解決影響 DLP 原則提示的問題

  • 發行項
  • 適用於:
    Microsoft Purview Data Loss Prevention

數據外洩防護 (DLP) 原則提示設定是在 DLP 原則中設定。 如果您已在 Exchange Online 中建立 DLP 原則,建議您將其移轉至 Microsoft Purview 合規性入口網站。 這是因為 Exchange 系統管理中心的舊版 Exchange Online 數據外洩防護將會被取代。 對於未移轉的原則,您可能會看到非預期的結果,例如沒有顯示原則提示。

本文說明下列常見的案例,其中 DLP 原則提示可能無法如預期般運作,並提供您可以嘗試的解決方法:

  • 發生原則設定錯誤
  • 僅 (用戶端) 不支持原則設定
  • 並非所有原則條件都符合
  • 只有 (用戶端才會啟用MailTips)
  • 原則提示會同時在多個位置中設定
  • GetDLPPolicyTip 在 Fiddler 追蹤中找不到呼叫
  • 用戶端不支援僅限 Mac (MailTips)
  • 僅在 Windows 7 上 (PDF 不支援文件系統設定)
  • 無效的測試數據

原則設定錯誤

原則是使用 使用者通知來設定,但原則的狀態與規則中的設定不符。 以下是開啟原則,但原則狀態會 先顯示 [測試] 的範例。

使用者通知的螢幕快照。

標題為 [測試或開啟原則] 的視窗螢幕快照。原則狀態中會醒目提示標題為 [先測試]的狀態。

如果原則設定是使用兩個或多個規則來偵測具有相同 實例計數 值和信賴等級的相同敏感數據類型,也可能會發生原則設定錯誤。

SSN 規則的螢幕快照,設定為根據敏感性資訊類型進行偵測。

SSN 內容規則的螢幕快照,設定為根據敏感性資訊類型進行偵測。

這種設定是不必要的且有問題的。 只需要一個規則。

解決方案

在這些案例中,請只建立一個規則,並使用偵測以相同敏感數據類型為基礎的參數。

Outlook 2013 和更新版本不支持原則設定

請參閱 Outlook 2013 和更新版本支援只顯示某些條件和例外狀況的原則提示

並非所有原則條件都符合

此案例主要發生在 SharePoint Online 中的原則提示無法如預期般運作時,商務用 OneDrive,因為原則中已設定外部共享條件。

此螢幕快照顯示已在原則中設定外部共享條件。

注意事項

目前,除非位於組織外部的外部合作物件第一次存取內容,否則不會將內容編製為外部共用的索引。

(Outlook 2013 和更新版本的用戶端中,不會啟用 MailTips)

針對 Outlook 2013 和更新版本的用戶端,請確定已啟用 MailTips。 若要在 Outlook 中啟用 MailTips,請先確定已啟用原則提示。 如果要執行這項操作,請依照下列步驟執行:

  1. 在 Outlook 中,選取 [檔案>選項>郵件]

  2. 捲動至 [MailTips] 區 段,然後選取 [ 郵件提示選項]

  3. 在 [ 選取要顯示的郵件提示] 對話框中,確定已選取 [原則 提示通知 ] 選項。

  4. [郵件提示列顯示選項] 底下,確定已選取 [套用 郵件提示時自動顯示 ] 選項。

  5. 選取 [確定] 兩次以關閉 [檔案] 視窗。

  6. 重新啟動 Outlook。

    在 Outlook 中啟用 MailTips 的步驟螢幕快照。

在多個位置中設定的原則提示

請參閱 Exchange 系統管理中心與安全性 & 合規性中心的原則提示

GetDLPPolicyTip 在 Fiddler 追蹤中找不到呼叫

如果 DLP 原則提示無法如預期般運作,Fiddler 是協助您診斷問題的實用工具。 以下是如何使用 Fiddler 追蹤來針對 DLP 原則提示進行疑難解答。

  1. 重現問題時收集 Fiddler 追蹤檔案。 以下是如預期觸發 DLP 原則提示的範例。

    傳送電子郵件訊息時,DLP 原則提示運作範例的螢幕快照。

  2. 在 POST 要求中 GetDLPPolicyTip ,檢查是否在追蹤檔案中進行呼叫。 在上一個範例中 GetDLPPolicyTip ,您可以看到 呼叫。

    POST 要求的螢幕快照,其中已醒目提示 GetDLPPolicyTip 呼叫。

    POST 要求標頭的螢幕快照,其中已醒目提示 GetDLPPolicyTip 呼叫。

  3. 在回應中,檢查 DetectedClassificationIds 值。 如果值欄位不是空的,這表示 DLP 原則符合原則規則。

    [回應] 的螢幕快照,其中已醒目提示 DetectedClassificationIds 值。

如果您找不到 GetDLPPolicyTip 呼叫,而且 DetectedClassificationIds 回應中的值字段是空的,請遵循下列步驟來解決此問題:

  1. 檢查是否已啟用並正確設定 DLP 原則。
  2. 檢查您的使用者是否輸入正確的敏感性資訊,以及有效的收件者或寄件者來觸發原則。

用戶端不支援MailTips

有數個不支持原則提示的 Outlook 用戶端授權。 Exchange 功能的 Outlook 授權需求 會列出支援 DLP 原則提示的 Outlook 用戶端授權。

注意事項

Mac 版 Outlook iOS 用戶端目前不支持原則提示。 因應措施是,您可以將文字新增至 DLP 原則規則的 NDR 回應,以告知使用者如果原本使用 Mac 版 Outlook 提交訊息,請在 OWA 用戶端中重新建立其訊息。 使用 OWA 用戶端向使用者公開原則提示功能,並讓他們覆寫、回報誤判,或根據 DLP 原則規則) 中指定的「通知」動作,輸入商業理由 (。 用戶接著可以提交訊息以進行傳遞。

不支援檔案系統設定

如果下列條件成立,則不會顯示任何原則提示:

  • 您正在 Windows 7 上執行 Outlook 2013 或更新版本的用戶端。
  • 您嘗試將格式化為 Adobe PDF 第 10 版或更新版本的檔案附加至應觸發 DLP 原則提示的電子郵件訊息。

解決方案

若要解決此問題,請仔細遵循 Outlook 的一節 中的步驟,不會顯示 Windows 7 中 PDF 附件的 DLP 原則提示

無效的測試數據

當您評估 DLP 原則規則的 實例計數 和信賴等級時,根據 敏感性資訊類型實體定義,所使用的測試數據無效。 請確定您使用的測試資料有效。

無效實例計數值的螢幕快照。