通过

智能 Microsoft 365 Copilot 副驾驶® E5 + SAM 许可证的管理员指南

  • 项目
  • 适用于:
    ✅ Microsoft 365 Copilot

为组织准备智能 Microsoft 365 Copilot 副驾驶®或准备好开始使用 Copilot 时,E5 + SAM 许可证中的一些功能可帮助准备好数据。

当用户输入提示时,Copilot 可以响应用户有权访问的数据。 过度共享和过时的数据可能会导致 Copilot 的结果不准确。

本文为具有 Microsoft 365 E5SharePoint 高级管理 (SAM) 许可证的 IT 管理员提供指导。 借助这些许可证中包含的功能,可以:

  • 使用 SharePoint 高级管理 (SAM) 来帮助防止过度共享、整理数据源并监视 SharePoint 网站更改。
  • 使用 Microsoft Purview 启用敏感度标签、识别和保护敏感数据、限制终结点以及删除不需要的内容。

若要了解详细信息,watch企业规模上的过度共享控制 (打开 YouTube 的网站) 。

使用本文中所述的功能时,组织可以更好地为 Copilot 做好准备,包括从 Copilot 获取更准确的结果。

本文适用于:

  • Microsoft 365 Copilot
  • Microsoft SharePoint 高级版 - SharePoint 高级管理 (SAM)
  • Microsoft Purview

注意

如果你有 E3 许可证,请参阅 E3 许可证智能 Microsoft 365 Copilot 副驾驶®管理员指南。 有关许可证中功能的比较,请参阅比较 E3 和 E5 许可证中的Microsoft Copilot功能

开始之前

SharePoint 管理员任务 - 使用 SharePoint 高级管理 (SAM) 功能

SharePoint 高级管理 (SAM) 中的一些功能可以帮助你为 Copilot 做好准备。

使用 SAM 实现目标

  • 通过查找和删除非活动 SharePoint 网站来清理数据源。
  • 识别包含过度共享或敏感内容的 SharePoint 网站。
  • 使用策略限制对业务关键或具有敏感内容的 SharePoint 网站的访问。
  • 监视站点更改。

本部分将引导你完成不同的 SAM 功能,这些功能可帮助你为 Copilot 准备组织和数据。

若要了解有关 SAM + Copilot 的详细信息,请参阅 使用 SharePoint 高级管理为 Copilot 做好准备

确保所有网站都有有效的所有者

运行 网站所有权策略 ,以查找任何没有至少两个所有者的网站

网站所有权策略会自动检测没有至少两个所有者的网站,并且可以帮助查找潜在所有者。 在模拟模式下设置策略,以根据所需的条件标识所有者。 然后,将策略升级到“活动”模式,以启用向网站所有者候选人发送通知。

你需要网站所有者帮助确认网站仍然处于活动状态,执行 网站访问评审,更新内容权限,并在需要时控制访问权限。

  1. SharePoint 管理员 身份登录到 SharePoint 管理中心。
  2. 展开 “策略> ”,选择“ 站点生命周期管理”。
  3. 选择“ 创建策略”,输入参数,然后完成策略。
  4. 策略运行时,报表会显示不符合的站点数。 还可以下载报表。

若要了解有关此策略和报告的详细信息,请参阅 网站所有权策略

查找和清理非活动站点

创建用于查找非活动站点的站点生命周期管理策略

网站生命周期管理策略会自动检测非活动站点,并向网站所有者发送通知电子邮件。 使用电子邮件时,网站所有者可以确认网站仍然处于活动状态。

Copilot 可以在用户提示中显示来自这些非活动站点的数据,这可能会导致 Copilot 结果不准确和混乱。

该策略还会创建一个可以下载和查看的报告。 报表显示非活动站点、上次活动日期和电子邮件通知状态。

  1. SharePoint 管理员 身份登录到 SharePoint 管理中心。
  2. 展开 “策略> ”,选择“ 站点生命周期管理”。
  3. 选择“ 创建策略”,输入参数,然后完成策略。
  4. 当策略运行并找到非活动站点时,策略会自动向网站所有者发送电子邮件。 网站所有者应确认网站是否仍然处于活动状态。
  5. 如果网站所有者确认不需要站点,则使用 SAM 将非活动网站置于 只读模式,或将站点移动到 Microsoft 365 存档与 SAM

若要详细了解此策略和报表,请参阅 站点生命周期管理策略

管理非活动 SharePoint 网站的最佳做法

  • 使用策略执行报告 跟踪网站所有者操作状态以响应通知。
  • 选择“获取 AI 见解”按钮,获取为报表生成的 AI 见解 ,以帮助你识别网站问题以及解决这些问题的可能操作。
  • 为网站所有者提供完成这些任务的时间线。 如果他们未在时间范围内完成任务,则可以使用 SAM 非活动网站 - 存档功能将站点移动到 Microsoft 365 存档,以便稍后根据需要对其进行反应。

此操作有助于减少使 Copilot 数据源混乱的过时内容,从而提高 Copilot 响应的准确性。

提示

移动到 Microsoft 365 存档的网站不再可供组织中的任何人在 Microsoft Purview 或管理员搜索之外访问。 在响应用户提示时,Copilot 不会包含这些网站中的内容。

识别包含过度共享或敏感内容的网站

在 SharePoint 管理中心 ) 报表 (DAG 运行数据访问治理

DAG 报告提供有关 SharePoint 网站上的网站共享链接、敏感度标签和 Everyone except external users (EEEU) 权限的详细信息。 使用这些报表查找过度共享的网站。

过度共享网站是与所需人员共享的网站。 Copilot 可以在响应中显示来自这些站点的数据。

  1. SharePoint 管理员 身份登录到 SharePoint 管理中心。

  2. 选择“ 报表>”“数据访问治理”。 报表选项:

    报告 说明 任务
    共享链接 显示具有共享链接的网站,包括与任何人共享的链接、与组织中的人员共享的链接,以及与工作或学校以外的特定人员共享的链接。 查看这些网站。

    确保仅与需要访问权限的用户或组共享网站。 删除不需要的用户和组的共享。
    应用于文件的敏感度标签 显示具有具有敏感度标签的 Office 文件的网站。 查看这些网站。

    确保应用了正确的标签。 根据需要更新标签。 若要了解详细信息,请参阅本文) 中的 标识和标记敏感数据 (。
    Everyone except external users (EEEU) 共享 显示与组织中除外部用户以外的所有人共享的网站。 查看这些网站。

    确定 EEEU 权限是否合适。 许多具有 EEEU 的站点是过度共享的。 删除 EEEU 权限,并根据需要分配给用户或组。
    网站、OneDrive 和文件的过度共享基线报表 扫描租户中的所有网站,并列出与指定数量以上的用户共享内容的网站, (指定) 。 对报表进行排序、筛选或下载,并识别具有可能过度共享内容的网站。

可以单独运行其中任何一个报表,也可以一起运行所有这些报表。 若要详细了解这些报表,请参阅 数据访问治理 (DAG) 报表

管理 DAG 报表的最佳做法

  • 每周运行这些报告,尤其是在采用 Copilot 的开始阶段。 随着对报表和数据越来越熟悉,可以调整频率。

    如果你有一个管理团队,请创建一个管理员任务来运行这些报表并查看数据。

    你的组织正在为运行这些报表并使用数据做出决策的许可证付费。 确保充分利用它。

  • 选择“获取 AI 见解” 以生成一个报告,以帮助你识别网站的问题以及解决这些问题的可能操作。

控制对过度共享 SharePoint 网站的访问

为网站所有者启动网站访问评审

在“数据访问治理 (DAG) 报表”中,可以选择存在过度共享风险的站点。 然后,启动站点访问评审。 网站所有者会收到需要注意的每个网站的通知。 他们可以使用“网站评审”页来跟踪和管理多个评审请求。

网站所有者评审两个main区域的访问权限:SharePoint 组和单个项目。 他们可以确定是否适合广泛共享,或者网站是否过度共享,需要修正。

如果网站所有者确定内容过度共享,他们可以使用访问评审仪表板更新权限。

在 SharePoint 管理中心使用受限访问控制策略 (RAC)

受限访问控制策略限制对具有过度共享内容的网站的访问。 它可以将 SharePoint 网站和内容的访问限制为特定组中的用户。 不在组中的用户无法访问网站或其内容,即使他们以前具有权限或共享链接。

当组中的用户对内容具有权限时,该内容可以在 Copilot 结果中显示。 不在组中的用户不会在其 Copilot 结果中看到此信息。 可以为单个网站或 OneDrive 设置受限的访问控制。

在 SharePoint 管理中心使用受限内容可发现性策略 (RCD)

RCD) (受限内容可发现性策略不会更改网站访问权限。 相反,它会更改网站的内容可发现性。 将 RCD 应用于网站时,所有用户的 Copilot 或组织范围的搜索结果无法发现网站的内容。

SharePoint 管理员可以在单个网站上设置受限的内容可发现性。

控制对过度共享 SharePoint 网站的访问的最佳做法

  • 如果组织具有零信任思维模式,则可以将受限访问控制 (RAC) 应用到所有站点。 然后,根据需要调整权限。 如果有多个网站,此操作可帮助你快速保护站点。 但是,它可能会对用户造成干扰。

  • 如果使用 RAC 或 RCD,请确保传达更改和更改的原因。

提示

对于业务关键型站点,还可以:

监视更改

在 SharePoint 管理中心运行更改历史记录报表

更改历史记录报告跟踪和监视更改,包括更改的内容、发生更改的时间以及发起更改的人员。 目的是确定最近的更改,这些更改可能导致过度共享,从而影响 Copilot 结果。

使用此报表可以查看对 SharePoint 网站和组织设置所做的更改。

  1. SharePoint 管理员 身份登录到 SharePoint 管理中心。

  2. 展开 “报表> ”,选择“ 更改历史记录>”“新建报表”。

  3. 报表选项:

    报告 说明 任务
    网站设置报告 显示网站管理员和 SharePoint 管理员运行的网站属性更改和操作。 查看更改和操作。 确保操作符合安全要求。
    组织设置报表 显示对组织设置所做的更改,例如创建网站时以及是否启用了外部共享。 查看更改和操作。 确保更改符合安全要求。

管理更改历史记录报表的最佳做法

  • 每周运行这些报告,尤其是在采用 Copilot 的开始阶段。 随着对报表和数据越来越熟悉,可以调整频率。

    如果你有一个管理团队,请创建一个管理员任务来运行这些报表并查看数据。

    你的组织正在为运行这些报表并使用数据做出决策的许可证付费。 确保充分利用它。

  • 网站级别更改和组织级别更改创建报表。 网站级别报表显示对网站属性和操作所做的更改。 组织级别报表显示对组织设置所做的更改。

  • 查看共享设置和访问控制设置。 确保更改符合安全要求。 如果它们不一致,请与网站所有者一起更正设置。

  • 受限访问控制 (RAC) 应用于看似过度共享的网站。 通知网站所有者更改及其原因。

    如果你的组织具有零信任思维模式,则可以将 RAC 应用于所有网站。 然后,根据需要调整权限。 如果有多个网站,此操作可帮助你快速保护站点。 但是,它也可能对用户造成中断。 请确保传达更改和更改原因。

SharePoint 管理员任务 - 限制 sharePoint 搜索 (RSS)

Copilot 目标:禁用 RSS

准备好使用 Copilot 时,请查看并配置 SharePoint 网站上的正确权限。 你可能已启用受限 SharePoint 搜索 (RSS) 。

RSS 是一种临时解决方案,可让你有时间查看和配置 SharePoint 网站上的正确权限。 将审阅 & 更正的网站添加到允许列表。

  • 如果 SharePoint 网站权限设置正确,请禁用 RSS。

    禁用后,SharePoint 搜索将访问您的所有 SharePoint 网站。 当用户输入提示时,Copilot 可以显示来自所有站点的数据,从而在响应中显示更相关和完整的信息。

    目标是禁用 RSS 并允许 SharePoint 搜索访问您的所有网站。 此操作可为 Copilot 提供更多数据,从而提高响应的准确性。

  • 如果启用了 RSS,则向允许列表添加更多站点。 最多可以向允许列表添加 100 个站点。 Copilot 可以在用户提示中显示允许的列表站点中的数据。

    请记住,目标是查看 & 在 SharePoint 网站上配置正确的权限,并禁用 RSS。

若要了解详细信息,请参阅:

禁用 RSS 并从允许列表中删除站点

  1. 使用 Set-SPOTenantRestrictedSearchMode PowerShell cmdlet 禁用 RSS。
  2. 使用 Remove-SPOTenantRestrictedSearchAllowedSite PowerShell cmdlet 从允许列表中删除站点。

若要了解有关这些 cmdlet 的详细信息,请参阅 使用 PowerShell 脚本进行受限 SharePoint 搜索

将站点添加到 RSS 允许列表

  1. 获取要添加到允许列表的网站列表。

    • 选项 1 - 使用“共享链接”报表

      1. SharePoint 管理员 身份登录到 SharePoint 管理中心。
      2. 选择“ 报表>”“数据访问治理>”“共享链接>”“查看报表”。
      3. 选择其中一个报表,例如 “任何人”链接。 此报表显示已创建的 任何人 链接数最多的网站列表。 这些链接允许任何人在不登录的情况下访问文件和文件夹。 这些网站是允许在租户/组织范围搜索中允许的候选网站。

    • 选项 2 - 使用活动网站的排序和筛选选项

      1. SharePoint 管理员 身份登录到 SharePoint 管理中心。

      2. 选择 “站点>”“活动站点”。

      3. 使用排序和筛选选项查找最活跃的网站,包括页面视图。 这些网站是允许在租户/组织范围的搜索中允许的候选网站。

        在 SharePoint 管理中心,选择“活动网站”,然后使用“所有网站”筛选器。

  2. 使用 Add-SPOTenantRestrictedSearchAllowedList PowerShell cmdlet 将站点添加到允许列表。

    若要了解有关此 cmdlet 的详细信息,请参阅 使用 PowerShell 脚本进行受限 SharePoint 搜索

Purview 管理员任务 - 使用 Microsoft Purview 功能

Microsoft Purview 中的一些功能可以帮助你为 Copilot 做好准备。

使用 Purview 实现目标

  • 标识和标记 Microsoft 365 中的敏感数据。
  • 检测和保护敏感信息,防止未经授权的共享或泄露。
  • 删除不需要的内容。
  • 在 Copilot 提示和响应中检测敏感数据和不合规内容。
  • 查看和分析 Copilot 提示和响应。

若要详细了解 Microsoft Purview 如何帮助你治理、保护和管理数据,请参阅 了解 Microsoft Purview

识别和标记敏感数据

创建并应用 敏感度标签 来保护数据

敏感度标签 是一种识别和分类组织数据的敏感度的方法,为数据添加额外的保护层。

当敏感度标签应用于项目(如文档和电子邮件)时,标签会直接为此数据添加保护。 因此,无论数据存储在何处,这种保护都保持不变。 当敏感度标签应用于容器(如 SharePoint 网站和组)时,标签会通过控制对存储数据的容器的访问来间接增加保护。 例如,隐私设置、外部用户访问以及从非托管设备进行访问。

敏感度标签还可能会影响 Copilot 结果,包括:

  • 标签设置包括保护操作,例如访问网站、可自定义的页眉和页脚以及加密。

  • 如果标签应用加密,则 Copilot 会检查用户的使用权限。 要使 Copilot 从该项目返回数据,必须向用户授予从中复制的权限。

  • 与 Copilot (称为 Business Chat) 的提示会话可以从不同类型的项目引用数据。 返回的结果中显示了敏感度标签。 最新响应显示 优先级最高的敏感度标签。

  • 如果 Copilot 从已标记的项创建新内容,则会自动继承源项目中的敏感度标签。

本部分将指导你完成创建和使用 Microsoft Purview 中的默认敏感度标签的步骤。 如果需要使用自己的标签名称和配置,请手动创建标签或编辑默认标签。 如果已创建自己的敏感度标签,则无法创建默认标签。

若要详细了解敏感度标签,请参阅:

1.创建默认敏感度标签

  1. 以管理员身份登录到 Microsoft Purview 门户 ,该门户位于 敏感度标签 - 权限中列出的其中一个组中。

  2. 选择“解决方案>DSPM”以获取 AI>概述

  3. “建议”部分中,选择“敏感度标签信息保护策略”。 此步骤创建默认标签及其策略。

  4. 若要查看或编辑默认标签,或者要创建自己的标签,请选择 “信息保护>敏感度标签”。 可能需要选择“ 刷新”。

具有默认敏感度标签时:

  • 标签有助于保护数据,并可能影响 Copilot 结果。
  • 用户可以开始手动将已发布的标签应用于其文件和电子邮件。
  • 管理员可以开始创建策略并配置自动将标签应用于文件和电子邮件的功能。

2. 为容器启用和配置敏感度标签

默认敏感度标签不包括组和网站的设置,这些设置允许您将敏感度标签应用于 SharePoint 或 Teams 网站或Microsoft Loop工作区。 容器中的项不继承敏感度标签。 相反,标签设置可以限制对容器的访问。 使用 Copilot 时,此限制提供额外的安全层。 如果用户无法访问网站或工作区,Copilot 无法代表该用户访问它。

例如,可以将隐私设置设置为 “专用”,这将站点访问权限限制为组织中已批准的成员。 当标签应用于网站时,它会替换以前的任何设置,并锁定它,只要应用了标签。 此功能比让任何人访问网站并允许用户更改设置更安全。 当只有已批准的成员可以访问数据时,它有助于防止 Copilot 可能访问的数据过度共享。

若要为组和站点配置任何标签设置,必须为租户启用此功能,然后同步标签。 此配置是一次性配置。 若要了解详细信息,请参阅 如何为容器启用敏感度标签和同步标签

然后,可以编辑敏感度标签,或专门为组和网站创建新的敏感度标签:

  1. 对于敏感度标签范围,请选择“组 &网站”。 请记住,必须已运行 PowerShell 命令。 如果未选择,则无法选择此范围。

  2. 选择要配置的设置分组。 某些设置在强制实施之前具有后端依赖项,例如必须已配置的条件访问。 隐私设置(包含在 隐私和外部用户访问设置中)没有任何后端依赖项。

  3. 配置要使用的设置并保存更改。

有关详细信息,包括可为组和网站配置的所有可用标签设置的详细信息,请参阅 使用敏感度标签保护 Microsoft Teams 中的内容、Microsoft 365 组和 SharePoint 网站

3. 发布标签并培训用户

  1. 如果使用默认敏感度标签,则标签会自动发布到所有用户,即使编辑标签也是如此。

    如果创建了自己的敏感度标签,则必须将标签添加到发布策略。 发布后,用户可以在其 Office 应用中手动应用标签。 对于包含组 &网站范围的标签,用户可以将这些标签应用于新的和现有的网站、团队和Loop工作区。 发布策略还具有需要考虑的设置,例如默认标签和要求用户标记其数据。

    若要了解详细信息,请参阅 通过创建标签策略发布敏感度标签

  2. 指导用户何时应用每个敏感度标签。

    除了手动应用标签外,默认标签策略还包括将 “常规”\“所有员工” (不受限制) 标签作为项目的默认标签。 此标签提供基础层保护。 但是,用户应根据需要更改标签,尤其是需要加密的敏感内容。

    若要帮助你完成此步骤,请参阅 敏感度标签的最终用户文档

  3. 监视标签。 选择 “信息保护>报告”。 可以看到标签的使用情况。

4.为 SharePoint 和 OneDrive 中的文件启用敏感度标签

此步骤是启用 SharePoint 和 OneDrive 敏感度标签所需的一次性配置。 智能 Microsoft 365 Copilot 副驾驶®访问存储在这些位置的加密文件也需要它。

与 SharePoint 和 OneDrive 的所有租户级配置更改一样,更改大约需要 15 分钟才能生效。 然后,用户可以在 Office web 版中选择敏感度标签,并且可以创建策略来自动标记这些位置中的文件。

方法有以下两种:

  • 选项 1:选择信息保护>敏感度标签。 如果看到以下消息,请选择“ 立即打开”:

    在 Microsoft Purview 信息保护 中,打开 SharePoint 和 OneDrive 的敏感度标签。

  • 选项 2:使用 [Set-SPOTenant](/powershell/module/sharepoint-online/set-spotenant) Windows PowerShell cmdlet。

若要了解有关此配置的详细信息,请参阅 在 SharePoint 和 OneDrive 中为文件启用敏感度标签

提示

虽然与 Copilot 无关,但现在是 为加密文件启用共同创作(如果尚未启用)的好时机。 此设置可确保最佳的协作用户体验,并且可能是其他标记方案所必需的。

5. 为 SharePoint 文档库设置默认敏感度标签

默认标记策略配置为对未标记的文件、电子邮件和会议应用默认敏感度标签 “常规\所有员工 (不受限制) 。 你可能希望使用 SharePoint 文档库的基于位置的标签来替代该设置。 此标记方法将默认标签应用于文档库。

对于同一文档库中的文件,有两个自动标记选项:

库选项 何时使用此选项
选项 1 - 可以应用管理员定义的权限的默认敏感度标签, (“ 立即分配权限 ”加密选项) 或无加密。 建议用于新文档库以及存储通常具有相同已知敏感度级别的文件时。 对于例外情况,你希望用户能够选择不应用加密的替代标签。

所有没有敏感度标签并上传到库的新文件都将使用此库默认标签进行标记。
选项 2 - 保护下载的文件,并将 SharePoint 权限扩展到下载的文件副本。 若要为库配置此设置,必须使用用户定义的权限配置敏感度标签, (“允许用户分配权限 加密”选项) 。

目前处于预览状态,此配置需要在租户级别和站点级别使用 PowerShell 命令,然后才能选择敏感度标签。		 当你想要集中权限并在下载文件时继续保护文件时,建议用于新的和现有的文档库。 未检查文件内容的敏感度时,此选项适用。

如果无法为定义谁获得内容访问权限的标签配置用户和组权限,则此选项也适用。 在此方案中,业务所有者应使用 SharePoint 权限和访问管理功能来控制访问权限。 但是,此标签配置提供了更多的保护,因为文件的下载副本与其源副本的实时权限相同。

这两个选项都提供特定于文档库的基线级别保护,不需要内容检查,也不依赖于最终用户的操作。

SharePoint 网站管理员可以为文档库选择默认标签。

  1. 在 SharePoint 网站中,选择“ 文档>设置” 图标 >“库设置>”“更多库设置”。

  2. “默认敏感度标签 (将标签应用于此列表或库中的项) :

    a. 对于标准默认敏感度标签,从下拉框中选择适合库中大多数文件的敏感度标签。 它可以是为管理员定义的权限配置的敏感度标签,例如 机密 \ 所有员工。 或者,不应用加密的敏感度标签,例如 “公共”。 不要 在下载、复制或移动时选择“扩展保护”。

    b. 对于将保护扩展到已下载、复制或移动文件的默认敏感度标签,请在 下载、复制或移动时选择“扩展保护”。 然后,从下拉框中,选择为用户定义的权限配置的敏感度标签,例如“机密”\“受信任的人员”。

    注意

    在先决条件 PowerShell 命令完成之前,不会显示 “在下载、复制或移动时扩展保护 ”复选框。

  3. 单击“保存”以保存更改

若要了解详细信息,包括如何运行复选框的 PowerShell 命令、有关每个配置的标记结果的详细信息以及任何限制:

6. 自动将敏感度标签应用于文件和电子邮件

你可以自动将标签应用于 SharePoint 网站、OneDrive 帐户、Exchange 电子邮件和 Office 文件中的文件。 自动标记有助于识别优先级更高的标签,以获取可能需要比默认标签更严格设置的敏感信息。

客户端自动标记与服务端自动标记
  • Word、Excel、PowerPoint 和 Outlook 使用的文档和电子邮件自动标记时,它将使用客户端自动标记。 用户会看到标签在其 Office 应用中自动应用,或者你可以向用户推荐相应的标签。
  • 当您自动标记存储在所有 SharePoint 或 OneDrive 网站中的文档以及使用 Exchange Online 发送的所有电子邮件时,它将使用服务端自动标记。 没有任何用户交互。 你可以针对 OneDrive 和 SharePoint 中的静态文件以及发送和接收的所有电子邮件进行大规模标记。

如果创建了默认敏感度标签和策略,则它们包括客户端自动标记和服务端自动标记,以检测信用卡数字和个人数据。 通过这些默认设置,可以轻松测试自动标记功能。

可以编辑或创建自己的自动标记设置,以帮助识别需要特定敏感度标签来应用保护操作(例如加密)的组织数据。

检测敏感信息并防止未经授权的共享或泄露

使用 数据丢失防护 (DLP) 策略 来帮助防止意外共享

Microsoft Purview 数据丢失防护 (DLP) 可帮助组织防止未经授权的共享或泄露,从而保护敏感信息。 目的是动态保护敏感信息(如财务数据、社会安全号码和健康记录)不被过度共享。

可以创建 DLP 策略来保护以下位置的敏感信息:

  • Microsoft 365 服务,例如 Teams、Exchange、SharePoint 和 OneDrive 帐户
  • Word、Excel 和 PowerPoint 等 Office 应用程序
  • Windows 10、Windows 11和 macOS (三个最新版本) 终结点
  • 非Microsoft云应用
  • 本地文件共享和本地 SharePoint
  • 构造和 Power BI

当 DLP 策略找到此数据时,它可以采取行动并帮助防止数据显示在智能 Microsoft 365 Copilot 副驾驶®结果中。 它还有助于防止 Copilot 汇总应用了特定敏感度标签的项目。

若要了解详细信息,请参阅:

使用 DLP 策略,可以使用 可训练的分类器敏感信息类型敏感度标签保留标签 来标识整个组织中的敏感信息。

本部分介绍 DLP 策略创建过程。 DLP 策略是一种功能强大的工具。 请确保:

  • 了解要保护的数据以及要实现的目标。
  • 在实施策略之前,请花一点时间设计策略。 你想要避免任何意外的问题。 建议不要创建策略,然后仅通过试用和错误来优化策略。
  • 完成 数据丢失防护 - 在开始设计策略之前开始 操作。 此步骤可帮助你了解用于创建和管理 DLP 策略的概念和工具。

1. 打开 Microsoft Purview 门户

  1. 创建和部署 DLP 策略 - 权限中列出的管理员之一的身份登录到 Microsoft Purview 门户
  2. 选择“ 解决方案>数据丢失防护”。

2. 创建 DLP 策略

对于Exchange Online、SharePoint Online 和 OneDrive,可以使用 DLP 跨电子邮件和文件(包括存储在 Microsoft Teams 文件存储库中的文件)识别、监视和自动保护敏感信息。

3.为 Teams 创建 DLP 策略

默认情况下,Purview 包括一些可以启用的 Teams 策略。 这些策略是开始在 Teams 中保护信息的快速方法。

这些策略可以检测何时在 Teams 邮件中共享敏感信息(如银行帐号或护照号码)。 然后,可以创建策略提示来教育用户或添加控制共享的操作。

  1. “数据丢失防护”中,选择“ 概述”。

  2. 向下滚动以查看以下策略:

    • 开始监视 Teams 中未受保护的敏感信息
    • 自动配置 Teams DLP 策略以保护团队消息中共享的文件

    可以打开这些策略,还可以查看策略中的设置:

    在 Microsoft Purview 数据丢失防护 (DLP) 中,在 Teams 策略中打开未受保护的敏感信息。

有关使用 DLP 策略保护 Teams 中的信息的详细信息,请参阅:

4.为 Windows 和 macOS 设备创建终结点 DLP 策略

终结点数据丢失防护 (Endpoint DLP) 将 DLP 监视和保护功能扩展到物理存储在 Windows 10/11 和 macOS 上的敏感项目, (三个最新发布的主要版本) 设备。

DLP 可以监视用户活动并对其采取保护性操作,例如:

  • 复制到 USB 可移动设备
  • 复制到网络共享
  • 打印
  • 上传到受限的云服务域或从未启用的浏览器进行访问

这些活动只是 DLP 可以监视和保护的一些活动。 有关完整列表,请参阅 了解终结点数据丢失防护

有关创建终结点 DLP 策略的先决条件和步骤的详细信息,请参阅:

注意

如果使用移动设备管理 (MDM) 服务来管理并帮助保护设备(例如Microsoft Intune),请继续使用 MDM 提供程序。 终结点 DLP 策略侧重于使用 Microsoft 365 数据的数据丢失防护。 MDM 侧重于设备管理。 可以模拟使用它们。

5. 创建自适应保护

自适应保护将 来自内部风险管理 的信息与 DLP 集成。 当 内部风险 识别出参与风险行为的用户时,系统会动态地为该用户分配 一个内部风险级别,例如 Elevated

自适应保护可以自动创建 DLP 策略 ,帮助保护组织免受与内部风险级别相关的风险行为。 随着用户的内部风险级别更改,应用于用户的 DLP 策略也可以进行调整。

启用自适应保护

  1. 自适应保护 - 权限中列出的管理员之一身份登录到 Microsoft Purview 门户

  2. 选择 “解决方案>内部风险管理>自适应保护”。

  3. “仪表板”中,选择“ 快速设置”。

    • 自适应保护 - 快速设置 是开始使用自适应保护的最简单、最快捷的方法。 它会自动创建并动态分配内部风险策略、DLP 策略和条件访问策略。

      满足风险级别后,策略会自动调整以匹配新的风险级别。

    • 还可以 创建自定义策略 ,而不是使用快速设置。 如果创建自定义策略,则还必须创建 DLP 和条件访问策略。

若要了解详细信息,请参阅 自适应保护策略

6.测试和监视策略

删除不需要的内容

使用 数据生命周期管理 自动保留或删除数据

数据生命周期管理 使用保留策略和选择性保留标签。 出于符合性原因,它们通常用于保留内容,还可以自动删除过时的信息。

例如,你的组织可能有法规要求你保留内容一段时间。 或者,你可能有要删除的内容,因为它已过时或不再需要。

如果组织中存在过时的数据,请创建和使用保留策略。 这些策略可帮助 Copilot 从文档和电子邮件中返回更准确的信息。

保留策略还可以保留 Copilot 提示和符合性要求的响应,即使 用户删除其 Copilot 活动也是如此。 若要了解详细信息,请参阅 了解 Copilot & AI 应用的保留期

保留策略中的设置在容器级别应用,例如 SharePoint 网站或 Exchange 邮箱。 该容器中的数据会自动继承这些设置。 如果需要 单个电子邮件或文档的例外,请使用保留标签。 例如,如果数据超过一年,则保留策略用于删除 OneDrive 中的数据。 但是,用户可以应用保留标签来防止特定文档自动删除。

  1. 若要创建保留策略,请以合规性管理员身份登录到 Microsoft Purview 门户

    若要了解有关权限的详细信息,请参阅 数据生命周期管理 - 权限

  2. 选择“ 解决方案>数据生命周期管理>策略>保留策略”。

  3. 选择“ 新建保留策略 ”并按照说明进行操作。 有关更具体的信息,请参阅 创建和配置保留策略

  4. 如果需要,请创建并应用保留标签。

    可以使用 数据生命周期管理记录管理 来创建标签。 记录管理包括更多配置选项,例如 处置评审过程。 如果需要在自动删除项目之前进行手动确认,则处置评审非常有用。

    将数据生命周期管理用于保留策略,这些策略管理Microsoft 365 个工作负载的自动保留和删除 & 智能 Microsoft 365 Copilot 副驾驶® 交互,并针对任何异常使用保留标签。

    • “数据生命周期管理”中,选择“ 保留标签>”“创建标签”。

    按照配置说明进行操作,如果需要更多帮助,请参阅 如何为数据生命周期管理创建保留标签

    创建保留标签后,可以将标签应用于文档和电子邮件:

  5. 如果应用了保留标签,请监视它们以查看其使用方式。

    1. 以以下位置列出的管理员之一身份登录到 Microsoft Purview 门户

    2. 使用 内容资源管理器 获取有关使用保留标签的项目的信息。

      可通过几种方法打开内容资源管理器:

      • 数据丢失防护>探险 家
      • 记录管理>探险 家
      • 信息保护>探险 家

    3. 使用 活动资源管理器 获取包含保留标签的内容的活动的历史视图。 可以使用不同的筛选器。

      可通过几种方法打开活动资源管理器:

      • 数据生命周期管理>探险 家
      • 记录管理>探险 家
      • 数据丢失防护>探险 家
      • 信息保护>探险 家

若要了解详细信息,请参阅:

检测 Copilot 交互中的敏感数据和不合规内容

创建通信合规性策略以监视与智能 Microsoft 365 Copilot 副驾驶®的交互

通信合规性 可以检测、捕获组织中的潜在不适当的消息并对其采取行动。 不当内容包括敏感或机密信息、骚扰或威胁性语言以及共享成人内容。

通信合规性附带一些预定义策略,可帮助你入门。 建议使用这些预定义模板。 还可以创建自己的自定义策略。

这些策略使用 Copilot 监视和评估提示和响应。

  1. 通信合规性 - 权限中列出的管理员之一身份登录到 Microsoft Purview 门户

  2. 选择 “解决方案>通信合规性>概述”。

    如果列出了一些必需的步骤,请完成这些步骤。 若要详细了解这些步骤,请参阅 设置和创建通信合规性策略

  3. 对于预定义的策略,请选择“创建策略>”“检测智能 Microsoft 365 Copilot 副驾驶®交互

    在 Microsoft Purview 通信合规性 中创建检测智能 Microsoft 365 Copilot 副驾驶®交互策略。

    此 Copilot 策略可帮助你入门。 还可以使用其他预定义模板。 你还可以随时创建自己的自定义策略。

    若要了解详细信息,请参阅:

  4. 监视策略。 定期查看策略报告和审核日志,以查看任何策略匹配 & 已解决的项目,包括用户的活动。

    若要了解详细信息,请参阅 使用通信合规性报告和审核

若要了解详细信息,请参阅:

查看和分析 Copilot 提示和响应

使用适用于 AI电子数据展示的数据安全状况管理 (DSPM) 分析 Copilot 用户提示和响应

当用户输入提示并从 Copilot 获取响应时,可以查看和搜索这些交互。 具体而言,这些功能可帮助你:

  • 查找 Copilot 活动中包含的敏感信息或不适当的内容。
  • 通过 Copilot 相关活动发布机密或恶意信息时,应对数据泄漏事件。
  • 使用电子数据展示,可以删除 Copilot 活动中包含的敏感信息或不适当的内容。

有两种方法可以查看和分析 Copilot 提示和响应 - 适用于 AI 的数据安全状况管理电子数据展示

以前称为 AI 中心) 的 AI (数据安全状况管理 (DSPM) 是 Microsoft Purview 门户中的中心位置,可主动监视 AI 使用情况。 它包括电子数据展示,可用于分析和查看 Copilot 提示和响应。

  1. 以管理员身份登录到 适用于 AI 的数据安全状况管理 - 权限中列出的某个组中的 Microsoft Purview 门户
  2. 为 AI>活动资源管理器选择“解决方案>DSPM”。
  3. 在列表中选择现有活动。 例如,如果有 敏感信息类型 活动,请选择它。
  4. 选择“ 查看相关的 AI 交互活动”。 在 “交互详细信息”中,可以看到应用和提示 & 响应。 还可以导出活动。

若要了解详细信息,请参阅:

可用的技术和部署资源

  • 具有最少数量的 Copilot 许可证的组织有资格通过符合条件的Microsoft合作伙伴在部署和采用方面Microsoft共同投资。

    若要了解详细信息,请参阅 智能 Microsoft 365 Copilot 副驾驶® Partner Directory

  • 符合条件的客户可以从Microsoft FastTrack请求技术和部署帮助。 FastTrack 提供指导和资源来帮助你规划、部署和采用 Microsoft 365。

    若要了解详细信息,请参阅 适用于 Microsoft 365 的 FastTrack

相关内容