教學課程：使用系統管理隔離保護檔案

檔案原則是尋找資訊保護原則威脅的絕佳工具。 例如，建立檔案原則，以尋找使用者在您雲端中儲存敏感性資訊、信用卡號碼和協力廠商 ICAP 檔案的位置。

在本教學課程中，您將瞭解如何使用 適用於雲端的 Microsoft Defender Apps 來偵測儲存在您雲端中不受歡迎的檔案，並立即採取動作來停止其追蹤中的檔案，並使用系統管理員隔離來鎖定造成威脅的檔案，以保護雲端中的檔案、補救問題，以及防止未來發生外洩。

• 瞭解隔離的運作方式
• 設定系統管理隔離

重要

從 2024 年 9 月 1 日起，我們將從 適用於雲端的 Microsoft Defender Apps 取代 [檔案] 頁面。 此時，請建立和修改 資訊保護 原則，並從 [雲端應用程式>>原則原則管理] 頁面尋找惡意代碼檔案。 如需詳細資訊，請參閱 適用於雲端的 Microsoft Defender Apps 中的檔案原則。

了解隔離的運作方式

注意

• 如需支援系統管理隔離的應用程式清單，請參閱治理動作清單。
• 適用於雲端的 Defender 應用程式標籤的檔案無法隔離。
• 適用於雲端的 Defender 應用程式系統管理員隔離動作限制為每天 100 個動作。
• 直接重新命名或作為網域重新命名一部分的 Sharepoint 網站無法作為系統管理員隔離的資料夾位置。

1. 當檔案符合原則時，會為該檔案提供 [系統管理隔離] 選項。

2. 執行下列其中一個動作來隔離檔案：

   • 手動套用系統管理隔離動作：

     

   • 將它設定為原則中的自動化隔離動作：

     

3. 套用 [系統管理隔離] 時，會在幕後發生下列情況：

   1. 原始檔案會移至您設定的系統管理隔離資料夾。

   2. 原始檔案會遭到刪除。

   3. 標記檔案會上傳到原始檔案位置。

      

   4. 使用者只能存取標記檔案。 他們可以在檔案中讀取 IT 部門所提供的自訂指引，以及讓 IT 部門釋放檔案的相互關聯識別碼。

4. 當您收到已隔離檔案的警示時，請移至 [原則 -> 原則管理]。 然後選取 [資訊保護] 索引標籤。在具有檔案原則的數據列中，選擇行尾的三個點，然後選取 [檢視所有相符專案]。 這會顯示相符項目的報告，您可以在其中查看相符和隔離的檔案：

   

5. 隔離檔案之後，請使用下列程序來修復威脅情況：

   1. 檢查 SharePoint Online 上隔離資料夾中的檔案。
   2. 您也可以檢視稽核記錄檔，以深入探討檔案內容。
   3. 如果您發現檔案是針對公司原則，請執行組織的事件回應 （IR） 程式。
   4. 如果您發現檔案無害，則可以還原隔離的檔案。 釋放原始檔案 (也就是複製回原始位置) 時，標記會遭到刪除，且使用者可以存取檔案。

   

6. 驗證原則順利執行。 然後，您可以使用原則中的自動化治理動作以避免未來發生外洩情形，並在符合原則時自動套用系統管理隔離。

注意

當您還原檔案時：

• 不會還原原始共用，而是會套用預設資料夾繼承。
• 還原的檔案只會包含最新版本。
• 隔離資料夾網站存取管理是客戶的責任。

設定系統管理隔離

1. 設定檔案原則以偵測外洩。 這些類型的原則範例包括：

   • 僅限元數據原則，例如 SharePoint Online 中的敏感度標籤
   • 原生 DLP 原則，例如搜尋信用卡號碼的原則
   • ICAP 第三方原則，例如尋找 Vontu 的原則

2. 設定隔離位置：

   1. 針對 Microsoft 365 SharePoint 或 商務用 OneDrive，在設定檔案之前，您無法將檔案放在系統管理隔離區中：

      若要設定系統管理員隔離設定，請在 Microsoft Defender 入口網站中，選取 [ 設定]。 然後選擇 [ 雲端應用程式]。 在 [資訊保護] 下，選擇 [系統管理隔離]。 提供隔離資料夾位置的網站，以及用戶在隔離檔案時將會收到的使用者通知。

      注意

      適用於雲端的 Defender 應用程式會在選取的網站上建立隔離資料夾。

   2. 針對 Box，您無法自訂隔離資料夾位置和使用者訊息。 資料夾位置是將 Box 連線到 適用於雲端的 Defender Apps 且使用者訊息為：此檔案已隔離至系統管理員的磁碟驅動器，因為它可能會違反公司的安全性與合規性政策。 如需說明，請連絡您的 IT 系統管理員。

下一步

保護貴組織的最佳做法

如果您遇到任何問題，我們會在這裡提供説明。 若要取得產品問題的協助或支援，請 開啟支援票證。