開始使用數據外泄防護內部部署存放庫

  • 發行項

注意事項

現在處於預覽狀態,有新版本的資訊保護掃描器。 如需詳細資訊,請參閱從 Azure 資訊保護 客戶端升級 Microsoft Purview 資訊保護 掃描器

本文將逐步引導您完成在 DLP 原則中使用 Microsoft Purview 資料外洩防護 內部部署存放庫位置的必要條件和設定。

提示

如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

開始之前

SKU/訂閱授權

開始使用 DLP 原則之前,請確認您的 Microsoft 365 訂閱 和任何附加元件。

如需授權的相關信息,請參閱 Microsoft 365、Office 365、Enterprise Mobility + Security 和 Windows 11 訂閱企業版

重要事項

所有參與掃描位置的使用者,無論是藉由新增檔案或取用檔案,都需要擁有授權,而不只是掃描器使用者。

權限

您可以在 活動總管中檢視來自 DLP 的數據。 有四個角色可以將權限授與活動總管,您用來存取資料的帳戶必須是其中任一的成員。

  • 全域系統管理員
  • 合規性系統管理員
  • 安全性系統管理員
  • 合規性資料管理員

角色和角色群組

中有角色和角色群組可供您進行測試,以微調訪問控制。

以下是適用角色的清單。 若要深入瞭解,請參閱 Microsoft Purview 合規性入口網站 中的許可權

  • 資訊保護系統管理員
  • 資訊保護分析員
  • 資訊保護調查人員
  • 資訊保護讀者

以下是適用的角色群組清單。 若要深入瞭解,請參閱 Microsoft Purview 合規性入口網站 中的許可權

  • 資訊保護
  • 資訊保護系統管理員
  • 資訊保護分析員
  • 資訊保護調查人員
  • 資訊保護讀者

DLP 內部部署存放庫必要條件

  • Microsoft Purview 資訊保護掃描儀會實作 DLP 原則比對和原則強制執行。 掃描器會安裝為 AIP 用戶端的一部分,因此您的安裝必須符合 AIP、AIP 用戶端和 AIP 統一標籤掃描器的所有必要條件。
  • 部署 AIP 用戶端和掃描器。 如需詳細資訊,請 參閱安裝 AIP 統一標籤客戶 端和設定 和安裝資訊保護掃描器
  • 即使您的所有偵測規則都只以敏感資訊類型為基礎,租用戶中仍至少必須發佈一個標籤和原則。

部署 DLP 內部部署掃描器

針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站

  1. 登入 Microsoft Purview 入口網站

  2. 請遵循 安裝 AIP 統一標籤用戶端 中的步驟。

  3. 請遵循 設定和安裝資訊保護掃描器 中的程式,完成掃描器安裝。

    1. 您必須建立內容掃描作業,並指定裝載要由 DLP 引擎評估之檔案的存放庫。
    2. 在建立的內容掃描作業中啟用 DLP 規則,並將 [ 強制 執行] 選項設定為 [關閉 (,除非您想要直接進入 DLP 強制執行階段) 。

  4. 確認您的內容掃描作業已指派給正確的叢集。 如果您尚未建立內容掃描作業,請建立新的工作,並將它指派給包含掃描器節點的叢集。

  5. 聯機到 Microsoft Purview 入口網站,並將您的存放庫新增至將執行掃描的內容掃描作業。

  6. 執行下列其中一項操作以執行掃描:

    1. 設定掃描器排程
    2. 在入口網站中使用手動 [立即掃描] 選項
    3. 執行 Start-AIPScan PowerShell Cmdlet

    重要事項

    請記住,除非檔案已變更或您起始完整重新掃描,否則掃描器預設會執行存放庫的差異掃描,並略過在先前掃描週期中掃描的檔案。 您可以使用 UI 中的 [重新掃描所有檔案 ] 選項或執行 Start-AIPScan-Reset 來起始完整重新掃描。

  7. 開啟 Microsoft Purview 入口網站> 數據外洩防護 > 原則。

  8. 選擇 [+ 建立原則 ] 並建立測試 DLP 原則。 如果您需要建立原則的協助,請參閱 建立和部署數據外洩防護 原則。 請務必 在模擬模式中 執行原則,直到您熟悉這項功能為止。 針對您的原則使用這些參數:

    1. 視需要將 DLP 內部部署存放庫規則的範圍設定為特定位置。 如果您將 位置 範圍設定為 [全部],則掃描的所有檔案都會受到 DLP 規則比對和強制執行的約束。
    2. 指定位置時,您可以使用排除或包含清單。 您可以將規則定義為只與包含清單中所列的其中一個模式相符的路徑相關,或是所有檔案,但符合包含清單中所列模式的檔案除外。 不支援任何本機路徑。 以下是一些有效路徑的範例:
    • \\server\share
    • \\server\share\folder1\subfolderabc
    • *\folder1
    • *secret*.docx
    • *秘密*。*
    • https:// sp2010.local/sites/HR
    • https://*/HR
    1. 以下是一些不被接受的值範例:
    • *
    • *\a
    • Aaa
    • c:\
    • C:\test

重要事項

排除清單的優先順序高於包含清單

檢視 DLP 警示

  1. 在 Microsoft Purview 合規性入口網站中開啟 [資料外洩防護] 頁面,然後選取 [警示]

  2. 請參閱開始使用數據外洩防護警示儀錶板使用 Microsoft Defender 全面偵測回應 調查數據遺失事件中的程式,以檢視內部部署 DLP 原則的警示。

在活動總管和稽核記錄中檢視 DLP 數據

注意事項

資訊保護 掃描器需要啟用稽核。 Microsoft 365 預設會啟用稽核。

  1. 在 Microsoft Purview 合規性入口網站中開啟您網域的 [資料分類] 頁面,然後選取 [活動總管]。

  2. 請參閱 開始使用活動總管 中的程序,以存取及篩選您內部部署掃描器位置的所有資料。

  3. 合規性中心開啟稽核記錄。 DLP 規則相符專案可在稽核記錄 UI 中取得,或由 PowerShell 中的 搜尋-UnifiedAuditLog 存取。

後續步驟

既然您已部署 DLP 內部部署位置的測試原則,而且可以在 [活動總管] 中檢視活動數據,您就可以繼續進行下一個步驟,以建立可保護敏感性專案的 DLP 原則。

另請參閱