數據外洩防護原則參考

Microsoft Purview 資料外洩防護 (DLP) 原則有許多元件需要設定。 若要建立有效的原則，您必須瞭解每個元件的用途，以及其組態如何改變原則的行為。 本文提供 DLP 原則的詳細結構。

提示

如果您不是 E5 客戶，請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。

開始之前

如果您不熟悉 Microsoft Purview DLP，以下是您在實作 DLP 時所需的核心文章清單：

1. 管理單位
2. 瞭解 Microsoft Purview 資料外洩防護 - 本文將介紹數據外泄防護專業領域和 Microsoft 的 DLP 實作
3. 規劃資料外洩防護 (DLP) - 透過本文，您將：
   1. 識別專案關係人
   2. 描述要保護的敏感性資訊類型
   3. 設定目標和策略
4. 數據外洩防護原則參考 - 您正在閱讀的本文現在介紹 DLP 原則的所有元件，以及每個元件如何影響原則的行為
5. 設計 DLP 原則 - 本文會逐步引導您建立原則意圖語句，並將它對應至特定的原則設定。
6. 建立和部署數據外洩防護原則 - 本文提供一些您將對應至設定選項的常見原則意圖案例。 它也會逐步引導您設定這些選項。
7. 瞭解如何調查數據外洩防護警示 - 此精靈會向您介紹從建立到最終補救和原則微調的警示生命週期。 它也會向您介紹用來調查警示的工具。

此外，您也必須注意平臺的下列條件約束：

• 租使用者中的 MIP + MIG 原則數目上限：10,000
• DLP 原則的大小上限 (100 KB)
• DLP 規則的數目上限：
  • 在原則中：受限於原則的大小
  • 在租使用者中：600
• 個別 DLP 規則的大小上限：100 KB (102,400 個字元)
• GIR 辨識項限制：100 個，每個 SIT 辨識項依發生比例
• 可從檔案擷取以進行掃描的文字大小上限：2 MB
• 預測的所有相符專案的 Regex 大小限制：20 KB
• 原則名稱長度限制：64 個字元
• 原則規則長度限制：64 個字元
• 批注長度限制：1024 個字元
• 描述長度限制：1024 個字元

原則範本

DLP 原則範本會排序為四個類別：

• 可偵測及保護 財務 資訊類型的原則。
• 可偵測及保護 醫療和健康 情況資訊類型的原則。
• 可偵測及保護 隱私權 資訊類型的原則。
• 自定義原則範本，您可以在其他原則都不符合貴組織的需求時，用來建置您自己的原則。

下表列出所有原則範本，以及 (SIT) 涵蓋的敏感性資訊類型。

類別	範本	坐
財務	澳洲財務資料	- SWIFT 程式代碼 - 澳洲稅務檔案號碼 - 澳洲銀行帳戶號碼 - 信用卡號碼
財務	加拿大金融數據	- 信用卡號碼 - 加拿大銀行帳戶號碼
財務	法國金融數據	- 信用卡號碼 - 歐盟轉帳卡號碼
財務	德國財務資料	- 信用卡號碼 - 歐盟轉帳卡號碼
財務	以色列財務資料	- 以色列銀行帳戶號碼 - SWIFT 程式代碼 - 信用卡號碼
財務	日本財務資料	- 日本銀行帳戶號碼 - 信用卡號碼
財務	PCI 資料安全性標準 (PCI DSS)	- 信用卡號碼
財務	沙烏地阿拉伯反網路犯罪法	- SWIFT 程式代碼 - IBAN) (國際銀行帳戶號碼
財務	沙烏地阿拉伯財務資料	- 信用卡號碼 - SWIFT 程式代碼 - IBAN) (國際銀行帳戶號碼
財務	英國財務數據	- 信用卡號碼 - 歐盟轉帳卡號碼 - SWIFT 程式代碼
財務	美國財務數據	- 信用卡號碼 - 美國銀行帳戶號碼 - ABA 路由號碼
財務	美國聯邦貿易委員會 (FTC) 消費者規則	- 信用卡號碼 - 美國銀行帳戶號碼 - ABA 路由號碼
財務	增強的 GLBA (美國 Gramm-Leach-Bliley Act)	- 信用卡號碼 - 美國銀行帳戶號碼 - ITIN) (美國個人身份識別 - 編號SSN - ) (美國社會安全號碼 美國/英國護照號碼 -美國驅動程式的授權號碼 - 所有完整名稱 - 美國實體位址
財務	美國 Gramm-Leach-Bliley 法案 (GLBA)	- 信用卡號碼 - 美國銀行帳戶號碼 - ITIN) (美國個人身份識別 - 編號SSN) (美國社會安全號碼
醫療與健康	(HRIP Act) 增強的澳大利亞健康情況記錄法	- 澳洲稅務檔案號碼 - 澳洲醫療帳戶號碼 - 所有完整名稱 - 所有醫療條款和條件 - 澳大利亞實體位址
醫療與健康	澳洲醫療記錄法案 (HRIP 法案)	- 澳洲稅務檔案號碼 - 澳洲醫療帳戶號碼
醫療與健康	加拿大健康資訊法案 (HIA)	- 加拿大護照號碼 - 加拿大社會保險號碼 - 加拿大健康情況服務號碼 - 加拿大個人健康情況標識碼
醫療與健康	加拿大個人健康情況資訊法案 (PHIA) Manitoba	- 加拿大社會保險號碼 - 加拿大健康情況服務號碼 - 加拿大個人健康情況標識碼
醫療與健康	加拿大個人健康 (PHIPA) Ontario	- 加拿大護照號碼 - 加拿大社會保險號碼 - 加拿大健康情況服務號碼 - 加拿大個人健康情況標識碼
醫療與健康	英國存取醫療報告法案	- 英國國家健康服務號碼 - NINO) (英國國家保險編號
醫療與健康	美國健康保險法案 (HIPAA) 增強	- 國際疾病分類 (ICD-9-CM) - ICD-10-CM (疾病的國際分類) - 所有完整名稱 - 所有醫療條款和條件 - 美國實體位址
醫療與健康	美國健康保險法案 (HIPAA)	- 國際疾病分類 (ICD-9-CM) - 國際疾病分類 (ICD-10-CM)
隱私權	增強的澳大利亞隱私權法案	- 澳洲駕駛的授權號碼 - 澳洲護照號碼 - 所有完整名稱 - 所有醫療條款和條件 - 澳大利亞實體位址
隱私權	澳洲隱私權法案	- 澳洲駕照號碼 - 澳洲護照號碼
隱私權	澳洲個人識別資訊 (PII) 資料	- 澳洲稅務檔案號碼 - 澳洲駕駛的授權號碼
隱私權	加拿大個人識別資訊 (PII) 資料	- 加拿大驅動程式的授權號碼 - 加拿大銀行帳戶號碼 - 加拿大護照號碼 - 加拿大社會保險號碼 - 加拿大健康情況服務號碼 - 加拿大個人健康情況標識碼
隱私權	加拿大個人資訊保護法案 (PIPA)	- 加拿大護照號碼 - 加拿大社會保險號碼 - 加拿大健康情況服務號碼 - 加拿大個人健康情況標識碼
隱私權	加拿大個人資訊保護法案 (PIPEDA)	- 加拿大驅動程式的授權號碼 - 加拿大銀行帳戶號碼 - 加拿大護照號碼 - 加拿大社會保險號碼 - 加拿大健康情況服務號碼 - 加拿大個人健康情況標識碼
隱私權	法國資料保護法案	- 法國國家標識碼卡 (CNI) - 法國社會安全號碼 (INSEE)
隱私權	法國個人識別資訊 (PII) 資料	- 法國社會安全號碼 (INSEE) - 法國駕照號碼 - 法國護照號碼 - 法國國家標識碼卡 (CNI)
隱私權	(GDPR) 增強的一般數據保護規定	- 奧地利實體位址 - 比利時實體位址 - 保加利亞實體位址 - 克羅埃西亞實體位址 - 他的實體位址 - 捷克實體位址 - 丹麥實體位址 - 愛沙尼亞實體位址 - 芬蘭實體位址 - 法國實體位址 - 德國實體位址 - 希臘實體位址 - 匈牙利實體位址 - 愛爾蘭實體位址 - 義大利實體位址 - 拉脫維亞實體位址 - 立陶宛實體位址 - 盧森堡實體位址 - 斯洛伐克實體位址 - 荷蘭實體位址 - 波蘭實體位址 - 葡萄牙文實體位址 - 羅馬尼亞實體位址 - 斯洛伐克實體位址 - 斯洛維尼亞實體位址 - 西班牙實體位址 - 瑞典實體位址 - 奧地利社會安全號碼 - 法國社會安全號碼 (INSEE) - 希臘社會安全號碼 (AMKA) - 匈牙利社會安全號碼 (TAJ) - 西班牙社會安全號碼 (SSN) - 奧地利身分識別卡 - 身分識別卡片 - 德國身分識別卡號碼 - 身分識別卡號碼 - 法國國家標識碼卡 (CNI) - 希臘國家標識碼卡 - 芬蘭國家標識碼 - 波蘭國家標識碼 (PESEL) - 瑞典國家標識碼 - 克羅埃西亞人識別 (OIB) 號碼 - 捷克人個人身分識別號碼 - 丹麥個人標識碼 - 愛沙尼亞個人識別碼 - 匈牙利個人標識碼 - Luxemburg National Identification Number natural person - (非自然人 - ) 義大利會計代碼 - 拉脫維亞個人代碼 - 立陶宛個人代碼 - 羅馬尼亞個人數值代碼 (CNP) - 荷蘭公民服務 (BSN) 號碼 - 愛爾蘭個人公用服務 (PPS) 號碼 - 保加利亞統一公民編號 - 比利時國家數位 - 西班牙 DNI - 斯洛維尼亞唯一的主要公民號碼 - 斯洛伐克個人號碼 - 葡萄牙公民卡片號碼 - 額地稅標識碼 - 奧地利稅務標識碼 - 額地稅務標識碼 -法國稅務標識碼 (numéro SPI.) - 德國稅務標識碼 - 希臘稅務標識碼 - 匈牙利稅務標識碼 - 荷蘭稅務標識碼 - 波蘭稅務標識碼 - 葡萄牙稅務標識碼 - 斯洛維尼亞稅務標識碼 - 西班牙稅務標識碼 - 瑞典稅務標識碼 - 奧地利駕照 - 比利時駕照號碼 - 保加利亞駕照號碼 - 克羅埃西亞駕照號碼 - 他的駕照號碼 - 捷克駕照號碼 - 丹麥駕照號碼 - 愛沙尼亞駕照號碼 - 芬蘭駕照號碼 - 法國駕照號碼 - 德國駕照號碼 - 希臘駕照號碼 - 匈牙利駕照號碼 - 愛爾蘭駕照號碼 - 義大利駕照號碼 - 拉脫維亞駕照號碼 - 立陶宛駕照號碼 - Luxemburg 驅動程式的授權號碼 - 斯洛伐克駕駛的授權號碼 - 荷蘭駕照號碼 - 波蘭駕照號碼 - 葡萄牙駕照號碼 - 羅馬尼亞駕照號碼 - 斯洛伐克駕照號碼 - 斯洛維尼亞駕照號碼 - 西班牙駕照號碼 - 瑞典駕照號碼 - 奧地利 Passport 號碼 - 比利時護照號碼 - 保加利亞護照號碼 - 克羅埃西亞護照號碼 - 登入護照號碼 - 捷克護照號碼 - 丹麥護照號碼 - 愛沙尼亞護照號碼 - 芬蘭護照號碼 - 法國 Passport 號碼 - 德文 Passport 號碼 - 希臘護照號碼 - 匈牙利護照號碼 - 愛爾蘭護照號碼 - 義大利 Passport 號碼 - 拉脫維亞護照號碼 - 立陶宛護照號碼 - Luxemburg Passport 號碼 - 登入護照號碼 - 荷蘭 Passport 號碼 - 波蘭 Passport - 葡萄牙 Passport 號碼 - 羅馬尼亞護照號碼 - 斯洛伐克護照號碼 - 斯洛維尼亞護照號碼 - 西班牙 Passport 號碼 - 瑞典護照號碼 - 歐盟轉帳卡號碼 - 所有完整名稱
隱私權	一般資料保護規定 (GDPR)	- 歐盟轉帳卡號碼 - 歐盟駕照號碼 - 歐盟國家標識碼 - 歐盟護照號碼 - 歐盟社會安全號碼或對等識別 - 歐盟稅務標識碼
隱私權	德國個人識別資訊 (PII) 資料	- 德國駕照號碼 - 德國護照號碼
隱私權	以色列個人識別資訊 (PII) 資料	- 以色列國家標識碼
隱私權	以色列隱私權保護	- 以色列國家標識碼 - 以色列銀行帳戶號碼
隱私權	增強的日本個人標識資訊 (PII) 數據	- 日本社會保險號碼 (SIN) - 日本我的號碼 - 個人 - 日本護照號碼 - 日本驅動程式的授權號碼 - 所有完整名稱 - 日本實體位址
隱私權	日本個人識別資訊 (PII) 資料	- 日本常駐註冊號碼 - 日本社會保險號碼 (SIN)
隱私權	增強個人資訊的日本保護	- 日本社會保險號碼 (SIN) - 日本我的號碼 - 個人 - 日本護照號碼 - 日本驅動程式的授權號碼 - 所有完整名稱 - 日本實體位址
隱私權	日本個人資訊保護法	- 日本常駐註冊號碼 - 日本社會保險號碼 (SIN)
隱私權	沙烏地阿拉伯個人標識 (PII) 數據	- 沙烏地阿拉伯國家標識碼
隱私權	英國資料保護法案	- NINO - ) (英國國家保險號碼 美國/英國護照號碼 - SWIFT 程式代碼
隱私權	英國隱私權與電子通訊條例	- SWIFT 程式代碼
隱私權	英國個人識別資訊 (PII) 資料	- NINO - ) (英國國家保險號碼 美國/英國護照號碼
隱私權	英國線上個人資訊實務守則 (PIOCP)	- NINO - ) (英國國家保險號碼 英國國家健康服務號碼 - SWIFT 程式代碼
隱私權	美式法案增強	- 信用卡號碼 - 美國銀行帳戶號碼 - ITIN) (美國個人身份識別 - 編號SSN - ) (美國社會安全號碼 所有完整名稱 - 美國實體位址
隱私權	美國愛國者法案	- 信用卡號碼 - 美國銀行帳戶號碼 - ITIN) (美國個人身份識別 - 編號SSN) (美國社會安全號碼
隱私權	增強的 PII) 數據 (美國個人標識資訊	- ITIN) (美國個人身份識別 - 編號SSN - ) (美國社會安全號碼 美國/英國護照號碼 - 所有完整名稱 - 美國實體位址
隱私權	美國個人識別資訊 (PII) 資料	- ITIN) (美國個人身份識別 - 編號SSN - ) (美國社會安全號碼 美國/英國護照號碼
隱私權	增強美國州/州外洩通知法	- 信用卡號碼 - 美國銀行帳戶號碼 -美國驅動程式的授權號碼 - SSN - ) (美國社會安全號碼 所有完整名稱 - 美國/英國護照號碼 - 所有醫療條款和條件
隱私權	美國國家違規通知法	- 信用卡號碼 - 美國銀行帳戶號碼 -美國驅動程式的授權號碼 - SSN) (美國社會安全號碼
隱私權	美國國家社會安全號碼保密法	- SSN) (美國社會安全號碼

原則範圍界定

請參閱 管理單位 ，以確定您瞭解不受限制的系統管理員與受管理單位限制的系統管理員之間的差異。

DLP 原則的範圍為兩個不同的層級。 第一個層級會將不受限制的系統管理範圍原則套用至全部：

• 使用者
• 組
• 通訊群組
• 帳戶
• 網站
• 雲端應用程式實例
• 內部部署存放庫
• Power BI 工作區

貴組織中的 (視選取的位置) 或貴組織的子群組，稱為管理 單位限制原則。

在此層級，受管理單位限制的系統管理員只能從其指派的管理單位中挑選。

DLP 原則範圍的第二層是由 DLP 支援 的位置 。 在此層級中，不受限制和管理單位限制的系統管理員只會看到使用者、通訊群組、群組和帳戶，這些使用者、通訊群組、群組和帳戶都包含在第一層原則範圍中，且可供該位置使用。

不受限制的原則

不受限制的原則是由這些角色群組中的使用者建立和管理：

• 合規性系統管理員
• 合規性資料管理員
• 資訊保護
• 資訊保護系統管理員
• 安全性系統管理員

如需詳細資訊，請參閱 權 限。

不受限制的系統管理員可以管理所有原則，並查看從原則相符專案流向 警示儀錶板 和 DLP 活動總管的所有警示和事件。

管理單位限制原則

系統管理單位是您 Microsoft Entra ID 的子集，其建立目的是為了管理使用者、群組、通訊群組和帳戶的集合。 這些集合通常會沿著業務群組或地緣政治區域建立。 管理單位具有與角色群組中管理單位相關聯的委派系統管理員。 這些稱為管理單位限制的系統管理員。

DLP 支援將原則與管理單位建立關聯。 如需 Microsoft Purview 合規性入口網站 中的實作詳細數據，請參閱管理單位。 必須將管理單位系統管理員指派給其中一個與不受限制 DLP 原則系統管理員相同的角色或角色群組，才能為其管理單位建立和管理 DLP 原則

DLP 系統管理角色群組	可以
不受限制的系統管理員	- 建立 DLP 原則並將其範圍設定為整個組織 - 編輯所有 DLP 原則 - 建立 DLP 原則並將其範圍設定為管理單位 - 檢視所有 DLP 原則的所有警示和事件
管理單位受限制的系統管理員 - 必須是可管理 DLP 之角色群組/角色的成員/指派成員	- 建立 DLP 原則並僅限指派給其指派 的管理單位 - 編輯與其管理單位 相關聯的 DLP 原則 - 僅從限於其管理單位的 DLP 原則檢視警示和事件

位置

DLP 原則可以尋找並保護跨多個位置包含敏感性信息的專案。

位置	支援管理單位	包含/排除範圍	數據狀態	其他必要條件
Exchange	是	- 通訊群組 - 安全組 - 未啟用電子郵件的安全組 - 動態通訊組清單 - 僅限 Microsoft 365 群組 (群組成員，而非實體)	數據移動中	否
SharePoint	否	網站	待用 數據使用中的數據	否
OneDrive	是	- 通訊群組 - 安全組 - 未啟用電子郵件的安全組 - 僅限 Microsoft 365 群組 (群組成員，而非實體)	待用 數據使用中的數據	否
Teams 聊天和頻道訊息	是	- 通訊群組 - 安全組 - 啟用郵件的安全組 - Microsoft 365 群組 僅 (群組成員，而非實體)	使用中 的數據移動中數據	請參閱 DLP 保護範圍
執行個體	否	雲端應用程式實例	待用數據	- 針對非 Microsoft 雲端應用程式使用數據外洩防護原則
裝置	是	- 通訊群組 - 安全組 - 未啟用電子郵件的安全組 - 僅限 Microsoft 365 群組 (群組成員，而非實體)	數據使用中 的數據移動中	- 瞭解端點數據外洩防護 - 開始使用端點數據外洩防護 - 設定 資訊保護的裝置 Proxy 和因特網連線設定
內部部署存放庫 (檔案共用和 SharePoint)	否	存放庫	待用數據	- 了解內部部署存放庫 - 的數據外洩防護開始使用數據外泄防護內部部署存放庫
Power BI	否	工作區	使用中的數據	否
協力廠商應用程式	無	否	否	否
Power BI	否	無	否	否

Exchange 位置範圍界定

如果您選擇在 Exchange 中包含特定通訊群組，DLP 原則的範圍只會限於該群組成員所傳送的電子郵件。 同樣地，排除通訊群組會從原則評估中排除該通訊群組成員所傳送的所有電子郵件。

寄件者為	收件者為	結果行為
在範圍中	不適用	套用原則
超出範圍	在範圍中	未套用原則

Exchange 位置範圍計算

以下是如何計算 Exchange 位置範圍的範例

假設您的組織中有四個使用者，U1、U2、U3、U4 和兩個通訊群組 DG1 和 DG2，您將用來定義 Exchange 位置包含和排除範圍。 群組成員資格的設定如下：

通訊群組	[成員資格]
DG1	U1、U2
DG2	U2、U3

U4 不是任何群組的成員。

包含設定	排除設定	原則適用於	原則不適用於	行為說明
全部	無	Exchange 組織中的所有寄件者 (U1、U2、U3、U4)	不適用	當兩者都未定義時，會包含所有寄件者
DG1	無	DG1 (U1、U2) 的成員發件者	不是 DG1 成員的所有寄件者 (U3、U4)	當定義了一個設定，而另一個設定不是定義的設定時，就會使用
全部	DG2	Exchange 組織中不是 DG2 成員的所有發件者 (U1、U4)	所有屬於 DG2 (U2、U3) 成員的寄件者	當定義了一個設定，而另一個設定不是定義的設定時，就會使用
DG1	DG2	U1	U2、U3、U4	排除覆寫包括

您可以選擇將原則限定至通訊清單、動態通訊群組和安全性群組的成員。 DLP 原則最多可包含 50 項此類的包含和排除。

SharePoint 和 OneDrive 位置範圍

如果您選擇包含或排除特定 SharePoint 網站或 OneDrive 帳戶，則 DLP 原則只能包含不超過 100 項此類包含或排除。 雖然有這個限制，但您可以套用全組織原則或套用到整個位置的原則來超過這些限制。

如果您選擇包含或排除特定的 OneDrive 帳戶或群組，則 DLP 原則不能包含超過 100 個使用者帳戶或 50 個群組作為包含或排除。

如何定義內容的位置支援

DLP 原則會藉由將敏感性專案與敏感性資訊類型比對 (SIT) ，或與敏感度卷標或保留卷標進行比對來偵測敏感性專案。 每個位置都支持定義敏感性內容的不同方法。 當您結合原則中的位置時，定義內容的方式會隨著單一位置定義內容的方式而有所變更。

重要事項

當您為原則選取多個位置時，內容定義類別目錄的「否」值優先於「是」值。 例如，當您只選取 SharePoint 網站時，原則將支援依一或多個 SIT、敏感度標籤或保留標籤來偵測敏感性專案。 但是，當您選取 SharePoint 網站 和 Teams 聊天和頻道訊息位置時，原則只會支援透過 SIT 偵測敏感性專案。

位置	內容可由 SIT 定義	內容可以定義敏感度標籤	內容可由保留標籤定義
Exchange 電子郵件連線	是	是	否
Microsoft 365 網站中的 SharePoint	是	是	是
公司或學校帳戶的 OneDrive	是	是	是
Teams 聊天和頻道訊息	是	否	否
裝置	是	是	否
執行個體	是	是	是
內部部署存放庫	是	是	否
Power BI	是	是	否

DLP 支援使用可訓練分類器作為偵測敏感性文件的條件。 內容可以透過 Exchange、SharePoint 網站、OneDrive 帳戶、Teams 聊天和頻道，以及裝置中的可訓練分類器來定義。 如需詳細資訊，請 參閱可訓練分類器。

注意事項

DLP 支援偵測電子郵件和附件上的敏感度標籤。 如需詳細資訊，請 參閱在 DLP 原則中使用敏感度標籤作為條件。

規則

規則是 DLP 原則的商業規則。 它們是由下列項目所組成：

• 符合時 會觸發原則 動作的條件
• 使用者通知， 在使用者執行觸發原則的動作時通知使用者，並協助教育他們貴組織想要如何處理敏感性資訊
• 用戶在 系統管理員設定時覆寫，允許用戶選擇性地覆寫封鎖動作
• 事件報告 ，在規則相符時通知系統管理員和其他重要項目關係人
• 其他選項 ，可定義規則評估的優先順序，並可停止進一步的規則和原則處理。

原則包含一或多個規則。 規則會依序執行，從每個原則中最高優先順序的規則開始。

評估和套用規則的優先順序

託管服務位置

針對 Exchange、SharePoint 和 OneDrive 等託管服務位置，每個規則都會依其建立順序指派優先順序。 這表示第一個建立的規則具有第一個優先順序、第二個建立的規則具有第二個優先順序，依此類推。

以規則評估內容時，系統會依優先順序處理規則。 如果內容符合多個規則，則會強制執行具有 最 嚴格動作的第一個評估規則。 例如，如果內容符合下列所有規則，則會強制執行 規則 3 ，因為它是優先順序最高、限制最嚴格的規則：

• 規則 1：只通知使用者
• 規則 2：通知使用者、限制存取且允許使用者覆寫
• 規則 3：通知使用者、限制存取，以及不允許使用者覆寫
• 規則 4：限制存取

系統會評估規則 1、2 和 4，但不會套用。 在此範例中，所有規則的相符項目都會記錄在稽核記錄中，並顯示在 DLP 報告中，即使只套用最嚴格的規則也一樣。

您可以使用規則以符合特定的保護需求，然後使用 DLP 原則將常見保護需求分成一組，例如所有需要遵守特定法規的規則。

例如，您的 DLP 原則可能協助您偵測是否存在受到健康保險流通與責任法案 (HIPAA) 的資訊。 此 DLP 原則可協助保護 HIPAA 資料 (所有 SharePoint 網站和所有 OneDrive 網站的) () 的位置，方法是尋找包含與組織外部人員共用之敏感性資訊的任何檔， (條件) ，然後封鎖對檔的存取，並傳送通知 (動作) 。 這些需求會儲存為個別規則並分組為 DLP 原則，以簡化管理和報告。

針對端點

當專案符合多個 DLP 規則時，DLP 會透過複雜的演算法來決定要套用的動作。 端點 DLP 會套用最嚴格動作的匯總或總和。 DLP 會在進行計算時使用這些因素。

原則優先順序順序 當專案符合多個原則，而且這些原則具有相同的動作時，就會套用最高優先順序原則的動作。

規則優先順序順序 當專案符合原則中的多個規則，且這些規則具有相同的動作時，就會套用最高優先順序規則的動作。

原則模式 當專案符合多個原則，而這些原則具有相同的動作時，所有處於 [ 開啟] 狀態 (強制執行模式) 的動作會優先套用到使用原則 提示在模擬模式中 執行原則和 在模擬模式狀態中 執行原則中的原則。

行動 當專案符合多個原則，而且這些原則的動作不同時，會套用最嚴格動作的匯總或總和。

授權群組組 態 當專案符合多個原則且這些原則的運作方式不同時，會套用最嚴格動作的匯總或總和。

覆寫選項 當專案符合多個原則，而且這些原則在覆寫選項中有所不同時，會以下列順序套用動作：

無覆寫>允許覆寫

以下是說明運行時間行為的案例。 在前三個案例中，您已設定三個 DLP 原則，如下所示：

原則名稱	要比對的條件	動作	原則優先順序
Abc	內容包含信用卡號碼	封鎖列印、稽核所有其他使用者輸出活動	0
MNO	內容包含信用卡號碼	封鎖複製到 USB、稽核所有其他使用者輸出活動	1
Xyz	內容包含美國社會安全號碼	封鎖複製到剪貼簿、稽核所有其他使用者輸出活動	2

專案包含信用卡號碼

受監視裝置上的專案包含信用卡號碼，因此其符合原則 ABC 和原則 MNO。 ABC 和 MNO 都處於 開啟 模式。

原則	雲端輸出動作	複製到剪貼簿動作	複製到 USB 動作	複製到網路共享動作	不允許的應用程式動作	列印動作	透過藍牙動作複製	複製到遠端桌面動作
Abc	稽核	稽核	稽核	稽核	稽核	封鎖	稽核	稽核
MNO	稽核	稽核	封鎖	稽核	稽核	稽核	稽核	稽核
在運行時間套用的動作	稽核	稽核	封鎖	稽核	稽核	封鎖	稽核	稽核

專案包含信用卡號碼和美國社會安全號碼

受監視裝置上的專案包含信用卡號碼和美國社會安全號碼，因此此專案符合原則 ABC、原則 MNO 和原則 XYZ。 這三個原則都處於 [開啟] 模式。

原則	雲端輸出動作	複製到剪貼簿動作	複製到 USB 動作	複製到網路共享動作	不允許的應用程式動作	列印動作	透過藍牙動作複製	複製到遠端桌面動作
Abc	稽核	稽核	稽核	稽核	稽核	封鎖	稽核	稽核
MNO	稽核	稽核	封鎖	稽核	稽核	稽核	稽核	稽核
Xyz	稽核	封鎖	稽核	稽核	稽核	封鎖	稽核	稽核
在運行時間套用的動作	稽核	封鎖	封鎖	稽核	稽核	封鎖	稽核	稽核

專案包含信用卡號碼、不同的原則狀態

受監視裝置上的專案包含信用卡號碼，因此符合原則 ABC 和原則 MNO。 原則 ABC 處於 [開啟] 模式，而原則 MNO 處於 模擬模式狀態下 執行原則。

原則	雲端輸出動作	複製到剪貼簿動作	複製到 USB 動作	複製到網路共享動作	不允許的應用程式動作	列印動作	透過藍牙動作複製	複製到遠端桌面動作
Abc	稽核	稽核	稽核	稽核	稽核	封鎖	稽核	稽核
MNO	稽核	稽核	封鎖	稽核	稽核	稽核	稽核	稽核
在運行時間套用的動作	稽核	稽核	稽核	稽核	稽核	封鎖	稽核	稽核

專案包含信用卡號碼、不同的覆寫組態

受監視裝置上的專案包含信用卡號碼，因此符合原則 ABC 和原則 MNO。 原則 ABC 處於 [開啟] 狀態，而 原則 MNO 處於 [開啟] 狀態。 它們已設定不同的 覆寫 動作

原則	雲端輸出動作	複製到剪貼簿動作	複製到 USB 動作	複製到網路共享動作	不允許的應用程式動作	列印動作	透過藍牙動作複製	複製到遠端桌面動作
Abc	稽核	稽核	封鎖並覆寫	稽核	稽核	封鎖	稽核	稽核
MNO	稽核	稽核	不覆寫封鎖	稽核	稽核	稽核	稽核	稽核
在運行時間套用的動作	稽核	稽核	不覆寫封鎖	稽核	稽核	封鎖	稽核	稽核

專案包含信用卡號碼、不同的授權群組設定

受監視裝置上的專案包含信用卡號碼，因此符合原則 ABC 和原則 MNO。 原則 ABC 處於 [開啟] 狀態，而 原則 MNO 處於 [開啟] 狀態。 它們已設定不同的 授權群組 動作

原則	雲端輸出動作	複製到剪貼簿動作	複製到 USB 動作	複製到網路共享動作	不允許的應用程式動作	列印動作	透過藍牙動作複製	複製到遠端桌面動作
Abc	稽核	稽核	驗證群組 A - 封鎖	稽核	稽核	驗證群組 A - 封鎖	稽核	稽核
MNO	稽核	稽核	驗證群組 A - 使用覆寫封鎖	稽核	稽核	驗證群組 B - 區塊	稽核	稽核
在運行時間套用的動作	稽核	稽核	驗證群組 A - 封鎖	稽核	稽核	驗證群組 A - 封鎖、驗證群組 B - 封鎖	稽核	稽核

條件

條件是您定義規則要尋找的內容，以及使用這些項目的內容。 他們會告訴規則：當您找到看起來像 這樣 且正在使用的專案時 ，這是相符專案，而且應該對它採取原則中的其餘動作。 您可以使用條件對不同的風險層級指派不同的動作。 例如，相較於與組織外部人員共用的敏感性內容，內部共用的敏感性內容風險可能較低，所需的動作也較少。

注意事項

在主機組織的 Active Directory 或 Microsoft Entra 租使用者中具有非來賓帳戶的使用者，會被視為組織內的人員。

內容包含

所有位置都支持 內容包含 條件。 您可以選取每個內容類型的多個實體，並使用任 一 (邏輯 OR) 或 所有這些 (邏輯 AND) 運算子進一步精簡條件：

• 敏感性資訊類型
• 敏感度標籤
• 保留標籤
• 可訓練分類器

視您選擇套用 原則的位置 () 而定。

此規則只會尋找您所挑選的任何 敏感度標籤 和 保留標籤 。

SIT 具有預先定義 的信賴等級 ，您可以視需要加以改變。 如需詳細資訊，請 參閱關於信賴等級的詳細資訊。

重要事項

SIT 有兩種不同的方式可定義最大唯一實例計數參數。 若要深入了解，請參閱 SIT 的執行個體計數支援值。

Microsoft Purview 中的自適性保護 (預覽)

自適性保護會將 Microsoft Purview 內部風險管理 風險配置檔整合到 DLP 原則中，讓 DLP 有助於防範動態識別的風險行為。 在內部風險管理中設定時，自適性保護的測試人員風險層級會顯示為 Exchange Online、裝置和 Teams 位置的條件。 如需詳細資訊，請參閱 了解數據外泄防護 (預覽) 中的自適性保護 。

自適性保護支持的條件

• 自適性保護的測試人員風險層級為

使用下列值：

• 提高的風險層級
• 中等風險層級
• 次要風險層級

條件內容

可用的內容選項會根據您選擇的位置而變更。 如果您選取多個位置，則只有位置有共通的條件可供使用。

條件 Exchange 支援

• 內容包含
• 調適型保護的測試人員風險層級為
• 內容未加上標籤
• 內容是從 Microsoft 365 共用
• 從接收內容
• 寄件者 IP 位址為
• 標頭包含單字或片語
• 寄件者 AD 屬性包含單字或詞組
• 內容字元集包含文字
• 標頭符合模式
• 寄件者 AD 屬性符合模式
• Recipient AD 屬性包含單字或片語
• 收件者 AD 屬性符合模式
• 收件者是的成員
• 文件屬性為
• 無法掃描任何電子郵件附件的內容
• 檔或附件受到密碼保護
• 已讓寄件人覆寫原則提示
• 寄件者是的成員
• 未完成掃描任何電子郵件附件的內容
• 收件者地址包含文字
• 擴展名為
• 收件者網域為
• 收件者為
• 寄件者為
• 寄件者網域為
• 收件者地址符合模式
• 檔名稱包含單字或片語
• 檔名稱符合模式
• 主旨包含單字或片語
• 主題符合模式
• 主旨或本文包含單字或詞組
• 主旨或本文符合模式
• 寄件者位址包含文字
• 寄件者地址符合模式
• 檔大小等於或大於
• 檔案內容包含單字或片語
• 檔內容符合模式
• 訊息大小等於或大於
• 訊息類型為
• 訊息重要性為

提示

如需 Exchange 支援之條件的詳細資訊，包括 PowerShell 值，請參閱： 數據外洩防護 Exchange 條件和動作參考。

SharePoint 支持的條件

• 內容包含
• 內容是從 Microsoft 365 共用
• 文件屬性為
• 擴展名為
• 檔名稱包含單字或片語
• 檔大小等於或大於
• 建立的檔
• 成員所建立的檔

OneDrive 帳戶支持的條件

• 內容包含
• 內容是從 Microsoft 365 共用
• 文件屬性為
• 擴展名為
• 檔名稱包含單字或片語
• 檔大小等於或大於
• 建立的檔
• 成員所建立的檔
• 共用檔

Teams 聊天和頻道訊息支持的條件

• 內容包含
• 調適型保護的測試人員風險層級為
• 內容是從 Microsoft 365 共用
• 收件者網域為 -Recipient 為
• 寄件者為
• 寄件者網域為

端點支持的條件

• 內容包含
• (完全支援 PDF 和 Office 檔案) ，則不會標示內容。
  此條件會偵測未套用敏感度標籤的內容。 為了協助確保只偵測到支援的檔類型，您應該將此條件與 擴展名為 或 檔類型為 條件搭配使用。
• 無法掃描檔。
  此條件適用於因下列其中一個原因而無法掃描的檔案：
  - 檔案包含一或多個暫時性文字擷取錯誤
  - 檔案受密碼保護
  - 檔案大小超過支援的上限 (檔案大小上限：未壓縮檔案為 64 MB;壓縮檔案的 256 MB)
• 檔名稱包含 預覽) (單字或片語。
  偵測檔名包含您指定的任何單字或片語，例如： file、 credit card、 patent等等。
• 檔名稱符合模式。
  偵測檔名符合特定模式的檔。 若要定義模式，請使用通配符。 如需 regex 模式的資訊，請參閱 這裡的正規表達式檔。
• 檔或附件受到密碼保護。
  此條件只會偵測開啟的受保護檔案。 完全支援 PDF、Office 檔案、.ZIP、.7z和 Symantec PGP 加密檔案。
• 檔大小等於或大於。
  偵測檔案大小等於或大於指定值的檔。

  重要事項

  建議您設定此條件來偵測大小大於 100KB 的專案。

• 擴展名為
• 檔類型為
• 掃描未完成。
  當開始掃描檔案，但在掃描整個檔案之前停止時，就會套用此條件。 掃描不完整的主要原因是檔案內擷取的文字超過允許的大小上限。 (擷取文字的大小上限：未壓縮的檔案：4 MB;壓縮的檔案：N=1000 / 擷取時間 = 5 分鐘。)
• 使用者已從 Microsoft Edge 存取敏感性網站。 如需詳細資訊，請參閱 案例 6 監視或限制敏感性服務網域上的用戶活動 (預覽) 。
• 調適型保護的測試人員風險層級為

另請參閱： 您可以監視並採取動作的端點活動。

注意事項

預覽中條件的作業系統需求。

若要使用上述任一條件，您的端點裝置必須執行下列其中一個操作系統：

• Windows 11 23H2：[2023 年 12 月 4 日— KB5032288 (OS 組建 22621.2792 和 22631.2792) Preview] () https://support.microsoft.com/en-us/topic/december-4-2023-kb5032288-os-builds-22621-2792-and-22631-2792-preview-538fbe4a-e9de-4312-85cd-d870444341d0

• Windows 11 22H2：December 4， 2023 — KB5032288 (OS 組建 22621.2792 和 22631.2792) 預覽 - Microsoft 支援服務

• Windows 11 21H2：December 12， 2023 — KB5033369 (OS 組建 22000.2652) - Microsoft 支援服務

• Windows 10 22H2：2023 年 11 月 30 日 — KB5032278 (OS 組建 19045.3758) 預覽 - Microsoft 支援服務

• Windows 10 21H2：2023年 11 月 30 日 — KB5032278 (OS 組建 19045.3758) 預覽 - Microsoft 支援服務

• Windows Server 2022/2019：2023 年 11 月 14 日 — KB5032198 (OS 組建 20348.2113) - Microsoft 支援服務 (或更新版本)

重要事項

如需搭配 PDF 檔案使用 Microsoft Purview 資料外洩防護 (DLP) 功能的 Adobe 需求相關信息，請參閱 Acrobat 中的 Adobe：Microsoft Purview 資訊保護 支援一文。

條件實例支援

• 內容包含
• 內容是從 Microsoft 365 共用

內部部署存放庫支持的條件

• 內容包含
• 擴展名為
• 文件屬性為

Power BI 支援的條件

• 內容包含

條件群組

有時候您只需要一個規則來識別一件事，例如包含單一 SIT 所定義之美國社會安全號碼的所有內容。 不過，在許多案例中，您嘗試識別的專案類型較為複雜，因此難以定義，因此需要在定義條件時有更大的彈性。

例如，若要識別受限於美國健康保險資訊流通及責任法案 (HIPAA) 的內容，您需要尋找：

• 包含特定類型之機密資訊的內容，例如美國社會安全號碼或藥物管理局 (DEA) 編號。

  AND

• 更難以識別的內容，例如病患的照護通訊或提供的醫療服務描述。 要識別此種內容，需要將關鍵字與大型的關鍵字清單比對，例如國際疾病分類 (ICD-9-CM 或 ICD-10-CM)。

您可以將條件分組，並使用邏輯運算子 (AND，或在群組之間) ，來識別這種類型的數據。

針對 美國健康保險法案 (HIPPA) ，條件會依下列方式分組：

第一個群組包含識別個別的 SIT，而第二個群組包含識別醫療診斷的 SIT。

條件可以由布爾運算符 (AND、OR、NOT) 來分組和聯結，以便您定義規則，方法是說明應該包含哪些專案，然後在聯結至第一個的不同群組中定義由 NOT 聯結的排除專案。 若要深入瞭解 Purview DLP 如何實作布爾值和巢狀群組，請參閱 複雜規則設計。

條件的 DLP 平臺限制

謂詞	工作負載	限制	評估成本
內容包含	EXO/SPO/ODB	每個規則 125 個 SIT	高
內容是從 Microsoft 365 共用	EXO/SPO/ODB	-	高
寄件者 IP 位址為	外	個別範圍長度 <= 128;Count <= 600	低
已讓寄件人覆寫原則提示	外	-	低
寄件者為	外	個別電子郵件長度 <= 256;Count <= 600	中
寄件者是的成員	外	Count <= 600	高
寄件者網域為	外	功能變數名稱長度 <= 67;Count <= 600	低
寄件者位址包含文字	外	個別字長度 <= 128;Count <= 600	低
寄件者地址符合模式	外	Regex length <= 128 char;Count <= 600	低
寄件者 AD 屬性包含單字	外	個別字長度 <= 128;Count <= 600	中
寄件者 AD 屬性符合模式	外	Regex length <= 128 char;Count <= 600	中
無法掃描電子郵件附件 () 的內容	外	支援的檔案類型	低
電子郵件附件內容的未完成掃描	外	大小 > 1 MB	低
附件受到密碼保護	外	檔類型：Office 檔案、.PDF、.ZIP 和 7z	低
附件的副檔名為	EXO/SPO/ODB	計數 <= 每個規則 600 個	高
收件者為以下的成員	外	Count <= 600	高
收件者網域為	外	功能變數名稱長度 <= 67;Count <= 5000	低
收件者為	外	個別電子郵件長度 <= 256;Count <= 600	低
收件者地址包含文字	外	個別字長度 <= 128;Count <= 600	低
收件者地址符合模式	外	Count <= 300	低
檔名稱包含單字或片語	外	個別字長度 <= 128;計數 <=600	低
檔名稱符合模式	外	Regex length <= 128 char;Count <= 300	低
文件屬性為	EXO/SPO/ODB	-	低
檔大小等於或大於	外	-	低
主旨包含單字或片語	外	個別字長度 <= 128;Count <= 600	低
標頭包含單字或片語	外	個別字長度 <= 128;Count <= 600	低
主旨或本文包含單字或詞組	外	個別字長度 <= 128;Count <= 600	低
內容字元集包含文字	外	Count <= 600	低
標頭符合模式	外	Regex length <= 128 char;Count <= 300	低
主題符合模式	外	Regex length <= 128 char;Count <= 300	低
主旨或本文符合模式	外	Regex length <= 128 char;Count <= 300	低
訊息類型為	外	-	低
訊息大小超過	外	-	低
具有重要性	外	-	低
寄件者 AD 屬性包含單字	外	每個屬性索引鍵值組：具有 Regex 長度 <= 128 char;Count <= 600	中
寄件者 AD 屬性符合模式	外	每個屬性索引鍵值組：具有 Regex 長度 <= 128 char;Count <= 300	中
檔包含單字	外	個別字長度 <= 128;Count <= 600	中
檔比對模式	外	Regex length <= 128 char;Count <= 300	中

動作

任何透過 條件 篩選條件的專案，都會套用規則中定義的任何 動作 。 您必須設定必要的選項來支援動作。 例如，如果您選取 [使用 限制存取或加密 Microsoft 365 位置中的內容 ] 動作的 [Exchange]，您需要從下列選項中選擇：

• 封鎖使用者存取共用 SharePoint、OneDrive 和 Teams 內容
  • 封鎖所有人。 只有內容擁有者、最後修飾詞和網站管理員才能繼續存取
  • 僅封鎖組織外部的人員。 組織內的使用者將繼續擁有存取權。
• 加密電子郵件訊息 (僅適用於 Exchange 中的內容)

規則中可用的動作取決於已選取的位置。 以下列出每個個別位置的可用動作。

重要事項

針對 SharePoint 和 OneDrive 位置，在偵測到敏感性資訊 (之後，將會立即主動封鎖檔，不論是否共用檔，所有外部使用者) ;內部使用者將繼續擁有檔的存取權。

支持的動作：Exchange

在 Exchange 中套用 DLP 原則規則時，它們可能會 停止、 未停止，或 兩者皆非。 Exchange 支援的大部分規則都未暫止。 在處理後續規則和原則之前，會立即評估並套用非停止動作，如本文稍早的 託管服務位置 中所述。

不過，當 DLP 原則規則觸發 停止 動作時，Purview 會停止處理任何後續規則。 例如，觸發 [ 限制存取或加密 Microsoft 365 位置中的內容 ] 動作時，不會處理任何進一步的規則或原則。

如果動作 不是 停止，也不是未中止，Purview 會等候動作的結果發生，然後再繼續。 因此，當外寄電子郵件觸發 [ 轉寄訊息以核准給寄件者管理員 ] 動作時，Purview 會等候管理員決定是否要傳送電子郵件。 如果管理員核准，動作的行為會是非暫止動作，並會處理後續規則。 相反地，如果經理拒絕傳送電子郵件，請將 核准的郵件轉寄給寄件者的經理 ，其行為會是停止動作，並封鎖電子郵件的傳送;不會處理後續的規則或原則。

下表列出 Exchange 支援的動作，並指出動作是停止還是未停止。

動作	中止/非中止
限制存取或加密 Microsoft 365 位置中的內容	停止
設定標頭	未停止
拿掉標頭	未停止
將訊息重新導向至特定使用者	未停止
將訊息轉寄給寄件者管理員以供核准	都不要
將核准的訊息轉寄給特定核准者	都不要
將收件者新增至 [收件者] 方塊	未停止
將收件者新增至 [副本] 方塊	未停止
將收件者新增至密件抄送方塊	未停止
將寄件人的管理員新增為收件者	未停止
拿掉訊息加密和版權保護	未停止
前置 Email 主旨	未停止
新增 HTML 免責聲明	未停止
修改 Email 主旨	未停止
將訊息傳遞至託管的隔離區	停止
將商標套用至加密的訊息	未停止

提示

針對 [將商標套用至加密訊息] 動作，如果您已實作 Microsoft Purview 郵件加密，範本會自動顯示在下拉式清單中。 如果您想要實作 Microsoft Purview 郵件加密，請參閱將組織的品牌新增至您的 Microsoft Purview 郵件加密 加密訊息，以取得訊息加密的背景資訊，以及如何建立和設定品牌範本。

如需 Exchange 支援之動作的詳細資訊，包括 PowerShell 值，請參閱： 數據外洩防護 Exchange 條件和動作參考。

支持的動作：SharePoint

• 限制存取或加密 Microsoft 365 位置中的內容

支持的動作：OneDrive

• 限制存取或加密 Microsoft 365 位置中的內容

支持的動作：Teams 聊天和頻道訊息

• 限制存取或加密 Microsoft 365 位置中的內容

支援的動作：裝置

• 限制存取或加密 Microsoft 365 位置中的內容
• 當使用者存取 Windows 裝置上 Microsoft Edge 瀏覽器中的敏感性網站時，稽核或限制活動 (如需詳細資訊，請參閱案例 6 監視或限制敏感性服務網域上的用戶活動) 。)
• 稽核或限制裝置上的活動

若要使用 Audit or restrict activities on Windows devices，您必須在 DLP 設定 和您想要使用它們的原則中設定選項。 如需詳細資訊，請參閱 受限制的應用程式和應用程式群組 。

裝置位置提供許多子活動 (條件) 和動作。 若要深入瞭解，請參閱 您可以監視並採取動作的端點活動。

當您選取 [稽核或限制 Windows 裝置上的活動] 時，可以依服務網域或瀏覽器來限制用戶活動，並將 DLP 所採取的動作範圍設定為：

• 所有應用程式
• 由您定義的受限制應用程式清單
• 您定義的受限制應用程式群組 (預覽) 。

服務網域和瀏覽器活動

當您設定 [ 允許/封鎖雲端服務網域 ] 和 [ 不允許的瀏覽器 ] 清單時 (請參閱 敏感數據) 的瀏覽器和網域限制 ，以及使用者嘗試將受保護的檔案上傳至雲端服務網域，或從不允許的瀏覽器存取它時，您可以將原則動作設定為 Audit only、 Block with override或 Block 活動。

所有應用程式的檔案活動

使用 [ 所有應用程式的檔案活動 ] 選項，您可以選取 [ 不要限制檔案活動 ] 或 [ 將限制套用至特定活動]。 當您選取 [ 將限制套用至特定活動] 時，當使用者存取 DLP 保護專案時，就會套用您在此處選取的動作。 您可以將 DLP 告訴 Audit only、 Block with override或 Block (這些使用者活動) 動作：

• 複製到剪貼簿
• 複製到 USB 卸載式磁碟驅動器
• 複製到網路共用
• Print
• 使用不允許的藍牙應用程式複製或移動
• 遠端桌面服務

受限制的應用程式活動

先前稱為不允許的應用程式， 受限制的應用程式活動 是您想要限制的應用程式。 您可以在端點 DLP 設定的清單中定義這些應用程式。 當使用者嘗試使用清單上的應用程式存取 DLP 保護的檔案時，您可以使用 Audit only、 Block with override或 Block 活動。 如果應用程式是 受限制應用程式 群組的成員，則會覆寫限制應用程式活動中定義的 DLP 動作。 然後套用受限制應用程式群組中定義的動作。

[受限制的應用程式群組] 中的應用程式檔案活動 (預覽)

您可以在端點 DLP 設定中定義受限制的應用程式群組，並將受限制的應用程式群組新增至原則。 當您將受限制的應用程式群組新增至原則時，您必須選取下列其中一個選項：

• 不要限制檔案活動
• 將限制套用至所有活動
• 將限制套用至特定活動

當您選擇其中一個 [ 套用限制 ] 選項，且使用者嘗試使用受限制應用程式群組中的應用程式存取受 DLP 保護的檔案時，您可以依活動來存 Audit only取 、 Block with override或 Block 。 您在此處定義的 DLP 動作會覆寫限制 應用程式活動 和應用程式 所有應用程式的檔案活動 中定義的動作。

如需詳細資訊，請參閱 受限制的應用程式和應用程式群組 。

實例動作

• 限制存取或加密 Microsoft 365 位置中的內容
• 限制第三方應用程式

內部部署存放庫動作

• 限制存取或移除內部部署檔案。
  • 封鎖人員存取儲存在內部部署存放庫中的檔案
  • 設定繼承自父資料夾的檔案許可權 (許可權)
  • 將檔案從儲存到隔離資料夾的位置移動

如需完整詳細數據，請參閱 DLP 內部部署存放庫動作 。

Power BI 動作

• 透過電子郵件和原則提示通知使用者
• 將警示傳送給系統管理員

合併位置時可用的動作

如果您選取 Exchange 和任何其他要套用原則的單一位置，

• 限制存取或加密 Microsoft 365 位置中的內容，而且可以使用非 Exchange 位置動作的所有動作。

如果您為要套用的原則選取兩個或多個非 Exchange 位置，則為

• 限制存取或加密 Microsoft 365 位置中的內容，非 Exchange 位置動作的所有動作都將可供使用。

例如，如果您選取 Exchange 和裝置位置，這些動作將可供使用：

• 限制存取或加密 Microsoft 365 位置中的內容
• 稽核或限制 Windows 裝置上的活動

如果您選取 [裝置和實例]，這些動作將可供使用：

• 限制存取或加密 Microsoft 365 位置中的內容
• 稽核或限制 Windows 裝置上的活動
• 限制第三方應用程式

動作是否生效取決於您設定原則模式的方式。 您可以選取 [在模擬模式中執行原則] 選項，選擇在 模擬模式中 執行原則，而不顯示原則提示。 您可以選取 [立即 開 啟] 選項，選擇在建立原則一小時后立即執行原則，也可以選擇只儲存它，稍後再選取 [ 將它保持關閉 ] 選項。

動作的 DLP 平臺限制

動作名稱	工作負載	限制
在 Microsoft 365 中限制存取或加密內容	EXO/SPO/ODB
設定標頭	外
拿掉標頭	外
將訊息重新導向至特定使用者	外	所有 DLP 規則總計 100 個。 不能是 DL/SG
將訊息轉寄給寄件者管理員以供核准	外	應在AD中定義管理員
將核准的訊息轉寄給特定核准者	外	不支援群組
將收件者新增至 [ 收件者] 方塊	外	收件者計數 <= 10;不能是 DL/SG
將收件者新增至 [副本] 方 塊	外	收件者計數 <= 10;不能是 DL/SG
將收件者新增至 密件抄送方 塊	外	收件者計數 <= 10;不能是 DL/SG
將寄件人的管理員新增為收件者	外	應在AD中定義管理員屬性
套用 HTML 免責聲明	外
前置主旨	外
套用訊息加密	外
拿掉訊息加密	外

使用者通知和原則提示

當用戶嘗試在符合規則條件的內容中對敏感性專案進行活動 (例如，OneDrive 網站上包含個人標識資訊的 Excel 活頁簿等內容 (PII) ，並與來賓) 共用時，您可以透過使用者通知電子郵件和內容內原則提示彈出視窗讓他們知道。 這些通知很有用，因為它們可提高對貴組織 DLP 原則的認知並協助教育人員。

重要事項

• 通知電子郵件會在未受保護的情況下傳送。
• Email 通知僅支援 Microsoft 365 服務。

Email 選取的位置支援通知

選取的位置	支援 Email 通知
裝置	- 不支援
Exchange + 裝置	- 支援 Exchange - 裝置不支援
Exchange	-支援
SharePoint + 裝置	- 支援 SharePoint - 裝置不支援
SharePoint	-支援
Exchange + SharePoint	- 支援 Exchange - 支援 SharePoint
裝置 + SharePoint + Exchange	- 裝置不支援 - 支援 Exchange 支援的 SharePoint
Teams	- 不支援
OneDrive	- 支援公司或學校 用 OneDrive - 裝置不支援
Power-BI	- 不支援
執行個體	- 不支援
內部部署存放庫	- 不支援
Exchange + SharePoint + OneDrive	- 支援 Exchange - 支援 SharePoint - 支援 OneDrive

您也可以為人員提供 覆寫原則的選項，讓他們在有有效的商務需求或原則偵測到誤判時，不會遭到封鎖。

使用者通知和原則提示設定選項會根據您選取的監視位置而有所不同。 如果您選取：

• Exchange
• SharePoint
• OneDrive
• Teams 聊天和頻道
• 執行個體

您可以啟用/停用各種 Microsoft 應用程式的使用者通知，請參閱 數據外洩防護原則提示參考

• 您可以使用原則提示來啟用/停用通知。
  • 電子郵件通知給傳送、共用或上次修改內容 OR 的使用者
  • 通知特定人員

和自訂電子郵件文字、主旨和原則提示文字。

如需自定義使用者通知電子郵件的詳細資訊，請參閱 自定義電子郵件通知。

如果您只選取 [裝置]，您會取得所有適用於 Exchange、SharePoint、OneDrive、Teams 聊天和頻道和實例的相同選項，以及自定義顯示在 Windows 10/11 裝置上之通知標題和內容的選項。

您可以使用下列參數來自定義文字的標題和本文。

一般名稱	參數	範例
檔案名稱	%%FileName%%	Contoso 檔 1
進程名稱	%%ProcessName%%	Word
原則名稱	%%PolicyName%%	Contoso 高度機密
action	%%AppliedActions%%	將檔案內容從剪貼簿貼到另一個應用程式

自訂訊息字元限制快顯

使用者通知受限於下列字元限制：

變數	字元限制
DLP_MAX-SIZE-TITLE	120
DLP_MAX-SIZE-CONTENT	250
DLP_MAX-SIZE-JUSTIFICATION	250

%%AppliedActions%% 會將這些值取代為訊息本文：

動作一般名稱	在中取代為 %%AppliedActions%% 參數的值
複製到可移除的記憶體	寫入卸除式記憶體
複製到網路共用	寫入網路共用
列印	印刷
從剪貼簿貼上	從剪貼簿貼上
透過藍牙複製	透過藍牙傳輸
使用不允許的應用程式開啟	使用此應用程式開啟
複製到遠端桌面 (RDP)	傳輸至遠端桌面
上傳至不允許的網站	上傳至此網站
透過不允許的瀏覽器存取專案	使用此瀏覽器開啟

使用此自定義文字

%%已套用Actions%% 您的組織不允許透過 %%ProcessName%% 的檔案名 %%FileName%% 。 如果您想要略過原則 %%PolicyName%%，請選取 [允許]。

會在自訂通知中產生此文字：

從剪貼簿貼上檔名：組織不允許透過 WINWORD.EXE 的 Contoso 檔 1。 如果您想要略過 Contoso 高度機密原則，請選取 [允許] 按鈕

您可以使用 Set-DlpComplianceRule -NotifyPolicyTipCustomTextTranslations Cmdlet 將自定義原則提示本地化。

注意事項

內部部署位置無法使用使用者通知和原則提示

只會顯示最高優先順序、最嚴格規則的原則提示。 例如，會封鎖內容存取權的規則與僅傳送通知的規則，只會顯示前者的原則提示。 這樣可避免使用者看到重疊顯示的原則提示。

若要深入瞭解使用者通知和原則提示設定和使用，包括如何自定義通知和提示文字，請參閱

• 傳送電子郵件通知並顯示 DLP 原則的原則提示。

原則提示參考

如需支援不同應用程式的原則提示和通知的詳細數據，請參閱這裡：

• 適用於 Microsoft 365 Outlook 的資料外洩防護原則提示參考
• Outlook 網頁版的資料外洩防護原則提示參考
• 數據外洩防護原則提示參考 Microsoft 365 和 OneDrive 中的 SharePoint。 Web 用戶端

Microsoft 365 和 OneDrive 中的 SharePoint 封鎖和通知

下表顯示 Microsoft 365 和 OneDrive 中範圍為 SharePoint 之原則的 DLP 封鎖和通知行為。

條件	動作設定	使用者通知設定	事件報告設定	封鎖和通知行為
- 內容是從 Microsoft 365 - 共用與組織外部的人員	未設定任何動作	- 已選取 [在 Office 365 服務中以原則提示通知使用者] 的 - 使用者通知已選 - 取 [通知傳送、共用或上次修改內容的使用者]	- 每次活動符合設定為 [使用電子郵件事件報告] 的規則設定 - 為 [開啟] 時，將規則相符項目設定 - 為 [傳送警示] 時，傳送警示給系統管理員。	只有當檔案與外部用戶共用，而外部使用者存取檔案時，才會傳送通知。
- 內容是從 Microsoft 365 - 共用只有組織內的人員	未設定任何動作	- 已選取 [在 Office 365 服務中以原則提示通知使用者] 的 - 使用者通知已選 - 取 [通知傳送、共用或上次修改內容的使用者]	- 在每次選取 - 活動符合規則時，將規則相符設定為 [傳 - 送警示] 時傳送警示給系統管理員使用電子郵件事件報告，在原則相符專案設定為 [開啟] 時通知您	上傳檔案時會傳送通知
- 內容是從 Microsoft 365 - 共用只有組織內的人員	- 已選取 Microsoft 365 位置中的內容限制存取或加密 - 已選取封鎖使用者接收電子郵件或存取共用 SharePoint、OneDrive 和 Teams 檔案 -已選取 [封鎖所有人]	- 使用者通知設定為 - [在Office 365 服務中使用原則提示通知使用者] 已選取 - [通知傳送、共用或上次修改內容的使用者]	- 每次活動符合 - 規則時，將規則比對設定為 [傳 - 送警示] 時，傳送警示給系統管理員：[使用電子郵件事件報告] 會在原則相符項目設定為 [開啟] 時通知您	- 敏感性檔案的存取會在上傳后立即遭到封鎖 - 上傳檔案時會傳送通知
- 內容是從 Microsoft 365 - 共用與組織外部的人員	- 已選取 - [限制存取或加密 Microsoft 365 位置中的內容封鎖使用者接收電子郵件或存取共用 SharePoint、OneDrive 和 Teams 檔案] 已選取 - [僅封鎖您組織外部的人員已選取]	- 使用者通知設定為 - [在Office 365 服務中使用原則提示通知使用者] 已選取 - [通知傳送、共用或上次修改內容的使用者]	- 在每次選取 - 活動符合規則時，將規則相符設定為 [傳 - 送警示] 時傳送警示給系統管理員使用電子郵件事件報告，在原則相符專案設定為 [開啟] 時通知您	- 不論所有外部使用者是否共享檔，敏感性檔案的存取都會在上傳后立即遭到封鎖。 - 如果敏感性資訊在組織外部的用戶共用並存取之後新增至檔案，則會傳送 警示和事件報告 - 如果檔在上傳之前包含敏感性資訊，則會主動封鎖外部共用。 由於此案例中的外部共用會在檔案上傳時遭到封鎖，因此不會傳送任何警示或事件報告。 隱藏警示和事件報告的設計目的是要防止針對每個封鎖的檔案向使用者發出大量警示。 - 主動式封鎖會在稽核記錄和活動總管中顯示為事件。
- 內容是從 Microsoft 365 - 共用與組織外部的人員	- 已選取 - [限制存取或加密 Microsoft 365 位置中的內容][封鎖使用者接收電子郵件或存取共用 SharePoint、OneDrive 和 Teams 檔案] 已選取 [封鎖所有人已選取 - ]	- 使用者通知設定為 - [在Office 365 服務中使用原則提示通知使用者] 已選取 - [通知傳送、共用或上次修改內容的使用者]	- 在每次選取 - 活動符合規則時，將規則相符設定為 [傳 - 送警示] 時傳送警示給系統管理員使用電子郵件事件報告，在原則相符專案設定為 [開啟] 時通知您	當檔案與外部用戶共用，且外部使用者存取該檔案時，就會傳送通知。
- 內容是從 Microsoft 365 共用	- 已選取 [限制存取或加密 Microsoft 365 位置中的內容] - [僅封鎖透過 [具有連結的任何人] 選項獲得內容存取權的人員。	- 已選取 [在 Office 365服務中以原則提示通知使用者] 的 - 使用者通知。 - 通知已選取內容傳送、共用或上次修改的使用者	- 在每次選取 - 活動符合規則時，將規則相符設定為 [傳 - 送警示] 時傳送警示給系統管理員使用電子郵件事件報告，在原則相符專案設定為 [開啟] 時通知您	一旦上傳檔案，就會立即傳送通知。

深入瞭解 URL

使用者可能想要瞭解其活動遭到封鎖的原因。 您可以設定網站或頁面，進一步說明您的原則。 當您選取 [為使用者提供合規性 URL] 以深入瞭解貴組織的原則 (僅適用於 Exchange) ，且使用者在 Outlook Win 32 中收到原則提示通知時， [深入瞭解] 連結會指向您提供的網站 URL。 此 URL 的優先順序高於 使用 Set-PolicyConfig -HostedceURL 設定的全域合規性 URL。

重要事項

您必須設定從頭開始 深入瞭解 的網站或頁面。 Microsoft Purview 未提供現用的這項功能。

使用者覆寫

使用者覆寫的目的是要讓使用者在 Exchange、SharePoint、OneDrive 或 Teams 中的敏感性專案上略過 DLP 原則封鎖動作，讓他們能夠繼續工作。 只有在啟用使用原則提示通知 Office 365 服務中的使用者時，才會啟用使用者覆寫，因此使用者覆寫會使用通知和原則提示進行手動。

注意事項

內部部署存放庫位置無法使用使用者覆寫。

一般而言，當您的組織第一次推出原則時，使用者覆寫會很有用。 您從任何覆寫理由和識別誤判的意見反應，有助於微調原則。

• 如果最嚴格規則中的原則提示允許人員覆寫規則，則覆寫此規則也將會覆寫內容符合的任何其他規則。

業務理由 X 標頭

當使用者在電子郵件上覆寫具有覆寫動作的區塊時，覆寫選項及其提供的文字會儲存在 稽核記錄 檔和電子郵件 X 標頭中。 若要檢視商業理由覆寫，請 在稽 核記錄 ExceptionInfo 中搜尋詳細數據的值。 以下是稽核記錄值的範例：

{
    "FalsePositive"; false,
    "Justification"; My manager approved sharing of this content",
    "Reason"; "Override",
    "Rules": [
         "<message guid>"
    ]
}

如果您有使用商業理由值的自動化程式，程式可以在電子郵件 X 標頭數據中以程式設計方式存取該資訊。

注意事項

這些 msip_justification 值會以下欄順序儲存：

False Positive; Recipient Entitled; Manager Approved; I Acknowledge; JustificationText_[free text].

請注意，這些值會以分號分隔。 允許的可用文字上限為 500 個字元。

事件報告

符合規則時，您可以將 警示 電子郵件傳送給合規性主管 (或您選擇) 的任何人員，並提供事件的詳細數據，您可以在 Microsoft Purview 數據外泄防護 警示 儀錶板和 Microsoft 365 Defender 入口網站中檢視這些警示。 警示包含已比對專案的相關信息、符合規則的實際內容，以及上次修改內容的人員名稱。

在預覽版中，系統管理員警示電子郵件包含詳細數據，例如：

• 警示嚴重性
• 警示的發生時間
• 活動。
• 偵測到的敏感數據。
• 活動觸發警示之用戶的別名。
• 符合的原則。
• 警示標識碼
• 如果 裝置 位置在原則範圍內，則嘗試執行的端點作業。
• 正在使用的應用程式。
• 如果端點裝置上發生相符專案，則為裝置名稱。

DLP 會將事件資訊饋送至其他 Microsoft Purview 資訊保護 服務，例如內部風險管理。 若要將事件資訊提供給內部風險管理，您必須將 事件報告 嚴重性層級設定為 [高]。

警示類型

每次活動符合規則時，都可以傳送警示，這可能會產生雜訊，或是根據一段設定期間內的相符項目數目或專案量進行匯總。 有兩種類型的警示可在 DLP 原則中設定。

單一事件警示 通常用於監視低數量之高敏感性事件的原則，例如將10個或更多客戶信用卡號碼傳送到組織外部的單一電子郵件。

匯總事件警示 通常用於監視在較長時間內發生較大磁碟區之事件的原則中。 例如，當組織外部有10封具有一個客戶信用卡號碼的個別電子郵件傳送超過48小時時，就會觸發匯總警示。

其他警示選項

當您選取 [使用電子郵件事件報告在原則相符時通知您 ]，您可以選擇包含：

• 上次修改內容的人員名稱。
• 符合規則的敏感性內容類型。
• 規則的嚴重性層級。
• 符合規則的內容，包括周圍的文字。
• 包含符合規則之內容的專案。

如需警示的詳細資訊，請參閱：

• DLP 原則中的警示：描述 DLP 原則內容中的警示。
• 開始使用數據外洩防護警示：涵蓋 DLP 警示和警示參考詳細數據的必要許可權、許可權和必要條件。
• 建立和部署數據外洩防護原則：在建立 DLP 原則的內容中包含警示設定的指引。
• 瞭解如何調查數據外洩防護警示：涵蓋調查 DLP 警示的各種方法。
• 使用 Microsoft Defender 全面偵測回應 調查數據遺失事件：如何在 Microsoft Defender 入口網站中調查 DLP 警示。

裝置上檔案活動的辨識項集合

如果您已 針對裝置上的檔案活動啟用安裝辨識項集合 ，並新增了 Azure 儲存器帳戶，您可以選取 [收集原始檔案] 作為端點上所有選取檔案活動的辨識項 ，以及您想要複製專案的 Azure 儲存器帳戶。 您也必須選擇要複製項目的活動。 例如，如果您選取 [列印 ] 而不是 [ 複製到網络分享]，則只會將從受監視裝置列印的專案複製到 Azure 儲存器帳戶。

其他選項

如果您在原則中有多個規則，您可以使用 [其他] 選項 來控制與您正在編輯的規則相符時的進一步規則處理，以及設定評估規則的優先順序。

另請參閱

• 深入了解資料外洩防護
• 規劃資料外洩防護 (DLP)
• 建立和部署數據外洩防護原則