了解端點資料外洩防護
您可以使用 Microsoft Purview 資料外洩防護 (DLP) 來監視您判斷為敏感性之專案上所採取的動作,並協助防止意外共用這些專案。 如需 DLP 詳細資訊,請參閱 深入了解資料外洩防護。
端點資料外泄防護 (端點 DLP) 會將 DLP 的活動監視和保護功能延伸到實際儲存在Windows 10、Windows 11和 macOS 上的敏感性專案, (三個最新發行的版本) 裝置。 將裝置上線至 Microsoft Purview 合規性解決方案之後,使用者對敏感度項目所進行動作的相關資訊會顯示在活動總管中,而且您可以透過 DLP 原則對這些項目強制執行保護動作。
提示
如果您要尋找卸除式存放裝置的裝置控制,請參閱適用於端點的 Microsoft Defender 裝置控制卸除式存放裝置存取控制。
提示
如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理資料安全性與合規性需求。 立即從Microsoft Purview 合規性入口網站試用中樞開始。 瞭解 有關註冊和試用版條款的詳細資料。
您可以監視和採取動作的端點活動
端點 DLP 可讓您審核及管理下列類型的活動,使用者可以對實際儲存 Windows 10、Windows 11 或 macOS 裝置的敏感專案採取這些動作。
| 活動 | 描述 | Windows 10 1809 和更新版本/ Windows 11 | macOS 三個最新發行的版本 | 可稽核/可限制 |
|---|---|---|---|---|
| 上傳至雲端服務,或由不允許的瀏覽器存取 | 使用者嘗試將項目上載到受限服務域或透過瀏覽器存取項目時偵測。 如果他們使用 DLP 中列為不允許瀏覽器的瀏覽器,則會封鎖上傳活動,並將使用者重新導向為使用 Microsoft Edge。 接著,Microsoft Edge 會根據 DLP 原則設定來允許或封鎖上傳或存取。 您可以根據全域設定中的允許/不允許的網域清單,封鎖、警告或稽核何時上傳或封鎖受保護的檔案上傳至雲端服務。 當設定的動作設定為警告或封鎖時, (在 [全域設定] 底下的 [不允許的瀏覽器] 清單中定義的其他瀏覽器) 會遭到封鎖而無法存取檔案。 | 支援 | 支援 | 可稽核且可限制 |
| 貼到瀏覽器 | 當使用者複製敏感性資訊字串並貼上 (,而不是嘗試將敏感性檔案附加或上傳至瀏覽器時) ,會偵測到此活動。 例如,從資料庫複製資料並貼到 Web 表單中。 | 支援 | 不支援 | 可稽核且可限制 |
| 複製到另一個應用程式 | 使用者嘗試從受保護項目複製資訊,然後將其貼上到另一個應用程式、流程或項目中時偵測。 它也會偵測使用者在相同應用程式、Word、Excel 和 PowerPoint 的程式或專案內的檔案之間複製及貼上內容的時間。 | 支援 | 支援 | 可稽核且可限制 |
| 複製到 USB 卸載式媒體 | 偵測到此活動時,您可以封鎖、警告或稽核將受保護的檔案從端點裝置複製或移動到 USB 抽取式媒體。 | 支援 | 支援 | 可稽核且可限制 |
| 複製到網路共用 | 偵測到此活動時,您可以封鎖、警告或稽核受保護檔案從端點裝置複製或移至任何網路共用的作業。 | 支援 | 支援 | 可稽核且可限制 |
| 列印文件 | 偵測到此活動時,您可以封鎖、警告或稽核從端點裝置列印受保護的檔案。 | 支援 | 支援 | 可稽核且可限制 |
| 複製到遠端會話 | 偵測使用者嘗試將專案複製到遠端桌面會話的時機。 | 支援 | 不支援 | 可稽核且可限制 |
| 複製到藍牙裝置 | 偵測使用者何時嘗試將項目複製到不允許的藍牙應用程式 (如端點 DLP 設定中不允許的藍牙應用程式清單中所定義)。 | 支援 | 支援的預覽 () | 可稽核且可限制 |
| 建立專案 | 偵測專案的建立。 | 支援 | 支援 | 可稽核 |
| 重新命名專案 | 偵測專案的重新命名。 | 支援 | 支援 | 可稽核 |
| 複製到剪貼簿 | 偵測到此活動時,您可以封鎖、警告或稽核將受保護檔案複製到端點裝置上的剪貼簿。 | 支援 | 支援 | 可稽核且可限制 |
| 不允許應用程式存取 | 偵測位於不允許應用程式清單上的應用程式何時 (,如 受限制的應用程式和應用程式群組 中所定義,) 嘗試存取端點裝置上的受保護檔案。 | 支援 | 支援 |
端點 DLP 原則的最佳做法
假設您想要封鎖所有包含信用卡號碼的項目,使其無法離開財務部門使用者的端點。 我們建議:
- 建立原則,並將其範圍設定為端點和該使用者群組。
- 在原則中建立規則,偵測您想要保護的資訊類型。 在此情況下, 內容包含 設定為 [敏感性資訊類型],然後選取 [ 信用卡]。
- 將每個活動的動作設定為 [封鎖]。
如需有關設計 DLP 原則的詳細指引,請參閱 設計資料外泄防護 原則。
注意事項
在 Microsoft Purview 中,敏感性項目的 DLP 原則評估會集中進行,因此,將原則與原則更新發佈至個別裝置的時間不會延遲。 當合規性中心更新了一個原則時,通常需要一小時的時間,以讓更新能在整個服務中同步處理。 同步處理原則更新之後,目標裝置上的專案會在下次存取或修改時自動重新評估。 (預覽) 授權群組變更時,原則需要 24 小時才能同步處理
受監視的檔案
端點 DLP 支援透過原則監視這些檔案類型:
- Word 檔案
- PowerPoint 檔案
- Excel 檔案
- PDF 檔案
- .csv 檔案
- .tsv 檔案
- .txt 檔案
- .rtf 檔案
- .c 檔案
- 僅限 Windows (.class 檔案)
- .cpp 檔案
- .cs 檔案
- .h 檔案
- .java 檔案
DLP 會稽核這些檔案類型的活動,即使沒有符合的原則:
- Word 檔案
- PowerPoint 檔案
- Excel 檔案
- PDF 檔案
重要事項
如需搭配 PDF 檔案使用 Microsoft Purview 資料外洩防護 (DLP) 功能的 Adobe 需求相關資訊,請參閱Acrobat 中的Adobe:Microsoft Purview 資訊保護 支援一文。
如果您只想要從相符原則監控資料,您可以關閉端點 DLP 全域設定中的 [一律稽核裝置的檔案活動]。
如果[裝置的永遠稽核檔案活動] 設定已開啟,則任何Word、PowerPoint、Excel、PDF 和.csv檔案上的活動一律會稽核,即使裝置不是任何原則的目標。
為了確保針對所有支援的檔案類型進行審核活動,請建立 自訂的 DLP 原則。
端點 DLP 會根據 MIME 類型監視活動,因此即使這些檔案類型的副檔名已變更,也會擷取活動:
將副檔名變更為任何其他副檔名之後
- doc
- docx
- xls
- xlsx
- ppt
- pptx
如果副檔名只變更為支援的副檔名:
- txt
- Pst
- msg
- rtf
- c
- Cpp
- h
- cs
- JAVA
- tsv
檔案類型
檔案類型是檔案格式的群組,用來保護特定的工作流程或業務區域。 您可以在 DLP 原則中使用一種或多種檔案類型作為條件。 Windows 10/11 裝置支援檔案類型。
| 檔案類型 | 應用程式 | 已監視的副檔名 |
|---|---|---|
| 文字處理中 | Word、PDF | .doc、.docx、.docm、.dot、.dotx、.dotm、.docb、.pdf |
| 試算表 | Excel, CSV, TSV | .xls, .xlsx, .xlt, .xlm, .xlsm, .xltx, .xltm, .xlsb, .xlw, .csv, .tsv |
| 簡報 | PowerPoint | .ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx |
| 封存 | 檔案封存及壓縮工具 | .zip, .zipx, .rar, .7z, .tar, .gz |
| 電子郵件 | Outlook | .pst, .ost, .msg |
副檔名
如果檔案類型不涵蓋您需要在原則中作為條件列出的副檔名,則可以使用逗號分隔的副檔名。
重要事項
副檔名和檔案類型選項不能用作同一規則中的條件。 如果要將它們用作同一原則中的條件,它們必須在不同規則中。
重要事項
這些 Windows 版本支援檔案類型和副檔名功能:
- Windows 10 版本 20H1/20H2/21H1 (KB 5006738)
- Windows 10 版本 19H1/19H2 (KB 5007189)
- Windows 10 RS5 (KB 5006744)
端點 DLP 有何不同
在您深入了解端點 DLP 之前,您必須先注意一些額外的概念。
啟用裝置管理
[裝置管理] 是一種能夠從裝置收集遙測資訊,並將之引入 Microsoft Purview 解決方案 (例如端點 DLP 和 內部風險管理) 中的功能。 您必須將您想要作為 DLP 原則中位置的所有裝置上線。
您可以從 [裝置管理中心] 下載的腳本處理「登入和登出」。 該中心含有下列每種部署方法的自訂腳本:
- 本機腳本(最多10台電腦)
- 群組原則
- 系統中心設定管理 (版本 1610 或更新版本)
- 行動裝置管理 / Microsoft Intune
- 非持久電腦的 VDI 登入腳本
使用 開始使用 Microsoft 365 端點 DLP 的程式以登入程式。
如果您已透過適用於端點的 Microsoft Defender將裝置上線,這些裝置會自動顯示在裝置清單中。 這是因為 Defender 的上線也會將裝上線至 DLP。 您只需開啟裝置監控即可使用端點 DLP。
查看端點 DLP 資料
您可以移至 DLP 警示管理儀表板,檢視與在端點裝置上強制執行的 DLP 原則相關的警示。
您還可以在同一個儀表板中檢視具有豐富中繼資料的關聯事件的詳細資訊
當裝置登入時,在您設定並部署任何被裝置視為位置的 DLP 原則之前,稽核活動的相關資訊便會導入 [活動總管]。
在稽核活動中,端點 DLP 會收集大量資訊。
例如,如果將檔案複製到可移動 USB 媒體,您會在活動詳細資料中看到下列屬性:
- 活動類型
- 用戶端 IP
- 目標檔案路徑
- 時間戳記
- 檔案名稱
- 使用者
- 檔案副檔名
- 檔案大小
- 敏感資訊類型 (若適用)
- sha1 值
- sha256 值
- 上一個檔案名稱
- 位置
- 母
- 檔案路徑
- 來源位置類型
- 平台
- 裝置名稱
- 目的地位置類型
- 執行複製的應用程式
- 適用於端點的 Microsoft Defender 裝置識別碼 (如果適用)
- 可移除式媒體裝置製造商
- 可移除式裝置模型
- 可移除式裝置序號
Just-In-Time 保護 (預覽)
重要事項
如果您想要試用 Just-In-Time 保護,則必須在 端點 JIT 預覽中註冊租使用者。
端點 DLP 可以在Microsoft Purview 合規性主控台設定> 中啟用後,使用 Just-In-Time保護。
Just-In-Time 保護會將候選原則套用至已上線Windows 10/11 裝置。 候選原則會封鎖受監視檔案上的所有輸出活動,直到原則評估成功完成為止。 候選原則會套用至:
- 從未評估過的專案。
- 評估已過時的專案。 這些是先前評估的專案,尚未由原則的目前更新雲端版本重新評估。
如果在檔案上開始原則評估,但未完成,您可以防止檔案被永久封鎖。 如果原則評估未完成,請使用 Just In-Time 保護組態 後援設定來 允許 或 封鎖 輸出活動。 您可以在Microsoft Purview 合規性主控台>> 設定Just-In-Time 保護設定> 中設定後援設定決定 JIT 保護失敗時會發生什麼情況。
提示
由於 Just-In-Time 的候選原則會套用至已上線裝置上的所有檔案,因此可能會封鎖在評估發生時不會套用原則之檔案上的使用者活動。 若要避免此生產力中斷,您應該先設定原則並將其部署到裝置,再啟用 Just-In-Time 保護。
後續步驟
現在您已經瞭解了端點 DLP,接下來的步驟如下:
- 將 Windows 10 或 Windows 11 裝置上線到 Microsoft Purview 概觀
- 將 macOS 裝置上線到 Microsoft Purview 概觀
- 設定端點資料外洩防護設定
- 使用端點資料外洩防護