教程：使用管理员隔离保护文件

文件策略 是查找信息保护策略威胁的绝佳工具。 例如，创建文件策略，查找用户在云中存储敏感信息、信用卡号码和第三方 ICAP 文件的位置。

本教程介绍如何使用Microsoft Defender for Cloud Apps来检测云中存储的不需要的文件，这些文件会使你容易受到攻击，并立即采取措施阻止它们跟踪，并通过使用管理员隔离来锁定构成威胁的文件，从而保护云中的文件、修正问题并防止将来发生泄漏。

• 了解隔离的工作原理
• 设置管理员隔离区

重要

从 2024 年 9 月 1 日起，我们将从 Microsoft Defender for Cloud Apps 弃用“文件”页。 此时，创建和修改信息保护策略，并从“云应用>策略>策略管理”页查找恶意软件文件。 有关详细信息，请参阅 Microsoft Defender for Cloud Apps 中的文件策略。

了解隔离的工作原理

注意

• 有关支持管理员隔离的应用列表，请参阅 治理操作列表。
• 无法隔离Defender for Cloud Apps标记的文件。
• Defender for Cloud Apps管理员隔离操作限制为每天 100 个操作。
• 直接重命名或作为域重命名的一部分重命名的 Sharepoint 网站不能用作管理员隔离的文件夹位置。

1. 当文件与策略匹配时，管理员隔离选项将可用于该文件。

2. 执行以下操作之一来隔离文件：

   • 手动应用管理员隔离操作：

     

   • 在策略中将其设置为自动隔离操作：

     

3. 应用管理员隔离时，会在后台发生以下情况：

   1. 原始文件将移动到你设置的管理员隔离文件夹。

   2. 原始文件已删除。

   3. 逻辑删除文件将上传到原始文件位置。

      

   4. 用户只能访问逻辑删除文件。 在文件中，他们可以读取 IT 提供的自定义准则和相关 ID，以便 IT 发布文件。

4. 收到文件已隔离的警报时，请转到 策略 ->策略管理。 然后选择“信息保护”选项卡。在包含文件策略的行中，选择行末尾的三个点，然后选择“查看所有匹配项”。 这将显示匹配项报告，可在其中查看匹配和隔离的文件：

   

5. 隔离文件后，使用以下过程修正威胁情况：

   1. 在 SharePoint Online 上检查隔离文件夹中的文件。
   2. 还可以查看审核日志，深入了解文件属性。
   3. 如果发现该文件违反公司策略，请运行组织的事件响应 (IR) 过程。
   4. 如果发现该文件无害，可以从隔离区还原文件。 此时会释放原始文件，这意味着该文件将复制回原始位置，删除逻辑删除，用户可以访问该文件。

   

6. 验证策略是否顺利运行。 然后，可以使用策略中的自动治理操作来防止进一步的泄漏，并在策略匹配时自动应用管理员隔离。

注意

还原文件时：

• 原始共享不会还原，默认文件夹继承已应用。
• 还原的文件仅包含最新版本。
• 隔离文件夹站点访问管理由客户负责。

设置管理员隔离区

1. 设置检测违规的文件策略。 这些类型的策略示例包括：

   • SharePoint Online 中的仅元数据策略（例如敏感度标签）
   • 本机 DLP 策略，例如搜索信用卡号码的策略
   • ICAP 第三方策略，例如查找 Vontu 的策略

2. 设置隔离位置：

   1. 对于 Microsoft 365 SharePoint 或 OneDrive for Business，在设置隔离警告之前，不能将文件作为策略的一部分放入管理员

      若要设置管理员隔离设置，请在Microsoft Defender门户中，选择“设置”。 然后选择“ 云应用”。 在“信息保护”下，选择“管理员隔离”。 提供隔离文件夹位置的站点，以及用户在隔离文件时将收到的用户通知。

      注意

      Defender for Cloud Apps将在所选网站上创建隔离文件夹。

   2. 对于 Box，无法自定义隔离文件夹位置和用户消息。 文件夹位置是将 Box 连接到 Defender for Cloud Apps管理员的驱动器，用户消息为：此文件已隔离到管理员的驱动器，因为它可能违反公司的安全性和合规性策略。 请联系 IT 管理员获取帮助。

后续步骤

保护组织的最佳做法

如果你遇到任何问题，我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持，请 开具支持票证。