本地存储库数据丢失防护入门

注意

有一个新版本的信息保护扫描程序。 有关详细信息,请参阅升级Microsoft Purview 信息保护扫描程序

本文将指导你完成在 DLP 策略中使用本地存储库位置Microsoft Purview 数据丢失防护的先决条件和配置。

提示

开始使用Microsoft Security Copilot,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的Microsoft Security Copilot

准备工作

SKU/订阅许可

在开始使用 DLP 策略之前,请确认 Microsoft 365 订阅 和任何加载项。

有关许可的信息,请参阅 Microsoft 365、Office 365、企业移动性 + 安全性 和 Windows 11 企业订阅

重要

通过添加文件或使用文件参与扫描位置的所有用户都需要拥有许可证,而不仅仅是扫描程序用户。

权限

可以在 活动资源管理器中查看 DLP 中的数据。 有四个角色可向活动资源管理器授予权限,用于访问数据的帐户必须是其中任何一个的成员。

  • 全局管理员
  • 合规性管理员
  • 安全管理员
  • 合规性数据管理员

重要

Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一种高特权角色,只能在无法使用较低特权角色的情况下使用。

角色和角色组

有一些角色和角色组可以在其中进行测试以微调访问控制。

下面是适用角色的列表。 若要详细了解它们,请参阅Microsoft Purview 合规门户中的权限

  • 信息保护管理员
  • 信息保护分析师
  • 信息保护调查员
  • 信息保护读者

下面是适用角色组的列表。 若要了解详细信息,请参阅Microsoft Purview 合规门户中的权限

  • 信息保护
  • 信息保护管理员
  • 信息保护分析师
  • 信息保护调查员
  • 信息保护读者

DLP 本地存储库先决条件

  • Microsoft Purview 信息保护扫描程序实现 DLP 策略匹配和策略强制实施。 扫描程序作为信息保护客户端的一部分安装,因此安装必须满足权限管理加密服务、信息保护客户端和信息保护扫描程序的所有先决条件。
  • 部署客户端和扫描程序。 有关详细信息,请参阅 安装或升级信息保护客户端配置和安装信息保护扫描程序
  • 必须至少在租户中发布一个标签和策略,即使所有检测规则都只基于敏感信息类型。

部署 DLP 本地扫描仪

为正在使用的门户选择相应的选项卡。 根据 Microsoft 365 计划,Microsoft Purview 合规门户已停用或即将停用。

若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 登录到 Microsoft Purview 门户

  2. 按照 安装或升级信息保护客户端中的过程进行操作。

  3. 按照 配置和安装信息保护扫描程序 中的过程完成扫描程序安装。

    1. 必须创建内容扫描作业,并指定要由 DLP 引擎评估的文件的存储库。
    2. 在创建的内容扫描作业中启用 DLP 规则,并将 “强制” 选项设置为 “关闭 (,除非你想要直接进入 DLP 强制阶段) 。
  4. 验证内容扫描作业是否已分配给正确的群集。 如果尚未创建内容扫描作业,请创建一个新作业并将其分配给包含扫描程序节点的群集。

  5. 连接到 Microsoft Purview 门户,并将存储库添加到将执行扫描的内容扫描作业。

  6. 执行下列操作之一以运行扫描:

    1. 设置扫描程序计划
    2. 在门户中使用手动 “立即扫描 ”选项
    3. 运行 Start-Scan PowerShell cmdlet

    重要

    请记住,扫描程序默认运行存储库的增量扫描,并且将跳过在上一个扫描周期中扫描的文件,除非文件已更改或已启动完全重新扫描。 通过使用 UI 中的“ 重新扫描所有文件 ”选项或运行 “开始扫描-重置”,可以启动完全重新扫描。

  7. 打开 Microsoft Purview 门户> 数据丢失防护 > 策略。

  8. 选择“ + 创建策略 ”并创建测试 DLP 策略。 如果需要有关创建策略的帮助,请参阅 创建和部署数据丢失防护 策略。 请务必 在模拟模式下运行策略, 直到你熟悉此功能。 将以下参数用于策略:

    1. 如果需要,将 DLP 本地存储库规则的范围限定为特定位置。 如果将 位置 范围限定为 “全部”,则扫描的所有文件都将受到 DLP 规则匹配和执行的约束。
    2. 指定位置时,可以使用排除列表或包含列表。 可定义规则仅与包含列表中列出的其中一个模式相匹配的路径相关,与包含列表中列出的所有文件(与包含列表中列出的模式相匹配的文件除外)的所有文件除外。 不支持任何本地路径。 以下是一些有效路径的示例:
    • \\server\share
    • \\server\share\folder1\subfolderabc
    • *\folder1
    • *secret*.docx
    • *秘密*。*
    • https:// sp2010.local/sites/HR
    • https://*/HR
    1. 以下是使用不可接受的值的一些示例:
    • *
    • *\一个
    • Aaa
    • c:\
    • C:\test

重要

排除列表优先于包含列表。

查看 DLP 警报

  1. 在 Microsoft Purview 合规门户中打开“数据丢失防护”页面,然后选择“警报”。

  2. 请参阅数据丢失防护入门警报仪表板使用Microsoft Defender XDR调查数据丢失事件中的过程,以查看本地 DLP 策略的警报。

在活动资源管理器和审核日志中查看 DLP 数据

注意

信息保护扫描程序要求启用审核。 Microsoft 365 中默认启用审核。

  1. 在 Microsoft Purview 合规门户中打开域的“数据分类”页,然后选择活动资源管理器。

  2. 请参阅活动 工具入门 中的过程,以访问和筛选本地扫描仪位置的所有数据。

  3. 合规中心打开审核日志。 DLP 规则匹配项在审核日志 UI 中可用,或可通过 PowerShell 中的 Search-UnifiedAuditLog 进行访问。

后续步骤

现在,你已为 DLP 本地位置部署了测试策略,并且可以在活动资源管理器中查看活动数据,接下来可以继续下一步,在其中创建 DLP 策略来保护敏感项。

另请参阅