資料外洩防護和 Microsoft Teams
如果您的組織已 Microsoft Purview 資料外洩防護 (DLP) ,您可以定義原則,協助防止人員在Microsoft Teams 頻道或聊天會話中共用敏感性資訊。 以下是此防護系統運行方式的部分範例:
- 保護訊息中的敏感性資訊。 假設有人嘗試在 Teams 聊天或頻道中與來賓共用敏感性資訊, (外部使用者) 。 如果您已定義 DLP 原則來防止這種情況,則會刪除具有傳送給外部使用者之敏感性資訊的訊息。 這會根據 DLP 原則的設定方式,在數秒內自動發生。
注意事項
Microsoft Teams 的 DLP 會在與具有下列專案的Microsoft Teams 使用者共享時封鎖敏感性內容:
外部聊天會話的 DLP 只有在寄件人和接收者都處於僅限 Teams 模式且使用 Microsoft Teams 原生同盟時才能運作。 Teams 的 DLP 不會封鎖與 Skype 或非原生同盟聊天會話 互操作 的訊息。
保護檔中的敏感性資訊。 假設有人嘗試在Microsoft Teams 頻道或聊天中與來賓共享檔,而檔包含敏感性資訊。 如果您已定義 DLP 原則來防止此錯誤,該文件將不會向這些使用者開啟。 您的 DLP 原則必須包含 SharePoint 和 OneDrive,才能強制執行保護。 這是顯示在 Microsoft Teams 中的 DLP for SharePoint 範例,因此要求使用者必須獲得 Office 365 E3) 中所包含 Office 365 DLP (的授權,但不需要授權使用者 Office 365 進階合規性。
保護 Teams 共用通道中的通訊。 針對共用頻道,會套用主機 Teams 小組 DLP 原則。 例如,假設 Contoso 的小組 A 擁有共用頻道。 小組 A 具有 DLP 原則 P1。 共用通道的方式有三種:
- 與成員共用:您邀請來自 Contoso 的 User1 加入共用頻道,而不讓他們成為小組 A 的成員。P1 涵蓋此共用頻道中的所有人,包括 User1。
- 與小組共用 (內部) :您與 Contoso,Team B 中的另一個小組共用頻道。該其他小組可能有不同的 DLP 原則,但這並不重要。 P1 適用於此共用頻道中的每個人,包括小組 A 和小組 B 使用者。
- 與小組共用 (跨租使用者) :您可以在 Fabrikam 中與小組 F 共用頻道。 Fabrikam 可能有自己的 DLP 原則,但這並不重要。 P1 適用於此共用頻道中的每個人,包括 Team A (Contoso) 和 Team F (Fabrikam) 使用者。
保護與 Microsoft Teams 中的外部使用者聊天時的通訊。 人員 來自所有使用外部存取功能的不同Microsoft 365 組織,都可以加入相同的聊天會話。 每個使用者都受限於自己組織的 DLP 原則。 例如,假設所有來自 Contoso 的 UserA、UserB 和 UserC,以及來自 Fabrikam 的 UserX、UserY 和 UserZ 都位於相同的 Teams 聊天中。 Contoso 在 Teams 中共用資訊的 DLP 原則適用於 UserA、UserB 和 UserC,而 Fabrikam 的 DLP 原則則適用於 UserX、UserY 和 UserZ。 如需使用 Microsoft Teams 與組織外部人員聊天的詳細資訊,請參閱使用Microsoft身分識別 管理外部會議和與人員和組織聊天
提示
開始使用 Microsoft Security Copilot,以探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的 Microsoft Security Copilot。
Microsoft Teams 的 DLP 授權
數據外洩防護 功能包括Microsoft Teams 聊天和頻道訊息, 包括下列的私人頻道訊息 :
- Office 365 E5/A5/G5
- Microsoft 365 E5/A5/G5
- Microsoft 365 E5/A5/G5 資訊保護 與控管
- Microsoft 365 E5/A5/G5/F5 合規性和 F5 安全性與合規性
Office 365 和 Microsoft 365 E3 包含 SharePoint、OneDrive 和 Exchange 的 DLP 保護。 這也包括透過Teams共用的檔案,因為Teams會使用SharePoint和 OneDrive 來共用檔案。
Teams 聊天中的 DLP 保護支援需要 E5 授權。
DLP 保護的範圍
DLP 保護會以不同的方式套用至 Teams 實體,如下表所述。
若要將 DLP Teams 原則的範圍設定為所有聊天類型,請將原則的範圍設定為 [所有位置],或確認每個 Teams 使用者都位於Microsoft 365 群組中,且位於安全組或通訊群組中,且範圍為原則。 如需詳細資訊, 請深入瞭解如何同步成員資格。
原則範圍 | Teams 實體 | DLP 保護 |
---|---|---|
個別用戶帳戶 | - 1:1/n 聊天 - Standard 和共用通道訊息 - 私人頻道訊息 |
-是的 -不 -是的 |
安全組/通訊群組/未啟用郵件的安全組 | - 1:1/n 聊天 - Standard 和共用通道訊息 - 私人頻道訊息 |
-是的 -不 -是的 |
Microsoft 365 群組 | - 1:1/n 聊天 - Standard 和共用通道訊息 - 私人頻道訊息 |
-是的 -是的 -不 |
注意事項
當 DLP 原則的範圍設為Microsoft 365 群組時,DLP 保護會套用至使用與其所屬所有Microsoft 365 群組相關聯的標準和共用通道的群組成員,而且所有 1:1/n 聊天也適用於群組成員,除非已針對 Teams 聊天和頻道訊息設定 光學字元辨識 。
原則提示有助於教育使用者
類似於 DLP 原則提示在 Exchange 、Outlook、SharePoint、OneDrive 和 Windows 裝置上的 (運作方式,當動作使用 DLP 原則觸發時,Teams 中的原則提示就會出現。 以下是原則提示的範例:
在這裡,寄件人嘗試在 Microsoft Teams 頻道中共用社會安全號碼。 [ 我可以做什麼?] 鏈接會開啟對話方塊,為寄件者提供解決問題的選項。 請注意,寄件者可以選擇覆寫原則,或通知系統管理員檢閱並解決問題。
您可以選擇允許組織中的使用者覆寫 DLP 原則。 當您設定 DLP 原則時,可以使用預設原則提示,或 自定義 組織的原則提示。
回到我們的範例,當發件人共用Teams頻道中的社會安全號碼時,收件者會看到以下內容:
DLP 保護會套用至聊天或頻道對話中的實際訊息。 在從聊天或頻道訊息建立的活動通知中,訊息資訊也會顯示在簡短預覽中。 當符合 DLP 原則時,會隱藏對應的預覽,並顯示「無法使用預覽」訊息,而不是封鎖的預覽。 如果傳送的訊息符合 DLP 原則,也會為寄件者產生活動專案。 已標幟和封鎖的訊息會建立活動,指出「您的訊息已遭封鎖」。
自訂原則提示
若要執行這項工作,您必須被指派為具有編輯 DLP 原則權限的角色。 若要深入瞭解,請參閱 Microsoft Purview 合規性入口網站 中的許可權。
針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
登入 Microsoft Purview 入口網站>數據外洩防護>原則。
選取原則,然後選擇 [ 編輯 原則 (鉛筆圖示) 。
瀏覽工具,直到您進入 [自定義進階 DLP 規則] 畫面為止。
建立新規則,或編輯原則的現有規則。
向下卷動至 [使用者通知 ],然後將 [ 使用通知] 設定為 [通知] 以通知您的使用者,並協助教育他們正確使用敏感性資訊 切換為 [ 開啟]。
在 [Microsoft 365 服務] 底下,選取 [使用原則提示通知 Office 365 服務中的使用者]。
在 [ 原則提示] 底下,選取 [自定義原則提示文字]。
指定您要用於原則提示的文字。
如果原則提示適用於 Microsoft Exchange 中的用戶活動,而且您想要在傳送電子郵件之前先顯示提示,請選取 [傳 送前顯示原則提示作為終端使用者的對話框]。
依序選擇 [ 儲存 ] 和 [ 下一步]。
在 [ 原則模式] 頁面上,視需要選取 [ 在模擬模式中顯示原則提示 ] 旁的方塊。
選擇 [下一步],選擇 [ 提交],然後選擇 [ 完成]。
將 Microsoft Teams 新增為現有 DLP 原則的位置
若要執行這項工作,您必須被指派為具有編輯 DLP 原則權限的角色。 若要深入瞭解,請參閱 Microsoft Purview 合規性入口網站.md#permissions) 中的許可權。
針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
登入 Microsoft Purview 入口網站>數據外洩防護>原則。
選取原則,然後選擇 [ 編輯 原則 (鉛筆圖示) 。
瀏覽工具,直到您到達 [選擇要套用原則的位置 ] 頁面為止。
選 取 [Teams 聊天和頻道訊息]。
選擇 [下一步 ],並逐步執行到程序的結尾。
Choose Submit.
允許大約一小時讓您的變更透過您的資料中心運作,並同步至用戶帳戶。
定義 Microsoft Teams 的新 DLP 原則
如需如何建立和實作新 DLP 原則的資訊,請參閱 建立和部署數據外洩防護原則。
防止外部存取敏感性文件
您可以將 新檔案預設為敏感性,以確保檔受到保護,直到 DLP 掃描並標示為安全共用為止。
建議的 DLP 原則結構
Conditions
內容包含下列任何敏感性資訊類型:[選取所有適用專案]
內容會從 Microsoft 365> 共用與組織外部的人員
動作
新增動作
限制存取或加密Microsoft 365 個位置>中的內容僅封鎖組織外部的人員
> [!div class="mx-imgBorder"]
使用通知通知您的使用者,並協助教育他們正確使用敏感性資訊>使用原則提示通知 Office 365 中的使用者
通知這些人 [選取所有適用專案]
原則提示 [選取所有適用專案]
> [!div class="mx-imgBorder"]
注意事項
事件報告的寄件者地址現在是 no-reply-MicrosoftInformationProtectionOnline@microsoft.com。