文件指紋
文件指紋是Microsoft Purview 數據外洩防護 (DLP) 功能,可將標準表單轉換成敏感性資訊類型 (SIT) ,您可以在 DLP 原則的規則中使用。
文件指紋可讓您藉由識別整個組織使用的標準表單,更輕鬆地保護敏感性資訊。 本文說明文件指紋背後的概念,以及如何使用使用者介面或使用PowerShell建立文件指紋。
檔案指紋包含下列優點:
- DLP 可以在 Exchange、SharePoint、OneDrive、Teams 和裝置中使用文件指紋作為偵測方法。
- 文件指紋功能可以透過 Microsoft Purview 使用者介面來管理。
- 支援部分比對。
- 支援完全比對。
- 改善偵測精確度
- 支援多種語言的偵測,包括中文、日文和韓文等雙位元組語言。
重要事項
如果您是 E5 客戶,建議您更新現有的指紋,以利用完整的文件指紋功能集。 如果您是 E3 客戶,建議您升級至 E5 授權。 如果您選擇不這麼做,您將無法修改現有的指紋,或在 2023 年 4 月之後建立新的指紋。
檔指紋的基本案例
如前所述,文件指紋功能會將標準形式的信息轉換成敏感性資訊類型 (SIT) ,您可以在 DLP 原則的規則中使用。 例如,您可以根據空白專利範本建立文件指紋,然後再建立 DLP 原則,以偵測及封鎖所有填入敏感內容的傳出專利範本。 您可以選擇性地設定 原則提示 ,通知寄件者可能正在傳送敏感性資訊,而且發件者應該確認收件者符合獲得專利的資格。 此程序適用於您的組織中所使用的任何文字型表單。 您可以上傳的其他表單範例包括:
- 政府表單
- 1996 年健康保險流通與責任法案 (HIPAA) 符合性表單
- 人力資源部門的員工資訊表單
- 特別為您的組織建立的自訂表單
在理想情況下,您的組織應已建立使用特定表單來傳輸敏感資訊的商業實務準則。 若要啟用偵測,請上傳要轉換成檔指紋的空白表單。 接下來,設定對應的原則。 完成這些步驟之後,DLP 會偵測輸出郵件中符合該指紋的任何檔。
檔指紋的運作方式
您可能已經猜到檔沒有實際的指紋,但名稱有助於說明此功能。 如同人類的指紋具有獨特的型態,文件也會有獨特的文字模式。 當您上傳檔案時,DLP 會識別檔中的唯一文字模式、根據該模式建立文件指紋,並使用該文件指紋來偵測包含相同模式的輸出檔。 正因如此,上載表單或範本能夠產生最有效的文件指紋類型。 填寫表單的每個人都會使用相同的原始單字集,然後將自己的單字新增至檔。 如果輸出檔未受到密碼保護,且包含原始表單中的所有文字,DLP 可以判斷檔是否符合文件指紋。
專利範本包含空白欄位「專利職稱」、「清查者」和「描述」,以及每個欄位的描述,即文字模式。 當您上傳原始專利範本時,它位於其中一個支援的檔類型和純文字中。 DLP 會將此字模式轉換成文件指紋,這是包含代表原始文字之唯一哈希值的小型 Unicode XML 檔案。 指紋會儲存為 Active Directory 中的數據分類。 (作為安全性措施,原始檔本身不會儲存在服務上;只會儲存哈希值。原始文件無法從哈希值重新建構。) 專利指紋接著會變成您可以與 DLP 原則相關聯的 SIT。 將指紋與 DLP 原則建立關聯之後,DLP 會偵測任何包含符合專利指紋之內容的輸出電子郵件,並根據貴組織的原則來處理。
例如,如果您設定的 DLP 原則可防止一般員工傳送包含專利的外寄訊息,DLP 會使用專利指紋來偵測專利並封鎖這些電子郵件。 或者,您可能想要讓法務部門能夠將專利傳送給其他組織,因為它有執行這項作業的商務需求。 若要允許特定部門傳送敏感性資訊,請在 DLP 原則中為這些部門建立例外狀況。 或者,您可以允許他們以商業理由覆寫原則提示。
重要事項
內嵌檔中的文字不會被視為指紋建立。 您必須提供不包含內嵌檔的範例範本檔案。
支援的檔案類型
文件指紋支援郵件流程規則中所支援的相同檔類型, (也稱為傳輸規則) 。 如需支援的檔案類型清單,請參閱 郵件流程規則內容檢查的支援檔案類型。 關於文件類型的一個快速注意事項:郵件流程規則和文件指紋都不支援 .dotx 檔案類型,這是 Microsoft Word 中的範本檔案。 當您在此和其他文件指紋文章中看到「範本」一詞時,它會參考您已建立為標準表單的檔,而不是範本檔類型。
文件指紋的限制
在下列情況下,文件指紋不會偵測敏感性資訊:
- 檔案受密碼保護
- 僅包含影像的檔案
- 文件未包含原始表單中所有用來建立文件指紋的文字
- 大於 4 MB 的檔案
注意事項
若要搭配裝置使用檔指紋,必須開啟 進階分類掃描和保護 。
指紋會儲存在不同的規則套件中。 此規則套件的大小上限為 1 至 150 KB。 根據此限制,您可以為每個租使用者建立大約50個指紋。
下列範例顯示如果您根據專利範本建立文件指紋,會發生什麼情況。 不過,您可以使用任何表單作為建立文件指紋的基礎。
範例:建立符合專利範本之文件指紋的專利檔
針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
符合專利範本之文件指紋的專利檔PowerShell範例
>> $Patent_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\patent.docx'))
>> New-DlpSensitiveInformationType -Name "Patent SIT" -FileData $Patent_Form -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Contoso Patent Template"
部分比對
若要設定文件指紋的部分比對,請在設定信賴等級時,選擇 [低]、[ 中 ] 或 [ 高 ],並指定檔案中必須以介於 30% - 90% 之間的百分比來比對指紋的文字數量。
高信賴度層級會傳回最少的誤判,但可能會導致更多誤判。 低或中度信賴等級會傳回更多誤判,但誤判為零。
- 低信賴度:相符的專案將包含最少的誤判,但誤判為真數最高。 低信賴度會傳回所有低、中和高信賴度相符專案。
- 中度信賴度:相符的專案將包含平均誤判和誤判。 中度信賴會傳回所有中度和高信賴度相符專案。
- 高信賴度:相符的專案將包含最少的誤判,但最多為誤判。
完全比對
若要設定文件指紋的完全比對,請選取 [精確 ] 作為高信賴度層級的值。 當您將高信賴度設定為 [精確] 時,只會偵測到文字與指紋完全相同的檔案。 如果檔案甚至與指紋有小的偏差,則不會偵測到。
已經在使用指紋 SIT 嗎?
您現有的指紋和這些指紋的原則/規則應該會繼續運作。 如果您不想要使用最新的指紋功能,則不需要執行任何動作。
如果您有 E5 授權,而且想要使用最新的指紋功能,您可以建立新的指紋,或 將原則移 轉至較新版本。
注意事項
不支援使用已經存在指紋的範本建立新的指紋。
使用 Microsoft Purview 建立使用指紋 SIT 的新原則
針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
- 在 Microsoft Purview 合規性入口網站中,流覽至 [數據外泄防護>原則] ,然後選擇 [ + 建立原則]。
- 針對 [ 類別 ] 選 取 [自定義 ],然後針對 [法規 ] 選取 [自定義原則]。
- 選擇 [下一步]。
- 為您的原則命名,並提供下一步的描述>。
- 在 [ 指派系統管理單位] 頁面上,選擇 [ 下一步]。
- 選取您要套用原則的位置,然後選擇 [ 下一步]。
- 在 [ 定義原則設定 ] 頁面上,選取 [建立或自定義進階 DLP 規則 ],然後選擇 [ 下一步]。
- 選 取 [+ 建立規則]。
- 為您的規則提供名稱和描述。
- 在 [ 條件] 下 ,選擇 [新增內容包含的條件>]。
- 為新的一組 DLP 規則提供組 名>[新增>敏感性資訊類型]。
- 搜尋並選取指紋 SIT >Add 的名稱。
- 請完成規則建立工具的其餘部分,以設定您的規則。
- 選擇 [儲存]。
- 選擇 [下一步]。
- 選擇 [在模擬模式中執行原則] ,然後選擇 [ 下一步]。
- 選擇 [提交 ],然後選擇 [ 完成]。
使用 PowerShell 根據文件指紋建立自定義敏感性資訊類型
目前,您只能在 安全性 & 合規性 PowerShell 中建立文件指紋。
DLP 會使用敏感性資訊類型 (SIT) 來偵測敏感性內容。 若要根據文件指紋建立自定義 SIT,請使用 New-DlpSensitiveInformationType Cmdlet。 下列範例會根據 C:\My Documents\Contoso Customer Form.docx 檔案,建立名為 “Contoso Customer Confidential” 的新文件指紋。
$Employee_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Customer Form.docx'))
New-DlpSensitiveInformationType -Name "Contoso Customer Confidential" -FileData $Employee_Form -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Message contains Contoso customer information."
最後,在 Microsoft Purview 合規性入口網站中,將「Contoso 客戶機密」敏感性資訊類型新增至 DLP 原則。 本範例會將規則新增至名為 「ConfidentialPolicy」 的現有 DLP 原則。
New-DlpComplianceRule -Name "ContosoConfidentialRule" -Policy "ConfidentialPolicy" -ContentContainsSensitiveInformation @{Name="Contoso Customer Confidential"} -BlockAccess $True
您也可以在 Exchange 的郵件流程規則中使用指紋 SIT,如下列範例所示。 若要執行此命令,您必須先連線到 Exchange PowerShell。 另請注意,SIT 需要一些時間才能與 Exchange 系統管理中心同步。
New-TransportRule -Name "Notify :External Recipient Contoso confidential" -NotifySender NotifyOnly -Mode Enforce -SentToScope NotInOrganization -MessageContainsDataClassification @{Name=" Contoso Customer Confidential"}
DLP 現在會偵測符合 Contoso Customer Form.docx 文件指紋的檔。
如需語法和參數資訊,請參閱:
- New-DlpFingerprint
- New-DlpSensitiveInformationType
- Remove-DlpSensitiveInformationType
- Set-DlpSensitiveInformationType
- Get-DlpSensitiveInformationType
編輯、測試或刪除檔指紋
若要透過使用者介面執行此動作,請開啟您要編輯、測試或刪除的指紋 SIT,然後選擇適當的圖示。
若要透過PowerShell執行此動作,請 () 執行下列命令。
編輯文件指紋
>> Set-DlpSensitiveInformationType -Name "Fingerprint SIT" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"
測試文件指紋
>> $r = Test-DataClassification -TextToClassify "Credit card information Visa: 4485 3647 3952 7352. Patient Identifier or SSN: 452-12-1232"
>> $r.ClassificationResults
刪除檔案指紋
>> Remove-DlpSensitiveInformationType "Fingerprint SIT"
透過使用者介面使用指紋 SIT 移轉新的原則
- 流覽至 [數據分類>分類器]>[敏感性資訊類型]。
- 開啟包含您要移轉之指紋的 SIT。
- 選擇 [編輯]。
- 再次上傳相同的指紋檔案。
- 檢閱指紋設定 >完成。
使用 PowerShell 移轉指紋
輸入下列命令:
Set-DlpSensitiveInformationType -Name "Old Fingerprint" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"