共用方式為


設定端點資料外洩防護設定

端點數據外泄防護的許多層面 (DLP) 行為是由集中設定的設定所控制,這些設定會套用至裝置的所有 DLP 原則。 使用這些設定來控制下列行為:

  • 雲端輸出限制
  • 針對每個應用程式的用戶活動採取各種類型的限制性動作
  • Windows 和 macOS 裝置的檔案路徑排除專案
  • 瀏覽器和網域限制
  • 在原則提示中覆寫原則的商業理由外觀
  • 是否自動稽核在 Office、PDF 和 CSV 檔案上執行的動作

若要存取這些設定,請從 Microsoft Purview 合規性入口網站 流覽至數據外泄防護>概觀>數據外泄防護設定>端點設定

提示

開始使用安全性 Microsoft Copilot,探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的安全性 Microsoft Copilot

重要事項

如需搭配 PDF 檔案使用 Microsoft Purview 資料外洩防護 (DLP) 功能的 Adobe 需求相關信息,請參閱 Acrobat 中的 Adobe:Microsoft Purview 資訊保護 支援一文。

Endpoint DLP Windows 10/11 和 macOS 設定

端點 DLP 也可讓您將執行下列 Windows Server 版本的裝置上線:

注意事項

安裝支援的 Windows Server KB 會停用伺服器上的 分類 功能。 這表示端點 DLP 不會分類伺服器上的檔案。 不過,端點 DLP 仍會保護伺服器上那些在伺服器上安裝這些 KB 之前分類的檔案。 若要確保這項保護,請在 2023 年 10 月) 或更新版本 (安裝 Microsoft Defender 4.18.23100 版。

根據預設,一開始上線時,Windows 伺服器不會啟用端點 DLP。 您必須先為 Windows Server 啟用端點 DLP,才能在 [活動總管] 中查看伺服器的端點 DLP 事件。

正確設定之後,相同的數據遺失保護原則就可以自動套用至 Windows 計算機和 Windows 伺服器。

設定 子設定 Windows 10、1809 及更新版本、Windows 11、Windows Server 2019、Windows Server 2022 (21H2 及更新版本) 端點 (X64) macOS (三個最新發行的版本) 附註
進階分類掃描與保護 已配置的頻寬限制 支援 支援 進階分類可為 macOS 啟用這些功能:- 檔案指紋
- 精確數據比對型機密資訊類型
- 可訓練分類器
- 瞭解具名實體
Windows 的檔案路徑排除專案 不適用 支援 不適用
Mac 的檔案路徑排除專案 n/a n/a 支援 macOS 包含預設啟用的建議排除清單
設定裝置上檔案活動的辨識項集合 在裝置上設定辨識項快取 支援 不支援
網路共用涵蓋範圍和排除專案 不適用 支援 不支援
受限制的應用程式和應用程式群組 受限制的應用程式群組 支援 支援
受限制的應用程式和應用程式群組 受限制的應用程式 支援 支援
受限制的應用程式和應用程式群組 自動隔離設定 支援 支援
不受允許的藍牙應用程式 不適用 支援 支援
敏感性資料的瀏覽器與網域限制 不受允許的瀏覽器 支援 支援
敏感性資料的瀏覽器與網域限制 服務網域 支援 支援
敏感性資料的瀏覽器與網域限制 敏感性服務網域群組 支援 支援
端點 DLP 的其他設定 原則提示中的業務理由 支援 支援
一律稽核裝置的檔案活動 不適用 支援 支援
印表機群組 不適用 支援 支援
卸除式 USB 裝置群組 不適用 支援 支援
網路共用群組 不適用 支援 支援
VPN 設定 不適用 支援 不支援

其他設定

設定 Windows 10/11、Windows 10、1809 和更新版本,Windows 11 適用於端點的 Windows Server 2019、Windows Server 2022 (21H2) (X64) macOS (三個最新發行的版本)
封存盤案 支援 支援 支援
檔類型和擴展名 支援 支援 支援
啟用 Windows Server 的端點 DLP 不支援 支援 不支援

啟用 Windows Server 的端點 DLP

端點 DLP 支援下列 Windows Server 版本:

Windows Server 上 線之後,您必須先開啟端點 DLP 支援,才能套用端點保護。

若要使用 DLP 警示管理儀錶板:

  1. 在 Microsoft Purview 入口網站中,流覽至 [數據外泄防護>概觀]
  2. 選擇右上角的 [ 設定 ]。
  3. 在 [ 設定] 頁面上,選取 [端點設定] ,然後展開 [已 上線伺服器的端點 DLP 支援]
  4. 將切換設定為 [開啟]

進階分類掃描與保護

進階分類掃描和保護可讓 Microsoft Purview 雲端式數據分類服務掃描專案、分類專案,並將結果傳回本機電腦。 因此,您可以利用分類技術,例如 確切的數據比對 分類、 可訓練分類器認證分類器,以及 DLP 原則中的 具名實體

注意事項

[貼到瀏覽器] 動作不支援進階分類。

當進階分類開啟時,内容會從本機裝置傳送至雲端服務以進行掃描和分類。 如果頻寬使用量是一個問題,您可以設定在24小時的滾動期間內可以使用多少頻寬的限制。 此限制是在 端點設定 中設定,並會套用至每個裝置。 如果您設定頻寬使用量限制且超過使用量限制,DLP 會停止將使用者內容傳送至雲端。 此時,數據分類會在裝置本機上繼續進行,但無法使用精確數據比對、具名實體、可訓練分類器和認證分類器進行分類。 當累計頻寬使用量低於滾動 24 小時限制時,會繼續與雲端服務通訊。

如果頻寬使用量不是問題,請選取 [ 無限制 ] 以允許無限制的頻寬使用。

進階分類檔案掃描大小限制

即使未啟用進階分類 的限制 ,仍會限制可掃描的個別檔案大小。

  • 文本檔有 64 MB 的限制。
  • 啟用光學字元識別 (OCR) 時,圖像檔有 50 MB 的限制。

進階分類不適用於大於 64 MB 的文字檔,即使頻寬限制設定為 [沒有限制]

下列 Windows 版本 (和更新版本) 支援進階分類掃描和保護。

  • 所有 Windows 11 版本
  • Windows 10 20H1/21H1 或更新版本 (KB 5006738)
  • Windows 10 RS5 (KB 5006744)

注意事項

  • Office (Word、Excel、PowerPoint) 和 PDF 檔案類型支援進階分類。

  • DLP 原則評估一律在雲端中發生,即使未傳送使用者內容。

提示

若要針對 Windows 10 裝置使用進階分類,您必須安裝KB5016688。 若要針對 Windows 11 裝置使用進階分類,KB5016691必須安裝在這些 Windows 11 裝置上。 此外,您必須先啟用進階分類, 活動總管 才會顯示 DLP 規則相符事件的內容相關文字。 若要深入瞭解關係型文字,請參閱 內容摘要

檔案路徑排除

如果您想要從裝置上的 DLP 監視、DLP 警示和 DLP 原則強制執行排除特定路徑,您可以藉由設定檔案路徑排除來關閉這些組態設定。 排除位置中的檔案不會稽核,而且在這些位置中建立或修改的任何檔案都不受 DLP 原則強制執行。 若要在 DLP 設定中設定路徑排除,請流覽至 Microsoft Purview 合規性入口網站>數據外洩防護>概觀>數據外泄防護設定>端點設定>Windows 的檔案路徑排除專案。

Windows 10/11 裝置

您可以使用下列邏輯來建構 Windows 10/11 裝置的排除路徑:

  • \結尾的有效檔案路徑,表示只會排除指定資料夾下的檔案。
    範例:C:\Temp\

  • \*結尾的有效檔案路徑,表示只會排除指定資料夾子資料夾內的檔案。 不會排除直接在指定資料夾本身底下的檔案。
    範例:C:\Temp\*

  • 以或 結尾\\*的有效檔案路徑表示會排除指定資料夾下的所有檔案及其所有子資料夾。
    範例:C:\Temp

  • 兩側與 \ 之間帶有萬用字元的路徑。
    範例:C:\Users\*\Desktop\

  • 從每一端(number)\ 之間具有通配符的路徑,用以指定要排除的確切子資料夾數目。
    範例:C:\Users\*(1)\Downloads\

  • 含有 [系統] 內容變數的路徑。
    範例:%SystemDrive%\Test\*

  • 混合此處所述的所有模式。
    範例:%SystemDrive%\Users\*\Documents\*(2)\Sub\

預設排除的 Windows 檔案路徑

  • %SystemDrive%\\Users\\*(1)\\AppData\\Roaming
  • %SystemDrive%\\Users\\*(1)\\AppData\\Local\\Temp
  • %%SystemDrive%\\Users\\*(1)\\AppData\\Local\\Microsoft\\Windows\\INetCache

macOS 裝置

您也可以為macOS裝置新增自己的排除專案。

  • 檔案路徑定義不區分大小寫,因此 User 與 相同 user

  • 支援萬用字元值。 因此,路徑定義可以在路徑中間或路徑結尾包含星號 (*) 。
    範例:/Users/*/Library/Application Support/Microsoft/Teams/*

預設排除的macOS檔案路徑

/System

出於效能原因,端點 DLP 包含 macOS 裝置的建議檔案路徑排除清單。 如果 [ 包含 Mac 的建議檔案路徑排除 ] 切換設定為 [ 開啟],則也會排除下列路徑:

  • /Applications
  • /usr
  • /Library
  • /private
  • /opt
  • /Users/*/Library/Logs
  • /Users/*/Library/Containers
  • /Users/*/Library/Application Support
  • /Users/*/Library/Group Containers
  • /Users/*/Library/Caches
  • /Users/*/Library/Developer

建議您將此切換設定為 [ 開啟]。 不過,您可以將切換開關設定為 [ 關閉],以停止排除這些路徑。

設定裝置上檔案活動的辨識項集合

當它識別出裝置上符合原則的專案時,DLP 可以將其複製到 Azure 記憶體帳戶。 此功能適用於稽核原則活動和針對特定相符項目進行疑難解答。 使用本節來新增記憶體帳戶的名稱和 URL。

注意事項

啟用此功能之前,您必須在該儲存體帳戶中建立 Azure 記憶體帳戶和容器。 您也必須設定帳戶的許可權。 當您設定 Azure 記憶體帳戶時,請記住,您可能會想要使用與租用戶位於相同 Azure 區域/地緣政治界限中的記憶體帳戶。 您也應該考慮設定 Azure 記憶體帳戶存取層Azure 記憶體帳戶定價

網路共用涵蓋範圍和排除專案

網路共用涵蓋範圍和排除 範圍會將端點 DLP 原則和動作延伸至網路共用和對應網路驅動器機上的新檔案和編輯過的檔案。 如果也啟用 Just-In-Time 保護 ,Just-In-Time 保護涵蓋範圍和排除範圍會延伸至網路共用和對應的磁碟驅動器。 如果您想要排除所有受監視裝置的特定網路路徑,請在 排除這些網路共享路徑中新增路徑值。

下表顯示網路共用涵蓋範圍和排除範圍的預設設定。

網路共用涵蓋範圍和排除專案 Just-In-Time 保護 結果行為
Enabled 停用 - 設定為 [裝置] 範圍的 DLP 原則會套用至裝置所連線的所有網路共用和對應磁碟驅動器。 支援的動作:裝置
已停用 Enabled - Just-In-Time 保護只會套用至端點本機記憶體裝置上的檔案。
Enabled Enabled - 設定為 [裝置] 範圍的 DLP 原則會套用至裝置所連線的所有網路共用和對應磁碟驅動器。 支援的動作:裝置
- Just-In-Time 保護會套用至裝置所連線的所有網路共用和對應磁碟驅動器。

網路共用涵蓋範圍和排除範圍 可補充 DLP 內部部署存放庫動作。 下表根據內部部署存放庫啟用或停用 DLP,顯示排除設定和產生的行為。

網路共用涵蓋範圍和排除專案 DLP 內部部署存放庫 結果行為
Enabled 停用 - 設定為 [裝置] 範圍的 DLP 原則會套用至裝置所連線的所有網路共用和對應磁碟驅動器。 支援的動作:裝置
已停用 Enabled - 範圍為內部部署存放庫的原則可以在檔案共用和 SharePoint 文檔庫和資料夾中的內部部署待用數據上強制執行保護動作。 DLP 內部部署存放庫動作
Enabled Enabled - 設定為 [裝置] 範圍的 DLP 原則會套用至裝置所連線的所有網路共用和對應磁碟驅動器。 支援的動作:裝置
- 範圍為內部部署存放庫的原則可以在檔案共用和 SharePoint 文檔庫和資料夾中的內部部署待用數據上強制執行保護動作。 DLP 內部部署存放庫動作

受限制的應用程式和應用程式群組

受限制的應用程式

[ 限制的應用程式 ] 清單 (先前稱為 [ 不允許的應用程式) ],是您所建立應用程式的自定義清單。 您可以設定當有人使用清單上的應用程式來存 裝置上受 DLP 保護的檔案時,DLP 所採取的動作。 受限制的應用程式清單適用於執行三個最新macOS版本之一的 Windows 10/11和macOS裝置。

重要事項

  • 請勿包含可執行文件的路徑。 只包含可執行檔名稱 (例如 browser.exe) 。

  • 只有當使用者嘗試存受保護的專案時,才會套用針對受限制應用程式清單上之應用程式所定義 (、 block with overrideblock) 動作audit

在原則中選取受 限制應用程式的存取 權,且使用者使用受限制應用程式清單上的應用程式來存取受保護的檔案時,活動會是 auditedblockedblocked with override,視您設定受 限制應用程式 清單的方式而定。 例外狀況:如果 [限制的 應用程式 ] 清單上的應用程式也是受 限制應用程式群組的成員,則針對 [ 受限制的應用程式] 群組 中活動設定的動作會覆寫針對 [ 受限制的應用程式 ] 清單所設定的動作。 系統會稽核所有活動,並可在活動總管中檢閱。

(預覽) 限制的應用程式群組

[受限制的應用程式群組] 是您在 DLP 設定中建立的應用程式集合,然後新增至原則中的規則。 當您將受限制的應用程式群組新增至原則時,您可以採取下表中定義的動作。

受限制的應用程式群組選項 它可讓您執行哪些工作
不要限制檔案活動 告知 DLP 允許使用者使用應用程式群組中的應用程式存取 DLP 保護的專案,而不會在使用者嘗試 複製到剪貼簿複製到 USB 卸載式磁碟驅動器複製到網路驅動器機或從應用程式 列印 時採取任何動作。
將限制套用至所有活動 當使用者嘗試使用相關應用程式群組中的應用程式存取受 DLP 保護的專案時,將 DLP Audit onlyBlock with override告知 、 或Block
將限制套用至特定活動 這個設定可讓使用者使用應用程式群組中的應用程式來存取受 DLP 保護的專案。 它也可讓您在使用者嘗試複製到剪貼簿複製到USB卸除式磁碟驅動器、複製到網路驅動器機和列印時,選取 DLP (、或 Block with override) 的默認動作。Audit onlyBlock

重要事項

受限制應用程式 群組 中的設定會覆寫受限制應用程式 清單 中所設定的任何限制,因為它們位於相同的規則中。 因此,如果應用程式位於受限制的應用程式清單上,而且也是受限制應用程式群組的成員,則會套用受限制應用程式群組的設定。

DLP 如何對活動套用限制

受限制應用程式群組中應用程式的檔案活動所有應用程式的檔案活動,以及受限制應用程式活動清單之間的互動,都限定在相同的規則。

受限制的應用程式群組覆寫

[受限制的應用程式群組中的應用程式檔案活動] 中定義的設定,會覆寫 [受限制的應用程式活動] 清單以及 [所有應用程式的檔案活動] 中相同規則中的設定。

所有應用程式的受限制應用程式活動和檔案活動

[受限制的應用程式活動][所有應用程式的檔案活動] 的設定會協同運作,如果為 [受限制的應用程式活動] 定義的動作為相同規則中的 Audit onlyBlock with override。 為什麼? 只有當使用者使用清單上的應用程式存取檔案時,才會套用針對 受限制應用程式活動 所定義的動作。 一旦使用者有存取權,就會套用針對所有應用程式的檔案活動中所定義的動作。

例如,請採用下列範例。 假設已將 Notepad.exe 新增至 受限制的應用程式且所有應用程式的檔案活動 都設定為 [ 將限制套用至特定活動],而且兩者都設定如下表所示:

原則中的設定 應用程式名稱 使用者活動 要採取的 DLP 動作
受限制的應用程式活動 記事本 存取 DLP 受保護的項目 僅稽核
所有應用程式的檔案活動 所有應用程式 複製到剪貼簿 僅稽核
所有應用程式的檔案活動 所有應用程式 複製到 USB 拆卸式裝置 封鎖
所有應用程式的檔案活動 所有應用程式 複製到網路共用 僅稽核
所有應用程式的檔案活動 所有應用程式 列印 封鎖
所有應用程式的檔案活動 所有應用程式 使用不允許的藍牙應用程式複製或移動 已封鎖
所有應用程式的檔案活動 所有應用程式 遠端桌面服務 封鎖並覆寫

當使用者 A 使用記事本開啟受 DLP 保護的檔案時,DLP 會允許存取和稽核活動。 當使用者 A 仍在 [記事本] 中時,會嘗試將內容從受保護的專案複製到剪貼簿。 此動作成功,DLP 會稽核活動。 使用者 A 接著嘗試從記事本列印受保護的項目,而該活動會遭到封鎖。

注意事項

[受限制的應用程式活動] 中要執行的 DLP 動作設定為 block 時,所有存取權都會遭到封鎖,而且使用者無法對該檔案執行任何動作。

僅適用於所有應用程式的檔活動

如果應用程式 受限制應用程式群組中應用程式的 [檔案] 活動 或 [ 受限制的應用程式活動 ] 清單中,或 是在 [ 受限制的應用程式活動 ] 清單中,且動作為 Audit onlyBlock with override,則 所有應用程式的 [檔案] 活動中 定義的任何限制都會套用在相同的規則中。

macOS 裝置

您也可以在 [限制的應用程式活動] 清單中定義敏感數據,以防止macOS 應用程式 存取敏感數據。

注意事項

跨平臺應用程式必須使用其與執行中操作系統各自的唯一路徑來輸入。

要尋找 Mac 應用程式的完整路徑:

  1. 在 macOS 裝置上,開啟 [活動監視器]。 尋找並按兩下您要限制的程式。

  2. 選取 [ 開啟檔案和埠] 索引 標籤。

  3. 記下完整的路徑名稱,包括應用程式的名稱。

自動隔離

若要防止雲端同步處理應用程式將敏感性專案同步至雲端,例如onedrive.exe,請使用自動隔離將雲端同步處理應用程式新增至 [受限制的應用程式] 清單

啟用時,當受限制的應用程式嘗試存取受 DLP 保護的敏感性專案時,就會觸發自動隔離。 自動隔離會將敏感性專案移至系統管理員設定的資料夾。 如果設定為這麼做,自動四分位元可以保留佔位元 (.txt) 檔案取代原始的 。 您可以設定佔位元檔案中的文字,告訴用戶專案的新位置和其他相關信息。

當不允許的雲端同步處理應用程式嘗試存取受封鎖 DLP 原則保護的專案時,請使用自動隔離功能。 DLP 可能會產生重複的通知。 您可以啟用 自動隔離來避免這些重複的通知。

您也可以使用自動隔離來防止使用者和系統管理員的無止盡 DLP 通知鏈結。 如需詳細資訊,請參閱 案例 4:避免從具有自動隔離的雲端同步處理應用程式迴圈 DLP 通知

不允許 (限) 藍牙應用程式

若要防止人員透過特定藍牙應用程式傳輸受您原則保護的檔案,請將這些應用程式新增至端點 DLP 設定中的 [ 不允許的藍牙應用程式 ] 清單。

敏感性資料的瀏覽器與網域限制

限制符合您原則的敏感檔案無法與不受限制的雲端服務網域共用。

不受允許的瀏覽器

針對 Windows 裝置,您可以限制使用指定的網頁瀏覽器,以其可執行檔名稱識別。 指定的瀏覽器會遭到封鎖,使其無法存取符合強制執行 DLP 原則條件的檔案,其中上傳至雲端服務限制設定為 blockblock override。 當這些瀏覽器遭到封鎖而無法存取檔案時,終端使用者會看到快顯通知,要求他們透過 Microsoft Edge 開啟檔案。

針對 macOS 裝置,您必須新增完整的檔案路徑。 要尋找 Mac 應用程式的完整路徑:

  1. 在 macOS 裝置上,開啟 [活動監視器]。 尋找並按兩下您要限制的程式。

  2. 選擇 [開啟檔案與連接埠] 索引標籤。

  3. 請務必記下完整路徑名稱,包括應用程式的名稱。

服務網域

這裡的 服務網域 會與在工作流程中找到的 [ 稽核或限制裝置上的活動 ] 設定一起運作,以在 DLP 原則內建立規則。

當您建立規則時,您可以使用動作在符合特定條件時保護您的內容。 建立端點裝置的規則時,您必須選擇 [ 稽核或限制裝置上的活動 ] 選項,然後選取下列其中一個選項:

  • 僅稽核
  • 封鎖並覆寫
  • 封鎖

若要控制是否可以將受原則保護的敏感性檔案上傳至特定服務網域,您接下來必須流覽至 [端點 DLP 設定>瀏覽器] 和 [敏感數據的網域限制 ],並選擇預設要 封鎖允許服務網域

注意事項

[服務網域] 設定僅適用於使用 Microsoft Edge 上傳的檔案,或使用已安裝 Microsoft Purview Chrome 擴充功能的 Google Chrome 或 Mozilla Firefox 實例。

封鎖

[服務網域 ] 列表設定為 [ 封鎖] 時,您可以使用 [新增雲端服務網域 ] 來指定應該封鎖的網域。 允許所有其他服務網域。 在此情況下,只有當用戶嘗試將敏感性檔案上傳至不在清單上的任何網域時,才會套用 DLP 原則。

例如,請考慮下列設定:

  • DLP 原則設定為偵測包含實體位址的敏感性專案,並將 [稽核 或限制裝置上的活動 ] 選項設定為 [僅稽核]
  • [ 服務網域 ] 設定設為 [ 封鎖]
  • contoso.com 不在清單上。
  • wingtiptoys.com 清單上的IS。

在此情況下,如果用戶嘗試將具有實體位址的敏感性檔案上傳至 contoso.com,則允許上傳完成,併產生稽核事件,但不會觸發任何警示。

相反地,如果用戶嘗試將具有信用卡號碼的敏感性檔案上傳至 wingtiptoys.com,則用戶活動 -上傳- 也允許完成,並同時產生稽核事件和警示。

另一個範例是,請考慮下列設定:

  • DLP 原則設定為偵測包含實體位址的敏感性專案,並將 [稽核 或限制裝置上的活動 ] 選項設定為 [封鎖]
  • [ 服務網域 ] 設定設為 [ 封鎖]
  • contoso.com 不在清單上。
  • wingtiptoys.com 清單上的IS。

在此情況下,如果用戶嘗試將具有實體位址的敏感性檔案上傳至 contoso.com,則允許上傳完成並觸發稽核事件,則會產生稽核事件,但不會觸發任何警示。

相反地,如果用戶嘗試將具有信用卡號碼的敏感性檔案上傳至 wingtiptoys.com,則會封鎖用戶活動--上傳],並同時產生稽核事件和警示。

允許

[服務網域 ] 列表設定為 [ 允許] 時,您可以使用 [新增雲端服務網域 ] 來指定允許的網域。 所有其他服務網域都會遭到封鎖。 在此情況下,只有當用戶嘗試將敏感性檔案上傳至任何列出的網域時,才會套用 DLP 原則。

例如,以下是兩個開始設定:

  • DLP 原則設定為偵測包含信用卡號碼的敏感性專案,並將 [ 稽核或限制裝置上的活動 ] 選項設定為 [以 覆寫方式封鎖]
  • [ 服務網域 ] 設定設為 [ 允許]
  • contoso.com 不在 [ 允許] 列表上。
  • wingtiptoys.com 在 [ 允許 ] 列表上。

在此情況下,如果用戶嘗試將具有信用卡號碼的敏感性檔案上傳至 contoso.com,則會封鎖上傳,並顯示警告,讓使用者可以選擇覆寫區塊。 如果用戶選擇覆寫區塊,就會產生稽核事件並觸發警示。

不過,如果用戶嘗試將具有信用卡號碼的敏感性檔案上傳至 wingtiptoys.com, 則不會 套用原則。 允許上傳完成,而且會產生稽核事件,但不會觸發任何警示。

  • DLP 原則設定為偵測包含實體位址的敏感性專案,並將 [稽核或限制裝置上的活動] 選項設定為 [僅稽核]。
  • [ 服務網域 ] 設定設為 [允許]。
  • contoso.com 不在清單上。
  • wingtiptoys.com 清單上的IS。

在此情況下,如果用戶嘗試將具有實體位址的敏感性檔案上傳至 contoso.com,則允許上傳完成,並同時產生稽核事件和警示。

相反地,如果用戶嘗試將具有信用卡號碼的敏感性檔案上傳至 wingtiptoys.com,用戶活動也允許上傳完成,則會產生稽核事件,但不會觸發任何警示。

重要事項

當服務限制模式設定為 [ 允許] 時,您必須至少設定一個服務網域,才能強制執行限制。

摘要數據表:允許/封鎖行為

下表顯示系統的行為方式,視列出的設定而定。

端點 DLP 服務網域設定 DLP 原則規則 稽核或限制裝置上的活動設定 使用者前往列出的網站 用戶移至未列出的網站
允許 僅稽核 - 已稽核用戶活動
- 未產生警示
- 不套用任何 DLP 原則
- 已稽核用戶活動
- 產生警示
- DLP 原則會在稽核模式中套用
允許 封鎖並覆寫 - 已稽核用戶活動
- 未產生警示
- 不套用任何 DLP 原則
- 已稽核用戶活動
- 產生警示
- DLP 原則會以覆寫模式在區塊中套用
允許 封鎖 - 已稽核用戶活動
- 未產生警示
- 不套用任何 DLP 原則
- 已稽核用戶活動
- 產生警示
- DLP 原則會在封鎖模式中套用
封鎖 僅稽核 - 已稽核用戶活動
- 產生警示
- DLP 原則會在稽核模式中套用
- 已稽核用戶活動
- 未產生警示
- 不套用任何 DLP 原則
封鎖 封鎖並覆寫 - 已稽核用戶活動
- 產生警示
- DLP 原則會以覆寫模式在區塊中套用
- 已稽核用戶活動 - 不會產生警示
- 不套用任何 DLP 原則
封鎖 封鎖 - 已稽核用戶活動
- 產生警示
- DLP 原則會在封鎖模式中套用
- 已稽核用戶活動
- 未產生警示
- 不套用任何 DLP 原則

將網域新增至清單時,請使用服務網域的 FQDN 格式,而不需要 () . 的結束期間。

例如:

Input URL 比對行為
CONTOSO.COM 符合指定的網域名稱和任何子網站

://contoso.com

://contoso.com/

://contoso.com/anysubsite1

://contoso.com/anysubsite1/anysubsite2 (etc.)

不符合子域或未指定的網域

://anysubdomain.contoso.com

://anysubdomain.contoso.com.AU

* .CONTOSO.COM 符合指定的網域名稱、任何子域和任何網站

://contoso.com

://contoso.com/anysubsite

://contoso.com/anysubsite1/anysubsite2

://anysubdomain.contoso.com/

://anysubdomain.contoso.com/anysubsite/

://anysubdomain1.anysubdomain2.contoso.com/anysubsite/

://anysubdomain1.anysubdomain2.contoso.com/anysubsite1/anysubsite2 (etc.)

不符合未指定的網域

://anysubdomain.contoso.com.AU/

www.contoso.com 符合指定的網域數名稱

www.contoso.com

不符合未指定的網域或子域

*://anysubdomain.contoso.com/,在此情況下,您必須自行放置 FQDN 網域名稱 www.contoso.com

您可以在 [敏感性服務網域] 下設定最多 50 個網域

敏感性服務網域群組

當您在 敏感性服務網域中列出網站時,當使用者嘗試採取下列任何動作時,您可以 auditblock with override或完整 block 用戶活動:

  • 從網站列印
  • 從網站複製資料
  • 將網站儲存為本機檔案
  • 將敏感性檔案上傳或拖放至排除的網站
  • 將敏感數據貼到排除的網站

下表顯示哪些瀏覽器支援這些功能:

瀏覽器 支援的功能
Microsoft Edge - 列印網站
- 從網站複製數據
- 將網站儲存為本機檔案 (另存新檔)
- 貼到支持的瀏覽器
- 上傳至受限制的雲端服務網域
具有 Microsoft Purview 擴充功能的 Google Chrome () - 貼到支持的瀏覽器
- 上傳至受限制的雲端服務網域
具有 Microsoft Purview 擴充功能的 Mozilla Firefox () - 上傳至受限制的雲端服務
- 貼到支援的瀏覽器

針對 [貼上至支持的瀏覽器 ] 動作,用戶嘗試將文字貼到網頁和系統完成分類並響應之間,可能會有短暫的延遲時間。 如果發生此分類延遲,您可能會在Edge中看到原則評估和檢查完整通知,或在Chrome和Firefox上看到原則評估快顯通知。 以下是將通知數目降至最低的一些秘訣:

  1. 當目標網站的原則設定為 [ 封鎖 ] 或 [封鎖],並 寫貼上至該使用者 支援的瀏覽器 時,就會觸發通知。 您可以將整體動作設定為 [稽 核],然後使用例外狀況 [封鎖 目標網站]。 或者,您可以將整體動作設定為 [封鎖 ],然後使用例外狀況 核安全網站。
  2. 使用最新的反惡意代碼用戶端版本。
  3. 確定您的 Microsoft Edge 版本為 120 或更高版本。
  4. 安裝下列 Windows KB:
    1. Windows 10:KB5032278KB5023773
    2. Windows 11 21H2:KB5023774
    3. Win 11 22H2: KB5032288KB5023778

注意事項

[服務網域] 設定僅適用於使用 Microsoft Edge 或已安裝 Microsoft Purview Chrome 擴充功能的 Google Chrome 或 Mozilla Firefox 實例上傳的檔案。

針對裝置,您必須設定 敏感性服務網域 清單,才能在 DLP 原則中使用 [上傳至受限制的雲端服務網域 ] 動作。 您也可以定義要指派原則動作給與全域網站群組動作不同的網站群組。 您可以將最多 100 個網站新增至單一群組,而且最多可以建立 150 個群組。 如需詳細資訊,請參閱 案例 6:監視或限制敏感性服務網域上的用戶活動

重要事項

關於 貼上至支援的瀏覽器 動作。 如果在這項功能的規則上啟用「收集原始檔案作為端點上所有選取檔案活動的辨識項」,如果使用者的 Windows 裝置未安裝 Antimalware Client 4.18.23110 版或更新版本,垃圾字元可能會出現在來源文字中。 選 取 [動作>下載 ] 以檢視實際內容。

如需詳細資訊,請參閱 案例 7:限制將敏感性內容貼到瀏覽器

在網站群組中指定網站的支援語法

如果您使用 URL 來識別網站,請勿在 URL (中包含網路通訊協定,例如, https://file://) 。 相反地,請使用彈性語法,在您的網站群組中包含和排除網域、子域、網站和子網站。 例如:

  • 使用 * 作為通配符來指定所有網域或所有子域。
  • 使用 / 做為 URL 結尾的終止符,僅限限該特定網站。

當您在) ( 新增沒有終止斜線標記 / 的 URL 時,該 URL 的範圍會限於該網站和所有子網站。

此語法適用於所有 http/https 網站。 範例如下:

新增到網站群組的 URL URL 將比對 URL 不相符
contoso.com // contoso.com contoso.com/ contoso.com/allsubsites1 contoso.com/allsubsites1/allsubsites2
//
//
//
//
// allsubdomains.contoso.com allsubdomains.contoso.com.au
contoso.com/ //
// contoso.com contoso.com/
//
// contoso.com/allsubsites1 contoso.com/allsubsites1/allsubsites2 //
allsubdomains.contoso.com allsubdomains.contoso.com/au
//
*.contoso.com //
//contoso.com contoso.com/allsubsites //
contoso.com/allsubsites1/allsubsites2 allsubdomains.contoso.com //

// allsubdomains.contoso.com/allsubsites
//allsubdomains1/allsubdomains2/contoso.com/allsubsites1/allsubsites2
// allsubdomains.contoso.com.au
*.contoso.com/xyz // contoso.com contoso.com/xyz contoso.com/xyz/allsubsites/ //
allsubdomains.contoso.com/xyz
// allsubdomains.contoso.com/xyz/allsubsites
//allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites1/allsubsites2
// //

//
//
// contoso.com/xyz/ allsubdomains.contoso.com/xyz/
*.contoso.com/xyz/ //
// contoso.com/xyz allsubdomains.contoso.com/xyz
// contoso.com contoso.com/xyz/allsubsites/ allsubdomains.contoso.com/xyz/allsubsites/
// //
allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites/ allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites1/allsubsites2 //

//

重要事項

URL 支援下列動作:

  • 列印網站
  • 從網站複製數據
  • 將網站儲存為本機檔案 (另存新檔)
  • 貼到支持的瀏覽器
  • 上傳至受限制的雲端服務網域

IP 位址和 IP 位址範圍支援下列動作:

  • 列印網站
  • 從網站複製數據
  • 將網站儲存為本機檔案 (另存新檔)

端點 DLP 的其他設定

原則提示中的業務理由

您可以在設定原則提示的選項中控制使用者與商務理由選項的互動 方式。 當使用者執行一項受到在 DLP 原則中設定的 覆寫封鎖 保護的活動時,即會出現此選項。 這是全域設定。 您可以選擇下列其中一個選項:

  • 顯示預設選項和自訂文字方塊: 根據預設, 使用者可以選取內建的理由,或輸入自己的文字。
  • 僅顯示預設選項:使用者只能從內建理由清單中選取。
  • 只顯示自定義文字框:使用者只能輸入自定義理由。 文字框會出現在用戶原則提示通知中,而沒有選項清單。

自訂下拉式功能表中的選項

您可以選取 [自定義選項] 下拉功能表,建立最多五個使用者與原則通知提示互動時出現的自定義選項。

選項 預設文字
選項 1 這是已建立商務工作流程的一部分 ,或者您可以輸入自定義文字
選項 2 我的主管已核准此動作 或者您可以輸入自訂文字
選項 3 需要緊急存取; 我會個別通知我的主管 或者您可以輸入自訂文字
顯示誤判選項 這些檔案中的資訊不具敏感性 或者您可以輸入自訂文字
選項 5 其他 或者您可以輸入自訂文字

一律稽核裝置的檔案活動

預設裝置上線的時候,會自動稽核 Office、PDF 和 CSV 檔案的活動並可在活動總管中進行檢視。 如果您只想要在已上線的裝置包含在使用中原則時稽核此活動,請關閉此功能。

無論已上線裝置是否包含在使用中原則中,檔案活動一律會稽核。

印表機群組

使用此設定來定義您想要將原則動作指派給與全域列印動作不同的印表機群組。

建立印表機群組最常見的使用案例是使用它們來將合約列印限制為僅限組織法務部門中的印表機。 在此定義印表機群組之後,您就可以在範圍設為 [ 裝置] 的所有原則中使用它。 如需設定原則動作以使用授權群組的詳細資訊,請參閱 案例 8 授權群組

您最多可以建立 20 個印表機群組。 每個群組最多可以包含 50 張印表機。

重要事項

macOS 15/Sequoia 的使用者可能會看到 此對話框 「com.microsoft.dlp.daemon」 想要在您的局域網路上尋找裝置。 系統管理員可以告知其用戶選取 [ 允許 ] 以允許端點 DLP 正確執行印表機保護。

使用者的影像

注意事項

此功能適用於執行下列任一 Windows 版本的裝置:

在此舉例說明。 假設您想要 DLP 原則封鎖所有印表機的合約列印,但法律部門中的印表機除外。

  1. 使用下列參數來指派每個群組中的印表機。

    • 易記印表機 名稱 - 從設備管理器中的印表機裝置屬性詳細數據取得易記印表機名稱值。
    • USB 印表機 - 透過電腦的 USB 連接埠連線的印表機。 如果您想要在未選取 USB 產品識別碼和 USB 廠商識別碼時強制執行任何 USB 印表機,請選取此選項。 您也可以指定其 USB 產品識別碼和 USB 廠商識別碼,以指派特定的 USB 印表機。
    • USB 產品識別碼 - 從設備管理員中的印表機裝置屬性詳細數據取得裝置 實例 路徑值。 將該值轉換為產品標識碼和廠商標識碼格式。 如需詳細資訊,請 參閱標準USB標識符
    • USB 廠商識別碼 - 從設備管理器中的印表機裝置屬性詳細數據取得裝置 實例 路徑值。 將該值轉換成產品標識碼和廠商標識碼格式。 如需詳細資訊,請 參閱標準USB標識符
    • IP 範圍
    • 列印至檔案 - Microsoft列印到 PDF 或Microsoft XPS 檔寫入器。 如果您只想要強制Microsoft列印到 PDF,您應該使用易記印表機名稱搭配 'Microsoft列印到 PDF'。
    • 在印表機上部署的通用列印 - 如需通用印表機的詳細資訊,請參閱 設定通用列印
    • 公司印表機 - 是透過網域中的內部部署 Windows 印表伺服器共用的列印佇列。 其路徑可能如下所示:\print-server\contoso.com\legal_printer_001。
    • 印表到本機 - 任何透過Microsoft列印埠連線的印表機,而不是上述任何類型。 例如:透過遠端桌面列印或重新導向印表機。

注意事項

您不應該使用 USB 印表機IP 範圍列印到檔案在印表機上部署的通用列印公司印表機列印到本機的多個參數。

  1. 為群組中的每個印表機指派 一個顯示名稱。 這些名稱只會出現在 Microsoft 控制台中。

  2. 建立名為合法印表機印表機群組,並新增個別印表機 (,並以其易記名稱) 別名;例如:legal_printer_001legal_printer_002legal_color_printer。 (您可以一次選取多個參數,以協助您明確地識別特定的印表機。)

  3. 將原則動作指派給 DLP 原則中的群組:

    • Allow (沒有使用者通知或警示的稽核)
    • Audit only (您可以新增通知和警示)
    • Block with override (封鎖動作,但使用者可以覆寫)
    • Block 不論) 什麼, (區塊

建立印表機群組

  1. 啟 Microsoft Purview 合規性入口網站 並流覽至 [數據外泄防護>概觀>數據外泄防護設定>] [端點設定>] [列印機群組]
  2. 取 [建立印表機群組]
  3. 為群組命名。
  4. 取 [新增印表機]
  5. 為印表機指定易 記名稱。 您選取的名稱只會出現在這裡。
  6. 選取參數並提供值,以明確識別特定印表機。
  7. 選取 新增
  8. 視需要新增其他印表機。
  9. 選取 [儲存 ],然後選取 [ 關閉]

卸除式 USB 裝置群組

使用此設定來定義一組卸除式儲存設備,例如 USB Thumb 磁碟驅動器,您想要將原則動作指派給與全域列印動作不同的專案。 例如,假設您想要讓具有工程規格的專案無法複製到抽取式儲存設備,但用來備份異地記憶體數據的指定USB連線硬碟除外。

您可以建立最多 20 個群組,每個群組中最多有 50 個卸載式儲存設備。

注意事項

此功能適用於執行下列任一 Windows 版本的裝置:

  • Windows 10 及更新版本 (21H1、21H2) 與 KB 5018482
  • Win 11 21H2,22H2 含 KB 5018483
  • Windows 10 RS5 (KB 5006744) 和 Windows Server 2022

使用下列參數來定義卸除式存儲設備。

  • 儲存裝置易記名稱 - 從設備管理器中的儲存裝置屬性詳細數據取得易記名稱值。 支援萬用字元值。
  • USB 產品識別碼 - 從設備管理器中的 USB 裝置屬性詳細數據取得裝置實例路徑值。 將它轉換成產品識別碼和廠商標識碼格式。 如需詳細資訊,請 參閱標準USB標識符
  • USB 廠商識別碼 - 從設備管理器中的 USB 裝置屬性詳細數據取得裝置實例路徑值。 將它轉換成產品識別碼和廠商標識碼格式。 如需詳細資訊,請 參閱標準USB標識符
  • 序號識別 碼 - 從設備管理器中的儲存設備屬性詳細數據取得序號識別碼值。 支援萬用字元值。
  • 裝置識別碼 - 從設備管理器中的儲存設備屬性詳細數據取得裝置識別碼值。 支援萬用字元值。
  • 實例路徑識別碼 - 從設備管理器中的儲存設備屬性詳細數據取得裝置識別碼值。 支援萬用字元值。
  • 硬體識別碼 - 從設備管理器中的儲存裝置屬性詳細數據取得硬體識別碼值。 支援萬用字元值。

您會為群組中的每個抽取式儲存設備指派 別名。 別名是只出現在 Microsoft Purview 控制台中的易記名稱。 因此,繼續進行範例,您會建立名為 Backup 的卸除式儲存設備群組,並將個別裝置 (以別名) ,依其易記名稱新增,例如 backup_drive_001、 和 backup_drive_002

您可以多重選取參數,然後列印機群組會包含滿足這些參數的所有裝置。

您可以將這些原則動作指派給 DLP 原則中的群組:

  • Allow (沒有使用者通知或警示的稽核)
  • Audit only (您可以新增通知和警示)
  • Block with 覆寫 (封鎖動作,但使用者可以覆寫)
  • Block 不論) 什麼, (區塊

建立卸除式 USB 裝置群組

  1. 啟 Microsoft Purview 合規性入口網站>數據外泄防護>概觀>數據外泄防護設定>端點設定>卸除式存儲設備群組
  2. 取 [建立抽取式存儲設備群組]
  3. 提供 組名
  4. 取 [新增抽取式存儲設備]
  5. 提供 別名
  6. 選取參數並提供值,以明確識別特定裝置。
  7. 選取 新增
  8. 視需要將其他裝置新增至群組。
  9. 選取 [儲存 ],然後選取 [ 關閉]

建立抽取式存放裝置群組最常見的使用案例是使用它們來指定使用者可以將檔案複製到哪個卸載式存儲設備。 一般而言,只有指定 的備份 群組中的裝置才允許複製。

定義卸載式存放裝置群組之後,您可以在所有範圍為 [ 裝置] 的原則中使用它。 如需設定原則動作以使用授權群組的詳細資訊,請參閱案例 8:授權 群組。

網路共用群組

使用此設定來定義您想要將原則動作指派給與全域網路共享路徑動作不同之網路共享路徑的群組。 例如,假設您想要讓 DLP 原則防止使用者將受保護的檔案儲存或複製到網路共用,但特定群組中的網路共用除外。

注意事項

此功能適用於執行下列任一 Windows 版本的裝置:

  • Windows 10 及更新版本 (21H1、21H2) 與 KB 5018482
  • Win 11 21H2,22H2 含 KB 5018483
  • Windows 10 RS5 (KB 5006744) 和 Windows Server 2022

若要在群組中包含網路共享路徑,請定義其所有共享開頭的前置詞。 例如:

  • '\Library' 將會相符:

    • \Library 資料夾及其所有子資料夾。
  • 您可以使用通配符,例如 '\Users*\Desktop' 會相符:

    • '\Users\user1\Desktop'
    • '\Users\user1\user2\Desktop'
    • '\Users*\Desktop'
  • 您也可以使用環境變數,例如:

    • %AppData%\app123

您可以將下列原則動作指派給 DLP 原則中的群組:

  • Allow (沒有使用者通知或警示的稽核)
  • Audit only (您可以新增通知和警示)
  • Block with override (封鎖動作,但使用者可以覆寫)
  • Block 不論) 什麼, (區塊

定義網路共用群組之後,您可以在所有限定範圍為 裝置的 DLP 原則中使用它。 如需設定原則動作以使用授權群組的詳細資訊,請參閱 案例 8 授權群組

建立網路共用群組

  1. Microsoft Purview 合規性入口網站>數據外泄防護>概觀>數據外泄防護設定>端點設定>網路共用群組。 1.選 取 [建立網络共用群組]
  2. 提供 組名
  3. 將檔案路徑新增至共用。
  4. 選取 新增
  5. 視需要將其他共享路徑新增至群組。
  6. 選取 [儲存 ],然後選取 [ 關閉]

VPN 設定

使用 VPN 清單,只控制透過該 VPN 執行的動作。

注意事項

此功能適用於執行下列任一版本 Windows 的裝置:

  • Windows 10 及更新版本 (21H1、21H2) 與 KB 5018482
  • Windows 11 21H2、22H2 與 KB 5018483
  • Windows 10 RS5 (KB 5006744)

當您在 VPN 設定中列出 VPN 時,可以將下列原則動作指派給他們:

  • Allow (沒有使用者通知或警示的稽核)
  • Audit only (您可以新增通知和警示)
  • Block with override (封鎖動作,但使用者可以覆寫)
  • Block 不論) 什麼, (區塊

這些動作可以個別或共同套用至下列用戶活動:

  • 複製到剪貼簿
  • 複製到 USB 卸載式裝置
  • 複製到網路共用
  • Print
  • 使用不允許的 (受限) 藍牙應用程式進行複製或移動
  • 使用 RDP 複製或移動

設定 DLP 原則以限制裝置上的活動時,您可以控制當使用者連線到所列任何 VPN 內的組織時,每個執行的活動會發生什麼情況。

使用 伺服器位址網路位址 參數來定義允許的 VPN。

取得伺服器位址或網路位址

  1. 在受 DLP 監視的 Windows 裝置上,以系統管理員身分開啟 Windows PowerShell 視窗。
  2. 執行下列 Cmdlet,這會傳回多個字段和值。
Get-VpnConnection
  1. 在 Cmdlet 的結果中,尋找 ServerAddress 字段並記錄該值。 當您在 VPN 清單中建立 VPN 專案時,會使用 ServerAddress
  2. 尋找 [ 名稱] 欄 位並記錄該值。 當您在 VPN 清單中建立 VPN 專案時, [名稱 ] 欄位會對應至 [ 網路位址 ] 字段。

新增 VPN

  1. Microsoft Purview 合規性入口網站>數據外泄防護>概觀>數據外泄防護設定>端點設定>VPN 設定
  2. 取 [新增或編輯 VPN 位址]
  3. 提供您在執行 Get-VpnConnection之後所記錄的伺服器位址網路位址
  4. 選取 [儲存]
  5. 關閉專案。

重要事項

在 [ 網络限制 ] 設定下,您也會看到 [公司網络 ] 作為選項。 公司網路 連線是組織資源的所有連線。 您可以以系統管理員身分執行 Cmdlet,Get-NetConnectionProfile以查看裝置是否使用公司網路NetworkCategoryId如果輸出中的 是 DomainAuthenticated,表示計算機已連線到公司網路。 如果輸出是任何其他專案,則電腦不是 。 在某些情況下,計算機可以是已連線的 VPN 和公司網路連線。 如果在 [網络限制] 下選取兩者,端點 DLP 會根據順序套用動作。 如果您想要將 VPN 的動作設為套用的動作,請將 VPN 專案移 至公司網路 上方,讓其優先順序高於 公司網路的動作。

如需設定原則動作以使用網路例外狀況的詳細資訊,請參閱案例 9:網路 例外狀況。

另請參閱