Protection)與資料遺失預防、資料生命週期管理及條件存取的授權要求,請參閱 Microsoft 365、Office 365、Enterprise Mobility + Security 及 Windows 11 訂閱。

自適應防護透過以下方式協助降低潛在風險:

  • 境感知偵測。 協助透過機器學習驅動分析內容與使用者活動,找出最關鍵的風險。
  • 動態控制。 協助對高風險使用者實施有效管控,同時維持生產力。
  • 自動緩解。 有助於降低潛在資料安全事件的影響,並降低行政負擔。

自適應保護會根據內部風險管理中機器學習模型定義並分析的內部風險等級,動態地為使用者指派適當的資料遺失預防、資料生命週期管理及條件存取政策。 政策會根據使用者情境變得自適應,確保最有效的政策,例如透過資料遺失預防阻擋資料共享,或透過條件存取阻擋應用程式存取,僅適用於高風險使用者,而低風險使用者則維持生產力。 資料遺失防護與條件存取政策控制會不斷調整,因此當使用者的內部風險等級改變時,適當的政策會動態套用以匹配內部人員的新風險等級。 在資料生命週期管理中,內部風險管理會偵測 風險等級升高 的使用者,並透過自動建立的資料生命週期管理保留標籤政策,保存其刪除資料長達120天。

重要事項

內部風險管理目前可在支援 Azure 服務依賴的地理區域及國家的租戶中提供。 要確認內部風險管理解決方案是否支援您的組織,請參閱各國/區域的 Azure 依賴可用性。 內部風險管理(Insider Risk Management)可用於商業雲端,但目前尚未支援美國政府雲端計畫。

請觀看以下影片,了解自適應防護如何協助識別並減輕組織中最關鍵的風險:

提示

立即開始使用 Microsoft Security Copilot,探索利用 AI 力量更聰明、更快速地工作的新方法。 在 Microsoft Purview 中了解更多關於 Microsoft Security Copilot 的資訊。

內部風險等級與預防措施

透過自適應保護,管理員可以根據組織需求,設定風險因素或活動,並可自訂內部風險等級。 自適應防護的內部風險等級會根據使用者的風險因素與洞察,持續且自動更新。 當使用者的資料安全風險增加或降低時,內部風險水準也會相應調整。 根據內部風險等級,資料遺失防護政策與條件存取政策會自動依管理員設定的適當層級預防控制措施,如 封鎖覆寫封鎖警告

提示

自適應防護中的內部風險等級與根據內部風險管理政策偵測到的活動分配使用者的警報嚴重程度等級不同。

  • 本文所述的內部風險等級 (高、中度或輕微) ,衡量由管理員定義的條件決定的風險,例如使用者每日執行的外流活動數量,或其活動是否引發高嚴重的內部風險警示。
  • 根據內部風險管理政策中偵測到的活動, (低、中、高的警示嚴重程度等級) 分配給使用者。 這些等級是根據所有與使用者相關的活躍警報所分配的警報風險分數計算的。 這些層級幫助內部風險分析師與調查人員依序優先排序並回應使用者活動。

在資料生命週期管理方面,資料生命週期管理政策會監控透過內部風險管理自適應保護(Insider Risk Management Adaptive Protection)分配高 風險等級 的使用者。 當有風險使用者從 SharePoint、OneDrive 或 Exchange Online 刪除任何內容時,該內容會自動被保存 120 天。 管理員可以聯絡 Microsoft 支援團隊,恢復任何保存下來的內容。

根據自適應保護中分配的內部風險管理政策,會使用不同的標準 (使用者、群組、指標、門檻等 ) 來判斷適用的內部風險等級。 內部風險等級是根據使用者洞察判斷,而非僅僅根據特定使用者活動的實例數量。 洞察是對活動總數及這些活動嚴重程度的計算。

例如,使用者A的內部風險等級不會由使用者A執行潛在風險活動超過三次來決定。 使用者 A 的內部風險等級將根據活動總數的洞察來決定,並根據所選政策中設定的門檻,為該活動分配風險分數。

內部風險等級

自適應防護中的內部風險等級定義使用者活動的風險程度,可依據他們執行的外洩活動次數或是否引發高嚴重的內部風險警示等標準。 這些內部風險等級內建了內部風險等級定義,但你可以根據需要自訂這些定義:

  • 高風險等級:此風險等級包含針對高嚴重警報使用者、擁有至少三個序列洞察且各自對特定風險活動有高嚴重性警示的使用者,或一個或多個已確認的高嚴重性警示的使用者的內建定義。
  • 中等風險等級:此風險等級包含針對中等嚴重警報使用者或至少有兩次資料外洩且嚴重度分數高的使用者的內建定義。
  • 次要風險等級:此風險等級包含針對低嚴重警報使用者或至少有一次資料外洩行為且嚴重度分數較高的使用者的內建定義。

要指派內部風險等級給使用者,該活動的洞察數量與嚴重程度必須與內部風險等級的定義相符。 洞察的活動數量可能是單一活動,或是多個活動累積至該洞見。 洞察數量評估的是內部風險等級的定義,而非洞察中包含的活動數量。

舉例來說,假設內部風險管理政策中分配給自適應保護範圍的條件,用以識別組織內 SharePoint 網站的下載。 如果政策偵測到使用者在一天內從 SharePoint 網站下載了 10 個被認定為高嚴重性的檔案,這就算作一個包含 10 個活動事件的單一洞察。 要符合對使用者分配 「升高風險等級 」的資格,使用者) 需額外 (高度嚴重的洞察。 這些額外的見解可能包含也可能沒有一項或多項活動。

內部風險管理、自適應保護、內部風險等級。

自訂內部風險等級

自訂內部風險等級能讓你建立符合組織需求的內部風險等級。 你可以自訂內部風險等級的標準,並定義何時將內部風險等級分配給使用者的條件。

請參考以下範例,將自適應保護與資料遺失預防、資料生命週期管理及條件存取政策結合使用。

  • 資料遺失防止政策
    • 允許屬於 輕微風險等級中等風險等級 的使用者,獲得政策提示及處理敏感資料最佳實務的教育。 透過這種方法,你可以隨時間影響正向行為改變,並降低組織資料風險。
    • 封鎖風險等級較高的 使用者儲存或 分享敏感資料,以降低潛在資料事件的影響。
  • 資料生命週期管理政策
    • 保存任何由風險使用者刪除的 SharePoint、OneDrive 或 Exchange Online 內容 120 天內。 此處的風險使用者是指自適應防護(Adaptive Protection)將 風險等級設定為「升高」等級的使用者。
  • 條件存取政策
    • 要求 輕度風險等級 使用者在使用應用程式前確認使用條款。
    • 封鎖 中等風險等級 的使用者存取特定應用程式。
    • 完全封鎖高 風險等級 使用者使用 任何 應用程式。 了解更多常見的條件存取政策

內部風險等級標準與條件

您可以根據以下方面自訂內部風險等級的標準與條件:

  • 使用者產生或確認的警示:根據所選內部風險管理政策為使用者產生或確認的警示,選擇警示的嚴重程度等級。 警報的條件不是加成的。 若符合其中一項條件,則會分配該用戶內部風險等級。
  • 特定使用者活動:選擇偵測活動的條件、其嚴重程度,以及 過去活動偵測 期間每日發生次數 (可選) 。 使用者活動條件為可加性。 只有在所有條件都符合時,內部風險等級才會被分配給使用者。

過去活動偵測

此內部風險等級設定決定自適應防護檢查幾天,以偵測使用者是否符合任何內部風險等級所定義的條件。 預設設定為7天,但你可以選擇5天到30天的先前活動來套用內部風險等級條件。 此設定僅適用於基於使用者每日活動的內部風險等級,並排除基於警報的內部風險等級。

以下範例說明過去活動偵測設定與內部風險等級如何互動,以判斷使用者過去的活動是否在範圍內:

  • 高風險等級 設定:使用者至少執行三個序列,每個序列的嚴重度分數 (67至100)
  • 過去活動偵測 設定:3 天
使用者活動 內部風險等級的活動範圍
使用者每天在T-3、T-2、T-1每天有一次高嚴重序列
使用者在T-4天有1次高嚴重序列,在T-3天有2次高嚴重序列
使用者在T-3天有3次高嚴重序列

內部風險等級時間框架

這個內部風險等級設定決定了使用者被分配給內部風險等級多久,之後才會自動重置。 預設是 7 天,但你可以選擇 5 天到 30 天,然後重置用戶的內部風險等級。

用戶內部風險等級也會在以下情況下重置:

  • 使用者相關的警示會被關閉。
  • 使用者相關的案件會被解決。
  • 內部風險等級的結束日期是人工過期的。

注意事項

如果使用者目前被分配到內部風險等級,且該用戶再次符合該內部風險等級的標準,則內部風險等級的時間範圍會延長至該使用者定義的天數。

風險等級到期選項

當你啟用此選項 (預設) 啟用時,當使用者的相關警示被駁回或相關案件關閉時,使用者的自適應防護風險等級會自動失效。 如果你想在警報被駁回或案件結束後,仍維持使用者的自適應防護風險等級,請關閉該選項。

自適應保護的許可

重要事項

欲了解使用自適應保護(Adaptive Protection)與資料遺失預防、資料生命週期管理及條件存取的授權要求,請參閱 Microsoft 365、Office 365、Enterprise Mobility + Security 及 Windows 11 訂閱。

根據你如何使用內部風險管理內建的角色群組,以及用於資料遺失預防或條件存取的角色群組,你可能需要更新組織內管理員、分析師和調查人員 的權限

下表說明特定自適應保護任務所需的權限。

重要事項

Microsoft 建議您使用權限最少的角色。 以全域管理員角色最小化使用者數量,有助於提升組織的安全。 了解更多關於 Microsoft Purview 角色與權限的資訊。

工作 必修角色組
設定自適應保護並更新設定 內部風險管理 或內部 風險管理管理員
建立並管理帶有自適應保護條件的條件存取政策 以下之一:全域管理員條件存取管理員安全管理員
建立並管理使用自適應保護條件的資料遺失防護政策 以下之一: 合規管理員合規資料管理員DLP 合規管理全域管理員
查看用戶或客服人員所分配的內部風險等級詳情 內部風險管理內部風險管理分析師或內部 風險管理調查員

重要事項

這四類角色群組對應自適應防護頁面上的以下分頁: 內部風險等級使用者指定內部風險等級資料遺失防止條件存取。 如果你沒有被分配到適當的角色群組,該分頁就不會出現在 自適應防護 頁面。

了解更多關於 Microsoft Defender for Office 365 及 Microsoft Purview 合規性的角色群組

配置自適應保護

根據您組織的需求,或您目前在內部風險管理、資料遺失預防、資料生命週期管理及條件存取方面的配置,您有兩種選擇可以開始自適應保護:

  • 快速設定
  • 自訂設定

快速設定

快速設定選項是啟動自適應保護最快的方式。 有了這個選項,你不需要任何既有的內部風險管理、資料遺失預防、資料生命週期管理或條件存取政策。 你也不需要事先設定任何設定或功能。 如果您的組織目前沒有支援內部風險管理、資料遺失預防或資料生命週期管理的訂閱或授權,請在開始快速設定流程前,先註冊 Microsoft Purview 風險與合規解決方案試用 。 你也可以註冊 Microsoft Entra 的條件存取試用

要開始,請在 Microsoft Purview 入口網站首頁或資料遺失總覽頁面,從自適應保護卡中選擇開啟 自適應保護 。 您也可以透過「內部風險管理>自適應保護>儀表板>快速設定」開始快速設定流程。

注意事項

如果你已經是 Microsoft Purview 的 有權限管理員 ,你就不能開啟快速設定。

以下是快速設定流程為自適應保護設定的內容:

區域 組態
新的內部風險政策 - 政策範本: 資料外洩
- 政策名稱:內部風險管理的適應性防護政策
- 使用者與群組的政策範圍:所有使用者與群組
- 優先內容:無
- 觸發事件:可在內部風險管理設定中查看 (選取的外洩事件)
- 政策指標:您可以在內部風險管理設定中查看的辦公室指標子集 ()
- 風險分數提升器:活動量高於使用者當天的平常活動量
適應性保護內部風險等級 - 風險等級升高:使用者必須至少有三次高嚴重度的外洩序列
- 中等風險等級:使用者必須至少有兩項高嚴重行為 (排除某些類型的下載)
- 輕度風險等級:使用者必須至少有一項高嚴重度活動 (排除某些類型的下載)
如果已經設定好,內部風險設定 () - 政策指標:尚未設定的辦公室指標 (可在內部風險管理設定中查看)
- 先前設定的其他設定未更新或更改。
- 分析: (策略中觸發事件的閾值由 分析建議 決定)
如果還沒設定,內部風險設定 () - 隱私:顯示用戶名稱的匿名版本。 註: 使用者名稱在條件存取或資料遺失防護中不會被匿名化。
- 政策時間框架:違約
- 政策指標:您可以在內部風險管理設定中查看的辦公室指標子集 ()
- 風險分數提升器:全部
- 智慧偵測:警報音量 = 預設音量
- 分析:開啟
- 管理員通知:當首次警報產生時,向所有人發送通知郵件
新的條件存取政策 (以僅舉報模式建立,使用者不會被封鎖) 擁有內部風險 (預覽版的用戶可) 1-Block 存取權限

- 包含使用者:所有使用者
- 排除訪客或外部使用者:B2bDirectConnect 使用者;其他外部使用者;服務提供者
- 雲端應用程式:Office 365 應用程式
- 內部風險等級: 升高
- 區塊存取:選擇
新的資料生命週期管理政策 一個全組織性的自動套用標籤政策,監控被指定為 「升高風險等級」的使用者。 任何被風險使用者刪除的 SharePoint、OneDrive 或 Exchange Online 內容,都會被保存 120 天。 如果您尚未啟用適應性保護,啟用自動保護時,保單會自動建立並套用。 如果你已經啟用了自適應保護, 你需要明確選擇自動建立的資料生命週期管理政策
兩項新的資料遺失防護政策 端點資料片處理的自適應防護政策

- 風險等級提高 規則:封鎖
- 中等/次要風險等級 規則:審計
- 政策僅) (測試模式啟動

Teams 與 Exchange DLP 的自適應防護政策

- 風險等級提高 規則:封鎖
- 中等/次要風險等級 規則:審計
- 政策僅) (測試模式啟動

開始快速設定流程後,以下項目可能需要長達72小時才能完成:

  • 分析
  • 相關的內部風險管理、資料遺失預防、資料生命週期管理及條件存取政策
  • 適用於適用使用者活動的自適應防護內部風險等級、資料遺失預防、資料生命週期管理,以及條件存取行動。

注意事項

啟用自適應保護後,不要在設定完成前就關閉它。 在設定完成前停用自適應保護可能會導致政策錯誤。

管理員在快速設定流程完成時會收到通知電子郵件。

自訂設定

自訂設定選項可自訂內部風險管理政策、內部風險等級,以及為自適應保護設定的資料遺失防護與條件存取政策。

注意事項

在資料生命週期管理方面,如果你沒有開啟自適應保護,政策不會自動建立和套用。 如果您為您的組織啟用自適應保護,您需要 明確選擇加入以套用資料生命週期管理政策

此選項也允許您在啟用內部風險管理與資料遺失防護間的自適應防護連線前,先設定這些項目。 大多數情況下,如果您的組織已經有內部風險管理及資料遺失防護政策,建議使用此選項。

請完成以下步驟,透過自訂設定配置自適應保護。

步驟 1:制定內部風險管理政策

當自適應防護中指派的政策偵測到使用者或代理的活動,或產生符合你下一步定義的內部風險等級條件的警報時,即可為使用者或代理人員指派內部風險等級。 如果你不想使用現有的內部風險管理政策,請建立新的內部風險管理政策。 您的內部風險管理政策應包含:

  • 你想偵測的使用者活動。 此群組可包含組織中的所有使用者與群組,或僅為特定風險緩解情境或測試目的的子集。
  • 你認為有風險的活動,以及影響活動風險分數的自訂門檻。 風險行為可能包括寄信給組織外的人,或將檔案複製到USB裝置。

選擇 建立內部風險保單 以開始新的保單工作流程。 Data leaks 政策範本會在工作流程中自動選擇,但你可以選擇任何政策範本。

重要事項

根據你選擇的政策範本,你可能需要為政策設定 額外設定 ,以正確偵測潛在風險活動並建立適用的警示。

步驟二:設定內部風險等級設定

選擇「 內部風險等級 」標籤。首先選擇你想用於適應性保護的內部風險管理政策。 這個政策可以是你在第一步建立的新政策,也可以是你已經設定好的現有政策。

接著,接受適用的內建內部風險等級條件,或自行建立條件。 根據您選擇的保單類型,內部風險等級條件反映您設定的指標與活動相關的適用條件。

例如,若您根據 資料洩漏 政策範本選擇政策,內建的內部風險等級條件選擇會適用於該政策中可用的指標與活動。 如果你根據 安全政策違規 政策範本選擇政策,內建的內部風險等級條件會自動涵蓋該政策中可用的指標與活動。

為您的保單客製化內部風險等級

  1. 透過在您的 Microsoft 365 組織中使用管理員帳號的憑證登入 Microsoft Purview 入口網站

  2. 前往 Insider Risk Management 解決方案。

  3. 在左側導覽中選擇 「自適應保護 」,然後選擇 「內部風險等級」。

  4. 內部人員風險等級頁面,選擇編輯,選擇你想自訂的內部人員風險等級 (「高」、「中度」或「輕微) 」。

  5. 自訂內部風險等級 面板中,根據以下區段選擇內部 風險等級 中的選項:

    • 使用者已產生或確認警示
    • 特定使用者活動

  6. 如果您選擇「已 產生或確認的使用者警示 」選項,請選擇應使用此內部風險等級的使用者所產生或確認的警示的嚴重程度等級。 你可以保留 產生警報的嚴重度 ,確認警報的嚴重 ,或者如果你只想使用其中一個條件,可以移除其中一個。 如果你需要新增其中一個條件,請選擇 新增條件,然後選擇該條件。 針對每個病症,選擇應適用的嚴重程度 () 。 若符合 任一 條件,內部風險等級將被分配給使用者。

  7. 如果你選擇 「特定使用者活動 」選項,請選擇要偵測的活動、其嚴重程度,以及在過去活動偵測視窗內的每日事件次數。 您必須根據此內部風險等級,設定偵測期間的 活動活動嚴重度及活動 發生 次數。

    活動條件中 ,您可以選擇的選項會自動更新您定義的活動類型,並設定在相關政策中設定的指標。 如有需要,請選擇「 指派此內部風險等級」給任何確認未來警報的使用者,即使上述條件未達 標。 若所有條件都符合,內部風險等級將被分配給使用者。

    對於 活動嚴重度 條件,請指定每日活動洞察中活動的嚴重程度等級。 選項分為 ,並依風險分數範圍而定。

    針對偵測 視窗期間的活動發生 條件,指定在指定的 過去活動偵測 期間內必須偵測到的活動次數。 這個數字與活動可能發生的事件數量無關。 例如,如果政策偵測到使用者一天內從 SharePoint 下載了 20 個檔案,這個數字就是每天一個活動洞察,包含 20 個事件。

  8. 選擇 確認 以套用自訂內部風險等級條件。

如果使用者同時在多個政策的範圍內,內部風險等級如何被分配

若使用者同時涵蓋多個政策且收到不同嚴重程度等級的警示,則該使用者會被指派最高的嚴重程度等級。 舉例來說,假設有一項政策,當使用者收到高嚴重性警示時,會設定一個 「升高風險等級 」。 若使用者從政策 1 收到低嚴重性警示、從政策 2 發出中等嚴重警示,以及從政策 3 發出高嚴重性警示,使用者會被分配一個 「升高風險等級 」——即收到的警報嚴重度最高等級。

必須在所選保單中存在內部風險等級條件,才能被偵測。 例如,如果你選擇「 複製到 USB 」活動來指派中 等風險等級,但該活動只在三個選擇的政策中選擇其中之一,則只有該一項政策中的活動會為該活動分配中 等風險等級

步驟 3:建立或編輯資料遺失防護政策

接著,建立新的資料遺失防護政策,或編輯現有政策,限制符合你內部風險等級的使用者在自適應保護中採取行動。 請依照以下指引設定資料遺失政策:

  • 您必須在資料遺失防護政策中包含 使用者的內部風險等級,以符合自適應保護的 條件。 此資料遺失防範政策可依需求包含其他條件。
  • 雖然你可以在資料遺失防護政策中包含其他地點,但 Adaptive Protection 目前僅支援 Exchange、Microsoft Teams 和裝置。

選擇 建立政策 以啟動資料遺失防護政策的工作流程,並建立新的資料遺失防護政策。 如果你已有想要設定的自適應防護資料遺失防護政策,請在 Microsoft Purview 入口網站的「 資料遺失防止>政策 」中選擇你想更新的資料遺失防護政策以啟用自適應保護。 關於如何設定新的資料遺失防護政策或更新現有的資料遺失防護政策以符合自適應保護的指引,請參閱 「了解資料遺失預防中的自適應防護:手動設定」。

提示

我們建議您先用政策提示) 測試資料遺失防護政策 (,這樣您才能檢視資料遺失警報,確認政策是否如預期運作,然後再啟用自適應保護。

步驟 4:建立或編輯條件存取政策

接著,建立新的條件存取政策,或編輯現有政策,限制符合你內部風險等級的使用者行動。 請使用以下條件存取政策設定指引:

  • 在根據條件訊號控制存取的條件存取頁面,將 內部人員風險 條件設為 「是」,然後選擇內部風險等級 (「升高」、「 中度」或 「輕微 」) 。 這是用戶必須具備的內部風險等級,才能執行該政策。

選擇 建立政策 以啟動條件存取政策工作流程並建立新的條件存取政策。 如果你已有想要設定的條件存取政策以啟用自適應保護,請前往 Microsoft Entra 系統管理中心「保護>條件存取」,選擇你想更新的條件存取政策以啟用自適應保護。 關於如何配置新的條件存取政策或更新現有的條件存取政策以進行自適應保護,請參閱 《通用條件存取政策:內部風險基礎政策》。

步驟五:開啟自適應防護

完成上述所有步驟後,您即可啟用自適應保護。 開啟適應性保護時:

  • 內部風險管理政策會開始尋找符合你內部風險等級條件的使用者活動。 若被偵測到,內部風險等級會分配給使用者。
  • 被分配為內部風險等級的使用者會出現在自適應防護的「 使用者被分配內部風險等級 」標籤中。
  • 資料遺失防護政策對任何被指定為資料遺失防護政策中內部風險等級的使用者,套用保護行動。 資料遺失防護政策會被加入自適應保護的資料遺失防護標籤籤中。 你可以從儀表板查看資料遺失防護政策的詳細資料並編輯政策條件。
  • 資料生命週期管理政策會自動建立,對任何被指定為 「提升風險等級」的使用者執行保護行動。 在自 適應保護 標籤上,綠色背景顯示以下訊息,提醒使用者正在執行主動資料保存:「您的組織也正動態受到可能刪除重要資料的使用者保護。」訊息中也提供資料生命週期管理設定的連結,若需要,您可以在那裡關閉主動資料保存功能。
  • 條件存取政策對任何被指定為條件存取政策中內部風險等級的使用者,執行保護行動。 條件存取政策會被加入自適應保護的條件存取政策標籤中。 你可以從儀表板查看條件存取政策的詳細資訊並編輯政策條件。

要啟用自適應保護,請選擇自適應保護設定標籤,然後將自適應保護開啟。 您可能需要長達36小時,才能看到自適應防護內部風險等級、資料遺失防護、資料生命週期管理及條件存取行動應用於適用的使用者活動。

請觀看以下 Microsoft Mechanics 頻道的影片, 了解自適應保護如何根據計算出的資料安全內部風險等級,自動調整資料保護的強度

管理自適應保護

啟用自適應保護並設定內部風險管理、資料遺失防止及條件存取政策後,您可以取得政策指標、目前包含的使用者,以及目前範圍內的內部風險等級資訊。

注意事項

資料生命週期管理指標目前不會出現在儀表板上。 然而,若開啟主動資料保存功能,您會在 自適應保護 標籤看到以下訊息:「您的組織也正動態受到可能刪除重要資料的使用者保護。」

儀表板

完成快速自訂設定流程後,Adaptive Protection儀表板分頁會顯示用戶內部風險等級、條件存取政策及資料遺失防護政策的摘要資訊小工具。

  • 用戶被分配的內部風險等級:顯示各內部風險等級的用戶數量 (高、中度輕微) 。
  • 使用內部風險等級的政策:顯示政策 (未啟動完成) 狀態、 條件存取資料遺失防護) (政策類型,以及每種政策類型所設定的政策數量。 如果某個政策類型沒有設定,請選擇 快速設定 來設定該政策。

內部風險管理自適應防護儀表板。

使用者被分配內部風險等級

使用者分配的內部風險等級 」標籤會顯示在自適應防護中被分配的內部人員風險等級。 您可以查看每位使用者的以下資訊:

  • 使用者:列出使用者名稱。 在資料遺失防護政策方面,如果在內部風險管理設定中選擇 「顯示匿名版本的使用者名稱」 選項,你會看到匿名化的使用者名稱。 在條件存取政策中,即使選擇 了顯示匿名化版本的使用者名稱 設定,使用者名稱也不會被匿名化。

    重要事項

    為了維持參考完整性,啟用) 的用戶名匿名化 (不會被保留給有警報或活動出現在內部風險管理之外的使用者。 實際使用者名稱會出現在相關的資料遺失警示和活動總管中。

  • 內部風險等級:目前分配給使用者的內部風險等級。

  • 指派給使用者:自設定內部風險等級以來,經過的天數或月份數。

  • 內部風險等級重置:使用者內部風險等級自動重置的天數。

    若要手動重設使用者的內部風險等級,請選擇該使用者,然後選擇 「過期」。 此用戶不再被指定為內部風險等級。 該使用者現有的警示或案件不會被移除。 若該使用者被包含在所選的內部風險管理政策中,當偵測到觸發事件時,將再次指派內部風險等級。

  • 活躍警報:指用戶目前收到的內部風險管理警報數量。

  • 違規確認案例數:用戶確認違規案件數。

  • 案件:案件名稱。

你可以依 據內部風險等級篩選用戶。

內部風險管理自適應保護使用者。

若要查看特定使用者的詳細內部風險與自適應防護資訊,請選擇該使用者以開啟使用者詳細資料窗格。 詳細面板包含三個分頁: 使用者設定檔使用者活動自適應保護摘要。 有關 使用者個人檔案使用者活動 分頁的資訊,請參見 「查看使用者詳情」。

自適應保護摘要標籤將資訊彙整為四個區塊:

  • 自適應保護:顯示目前的風險 等級已啟用的風險等級,以及 開啟的風險等級 ,為使用者開啟風險等級。
  • 動態 ) 範圍內的資料遺失防護政策 (:顯示目前使用者範圍內的所有資料遺失防護政策,以及政策的開始與結束日期。 這些資訊基於使用者的內部風險等級,以及內部風險等級的資料遺失政策設定。 例如,若使用者的活動被定義為內部風險管理政策的 「升高風險等級 」,且設定了兩個資料遺失防護政策為 「升高風險等級 」條件,則此處會顯示這兩個資料遺失防護政策給使用者。
  • 動態 ) 範圍內的條件存取政策 (顯示目前使用者範圍內的所有條件存取政策,以及政策的開始與結束日期。 這些資訊是根據使用者的內部風險等級,以及條件存取政策設定的內部風險等級而定。 例如,若使用者的活動被定義為 「提升風險等級 」,且條件存取政策設定為 「升高風險等級 」條件,則該使用者會在此處顯示條件存取政策。
  • 自適應保護的內部風險政策:顯示使用者目前在權限範圍內的任何內部風險管理政策。

內部風險管理自適應保護用戶資料。

條件式存取原則

條件存取政策頁面顯示所有使用內部風險條件的條件存取政策。 您可以參考每份保單的以下資訊:

  • 政策名稱:條件存取政策的名稱。
  • 政策狀態:政策的現行狀態。 值分為 啟用非啟用
  • 內部風險等級:條件存取政策中透過內部 風險 條件所包含的內部風險等級。 選項有 高峰中度輕微
  • 政策狀態:條件存取政策的現行狀態。 選項是 開啟測試並附通知
  • 建立日期:您建立條件存取政策的日期。
  • 最後修改日期:您最後一次編輯條件政策的日期。

內部風險管理、適應性保護、條件存取政策。

資料外洩防護原則

資料遺失防護政策頁面顯示所有使用使用者內部風險等級作為自適應保護條件的資料遺失防護政策。 您可以參考每份保單的以下資訊:

  • 政策名稱:資料遺失防止政策的名稱。
  • 政策狀態:政策的現行狀態。 值分為 啟用非啟用
  • 政策位置:資料遺失防止政策中包含的 位置 。 目前,自適應保護支援 Exchange、Teams 與裝置。
  • 內部風險等級:利用 內部風險等級作為適應性防護 ,包含在資料遺失防護政策中。 選項有 高峰中度輕微
  • 政策狀態:資料遺失防止政策的當前狀態。 選項是 開啟測試並附通知
  • 建立日期:您建立資料遺失防護政策的日期。
  • 最後修改日期:您最後一次編輯資料遺失防護政策的日期。

內部風險管理自適應保護資料遺失防止政策。

調整你的內部風險等級設定

在審查有內部風險等級的用戶後,你可能會發現被賦予內部風險等級的用戶數量過多或太少。 請使用以下兩種方法來調整您的政策設定並調整分配給內部風險等級的使用者數量:

  • 修改內部風險等級設定。 調整你的門檻,為使用者分配內部風險等級:
    • 調整必要行為的嚴重程度,以確定內部風險等級。 例如,如果你看到內部風險使用者過少,就減少活動或警示嚴重度。
    • 若內部風險等級是基於特定使用者活動,請在偵測期間增加或減少活動發生次數。 例如,如果你看到內部風險等級的用戶過少,就減少活動次數。
    • 改變內部風險等級的標準。 例如,只有在警報確認時才設定內部風險等級,以減少用戶數量,尤其是當你看到太多內部風險等級的使用者時。
  • 修改政策門檻。 由於政策偵測會指定內部風險等級,請修改您的政策,修改設定內部風險等級的要求。 透過增加或降低導致高、中、低嚴重度活動與警示的政策門檻來修改政策。

停用自適應保護

在某些情況下,你可能需要暫時關閉自適應保護。 要停用自適應保護,請選擇自適應保護設定標籤並關閉自適應保護

如果你在自適應保護開啟並啟用後關閉它,系統就會停止為使用者分配內部風險等級,並停止與資料遺失預防、資料生命週期管理及條件存取共享。 所有現有的內部風險等級都會被重置。 關閉自適應保護後,可能需要長達六小時才能停止為使用者活動設定內部風險等級並全部重置。 內部風險管理、資料遺失預防、資料生命週期管理及條件存取政策不會自動刪除。

內部風險管理適應性保護支援。

注意事項

你可以選擇退出資料生命週期管理保護,而不必關閉內部風險管理自適應保護,方法是在資料生命週期管理設定中關閉自 適應保護 。 如果你關閉這個設定,資料生命週期管理政策就會被刪除。 除非你重新開啟,否則設定不會再次啟用。 了解更多關於 資料生命週期管理中的自適應保護 設定

  • Last updated on