了解端點資料外洩防護
您可以使用 Microsoft Purview 數據外洩防護 (DLP) 來監視您判斷為敏感性之專案上所採取的動作,並協助防止意外共用這些專案。
端點數據外洩防護 (端點 DLP) 將 DLP 的活動監視和保護功能擴充到實際儲存在 Windows 10/11 和 macOS 上的敏感性專案, (三個最新發行的主要版本) 裝置。 一旦裝置上線至 Microsoft Purview 解決方案,使用者使用敏感性專案執行的相關信息就會顯示在 活動總管中。 然後,您可以透過 DLP 原則對這些專案強制執行保護動作。
提示
如果您要尋找卸除式存放裝置的裝置控制,請參閱適用於端點的 Microsoft Defender 裝置控制卸除式存放裝置存取控制。
提示
如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
您可以監視和採取動作的端點活動
端點 DLP 可讓您審核及管理下列類型的活動,使用者可以對實際儲存 Windows 10、Windows 11 或 macOS 裝置的敏感專案採取這些動作。
活動 | 描述 | Windows 10 (21H2、22H2) 、Windows 11 (21H2、22H2) 、Windows Server 2019、Server 2022 (21H2 (X64) 的端點) | 適用於端點的 Windows 11 (21H2、22H2) (ARM64) | macOS 三個最新發行的版本 | 可稽核/ 可限制 |
---|---|---|---|---|---|
上傳至受限制的雲端服務網域,或從不允許的瀏覽器存取 | 使用者嘗試將項目上載到受限服務域或透過瀏覽器存取項目時偵測。 如果他們使用不允許的瀏覽器,則會封鎖上傳活動,並將使用者重新導向以使用 Microsoft Edge。 然後,Microsoft Edge 會根據 DLP 原則設定來允許或封鎖上傳或存取。 您可以根據數據外洩 防護設定中的允許/不允許的網域清單,封鎖、警告或稽核何時可以上傳或防止將受保護的檔案上傳至雲端服務。 當設定的動作設定為警告或封鎖時, (在 [數據外泄 防護設定 ] 底下的 [不允許的瀏覽器] 清單上定義的其他瀏覽器) 會遭到封鎖而無法存取檔案。 | 支援 | 支援 | 支援 | 可稽核且可限制 |
貼到支持的瀏覽器 | 偵測使用者何時嘗試將內容貼到受限制的服務網域。 評估會對要貼上的內容執行。 這項評估與內容來源項目的分類方式無關。 | 支援 | 支援 | 不支援 | 可稽核且可限制 |
複製到剪貼簿 | 當使用者嘗試從受保護的檔案複製內容時,您可以封鎖、封鎖並覆寫受保護的檔案,或稽核將受保護檔案複製到端點裝置上的剪貼簿。 如果規則設定為 [ 封鎖 ] 或 [以 覆寫進行封鎖 ] 複製,則在來源內容為敏感性時會封鎖,除非目的地位於相同的Microsoft 365 Office 應用程式內。 此活動也適用於搭配 Windows 365 使用 Azure 虛擬桌面時的重新導向剪貼簿。 | 支援 | 支援 | 支援 | 可稽核且可限制 |
複製到 USB 卸載式裝置 | 偵測到此活動時,您可以封鎖、警告或稽核將受保護的檔案從端點裝置複製或移動到USB抽取式媒體。 | 支援 | 支援 | 支援 | 可稽核且可限制 |
複製到網路共用 | 偵測到此活動時,您可以封鎖、警告或稽核將受保護的檔案從端點裝置複製或移至任何網路共用,包括在具有 Windows 365 的 Azure 虛擬桌面上顯示為網路共用的重新導向 USB 裝置。 | 支援 | 支援 | 支援 | 可稽核且可限制 |
偵測到此活動時,您可以封鎖、警告或稽核從端點裝置列印受保護的檔案。 此活動也適用於搭配 Windows 365 使用 Azure 虛擬桌面時的重新導向印表機。 | 支援 | 支援 | 支援 | 可稽核且可限制 | |
使用不允許的藍牙應用程式複製或移動 | 偵測使用者何時嘗試將專案複製到不允許的藍牙應用程式, (如數據外泄防護設定>中不允許的藍牙應用程式清單中所定義,端點設定) 。 | 支援 | 支援 | 支援 | 可稽核且可限制 |
使用 RDP 複製或移動 | 偵測用戶嘗試將專案複製到遠端桌面會話的時機。 | 支援 | 支援 | 不支援 | 可稽核且可限制 |
建立專案 | 偵測專案的建立。 | 支援 | 支援 | 支援 | 可稽核 |
重新命名專案 | 偵測專案的重新命名。 | 支援 | 支援 | 支援 | 可稽核 |
受限制的應用程式存取 | 偵測位於受限制應用程式清單上的應用程式何時 (,如 受限制的應用程式和應用程式群組 中所定義,) 嘗試存取端點裝置上的受保護檔案。 | 支援 | 支援 | 支援 |
複製到剪貼簿行為
當您將規則設定為 [封鎖 ] 或 [以 覆寫方式封鎖 ] 時,當使用者嘗試從符合原則的檔案中的內容上複製到剪貼簿活動時,終端使用者會看到這些組態的行為:
Word 檔案 123 包含符合複製到剪貼簿封鎖規則的敏感性資訊。
Excel 檔案 123 包含符合複製到剪貼簿封鎖規則的敏感性資訊。
PowerPoint 檔案 123 包含符合複製到剪貼簿封鎖規則的敏感性資訊。
Word 檔案 789 不包含敏感性資訊。
Excel 檔案 789 不包含敏感性資訊。
PowerPoint 檔案 789 不包含敏感性資訊。
記事本 (或任何非Microsoft Office 應用程式或處理程式) 檔案 XYZ 包含與複製到剪貼簿封鎖規則相符的敏感性資訊。
記事本 (或任何非Microsoft Office 應用程式或處理程式) 檔案 ABC 不包含敏感性資訊。
來源 | Destination | 行為 |
---|---|---|
Word 檔案 123/Excel 檔案 123/PowerPoint 檔案 123 | Word 檔案 123/Excel 檔案 123/PowerPoint 檔案 123 | 允許複製和貼上,換句話說,允許檔案內複製和貼上。 |
Word 檔案 123/Excel 檔案 123/PowerPoint 檔案 123 | Word 檔案 789/Excel 檔案 789/PowerPoint 檔案 789 | 複製和貼上會遭到封鎖,換句話說,檔案間的複製和貼上會遭到封鎖。 |
Word 檔案 789/Excel 檔案 789/PowerPoint 檔案 789 | Word 檔案 123/Excel 檔案 123/PowerPoint 檔案 123 | 允許複製和貼上 |
Word 檔案 123/Excel 檔案 123/PowerPoint 檔案 123 | 記事本檔案 ABC | 已封鎖複製和貼上 |
記事本檔案 XYZ | 任何 | 已封鎖複製 |
記事本檔案 ABC | 任何 | 允許複製和貼上 |
端點 DLP 原則的最佳做法
假設您想要封鎖所有包含信用卡號碼的項目,使其無法離開財務部門使用者的端點。 我們建議:
- 建立原則,並將其範圍設定為端點和該使用者群組。
- 在原則中建立規則,偵測您想要保護的資訊類型。 在此情況下,請將 [內容包含] 設定為 [ 敏感性資訊類型]*,然後選取 [ 信用卡]。
- 將每個活動的動作設定為 [封鎖]。
如需設計 DLP 原則的詳細資訊,請 參閱設計數據外洩防護原則 。
注意事項
在 Microsoft Purview 中,敏感性項目的 DLP 原則評估會集中進行,因此,將原則與原則更新發佈至個別裝置的時間不會延遲。 當合規性中心更新了一個原則時,通常需要一小時的時間,以讓更新能在整個服務中同步處理。 同步處理原則更新之後,目標裝置上的專案會在下次存取或修改時自動重新評估。 (預覽) 授權群組變更時,原則將需要 24 小時才能同步處理。
受監視的檔案
透過原則監視的檔案
端點 DLP 會透過 Windows 10、11 和 macOS 最新三個主要版本中的原則來監視這些文件類型:
Windows 10,11 | macOS |
---|---|
.doc、.docx、 .docm、.dot、.dotx、.dotm、.docb、.xls、.xlsx、.xlt、.xlm、.xlsm、.xltx、.xltm、.xlsb、.xlw、.ppt、.pptx、pos、.pps、.pptm、.potx、.potm、.ppam、.ppsx、 .pbix、.pdf、.csv、.tsv、.zip、.zipx、.rar、.7z、.tar、.war、.gz、.dlp、.txt、.c、.class、.cpp、.cs、.h、.java、.html、.htm、.rtf、.json .config | .doc、.docx、.docm、.dot、.dotx、.dotm、.docb、.xls、.xlsx、.xlt、.xlm、.xlsm、.xltx、.xltm、.xlsb、.xlw、.ppt .pptx、.pos、.pps、.pptm、.potx、.potm、.ppam、.ppsx、.pbix、.pdf、.csv、.tsv、.txt、.c、.cpp、.cs、.h、.java、.html、.htm、.rtf、.json、.config |
不論原則相符而稽核的檔案
您可以在 Windows 10、11 和最新三個主要版本的 macOS 中稽核這些文件類型的活動,即使沒有原則相符專案也一樣:
Windows 10,11 | macOS |
---|---|
.doc、.docx、.docm、.dot、.dotx、.dotm、.docb、.xls、.xlsx、.xlt、.xlm、.xlsm、.xltx、.xltm、 .xlsb、.xlw、.ppt、.pptx、.pos、.pps、.pptm、.potx、.potm、.ppam、.ppsx、.pbix、.pdf、.csv、.tsv、.zip、.zipx、.rar、.7z、.tar、.war、.gz、.dlp | .doc、.docx、.docm、.dot、.dotx、.dotm、.docb、 .xls、.xlsx、.xlt、.xlm、.xlsm、.xltx、.xltm、.xlsb、.xlw、.ppt、.pptx、.pos、.pps、.pptm、.potx、.potm、.ppam、.ppsx、.pbix、.pdf、.csv、.tsv、 |
重要事項
如需搭配 PDF 檔案使用 Microsoft Purview 數據外洩防護 (DLP) 功能的 Adobe 需求相關信息,請參閱下列文章: Microsoft Acrobat 中的 Purview 資訊保護支援。
如果您只想要監視來自原則相符項目的數據,您可以在 [資料外泄防護設定端點設定] 中關閉裝置的>[永遠稽核檔案] 活動。
如果 [裝置的永遠稽核檔案活動 ] 設定已開啟,則任何 Word、PowerPoint、Excel、PDF 和 .csv 檔案上的活動一律會稽核,即使裝置不是任何原則的目標。
為了確保針對所有支援的檔案類型進行審核活動,請建立 自訂的 DLP 原則。
端點 DLP 會根據 MIME 類型監視活動,因此即使擴展名已變更,也會針對這些文件類型擷取活動:
將延伸名變更為任何其他擴展名之後:
- .doc
- .docx
- .xls
- .xlsx
- .ppt
- .pptx
如果延伸名只變更為支援的延伸名稱:
- .txt
- 。味精
- .rtf
- .c
- .cpp
- .h
- .cs
- 。爪哇島
- .tsv
掃描內容的檔類型
您可以在 DLP 原則中使用一或多個檔案類型作為條件。
檔案類型 | 應用程式 | 受監視的擴展名 |
---|---|---|
文字處理中 | Word、PDF | .doc、.docx、.docm、.dot、dotx、.dotm、.docb、.pdf |
試算表 | Excel, CSV, TSV | .xls、.xlsx、.xlt、.xlm、.xlsm、xltx、xltm、xlsb、.xlw、.csv、.tsv |
簡報 | PowerPoint | .ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx |
封存 | 檔案封存和壓縮工具 | .zip, .zipx, .rar, .7z, .tar, .gz |
電子郵件 | Outlook | 。味精 |
端點 DLP 有何不同
在您深入了解端點 DLP 之前,您必須先注意一些額外的概念。
啟用裝置管理
[裝置管理] 是一種能夠從裝置收集遙測資訊,並將之引入 Microsoft Purview 解決方案 (例如端點 DLP 和 內部風險管理) 中的功能。 您需要將您想要作為 DLP 原則中位置的所有裝置上線。
上線和下架是透過您從裝置管理中心下載的腳本來處理。 裝置管理中心具有下列每個部署方法的自定義腳本:
- 本機指令碼 (最多 10 部電腦)
- 群組原則
- 系統中心設定管理 (版本 1610 或更新版本)
- 行動裝置管理 / Microsoft Intune
- 非持久電腦的 VDI 登入腳本
使用 開始使用 Microsoft 365 端點 DLP 的程式以登入程式。
將裝置上線至 Defender 也會將其上線至 DLP。 因此,如果您已透過 適用於端點的 Microsoft Defender 將裝置上線,這些裝置就會自動顯示在裝置清單中。 您只需要 開啟裝置監視 ,即可使用端點 DLP。
查看端點 DLP 資料
您可以移至 [ DLP 警示管理儀錶板 ] 並使用 Microsoft Defender XDR 調查數據遺失事件,以檢視與端點裝置上強制執行的 DLP 原則相關的警示。
您也可以在相同的儀錶板中檢視相關聯事件的詳細數據,以及豐富的元數據
當裝置登入時,在您設定並部署任何被裝置視為位置的 DLP 原則之前,稽核活動的相關資訊便會導入 [活動總管]。
在稽核活動中,端點 DLP 會收集大量資訊。
例如,如果將檔案複製到可移動 USB 媒體,您會在活動詳細資料中看到下列屬性:
- 活動類型
- 用戶端 IP
- 目標檔案路徑
- 時間戳記
- 檔案名稱
- 使用者
- 檔案副檔名
- 檔案大小
- 敏感資訊類型 (若適用)
- sha1 值
- sha256 值
- 上一個檔案名稱
- 位置
- 母
- 檔案路徑
- 來源位置類型
- 平台
- 裝置名稱
- 目的地位置類型
- 執行複製的應用程式
- 適用於端點的 Microsoft Defender 裝置識別碼 (如果適用)
- 可移除式媒體裝置製造商
- 可移除式裝置模型
- 可移除式裝置序號
端點 DLP 和離線裝置
當 Windows 端點裝置離線時,現有的原則會繼續在現有檔案上強制執行。 此外,啟用 Just-In-Time 保護並處於「封鎖」模式時,在離線裝置上建立新 檔案 時,在裝置連線到數據分類服務並評估完成之前,仍然無法共享檔案。 如果 在伺服器 上建立新的原則,或修改現有的原則,這些變更會在裝置重新連線到因特網後更新。
請考慮下列使用案例。
- 即使裝置脫機,已推送至裝置的原則仍會繼續套用至已分類為機密的檔案。
- 裝置脫機時,合規性入口網站中更新的原則不會推送至該裝置。 同樣地,在裝置重新上線之前,這類原則將不會在該裝置上強制執行。 不過,仍然會強制執行存在於離線裝置上的過期原則。 Just-In-Time 保護
如果將通知設定為顯示,則不論裝置是否在在線,它們一律會在觸發 DLP 原則時顯示。
注意事項
雖然已推送至離線裝置的原則會強制執行,但是在裝置重新上線之前,強制事件不會出現在活動總管中。
DLP 原則會定期同步至端點裝置。 如果裝置離線,則無法同步處理原則。 在此情況下,[ 裝置] 列表 會反映裝置與 伺服器上 的原則不同步。
重要事項
macOS 端點裝置不支援這項功能。
Just-In-Time 保護
Just-In-Time 保護會封鎖下列受監視檔案上的所有輸出活動,直到原則評估成功完成為止:
- 從未評估過的專案。
- 評估已過時的專案。 這些是先前評估的專案,尚未由原則的目前更新雲端版本重新評估。
您必須先部署 Antimalware Client 4.18.23080 版或更新版本,才能部署 Just-In-Time 保護。
注意事項
對於反惡意代碼用戶端版本過期的機器,建議您安裝下列其中一個 KB 來停用 Just-In-Time 保護:
若要在 Microsoft Purview 合規性入口網站中啟用 Just-In-Time 保護, 請選取 左側瀏覽窗格中的 [設定],選擇 [ Just-In-Time 保護],然後設定您想要的設定。
選擇要監視的位置
- 選 取 [裝置]。
- 選擇 [編輯]。
- 在飛出視窗窗格中,選取您想要套用 Just-In-Time 保護的帳戶和通訊群組範圍。 (請記住,當原則評估正在處理時,端點 DLP 會封鎖每個帳戶位於所選範圍中之使用者的所有輸出活動。 端點 DLP 會稽核已透過 [排除] 設定 (明確排除的所有使用者帳戶的輸出活動) 或不在範圍中。)
注意事項
請記住,針對您在 [範圍] 中選取的所有使用者,端點 DLP 會在等候原則評估完成時封鎖所有輸出活動;對於不在 [範圍] 或 [排除] 設定下的使用者,端點 DLP 會稽核輸出活動。
- 失敗時的後援動作:此設定會指定當原則評估未完成時,DLP 應該套用的強制模式。 無論您選取哪一個值,相關的遙測都會顯示在活動總管中。
提示
將用戶生產力最大化的秘訣:
- 在啟用 Just-In-Time 保護之前,先設定端點 DLP 原則並部署到您的裝置,以防止在原則評估期間不必要地封鎖用戶活動。
- 請務必仔細設定輸出活動的設定。 只有當該活動具有一或多個具有覆寫原則的封鎖或封鎖時,Just-In-Time 保護才會封鎖輸出活動。 這表示不會特別封鎖的輸出活動只會進行稽核,即使是包含在適用原則範圍內的使用者也一般。
- 由於 Just-In-Time 保護只會在該活動具有一或多個具有覆寫原則的封鎖或封鎖時封鎖輸出活動,這表示即使範圍中的使用者沒有任何 DLP 原則或只有稽核 DLP 原則,Just-In-Time 保護將只會稽核輸出活動。
如需詳細資訊, 請參閱開始使用 Just-In-Time 保護。
後續步驟
現在您已經瞭解了端點 DLP,接下來的步驟如下:
- 將 Windows 10 或 Windows 11 裝置上線到 Microsoft Purview 概觀
- 將 macOS 裝置上線到 Microsoft Purview 概觀
- 設定端點資料外洩防護設定
- 使用端點資料外洩防護