測試數據外洩防護原則

您應該測試並調整 Microsoft Purview 資料外洩防護 (DLP) 原則的行為，作為 DLP 原則部署的一部分。 本文將介紹可用來測試 DLP 環境中原則的兩個基本方法。

模擬模式

當您部署新的原則或需要修改現有的原則時， 應該以模擬模式執行它， 然後檢閱警示以評估影響。 模擬模式可讓您查看個別原則對原則範圍內所有項目的影響，而不需要實際強制執行。 您可以使用它來找出哪些專案符合原則。

Test-DlpPolicies

Test-DlpPolicies 是一個 Cmdlet，可讓您查看哪些 DLP 原則的範圍限於 SharePoint 和 OneDrive 比對/不符合 SharePoint 或 OneDrive 中的個別專案。

開始之前

• 您必須能夠連線到安全 性 & 合規性 PowerShell。
• 您必須有有效的 SMTP 位址才能傳送報表。 例如：dlp_admin@contoso.com
• 您必須取得專案所在的網站識別碼。
• 您必須具有專案的直接連結路徑。

重要事項

• Test-DlpPolicies 僅適用於 SharePoint 或 OneDrive 中的專案。
• 它只會報告單獨包含 SharePoint、單獨包含 OneDrive 或其範圍中 SharePoint 和 OneDrive 的原則結果。
• Test-DlpPolices 僅適用於簡單條件。 它不適用於複雜、分組或巢狀條件。

使用 Test-DlpPolices

若要查看專案將符合哪些 DLP 原則，請遵循下列步驟：

取得專案的直接連結路徑

1. 在瀏覽器中開啟 SharePoint 或 OneDrive 資料夾。

2. 選取檔案的省略號，然後選取 詳細數據。

3. 在詳細資料窗格中，向下捲動並選取 [路徑]。 複製直接連結並加以儲存。

   例如：

   https://contoso.sharepoint.com/personal/user_contoso_com/Documents/test.docx

取得網站標識碼

1. 連線至 Exchange Online PowerShell。

2. 針對 SharePoint，請使用下列語法來取得網站標識碼並加以儲存：

   
   $reportAddress = "email@contoso.com" 
   
   $siteName = "SITENAME@TENANT.onmicrosoft.com" 
   
   $filePath = "https://Contoso.sharepoint.com/sites/SOMESITENAME/Shared%20Documents/TESTFILE.pptx"  
   
   $r = Get-Mailbox -Identity $siteName -GroupMailbox 
   
   $e = $r.EmailAddresses | Where-Object {$_ -like '*SPO*'} 
   
   Test-DlpPolicies -SiteId $e.Substring(8,36) -FileUrl $filePath -Workload SPO -SendReportTo $reportAddress
   
   

3. 針對 OneDrive，請使用下列語法來取得網站標識碼並加以儲存。

   
   $reportAddress = "email@contoso.com" 
   
   $odbUser = "USER@TENANT.onmicrosoft.com" 
   
   $filePath = "https://contoso-my.sharepoint.com/personal/userid_contoso_onmicrosoft_com/Documents/TESTFILE.docx" 
   
   $r = Get-Mailbox -Identity $odbUser 
   
   $e = $r.EmailAddresses | Where-Object {$_ -like '*SPO*'} 
   
   Test-DlpPolicies -SiteId $e.Substring(8,36) -FileUrl $filePath -Workload ODB -SendReportTo $reportAddress
   
   

   以下是傳回值的範例：

   36ca70ab-6f38-7f3c-515f-a71e59ca6276

執行 Test-DlpPolicies

• 在 PowerShell 視窗中執行下列語法：

  Test-DlpPolicies -workload <workload> -Fileurl <path/direct link> -SendReportTo <smtpaddress>
  

  例如：

  Test-DlpPolicies -workload <ODB> -Fileurl <https://contoso.sharepoint.com/personal/user_contoso_com/Documents/test.docx> -SendReportTo <dlp_admin@contoso.com>

解譯報告

報表會傳送至您將 Test-DlpPolicies PowerShell 命令傳遞至其中的 SMTP 位址。 有多個字段。 以下是最重要的說明。

欄位名稱	意味著
分類標識碼	專案) (SIT 的敏感性資訊類型分類為
Confidence	SIT 的信賴等級
計數	在專案中找到 SIT 值的總次數，這包括重複專案
唯一計數	在已刪除重複項目的專案中找到的 SIT 值數目
原則詳細數據	已評估之原則的名稱和 GUID
規則 - 規則詳細數據	DLP 規則名稱和 GUID
規則 - 述詞 - 名稱	DLP 規則中定義的條件
規則 - 述詞 - IsMatch	專案是否符合條件
述詞 - 過去的動作	任何動作，例如通知使用者、封鎖、封鎖，以及對專案採取的覆寫
述詞 - 規則的動作	DLP 規則中定義的動作
述詞 - IsMatched	專案是否符合規則
IsMatched	專案是否符合整體原則

另請參閱

• Test-DataClassification 說明如何使用 PowerShell Cmdlet Test-DataClassification。
• Test-Message 說明如何使用 PowerShell Cmdlet Test-Message。