資料外洩防護和 Microsoft Teams
本文內容
Microsoft Teams 的 DLP 授權
DLP 保護的範圍
原則提示有助於教育使用者
將 Microsoft Teams 新增為現有 DLP 原則的位置
定義 Microsoft Teams 的新 DLP 原則
防止外部存取敏感性文件
相關文章
顯示其他 3 個
如果您的組織已 Microsoft Purview 資料外洩防護 (DLP) ,您可以定義原則,協助防止人員在Microsoft Teams 頻道或聊天會話中共用敏感性資訊。 以下是此防護系統運行方式的部分範例:
保護訊息中的敏感性資訊 。 假設有人嘗試在 Teams 聊天或頻道中與來賓共用敏感性資訊, (外部使用者) 。 如果您已定義 DLP 原則來防止這種情況,則會刪除具有傳送給外部使用者之敏感性資訊的訊息。 這會根據 DLP 原則的設定方式,在數秒內自動發生。
注意
Microsoft Teams 的 DLP 會在與具有下列專案的Microsoft Teams 使用者共享時封鎖敏感性內容:
外部聊天會話的 DLP 只有在寄件人和接收者都處於僅限 Teams 模式且使用 Microsoft Teams 原生同盟 時才能運作。 Teams 的 DLP 不會封鎖與 Skype 或非原生同盟聊天會話 互操作 的訊息。
保護檔中的敏感性資訊 。 假設有人嘗試在Microsoft Teams 頻道或聊天中與來賓共享檔,而檔包含敏感性資訊。 如果您已定義 DLP 原則來防止此錯誤,該文件將不會向這些使用者開啟。 您的 DLP 原則必須包含 SharePoint 和 OneDrive,才能強制執行保護。 這是顯示在 Microsoft Teams 中的 DLP for SharePoint 範例,因此要求使用者必須獲得 Office 365 E3) 中所包含 Office 365 DLP (的授權,但不需要授權使用者 Office 365 進階合規性。
保護 Teams 共用通道中的通訊 。 針對共用頻道,會套用主機 Teams 小組 DLP 原則。 例如,假設 Contoso 的小組 A 擁有共用頻道。 小組 A 具有 DLP 原則 P1。 共用通道的方式有三種:
與成員共用 :您邀請來自 Contoso 的 User1 加入共用頻道,而不讓他們成為小組 A 的成員。P1 涵蓋此共用頻道中的所有人,包括 User1。
與小組共用 (內部) :您與 Contoso,Team B 中的另一個小組共用頻道。該其他小組可能有不同的 DLP 原則,但這並不重要。 P1 適用於此共用頻道中的每個人,包括小組 A 和小組 B 使用者。
與小組共用 (跨租使用者) :您可以在 Fabrikam 中與小組 F 共用頻道。 Fabrikam 可能有自己的 DLP 原則,但這並不重要。 P1 適用於此共用頻道中的每個人,包括 Team A (Contoso) 和 Team F (Fabrikam) 使用者。
保護與 Microsoft Teams 中的外部使用者聊天時的通訊 。 人員 來自所有使用外部存取 功能的不同Microsoft 365 組織,都可以加入相同的聊天會話。 每個使用者都受限於自己組織的 DLP 原則。 例如,假設所有來自 Contoso 的 UserA、UserB 和 UserC,以及來自 Fabrikam 的 UserX、UserY 和 UserZ 都位於相同的 Teams 聊天中。 Contoso 在 Teams 中共用資訊的 DLP 原則適用於 UserA、UserB 和 UserC,而 Fabrikam 的 DLP 原則則適用於 UserX、UserY 和 UserZ。 如需使用 Microsoft Teams 與組織外部人員聊天的詳細資訊,請參閱使用Microsoft身分識別 管理外部會議和與人員和組織聊天
數據外洩防護 功能包括Microsoft Teams 聊天和頻道訊息, 包括下列的私人頻道訊息 :
Office 365 E5/A5/G5
Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/G5 資訊保護 與控管
Microsoft 365 E5/A5/G5/F5 合規性和 F5 安全性與合規性
Office 365 和 Microsoft 365 E3 包含 SharePoint、OneDrive 和 Exchange 的 DLP 保護。 這也包括透過Teams共用的檔案,因為Teams會使用SharePoint和 OneDrive 來共用檔案。
Teams 聊天中的 DLP 保護支援需要 E5 授權。
DLP 保護會以不同的方式套用至 Teams 實體,如下表所述。
若要將 DLP Teams 原則的範圍設定為所有聊天類型,請將原則的範圍設定為 [所有位置 ],或確認每個 Teams 使用者都位於Microsoft 365 群組中,且位於安全組或通訊群組中,且範圍為原則。 如需詳細資訊, 請深入瞭解如何同步成員資格 。
展開資料表
原則範圍
Teams 實體
DLP 保護
個別用戶帳戶
- 1:1/n 聊天 - Standard 和共用通道訊息 - 私人頻道訊息
-是的 -不 -是的
安全組/通訊群組/未啟用郵件的安全組
- 1:1/n 聊天 - Standard 和共用通道訊息 - 私人頻道訊息
-是的 -不 -是的
Microsoft 365 群組
- 1:1/n 聊天 - Standard 和共用通道訊息 - 私人頻道訊息
-是的 -是的 -不
注意
當 DLP 原則的範圍設為Microsoft 365 群組時,DLP 保護會套用至使用與其所屬所有Microsoft 365 群組相關聯的標準和共用通道的群組成員,而且所有 1:1/n 聊天也適用於群組成員,除非已針對 Teams 聊天和頻道訊息設定 光學字元辨識 。
類似於 DLP 原則提示在 Exchange 、Outlook、SharePoint、OneDrive 和 Windows 裝置上的 (運作方式,當動作使用 DLP 原則觸發時,Teams 中的原則提示就會出現。 以下是原則提示的範例:
在這裡,寄件人嘗試在 Microsoft Teams 頻道中共用社會安全號碼。 [ 我可以做什麼?] 鏈接會開啟對話方塊,為寄件者提供解決問題的選項。 請注意,寄件者可以選擇覆寫原則,或通知系統管理員檢閱並解決問題。
您可以選擇允許組織中的使用者覆寫 DLP 原則。 當您設定 DLP 原則時,可以使用預設原則提示,或 自定義 組織的原則提示。
回到我們的範例,當發件人共用Teams頻道中的社會安全號碼時,收件者會看到以下內容:
DLP 保護會套用至聊天或頻道對話中的實際訊息。 在從聊天或頻道訊息建立的活動通知中,訊息資訊也會顯示在簡短預覽中。 當符合 DLP 原則時,會隱藏對應的預覽,並顯示「無法使用預覽」訊息,而不是封鎖的預覽。 如果傳送的訊息符合 DLP 原則,也會為寄件者產生活動專案。 已標幟和封鎖的訊息會建立活動,指出「您的訊息已遭封鎖」。
若要執行這項工作,您必須被指派為具有編輯 DLP 原則權限的角色。 若要深入瞭解,請參閱 Microsoft Purview 合規性入口網站 中的許可權 。
針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站 。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站 。
登入 Microsoft Purview 入口網站 >數據外洩防護 >原則 。
選取原則,然後選擇 [ 編輯 原則 (鉛筆圖示) 。
瀏覽工具,直到您進入 [自定義進階 DLP 規則] 畫面為止。
建立新規則,或編輯原則的現有規則。
向下卷動至 [使用者通知 ],然後將 [ 使用通知] 設定為 [通知] 以通知您的使用者,並協助教育他們正確使用敏感性資訊 切換為 [ 開啟] 。
在 [Microsoft 365 服務 ] 底下,選取 [使用原則提示通知 Office 365 服務中的使用者] 。
在 [ 原則提示] 底下,選取 [自定義原則提示文字] 。
指定您要用於原則提示的文字。
如果原則提示適用於 Microsoft Exchange 中的用戶活動,而且您想要在傳送電子郵件之前先顯示提示,請選取 [傳 送前顯示原則提示作為終端使用者的對話框] 。
依序選擇 [ 儲存 ] 和 [ 下一步] 。
在 [ 原則模式] 頁面上,視需要選取 [ 在模擬模式中顯示原則提示 ] 旁的方塊。
選擇 [下一步 ],選擇 [ 提交 ],然後選擇 [ 完成] 。
登入 Microsoft Purview 合規性入口網站 >數據外泄防護 >原則。
選取原則,然後選擇 [ 編輯 (鉛筆圖示) 。
瀏覽工具,直到您進入 [自定義進階 DLP 規則] 畫面為止。
建立新規則,或編輯原則的現有規則。
向下卷動至 [使用者通知] ,然後選取 [在 Office 365 服務中使用原則提示通知使用者 ],然後選取 [自定義原則提示文字] 。
指定您要用於電子郵件通知和/或原則提示的文字,然後選擇 [ 儲存] 。
選擇 [儲存] 。
完成工具的運作。 在最後一個畫面上,選擇 [ 提交] 。
允許大約一小時讓您的變更透過您的資料中心運作,並同步至用戶帳戶。
將 Microsoft Teams 新增為現有 DLP 原則的位置
若要執行這項工作,您必須被指派為具有編輯 DLP 原則權限的角色。 若要深入瞭解,請參閱 Microsoft Purview 合規性入口網站.md#permissions) 中的許可權。
針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站 。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站 。
登入 Microsoft Purview 入口網站 >數據外洩防護 >原則 。
選取原則,然後選擇 [ 編輯 原則 (鉛筆圖示) 。
瀏覽工具,直到您到達 [選擇要套用原則的位置 ] 頁面為止。
選 取 [Teams 聊天和頻道訊息] 。
選擇 [下一步 ],並逐步執行到程序的結尾。
Choose Submit .
允許大約一小時讓您的變更透過您的資料中心運作,並同步至用戶帳戶。
移至 Microsoft Purview 合規性入口網站 並登入。
選擇 [數據外泄防護 >原則] 。
選取原則,然後選擇 [編輯原則] 。
瀏覽工具,直到您到達 [選擇要套用原則的位置 ] 頁面為止。
將 Teams 聊天和頻道訊息 選項切換為 [開啟] 。
選擇 [下一步 ],並逐步執行到程序的結尾。
Choose Submit .
允許大約一小時讓您的變更透過您的資料中心運作,並同步至用戶帳戶。
定義 Microsoft Teams 的新 DLP 原則
如需如何建立和實作新 DLP 原則的資訊,請參閱 建立和部署數據外洩防護原則 。
您可以將 新檔案預設為敏感 性,以確保檔受到保護,直到 DLP 掃描並標示為安全共用為止。
注意
事件報告的寄件者地址現在是 no-reply-MicrosoftInformationProtectionOnline@microsoft.com 。