本文會引導您使用 Symantec 和 Forcepoint 的 Microsoft Purview 資料外洩防護 移轉 助理。
開始移轉之前,請確定您已符合下列必要條件:
- 完成開始 之前 一節中的步驟。
- 請確定您已從目前的 DLP 解決方案匯出必要的 DLP 原則檔案。
移轉原則之後,您可以在 Purview DLP 中測試並微調Microsoft。
移轉的步驟
使用下列步驟來執行 DLP 原則移轉:
- 步驟 1:登入您的帳戶
- 步驟 2:上傳要移轉的原則
- 步驟 3:編輯原則設定
- 步驟 4:檢閱預先移轉的可行性報告
- 步驟 5:合併原則並選擇測試或開啟原則
- 步驟 6:進行中的移轉
- 步驟 7:檢視移轉報告
- 後續步驟:原則匯入之後
互動指南
如需移轉程式的可視化逐步解說,請參閱此 互動式指南 。
步驟 1:登入您的帳戶
安裝並啟動移轉 助理 之後,您必須登入。
重要事項
第一次啟動移轉 助理 時,請選擇 [以系統管理員身分執行] 選項。 這是必要的,因為移轉 助理 可能需要在您的電腦上尚未提供其他元件時安裝這些元件。
對於所有後續的啟動,您可能會正常啟動移轉 助理,而且不需要以系統管理員身分執行。
- 您會看到歡迎畫面。
- 選取 [開始使用],移轉 助理 會檢查您的環境是否已正確設定。
- 選取 [下一步]。
- 輸入您的使用者名稱,然後選取 [ 登入]。
在開啟的瀏覽器視窗中輸入您的密碼,然後選取 [ 登入]。
注意事項
此應用程式會使用 Exchange Online PowerShell 模組。 必須在本機計算機的 WinRM 中啟用基本身份驗證。 如需詳細資訊,請參閱 Exchange Online PowerShell 模組的必要條件。
- 等候您的登入通過驗證。 同時,移轉 助理 擷取移轉程式後續階段所需的資訊。
- 登入之後,請選擇 [ 下一步]。
步驟 2:上傳要移轉的原則
您必須上傳目前的 DLP 原則匯出,作為移轉 助理 的輸入。 您上傳的原則將會移轉至 Microsoft Purview DLP 平臺。
選取您要從中移轉原則的 DLP 解決方案。
若要上傳檔案,請選取 [ 流覽]。
在 [檔案總管] 彈出視窗中選取必要的原則檔案,然後選擇 [開啟]。
Symantec DLP
- 若要從 Symantec DLP 移轉原則,您必須上傳從 Symantec DLP 導出的 XML 檔案。
- 您可以選取多個 XML 檔案,一次移轉多個原則。 最好一次移轉一到三個原則,以避免在移轉程式的後續階段混淆。
注意事項
請確定您上傳的 XML 檔案只匯出 Symantec DLP 原則,而且沒有其他類型的 XML。
Forcepoint DLP
- 若要從 Forcepoint DLP 移轉原則,您必須從 Forcepoint DLP 上傳原則備份 (.bak) 檔案。
此工具會顯示所選輸入原則檔案的清單。 您可以從原則清單修改選取專案。
完成選取您想要移轉的原則檔案之後,請選取 [ 下一步 ],然後移至下一個步驟。
步驟 3:編輯原則設定
輸入您想要移轉的原則之後,移轉 助理 處理這些檔案,並將 Symantec 和 Forcepoint DLP 原則元素對應至 Microsoft DLP 元素。
重要事項
可能有一些專案可能需要您檢閱,且會標示為「需要檢閱」警告符號。
關鍵詞、數據識別碼和正則表達式
Symantec DLP 和 Forcepoint DLP 與 Microsoft Purview 資訊保護 不同之處在於允許使用者定義需要保護的敏感性資訊。
Microsoft Purview 資訊保護 可讓使用者將需要保護的敏感性項目定義為敏感性資訊類型 (SIT) ,或透過可訓練分類器。 Microsoft提供許多常用的 SIT,例如預先設定的信用卡號碼。 如果這些專案不符合您的需求,您可以建立自己的自定義 SIT。
Symantec 和 Forcepoint 使用者指定需要保護之敏感性資訊類型的最常見方式為:
- 使用全新 (OOB) 數據識別碼
- 自訂 OOB 資料識別碼
- 在 DLP 規則中定義正規表示式和/或關鍵詞
移轉 助理 以下列兩種方式之一來處理上述每個案例:
對應至現有的 OOB SIT:針對每個在 Microsoft DLP 中具有對等 SIT 的敏感數據類型,移轉 助理 會嘗試建立 1:1 對應。 如果存在對等專案,它會自動將 OOB Symantec 或 Forcepoint 數據標識碼對應至預先設定的 Microsoft SIT。 如果您想要依原樣將 Symantec 或 Forcepoint 數據識別子移轉,您可以建立新的 SIT,如下一個步驟所述。
移轉為新的自定義 SIT:針對每個在 Microsoft DLP 中沒有相等 SIT 的敏感數據類型,移轉 助理 會自動建立新的 SIT。 同樣地,任何正則表達式 (的) 或關鍵詞 (直接在規則中定義的) ,都會帶入為新的自定義 SIT。
注意事項
直接在 Symantec 或 Forcepoint 原則規則層級定義的正規表示式和/或關鍵詞會採用規則本身的名稱,並顯示在 [來源 ] 資料行中。 如果是多個正則表示式和/或關鍵詞,則會採用規則名稱的名稱,後面接著羅馬數位。
每個項目都會個別移轉為自定義 SIT。 這可能會導致混淆。 建議您儘快檢閱並重新命名這些 SIT。
您無法在移轉 助理 內編輯這些 SIT 的名稱。 您可以在原則移轉完成之後,從 Microsoft Purview 入口網站或透過 PowerShell 編輯這些自定義 SIT 的名稱。
包含、排除和響應規則
目前版本的移轉 助理 以「產生事件報告」作為預設動作來帶出原則。 此外,Microsoft DLP 中的 DLP 原則會在整合稽核記錄檔中自動記錄事件,而且不需要與 Symantec DLP 中的 'Syslog' 相等的個別動作。
除了自動移轉響應規則 (或 DLP 動作) 之外,您還可以在移轉 助理 成功移轉原則之後,手動將 (或移除) 動作新增至原則。
您可以查看其中所有原則和規則及其狀態的清單。 您可以從左欄選取不同的原則,以查看每個原則的詳細數據。 根據預設,此工具會顯示所有需要檢閱的專案。 您可以選擇 [詳細數據] 區段頂端的 [ 顯示所有 專案] 按鈕,切換以查看指定原則中的所有專案。
原則詳細數據
原則名稱 - 您可以在移轉之前編輯原則的名稱。
每個原則分成兩個區段:
關鍵詞、數據識別碼和正則表達式 - 這些會移轉為敏感性資訊類型, (MICROSOFT DLP 中) 的 SIT。
規則 - 這些會自動對應至不同的Microsoft DLP 條件。 數據表中的每個數據列都會顯示
- 移轉時 SIT 將擁有的名稱
- 可能會影響移轉的潛在問題
- 從輸入原則偵測到的規則類型
- 狀態:
- 空白/空白狀態 - 此資料列專案會無問題地移轉。
- 需要檢閱 - 此數據列元素可能有一或多個問題,而且可能需要您輸入。
- 資訊 - 此數據列元素可能有移轉所需的一或多個變更,但會自動解析。
- 不支援 - 工具不支援此資料列元素進行移轉,而且可能需要在工具結束時手動移轉。
- 「編輯」按鈕
將原則涵蓋範圍延伸至其他Microsoft位置。 - 除了原則的原始範圍之外,您還可以將目前的 Symantec 原則延伸至其他Microsoft位置。
例如,範圍設為電子郵件的 Purview DLP 原則可以延伸至 SharePoint、OneDrive、Teams 和端點裝置。
移轉 助理 根據原始原則自動建立新原則,並提供該工作負載的所有支持規則。 如果指定的工作負載不支援,可能會卸除一或多個規則。
例如,將 Exchange) DLP 原則 (電子郵件延伸至 OneDrive 時,可能會卸除 Email 主旨的條件。
如果擴充位置中沒有支持的條件,某些複選框預設可能會停用。
編輯數據列專案 - 編輯一或多個數據列專案時,系統會將您導覽至 [編輯 ] 畫面,其中包含該數據列元素的詳細數據。 如果有任何問題,系統會透過畫面頂端的黃色橫幅回報這些問題。 您可能需要變更可編輯區段中的內容。 這些變更接著會在移轉時納入。 解決內容中的問題之後,黃色橫幅就會消失。
使用來自租用戶的現有 SIT 來自自動取代目前的 SIT。 您可以選擇將目前正在編輯) 的目前 SIT (取代為租使用者中的另一個 SIT。
您可以在 [目標] 數據行中選取對應的數據列,手動變更任何對應。 這會開啟下拉式清單,其中包含所有現成的 SIT (OOB SIT) ,以及如果您先前建立的任何) ,則所有自定義 SIT 都會 (。 您可以選擇要對應至 「來源」數據列項目的選項。 或者,您也可以從下拉式清單中選擇 [ 新增 SIT ] 選項。 接著,移轉 助理 會將來源 SIT 帶入為新的自訂 SIT。
我們強烈建議盡可能使用現有的 SIT 來取代目前的 SIT,以協助減少建立重複的 SIT,並減少優化相同類型之多個自定義 SIT 的工作。 深入瞭解 敏感性資訊類型實體定義。
警告
Microsoft DLP 平臺具有每個租使用者最多 10 個規則套件的閾值。 此限制對大部分的客戶而言已足夠,但建立許多重複的自定義 SIT 可能會快速導致您達到此臨界值,而無法建立任何新的自定義 SIT。
檢閱所有原則及其內的規則之後,請選取 [ 下一步]。 如果其中一或多個原則包含至少一個具有 需要檢閱 狀態的元素,則您會看到 [ 繼續發生錯誤 ] 按鈕,而不是 [下一步]。
步驟 4:檢閱移轉前可行性報告
預先移轉的可行性報告會示範如何預期原則會移轉。 在開始移轉執行之前,請檢閱此報告並進行任何必要的調整。
![[檢閱原則] 的螢幕快照。](media/review-dlp-policies.png)
檢閱這些詳細數據,然後選擇 [下一步]。
步驟 5:合併原則並選取原則模式
每個 DLP 原則都會根據選取的工作負載,以及支持這些工作負載的基礎條件和例外狀況,分割成多個規則。
此工具可讓您將每個規則與相同工作負載的相容目標原則合併。 這些目標原則可能是您先前建立的 Purview DLP 原則Microsoft現有原則,或是您要匯入的新原則,以及您想要合併的原則。
將原則合併在一起會建立單一Microsoft Purview DLP 原則,其中包含多個規則。 這可讓您更妥善地管理原則。
針對將建立的每個 DLP 原則,這些原則可以是下列三種狀態之一:
- 在 [ (是] 上,立即開啟)
- 模擬 (模擬模式中執行原則 和 顯示原則提示)
- 關閉 (否,請將它保持關閉。我稍後會開啟)
您可以使用下列兩個步驟,在移轉原則之前,先設定移轉 助理 中的狀態:
從下列三個選項中選擇要開啟或關閉:
- 立即開啟原則。
- 先在模擬模式中開啟原則。 稍後手動從模擬模式移除。
- 請將它保持關閉。 稍後手動開啟。
建議您先在模擬模式中採用原則。 您可以監視原則產生的警示,並視組織需求進行微調。 微調原則之後,您可以將它開啟或放到生產環境中。
選 取 [開始移轉 ] 以匯入您的原則。 新的 PowerShell 視窗隨即開啟,要求您再次登入。
登入之後,PowerShell 腳本會執行,以在 Microsoft DLP 中建立新的原則,其中包含輸入原則檔案中的所有數據,以及您在先前移轉期間所做的任何其他設定 助理 步驟。
等候腳本完成,並顯示成功/失敗訊息。 然後,新的 SIT 和原則也會開始顯示在 Purview 入口網站中。
步驟 6:進行中的移轉
在此步驟中,移轉工具會在 Microsoft Purview 入口網站中建立 DLP 原則。
注意事項
避免在建立原則時關閉工具視窗,因為這可能會導致不完整的 SIT 和原則,因此您稍後可能需要手動清除。
如果在移轉期間發生錯誤,您可以選擇其中一個動作來嘗試並修正為下一個步驟。
- 再試一次 - 再次嘗試建立原則。
- 復原所有變更 - 將會刪除該工作階段的所有 SIT 和原則。
- 復原失敗的原則 - 只會刪除該工作階段的失敗 SIT 和原則。
重要事項
當您選擇復原任何變更時,可能需要兩到四個小時才能進行整個回復。 移轉 助理 工具視窗必須保持開啟整個持續時間,才能成功復原。
移轉原則之後,選取 [ 下一步 ] 以檢視移轉報告。
步驟 7:檢視移轉報告
匯入原則且移轉程式完成後,您可以檢視移轉報告。
每個會話都會取得自己的報告。 工作階段會在您啟動應用程式時開始,並在您結束應用程式或移轉程式完成時結束。
技術報告
您可以選取 [ 儲存技術報告] 按鈕,以儲存更詳細的以 Excel 為基礎的報表,該報表分成三張工作表:
- 概觀
- 原則詳細數據
- SIT 詳細數據
概觀工作表 - 此工作表提供移轉會話的概觀,其中包含下列詳細數據:
- 租用戶的名稱。
- 會話的時間戳。
- 該會話的整體摘要統計數據。
- 輸入原則層級詳細數據、移轉狀態和批注/建議。
原則詳細數據 - 此工作表提供每個已建立或未使用下列資訊建立之移轉原則的詳細檢視:
- 建立的來源原則和目標原則 () 對應。
- 套用每個原則的工作負載清單。
- 分析狀態,指出原則是否已完全移轉、部分移轉或無法移轉。
- 對於 Exchange 以外的工作負載,這通常會顯示為 [完成] ,因為我們會建立包含 內容 條件的原則,而所有工作負載都支援此條件。
- 描述原則移轉為成功或失敗的移轉狀態。
- 包含該原則詳細數據的批注/建議。
SIT 詳細 資料 - 此工作表提供所有敏感性資訊類型的相關信息, (已使用下列資訊移轉的 SIT) :
- 建立之輸入和輸出 SIT 的原則對應。
- 驗證會修正移轉程式期間發生的驗證錯誤相關信息。
- 關於 SIT 自動對應和補救步驟的批注。
後續步驟:原則匯入之後
您應該造訪 Purview 入口網站,並驗證您移轉的原則。
檢查敏感性信息類型
若要驗證是否已建立 SIT,請流覽至 [資料分類>分類分類器>] [敏感性資訊類型 ],並尋找 SIT。 您也可以在 發行者 上排序列表,並檢查發行者名稱為 「DLP Migration Tool」 的 SIT。
視需要重新命名 SIT。 對於許多 SIT,您可能會注意到有類似的名稱,後面通常會接著羅馬數位。 若要避免移轉后混淆和重複,您應該重新命名這些 SIT。 如果您的正則表達式和關鍵詞直接定義在輸入 Symantec 或 Forcepoint DLP 原則內的規則中,則這是如此。
視需要測試和微調 SIT。 您應該測試並微調已移轉的 SIT。 移轉 助理 會使用一些標準設定來建立新的 SIT,這可能不適合您的租使用者,因此請留意下列事項:
- 正則表達式:移轉期間不支援或刪除的 regexes ()
- 關鍵字
- 區分大小寫與不區分大小寫的關鍵詞
- 字串與文字比對
- 鄰近
- 選擇性驗證程式
檢查 DLP 原則
驗證建立的 DLP 原則
從左面板選擇 [數據外泄防護 ],並檢查是否已建立新的原則。
新增任何遺漏的原則元素
雖然大部分的輸入 Symantec 和 Forcepoint DLP 原則元素 (例如條件、排除專案或動作) 會進行移轉,但是通常會在移轉程式期間卸除輸入 Symantec 或 Forcepoint DLP 原則中的幾個元素。 這是移轉 助理的已知限制。 在此案例中,您必須手動將這些元素新增至原則,因為Microsoft Purview DLP 平臺支持這些元素。
測試和微調原則
您可以測試原則,並根據組織的需求進行微調。
開啟原則
微調之後,您可以開啟此原則,或將原則置於生產模式。
接管任何剩餘的原則
您可以返回使用移轉 助理 來帶入下一個原則或下一批原則。
疑難排解
如果您在選取 [ 開始使用] 之後在歡迎畫面上看到錯誤,請遵循下列步驟:
- 確認您已使用開始之前所述的連結/版本來安裝所有必要 條件。
- 請確定您已在安裝必要條件之後重新啟動電腦。
- 請確定您在啟動應用程式時,使用 [以系統管理員身分執行] 選項,以系統管理模式執行工具。
- 請使用下列步驟,確定您的 PowerShell 模組路徑已正確設定:
- 移至 [編輯系統環境變數]。
- 在 PsModulePath 用戶變數中新增此路徑:
C:\Program Files\PowerShell\7\Modules。 - 向上移動此專案,並保留在頂端。
- 以系統管理員模式重新啟動工具。
如果您因為另一個應用程式/ 行程安裝而無法安裝/ 卸載,請遵循下列步驟:
- 以滑鼠右鍵按兩下任務列以開啟 [任務管理員]。 如有必要,請選擇 [更多詳細數據]。
- 在 [ 詳細數據] 索 引標籤上,尋找 [msiexec.exe ],然後選取 [ 結束工作]。
- 請嘗試再次安裝或卸載,或等到安裝完成。
若要向Microsoft回報問題:
-
收集記錄 - 尋找本機計算機上移轉 助理 所產生的記錄,路徑如下:
C:\Users\<username>\AppData\Local\Temp\MigrationAssistantforMicrosoftPurviewDLP\Logs。 - 傳送電子郵件 - 將問題的詳細數據連同最新記錄 dlpmigrations@microsoft.com 一起傳送給我們,或連絡您的 CXE / FastTrack / Microsoft 合作夥伴以分享您的意見反應和建議。
提供意見反應 & 回報錯誤
若要回報錯誤、提出功能要求,或分享更多意見反應,請與我們 dlpmigrations@microsoft.com 連絡,或連絡您的 CXE / FastTrack / Microsoft合作夥伴。
遙測注意事項
數據收集:此軟體可能會收集您和您使用軟體的相關信息,並將其傳送至Microsoft。 Microsoft可以使用此資訊來改善我們的產品和服務。 如果您想要關閉遙測,您可以與我們連絡,我們為您提供個別版本的工具,並關閉遙測。
軟體中也有一些功能可讓您和Microsoft從應用程式的使用者收集數據。 如果您使用這些功能,您必須遵守適用的法律,也就是使用Microsoft隱私聲明的復本,向應用程式的使用者提供適當的通知。 我們的隱私聲明位於 隱私聲明Microsoft。 您可以深入瞭解資料收集,請在說明檔案與我們的隱私聲明中使用 。 您對軟體的使用是以您同意這些做法的方式運作。