了解 Microsoft Purview 網路資料安全

Microsoft Purview 網路資料安全使組織能透過整合一個或多個整合的安全存取服務邊緣 (SASE) 解決方案，監控、分類並套用 HTTP 與 HTTPS 流量的保護：

• 預覽版中，使用 Microsoft Entra GSA 網際網路存取的網路內容過濾功能僅 () 檔案。
• 一般而言，與第三方 SASE 網路安全解決方案的整合， (文字與檔案) 。

此功能利用Microsoft Purview 資料外洩防護 (DLP) 功能來保護，這些分類器是你在其他 Microsoft Purview 政策中已使用的，以及收集政策，能讓你洞察並套用保護，針對與生成式 AI 及其他非管理雲端應用程式共享的敏感資料。 你可以根據組織的需求，使用任一種保單類型或兩者。 你可以使用收集政策來發現資料，使用 DLP 政策來防止資料外洩。

透過網路資料安全，您可以識別、封鎖並警示透過以下互動分享的敏感內容：

• 透過瀏覽器、應用程式及外掛（如 Chat GPT、Gemini 和 Claude）與生成式 AI 互動。
• 檔案上傳至未經授權的雲端儲存服務商，包括 Dropbox、Box 和 Google Drive。
• 與雲端郵件服務提供者（如 Gmail）共享的電子郵件及檔案附件。
• 透過線上表單服務提交表單，包括 Google 表單。
• 社群媒體在Facebook和X等常見服務上發文。

開始之前

如果您是 Microsoft Purview 收款政策、Microsoft Purview 按需付費計費模式或 Microsoft Purview DLP 的新手，您應該熟悉以下文章中的資訊：

• 收藏政策解決方案概述
• 深入了解資料外洩防護
• 了解 Microsoft Purview 計費模式
• 開始使用活動總管

授權

有關授權資訊，請參見

• Microsoft 365 企業版計畫
• Microsoft 365 服務描述

網路資料安全需要 Microsoft Purview 的隨用付費計費模式。 如果您的組織尚未為 Microsoft 365 租戶設定預付費，您必須先設定該方案，才能使用任何網路資料安全功能。 按使用量付費模式讓你只為你使用的 Microsoft Purview 功能付費。 它設計得靈活且具成本效益，讓你能根據需要調整使用量。

重要事項

要使用催收政策，除了按用量付費訂閱外，還必須持有E5每座位授權。 若要僅使用網路資料安全的 DLP 政策，付費訂閱就足夠了。 如果你使用任何其他 DLP 功能，必須擁有每個座位的授權。

關於如何設定隨用付費計費模式的資訊，請參閱 「啟用 Microsoft Purview 新客戶隨用隨付功能」。

注意事項

Microsoft Entra GSA 網際網路接取整合目前在預覽階段不包含在運輸中保護的隨用付費計費之外。 不過，在設定任何 Microsoft Purview 催收或 DLP 政策之前，仍需先設定隨用付費計費。 其他按使用量付費的費用可能會根據所使用的能力繼續適用。

網路資料安全運作原理

從廣義角度來看，Microsoft Purview 網路資料安全解決方案結合了兩個組成部分：

網路安全解決方案

網路資料安全解決方案將您的安全存取服務邊緣 (SASE) 解決方案直接整合進 Microsoft Purview。 網路安全解決方案監控網路流量，並將資料傳送至 Microsoft Purview 進行分類與政策評估。 當你透過使用 DLP 政策套用保護措施時，你的 SASE 解決方案與 Microsoft Purview 之間的通訊是即時的。 如果你只透過收集政策監控網路資料安全，通訊是非同步的。

欲了解更多支援哪些 SASE 解決方案，請參閱 Microsoft Purview 資料外洩防護整合頁面。

重要事項

如果你選擇與非 Microsoft 合作夥伴整合，他們將能存取並可能儲存部分政策設定，包括使用者識別碼。 他們的條款、條件及隱私政策將規範這些資料的使用與儲存。

Microsoft Purview

你可以在 DLP 設定 的整合 標籤中設定 Microsoft Purview 與網路安全解決方案之間的整合。此整合建立了網路安全解決方案與 Microsoft Purview 之間的雙向通訊通道。

接著，設定一個 收集政策 或 資料遺失防止政策 ，定義你希望網路安全解決方案收集並傳送到 Microsoft Purview 的條件、活動和雲端應用程式。

• 欲了解更多如何建立網路資料安全的收集政策，請參閱 情境一：偵測透過網路與非管理雲端應用程式共享的敏感資料。
• 欲了解更多如何建立網路資料遺失防護政策的資訊，請參閱 使用網路資料安全協助防止敏感資訊與未受管理的人工智慧共享

Microsoft Purview 會將適當的 DLP 與集合政策設定值傳送給您的 SASE 解決方案，而 SASE 解決方案則將任何匹配的網路資料傳送至 Microsoft Purview 進行分類與政策評估。 如果你在收藏政策中設定 內容擷取 ，使用者與 AI 應用程式之間的完整對話也會被擷取並傳送到 Microsoft Purview。

資料分類後，會在 DSPM for AI 的活動瀏覽器和活動瀏覽器中取得。 如果資料遺失防止政策符合，且你已設定警示，這些警示會在 DLP 警示中顯示。

在您設定 Microsoft Purview 與網路安全解決方案的整合後，請允許最長 24 小時內您的政策分發給網路安全解決方案，並等待首批資料顯示。 一旦兩項服務完全溝通，客戶向網站或雲端應用程式提出請求的資料，可能需要長達 30 分鐘才能顯示在稽核日誌和活動總管中。

支援的網路資料安全收集政策設定

Microsoft Purview 端的設定是透過集合政策來完成的。 以下是支援的設定選項：

• 條件 - 你可以在網路資料安全收集政策中使用的條件，與其他 Microsoft Purview 政策中的條件相同。 例如，你可以使用「 內容包含>敏感資訊類型」 條件，來分類與生成式 AI 及其他非管理雲端應用程式共享的敏感項目。

• 活動 - 網路資料安全支援四項活動：

  • 傳送或分享給雲端或 AI 應用程式的文字。
  • 檔案上傳或分享到雲端或 AI 應用程式。
  • 從雲端或 AI 應用程式收到的文字。
  • 檔案是從雲端或 AI 應用程式下載的。

注意事項

支援的活動可能依整合的 SASE 解決方案而異。 請向您的 SASE 解決方案提供者查詢支援活動的詳細資訊。

• 資料來源 ——這些是終端裝置所通訊的地點。
  • 非管理雲端應用程式 - 網路資料安全收集政策支援 Microsoft Defender for Cloud Apps 雲端應用程式目錄中的所有來源，該目錄包含超過 35,000 個可發現的雲端應用程式。
  • 自適應應用範圍 ——涵蓋多個類別的所有應用程式，包括生成式 AI、雲端儲存、協作、社交網路及網頁郵件。

支援的網路資料安全資料遺失政策設定

此配置需要 Entra Global Secure Access 來進行網路內容過濾， 建立檔案政策以過濾網路檔案內容 (預覽)

Microsoft Purview 端的設定是透過資料遺失防護政策來完成的。 以下是支援的設定選項：

• 資料來源 ——這些是終端裝置所通訊的地點。

  • 非管理雲端應用程式 - 網路資料安全收集政策支援 Microsoft Defender for Cloud Apps 雲端應用程式目錄中的所有來源，該目錄包含超過 35,000 個可發現的雲端應用程式。
  • 自適應應用範圍 ——涵蓋多個類別的所有應用程式，包括生成式 AI、雲端儲存、協作、社交網路及網頁郵件。

• 條件 - 你可以在網路資料安全收集政策中使用的條件，與其他 Microsoft Purview 政策中的條件相同。 例如，你可以使用「 內容包含>敏感資訊類型」 條件，來分類與生成式 AI 及其他非管理雲端應用程式共享的敏感項目。

• 行動 - 網路資料安全僅支援 審計 及 阻擋 以下活動：

  • 傳送或分享給雲端或 AI 應用程式的文字。
  • 檔案上傳或分享到雲端或 AI 應用程式。
  • 從雲端或 AI 應用程式收到的文字。
  • 檔案是從雲端或 AI 應用程式下載的。

注意事項

所支援的活動與行動可能因整合的 SASE 解決方案而異。 請向您的 SASE 解決方案提供者查詢支援活動的詳細資訊。

Microsoft Purview 適用於 AI 的資料安全性態勢管理的預設政策

Microsoft Purview 適用於 AI 的資料安全性態勢管理 (DSPM for AI) 提供協助監控生成式 AI 應用程式溝通的建議。 選擇建議「擴展對 AI 應用程式互動敏感資料的洞察」，建立名為 DSPM for AI 的一鍵政策——偵測透過網路與 AI 共享的敏感資訊。 建立後，你可以像編輯任何收集政策一樣，編輯這個網路資料安全的預設政策。

支援的網路協定

預覽版中，網路資料安全支援將端點裝置透過 HTTP 和 HTTPS 協定傳送到網站、雲端應用程式及生成式人工智慧的流量進行分類。

存取網路資料安全資料

網路資料安全資料會出現在活動總管、適用於 AI 的資料安全性態勢管理活動總覽事件中，若啟用警示，則會出現 DLP 警示。

活動總管

在活動總管中，你可以在設定為網路的執行平面上進行篩選。 此篩選器顯示網路資料安全收集政策所產生的分類事件。

計費模型

網路資料安全部門將 此請求 作為按需付費計費的單位。 請求是指每次從裝置或瀏覽器呼叫到網站或 API 的網路呼叫。 這個定義不包括對請求的回應。 欲了解更多關於隨用付費網路資料安全計費的資訊，請參閱其他使用 Pay-as-you-you 付費定價與請求的 Microsoft Purview 解決方案。

範例如下：

活動	資料類型	範例
傳送或分享給雲端或 AI 應用程式的文字	人力可讀字串	- 提交包含文字資訊 的表單 - 向生成式 AI 傳送原始文字或提示 - 電子郵件正文 - 將 JSON 資料傳送至 API。
檔案上傳到或分享給雲端或 AI 應用程式	位元組串流，包括文字檔案、二進位檔案、txt 檔案、原始碼、文件、圖片、影片、.exe、.pdf、壓縮檔	- 上傳個人照片至社群媒體 - 將文件或 .pdf 檔案作為電子郵件附件 - 與生成式 AI 分享文件 - 將文件或 .zip 檔案轉移至雲端儲存解決方案

後續步驟

• 情境一：偵測透過網路與未管理雲端應用程式共享的敏感資料 (預覽)
• 利用網路資料安全來幫助防止敏感資訊與未受管理的 AI 共享
• 若使用 Entra Global Secure Access 進行網路內容過濾，則請 建立檔案政策以過濾網路檔案內容 (預覽)