開始從裝置收集符合資料外泄防護原則的檔案, (預覽)

  • 發行項

本文將逐步引導您完成裝置上檔案活動辨識項收集的必要條件和設定步驟,並介紹如何檢視複製並儲存的專案。

提示

如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理資料安全性與合規性需求。 立即從Microsoft Purview 合規性入口網站試用中樞開始。 瞭解 有關註冊和試用版條款的詳細資料

以下是針對裝置上的檔案活動設定和使用辨識項集合的高階步驟。

  1. 將裝置上線
  2. 設定 Azure 儲存體
  3. 設定 Azure Blob 儲存體的許可權
  4. 端點 DLP 設定組態
  5. 原則設定
  6. 檢視已儲存的檔案

開始之前

開始這些程式之前,您應該先 檢閱瞭解裝置上檔案活動的辨識項集合 (預覽)

授權和訂用帳戶

如需支援 DLP 之訂用帳戶的詳細資訊,請參閱資訊保護 的授權需求。 對於端點 DLP 所需的授權,您不需要任何其他授權。

權限

需要標準Microsoft Purview 資料外洩防護 (DLP) 許可權。 如需詳細資訊,請參閱<權限>。

將裝置上線

您必須先將Windows 10/11 裝置上線至 Purview,才能使用複製相符的專案,請參閱將Windows 10和Windows 11裝置上線至 Microsoft 365 概觀

設定 Azure 儲存體

重要事項

容器會繼承其所在儲存體帳戶的許可權。 您無法為每個容器設定不同的許可權。 如果您需要為不同的區域設定不同的許可權,您必須建立多個儲存體帳戶,而不是多個容器。

在設定 Azure 儲存體並將功能範圍設定給使用者之前,您應該有這些問題的解答。

您需要沿著角色或部門行區隔專案和存取嗎?

例如,如果您的組織想要有一組系統管理員或 DLP 事件調查員,以檢視您資深領導階層的已儲存專案,以及另一組系統管理員或 DLP 事件調查員從人力資源儲存的專案,您應該為資深領導建立一個 Azure 儲存體帳戶,並為人力資源建立另一個 Azure 儲存體帳戶。 這可確保 Azure 儲存體系統管理員或 DLP 事件調查人員只能查看符合其個別群組中 DLP 原則的專案。

您要使用容器來組織儲存的專案嗎?

您可以在相同的儲存體帳戶內建立多個不同的辨識項容器,以排序儲存的專案。 例如,一個用於從人力資源部門儲存的專案,另一個用於 IT 部門。

您有哪些策略可防止儲存的專案刪除或修改?

在 Azure 儲存體中,資料保護是指保護儲存體帳戶及其內資料免于遭到刪除或修改,或在刪除或修改資料之後還原資料的策略。 Azure 儲存體也提供災害復原的選項,包括多層備援,以保護您的資料免于因硬體問題或天然災害而中斷服務,以及在主要區域中的資料中心變成無法使用時,由客戶管理的容錯移轉。 如需詳細資訊,請 參閱資料保護概觀

您也可以為 Blob 資料設定不變性原則,以防止遭到覆寫或刪除的已儲存專案。 如需詳細資訊,請參閱 使用不可變儲存體儲存業務關鍵 Blob 資料

建立 Azure 儲存體帳戶

設定 Azure 儲存體帳戶、容器和 Blob 的程式記載于 Azure 檔集中。 以下是相關文章的連結,您可以參考以協助您開始使用:

  1. Azure Blob 儲存體簡介
  2. 建立儲存體帳戶
  3. 使用 Azure 入口網站 管理 Blob 容器
  4. 使用 PowerShell 管理區塊 Blob

請務必儲存 Azure Blob 容器的名稱和 URL。 若要檢視 URL,請開啟 Azure 儲存體入口網站 > **主 >儲存體帳戶>容器>屬性

設定 Azure Blob 儲存體的許可權

您必須在 Blob 上設定兩組許可權,一組供系統管理員和調查人員使用,以便他們檢視和管理辨識項,另一組則適用于需要將專案上傳至 Azure 的使用者。 您應該 在 Microsoft Purview 合規性中建立自訂角色群組 ,以強制執行最低許可權,並將帳戶指派給他們。

適用于系統管理員和調查人員的 Azure Blob 許可權

一旦您建立 DLP 事件調查人員將使用的角色群組,它就必須在 Azure Blob 上擁有這些許可權。 如需設定 Blob 存取的詳細資訊,請參閱如何在Azure 入口網站中授權存取 Blob 資料指派共用層級許可權

調查動作

為調查人員設定這些動作的這些許可權:

物件 權限
Microsoft.Storage/storageAccounts/blobServices 讀取:列出 Blob 服務
Microsoft.Storage/storageAcccounts/blobServices 讀取:取得 Blob 服務屬性或統計資料
Microsoft.Storage/storageAccounts/blobServices/containers 讀取:取得 Blob 容器
Microsoft.Storage/storageAccounts/blobServices/containers 讀取:Blob 容器清單
Microsoft.Storage/storageAccounts/blobServices/containers/blobs 讀取:讀取 Blob
調查資料動作
物件 權限
Microsoft.Storage/storageAccounts/blobServices/containers/blobs 讀取:讀取 Blob

調查角色群組的 JSON 看起來應該像這樣:

"permissions": [
     {
         "actions": [
             "Microsoft.Storage/storageAccounts/blobServices/containers/read",
             "Microsoft.Storage/storageAccounts/blobServices/read"
       ],
       "notActions": [],
       "dataActions": [
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"
       ],
       "notDataActions": []
     }
 ]

適用于使用者的 Azure Blob 許可權

將這些許可權指派給使用者角色的 Azure Blob:

使用者動作
物件 權限
Microsoft.Storage/storageAccounts/blobServices 讀取:列出 Blob 服務
Microsoft.Storage/storageAccounts/blobServices/containers 讀取:取得 Blob 容器
Microsoft.Storage/storageAccounts/blobServices/containers 寫入:放置 Blob 容器
使用者資料動作
物件 權限
Microsoft.Storage/storageAccounts/blobServices/containers/blobs 寫入:寫入 Blob
Microsoft.Storage/storageAccounts/blobServices/containers/blobs 其他:新增 Blob 內容

使用者角色群組的 JSON 看起來應該像這樣:

"permissions": [
  {
     "actions": [
       "Microsoft.Storage/storageAccounts/blobServices/containers/read",
       "Microsoft.Storage/storageAccounts/blobServices/containers/write",
       "Microsoft.Storage/storageAccounts/blobServices/read"
     ],
     "notActions": [],
     "dataActions": [
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read",
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action",
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write"
     ],
     "notDataActions": []
    }
 ]

端點 DLP 設定組態

  1. 登入Microsoft Purview 合規性入口網站

  2. 在左Microsoft Purview 合規性入口網站 > 導 > 覽[解決方案>資料外泄防護>端點 DLP 設定> ][為裝置上的檔案活動設定辨識項集合]

  3. 將切換設定為 [開啟]

  4. 設定如果裝置無法存取 Azure 儲存體帳戶,您要在裝置上快取專案的時間長度。 您可以選擇 73060 天。

  5. 取 [+ 新增儲存體] ,並提供 Azure 儲存體帳戶的 [名稱和 URL]。

原則設定

如往常般建立 DLP 原則。 如需原則設定範例,請參閱 建立和部署資料外泄防護 原則。

使用下列設定來設定原則:

  • 請確定 [裝置 ] 是唯一選取的位置。
  • [附隨報告] 中,將 [當 規則相符時傳送警示給系統管理員 ] 切換為 [ 開啟]
  • [附隨報告] 中,選取 [收集原始檔案] 作為端點上所有所選檔案活動的辨識項。
  • 選取您想要的儲存體帳戶。
  • 選取活動 (複製到抽取式 USB 裝置複製到網路共用使用不允許的藍牙應用程式列印、複製或移動、使用 RDP 複製或移動) 您想要將相符的專案複製到 Azure 儲存體。

檢視已儲存的檔案

  1. 登入Microsoft Purview 合規性入口網站

  2. 在左Microsoft Purview 合規性入口網站 > 導覽 >[資料分類>活動總管]

  3. 選取由您要監視的活動所產生的 DLP 規則比 對事件。

  4. 在飛出視窗窗格中,選取 [辨識項 檔案] 底下的檔案名連結。 請記下檔案類型。

  5. 在此預覽期間,連結會傳回此錯誤:

    1. This XML file does not appear to have any style information associated with it. The document tree is shown below

  6. 在此預覽期間,您必須從瀏覽器網址列中的 URL 複製完整的雜湊值。

瀏覽器網址列的螢幕擷取畫面,其中 URL 的雜湊部分以紅色方塊標示。

  1. 登入 Microsoft Azure 入口 網站。

  2. 在 Azure 入口網站 >Home>Storage 帳戶>< 容器 >>儲存體瀏覽器>< blobname >中。

  3. 開啟 Blob,並尋找您從上述步驟 6 複製的雜湊值。

  4. 下載檔案,並使用適用于檔案類型的適當應用程式加以開啟。