Microsoft Purview 資料外洩防護 (DLP) 政策包含許多設定選項。 每個選項都會改變政策的行為。 本系列文章涵蓋了一些最常見的DLP政策情境。 他們會引導你如何配置這些選項,讓你親身體驗 DLP 政策建立的流程。 當你熟悉這些情境後,你就能掌握運用 DLP 政策建立 UX 來建立自己政策所需的基礎技能。
政策如何部署同樣重要的政策設計。 你有 多種選項來控制政策部署。 本文將教你如何運用這些選項,讓保單達成你的目的,同時避免昂貴的商業中斷。
預覽 你可以更改 DLP 政策和規則的顯示名稱。 一旦你重新命名一項政策或規則,任何現有紀錄在活動總覽的 Evetns、警示和稽核紀錄中都會保留原本的名稱。 新紀錄將在活動探索事件、警示及稽核紀錄中反映新名稱。 這些名稱會一直保留,直到物品離開系統。
先熟悉DLP
- 管理單位
- 了解 Microsoft Purview 資料外洩防護
- 規劃資料外洩防護 (DLP) - 透過本文,您將:
- 收藏政策解決方案概述
- 收藏政策參考
- 資料外洩防護原則參考資料 - 本文介紹 DLP 原則的所有元件,以及每個元件如何影響原則的行為
- 設計 DLP 政策 ——本文將引導你建立政策意圖陳述,並將其映射到特定的政策配置。
- 建立並部署資料遺失防護政策 ——本文介紹一些常見的政策意圖情境,將這些情境映射到設定選項,然後引導你如何配置這些選項。
- 了解資料遺失防範警示的調查 ——本文將介紹警示從建立到最終修復及政策調整的生命週期。 同時也會介紹你用來調查警報的工具。
SKU/訂閱授權
有關授權資訊,請參見
權限
你用來建立和部署政策的帳號必須是以下其中一個角色群組的成員:
- 合規性系統管理員
- 合規性資料管理員
- 資訊保護
- 資訊保護系統管理員
- 安全性系統管理員
重要事項
在開始之前,請閱讀《管理單位》一書,了解無限制管理員與受限制管理單位管理員的差異。
細緻角色與角色群組
你可以利用這些角色和角色群組來微調存取控制。
以下是一些適用的職務清單。 欲了解更多,請參閱 Microsoft Purview 入口網站的權限。
- DLP 合規性管理
- 資訊保護系統管理員
- 資訊保護分析員
- 資訊保護調查人員
- 資訊保護讀者
以下是適用的角色群組清單。 欲了解更多,請參閱 Microsoft Purview 入口網站的權限。
- 資訊保護
- 資訊保護系統管理員
- 資訊保護分析員
- 資訊保護調查人員
- 資訊保護讀者
企業應用程式 & 裝置的政策建立情境
前一篇文章《 設計 DLP 政策》介紹了建立政策意圖陳述,並將該意圖陳述映射到政策設定選項的方法論。
- 請協助避免透過電子郵件分享信用卡號碼
- 協助避免透過 SharePoint 和 OneDrive 與外部使用者分享敏感項目
- 協助保護端點資料遺失防止(Endpoint Data Loss Prevention)未能掃描的檔案
- 協助保護端點資料遺失防止(Endpoint Data Loss Prevention)無法掃描的檔案
- 協助防止分享指定不支援檔案
- 關閉 Microsoft Purview 資料遺失防護掃描功能,並套用控制措施
- 幫助避免與信用卡號碼共享 Power BI 報告
內嵌網路流量的政策建立場景
- 協助防止透過 商務用 Microsoft Edge 與受管理裝置的未管理 AI 應用程式分享
- 幫助防止用戶在 Edge for Business 中與雲端應用程式分享敏感資訊
- 透過網路資料安全,協助防止敏感資訊與未受管理的 AI 應用程式分享
部署
成功的政策部署不僅僅是將政策導入你的環境,以強制控制使用者行動。 草率且倉促的部署會對業務流程造成負面影響,並讓使用者感到惱火。 這些後果會延緩組織對 DLP 技術的接受度,以及它所推廣的安全行為。 最終,這些後果會讓你的敏感物品從長遠來看變得不安全。
在開始部署前,務必閱讀 政策部署的全文。 它提供政策部署流程的廣泛概述及一般指引。
本節將更深入探討你協同使用的三種控制方式,以管理生產環境中的政策。 你可以隨時更改這些控制,不僅限於政策建立時。
部署管理的三個軸
使用三個軸來控制政策部署流程:範圍、狀態與動作。 部署政策時,始終採取漸進式方法,從影響最小的 模擬模式 開始,逐步執行。
推薦的部署控制配置
| 當你的保單狀態是 | 你的保單範圍可以是 | 政策行動的影響 |
|---|---|---|
| 在模擬模式下執行策略 | 地點的政策範圍可以很窄也可以很廣泛 | - 你可以設定任何動作 - 設定的動作 不會影響使用者 - 管理員會看到警示並追蹤活動 |
| 在模擬模式下執行政策,並獲得政策提示 | 政策應該針對試點團體設限,然後隨著調整政策而擴大範圍 | - 你可以設定任何動作 - 設定的動作 不會影響使用者 - 使用者可以收到政策提示和警示 - 管理員能看到警示並追蹤活動 |
| 打開它 | 所有目標位置實例 | - 所有設定的動作都會強制執行於使用者活動 上- 管理員能看到警示並追蹤活動 |
| 別關 | n/a | n/a |
狀態
州政府是你用來推保單的主要控制系統。 當你完成保單建立後,將保單狀態設定為「關閉」。 在你處理保單設定期間,保持這個狀態,直到你拿到最終審查並簽署為止。 將狀態設定為:
- 以模擬模式執行政策:不強制執行政策動作,事件會被稽核。 在此狀態下,你可以在 DLP 模擬模式總覽和 DLP 活動總管主控 台中監控政策的影響。
- 在模擬模式下執行政策並展示政策提示:不會強制執行,但使用者會收到政策提示和通知郵件,以提升意識並進行教育。
- 立即開啟:這是全面執法模式。
- 保持關閉:該政策已不再生效。 在部署前制定和檢視保單時,請使用這個狀態。
你可以隨時更改保單狀態。
動作
動作是政策對使用者在敏感項目上行為的回應。 因為你可以隨時更改這些行動,你可以從影響最小的 開始,允許 裝置) (,其他地點 ) 僅審核 (,收集並審查稽核資料,並用來調整政策,再進行更嚴格的措施。
允許:允許使用者活動發生,因此不影響業務流程。 你會得到稽核資料,卻沒有任何用戶通知或警示。
注意事項
允許動作僅適用於範圍限定在裝置位置的政策。
僅審核:允許使用者活動進行,因此不會影響業務流程。 你會獲得稽核資料,並加入通知和警示,提高警覺並訓練使用者知道他們所做的行為是有風險的。 如果你的組織打算未來執行更嚴格的措施,也可以告訴用戶。
封鎖並覆寫:使用者活動預設被封鎖。 你可以稽核活動,發出警示和通知。 此行為會影響業務流程,但使用者可選擇覆蓋封鎖並提供覆蓋理由。 因為您可以直接從使用者那裡獲得回饋,這個動作可以幫助你辨識誤判匹配,進而進一步調整政策。
注意事項
在 Microsoft 365 中,對於 Exchange Online 和 SharePoint,你可以在使用者通知區段設定覆寫。
封鎖:無論如何,使用者的活動都會被封鎖。 你可以稽核活動,發出警示和通知。
政策範圍
每個政策都針對一個或多個地點設限,例如 Exchange、Microsoft 365 中的 SharePoint、Teams 和裝置。 預設情況下,當你選擇一個地點時,該地點的所有實例都屬於範圍,且沒有一個被排除。 你可以透過設定該地點的包含/排除選項,進一步細化該政策 () 的地點實例,例如網站、群組、帳號、分發群組、信箱和裝置。 欲了解更多包含/排除範圍選項,請參閱「 地點」。
一般來說,當政策處於 模擬模式執行時 ,你在範圍設定上有更多彈性,因為不會執行任何動作。 你可以從你設計保單的範圍開始,或是廣泛調查,看看保單會如何影響其他地區的敏感項目。
當你將狀態改為 「在模擬模式下執行政策」並展示政策提示時,將範圍縮小到一個能給你回饋並成為早期採用者、能成為其他加入者資源的試點團隊。
當你將政策移至 立即開啟時,你的範圍會擴大到包含你在政策設計時所預期的所有地點實例。
政策部署步驟
- 在建立政策並設定狀態為 關閉它後,與利害關係人進行最後審查。
- 將狀態改為 「在模擬模式下執行政策」。 此時位置範圍相當廣泛,你可以收集政策在多個地點的行為數據,或是從單一地點開始。
- 根據行為數據調整政策,使其更符合企業意圖。
- 將狀態改為 「在模擬模式下執行政策」並顯示策略提示。 縮小支援試點團體的範圍,並善用包含/排除條款,確保政策能先推送到該試點團體。
- 收集使用者回饋、警示與事件資料。 如有需要,調整保單和你的計畫。 務必針對用戶提出的所有問題進行處理。 你的使用者很可能會遇到問題,並提出你在設計階段沒想到的疑問。 此時培養一群超級用戶。 隨著政策範圍擴大及用戶增加,他們可以成為培訓其他使用者的資源。 在進入下一階段部署前,請確保政策已達成你的控制目標。
- 將狀態改成立即開啟。 該政策已全面部署。 監控 DLP 警示與活動總管。 地址提醒。