Справочник по условиям и действиям Exchange для защиты от потери данных
Условия в политиках Защита от потери данных Microsoft Purview (DLP) определяют конфиденциальные элементы, к которым применяется политика. Действия определяют, что происходит в результате выполнения условия исключения.
- Условия определяют, что следует включить
- Действия определяют, что происходит в результате выполнения условия
Большинство условий имеют одно свойство, которое поддерживает одно или несколько значений. Например, если политика защиты от потери данных применяется к сообщениям электронной почты Exchange, для условия "Отправитель " требуется отправитель сообщения. У некоторых условий есть два свойства. Например, для условия Заголовок сообщения включает любое из этих слов необходимо указать в одном свойстве поле заголовка сообщения, а в другом искомый текст. У некоторых условий и исключений нет свойств. Например, условие Вложение защищено паролем , просто ищет вложения в сообщениях, защищенных паролем.
Действия обычно требуют дополнительных свойств. Например, если правило политики защиты от потери данных перенаправляет сообщение, необходимо указать, куда будет перенаправлено сообщение.
Совет
Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.
Условия обмена для политик защиты от потери данных
В таблицах в следующих разделах описаны условия и исключения, доступные в DLP.
Отправители
Если в качестве условия используется адрес отправителя, фактическое поле, в котором ищется значение, зависит от настроенного расположения адреса отправителя. По умолчанию правила защиты от потери данных используют адрес заголовка в качестве адреса отправителя.
На уровне клиента можно настроить расположение адреса отправителя, которое будет использоваться во всех правилах, если только это не переопределено одним правилом. Чтобы настроить конфигурацию политики защиты от потери данных клиента для оценки адреса отправителя из конверта во всех правилах, можно выполнить следующую команду:
Set-PolicyConfig -SenderAddressLocation Envelope
Чтобы настроить расположение адреса отправителя на уровне правила защиты от потери данных, параметром является SenderAddressLocation. Ниже представлены возможные значения.
Заголовок: проверяет только отправителей в заголовках сообщений (например, поля "От", "Отправитель" или "Ответить на"). Это значение используется по умолчанию.
Конверт. Проверьте только отправителей из конверта сообщения (значение MAIL FROM , которое использовалось при передаче SMTP, которое обычно хранится в поле Return-Path ).
Заголовок или конверт (
HeaderOrEnvelope) Проверьте отправителей в заголовке сообщения и конверте сообщения.
| Условие или исключение в DLP | Параметры условия и исключения в PowerShell для соответствия требованиям безопасности & | Тип свойства | Описание |
|---|---|---|---|
| Отправитель — | Условие: От Исключение: ExceptIfFrom |
Addresses | Сообщения, отправляемые указанными почтовыми ящиками, почтовыми пользователями, почтовыми контактами или группами Microsoft 365 в организации. |
| Отправитель входит в группу | Условие: FromMemberOf Исключение: ExceptIfFromMemberOf |
Addresses | Сообщения, отправленные членом указанной группы рассылки, группы безопасности с поддержкой почты или группы Microsoft 365. |
| IP-адрес отправителя | Условие: SenderIPRanges Исключение: ExceptIfSenderIPRanges |
IPAddressRanges | Сообщения, IP-адрес отправителя которых совпадает с указанным IP-адресом или находится в указанном диапазоне IP-адресов. |
| Адрес отправителя содержит слова | Условие: FromAddressContainsWords Исключение: ExceptIfFromAddressContainsWords |
Words | Сообщения, электронный адрес отправителя которых содержит указанные слова. |
| Адрес отправителя соответствует шаблонам | Условие: FromAddressMatchesPatterns Исключение: ExceptIfFromAddressMatchesPatterns |
Patterns | Сообщения, электронный адрес отправителя которых содержит текстовые шаблоны, соответствующие указанным регулярным выражениям. |
| Домен отправителя — | Условие: SenderDomainIs Исключение: ExceptIfSenderDomainIs |
DomainName | Сообщения, в которых домен электронного адреса отправителя совпадает с указанным значением. Если необходимо найти домены отправителя, содержащие указанный домен (например, любой поддомен домена), используйте условие Соответствие адреса отправителя (FromAddressMatchesPatterns) и укажите домен с помощью синтаксиса : '\.domain\.com$'. |
| Область отправителя | Условие: FromScope Исключение: ExceptIfFromScope |
UserScopeFrom | Сообщения, отправляемые внутренними или внешними отправителями. |
| Указанные свойства отправителя включают любое из этих слов | Условие: SenderADAttributeContainsWords Исключение: ExceptIfSenderADAttributeContainsWords |
Первое свойство: ADAttribute Второе свойство: Words |
Сообщения, в которых указанный атрибут Microsoft Entra ID отправителя содержит любое из указанных слов. |
| Указанные свойства отправителя совпадают с этими текстовыми шаблонами | Условие: SenderADAttributeMatchesPatterns Исключение: ExceptIfSenderADAttributeMatchesPatterns |
Первое свойство: ADAttribute Второе свойство: Patterns |
Сообщения, в которых указанный атрибут Microsoft Entra ID отправителя содержит текстовые шаблоны, соответствующие указанным регулярным выражениям. |
Recipients
Если сообщение электронной почты отправляется нескольким получателям, а правила политики защиты от потери данных разрешают доставку только некоторых из них, сообщение может быть раздвоен. Например, предположим, что правила политики защиты от потери данных разрешают отправку сообщений электронной почты на адреса в организации и не позволяют отправлять сообщения на внешние адреса электронной почты.
Существует несколько условий политики, которые вызывают бифуркацию; что позволяет отправлять сообщения электронной почты некоторым пользователям, но не другим пользователям. Дополнительные сведения о бифуркации и о том, как работает бифуркация, см. в статье о бифуркации.
| Условие или исключение в DLP | Параметры условия и исключения в PowerShell для соответствия требованиям безопасности & | Тип свойства | Описание | Раздвоение? |
|---|---|---|---|---|
| Получатель | Условие: SentTo Исключение: ExceptIfSentTo |
Addresses | Сообщения, в которых один из получателей является указанным почтовым ящиком, почтовым пользователем или почтовым контактом в организации. Получатели могут быть указаны в поле To, Cc или Bcc сообщения. | Да |
| Домен получателя | Условие: RecipientDomainIs Исключение: ExceptIfRecipientDomainIs |
DomainName | Сообщения, в которых домен адреса электронной почты получателя соответствует указанному значению. | Да |
| Адрес получателя содержит слова | Условие: AnyOfRecipientAddressContainsWords Исключение: ExceptIfAnyOfRecipientAddressContainsWords |
Words | Сообщения, электронный адрес получателя которых содержит указанные слова. Примечание. Это условие не учитывает сообщения, отправляемые на прокси-адреса получателя. Он соответствует только сообщениям, отправленным основной адрес электронной почты получателя. |
Нет |
| Адрес получателя соответствует шаблонам | Условие: AnyOfRecipientAddressMatchesPatterns Исключение: ExceptIfAnyOfRecipientAddressMatchesPatterns |
Patterns | Сообщения, электронный адрес получателя которых содержит текстовые шаблоны, соответствующие указанным регулярным выражениям. Примечание. Это условие не учитывает сообщения, отправляемые на прокси-адреса получателя. Он соответствует только сообщениям, отправленным основной адрес электронной почты получателя. |
Нет |
| Отправлено участнику | Условие: SentToMemberOf Исключение: ExceptIfSentToMemberOf |
Addresses | Сообщения, содержащие получателей, которые являются членами указанной группы рассылки, группы безопасности с поддержкой почты или группы Microsoft 365. Группа может быть указана в поле To, Cc или Bcc сообщения. | Да |
| Указанные свойства получателя содержат любое из следующих слов | Условие: RecipientADAttributeContainsWords Исключение: ExceptIfRecipientADAttributeContainsWords |
Первое свойство: ADAttribute Второе свойство: Words |
Сообщения, в которых указанный атрибут Microsoft Entra ID получателя содержит любое из указанных слов. Обратите внимание, что в атрибуте Country должен быть указан двухбуквенный код страны (например, DE для Германии). |
Да |
| Указанные свойства получателя соответствуют этим текстовым шаблонам | Условие: RecipientADAttributeMatchesPatterns ExceptIfRecipientADAttributeMatchesPatterns |
Первое свойство: ADAttribute Второе свойство: Patterns |
Сообщения, в которых указанный атрибут Entra ID получателя содержит текстовые шаблоны, соответствующие указанным регулярным выражениям. | Да |
| Получатель область или содержимое предоставляется совместно с | Условие: AccessScope Исключение: ExceptIfAccessScope |
UserScopeFrom | Сообщения, полученные внутренними или внешними получателями. | Да |
Тема или текст сообщения
| Условие или исключение в DLP | Параметры условия и исключения в PowerShell для соответствия требованиям безопасности & | Тип свойства | Описание |
|---|---|---|---|
| Тема содержит слова или фразы | Условие: SubjectContainsWords Исключение: ExceptIf SubjectContainsWords |
Words | Сообщения, в которых поле Subject содержит указанные слова. Это условие имеет ограниченную поддержку многобайтовых символов, отличных от английского языка. |
| Тема соответствует шаблонам | Условие: SubjectMatchesPatterns Исключение: ExceptIf SubjectMatchesPatterns |
Patterns | Сообщения, в которых поле Subject содержит текстовые шаблоны, соответствующие указанным регулярным выражениям. |
| Содержимое содержит | Условие: ContentContainsSensitiveInformation Исключение: ExceptIfContentContainsSensitiveInformation |
SensitiveInformationTypes | Сообщения или документы, содержащие конфиденциальную информацию, как определено политиками Защита от потери данных Microsoft Purview (DLP). |
| Содержимое не помечено | Условие: ContentIsNotLabeled Exception:ExceptIfContentIsNotLabeled |
Метки конфиденциальности | Сообщения, в которых ни сообщение электронной почты, ни вложенные документы не содержат меток конфиденциальности, как определено политиками Защита от потери данных Microsoft Purview (DLP). |
| Шаблон соответствия теме или тексту | Условие: SubjectOrBodyMatchesPatterns Исключение: ExceptIfSubjectOrBodyMatchesPatterns |
Patterns | Сообщения, в которых поле темы или текст сообщения содержат текстовые шаблоны, соответствующие указанным регулярным выражениям. |
| Тема или текст содержит слова | Условие: SubjectOrBodyContainsWords Исключение: ExceptIfSubjectOrBodyContainsWords |
Words | Сообщения с указанными словами в поле темы или тексте сообщения. Это условие имеет ограниченную поддержку многобайтовых символов, отличных от английского языка. |
Вложения
| Условие или исключение в DLP | Параметры условия и исключения в PowerShell для соответствия требованиям безопасности & | Тип свойства | Описание |
|---|---|---|---|
| Вложение защищено паролем | Условие: DocumentIsPasswordProtected Исключение: ExceptIfDocumentIsPasswordProtected |
Нет | Сообщения с вложениями, защищенными паролем (такие файлы нельзя проверить). Обнаружение паролей работает для документов Office, сжатых файлов (.zip, .7z) и .pdf файлов. |
| Расширение вложенного файла | Условие: ContentExtensionMatchesWords Исключение: ExceptIfContentExtensionMatchesWords |
Words | Сообщения, в которых расширение файла вложения совпадает с любым из указанных свойств. |
| Не удалось проверить содержимое любого вложения электронной почты | Условие: DocumentIsUnsupported Исключение: ExceptIf DocumentIsUnsupported |
Н/Д | Сообщения, в которых вложение изначально не распознается Exchange Online. |
| Проверка содержимого любого вложения электронной почты не завершена | Условие: ProcessingLimitExceeded Исключение: ExceptIfProcessingLimitExceeded |
Н/Д | Сообщения, для которых обработчику правил не удалось завершить сканирование вложений. С помощью этого условия можно создавать правила, которые совместно определяют и обрабатывают сообщения, содержимое которых не полностью прошло сканирование. |
| Имя документа содержит слова | Условие: DocumentNameMatchesWords Исключение: ExceptIfDocumentNameMatchesWords |
Words | Сообщения, в которых имя файла вложения соответствует любому из указанных слов, разделенных между началом имени, любым небукенно-цифровым символом или концом имени. |
| Имя документа соответствует шаблонам | Условие: DocumentNameMatchesPatterns Исключение: ExceptIfDocumentNameMatchesPatterns |
Patterns | Сообщения, в которых имя файла вложения содержит текстовые шаблоны, соответствующие указанным регулярным выражениям. Эта поддержка прекращена для рабочих нагрузок SharePoint и OneDrive. Существующие правила нельзя изменить и создать новые правила. Существующие клиенты могут продолжать использовать это условие. |
| Свойство документа | Условие: ContentPropertyContainsWords Исключение: ExceptIfContentPropertyContainsWords |
Words | Сообщения с документами, в которых пользовательское свойство вложения соответствует заданному значению. |
| Размер документа равен или больше | Условие: DocumentSizeOver Исключение: ExceptIfDocumentSizeOver |
Размер | Сообщения, содержащие вложения, размер которых равен заданному или превышает его. |
| Вложение содержит любое из этих слов | Условие: DocumentContainsWords Исключение: ExceptIfDocumentContainsWords |
Words | Сообщения, вложения которых содержат указанные слова. |
| Все вложения соответствуют этим текстовым шаблонам | Условие: DocumentMatchesPatterns Исключение: ExceptIfDocumentMatchesPatterns |
Patterns | Сообщения, вложения которых содержат текстовые шаблоны, соответствующие указанным регулярным выражениям. |
Заголовки сообщения
| Условие или исключение в DLP | Параметры условия и исключения в PowerShell для соответствия требованиям безопасности & | Тип свойства | Описание |
|---|---|---|---|
| Заголовок содержит слова или фразы | Условие: HeaderContainsWords Исключение: ExceptIfHeaderContainsWords |
Хэш-таблица | Сообщения, которые содержат указанное поле заголовка. Значение этого поля содержит указанные слова. |
| Заголовок соответствует шаблонам | Условие: HeaderMatchesPatterns Исключение: ExceptIfHeaderMatchesPatterns |
Хэш-таблица | Сообщения, которые содержат указанное поле заголовка. Значение этого поля содержит указанные регулярные выражения. |
Свойства сообщений
| Условие или исключение в DLP | Параметры условия и исключения в PowerShell для соответствия требованиям безопасности & | Тип свойства | Описание |
|---|---|---|---|
| С важностью | Условие: WithImportance Исключение: ExceptIfWithImportance |
Importance | Сообщения, помеченные указанным уровнем важности. |
| Набор символов содержимого содержит слова | Условие: ContentCharacterSetContainsWords Исключение: ExceptIfContentCharacterSetContainsWords |
Наборы символов | Сообщения с какими-либо из указанных кодировок. |
| Имеет переопределение отправителя | Условие: HasSenderOverride Исключение: ExceptIfHasSenderOverride |
Н/Д | Сообщения, в которых отправитель решил переопределить политику защиты от потери данных (DLP). Дополнительные сведения см. в статье Сведения о защите от потери данных. |
| Тип сообщения соответствует | Условие: MessageTypeMatches Исключение: ExceptIfMessageTypeMatches |
MessageType | Сообщения указанного типа. Примечание. Доступные типы сообщений: "Автоматический ответ", "Автоадресация", "Зашифровано" (S/MIME), "Календарь", "Управление разрешениями" (управление правами), "Голосовая почта", "Подпись", "Получение на чтение" и "Запрос утверждения". |
| Размер сообщения превышает или равен | Условие: MessageSizeOver Исключение: ExceptIfMessageSizeOver |
Размер | Сообщения, общий размер которых (сообщение и вложения) равен заданному или превышает его. Примечание. Ограничения на размер сообщений в почтовых ящиках оцениваются перед правилами потока обработки почты. Сообщение, слишком большое для почтового ящика, будет отклонено до того, как правило с этим условием сможет действовать с сообщением. |
Действия для политик защиты от потери данных
В этой таблице описаны действия, доступные в DLP.
| Действие в защите от потери данных | Параметры действий в PowerShell для соответствия требованиям безопасности & | Тип свойства | Описание |
|---|---|---|---|
| Ограничение доступа или шифрование содержимого в расположениях Microsoft 365 | BlockAccess | Первое свойство: Boolean Второе свойство: BlockAccessScope |
Это позволяет заблокировать доступ или зашифровать содержимое для указанных пользователей с помощью шаблонов RMS. |
| Задать заголовок | SetHeader | Первое свойство: имя заголовка Второе свойство: значение заголовка |
Параметр SetHeader задает действие для правила защиты от потери данных, которое добавляет или изменяет поле заголовка и значение в заголовке сообщения. Синтаксис этого параметра: "HeaderName:HeaderValue". Можно указать несколько пар имени заголовка и значения, разделенных запятыми. |
| Удаление заголовка | RemoveHeader | Первое свойство: MessageHeaderField Второе свойство: String |
Параметр RemoveHeader указывает действие для правила защиты от потери данных, которое удаляет поле заголовка из заголовка сообщения. Этот параметр использует синтаксис HeaderName или "HeaderName:HeaderValue. Можно указать несколько имен заголовков или пары имени заголовка и значения, разделенные запятыми. |
| Перенаправление сообщения определенным пользователям | RedirectMessageTo | Addresses | Перенаправляет сообщение указанным получателям. Сообщение не доставлено исходным получателям, при этом никакие уведомления не отправляются ни отправителю, ни исходным получателям. |
| Пересылать сообщение для утверждения руководителю отправителя | Умеренно | Первое свойство: ModerateMessageByManager Второе свойство: логическое $true |
Параметр Moderate указывает действие для правила защиты от потери данных, которое отправляет сообщение электронной почты модератору (руководителю пользователя или указанным утверждающим). Чтобы переслать сообщение руководителю пользователя для утверждения, используйте следующий синтаксис: @{ModerateMessageByManager = $true} |
| Пересылка сообщения для утверждения определенным утверждателям | Умеренно | Первое свойство: ModerateMessageByManager Второе свойство: логическое $false Третье свойство: ModerateMessageByUser Четвертое свойство: Адреса |
Параметр Moderate указывает действие для правила защиты от потери данных, которое отправляет сообщение электронной почты модератору (руководителю пользователя или указанным утверждающим). Чтобы перенаправить сообщение указанным получателям для утверждения, используйте следующий синтаксис: @{ModerateMessageByManager = $false; ModerateMessageByUser = @("emailaddress1","emailaddress2",..."emailaddressN")} |
| Добавление получателя | AddRecipients | Первое свойство: Field Второе свойство: Адреса |
Добавляет одного или нескольких получателей в поле Кому/Копия/СК сообщения. Этот параметр использует синтаксис: @{<AddToRecipients \<CopyTo \| BlindCopyTo\> = "emailaddress"} |
| Добавление диспетчера отправителя в качестве получателя | AddRecipients | Первое свойство: AddedManagerAction Второе свойство: Field |
Добавляет руководителя отправителя к сообщению в качестве получателя указанного типа (To, Cc, Bcc) или перенаправляет сообщение руководителю отправителя, не уведомляя ни отправителя, ни получателя. Это действие работает только в том случае, если атрибут отправителя Manager определен в Microsoft Entra ID. Этот параметр использует синтаксис: @{AddManagerAsRecipientType = "\<To \| Cc \| Bcc\>"} |
| Тема prepend | PrependSubject | String | Добавляет указанный текст в начало поля Subject сообщения. Рекомендуем добавить пробел или двоеточие (:) в конце указанного текста, чтобы отделить его от исходного текста темы. Чтобы предотвратить добавление одной и той же строки в сообщения, которые уже содержат текст темы (например, ответы), добавьте в правило исключение Тема содержит слова ( ExceptIfSubjectContainsWords). |
| Применение html-заявления об отказе от ответственности | ApplyHtmlDisclaimer | Первое свойство: Text Второе свойство: Расположение Третье свойство: резервное действие |
Применяет указанное html-заявление об отказе от ответственности к требуемому расположению сообщения. Этот параметр использует синтаксис: @{Text = " " ; Location = \<Append \| Prepend\>; FallbackAction = \<Wrap \| Ignore \| Reject\>} |
| Удаление шифрования сообщений и защиты прав | RemoveRMSTemplate | Н/Д | Удаляет шифрование сообщений, примененное к электронной почте |
| Применение фирменной символики к зашифрованным сообщениям | ApplyBrandingTemplate | String | Параметр ApplyBrandingTemplate задает действие для правила защиты от потери данных, которое применяет пользовательский шаблон фирменной символики для сообщений, зашифрованных Шифрование сообщений Microsoft Purview. Настраиваемый шаблон фирменной символики определяется по имени. Если имя содержит пробелы, его необходимо заключить в кавычки ("). |
| Заставить внешних получателей открывать почту на портале зашифрованных сообщений | EnforcePortalAccess | Boolean | Параметр EnforcePortalAccess определяет, должны ли внешние пользователи использовать портал зашифрованных сообщений для просмотра зашифрованных сообщений. |
| Доставка сообщения в размещенный карантин | Карантин | н/д | Доставляет сообщение в карантин в Exchange Online Protection (EOP). Дополнительные сведения см. в разделе Сообщения электронной почты, помещенные в карантин в EOP. |
| Изменение темы | ModifySubject | PswsHashTable | Удалите текст из строки темы, которая соответствует определенному шаблону, и замените его другим текстом. См. пример ниже. Варианты действий: - Замените все совпадения в теме текстом замены - Добавление , чтобы удалить все совпадения в теме, и вставить замещающий текст в конце темы. - Перед удалением всех совпадений и вставка замещающего текста в начале темы. Дополнительные сведения см. в описании параметра ModifySubject в справочной статье New-DlpComplianceRule . |