開始使用 Microsoft Purview 資料遺失防護的分流代理

利用這些程序在資料遺失防護 (DLP) 中部署Microsoft Purview分流代理。

DLP 代理中的 Purview 分流代理只會分流來自 Exchange、Teams、OneDrive、SharePoint 及 Devices (Endpoint) 地點的政策警報。 如果你想從裝置中分流警示，必須啟用 裝置檔案活動的證據收集 。

開始之前

如果你是 Microsoft Purview 中的 Microsoft Security Copilot Agent 新手，請閱讀這篇文章。

• Microsoft Purview 中的 Security Copilot 代理程式概述

SKU/訂閱與授權

該經紀人同時要求 採用標準的每座位授權模式和按使用付費的計費模式。 您的組織必須持有以下執照：

• Microsoft Purview 資料外洩防護 (Purview DLP) 使用 Purview DLP 分流代理。

代理在執行任務時會消耗安全運算單元 (SCU) 。 你必須設定 SCU 才能讓分診人員正常運作。 消耗的 SCU 數量取決於所處理的警示數量與類型。 欲了解更多關於 SCU 的資訊，請參閱 SCU) (安全計算單元 。 你可以在 使用監控工具中追蹤你的 SCU 消耗。 欲了解更多關於 Microsoft Security Copilot 的入門資訊，請參閱「開始使用 Microsoft Security Copilot」。

有關 E5 中 Security Copilot 授權的資訊，請參見《了解 Microsoft 365 E5 中的 Security Copilot》。

有關授權資訊，請參見

• Microsoft 365 企業版計畫
• Microsoft 365 服務描述

權限與角色

執行代理不同功能所需的權限和角色。 欲了解更多資訊，請參閱 Microsoft Purview 入口網站中的權限，以及 Microsoft Purview 入口網站中的角色與角色群組。

重要事項

代理現在可以擁有自己的代理身份 (閱讀更多： https://learn.microsoft.com/en-us/entra/agent-id/identity-platform/what-is-agent-id-platform) ，或者透過指派設定代理的使用者身份來設定。 這些設定可隨時透過造訪探索代理頁面中的部署設定標籤來更改。

DLP 中啟用或設定分流代理的權限

在使用 (建議) 設定代理身份時，使用者必須被指派以下角色：

• 角色管理 (角色群組：Purview 管理員或組織管理)

請參閱 Microsoft Entra Agent ID 文件 |Microsoft Learn 以了解更多關於代理身份的資訊。 在設定代理身份後 30 分鐘，讓角色存取權限反映出來，再開始手動執行警報。

要使用使用者身份設定代理，請確保帳號被分配以下所有角色：

• 資訊保護 分析師 或 資訊保護 調查員 (角色群組：合規管理員 或合規資料管理員 或資料安全管理 或 資訊保護 或 資訊保護 分析師 或 資訊保護 調查員)

• Purview 內容分析師 (職務群組：Purview 代理管理)

• 資料分類內容下載 (角色群組：資料安全管理 OR 資訊保護 OR 資訊保護 調查員) - 端點/裝置 DLP 警示所需

• Security Copilot貢獻者 (由Security Copilot) (選修) 管理

重要事項

設定完成後，代理會在 30 至 60 分鐘內開始運行，並開始對 DLP 警示進行分流。 預設情況下，代理會處理過去 30 天內產生的所有 DLP 政策的警示。 你可以隨時透過更新代理人的設定來修改這個行為。

DLP 中自訂與設定分流代理的權限

你用來自訂和設定 DLP 中 Triage Agent 的帳號必須具備以下所有角色：

• Purview 代理分析 (角色群組：資訊保護 分析師 或 資訊保護 調查員 或 資訊保護 或合規管理員 或 資料安全管理)

• 資料分類內容下載 (角色群組：資料安全管理 OR 資訊保護 OR 資訊保護 調查員) - 端點/裝置 DLP 警示所需

• Security Copilot (Security Copilot) 管理的貢獻者

查看分流 Purview DLP 警示的權限

您用來查看分流代理警示活動的帳號必須能存取 Purview DLP 警示，該權限由以下角色授予：

• Purview 代理分析 (角色群組：資訊保護 分析師 或 資訊保護 調查員 或 資訊保護 或合規管理員 或 資料安全管理)

• 資料分類內容下載 (角色群組：資料安全管理 OR 資訊保護 OR 資訊保護 調查員) - 端點/裝置 DLP 警示所需

• 可選 - Security Copilot貢獻者 (管理於Security Copilot)

部署與配置路線圖

實作 Microsoft Purview 代理程式包含幾個階段：

1. 基礎結構必要條件
2. 啟用代理
3. 設定代理
4. 停用劑
5. 移除代理人

基礎結構必要條件

Microsoft Purview 分流代理在 DLP 中運行於 Microsoft Security Copilot 上。

• 您的租戶必須已加入 Microsoft Security Copilot。 欲了解更多如何啟動，請參閱「與 Microsoft Security Copilot 一起開始」。
• 您必須在 Security Copilot 啟用 Microsoft 365 資料共享。 欲了解更多資訊，請參閱 「從 Microsoft 365 服務存取資料 」。
• 您必須在 Microsoft Security Copilot 中啟用 Microsoft Purview 外掛。 欲了解更多資訊，請參閱 Microsoft Security Copilot 中的啟用 Microsoft Purview 原始碼。

啟用代理

此程序適用於尚未啟用任何 Microsoft Purview 代理或已 移除代理 程式，且你想重新啟用的組織。 啟用代理程式後，它們就能在 Microsoft Purview 中使用。 每個房客中每位代理人只能有一個實例。 此程序適用於Purview的分診人員。

1. 請使用具備必要權限的帳號登入 Microsoft Purview 入口網站。

2. 在左側導航窗格中，選擇 「代理人」。

3. 選擇 探索代理人。

4. 選擇你想啟用的代理，然後選擇 新增。 這會開啟一個頁面，顯示啟用代理人所需的條件。

5. 選擇 設定，這會開啟 部署代理 的全域設定頁面。 您可以：

   1. 根據 設定的排程選擇自動運行。 如果你不選擇這個選項，你必須一次手動執行一個代理。 排程是由 Microsoft 設定，組織無法自行設定。 你可以在編輯代理時再調整這個設定。
   2. 選擇警示時間範圍，代表客服人員會回溯多久來尋找警示以進行分流。 分析師在編輯代理人時可以縮短時間範圍，但無法延長。 欲了解更多資訊，請參閱 「選擇警報時間框架」。
   3. 選擇代理人身份。 這將允許它存取資料並採取行動。 代理可以擁有自己的代理身份，或代表使用者身份部署

6. 選取 部署。 當代理成功部署時，你會看到解決方案中顯示的分流代理<>程式已部署訊息。

設定代理

一旦啟用代理，就會開始用預設觸發器分流警報。 你可以編輯並設定代理的特定觸發條件。 觸發器用來判斷代理人會分流哪些警示。 你可以在 代理者頁面 操作，或是首次執行時在解決方案的 警示 頁面操作。 此程序可使用首次執行體驗 的警示 頁面方法。 此程序假設您仍開啟著 Microsoft Purview 入口網站，該入口網站位於前一個程序的 Explore 代理 頁面。

重要事項

總是使用最新的代理配置。

1. 選擇「溶液中<>開啟」。 這會開啟解決方案的 警示 頁面。
2. 因為你處於第一次運行的體驗中，你會看到一個對話框，裡面有 個「自訂 」按鈕，當你選擇時，會開啟 「自訂警報分流代理 」的跳出視窗。
3. 在這裡，你可以選擇接受預設的全 域選取警報時間框架 ，或將其改為比代理部署時設定的更短。
4. 輸入客服人員的 自訂說明 。 代理會解讀你的自然語言輸入，並用它來更好地辨識哪些類型的警示對你來說最重要。
5. 開啟 ，指定政策範圍 ，然後選擇 編輯。 選擇你希望代理人分流的保單。 如果你沒有選擇保單，客服人員會從所有有效保單中分流警示。

注意事項

新建立的 DLP 政策出現在 指定政策範圍 清單中可能需要長達四小時。 如果您的房客有許多保單，清單填滿會比較慢。 模擬、關閉狀態或已刪除的 DLP 政策不會顯示在清單中。

1. 選取 [檢閱]。
2. 選取 [儲存]

允許代理完成範圍內警報的分流，並從初始設定開始啟用手動執行。 您也可以透過 「探索代理 」區塊，選擇代理的 觸發 點，或在 DLP 警示頁面右上角選擇 代理詳情 按鈕，來存取這些設定。

明確說明政策範圍納入考量

DLP政策必須符合特定條件，才能出現在 指定政策範圍 清單中，並有資格納入分流。

完整資格

若DLP警示分流代理支持保單中的所有條件，該保單即完全 符合 納入資格。 所有來自完全符合資格的保單的警示都會被分流處理。

資格有限

如果保單中有某些條件在DLP中不被分流代理人支持，該代理人可能無法分流該保單中的所有警示。 資格有限意味著保單中可能有部分警示不會依照列出的標準進行分流，也可能有一些警示會被分流處理。 政策顯示為有限的原因可透過在「指定政策範圍」選擇器中選擇「有限狀態」來了解。

以下是保單可能屬於有限資格州的一些原因：

• 開始收集符合資料遺失防護政策的檔案，這些檔案來自 裝置未啟用或所關聯的儲存空間不是 Microsoft 儲存裝置。 另外，針對終端或裝置工作負載的政策，政策規則中的檔案收集設定是關閉的。
• 政策必須有包含 內容條件 的規則。
• 政策必須針對這些工作負載之一，除了 SharePoint、OneDrive、Exchange、Teams 和 Devices (端點) 之外。

相同的資格狀態也顯示在DLP保單清單頁面上。 當啟用並設定 DLP 分流代理時，資格欄位會出現。 一旦政策納入代理範圍，僅檢查未來警示是否涵蓋範圍政策。 已經分流或產生的現有警報不會受到影響。

停用劑

1. 請使用具備必要權限的帳號登入 Microsoft Purview 入口網站。
2. 在左側導航窗格中，選擇 「代理人」。
3. 選擇 探索代理人。
4. 選擇「 檢視代理 」作為你想停用的代理。 這會開啟代理人概覽頁面。
5. 在代理人總覽頁面右上角，選取位於編輯代理人按鈕旁的三點) (省略號。
6. 選擇 停用代理。 停用代理會停止代理對警報進行分流。 它不會移除代理，也不會重置 Select 警示時間框架 的參考時間點。

移除代理人

1. 請使用具備必要權限的帳號登入 Microsoft Purview 入口網站。
2. 在左側導航窗格中，選擇 「代理人」。
3. 選擇 探索代理人。
4. 選擇「 檢視代理 」作為你想暫停的代理。 這會開啟代理人概覽頁面。
5. 在代理人總覽頁面右上角，選取位於編輯代理人按鈕旁的三點) (省略號。
6. 選擇 移除代理人。 移除代理程式會從 Microsoft Purview 中刪除它。 如果你想再次使用，必須重新完成 啟用代理和 設定代理的 步驟。 移除代理會重置選擇 警示時間框架 的參考點。

編輯代理

1. 請使用具備必要權限的帳號登入 Microsoft Purview 入口網站。
2. 在左側導航窗格中，選擇 「代理人」。
3. 選擇 探索代理人。
4. 選擇「 檢視代理 」作為你想編輯的代理。 這會開啟代理人概覽頁面。
5. 選擇 編輯代理。 這會開啟 編輯代理 頁面。
6. 選擇 觸發器。
7. 在這裡你可以改變代理執行的時間，代理 會手動執行一個警報 ，或是 根據設定的排程自動執行。
8. 選擇 編輯 以更改 「選擇警示時間框架 」值及客服人員將分流警示的政策。
9. 如果你選擇 「代理會一次手動執行一個警示」，你可以在 「警示 」頁面中選擇單一警示。 將切換設定為 警示分流代理預覽 ，並選擇 執行代理。
10. 如果你想的話，也可以更改 自訂指令 。
11. 您也可以視需要更改保單範圍

監控 SCU 使用情況

1. 請使用具備必要權限的帳號登入 Microsoft Purview 入口網站。
2. 在左側導航窗格中，選擇 「代理人」。
3. 選擇 探索代理人。
4. 選擇「 檢視代理 」作為你想編輯的代理。 這會開啟代理人概覽頁面。
5. 選擇 編輯代理。 這會開啟 編輯代理 頁面。
6. 選擇 使用監控。
7. 你可以在 使用監控工具中追蹤你的 SCU 消耗。

警示頁面總覽

1. 請使用具備必要權限的帳號登入 Microsoft Purview 入口網站。
2. 打開你想查看分流警示的解決方案。
3. 打開警示頁面查看解決方案。
4. 在頁面右上角，新增了一個切換功能，讓你可以選擇警示頁面的 Standard 視圖和警示頁面的 Triage Agent 視圖。 把切換設定成 分流專員 檢視。 此視圖顯示代理已分流的警示。 這些警示依代理人分為四大類：

• 全部
• 需要關注
• 沒那麼緊迫
• 未分類

警示分流的回饋

重要事項

你只能對屬於 需要關注 或 較不緊急 的通知提供回饋。 如果你不同意代理人最初對警報的分類，你可以利用回饋機制修正分類。 如果初始值是「需要注意」，你可以改成「較不緊急」。 如果最初的分類不那麼 緊急 ，你可以重新優先排序為 需要關注。

你也可以新增屬性，例如 敏感資訊類型 或檔案 路徑 ，代理人未來評估時應該使用以提升效能。 這些屬性在預覽階段已支援。

• User email address：執行觸發警報活動的使用者
• External recipient email address： 追蹤由 Exchange 電子郵件或 Teams 與外部收件人互動所觸發的警示
• Sensitive information type： 顯示租戶內所有 SITs，觸發警報的政策規則中涉及的 SIT 已被預先選擇
• Trainable classifier： 顯示所有可訓練的分類器，且涉及觸發警示的策略規則所涉及的可訓練分類器已被預先選擇
• Sensitivity label：租戶中存在的標籤
• File path： 以防警示與檔案相關且檔案路徑可用。 Endpoint DLP () 警示時，檔案路徑未啟用，但 Full file evidence 在警示分流時也未啟用
• Target domain： 用於終端裝置，當目標域存在時，會發出 DLP 警示

1. 請選擇任何 需要注意或 較不緊急 的警示。 這會開啟一個跳出視窗，裡面有客服提供的摘要和其他設定。
2. Select Agent 的回饋。
3. 「修訂到欄位」顯示重新分類的價值。
4. 選擇 + 新增屬性 ，並新增一個或多個屬性。 新增的特性用來提升分流效能。
5. 如果你想將 回饋套用到所有政策，請 選擇該選項。 否則，回饋只會套用到觸發警示的政策。
6. 選擇 「審查 」以查看變更摘要。
7. 選擇 提交 以儲存回饋。
8. 目前的警報不會立刻改變。 管理員必須手動執行警示的分流，根據回饋調整分類。

管理意見反應

你可以查看並管理所有針對分流警示的回饋，包括匯出、編輯和刪除回饋。

1. 在警報的解決方案中，打開 警報 頁面。
2. 請選擇 「需要關注 」或 「較不緊急 」類別。
3. 選擇你想管理回饋的警示。
4. Select Agent 的回饋。
5. 選擇 「查看所有回饋」。
6. 選擇你想管理的警示與回饋項目。
7. 編輯、 刪除或 匯出 回饋。

反饋衝突解決

當多位管理員對同一使用者和政策組合在不同警示中提供相互矛盾的回饋時，可能會發生反饋衝突。 反饋衝突會產生錯誤。

例如：

• 管理員 1 會提供回饋，將所有警報的分類改為「較不緊急」，若警報是針對使用者 A 和政策 P。
• 管理員 2 會提供回饋，將警示分類改為「需要注意」，若警示是針對使用者 A 和政策 P。

其他考量事項

• 在警報計數方面，僅計算啟用單一匹配實例的警報。 若為閾值情境產生警報，例如 (過去24小時內有10個匹配，) 產生警報，該警報不被計算

後續步驟

有關審查分流警示的資訊，請參閱解決方案專屬文章。

• 了解如何調查資料外洩防護警示

• 立即使用資料遺失防護警示儀表板

• Alert Triage Agent dashboard (preview)

• 指標與內部風險管理的警示分流代理