通过

解决影响 DLP 策略提示的问题

  • 项目
  • 适用于:
    Microsoft Purview Data Loss Prevention

如果遇到与Microsoft Purview 数据丢失防护(DLP)策略提示相关的问题,请在Microsoft 365 管理中心中针对 DLP 策略提示运行自动诊断。 诊断分析 DLP 策略和规则配置,以获取策略提示、识别任何问题和建议解决方法。

运行 DLP 策略提示的诊断

注意

若要运行诊断,你必须是 Microsoft 365 全局管理员。

若要运行诊断,请执行以下步骤:

  1. 选择以下按钮以在Microsoft 365 管理中心中打开诊断。

    运行测试:DLP 策略提示

  2. 输入以下信息:

    • 用户主体名称(UPN)或用户的电子邮件地址
    • DLP 规则名称或 GUID
    • OutlookOWA (Outlook 网页版)

  3. 选择“ 运行测试”。

如果运行了诊断但问题未解决,请查看本文的以下部分。

Exchange Online 中的 DLP 策略

DLP 策略提示设置在 DLP 策略中配置。 如果在 Exchange Online 中创建 DLP 策略,建议将其迁移到Microsoft Purview 合规门户,因为 Exchange 管理中心中的旧版 Exchange Online 数据丢失防护正在弃用。 对于未迁移的策略,可能会看到意外的结果,例如不显示策略提示。

有关详细信息,请参阅 Exchange 管理中心中的策略提示与Microsoft Purview 合规门户

策略配置错误

策略是使用 用户通知配置的,但策略的状态与规则中的设置不匹配。 下面是打开策略的示例,但策略状态显示 测试它。

用户通知的屏幕截图。

标题为“测试”或打开策略的窗口的屏幕截图。策略状态中突出显示了标题为“测试它”的状态。

如果使用两个或更多规则来配置策略,则策略配置错误也可能发生,这些规则检测到具有相同 实例计数 值和置信度相同的敏感数据类型。

配置为基于敏感信息类型的检测的 SSN 规则的屏幕截图。

配置为基于敏感信息类型的检测的 SSN 内容规则的屏幕截图。

这种设置是不必要的和有问题的。 只需要一个规则。

解决方法

对于这些方案,请仅创建一个规则,并使用基于相同敏感数据类型的检测参数。

Outlook 2013 及更高版本中不支持的策略配置

请参阅 Outlook 2013 及更高版本支持仅显示某些条件和异常的策略提示。

并非所有策略条件都满足

此方案主要发生在策略提示在 Microsoft 365 中的 SharePoint 中无法按预期工作,Microsoft OneDrive for work 或 school,因为策略中配置了外部共享条件。

屏幕截图显示策略中配置了外部共享条件。

注意

目前,在组织外部的外部参与方首次访问内容之前,不会将内容作为外部共享进行索引。

未启用邮件提示(仅限 Outlook 2013 及更高版本客户端)

对于 Outlook 2013 及更高版本客户端,请确保已启用邮件提示。 若要在 Outlook 中启用邮件提示,请先确保启用策略提示。 为此,请按照下列步骤进行操作:

  1. 在 Outlook 中,选择“文件>选项>邮件”。

  2. 滚动到 “邮件提示 ”部分,然后选择“ 邮件提示选项”。

  3. “选择要显示的邮件提示” 对话框中,确保 已选择“策略提示通知 ”选项。

  4. 在“邮件提示栏显示选项”下,确保选中“邮件提示应用”选项时自动显示。

  5. 选择“ 确定 ”两次以关闭“文件”窗口。

  6. 重启 Outlook。

    在 Outlook 中启用邮件提示的步骤的屏幕截图。

在 Fiddler 跟踪中找不到 GetDLPPolicyTip 调用

如果 DLP 策略提示无法按预期工作,请使用 Fiddler 跟踪对 DLP 策略提示进行故障排除。

  1. 重现问题时收集 Fiddler 跟踪文件。 下面是一个示例,其中 DLP 策略提示按预期触发。

    发送电子邮件时 DLP 策略提示工作示例的屏幕截图。

  2. 在 POST 请求中,检查 GetDLPPolicyTip 是否在跟踪文件中进行了调用。 对于前面的示例,可以看到调用 GetDLPPolicyTip

    POST 请求的屏幕截图,其中突出显示了 GetDLPPolicyTip 调用。

    其中突出显示了 GetDLPPolicyTip 调用的 POST 请求标头的屏幕截图。

  3. 在响应中,检查 DetectedClassificationIds 值。 如果值字段不为空,则表示 DLP 策略与策略规则匹配。

    “响应”的屏幕截图,其中突出显示了 DetectedClassificationIds 值。

如果未找到 GetDLPPolicyTip 调用,并且 DetectedClassificationIds 响应中值字段为空,请按照以下步骤解决此问题:

  1. 检查 DLP 策略是否已启用并正确配置。
  2. 检查用户是否输入正确的敏感信息和有效的收件人或发件人来触发策略。

客户端不支持邮件提示

有几个 Outlook 客户端许可证不支持策略提示。 Exchange 功能的 Outlook 许可证要求列出了支持 DLP 策略提示的 Outlook 客户端许可证。

注意

Outlook for Mac iOS 客户端当前不支持策略提示。 解决方法是,你可以将文本添加到 DLP 策略规则的 NDR 响应中,该规则告知用户在 OWA 客户端中重新创建其邮件(如果他们最初使用 Outlook for Mac 提交了邮件)。 使用 OWA 客户端向用户公开策略提示功能,并使用户能够替代、报告误报或输入业务理由(具体取决于 DLP 策略规则中指定的“通知”操作)。 然后,用户可以提交邮件以进行传递。

不支持文件系统配置

如果满足以下条件,则不会显示任何策略提示:

  • 你在 Windows 7 上运行 Outlook 2013 或更高版本客户端。
  • 尝试将格式化为 Adobe PDF 版本 10 或更高版本的文件附加到应触发 DLP 策略提示的电子邮件。

解决方法

若要解决此问题,请仔细按照 Outlook 的 “解决方法”部分中的步骤在 Windows 7 中不显示 PDF 附件的 DLP 策略提示。

测试数据无效

评估 DLP 策略规则的实例计数 和置信度时,所使用的测试数据根据 敏感信息类型实体定义无效。 确保所使用的测试数据有效。

无效实例计数值的屏幕截图。