開始使用過度共用快顯視窗

當您設定適當的 Microsoft Purview 資料外洩防護 (DLP) 原則時，DLP 會先檢查電子郵件訊息，再傳送電子郵件訊息以取得任何標記或敏感性資訊，並套用 DLP 原則中定義的動作。

過度共享彈出視窗是 E5 功能。

重要事項

這是具有假設值的假設案例。 僅供說明之用。 您應該替換自己的敏感性資訊類型、敏感度標籤、通訊群組和使用者。

重要事項

若要識別支援這項功能的最小 Outlook 版本，請使用 Outlook 的功能數據表，以及 防止過度共用為 DLP 原則提示的數據列。

提示

如果您不是 E5 客戶，請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。

開始之前

SKU/訂閱授權

開始使用 DLP 原則之前，請確認您的 Microsoft 365 訂閱 和任何附加元件。

如需授權的相關信息，請參閱 Microsoft 365、Office 365、Enterprise Mobility + Security 和 Windows 11 訂閱企業版。

支援 AIP P2 授權

權限

您用來建立和部署原則的帳戶必須是其中一個角色群組的成員

• 合規性系統管理員
• 合規性資料管理員
• 資訊保護
• 資訊保護系統管理員
• 安全性系統管理員

重要事項

開始之前，請務必先閱讀管理單位，以瞭解不受限制的系統管理員與受管理單位限制的系統管理員之間的差異。

細微的角色和角色群組

您可以使用角色和角色群組來微調訪問控制。

以下是適用角色的清單。 若要深入瞭解，請參閱 Microsoft Purview 合規性入口網站 中的許可權。

• DLP 合規性管理
• 資訊保護系統管理員
• 資訊保護分析員
• 資訊保護調查人員
• 資訊保護讀者

以下是適用的角色群組清單。 若要深入瞭解，請參閱深入瞭解，請參閱 Microsoft Purview 合規性入口網站 中的許可權。

• 資訊保護
• 資訊保護系統管理員
• 資訊保護分析員
• 資訊保護調查人員
• 資訊保護讀者

必要條件和假設

在 Microsoft 365 Outlook 過度共享的彈出視窗會在訊息傳送之前顯示彈出視窗。 在建立 Exchange 位置的 DLP 規則時，選取 [在原則 提示中傳送之前 ，先顯示原則提示作為使用者的對話框]。 此案例使用 高度機密 敏感度標籤，因此您必須建立併發佈敏感度標籤。 若要深入了解，請參閱：

• 了解敏感度標籤
• 開始使用敏感度標籤
• 建立及設定敏感度標籤及其原則

此程式會在 Contoso.com 使用假設的公司網域。

原則意圖和對應

我們需要封鎖套用「高度機密」敏感度標籤之所有收件者的電子郵件，除非收件者網域已 contoso.com。 我們想要在傳送時以快顯對話通知使用者，但不允許任何使用者覆寫區塊。

陳述式	已回答設定問題與設定對應
「我們需要封鎖所有收件者的電子郵件...」	- 監視位置：Exchange - 系統管理範圍：完整目錄 - 動作：限制存取或加密 Microsoft 365 位置 > 中的內容封鎖使用者接收電子郵件或存取共用 SharePoint、OneDrive 和 Teams 檔案 > 封鎖所有人
"...已套用「高度機密」敏感度標籤...」	- 要監視的內容：針對相符專案使用自定義範 - 本條件：編輯它以新增高度機密敏感度標籤
"...除了 if...」	條件群組組態 - 使用布爾值 AND 建立聯結至第一個條件的巢狀布爾值 NOT 條件群組
"...收件者網域已 contoso.com」。	比對的條件：收件者網域為
"...通知...」	使用者通知：已啟用
"...正在傳送快顯對話的使用者...」	原則提示：選取 [ - 在傳送前顯示原則提示作為終端使用者的對話框]：選取
"...不允許使用者覆寫區塊...	允許從 M365 服務覆寫：未選取

若要使用預設文字來設定過度共用快顯，DLP 規則必須包含下列條件：

• 內容包含 > 敏感度標籤 >選擇敏感度標籤 ()

和收件者型條件

• 收件者為
• 收件者為以下的成員
• 收件者網域為

符合這些條件時，當使用者在 Outlook 中寫入郵件時，原則提示會在郵件傳送之前顯示不受信任的收件者。

設定「傳送時等候」的步驟

您可以選擇性地將 dlpwaitonsendtimeout Regkey 設定 (dword 中的 Value) 在您想要實作「傳送時等候」以進行過度共用快顯的所有裝置上。 此登錄機碼會定義當使用者選取 [傳 送] 時，保留電子郵件的時間上限。 這可讓 DLP 原則評估完成標籤或敏感性內容。 其位於：

*Software\Policies\Microsoft\office\16.0\Outlook\options\Mail*

您可以透過組策略設定此 RegKey (指定評估敏感性內容的等候時間) 、腳本或其他設定登錄機碼的機制。

如果您使用 群組原則，請確定您已下載適用於 Microsoft 365 Apps 企業版 的最新 群組原則 系統管理範本檔案，並從使用者>>設定系統管理範>>本 Microsoft Office 2016 >> 安全性設定流覽至此設定。 如果您使用 Microsoft 365 的雲端原則服務，請依名稱搜尋設定以進行設定。

設定此值並設定 DLP 原則時，會先檢查電子郵件訊息是否有敏感性資訊，再傳送。 如果訊息包含與原則中所定義條件相符的專案，則會在用戶按兩下 [ 傳送] 之前出現原則提示通知。

此 RegKey 可讓您在 Outlook 用戶端上指定「等候傳送」行為。 以下是每個設定的意義。

未設定或停用：這是預設值。 未設定 dlpwaitonsendtimeout 時，不會在用戶傳送訊息之前檢查訊息。 按兩下 [ 傳送 ] 時，電子郵件訊息將不會暫停。 DLP 數據分類服務會評估訊息，並套用 DLP 原則中定義的動作。

已啟用：按兩下 [ 傳送 ] 時，但在實際傳送郵件之前，會檢查電子郵件訊息。 您可以設定等候 DLP 原則評估以秒為單位完成 (T 值的時間限制) 。 如果原則評估未在指定的時間完成，則會出現 [ 傳送] 按鈕，讓使用者略過前端檢查。 T 值範圍是 0 到 9999 秒。

重要事項

如果 T 值大於 9999，則會取代為 10000，且不會顯示 [ 傳送無論如何 ] 按鈕。 這會保留訊息，直到原則評估完成，且沒有使用者覆寫的選項。 完成評估的持續時間可能會因特網速度、內容長度和已定義原則數目等因素而有所不同。 某些使用者可能會比其他使用者更頻繁地遇到原則評估訊息，視其信箱上部署的原則而定。

若要深入瞭解如何設定和使用 GPO，請參閱管理 Microsoft Entra Domain Services 受控網域中的 群組原則。

建立過度共用快顯之 DLP 原則的步驟

重要事項

基於此原則建立程式的目的，您將接受預設的包含/排除值，並將原則保持關閉。 當您部署原則時，將會變更這些專案。

針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站，請參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站，請參閱 Microsoft Purview 合規性入口網站。

Microsoft Purview 入口網站

1. 登入 Microsoft Purview 入口網站>數據外洩防護>原則

2. 選擇 [+ 建立原則]。

3. 從 [類別] 列表中選取 [自定義]。

4. 從 [範本] 清單中選取 [自定義]。

5. 給與原則一個「名稱」。

   重要事項

   無法重新命名原則。

6. 填入描述。 您可以在這裡使用原則意圖語句。

7. 選取 [下一步]。

8. 選取 [管理員 單位下的 [完整目錄]。

9. 將 Exchange 電子郵件 位置狀態設定為 [開啟]。 將所有其他位置狀態設定為 [關閉]。

10. 選取 [下一步]。

11. 接受 [全部包含 = ] 和 [排除 = 無] 的預設值。

12. 應已選取 [建立或自定義進階 DLP 規則 ] 選項。

13. 選取 [下一步]。

14. 選 取 [建立規則]。 將規則命名為 ，並提供描述。

15. 選取 [新增條件>內容包含>新增>敏感度卷>標高度機密]。 選擇 [新增]。

16. 選 取 [新增群組>] 和>[不>新增條件]。

17. 選取 [收件者網域已>contoso.com]。 選擇 [新增]。

    提示

    您也可以使用 Recipient is 或 Recipient 是 的成員， 而不是 Recipient 網域是 觸發過度共用快顯。

18. 選 取 [新增動作>][限制存取或加密 Microsoft 365 位置中的內容]。

19. 選取 [封鎖使用者接收電子郵件] 或存取共用的 SharePoint、OneDrive 和 Teams 檔案，以及 Power BI 專案。

20. 選 取 [封鎖所有人]。

21. 將 [ 使用者通知] 切換為 [ 開啟]。

22. 選取 [原則秘訣>][在傳送僅適用於 Exchange 工作負載的 (之前，將原則提示顯示為使用者的對話) 。

23. 如果選取，請取消核取 [ 允許從 M365 服務覆寫] 選項。

24. 選擇 [儲存]。

25. 將 [ 狀態] 切換開關變更為 [ 開啟] ，然後選擇 [ 下一步]。

26. 在 [ 原則模式] 頁面上，選取 [ 在測試模式中執行原則 ]，然後核取 [ 在模擬模式中顯示原則提示 ] 選項的方塊。

27. 選擇 [下一步 ]，然後選擇 [ 提交]。

合規性入口網站

1. 登入 Microsoft Purview 合規性入口網站>Solutions>數據外洩防護>原則>+ 建立原則。

2. 從 [類別] 列表中選取 [自定義]。

3. 從 [範本] 清單中選取 [自定義]。

4. 給與原則一個「名稱」。

   重要事項

   無法重新命名原則。

5. 填入描述。 您可以在這裡使用原則意圖語句。

6. 選取 [下一步]。

7. 選取 [管理員 單位下的 [完整目錄]。

8. 將 Exchange 電子郵件 位置狀態設定為 [開啟]。 將所有其他位置狀態設定為 [關閉]。

9. 選取 [下一步]。

10. 接受 [全部包含 = ] 和 [排除 = 無] 的預設值。

11. 應已選取 [建立或自定義進階 DLP 規則 ] 選項。

12. 選取 [下一步]。

13. 選 取 [建立規則]。 將規則命名為 ，並提供描述。

14. 選取 [新增條件>內容包含>新增>敏感度卷>標高度機密]。 選擇 [新增]。

15. 選 取 [新增群組>] 和>[不>新增條件]。

16. 選取 [收件者網域已>contoso.com]。 選擇 [新增]。

    提示

    Recipient 是 ，且 Recipient 是 的成員 ，也可以在上一個步驟中使用，並且會觸發過度共用快顯。

17. 選取 [新增動作>][限制存取或加密 Microsoft 365 位置>中的內容限制存取或加密 Microsoft 365 位置>中的內容封鎖使用者接收電子郵件或存取共用 SharePoint、OneDrive 和 Teams 檔案]。>封鎖所有人。

18. 將 [使用者通知] 設定為 [ 開啟]。

19. 選 取 [原則提示>][在傳送之前將原則提示顯示為終端用戶的對話框]。

20. 請確定未選取 [允許從 M365 服務覆寫]。

21. 選擇 [儲存]。

22. 選擇 [下一步>][將它保持在>下一個>提交]。

建立原則的PowerShell步驟

您也可以在 PowerShell 中設定 DLP 原則和規則。 若要使用PowerShell設定過度共享彈出視窗，請先使用PowerShell) 建立 DLP 原則 (，並為每個警告、合理化或封鎖快顯類型新增 DLP 規則。

您將使用 New-DlpCompliancePolicy 來設定及設定 DLP 原則的範圍。 然後，您將使用 New-DlpComplianceRule 設定每個過度共享規則

若要為過度共用快顯案例設定新的 DLP 原則，請使用下列代碼段：

PS C:\> New-DlpCompliancePolicy -Name <DLP Policy Name> -ExchangeLocation All

此範例 DLP 原則的範圍限於組織中的所有使用者。 使用 -ExchangeSenderMemberOf 和 -ExchangeSenderMemberOfException設定 DLP 原則的範圍。

參數	組態
-ContentContainsSensitiveInformation	設定一或多個敏感度標籤條件。 此範例包含一個。 至少必須有一個標籤。
-ExceptIfRecipientDomainIs	受信任網域的清單。
-NotifyAllowOverride	“WithJustification” 啟用理由單選按鈕，“WithoutJustification” 會停用它們。
-NotifyOverrideRequirements	“WithAcknowledgement” 會啟用新的通知選項。 這是選擇性的。

若要設定新的 DLP 規則以使用受信任的網域產生 警告 彈出視窗，請執行此 PowerShell 程式代碼。

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator="Or";name="Default";labels=@(@{name=<Label GUID>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")

若要設定新的 DLP 規則以使用受信任的網域產生 合理化 快顯，請執行此 PowerShell 程式代碼。

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com") -NotifyAllowOverride "WithJustification"

若要設定新的 DLP 規則以使用受信任的網域產生 區塊 彈出視窗，請執行此 PowerShell 程式代碼。

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")

使用這些程式來存取 商務理由 X 標頭。

另請參閱

• 開始使用數據外洩防護警示儀錶板
• 建立和部署數據外洩防護原則