数据丢失防护和 Microsoft Teams

如果组织Microsoft Purview 数据丢失防护 (DLP) ,则可以定义策略来帮助防止用户在Microsoft Teams 频道或聊天会话中共享敏感信息。 下面是此保护工作原理的一些示例:

  • 保护消息中的敏感信息。 假设有人尝试在 Teams 聊天或频道中与来宾共享敏感信息, () 的外部用户。 如果定义了 DLP 策略来防止这种情况,则会删除包含发送给外部用户的敏感信息的消息。 这在几秒钟内根据 DLP 策略的配置方式自动发生。

注意

Microsoft Teams 的 DLP 在与具有以下内容Microsoft Teams 用户共享时会阻止敏感内容:

仅当发送方和接收方都处于“仅 Teams”模式并使用 Microsoft Teams 本机联合时,外部聊天会话的 DLP 才有效。 用于 Teams 的 DLP 不会阻止与 Skype 或非本机联合聊天会话的 互操作 中的消息。

  • 保护文档中的敏感信息。 假设有人尝试在Microsoft Teams 频道或聊天中与来宾共享文档,并且该文档包含敏感信息。 如果定义了 DLP 策略来防止这种情况,则不会为这些用户打开该文档。 DLP 策略必须包含 SharePoint 和 OneDrive,才能强制实施保护。 这是显示在 Microsoft Teams 中的 SharePoint 的 DLP 示例,因此要求用户获得Office 365 DLP 许可, (包含在 Office 365 E3) 中,但不要求用户获得Office 365 高级合规版许可。

  • 保护 Teams 共享频道中的通信。 对于共享频道,将应用主机 Teams 团队 DLP 策略。 例如,假设 Contoso 团队 A 拥有一个共享频道。 团队 A 具有 DLP 策略 P1。 可通过三种方式共享频道:

    • 与成员共享:邀请 Contoso 中的 User1 加入共享频道,而无需使其成为团队 A 的成员。P1 涵盖此共享频道中的所有人,包括 User1。
    • 在内部) 与团队 (共享 :与 Contoso 团队 B 中的另一个团队共享频道。其他团队可能有不同的 DLP 策略,但这并不重要。 P1 适用于此共享频道中的每个人,包括团队 A 和团队 B 用户。
    • 与团队 (跨租户) 共享 :在 Fabrikam 中与团队 F 共享频道。 Fabrikam 可能有自己的 DLP 策略,但这并不重要。 P1 适用于此共享频道中的每个人,包括 Team A (Contoso) 和 Team F (Fabrikam) 用户。
  • 在与 Microsoft Teams 中的外部用户聊天时保护通信。 来自不同Microsoft 365 个组织(全部使用外部访问功能)的人员都可以加入同一聊天会话。 每个用户都受其自己组织的 DLP 策略的约束。 例如,假设来自 Contoso 的 UserA、UserB 和 UserC 以及来自 Fabrikam 的 UserX、UserY 和 UserZ 都位于同一 Teams 聊天中。 Contoso 用于在 Teams 中共享信息的 DLP 策略适用于 UserA、UserB 和 UserC,而 Fabrikam 的 DLP 策略适用于 UserX、UserY 和 UserZ。 有关使用 Microsoft Teams 与组织外部的人员聊天的详细信息,请参阅 管理外部会议并使用Microsoft标识与人员和组织聊天

提示

开始使用Microsoft Security Copilot,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的Microsoft Security Copilot

Microsoft Teams 的 DLP 许可

数据丢失防护 功能包括Microsoft Teams 聊天和频道消息,包括用于以下对象的 专用频道消息

  • Office 365 E5/A5/G5
  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5/G5 信息保护和治理
  • Microsoft 365 E5/A5/G5/F5 合规性及 F5 安全性 + 合规性

Office 365和Microsoft 365 E3包括 SharePoint、OneDrive 和 Exchange 的 DLP 保护。 这还包括通过 Teams 共享的文件,因为 Teams 使用 SharePoint 和 OneDrive 来共享文件。

支持 Teams 聊天中的 DLP 保护需要 E5 许可证。

DLP 保护范围

DLP 保护以不同的方式应用于 Teams 实体,如下表所述。

若要将 DLP Teams 策略的范围限定为所有聊天类型,请将策略范围限定为 “所有位置”,或验证每个 Teams 用户是否同时位于Microsoft 365 组中,并且位于作用域为策略的安全组或通讯组中。 有关详细信息, 请详细了解如何同步成员身份

策略范围 Teams 实体 DLP 保护
个人用户帐户 - 1:1/n 聊天
- Standard和共享频道消息
- 私人频道消息
-是的
-不
-是的
安全组/通讯组/未启用邮件的安全组 - 1:1/n 聊天
- Standard和共享频道消息
- 私人频道消息
-是的
-不
-是的
Microsoft 365 组 - 1:1/n 聊天
- Standard和共享频道消息
- 私人频道消息
-是的
-是的
-不

注意

当 DLP 策略的范围限定为Microsoft 365 个组时,DLP 保护将应用于使用标准频道和共享通道的组成员,这些成员Microsoft 365 个组所属的组,并且所有 1:1/n 聊天也适用于组成员,但为 Teams 聊天和频道消息配置 光学字符识别 时除外。

策略提示帮助教育用户

与 (Exchange、Outlook、SharePoint、OneDrive 和 Windows 设备上 DLP 策略提示的工作方式类似,当使用 DLP 策略触发操作时,Teams 中的策略提示会显示。 下面是策略提示的示例:

Teams 中阻止的消息通知。

在这里,发件人尝试在 Microsoft Teams 频道中共享社会安全号码。 “ 我该怎么办?” 链接将打开一个对话框,该对话框为发件人提供了解决问题的选项。 请注意,发件人可以选择替代策略或通知管理员查看和解决问题。

用于解决阻止消息的选项。

可以选择允许组织中的用户替代 DLP 策略。 配置 DLP 策略时,可以使用默认策略提示,或为组织 自定义策略提示

回到我们的示例,当发件人在 Teams 频道中共享社会安全号码时,收件人会看到以下情况:

消息已阻止。

DLP 保护应用于聊天或频道线程中的实际消息。 从聊天或频道消息创建的“活动通知”中的简短预览版中也显示了消息信息。 当存在与 DLP 策略匹配项时,将隐藏相应的预览,并显示“预览不可用”消息,而不是阻止的预览。 如果发送的消息与 DLP 策略匹配,则还会为发件人生成活动条目。 已标记和阻止的消息,将创建表示“已阻止邮件”的活动。

自定义策略提示

若要执行该任务,须被分配具有编辑 DLP 策略权限的角色。 若要了解详细信息,请参阅Microsoft Purview 合规门户中的权限

为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 登录到 Microsoft Purview 门户>数据丢失防护>策略

  2. 选择一个策略,然后选择“ 编辑策略 ” (铅笔图标) 。

  3. 在工具中导航,直到转到 “自定义高级 DLP 规则 ”屏幕。

  4. 创建新规则,或编辑策略的现有规则。

  5. 向下滚动到 “用户通知 ”,并将 “使用通知告知用户并帮助告知他们正确使用敏感信息” 开关设置为 “开”。

  6. “Microsoft 365 服务”下,选择“使用策略提示通知Office 365服务中的用户”。

  7. “策略提示 ”下,选择“ 自定义策略提示文本”。

  8. 指定要用于策略提示的文本。

  9. 如果策略提示应用于 Microsoft Exchange 中的用户活动,并且您希望在发送电子邮件之前有一个对话框显示提示,请选择“ 在发送之前将策略提示显示为最终用户的对话框”。

  10. 选择 “保存” ,然后选择 “下一步”。

  11. “策略模式”页上,如果需要,检查“在模拟模式下显示策略提示”旁边的框。

  12. 依次选择 “下一步”、“ 提交”和“ 完成”。

将 Microsoft Teams 作为位置添加到现有 DLP 策略

若要执行该任务,须被分配具有编辑 DLP 策略权限的角色。 若要了解详细信息,请参阅 Microsoft Purview 合规门户.md#permissions) 中的权限。

为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 登录到 Microsoft Purview 门户>数据丢失防护>策略

  2. 选择一个策略,然后选择“ 编辑策略 ” (铅笔图标) 。

  3. 在工具中导航,直到到达 “选择要应用策略的位置 ”页。

  4. 选择 “Teams 聊天和频道消息”。

  5. 选择“ 下一步 ”,并一直完成该过程。

  6. Choose Submit.

大约需要一小时,让更改通过数据中心运行并同步到用户帐户。

为 Microsoft Teams 定义新的 DLP 策略

有关如何创建和实施新的 DLP 策略的信息,请参阅 创建和部署数据丢失防护策略

阻止对敏感文档的外部访问

默认情况下,可以通过 将新文件标记为敏感,确保文档受到保护,直到 DLP 扫描并将它们标记为安全共享。

  • 条件

  • 内容包含以下任一敏感信息类型:[选择所有应用]

    • 内容从 Microsoft 365> 共享与组织外部的人员

    用于检测敏感内容的外部共享的 DLP 条件的屏幕截图。

  • 操作

    • 添加操作

    • 限制访问或加密Microsoft 365 个位置>的内容仅阻止组织外部的人员

      > [!div class="mx-imgBorder"]
      

      阻止敏感内容的外部共享的 DLP 操作。

      • 使用通知通知你的用户,并帮助他们正确使用敏感信息>使用策略提示通知Office 365中的用户

      • 通知这些人 [选择所有应用]

    • 策略提示 [选择所有适用]

      > [!div class="mx-imgBorder"]
      

      用于启用用户通知的 DLP 操作的屏幕截图。

注意

事件报告的发件人地址现在 no-reply-MicrosoftInformationProtectionOnline@microsoft.com为 。