内部风险管理的限制
重要
Microsoft Purview 内部风险管理关联各种信号,以识别潜在的恶意或无意内部风险,例如 IP 盗窃、数据泄露和安全违规。 内部风险管理使客户能够创建策略来管理安全性和合规性。 根据设计而构建的隐私,默认情况下,用户将化名化,并且基于角色的访问控制和审核日志已到位,以帮助确保用户级别的隐私。
内部风险管理使用以下内置限制来优化用户体验。
项目限制
下表按产品区域提供限制。
全局设置
| 项目 | 限制 |
|---|---|
| 回溯期限制 (Exchange Online) | 10 天 |
| 所有其他信号的回溯期限制 | 90 天 |
| 每个全局排除列表中 (域、SharePoint 网站、文件路径、关键字和文件类型) 的最大项目数 | 每个列表有 500 个 |
| 检测组中的最大项数 | 200 |
| 自定义指示器的最大数目 | 10 |
| 每个自定义指示器的最大字段数 | 20 |
| 每个指示器的最大变体数 | 3 |
| 可添加到优先级用户组的最大用户数 | 10K |
每个 UTC 日历日) 的触发器 (
| 项目 | 限制 |
|---|---|
| 从 Microsoft Entra ID 中删除的用户帐户 | 15K |
| 通过 HR 连接器收集的所有信号 | 15K |
| 自定义指示器 | 15K |
| 所有其他触发器 | 5K |
| 组织的最大触发器量 | 50K |
注意
每个触发器类型都存在限制。
策略模板范围内的最大用户数
| 模板名称 | 限制 |
|---|---|
| 离职用户窃取数据 | 20K |
| 数据泄漏 | 15K |
| 优先用户的数据泄露 | 1K |
| 风险用户的数据泄漏 | 7.5K |
| 预览) (安全策略冲突 | 1K |
| 患者数据滥用 (预览) | 5K |
| 有风险的浏览器使用 (预览版) | 7K |
| 离职用户的安全策略违规活动(预览) | 15K |
| 优先用户的安全策略违规活动(预览) | 1K |
| 风险用户违反安全策略 (预览版) | 7.5K |
| 法医证据 | 无限制 |
注意
可以添加到策略的最大用户数没有限制。 此限制适用于策略模板 范围内的 用户, (触发事件) 后引入范围内的用户。
其他策略限制
| 项目 | 限制 |
|---|---|
| 每个模板类型可以创建的最大策略数 | 20 |
| 优先级站点的最大数目 | 50 |
| 优先级敏感度标签的最大数目 | 50 |
| 优先级敏感信息类型的最大数目 | 50 |
| 优先级文件扩展名的最大数目 | 50 |
| 可训练的优先级分类器的最大数目 | 5 |
自适应保护
|每个风险级别可以限定为 DLP 策略的最大用户数|10,000 |
手动用户评分
| 项目 | 限制 |
|---|---|
| 可手动评分的最大用户数 | 4K |
例
| 项目 | 限制 |
|---|---|
| 活动事例的最大数目 | 100 |
出口
| 项目 | 限制 |
|---|---|
| 可从“用户”页导出的最大 用户 数 | 1000 |
| 可从“警报”页导出的最大 警报 数 | 1000 |
| 可从活动资源管理器导出到 CSV 文件的最大日志数 | 100K |
警报、事例和关联项目的保留限制
随着内部风险管理警报的老化,它们对将潜在风险活动降至最低的价值对于大多数组织来说都会降低。 相反,活动案例和关联项目 (警报、见解、活动) 始终对组织有价值,不应具有自动到期日期。 这包括与活动案例关联的任何用户处于活动状态的所有未来警报和项目。
为了帮助最大程度地减少提供有限当前值的旧项目数,以下保留限制适用于内部风险管理警报、案例和用户报告:
| 项目 | 保留期 |
|---|---|
| 具有“需要”评审状态的警报 | 创建警报后 120 天,然后自动删除 |
| 活动案例 (和关联的项目) | 无限期保留,永不过期 |
| 已解决 (和关联的项目) 事例 | 从案例解决起 120 天,然后自动删除 |
| 用户活动报告 | 创建报表后 120 天,然后自动删除 |
连接器
| 项目 | 限制 |
|---|---|
| JSON 文件中可由 API 处理的最大记录数 | 50K |