本文會使用您在 設計數據外洩防護原則 中所學到的程式,示範如何建立 Microsoft Purview 數據外洩防護 (DLP) 原則,以協助防止將敏感性資訊從受控裝置共用至 AI 應用程式。 在測試環境中完成此案例,以熟悉原則建立 UI。
使用此案例使用 Edge 作為控制點,以封鎖將敏感性資訊共用至未受控的 AI 應用程式,例如 OpenAI ChatGPT、DeepSeek 或 Google Gemini。 它需要由 Intune 管理裝置。
重要事項
本文呈現具有假設值的假設情境。 它僅用於說明目的。 取代您自己的敏感性資訊類型、敏感度標籤、通訊群組和使用者。
如何部署原則與原則設計同樣重要。 本文 說明如何使用部署選項,讓原則達成您的意圖,同時避免代價高昂的商務中斷。
必要條件和假設
此程式會使用假設的通訊群組,一個名為 財務小組,另一個群組用於 安全性小組。
重要事項
開始此程式之前,請閱讀瞭解商務 用 Edge 中雲端應用程式的資料外洩防護。 它提供有關此案例的必要條件和假設的重要資訊。
實施瀏覽器 DLP 遵循以下階段:
- (本文中的程式) Microsoft Purview 資料外洩防護入口網站中建立瀏覽器 DLP 原則。
-
- Microsoft Edge 管理服務會自動建立設定原則,以在商務用 Edge 中啟用 DLP 原則。 設定原則會使用 Microsoft Intune 原則 來 啟用 Microsoft Edge 中的 Purview 原則。
重要事項
使用者必須同時位於 DLP 原則和 Edge 組態原則的範圍內,才能將原則套用至 Edge 中的使用者。
原則意圖陳述式和對應
我們需要阻止財務團隊成員透過 Edge 將敏感資訊分享給非託管的 AI 應用程式。 其他團隊無權存取此高度敏感的資訊,因此封鎖只需要套用至此團隊。 當他們的文字提示包含銀行帳戶、路由或我們國際客戶的 SWIFT 號碼等資訊時,共享就會被阻止。 我們還必須滿足警報要求。 我們希望每次有與政策相符的情況時,都會透過電子郵件通知我們的安全團隊。 最後,我們希望這在測試後盡快生效,並且需要能夠看到系統內的相關活動。
| 陳述式 | 已回答設定問題與設定對應 |
|---|---|
| 我們需要阻止財務團隊成員通過 Edge 將敏感信息共享到非託管的 AI 應用程序...... | - 選擇套用原則的位置:瀏覽器活動 中的資料-管理範圍:完整目錄 - 套用原則的位置:OpenAI ChatGPT。 Google Gemini、Microsoft Copilot、DeepSeek 行動:封鎖 |
| 其他團隊無權訪問此信息,因此該阻止只需要應用於該團隊...... | - 針對每個應用程式的範圍」 特定使用者和群組,包括使用者和群組>財務團隊 |
| 當他們的文字提示包含我們國際客戶的銀行帳戶、路由或 SWIFT 號碼等資訊時,應阻止共享。 | 要監控的內容: - 使用 自訂原則範本 - 比對條件: 內容包含敏感資訊類型>ABA 路由號碼、 澳洲銀行帳號、 加拿大銀行帳號、 國際銀行帳號 (IBAN) 、 以色列銀行帳號、 日本銀行帳號、 紐西蘭銀行帳號、 SWIFT 代碼、 美國銀行帳號 - 動作: 限制瀏覽器和網路活動>文字上傳>區塊。 |
| 我們還必須滿足警報要求。 我們希望每次有與政策相符的情況時,都會透過電子郵件通知我們的安全團隊。 | - 事件報告: 在發生 規則相符時傳送警示給系統管理員- 傳送電子郵件警示給這些人員 (選用) :新增 安全性小組 - 每次活動符合規則時傳送警示: 已選取- 使用電子郵件事件報告在發生原則相符時通知您: 開啟 - 傳送通知給這些人員:視需要 新增個別系統管理員 - 您也可以在報告中包含下列資訊: 選取所有選項 |
| ...最後,我們希望這在測試後盡快生效,並且需要能夠看到系統內的相關活動。 | 原則模式: 在模擬中開啟 |
建立原則的步驟
- 登入 Microsoft Purview 入口網站。
- 選取 [資料外洩防護>原則>] + [建立原則]。
- 選取 [瀏覽器活動中的資料]。
- 從 [類別] 清單中選取 [自訂],然後從 [法規] 清單中選取 [自訂原則]。
- 選擇 [下一步]。
- 輸入原則名稱並提供說明。 您可以在此處使用原則意圖陳述式。
重要事項
您無法重新命名原則。
選擇 [下一步]。
接受 [指派管理單位] 頁面上的預設完整目錄。
選擇 [下一步]。
在每個位置旁邊的 [動作] 欄中選取 [編輯]
- 選擇 OpenAIChatGPT、Google Gemini、Microsoft Copilot、DeepSeek。
選取 特定使用者和群組。
選擇 + 包含, 然後選擇 包含群組。
選取 [財務小組]。
選取 [完成] ,然後選取 [ 下一步]。
在 [ 定義原則設定 ] 頁面上,應該已選取 [ 建立或自訂進階 DLP 規則 ] 選項。
選擇 [下一步]。
在 [ 自定義進階 DLP 規則 ] 頁面上,選取 [+ 建立規則]。
輸入規則的名稱和描述。
選取 [ 新增條件 ],然後使用下列值:
- 選取 內容包含。
- 選取 [ 新增>敏感性資訊類型>] 敏感性資訊類型>ABA 路由號碼、 澳洲銀行帳號、 加拿大銀行帳號、 國際銀行帳號 (IBAN) 、 以色列銀行帳號、 日本銀行帳號、 紐西蘭銀行帳號、 SWIFT 代碼、 美國銀行帳號。
選取 新增。
在 [動作] 下,新增具有下列值的動作:
- 限制瀏覽器和網路活動
- 文字上傳>塞
在 [事件報告] 底下,選取:
- 將 [在系統管理員警示和報告中使用此嚴重性層級] 設定為 [低]。
- 將 [發生規則相符時傳送警示給管理員] 的切換設定為 [ 開啟]。
- 在 [傳送電子郵件警示給這些人員 (選擇性) 下,選取 + 新增或移除使用者 ,然後新增安全性小組的電子郵件地址。
選取 [儲存] ,然後選取 [下一步]。
在 [原則模式] 頁面上,選取 [以模擬模式執行原則]。
選取 [下一步],然後選取 [提交]。
選取 [完成]。
Microsoft Edge 管理服務會自動建立必要的設定原則和必要的 Microsoft Intune 原則 ,以 在 Microsoft Edge 中啟用 Purview 原則。
重要事項
在同時符合 DLP 和 Edge 管理服務需求之前,不會在 Edge 中套用 DLP 原則。
注意事項
當原則的動作設定為 [封鎖] 時,會在裝置層級封鎖使用者開啟 Firefox 和其他瀏覽器。 如果未安裝適用於 Chrome 的 Microsoft Purview 擴充功能 或已過期,他們也會遭到封鎖,無法開啟 Chrome。 在具有 Purview 擴充功能的 Chrome 中,會封鎖一組動態生成式 AI 應用程式的存取。 如需詳細資訊,請參閱:[在 Microsoft Edge 中啟用 Purview 原則]/deployedge/microsoft-edge-dlp-purview-configuration)