管理測試人員風險管理鑑識辨識項
重要事項
鑑識辨識項是測試人員風險管理中選擇加入的附加元件功能,可讓安全性小組以視覺方式深入瞭解潛在的內部數據安全性事件,並內建用戶隱私權。 鑑識辨識項包含可自定義的事件觸發程式和內建的使用者隱私權保護控件,讓安全性小組能夠進一步調查、瞭解及回應潛在的內部數據風險,例如未經授權的數據外流敏感數據。
組織會自行設定正確的原則,包括哪些具風險的事件是擷取鑑識辨識項的最高優先順序,以及哪些數據最敏感。 鑑識辨識項預設為關閉,原則建立需要雙重授權,且用戶名稱可以使用假名化 (遮罩,這是測試人員風險管理) 默認開啟的。 在測試人員風險管理內設定原則和檢閱安全性警示,會利用強大的角色型訪問控制 (RBAC) ,確保組織中指定的個人採取適當的動作,並提供額外的稽核功能。
重要事項
Microsoft Purview 內部風險管理 相互關聯各種訊號,以識別潛在的惡意或意外內部風險,例如IP竊取、數據外泄和安全性違規。 內部風險管理可讓客戶建立原則來管理安全性與合規性。 根據設計使用隱私權建置,用戶預設會以假名化,且已備妥角色型訪問控制和稽核記錄,以協助確保用戶層級隱私權。
完成設定步驟並建立鑑識辨識辨識項原則之後,您會開始看到潛在風險性安全性相關用戶活動的警示,這些活動符合原則中所定義指標的條件。
提示
開始使用安全性 Microsoft Copilot,探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的安全性 Microsoft Copilot。
儀表板
鑑識辨識項儀錶板是組織中鑑識辨識項設定的重要區域摘要檢視。 針對預覽版,儀錶板僅包含 鑑識辨識項裝置健康情況 區段。 選 取 [檢視裝置健康情況報告 ] 以開啟 [ 裝置健康情況 ] 索引標籤和報告。 其他章節將包含在未來的版本中。
管理使用者
您必須先要求並核准特定使用者,他們才有資格擷取鑑識辨識項。 只要將使用者新增至鑑識辨識項原則,並不會自動讓這些使用者符合擷取的資格。 您可以在建立鑑識辨識項原則之前或之後要求和核准使用者,但只會建立與原則指標相關聯的剪輯擷取,並在用戶獲得核准後才可供檢閱。
指派給 測試人員風險管理 或 測試人員風險管理系統管理員 角色群組的使用者,可以將核准要求提交給指派給 測試人員風險管理核准者 角色群組的使用者。
要求擷取核准
您必須要求為特定用戶開啟鑑識辨識辨識項擷取。 提交要求時,組織中的核准者會在電子郵件中收到通知,而且可以核准或拒絕要求。 如果核准,使用者或 會出現在 [ 已核准的使用者 ] 索引標籤上,並符合擷取的資格。 如果未解決,要求會從提交日期起的 6 個月到期。
針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
移至 測試人員風險管理 解決方案。
選取左側導覽中的 [鑑識辨識 辨識項],然後選取 [ 使用者管理]。
選取 [ 管理鑑識辨識項要求 ] 索引標籤。
選 取 [建立要求]。
在 [ 使用者] 頁面上,選取 [ 新增使用者]。
使用 [搜尋 ] 尋找特定使用者,或從清單中選取一或多個使用者。 選取 [新增],然後選取 [下一步]。
在 [ 鑑識辨識辨識項原則] 頁面上,為新增的用戶選取鑑識辨識項原則。 您選擇的原則會決定要為使用者擷取的活動範圍。
選取 [下一步]。
在 [ 理由] 頁面上,讓檢閱者知道為什麼您要要求啟用擷取功能給您在 [ 開啟鑑識辨識辨識 項擷取] 文字框中新增的使用者。 這是必要的欄位。 完成後,選取 [下一步]。
在 [Email 通知] 頁面上,您可以使用通知範本傳送電子郵件給使用者,讓他們知道將會根據貴組織的原則,為其裝置開啟鑑識辨識項擷取。 只有在使用者的要求獲得核准時,才會將電子郵件傳送給使用者。
選取 [ 傳送電子郵件通知給核准的使用者 ] 複選框。 選擇現有的範本或建立新的範本。 若要建立新的範本,請選取 [ 建立通知範本 ],然後在 [ 新增電子郵件通知範本] 窗 格中完成下列必要字段。
選取 [下一步]。
在 [ 完成] 頁面上,檢閱您的設定,然後再提交要求。 選取 [編輯使用者 ] 或 [ 編輯理由 ] 以變更任何要求值,或選取 [ 提交 ] 以建立要求並將要求傳送給檢閱者。
若要檢視擱置的核准要求,請移至測試人員風險管理>鑑識辨識辨識項>擱置要求。 在這裡,您會看到具有擱置要求的使用者、其電子郵件位址、要求提交日期,以及提交核准要求的人員。 如果未顯示任何使用者,則沒有任何使用者的擱置核准要求。
指派給 測試人員風險管理核准者 角色群組的使用者可以在 [ 鑑識辨識證據要求 ] 索引卷標上選取使用者,並檢閱要求。 檢閱要求之後,這些使用者可以核准或拒絕鑑識辨識項擷取要求。 核准或拒絕擷取要求會從此檢視中移除使用者的暫止要求。
核准或拒絕擷取要求
要求完成之後,指派給 測試人員風險管理核准者 角色群組的使用者將會收到核准要求的電子郵件通知。
針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
- 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
- 移至 測試人員風險管理 解決方案。
- 選取左側導覽中的 [鑑識辨識 辨識項],然後選取 [ 擱置要求]。
- 選取要檢閱的使用者。
- 在 [ 檢閱鑑識辨識項要求 (預覽) ] 窗格上,檢閱要求者所提交的理由。 視需要選 取 [核准 ] 或 [ 拒絕 ]。
- 在 [ 已核准的要求 ] 或 [要求已拒絕 ] 頁面上,選取 [ 關閉]。
撤銷擷取核准
如有需要,您可以撤銷特定使用者的核准,並將其從鑑識辨識項擷取中排除。 撤銷核准不會刪除或移除這些使用者的任何現有擷取,只會停用這些使用者未來的活動擷取。
針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
- 以測試人員風險管理核准者角色群組的成員身分登入 Microsoft Purview 入口網站。
- 移至 測試人員風險管理 解決方案。
- 選取左側導覽中的 [鑑識辨識 辨識項],然後選取 [ 使用者管理]。
- 選取 [ 已核准的使用者] 索引標籤。
- 選取使用者,然後選取 [ 移除]。
- 在移除確認頁面上,選取 [ 移除 ] 以撤銷擷取核准。
建立和管理通知範本
您可以建立並使用通知範本,將電子郵件傳送給使用者,讓他們知道將會根據貴組織的原則,為其裝置開啟鑑識辨識項擷取。 只有在使用者的要求獲得核准時,才會將電子郵件傳送給使用者。
建立新的通知範本
針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
- 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
- 移至 測試人員風險管理 解決方案。
- 在左側導覽中選取 [ 鑑識辨識 辨識項],然後選取 [ 通知範本]。
- 選 取 [建立通知範本]。
- 在 [ 新增電子郵件通知範本] 窗 格中,完成下列必要欄位:
- 範本名稱
- 傳送來源
- 主旨
- 訊息本文
- 選取 [儲存]。
注意事項
若要刪除現有的通知範本,請選取範本,然後選取 [ 刪除]。
檢視擷取的剪輯
您可以在開啟 Microsoft Purview 內部風險管理 時選取 [鑑識辨識項] 索引卷標來檢視和探索擷取的剪輯。 您也可以從解決方案中的其他區域選取 [ 鑑識辨識 辨識項] 索引標籤,以檢視內容中擷取的剪輯清單:
- 警示儀錶板。 從 [警示 ] 儀錶板存取的剪輯會對應至建立鑑識辨識項原則時擷取 特定用戶活動的 選項。 擷取的剪輯是由鑑識辨識項原則中選取的指標所定義。
- 用戶活動報告。 從 用戶活動 報告存取的剪輯會對應至擷取鑑識辨識項原則中包含之使用者所執行 之任何安全性相關活動的 選項。
- 案例儀錶板。 從 案例 儀錶板存取的剪輯是已呈報至案例的警示。
注意事項
如果您同時是測試人員風險管理調查人員角色群組和測試人員風險管理系統管理員角色群組的成員,您會在開啟 Microsoft Purview 內部風險管理 時看到檢閱擷取的剪輯。 如果您選 取 [檢閱擷取的剪輯],它會變更為 [開啟鑑識辨識項設定]。 如果您同時擁有這兩個角色,此動作就是在擷取的剪輯和設定清單之間來回切換。 深入瞭解角色群組
當您選取 [ 鑑識辨識項] 索 引標籤時,所擷取的剪輯和相關聯的資訊會顯示在清單中。 如果您在清單中選取擷取的剪輯,影片播放機會出現在畫面中央,而影片播放機右側會顯示剪輯中活動和事件的文字記錄。
每個擷取的剪輯都包含下列資訊:
- 日期/時間 (UTC) :UTC) 的日期、時間 (,以及擷取的持續時間。 擷取的持續時間是擷取所跨越的總時間。 擷取的實際長度可能較短,因為內部風險管理會自動消除相同的畫面。
- 裝置:Windows 10/11 中的裝置名稱。
- 活動:擷取中包含的測試人員風險管理活動類型。 這些活動是以指派給相關聯原則的全域和原則指標為基礎。
- 使用者:用戶的名稱。
- 如果適用, (URL) :用戶在活動發生時所存取的 URL。
- 應用程式 (如果適用,) :用戶在活動發生時所存取的應用程式。
- 活動視窗標題:活動發生時,使用者正在存取的視窗標題。
若要檢視擷取的剪輯:
如有需要,請在清單頂端設定篩選條件。
從清單中選取剪輯。
使用視訊播放器控件,選取 [播放] 控件 ,從頭到尾檢閱整個剪輯。
若要將檢閱範圍設定為剪輯中的特定活動或事件,請選取文字記錄中的活動或事件。 您也可以使用文字記錄上方的搜尋方塊來搜尋特定活動或事件。
注意事項
文字記錄中的紅色三角形表示活動。
篩選擷取的剪輯清單
您可以使用所擷取剪輯清單上方的篩選來篩選特定活動和資訊。 每個篩選最多支援 10 個唯一識別碼,例如,您可以一次篩選最多 10 位使用者。 下表描述不同的篩選條件。
| 篩選名稱 | 描述 |
|---|---|
| 使用者名稱 | 篩選任何用戶名稱。 |
| 活動 | 選取要篩選的特定活動,例如已重複使用用來登入裝置的列印檔案或密碼。 |
| 裝置名稱 | 篩選任何裝置名稱。 |
| URL | 篩選功能變數名稱,或在篩選功能變數名稱之後搜尋任何關鍵詞。 範例:輸入 「SharePoint」 作為關鍵詞會傳回 URL 中任何位置包含 「SharePoint」 的任何 URL。 |
| 應用程式 | 依應用程式名稱篩選。 您可以使用此篩選來選取 [包含任何一 個] 或 [全部包含 ]。 範例:如果您選取 [包含其中任何 一個] 並輸入 “Contoso.com,Contoso2.com”,則可以有一個剪輯擷取 Contoso.com,而另一個則會擷取 Contoso2.com。 如果您選取 [全部包含 ] 並輸入 “Contoso.com,Contoso2.com”,則任何擷取都必須包含這兩個網域。 |
| 活動視窗標題 | 篩選活動視窗標題。 您可以選取 [包含任何一個 ] 或 [全部包含 ],以與 應用程式 篩選器相同的方式進行篩選。 |
刪除剪輯
指派給 測試人員風險管理調查人員 角色群組的使用者可以從擷取的剪輯清單中刪除個別剪輯。 若要執行這項作業:
- 選取擷取旁邊的複選框。
- 選取 [刪除]。
指派給 測試人員風險管理管理員 角色群組的使用者可以透過設定進行大量刪除。
進行大量刪除
針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
- 以測試人員風險管理管理員角色群組的成員身分登入 Microsoft Purview 入口網站。
- 移至 測試人員風險管理 解決方案。
- 選取左側導覽中的 [ 鑑 識辨識辨識項],然後選取 [ 鑑識辨識辨識項設定]。
- 請確定 [ 允許由系統管理員或分析人員刪除鑑識用戶數據 ] 選項設定為 [ 開啟]。
- 在 [刪除使用者 的數據] 下,選擇 [ 選取使用者],然後選取您要刪除剪輯的使用者。
重要事項
鑑識辨識項剪輯會在擷取後 120 天刪除。 您可以先匯出或傳送鑑識辨識項剪輯,再刪除它們。
警示儀錶板
對於原則產生的警示,您可以在 [警示] 儀錶板的 [ 鑑識辨識 辨識項] 索引卷標上檢閱鑑識辨識辨識辨識項 擷 取。 如果警示有一或多個擷取可用,您也會在產生警示標頭的活動中看到 檢視鑑識辨識 項通知連結。 您可以選取通知連結或 [鑑識辨識辨識 項] 索引卷標,以檢閱活動擷取的清單。
檢閱可能包含鑑識辨識項擷取之潛在風險活動的警示,基本上與檢閱沒有鑑識辨識項擷取的警示相同。 顯著的差異在於包含任何適用的擷取。 [ 鑑識辨識辨識 項] 索引標籤可讓您存取與警示相關聯的所有可用擷取。
案例儀錶板
如果警示呈報至案例,所有相關聯的鑑識辨識項擷取都會包含在案例中。 檢閱案例的鑑識辨識項擷取會遵循與檢閱警示擷取相同的程式。
使用者活動報告
用戶活動報告可讓您檢查特定使用者在定義期間內的活動,而不需要暫時或明確地指派給內部風險管理原則。 如果這些用戶活動包含鑑識辨識項擷取所支援的活動,則剪輯會包含在用戶活動中。
如果您已設定鑑識辨識項來擷取所有與安全性相關的用戶活動,而不論其是否包含在鑑識辨識項原則中,以檢閱這些擷取:
- 選 取 [測試人員風險管理>概觀]。
- 在 [ 概觀 ] 畫面底部的 [ 調查用戶活動] 底下,選取 [ 管理報告]。
- 選取特定用戶,然後選取 [ 鑑識辨識項 ] 索引卷標。
- 請參閱上述指示。
裝置健康情況報告 (預覽)
將裝置設定為支援鑑識辨識項之後,您可以流覽至測試人員風險管理>>鑑識辨識項裝置健康情況,檢閱組織中所有裝置的 Microsoft Purview 用戶端健全狀況狀態。
如需最低裝置和設定需求的清單,請參閱 瞭解鑑識辨識項。 若要將支援的裝置上線,請完成上架 Windows 10 和將裝置 Windows 11 到 Microsoft 365 概觀一文中所述的步驟。
裝置健康情況報告可讓您檢視已安裝鑑識辨識項代理程式的所有裝置狀態和健康情況。 報表上的每個報表小工具都會顯示過去 24 小時的資訊。
- 在線裝置:目前上線的裝置總數。
- 裝置離線:目前離線的裝置總數。
- 具有警告的裝置:具有警告的裝置總數。
- 發生錯誤的裝置:發生錯誤的裝置總數。
裝置健康情況佇列會列出中針對組織中鑑識辨識項所設定的所有裝置。 此外,報告也會列出下列裝置屬性的狀態:
- 裝置名稱:裝置的 ComputerName 屬性所定義的裝置名稱。
-
裝置狀態:裝置上Microsoft Purview 客戶端的狀態。 狀態值如下所示:
- 狀況良好:裝置上的客戶端運作正常,且完全支援鑑識辨識項擷取功能。
- 警告:裝置上的用戶端有警告,而且可能不完全支援鑑識辨識項擷取功能。
- 錯誤:裝置上的用戶端發生錯誤,且鑑識辨識項擷取功能已停用或未完全支援。
- 狀態詳細數據:裝置狀態的詳細資訊。
- 上次同步 (UTC) :裝置上次狀態同步處理的日期和時間。
- 使用者名稱:執行狀態同步處理時登入裝置的用戶名稱。
- Windows 版本:裝置上安裝的 Microsoft Windows 版本。
- 用戶端版本:安裝在裝置上的 Microsoft Purview Client 版本。
裝置健康情況狀態可讓您深入瞭解裝置和 Microsoft Purview 用戶端的潛在問題。 [裝置健康情況] 頁面上的 [裝置狀態] 數據行可以警示您裝置問題,這些問題可能會防止擷取用戶活動,或擷取鑑識辨識項數量不尋常的原因。 裝置健康狀態也可以確認鑑識辨識項擷取中包含的裝置狀況良好,而且不需要注意或設定變更。 下表列出可能的狀態詳細數據訊息,以及您可以採取以解決警告和錯誤的建議動作:
| 狀態詳細數據 | 狀態 | 建議的動作 |
|---|---|---|
| 發生內部伺服器錯誤。 因此,可能會遺失擷取數據。 | 錯誤 | 使用Microsoft建立支援票證以供進一步調查 |
| 上傳頻寬已達到此裝置上所設定限制的90%。 擷取可能很快就會被覆寫。 | 警告 | 增加 [ 鑑識辨識 項設定] 頁面上的上傳頻寬限制。 |
| 此裝置上已達到設定的上傳頻寬限制。 當天不會再上傳任何擷取。 | 錯誤 | 增加 [ 鑑識辨識 項設定] 頁面上的上傳頻寬限制。 |
| 離線記憶體已達到此裝置上所設定限制的90%。 擷取可能很快就會被覆寫。 | 警告 | 增加 [ 鑑識辨識 辨識項設定] 頁面上的脫機擷取快取限制。 |
| 此裝置上已達到設定的離線儲存空間限制。 因此,會覆寫脫機擷取。 | 錯誤 | 增加 [ 鑑識辨識 辨識項設定] 頁面上的脫機擷取快取限制。 |
| 裝置上的 CPU 使用量已超過最大閾值。 | 錯誤 | 擷取程式已停止,將在幾分鐘內重新啟動。 |
| 裝置上的記憶體使用量已超過最大閾值。 | 錯誤 | 擷取程式已停止,將在幾分鐘內重新啟動。 |
| 裝置上的 GPU 使用量已超過最大閾值。 | 錯誤 | 擷取程式已停止,將在幾分鐘內重新啟動。 |
| 安裝在裝置上的 Microsoft Purview 用戶端無法與鑑識辨識辨識項原則同步。 | 警告 | 線上到網路 & 重新安裝用戶端 |
| 安裝在裝置上的 Microsoft Purview 用戶端在超過 24 小時內未與鑑識辨識項原則同步。 | 錯誤 | 線上到網路 & 重新安裝用戶端 |
| Microsoft Purview 用戶端無法擷取活動,因為此裝置上未偵測到任何圖形卡片。 | 錯誤 | 新增圖形卡片,或將裝置取代為具有圖形卡片的裝置 |
| Microsoft Purview 用戶端無法擷取活動,因為此裝置上未偵測到任何顯示器監視器。 | 錯誤 | 新增此裝置的顯示器監視器 |
| Microsoft Purview 用戶端無法擷取活動,因為此裝置上的顯示器監視器已關閉或中斷連線。 | 錯誤 | 線上/開啟裝置的顯示器監視器 |
| 裝置無法存取儲存鑑識辨識項擷取的目錄。 | 錯誤 | 重新安裝此裝置上的用戶端 |
| 編碼器初始化失敗。 | 錯誤 | 重新安裝此裝置上的用戶端。 |
如果建議的動作無法解決客戶端的問題,請連絡 Microsoft 支援服務。
容量和計費
設定鑑識辨識項時,您可以選擇為擷取的剪輯購買測試人員風險管理的鑑識辨識證據附加元件。 附加元件適用於具有下列任何授權的組織:Microsoft 365 E5、Microsoft 365 E5 合規性 或 Microsoft 365 E5 測試人員風險管理。
組織可以每月以 100 GB 的單位購買附加元件。 購買的容量適用於從購買日期開始擷取鑑識辨識項,並在當月1日重設。 未使用的容量不會繼續。 建議您在本月初購買授權,以將授權的價值最大化。 100 GB 大約等於每個租使用者擷取約 1,100 小時的鑑識辨識辨識項,視訊解析度為 1080p。 您可以 下載容量計算機 ,以協助估計每月所需的 GB 數目。
擷取鑑識辨識項之後,將會保留120天。 如有需要,您可以在120天的保留期間之後匯出鑑識辨識項。
付款方案
透過 Microsoft 365 系統管理中心 購買附加元件時,有兩個付款方案可用:
- 支付所有通道) 中每年可用的 (。 年度承諾用量選項可讓您購買您在12個月內每個月指定的授權數目。 這適用於想要確保每個月都有容量可擷取鑑識辨識項而不中斷的客戶。 此付款方案會自動補充每個月購買的授權數目。 購買的容量適用於從購買日期開始擷取鑑識辨識項,並在當月1日重設。 未使用的容量不會繼續。 客戶可以選擇計費一次,或將帳單分割成12個每月付款。
- 每月付費 (僅適用於 Web 直接) 。 如果您不想進行年度承諾,您可以購買每個月所需的授權數目。 購買的容量適用於從購買日期開始擷取鑑識辨識項,並在當月1日重設。 未使用的容量不會繼續。
我是否可以在購買之前先嘗試鑑識功能?
每個具有 Microsoft 365 E5、Microsoft 365 E5 合規性 或 Microsoft 365 E5 測試人員風險管理授權的租使用者,都可以註冊 20 GB 的試用版授權,以試用鑑識辨識辨識項功能。
注意事項
20 GB 試用版授權僅適用於舊版商務平臺上的客戶。
您可以透過試用版授權取得 20 GB 的容量,直到您用到 20 GB 的完整容量,或從試用授權啟用起算算起的一年,以稍早者為準。 如果您在使用試用容量之前購買鑑識辨識附加元件授權,您將能夠使用剩餘的試用容量,直到系統開始計量購買的容量之前就已用到該容量為止。
如果您用完 20 GB 的試用版容量,且之後未購買測試人員風險管理的鑑識附加元件,您將能夠檢視任何已內嵌但無法內嵌任何新剪輯的剪輯。
註冊 20 GB 試用版授權
針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
移至 測試人員風險管理 解決方案。
選取左側導覽中的 [鑑識辨識 辨識項],然後選取 [ 容量和帳單]。
注意事項
您也可以從 [測試人員風險管理>鑑識>辨識項儀錶板] 索引卷標註冊試用版授權。
選 取 [宣告 20 GB 容量]。
遵循 Microsoft 365 系統管理中心 中的提示。
