組織擁有其控制的敏感資訊,例如:
- 財務數據
- 專有數據
- 信用卡號碼
- 健康記錄
- 社會安全號碼
為了協助保護這些敏感性資料,並降低過度共用的風險,他們需要一種方法來協助防止使用者不當地與不應該擁有敏感性資料的人共用敏感性資料。 此做法稱為資料外洩防護 (DLP)。
在 Microsoft Purview 中,您可以藉由定義和套用 DLP 原則來實作數據外洩防護。 DLP 原則可協助您識別、監視及自動保護靜態資料、動態資料和使用中資料的敏感性資料。 DLP 原則適用於各種位置、資料傳輸方法和使用者活動類型。
靜態資料、使用中資料
DLP 會以 Microsoft 365 服務中的位置為目標,例如 Exchange 和 SharePoint,以及您手動新增的位置,例如內部部署檔案共用、端點裝置和手動新增的非 Microsoft 雲端應用程式,來監視並防止這兩種狀態下的數據過度共用。 這些位置和來源包括:
- Microsoft 365 服務,例如 Exchange、SharePoint、OneDrive 和 Teams
- Microsoft 365 服務,例如 Teams、Exchange、SharePoint 和 OneDrive 帳戶
- Office 應用程式,例如 Word、Excel 和 PowerPoint
- Windows 10、Windows 11 和 macOS (三個最新發行的版本) 端點
- 非 Microsoft 雲端應用程式
- 內部部署檔案共用和內部部署 SharePoint
- Fabric 和 Power BI 工作區
- Microsoft 365 Copilot (預覽)
建立以 儲存在連線來源中的資料 為目標的 DLP 原則,以涵蓋這些位置。
動態數據
DLP 與 收集策略 結合使用,透過鎖定透過網路傳輸的資料來監控和防止過度共用動態資料。 建立以 瀏覽器中的資料 為目標的原則 (預覽) ,以及 網路活動 (預覽) ,以涵蓋以下位置:
- OpenAI ChatGPT - 瀏覽器 DLP 和網絡數據安全
- Google Gemini - 瀏覽器 DLP 和網路資料安全
- DeepSeek - 瀏覽器 DLP 和網路資料安全
- Microsoft Copilot - 瀏覽器 DLP 和網路資料安全性
- 在 Microsoft Defender for Cloud Apps 雲端應用程式目錄中定義的超過 34,000 個雲端應用程式 - 網路資料安全性
DLP 會使用深度內容分析來偵測敏感性專案,而不僅僅是簡單的文字掃描。 內容分析:
- 針對與關鍵字相符的主要資料
- 通過規則表達式的評估
- 通過內部功能驗證
- 依鄰近主要資料相符的次要資料相符
- 資料遺失防護也會使用機器學習演算法和其他方法來偵測符合資料遺失防護原則的內容
- 商務 用 Microsoft Edge 內嵌,適用於尚未上線至 Microsoft Purview 的 Windows 裝置。 (預覽)
開始之前
如果您是 Microsoft Purview DLP 的新手,以下是實作 DLP 時所需的核心文章清單:
- 管理單位
- 瞭解 Microsoft Purview 資料外洩防護 - 您現在閱讀的文章會向您介紹資料外洩防護規則和 Microsoft 的 DLP 實作
- 規劃資料外洩防護 (DLP) - 透過本文,您將:
- 資料外洩防護原則參考資料 - 本文介紹 DLP 原則的所有元件,以及每個元件如何影響原則的行為
- 設計 DLP 原則 - 本文會逐步引導您建立原則意圖陳述式,並將它對應至特定原則設定。
- 建立和部署資料外洩防護原則 - 本文提供一些您對應至設定選項的常見原則意圖案例,然後逐步引導您完成設定這些選項。
- 瞭解如何調查資料外洩防護警示 - 本文會向您介紹警示的生命週期,從建立到最終補救和原則調整。 它也會向您介紹用來調查警示的工具。
授權
如需授權的相關資訊,請參閱
DLP 是較大 Microsoft Purview 供應專案的一部分
DLP 只是其中一個 Microsoft Purview 工具,可用來協助保護敏感性專案,無論它們居住或旅行在何處。 您應該瞭解 Microsoft Purview 工具集中的其他工具、它們如何相互關聯,以及更好地搭配使用。 請參閱 Microsoft Purview 工具 ,以深入瞭解資訊保護程式。
DLP 原則的保護動作
DLP 原則是您監視使用者對待用敏感性專案、傳輸中的敏感性專案或使用中的敏感性專案,然後採取保護動作的方式。 例如,當使用者嘗試禁止的動作時,例如將敏感性項目複製到未經核准的位置,或在電子郵件中共用醫療資訊,DLP 可以:
- 向使用者顯示彈出式原則提示,警告他們可能嘗試不當共用敏感性專案
- 封鎖共用,並透過原則提示,允許使用者覆寫封鎖並擷取使用者的理由
- 封鎖沒有覆寫選項的共用
- 對於靜態資料,可以鎖定敏感項目並將其移至安全的隔離位置
- 針對 Teams 聊天,不會顯示敏感性資訊
根據預設,所有 DLP 監視的活動都會記錄到 Microsoft 365 稽核記錄 ,並路由傳送至 活動總管。
DLP 生命週期
DLP 實作通常會遵循這些主要階段。
規劃 DLP
DLP 監控和保護是使用者每天使用的應用程式的原生功能。 這有助於保護組織的敏感性專案免於風險活動,即使您的使用者不習慣資料外洩防護思維和做法也一樣。 如果您的組織和使用者不熟悉資料外洩防護做法,則採用 DLP 可能需要變更您的商務程式,而且您的使用者將會有文化特性轉變。 但是,透過適當的規劃、測試和調整,您的 DLP 原則可以保護您的敏感項目,同時最大限度地減少任何潛在的業務流程中斷。
DLP 的技術規劃
請記住,DLP 作為一種技術,可以監視和保護 Microsoft 365 服務、Windows 10、Windows 11 和 macOS 的待用資料、使用中的資料和移動的資料, (裝置、內部部署檔案共用和內部部署 SharePoint) 的三個最新發行版本。 不同位置、您要監視及保護的資料類型,以及發生原則相符時要採取的動作,都有規劃影響。
DLP 的商務程序規劃
DLP 原則可以阻止使用者執行禁止的活動,例如透過電子郵件不當共用敏感資訊。 規劃 DLP 原則時,您必須識別觸及敏感性項目的商務程序。 商務程序擁有者可協助您識別應允許的適當使用者行為,以及應保護的不適當使用者行為。 您應該規劃原則,並在 模擬模式中部署它們,並評估其影響,然後再以更嚴格的模式執行它們。
DLP 的組織文化規劃
成功的 DLP 實作取決於讓使用者接受訓練並適應資料外洩防護做法,也取決於精心規劃和調整的原則。 由於您的使用者大量參與,因此請務必也為他們規劃訓練。 您可以策略性地使用原則提示來提高使用者的意識,然後再將原則狀態從模擬模式變更為限制性更強的模式。
準備 DLP
您可以將 DLP 原則套用至靜態資料、使用中的資料,以及位於以下位置的動態資料:
- Exchange Online 電子郵件
- SharePoint 網站
- OneDrive 帳戶
- Teams 聊天和頻道訊息
- 實例:Microsoft Defender for Cloud Apps
- 裝置:Windows 10、Windows 11 和 macOS (三個最新發布的版本)
- 內部部署存放庫
- Fabric 和 Power BI 工作區
- Microsoft 365 Copilot (預覽)
每一項都有不同的先決條件。 某些位置中的敏感性專案,例如 Exchange Online,只要設定套用至它們的原則,就可以納入 DLP 保護傘下。 其他專案,例如內部部署檔案存放庫,需要部署 Microsoft Purview 資訊保護掃描器。 您必須準備環境、撰寫程式碼草稿原則,並在啟動任何封鎖動作之前徹底測試它們。
在生產環境中部署您的政策
設計您的政策
首先定義您的控制目標,以及它們如何應用於每個相應的工作負載。 起草一份體現您目標的政策。 請隨意一次從一個工作負載開始,或跨所有工作負載開始 - 目前還沒有影響。 如需詳細資訊,請參閱 建立和部署資料外洩防護原則。
在模擬模式中實作原則
在 模擬模式中使用 DLP 原則實作控制項,以評估控制項的影響。 當原則處於模擬模式時,不會套用原則中定義的動作。 您可以在模擬模式下將原則套用至所有工作負載,以便取得完整的結果,但如有需要,您可以從一個工作負載開始。 如需詳細資訊,請參閱 原則部署。
監控結果並微調政策
在模擬模式下,監控政策的結果並對其進行微調,使其符合您的控制目標,同時確保您不會對有效的使用者工作流程和生產力產生不利或無意的影響。 以下是一些需要微調的範例:
- 調整範圍內或範圍外的位置和人員/地點
- 調整用來判斷項目及其執行動作是否符合原則的條件
- 敏感性資訊定義
- 新增控制項
- 新增人員
- 新增受限制的應用程式
- 新增受限制的網站
注意事項
停止處理更多規則在 模擬模式下不起作用,即使它已開啟也是如此。
啟用控制並調整您的原則
一旦政策符合您的所有目標,請將其開啟。 繼續監控原則應用程式的結果,並視需要進行調整。
注意事項
一般來說,政策在開啟後約一小時生效。
DLP 原則設定概述
您對於如何建立並設定 DLP 原則方面具有彈性。 您可以從預先定義的範本開始,按幾下以建立原則,或者您也可以從頭開始設計自己的原則。 無論您選擇哪一個,所有 DLP 原則都需要您提供相同的資訊。
選擇您要監視的內容 - DLP 隨附許多預先定義的原則範本來協助您開始使用,或者您可以建立自訂原則。
- 預先定義的原則範本,例如財務資料、醫療和健康資料、隱私權資料,所有這些都適用於不同的國家和地區。
- 使用可用的 敏感性資訊類型 (SIT) 、 保留標籤和 敏感度標籤的自定義原則。
選擇系統管理範圍 - DLP 支援將 系統管理單位 指派給原則。 指派給系統管理單位的系統管理員只能為指派給他們的使用者、群組、通訊群組、帳戶和網站建立和管理原則。 因此,不受限制的系統管理員可以將原則套用至所有使用者、群組和網站,也可以將其範圍限定為管理單位。 如需更多 DLP 特定詳細資料,請參閱原則範圍。 如需 Microsoft Purview 資訊保護系統管理單位的詳細數據,請參閱 管理單位。
選擇您要監視的位置 - 您可以選擇要 DLP 監視敏感性資訊的一或多個位置。 您可以監視:
位置 包含/排除依據 Exchange 電子郵件 通訊群組 SharePoint 網站 網站 OneDrive 帳戶 帳戶或通訊群組 Teams 聊天和頻道訊息 帳戶或通訊群組 Windows 10、Windows 11 和 macOS (三個最新發布的版本) 裝置 使用者和群組 + 裝置和裝置群組 Microsoft Cloud App Security 執行個體 內部部署存放庫 存放庫檔案路徑 Fabric 和 Power BI 工作區 Microsoft 365 Copilot (預覽) 帳戶或通訊群組
注意事項
上述使用者和群組應該是線上使用者和 M365、Exchange Online 和 Microsoft Entra 群組
選擇必須相符的條件,才能將原則套用至項目 - 您可以接受預先設定的條件,也可以定義自訂條件。 部分範例如下:
- 項目包含特定內容中使用的指定類型的敏感性資訊。 例如,95 個社會安全碼會以電子郵件傳送給組織外部的收件者。
- 專案具有指定的敏感度標籤
- 具有敏感資訊的專案會在內部或外部共用
選擇符合原則條件時要採取的動作 - 動作取決於活動發生的位置。 部分範例如下:
- SharePoint/Exchange/OneDrive:封鎖組織外部的人員存取內容。 向使用者顯示提示,並傳送電子郵件通知給他們,告知他們正在採取 DLP 原則所禁止的動作。
- Teams 聊天和頻道:阻止在聊天或頻道中共享敏感性信息。
- Windows 10、Windows 11 和 macOS (三個最新發行的版本) 裝置:稽核或限制將敏感項目複製到抽取式 USB 裝置。
- Office 應用程式:顯示快顯視窗,通知使用者他們正在進行有風險的行為,並封鎖或封鎖但允許覆寫。
- 內部部署檔案共用:將檔案從儲存的位置移至隔離資料夾。
注意事項
要採取的條件和動作定義在稱為 規則的物件中。
建立和部署 DLP 原則
所有 DLP 原則都會在 Microsoft Purview 入口網站中建立和維護。 如需詳細資訊,請參閱 建立和部署資料外洩防護原則 。
建立 DLP 原則之後,它會儲存在中央原則存放區中,然後同步處理至各種內容來源,包括:
- Exchange,然後從那裡到 Outlook 網頁版和 Outlook
- OneDrive
- SharePoint 網站
- Office 桌上型電腦程式 (Excel、PowerPoint 及 Word)
- Microsoft Teams 頻道和聊天訊息
將原則同步至正確的位置之後,它會開始評估內容並強制執行動作。
檢視原則應用程式結果
DLP 會向 Microsoft Purview 報告大量資訊,從監視原則相符和動作到使用者活動。 您必須取用並處理該資訊,以調整原則並分級對敏感性專案採取的動作。 遙測會先進入 Microsoft 365 稽核記錄 、處理,並進入不同的報告工具。 每個報告工具都有不同的用途。
大量敏感資訊共用或儲存在外部
Microsoft 365 可讓您查看 DLP 原則之外的風險使用者活動。 資料遺失防護首頁上的 [大量 外部共用或儲存敏感性資訊 ] 卡片會顯示使用者擁有的敏感性專案計數:
- 已上傳至可疑網域
- 使用可疑應用程式存取
- 複製到抽取式磁碟機
Microsoft 365 會掃描稽核記錄檔是否有風險活動,並透過相互關聯引擎執行它們,以尋找大量發生的活動。 不需要 DLP 原則。
若要取得使用者複製或移至組織外部的專案的詳細資訊 (稱為輸出活動或外流) ,請選取卡片上的 [ 深入瞭解 ] 連結以開啟詳細資料窗格。 您可以從Microsoft Defender入口網站事件 &> 警示事件中調查Microsoft Purview 資料外洩防護 (DLP) 事件。 請參閱使用 Microsoft Defender 全面偵測回應 調查數據遺失事件 和 調查 Microsoft Defender 全面偵測回應中的警示。
DLP 警示
當使用者 () 執行符合 DLP 原則中規則準則的活動時,DLP 可以產生警示 ,而且您已將 事件報告 設定為產生警示。 根據您的訂閱層級,警示可以在時間範圍/規則基礎上彙總,也可以在 預覽) (時間範圍/使用者基礎 上彙總。
DLP 會在 [DLP 警示] 儀表板中張貼警示以供調查。 使用 DLP 警示儀表板來檢視警示、分類警示、設定調查狀態,以及追蹤解決方案。 警示也會路由傳送至 Microsoft Defender 入口網站,您可以在其中執行所有警示儀錶板工作以及更多工作。
DLP 警示可在 Microsoft Defender 入口網站中使用六個月。 它們僅在 Microsoft Purview DLP 警示儀錶板中可用 30 天。
如果您是系統管理單位受限制的系統管理員,則只會看到系統管理單位的 DLP 警示。
以下是來自 Windows 10 裝置的原則相符和活動所產生警示的範例。
您也可以在相同的儀表板中檢視具有豐富中繼資料的關聯事件的詳細資訊。
注意事項
電子郵件產生警示的方式與 SharePoint 或 OneDrive 專案產生警示的方式不同。 在 SharePoint 和 OneDrive 中,DLP 會掃描現有的專案以及新的專案,並在找到相符專案時產生警示。 在 Exchange 中,會掃描新的電子郵件訊息,如果有原則相符,則會產生警示。 DLP 不會 掃描或比對儲存在信箱或封存中的先前存在的電子郵件項目。
如需警示的詳細資訊,請參閱:
- DLP 原則中的警示:描述 DLP 原則內容中的警示。
- 開始使用資料外洩防護警示:涵蓋 DLP 警示和警示參考詳細資料的必要許可、許可權和必要條件。
- 建立和部署資料外洩防護原則:包含建立 DLP 原則內容中警示設定的指引。
- 瞭解如何調查資料外洩防護警示:涵蓋調查 DLP 警示的各種方法。
- 使用 Microsoft Defender 全面偵測回應 調查數據遺失事件:如何在 Microsoft Defender 入口網站中調查 DLP 警示。
DLP 活動總管和報告
DLP 頁面上的 [活動總管] 索引標籤有多個篩選器,可用來檢視 DLP 事件。 使用此工具來檢閱與包含敏感性資訊或已套用標籤的內容相關的活動,例如已變更的標籤、修改的檔案,以及符合規則的內容。
您可以使用下列預先設定的篩選器,在 活動總管 中檢視過去 30 天的 DLP 資訊:
- 端點 DLP 活動
- 包含敏感性資訊類型的檔案
- 輸出活動
- 偵測到活動的 DLP 原則
- 偵測到活動的 DLP 原則規則
| 若要查看此資訊 | 選取此活動 |
|---|---|
| 使用者覆寫 | DLP 規則復原 |
| 符合資料遺失處理規則的項目 | DLP 規則相符 |
您也可以透過安全性 & 合規性 PowerShell 中的這些 Cmdlet 來存取 DLP 報告。
使用下列 Cmdlet:
不過,DLP 報告必須從 Microsoft 365 提取資料,包括 Exchange。 基於這個理由,Exchange PowerShell 中提供下列 DLP 報告的 Cmdlet。 若要將 Cmdlet 用於這些 DLP 報告,請採取下列步驟:
使用下列 Cmdlet:
上下文摘要
您可以看到相符內容周圍的文字,例如活動總管中 DLPRuleMatch 事件中的信用卡號碼。
DLPRuleMatch 事件會與使用者輸出活動配對,例如 “CopyToClipboard” 或 “CloudEgress”。 它們應該緊挨著 (,或者至少在活動總管中彼此非常接近) 。 您想要查看這兩個項目,因為 使用者活動 包含相符原則的詳細資料,而 DLPRuleMatch 事件則包含相符內容周圍文字的詳細資料。
對於端點,請確保您已為Windows 10裝置套用KB5016688,並為Windows 11裝置或更高版本套用KB5016691。
如需詳細資訊,請參閱開始使用 活動總管。
若要深入瞭解 Microsoft Purview DLP,請參閱:
- 深入了解端點資料外洩防護
- 了解 Microsoft Teams 中的預設資料外洩防護原則 (預覽)
- 了解資料外洩防護內部部署掃描器
- 了解 Microsoft 合規性延伸模組
- 開始使用資料外洩防護警示儀表板
若要瞭解如何使用資料外洩防護來遵守資料隱私權法規,請參閱 使用 Microsoft Purview (aka.ms/m365dataprivacy) 部署資料隱私權法規的資訊保護 。