调查和修正通信合规性警报

重要

Microsoft Purview 通信合规性提供的工具可帮助组织检测法规合规性 (例如 SEC 或 FINRA) 和业务行为违规行为,例如敏感或机密信息、骚扰或威胁性语言以及成人内容的共享。 根据隐私设计构建,用户名默认为假名化,内置基于角色的访问控制,管理员选择调查人员,审核日志已到位,以帮助确保用户级隐私。

配置 通信合规性策略后,将开始收到与策略条件匹配的消息问题的警报。 若要查看警报并对其执行操作,必须向用户分配以下权限:

  • 通信合规性分析员通信合规性调查员角色组
  • 与警报关联的策略中的审阅者

建立所需的权限后,使用以下工作说明调查和修正问题。

提示

开始使用Microsoft Security Copilot,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的Microsoft Security Copilot

调查策略匹配项和警报

调查策略检测到的问题的第一步是查看策略匹配项和警报。 通信合规性领域有几个方面可帮助你快速调查策略匹配和警报:

  • 策略页:使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户或Microsoft Purview 合规门户时,选择“通信合规性”解决方案,然后选择“策略”页。 此页显示为 Microsoft 365 组织配置的通信合规性策略,以及指向建议的策略模板的链接。

    注意

    如果角色组 的范围由一个或多个管理单元组成,你将在页面顶部看到一条消息,告知你只能查看和管理所针对的策略。 若要详细了解可以访问的内容,请在横幅中选择“ 查看角色组 ”。

    列出的每个策略包括以下列:

    • 今天扫描的消息数:策略当天针对策略范围内的用户和位置扫描的消息总数。 如果存在策略匹配项,则该项将添加到 “今天新挂起 ”列中。 该数字每小时自动刷新一次 , 如果刷新页面,它不会更新。 在 UTC 日结束时,计数将重置为零。

      提示

      如果列中的值为 0 或非常低的数字,则可能是因为策略过于严格。 例如,该策略可能只关注一个用户,或者只关注作用域内用户不使用的一个位置。 如果策略具有不同的重点,可能会在此列中看到各种聚合数字。 例如,一个策略可能侧重于从多个位置发送消息的整个用户部门,而另一个策略可能只侧重于一个用户或一个位置。

    • 今天挂起的新:显示当天的策略匹配项数。 每当打开页面时,此值将更新。 还可以选择“ 刷新 ”按钮以获取最新计数。 在 UTC 日结束时,计数将重置为零。

    • 挂起的总数:需要评审的策略匹配项的计数。 每当打开页面时,此值将更新。 可以选择“ 刷新 ”按钮以获取最新计数。 刷新后,此数字将与“ 挂起 ”选项卡上的数字匹配。

    • 已解决的总数:已解析策略匹配的总数。 每当打开页面时,此值将更新。 可以选择“ 刷新 ”按钮以获取最新计数。 刷新后,此数字将与“ 已解决 ”选项卡上的数字匹配。

    • 状态:策略的状态 (活动或已停用) 。

    • 上次修改时间:上次策略修改的日期和协调世界时 (UTC) 。

    • 上次策略扫描:上次策略扫描的 UTC 日期。

    若要启动修正操作,请选择与警报关联的策略以启动 “策略详细信息 ”页。 在“策略详细信息”页中,可以查看活动摘要、查看和处理“挂起”选项卡上的策略匹配项、使用 Microsoft Purview 中的Microsoft Copilot汇总冗长消息,或在“已解决”选项卡上查看已关闭策略匹配的历史记录。详细了解修正操作

  • “警报”页:转到 “通信合规性>警报” ,显示按策略匹配项分组的过去 30 天的警报。 此视图可以让你快速看到哪个通信合规性策略生成最多警报,并按严重性排序。 警报与策略匹配不同。 警报通常包含多个策略匹配项,而不仅仅是一个策略匹配项。 满足特定警报所需的策略匹配项数后,将创建警报并将电子邮件发送给警报收件人。

  • “报表”页:转到 “通信合规性>报告” 以显示通信合规性报告小组件。 每个小组件提供通信合规性活动和状态的概述,包括访问有关策略匹配和修正操作的更深入见解。

有关在“挂起”或“已解决”选项卡上快速查看策略匹配的提示

  • 在“ 挂起 ”选项卡或“ 已解决 ”选项卡上选择要查看的消息时,导致策略匹配的条件将显示在警报消息栏中, (源选项卡顶部 的黄色横幅) 。这是确定导致策略匹配的条件的快速方法。 如果有多个条件,请在横幅中选择“ 查看所有 ”,以查看导致策略匹配的所有条件。 目前,只有可训练的分类器和敏感信息类型在黄色横幅中突出显示为条件。

  • 有时,在不打开策略的情况下快速查看策略设置很有用。 例如,如果要测试具有不同条件的多个策略,则可能希望在打开策略之前查看每个策略的条件来确定风险,从而节省时间。 可以通过选择“ 策略设置”来执行此操作,这将打开一个面板,你可以在其中查看策略设置。 如果你是通信合规性或通信合规性管理员角色组的成员,则可以从面板中查看和更改设置。 如果你是通信合规性调查员或通信合规性分析师角色组的成员,可以查看设置,但无法更改这些设置。

使用筛选器

下一步是对消息进行排序,以便更轻松地进行调查。 在 “策略详细信息 ”页中,通信合规性支持对多个消息字段进行多级筛选,以帮助你快速调查和查看具有策略匹配的邮件。 每个配置策略的待定和已解决项目都可以使用筛选。 您可以配置策略的筛选器查询,或配置并保存在每个特定策略中使用的自定义和默认筛选器查询。 配置筛选器的字段后,你将看到消息队列顶部显示的筛选器字段,你可以为特定筛选器值配置这些字段。

(“正文/主题”、“ 日期”、“ 发件人”和 “标记” 筛选器) 的关键筛选器始终显示在“ 挂起 ”和“ 已解决 ”选项卡上,以便轻松访问这些筛选器。

对于 “日期” 筛选器,事件的日期和时间在协调世界时 (UTC) 中列出。 筛选视图的消息时,请求用户的本地日期/时间将根据用户的本地日期/时间转换为 UTC 来确定结果。 例如,如果位于美国太平洋夏令时 (PDT) 筛选了 2021 年 8 月 30 日到 2021 年 8 月 31 日 00:00 的报表,则报告包含从 2021 年 8 月 30 日 07:00 UTC 到 2021 年 8 月 31 日 07:00 UTC 的消息。 如果在 00:00 筛选时,同一用户位于美国东部夏令时 (EDT) ,则报告包括从 8/30/2021 04:00 UTC 到 2021/8/31 04:00 UTC 之间的消息。

筛选器详细信息

通信合规性筛选器允许对消息进行筛选和排序,以便更快地进行调查和修正操作。 筛选在每个策略的“ 挂起 ”和“ 已解决 ”选项卡上可用。 若要将筛选器或筛选器集另存为已保存的筛选器查询,必须将一个或多个值配置为筛选器选择。

下表概述了筛选器详细信息:

筛选 详细信息
正文/主题 邮件正文或主题。 可以使用此筛选器在邮件正文或主题中搜索关键字或关键字 (keyword) 短语。 主题显示在电子邮件的 “主题 ”列中。 对于 Teams 消息, “主题 ”列中没有显示任何内容。
Date 组织中的用户发送或接收邮件的日期。 若要筛选一天,请选择一个日期范围,该日期范围从你想要结果的日期开始,到第二天结束。 例如,如果要筛选 9/20/20/2020 的结果,则可以选择筛选日期范围 9/20/2020-9/21/2020。
文件类 基于邮件类型(邮件或附件的邮件类。
具有附件 邮件中的附件状态。
Item 类 基于邮件类型、电子邮件、Microsoft Teams 聊天、彭博社等的邮件源。有关详细信息,请参阅 项目类型和消息类
收件人域 消息发送到的域;默认情况下,这通常是Microsoft 365 订阅域。
收件人 向其发送消息的用户。 注意:“ 收件人” 字段包括“ 收件人 ”和“ 抄送 ”字段中的收件人。 不支持 BCC 字段。
Sender 发送消息的人员。
发件人域 发送消息的域。
Size 消息的大小(以 KB 为单位)。
Tags 分配给消息的标记,可以是 “可疑”、“ 合规”“不符合”。
语言 邮件中检测到的文本语言。 邮件根据大多数邮件文本的语言进行分类。 例如,对于包含德语和意大利语文本的邮件,但大多数文本为德语,该邮件被归类为德语 (DE) 。 有关支持的语言列表,请参阅 了解可训练的分类器

还可以按多种语言进行筛选。 例如,若要筛选分类为德语和意大利语的邮件,请在“语言筛选器搜索”框中输入“DE,IT” (两位数的语言代码) 。 若要查看邮件的检测到的语言分类,请选择一封邮件,选择“查看邮件详细信息”,然后滚动到 “EmailDetectedLanguage ”字段。
已升级到 作为消息升级操作的一部分包含的人员的用户名。
分类器。 应用于消息的内置分类器和自定义分类器的名称。 一些示例包括定向骚扰猥亵、威胁等。

配置筛选器

为正在使用的门户选择相应的选项卡。 根据 Microsoft 365 计划,Microsoft Purview 合规门户已停用或即将停用。

若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户
  2. 转到 通信合规性 解决方案。
  3. 在左侧导航栏中选择“ 策略 ”,然后选择一个策略以查看策略匹配 (是否有任何) 该策略。
  4. “策略 ”页上,选择“ 挂起 ”或“ 已解决 ”选项卡以显示要筛选的项。
  5. 选择 “筛选器”。
  6. 选择一个或多个筛选器复选框,然后选择“ 应用”。
  7. 若要将所选筛选器保存为筛选器查询,请在配置至少一个筛选器值后选择 “保存查询 ”。 输入筛选器查询的名称,然后选择“ 保存”。 此筛选器仅可用于此策略,并在“筛选器”页的“已保存筛选器查询”部分列出。

查看和修正策略匹配项和警报

无论从何处开始查看策略匹配项、警报或配置的筛选,下一步都是采取修正操作。 在 “策略 ”或 “警报 ”页上使用以下工作流开始修正。

注意

如果预览名称) 中看到以“DSPM for AI” (或“AI 中心”开头的策略,则策略是在适用于 AI 的数据安全状况管理而不是通信合规性中创建的。 若要了解有关此解决方案的详细信息,请参阅适用于 AI 的数据安全状况管理为 AI 应用提供见解、策略和控制

检查消息基础知识

有时,从源或主题可以明显地发现,可以立即修正消息。 可能是消息虚假或与策略不匹配,应将其解析为错误分类。 若要将邮件标记为分类错误,请选择“ 解决 ”,“ 项目已分类错误 ”,在项目的历史记录中留下一条注释,说明该邮件被错误分类,并将其从 “挂起 ”队列中删除。 若要与Microsoft共享错误分类的内容,请选择“ 发送邮件内容、附件并主题 ”将其从 挂起 队列中删除,并将项目报告给Microsoft。

注意

如果导致策略匹配的条件不是基于可训练的分类器,则“ 解决 ”窗格中不会显示错误分类的选项。 内容安全分类器尚不支持向Microsoft报告错误分类的项目。

从源或发件人信息中,您可能已经知道在这些情况下邮件应被如何传递或处理。 请考虑使用 标记为升级 将标记分配给适用的邮件或将消息发送到指定的审阅者。

检查邮件详细信息

查看消息基础知识后,打开消息以检查详细信息并确定进一步的修正操作。

选择邮件以查看完整的邮件标题和正文信息。 有几个不同的选项和视图可用于帮助你确定正确的操作方案:

  • 情绪:消息包括由 适用于语言) 的 Azure 认知服务 提供支持的情绪评估 (,可帮助调查人员快速确定潜在风险较高的消息的优先级,以便首先解决。 消息情绪显示在“ 情绪 ”列中,并在默认视图中启用。 消息使用以下值之一进行标记:

    说明
    阳性 情绪 为“积极” 的消息表示会审优先级较低。
    Negative 具有 负面 情绪的消息指示要确定优先级的消息。
    适中 具有 中性 情绪的消息确定不是正面的,也不是负面的。
    不可用 对于不支持的文件格式,列中显示不可用。 例如,情绪分析不适用于附加到 Teams 或电子邮件的任何图像、从 OCR 图像提取的文本或 Teams 脚本中的文本或录制内容。 如果邮件包含的字数超过 5120 个,也会出现不可用
    扫描 当通信符合性尝试确定消息的相应情绪值时,扫描将显示在 列中。
  • 附件:此选项允许检查与策略条件匹配的新式附件。 新式附件内容提取为文本,可在“ 挂起 ”选项卡上查看。有关详细信息,请参阅 通信合规性功能参考

  • :此视图是大多数基于 Web 的消息传送平台中常见的标准消息视图。 标头信息的格式采用普通样式,消息正文支持嵌入的图形文件和字包装文本。 如果为策略启用了 光学字符识别 (OCR) ,则包含与策略条件匹配的打印文本或手写文本的图像将作为此视图中关联邮件的子项进行查看。

  • 纯文本:显示邮件的仅行数文本视图的文本视图,并在邮件和附件中包含关键字 (keyword) 突出显示的敏感信息类型术语、由分配给策略的内置分类器标识的术语或分配给策略的专用关键字 (keyword) 字典中包含的术语。 关键字突出显示目前仅适用于英语,可帮助将你定向到长消息和附件中感兴趣的区域。 在某些情况下,突出显示的文本可能仅在邮件与策略条件匹配的附件中。 不会显示嵌入文件,并且此视图中的行号有助于在多个审阅者之间引用相关详细信息。

  • 对话:此视图可用于 Teams 聊天消息,在邮件前后最多显示五条消息,以帮助审阅者查看对话上下文中的活动。 选择“ 加载更多 ”,在消息前后最多加载 20 条消息。 若要下载邮件,请选择“ 下载对话”。 这会下载你在用户界面中看到的所有内容的图像文件,以及) 的所有消息元数据 (userId、UserName 等 .csv 文件。

    对话视图上下文可帮助审阅者快速评估消息,并做出更明智的消息解决决策。 将显示对话的实时消息添加内容,包括 Teams 中提供的所有内联图像、表情符号和贴纸。 不会显示邮件的图像或文本文件附件。 对于已编辑的邮件或已从“对话”窗口中删除的邮件,将自动显示通知。 解析消息后,关联的对话消息不会与已解析的消息一起保留。

  • 检测到的模式 通知:随着时间的推移,许多骚扰和欺凌操作涉及用户重复出现相同行为的实例。 检测到 的模式 通知显示在消息详细信息中,并引起对消息的关注。 模式检测基于每个策略,并评估发件人向同一收件人发送至少两封邮件时过去 30 天的行为。 调查人员和审阅者可以使用此通知来确定重复行为,以便根据需要评估消息。

  • 翻译:此视图会自动将消息文本转换为每个审阅者在 Microsoft 365 订阅中的 “显示语言 ”设置中配置的语言。 这包括策略匹配的文本,对话视图中包含的所有内容 (最多在策略匹配) 之前 5 条消息和 5 条消息之后。 翻译视图有助于扩大对具有多语言用户的组织的调查支持,并消除了在通信合规性审查过程之外对其他翻译服务的需求。 使用Microsoft翻译服务,通信合规性会自动检测文本是否与用户的当前系统设置不同,并相应地显示警报消息文本。 有关支持的语言的完整列表,请参阅 Microsoft翻译语言翻译视图中支持“翻译语言列表”中列出的语言。

  • 用户活动:此视图提供 内部风险管理 和通信合规性捕获的风险配置文件、策略匹配和用户活动。 此集成可帮助通信合规性调查人员快速查看风险严重性和用户的相关活动,同时调查和会审挂起的策略匹配项。

    用户活动 ”视图显示用户的 预览体验成员风险严重 级别,并包含两个部分,一个部分用于通信合规性策略匹配项和活动,一个部分用于内部风险管理风险活动。 如果启用了数据共享,请在“ ”选项卡中通过内部风险管理查看用户的风险严重性。 有关详细信息,请参阅 与其他解决方案共享内部风险管理数据

    通信合规性策略匹配项:此部分显示通信 策略匹配 项的总数,以及此策略匹配中包含的用户的 修正操作 总数。

    选择“在此部分中查看详细信息”,显示用户的通信合规性活动时间线。 此时间线包括:

    • 策略匹配项和用户的修正操作的总计
    • 过去 30 天内与用户关联的每个活动的详细信息。

    预览体验成员风险活动:此部分显示 风险活动的 总数,以及与此用户关联的活动(针对内部风险管理策略)的 异常 活动总数。 异常活动 是用户认为存在潜在风险的活动,因为它们不寻常,并且不同于其典型活动。

    选择此部分中的“查看详细信息”,显示用户的内部风险活动时间线。 此时间线包括:

    若要查看内部风险管理中的内部风险活动,请选择“ 在内部风险管理中打开”。

在 Microsoft Purview 中使用 Copilot 汇总消息

可以在 Microsoft Purview 中使用 Copilot 来提供策略匹配中包含的 Teams、电子邮件或Viva Engage邮件的上下文摘要。 提供的摘要位于一个或多个 可训练的分类器的 上下文中,这些分类器标记消息 (例如股票操作) 。 如果消息内容过长,这可以为调查人员节省时间。

Microsoft Purview 中的 Copilot 汇总了整个邮件,包括) (docx、pdf 或 txt 文件的任何视频录制、会议脚本或附件。

限制

  • 邮件内容必须至少为 100 字且少于 15,000 字。 如果邮件内容小于 100 字或超过 15,000 字,则 Microsoft Purview 中的 Copilot 不会对其进行汇总。
  • 目前,只有英语消息支持进行汇总。
  • 目前,只能汇总单个 Teams 消息。 如果汇总单个 Teams 消息,则 Copilot 不会拉入周围的对话。

在 Microsoft Purview 中使用 Copilot 的先决条件

若要在 Microsoft Purview 中使用 Copilot 总结通信合规性消息,必须具有特定的许可证,并且必须在 Microsoft Purview 中将组织加入 Copilot。 详细了解 Copilot Microsoft Purview 许可要求和载入。 你还必须是 通信合规性通信合规性分析师通信合规性调查员 角色的成员。

汇总消息

  1. 在通信合规性中,转到“ 策略 ”页,然后打开任何策略以查看该策略的策略匹配项。

  2. 在列表中选择一封邮件。 可以选择父项或子项。 但是,选择父项通常更容易。

  3. 在邮件详细信息下方,选择“ 汇总”。 这会打开屏幕右侧的 Copilot 面板,并显示邮件摘要。

    重要

    选择 “汇总”后,你可能会看到一条泛型错误消息,指出“发生错误”。 出现此错误消息的原因有以下任一原因:

    • Microsoft Purview 中没有 Copilot 所需的许可证
    • 你没有所需的通信合规性角色和/或Security Copilot 参与者角色。 若要在 Microsoft Purview 中使用 Copilot,必须具有以下通信合规性角色之一: 通信合规性通信合规性分析员通信合规性调查员。 还必须具有Security Copilot 参与者角色,默认情况下,应为Microsoft Entra组织中的所有用户启用该角色。
    • 存在内部错误。 Microsoft将提供有关这些错误的详细信息。
  4. 若要使用 Copilot 创建摘要,请选择面板底部的建议提示之一。 例如,如果标记邮件的分类器为“股票操作”,请在 检测到的“库存操作类别”上下文中选择“汇总此邮件和支持的附件”。 还可以在“提问”框中输入开放式问题。

    Microsoft Purview 面板中的 Copilot 通信合规性

    a. Summarize
    b. 由 Summarize 生成的摘要。
    c. 建议的 Copilot 提示。
    d. 开放式 Copilot 问题的“提问”框。

    注意

    仅汇总邮件内容。 如果提出与邮件内容相关的问题,Copilot 会提供结果。 如果问题与邮件内容无关,Copilot 会指示你提出其他问题。

  5. 如果要提供有关汇总内容的反馈,请选择摘要下方右下角的下拉箭头,然后输入反馈。

  6. 查看摘要后,可以像修正任何其他策略匹配一样修正策略匹配 (请参阅下一部分) 。

注意

Microsoft Purview 响应中的 Copilot 也记录在 Microsoft Security Copilot 中。

了解隐藏的匹配项

触发通信合规性策略时,它会突出显示“ 纯文本 ”选项卡中的完全匹配项。但是,策略还可以标记隐藏关键字并嵌入不可见元数据(如 HTML 标记或编码字符串)的消息。 默认情况下,此内容在纯文本视图中不可见。

下面是可能会出现隐藏内容匹配的一些示例方案:

  • HTML 标记:HTML 标记中嵌入的超链接,例如:

    <a href="https://example.com">Click here</a>.
    
  • 图像的可选文本:图像的描述性文本,例如:

    <img src="sunset.png" alt="Sunset over the lake">
    
  • 编码字符串:解码时表示不同内容的编码字符串,例如:

    Base64: U3Vuc2V0IG92ZXIgdGhlIGxha2U= 解码到 湖上的日落

  • 附件文件名:附件的文件名可能会导致策略匹配,但在文本视图中未明确突出显示。

  • 光学字符识别: 使用光学字符识别 (OCR) 从图像中提取的文本。

如果显示的消息与为策略设置的条件不匹配,请完成以下步骤:

  1. 选择并下载策略匹配的邮件。
  2. 提取压缩文件夹的内容。
  3. 找到.eml文件。
  4. 使用任何文本编辑器打开.eml文件。
  5. 使用 Find 函数在策略条件中搜索各个关键字,以确定匹配发生的位置。

决定修正操作

查看邮件详细信息后,可以从多个修正操作中进行选择:

  • 解决:选择“ 解决 ”会立即从 “挂起 ”队列中删除消息,并且无法对消息执行进一步操作。 选择“ 解决”时,关闭邮件而不进一步分类。 如果警报进程和任何可训练的分类器错误地生成了消息,还可以将消息标记为分类错误。 所有已解决的消息都显示在“ 已解决 ”选项卡中。

    为了在多个策略之间出现重复策略匹配的情况下节省调查人员的时间,默认情况下会打开 跨策略解决 设置 (预览) ,这意味着,在解决策略匹配时,通信合规性会自动解析检测到该策略的任何策略中同一策略匹配的所有实例,而不管审阅者的范围如何。 跨策略解决操作在每个策略的项历史记录中记录,在所有相关策略的“每个策略的项和操作”和“每个位置的项目和操作”报告中,已解决的项目数将递增。

    启用 “跨策略解决 ”设置后,此消息将显示在“ 解决 ”窗格中。

    通信合规性跨策略解决消息

    如果不希望在调查人员解析策略匹配时自动解析同一策略匹配的所有实例,可以关闭 跨策略解析 设置。 任何能够解析消息 (具有通信合规性、通信合规性调查员通信合规性分析员角色) 的人都将知道设置是否已关闭,因为“解决”窗格中的消息将消失。 若要关闭设置,请在 Microsoft Purview 门户中,选择页面右上角的 “设置” ,选择“ 通信符合性”,然后选择 “跨策略解析 ”设置。 在 合规性门户中,选择页面右上角的 “设置” ,然后选择 “跨策略解析 ”设置。

  • Power Automate:使用 Power Automate 流自动处理消息的任务。 默认情况下,通信合规性包括 当用户具有通信合规性警报流模板时通知管理器 ,审阅者可以使用该模板自动执行具有消息警报的用户的通知过程。 有关在通信合规性中创建和管理 Power Automate 流的详细信息,请参阅本文中的 步骤 5:考虑 Power Automate 流 部分。

  • 标记为:将邮件标记为 “合规”、“ 不符合”或“ 可疑 ”,因为它与组织的策略和标准相关。 还可以 创建自定义标记。 添加标记和标记注释有助于对邮件进行微筛选,以用于升级或作为其他内部评审过程的一部分。 标记完成后,还可以选择解析消息以将其移出挂起的队列。 可以筛选任何标记值。

  • 通知:使用 “通知” 将自定义通知模板分配给消息,并向用户发送警告通知。 选择在 “通信符合性设置” 区域中配置的相应通知模板,然后选择“ 发送 ”以通过电子邮件向发送邮件的用户发送提醒并解决问题。

  • 升级:使用 “升级 ”选择组织中应查看邮件的其他人。 从在通信合规性策略中配置的审阅者列表中进行选择,以发送电子邮件通知,请求对邮件进行其他评审。 所选审阅者可使用电子邮件通知中的链接直接转到上报给他们审阅的项目。

  • 升级以进行调查:使用 “升级调查 ”为单个或多个邮件创建新的 电子数据展示 (Premium) 案例 。 为新事例提供名称和备注。 将自动为你填写保管人。 无需任何其他权限即可管理案例。 创建事例不会解决或为消息创建新标记。 在修正过程中创建电子数据展示 (Premium) 案例时,总共可以选择 100 条消息。 支持通信合规性中包含的所有通信通道中的消息。 例如,在为用户打开新的电子数据展示 (Premium) 案例时,可以选择 50 个Microsoft Teams 聊天、25 Exchange Online电子邮件和 25 Viva Engage消息。

  • 在 Teams 中删除邮件:使用 “在 Teams 中删除邮件” 来阻止来自Microsoft Teams 频道和 1:1 和群组聊天的邮件中识别出的潜在不适当的消息和内容。 这包括用户报告的 Teams 聊天消息,以及使用机器学习和基于分类器的通信合规性策略检测到的聊天消息。 已删除的邮件和内容将替换为策略提示,该提示说明它已被阻止,以及应用于从视图中删除邮件和内容的策略。 策略提示中为收件人提供了一个链接,以了解有关适用策略和评审过程的详细信息。 发件人会收到阻止邮件和内容的策略提示,但可以查看阻止邮件的详细信息和内容,了解有关删除的上下文。

创建自定义标记

可以将策略匹配标记为“符合”、“不符合”“可疑”,因为它与组织的策略和标准相关。 如果需要比标准标记提供更大的灵活性,请创建自定义标记。 例如,你可能想要创建一个 “已升级” 标记,以便调查人员可以让其他团队成员知道策略匹配已升级。 由于可以向任何策略匹配应用多个标记,因此使用相同的示例,调查人员可以应用该标记,并为策略匹配应用 不符合 标记。

对于自定义标记,请记住以下事项:

  • 可以将标记应用于显示在“ 挂起 ”选项卡上的策略匹配项。
  • 可以将多个标记应用于策略匹配。
  • 每个策略最多可以创建 10 个自定义标记。
  • 在策略级别创建自定义标记,因此如果要对多个策略使用相同的自定义标记,则必须为每个策略重新创建标记。
  • 将自定义标记应用于策略匹配项时:
    • 标记显示在策略匹配项列表中的 “标记” 列中。 如果应用多个标记,每个标记将显示在 “标记” 列中。
    • 标记将显示在 “标记” 筛选器中。 然后,可以选中该标记的复选框,按该标记筛选所有策略匹配项。
    • 自定义 标记 列显示在以下报表中: 每个策略的项目和操作每个位置的项和操作以及 按用户的活动
  • 如果删除策略的自定义标记:
    • 它将从以前使用该自定义标记标记的任何项中删除。
    • 你将无法再按该标记进行筛选。

提示

“修正操作的历史记录 ”窗格中跟踪对自定义标记执行的任何操作。 选择“ 查看项历史记录 ”以显示此窗格。

为策略匹配创建并应用自定义标记
  1. “策略 ”页上,选择一个策略以查看该策略的策略匹配项。
  2. 选中要为其创建自定义标记的策略匹配项的复选框。 如果要批量应用自定义标记,请选中多个策略匹配项的复选框。
  3. 在命令栏上选择“ 标记为 ”。
  4. 在屏幕右侧的“ 标记项 ”窗格中,选择“ 添加新标记”。
  5. 输入新标记的名称,然后按 Enter 添加新标记。

    注意

    自定义标记必须介于 3 到 64 个字符之间,并且不能包含特殊字符。 允许使用空格和连字符。

  6. 选中新标记的复选框,将其应用于策略匹配项。
  7. 在“ 注释 ”框中,添加注释以描述标记的用途 (可选) 。
  8. 选择“保存”
编辑或删除自定义标记
  1. “策略 ”页上,选择一个策略以查看该策略的策略匹配项。
  2. 选中具有要编辑的自定义标记的策略匹配项的复选框。
  3. 在命令栏上选择“ 标记为 ”。
  4. 在屏幕右侧的“ 标记项 ”窗格中,选择自定义标记旁边的省略号。
  5. 选择 “编辑”,然后进行更改,或选择“ 删除 ”以删除标记。

    重要

    如果删除自定义标记,则会从以前使用该自定义标记标记的任何项中删除该自定义标记。 你将无法再按该标记进行筛选。

  6. 选择“保存”

查看Microsoft Teams 会议脚本

如果已在租户中部署Microsoft Teams,可以查看 Teams 会议脚本以获取可操作的警报。 如果在创建自定义策略或基于模板创建策略时选择 Teams 作为 Microsoft 365 位置,则会自动包含 Teams 脚本。

  • 已安排的会议:通信合规性忽略 Teams 脚本的通信方向。 如果个人是被邀请者或出现在计划的 (非定期) 会议中,则无论谁在会议中说了什么,都会包含所有会议内容。 当用户通过会议室中的中心设备参加会议时,这也会有所帮助,因为并不总是能够判断有问题的通信是否来自范围内用户。 由于包含所有会议内容,因此调查人员可以查看会议的录制内容,以确定有问题的通信是否由范围内用户说出。

  • 定期会议:对于定期会议,仅评估以下用户:

    • 受邀参加会议的用户
    • 脚本标识为在会议期间说话的用户
  • 非计划会议:对于计划外会议 (“立即开会”会议) ,仅评估脚本标识为在会议期间发言的用户。

要求

若要查看 Teams 会议脚本,必须打开租户的会议脚本,因为默认情况下不启用会议脚本。 详细了解如何为租户启用会议脚本

限制

  • 可以设置以下一个或多个策略条件:

    • 内容与这些分类器中的任何一个匹配。
    • 内容包含这些敏感信息类型中的任何一种。
    • 消息包含这些字词中的任何一个。
    • 消息不包含这些字词。

    将忽略任何其他策略条件。详细了解条件设置

    注意

    如果未设置任何条件,则会为所有会议捕获脚本。

  • 仅检测到敏感信息类型、关键字 (keyword) 列表和法规可训练的分类器。 法规可训练分类器包括:

    注意

    不会检测到所有其他分类器,包括商业行为分类器。

  • 不会捕获临时 (计划外) 会议。

  • 如果会议组织者不在租户之外,则不会捕获外部会议。

  • 不会捕获由未经邀请的用户启动的会议录制。

解决会议脚本中通信的警报

创建策略后,当检测到包含违规内容的脚本时,会触发警报,以将违规内容和背景上下文引起调查人员的注意。

若要解决与会议脚本相关的警报,请执行以下操作:

  1. 选择“ ”选项卡,然后查看违规内容的脚本。 “ ”选项卡显示整个脚本。 选择“ ”选项卡时,脚本将自动滚动到包含策略匹配项的行。 突出显示了冒犯性关键字 (keyword) /短语。
  2. 使用“ 纯文本 ”选项卡可逐行查看文本,包括相对于整个会议时间的开始时间和停止时间。 在违规通信前后 30 秒捕获文本。
  3. 选择“ 翻译 ”选项卡,查看“ 纯文本 ”选项卡最多 8 种语言的翻译。其他语言的邮件会自动转换为审阅者的显示语言。
  4. 选择“ 用户历史记录 ”选项卡可查看所有用户消息修正活动的历史视图,例如策略匹配的过去通知和升级。
  5. 对于调查选项,请使用 “解决”、“ 通知”、“ 标记为”、“ 升级”和“ 升级 ”来解决警报。 若要了解有关这些选项的详细信息,请参阅 决定修正操作

未解析消息

解析消息后,它们将从“ 挂起 ”选项卡中删除,并显示在“ 已解决 ”选项卡中。调查和修正操作不适用于“ 已解决 ”选项卡中的邮件。但是,在某些情况下,可能需要对错误解决的消息采取其他操作,或者在初始解析后需要进一步调查。 可以使用 Unresolve 命令将一个或多个邮件从“ 已解决 ”选项卡移回 “挂起 ”选项卡。

取消解析消息

为正在使用的门户选择相应的选项卡。 根据 Microsoft 365 计划,Microsoft Purview 合规门户已停用或即将停用。

若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户
  2. 转到 通信合规性 解决方案。
  3. 在左侧导航中选择“ 策略 ”,然后选择包含已解析消息的策略以查看策略匹配项。
  4. 选择“ 已解决 ”选项卡。
  5. 在“ 已解决 ”选项卡上,选择一个或多个邮件。
  6. 在命令栏上,选择“ 未解析”。
  7. 在“ 未解析项 ”窗格中,添加任何适用的注释,然后选择“ 保存”。
  8. 选择“ 挂起 ”选项卡,验证是否显示所选项目。

存档通信合规性之外的邮件详细信息 (可选)

如果需要将邮件存档到单独的存储解决方案中,可以导出或下载邮件详细信息。 如果选择一个或多个策略匹配项,然后在列表的栏中选择“ 下载 ”,则所选邮件将自动添加到 .zip 文件中,可以在 Microsoft 365 之外的存储中保存该文件。 使用 下载 下载的文件的大小限制为 3 MB。

导出大小超过 3 MB 的邮件详细信息集合

如果要下载累积超过 3 MB 的邮件,请使用“策略”页面右上角显示的“导出文件” () 。 例如,你可能希望每周下载策略匹配项以进行存档。 “导出文件”命令的下载大小限制为 3 GB。 最大项目数取决于选择文档 (限制为 1,000 项) 还是用户 (限制为 50,000) 。 文件将导出到 .zip 文件,然后可以下载该文件。 .zip 文件包含所有消息文件以及摘要 .TXT 文件,该文件包括以下字段的数据:文档、文档 ID、保管人、主题/标题、文件名、文件类型、错误和消息。

在“ 导出 ”选项卡上,导出的状态为“ 正在进行”“准备下载”。 若要下载状态为 “已准备好下载 ”的文件,请在“ 名称 ”列表中选择文件批,然后在列表中选择“ 下载导出 () ”。

你可以选择要导出的策略匹配项,选择“ 导出文件”,然后选择要导出的文档或用户列表,也可以选择“ 导出文件 ”,然后选择要导出的文档、用户和日期范围。 选择“ 导出”后,作业需要几分钟才能完成。 当导出准备好下载时,你将收到一封电子邮件通知,其中包含指向“ 导出 ”选项卡的链接。 若要下载状态为 “已准备好下载 ”的文件,请在“ 名称 ”列表中选择文件批,然后在列表中选择“ 下载导出 () ”。

注意

若要在导出的文件中包括附件,必须在策略匹配项列表中手动选择附件。 它们不会自动包含在其父消息文件中。

考虑 Power Automate 流

Microsoft Power Automate 是一种工作流服务,可跨应用程序和服务自动执行操作。 通过使用模板中的流或手动创建,可以自动执行与这些应用程序和服务关联的常见任务。 启用 Power Automate 流以实现通信合规性时,可以自动执行警报和用户的重要任务。 可以配置 Power Automate 流,以便在用户收到通信合规性警报和其他应用程序时通知管理员。

Microsoft包含通信合规性的 365 订阅的客户不需要其他 Power Automate 许可证即可使用建议的默认通信合规性 Power Automate 模板。 可以自定义默认模板以支持组织并涵盖核心通信合规性方案。 如果选择在这些模板中使用高级 Power Automate 功能、使用 Microsoft Purview 连接器创建自定义模板,或者将 Power Automate 模板用于 Microsoft Purview 中的其他合规性领域,则可能需要其他 Power Automate 许可证。

重要

测试 Power Automate 流时是否收到其他许可证验证提示? 你的组织可能尚未收到此预览版功能的服务更新。 正在部署汇报,且包含通信合规性Microsoft 365 订阅的所有组织都应在 2020 年 10 月 30 日之前对从建议的 Power Automate 模板创建的流具有许可证支持。

通信合规性 Power Automate。

以下 Power Automate 模板提供给客户,用于支持通信合规性警报的流程自动化:

  • 当用户收到通信合规性警报时通知经理:当用户收到通信合规性警报时,某些组织可能需要立即收到管理通知。 配置并选择此流后,将向案例用户的经理发送一封电子邮件,其中包含有关所有警报的以下信息:
    • 警报的适用策略
    • 警报的日期/时间
    • 警报的严重性级别

创建通知模板

如果要在问题解决过程中向用户发送策略匹配的电子邮件提醒通知,则可以创建通知模板。 通知只能发送到与生成修正特定警报的策略匹配关联的用户电子邮件地址。 选择要作为修正工作流一部分应用于策略冲突的通知模板时,可以选择接受模板中定义的字段值或根据需要覆盖字段。

通知模板是自定义电子邮件模板,可在其中在 “通信合规性设置” 区域中定义以下邮件字段:

字段 必需 详细信息
模板名称 将在修正期间在通知工作流中选择的通知模板的友好名称支持文本字符。
发件人地址 从订阅的 Active Directory 中选择的一个或多个用户或组的地址,该用户或组将消息发送给具有策略匹配项的用户。
抄送和密件抄送地址 要通知策略匹配的可选用户或组,从订阅的 Active Directory 中选择。
主题 邮件主题行中显示的信息支持文本字符。
邮件正文 邮件正文中显示的信息支持文本或 HTML 值。

用于通知的 HTML

如果要为通知创建多个基于文本的简单电子邮件,可以使用通知模板的邮件正文字段中的 HTML 来创建更详细的邮件。 以下示例为基于 HTML 的基本电子邮件通知模板提供邮件正文格式:

<!DOCTYPE html>
<html>
    <body>
        <h2>Action Required: Contoso Employee Code of Conduct Policy Training</h2>
        <p>A recent message you've sent has generated a policy alert for the Contoso Employee <a href='https://www.contoso.com'>Code of Conduct Policy</a>.</p>
        <p>You are required to attend the Contoso Employee Code of Conduct <a href='https://www.contoso.com'>training</a> within the next 14 days. Please contact <a href='mailto:hr@contoso.com'>Human Resources</a> with any questions about this training request.</p>
        <p>Thank you,</p>
        <p><em>Human Resources</em></p>
    </body>
</html>

注意

通信合规性通知模板中的 HTML href 属性实现目前仅支持单引号,而不是 URL 引用的双引号。

使用 Microsoft Power Automate 自动执行警报和用户的任务

若要从建议的默认模板创建 Power Automate 流,请在直接处理警报时使用 Automate 中的“管理 Power Automate 流”选项。 若要使用“管理 Power Automate 流 ”创建 Power Automate 流,必须至少是一个通信合规性角色组的成员。

自动执行任务

为正在使用的门户选择相应的选项卡。 根据 Microsoft 365 计划,Microsoft Purview 合规门户已停用或即将停用。

若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户
  2. 转到 通信合规性 解决方案。
  3. 在左侧导航中选择“ 策略 ”,然后选择包含要查看的策略匹配项的策略。
  4. 选择“ 挂起 ”选项卡,然后选择策略匹配项。
  5. 从警报操作菜单中选择“ Power Automate ”。
  6. “Power Automate ”页上,从页面上 可能喜欢的“通信合规性模板 ”部分选择默认模板。
  7. 流列出了流所需的嵌入连接,并显示连接状态是否可用。 如果需要,请更新未显示为可用的任何连接。 选择 继续
  8. 默认情况下,建议的流使用建议的通信合规性进行预配置,Microsoft完成流分配的任务所需的 365 服务数据字段。 如果需要,请使用 显示高级选项 并配置流组件的可用属性来自定义流组件。
  9. 如果需要,请选择“新建步骤”,将任何其他 步骤添加到流。 在大多数情况下,建议的默认模板不需要此更改。
  10. 选择“ 保存草稿 ”以保存流以供以后进行进一步配置,或选择“ 保存” 以完成流的配置。
  11. 选择“ 关闭 ”以返回到 Power Automate 流页。 新模板在“ 我的 流”选项卡上列为流,并在处理通信合规性警报时自动可供创建该流的用户使用。

共享 Power Automate 流

默认情况下,用户创建的 Power Automate 流仅对该用户可用。 要使其他通信合规性用户有权访问和使用流,流必须由流创建者共享。 若要共享流,请在直接处理警报时使用 Power Automate

若要共享 Power Automate 流,必须至少是一个通信合规性角色组的成员。

共享流

为正在使用的门户选择相应的选项卡。 根据 Microsoft 365 计划,Microsoft Purview 合规门户已停用或即将停用。

若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户
  2. 转到 通信合规性 解决方案。
  3. 在左侧导航中选择“ 策略 ”,然后选择包含要查看的策略匹配项的策略。
  4. 选择“ 挂起 ”选项卡,然后选择挂起的策略匹配项。
  5. 从警报操作菜单中选择“ Power Automate ”。
  6. “Power Automate 流 ”页上,选择“ 我的流 ”或“ 团队流 ”选项卡。
  7. 选择要共享的流,然后从“流选项”菜单中选择“共享”。
  8. 在流共享页上,输入要添加为流所有者的用户或组的名称。
  9. 在“ 已使用的连接 ”对话框中,选择“ 确定 ”以确认添加的用户或组将具有对流的完全访问权限。

编辑 Power Automate 流

如果需要编辑流,请在直接处理警报时使用 Power Automate 。 若要编辑 Power Automate 流,你必须是至少一个通信合规性角色组的成员。

编辑流

为正在使用的门户选择相应的选项卡。 根据 Microsoft 365 计划,Microsoft Purview 合规门户已停用或即将停用。

若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户
  2. 转到 通信合规性 解决方案。
  3. 在左侧导航中选择“ 策略 ”,然后选择包含要查看的策略匹配项的策略。
  4. 选择“ 挂起 ”选项卡,然后选择挂起的策略匹配项。
  5. 从警报操作菜单中选择“ Power Automate ”。
  6. “Power Automate 流 ”页上,选择要编辑的流。 从流控制菜单中选择 “编辑 ”。
  7. 选择 省略号>“设置” 以更改流组件设置,或选择 省略号>“删除 ”以删除流组件。
  8. 选择“ 保存”,然后在完成流编辑后 选择“关闭 ”。

删除 Power Automate 流

如果需要删除流,请在直接处理警报时使用 Power Automate 。 若要删除 Power Automate 流,你必须是至少一个通信合规性角色组的成员。

删除流

为正在使用的门户选择相应的选项卡。 根据 Microsoft 365 计划,Microsoft Purview 合规门户已停用或即将停用。

若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户
  2. 转到 通信合规性 解决方案。
  3. 在左侧导航中选择“ 策略 ”,然后选择包含要查看的策略匹配项的策略。
  4. 选择“ 挂起 ”选项卡,然后选择挂起的策略匹配项。
  5. 从警报操作菜单中选择“ Power Automate ”。
  6. “Power Automate 流 ”页上,选择要删除的流。 从流控制菜单中选择 “删除 ”。
  7. 在“删除确认”对话框中,选择“ 删除 ”以删除流,或者选择“ 取消”。