数据丢失防护交换条件和操作参考
Microsoft Purview 数据丢失防护 (DLP) 策略中的条件标识应用策略的敏感项。 操作定义由于满足异常条件而发生的情况。
- 条件定义要包含的内容
- 操作定义满足条件后发生的情况
大多数条件都有一个支持一个或多个值的属性。 例如,如果 DLP 策略应用于 Exchange 电子邮件,则 发件人 为条件需要邮件的发件人。 一些条件有两个属性。 例如,“邮件头包含以下任何词语”条件需要一个属性来指定邮件头字段,需要第二个属性来指定要在头字段中查找的文本。 某些条件或例外没有任何属性。 例如, “附件受密码保护 ”条件只是查找受密码保护的邮件中的附件。
操作通常需要其他属性。 例如,当 DLP 策略规则重定向邮件时,需要指定将消息重定向到的位置。
提示
开始使用Microsoft Security Copilot,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的Microsoft Security Copilot。
DLP 策略的交换条件
以下部分中的表描述了 DLP 中可用的条件和异常。
发件人
如果使用发件人地址作为条件,则查找值的实际字段因配置的发件人地址位置而异。 默认情况下,DLP 规则使用标头地址作为发件人地址。
在租户级别,可以配置要跨所有规则使用的发件人地址位置,除非被单个规则重写。 若要设置租户 DLP 策略配置以跨所有规则评估信封中的发件人地址,可以运行以下命令:
Set-PolicyConfig -SenderAddressLocation Envelope
若要在 DLP 规则级别配置发件人地址位置,参数为 SenderAddressLocation。 可用值有:
标头:仅检查邮件头 (发件人,例如, 发件人、 发件人或 答复-收件人 字段) 。 此值为默认值。
信封:仅检查邮件信封中的发件人 (SMTP 传输中使用的 MAIL FROM 值,通常存储在 “返回路径” 字段中) 。
邮件头或信封 (
HeaderOrEnvelope) 检查邮件头和邮件信封中的发件人。
| DLP 中的条件或异常 | 安全性 & 合规性 PowerShell 中的条件/异常参数 | 属性类型 | 说明 |
|---|---|---|---|
| 发件人为 | 条件: 从 异常: ExceptIfFrom |
Addresses | 由组织中的指定邮箱、邮件用户、邮件联系人或Microsoft 365 个组发送的邮件。 |
| 发件人为以下组的成员 | 条件: FromMemberOf 异常: ExceptIfFromMemberOf |
Addresses | 由指定通讯组的成员、启用邮件的安全组或Microsoft 365 组的成员发送的邮件。 |
| 发件人 IP 地址为 | 条件: SenderIPRanges 异常: ExceptIfSenderIPRanges |
IPAddressRanges | 发件人的 IP 地址匹配指定的 IP 地址或位于指定的 IP 地址范围内的邮件。 |
| 发件人地址包含字词 | 条件: FromAddressContainsWords 异常: ExceptIfFromAddressContainsWords |
Words | 发件人电子邮件地址中包含指定词语的邮件。 |
| 发件人地址与模式匹配 | 条件: FromAddressMatchesPatterns 异常: ExceptFromAddressMatchesPatterns |
模式 | 发件人的电子邮件地址包含匹配指定正则表达式的文本模式的邮件。 |
| 发件人域为 | 条件: SenderDomainIs 异常: ExceptIfSenderDomainIs |
DomainName | 发件人的电子邮件地址域与指定值匹配的邮件。 如果需要查找 包含 指定域 (例如域) 的任何子域的发件人域,请使用 发件人地址匹配 (FromAddressMatchesPatterns) 条件,并使用语法指定域: '\.domain\.com$'。 |
| 发件人范围 | 条件: FromScope 异常: ExceptIfFromScope |
UserScopeFrom | 内部或外部发件人发送的消息。 |
| 发件人的指定属性包括以下任何词语 | 条件: SenderADAttributeContainsWords 异常: ExceptIfSenderADAttributeContainsWords |
首要属性:ADAttribute 次要属性:Words |
发件人的指定Microsoft Entra ID属性包含任何指定字词的邮件。 |
| 发件人的指定属性匹配这些文本模式 | 条件: SenderADAttributeMatchesPatterns 异常: ExceptIfSenderADAttributeMatchesPatterns |
首要属性:ADAttribute 次要属性:Patterns |
发件人的指定Microsoft Entra ID属性包含与指定正则表达式匹配的文本模式的消息。 |
收件人
当向多个收件人发送电子邮件并且 DLP 策略规则仅允许传递其中一些电子邮件时,电子邮件可能会被 分流。 例如,假设 DLP 策略规则允许将电子邮件发送到组织内的电子邮件地址,并阻止将电子邮件发送到外部电子邮件地址。
有几个策略条件会导致分叉:允许将电子邮件发送给某些用户,但不允许发送给其他用户。 有关分叉的详细信息以及分叉工作原理的详细信息,请参阅有关 分叉的文章。
| DLP 中的条件或异常 | 安全性 & 合规性 PowerShell 中的条件/异常参数 | 属性类型 | 说明 | 混为一团? |
|---|---|---|---|---|
| 收件人为 | 条件: SentTo 异常: ExceptIfSentTo |
Addresses | 其中一个收件人是组织中的指定邮箱、邮件用户或邮件联系人的邮件。 收件人可以位于邮件的 “收件人”、“ 抄送”或“ 密件抄送 ”字段中。 | 是 |
| 收件人域为 | 条件: RecipientDomainIs 异常: ExceptIfRecipientDomainIs |
DomainName | 收件人电子邮件地址的域与指定值匹配的邮件。 | 是 |
| 收件人地址包含字词 | 条件: AnyOfRecipientAddressContainsWords 异常: ExceptIfAnyOfRecipientAddressContainsWords |
Words | 收件人电子邮件地址中包含指定词语的邮件。 注意:此条件不考虑发送到收件人代理地址的邮件。 它只匹配发送到收件人主电子邮件地址的邮件。 |
否 |
| 收件人地址与模式匹配 | 条件: AnyOfRecipientAddressMatchesPatterns 异常: ExceptIfAnyOfRecipientAddressMatchesPatterns |
模式 | 收件人的电子邮件地址包含匹配指定正则表达式的文本模式的邮件。 注意:此条件不考虑发送到收件人代理地址的邮件。 它只匹配发送到收件人主电子邮件地址的邮件。 |
否 |
| 已发送到 的成员 | 条件: SentToMemberOf 异常: ExceptIfSentToMemberOf |
Addresses | 包含属于指定通讯组、启用邮件的安全组或Microsoft 365 组成员的收件人的邮件。 该组可以位于邮件的 “收件人”、“ 抄送”或“ 密件抄送 ”字段中。 | 是 |
| 收件人的指定属性包括以下任何词语 | 条件: RecipientADAttributeContainsWords 异常: ExceptIfRecipientADAttributeContainsWords |
首要属性:ADAttribute 次要属性:Words |
收件人的指定Microsoft Entra ID属性包含任何指定字词的邮件。 请注意, Country 属性需要两个字母的国家/地区代码值 (例如 DE for Germany) 。 |
是 |
| 收件人的指定属性匹配这些文本模式 | 条件: RecipientADAttributeMatchesPatterns ExceptIfRecipientADAttributeMatchesPatterns |
首要属性:ADAttribute 次要属性:Patterns |
收件人的指定 Entra ID 属性包含与指定正则表达式匹配的文本模式的邮件。 | 是 |
| 收件人范围/内容与 共享 | 条件: AccessScope 异常: ExceptIfAccessScope |
UserScopeFrom | 内部或外部收件人接收的邮件。 | 是 |
邮件主题或正文
| DLP 中的条件或异常 | 安全性 & 合规性 PowerShell 中的条件/异常参数 | 属性类型 | 说明 |
|---|---|---|---|
| 主题包含字词或短语 | 条件: SubjectContainsWords 异常: ExceptIf SubjectContainsWords |
Words | 在" Subject "字段中包含指定词语的邮件。 此条件对非英语多字节字符的支持有限。 |
| 主题与模式匹配 | 条件: SubjectMatchesPatterns 异常: ExceptIf SubjectMatchesPatterns |
模式 | " Subject "字段包含匹配指定正则表达式的文本模式的邮件。 |
| 内容包含 | 条件: ContentContainsSensitiveInformation 异常: ExceptIfContentContainsSensitiveInformation |
SensitiveInformationTypes | 包含Microsoft Purview 数据丢失防护 (DLP) 策略定义的敏感信息的邮件或文档。 |
| 未标记内容 | 条件: ContentIsNotLabeled Exception:ExceptIfContentIsNotLabeled |
敏感度标签 | 电子邮件和附加文档均不包含Microsoft Purview 数据丢失防护 (DLP) 策略定义的任何敏感度标签的邮件。 |
| 主题或正文匹配模式 | 条件: SubjectOrBodyMatchesPatterns 异常: ExceptIfSubjectOrBodyMatchesPatterns |
模式 | 主题字段或邮件正文包含与指定正则表达式匹配的文本模式的消息。 |
| 主题或正文包含字词 | 条件: SubjectOrBodyContainsWords 异常: ExceptIfSubjectOrBodyContainsWords |
Words | 主题字段或邮件正文中具有指定字词的邮件。 此条件对非英语多字节字符的支持有限。 |
附件
| DLP 中的条件或异常 | 安全性 & 合规性 PowerShell 中的条件/异常参数 | 属性类型 | 说明 |
|---|---|---|---|
| 附件受密码保护 | 条件: DocumentIsPasswordProtected 异常: ExceptIfDocumentIsPasswordProtected |
None | 附件受密码保护的邮件(因而无法扫描)。 密码检测适用于 Office 文档、压缩文件 (.zip、.7z) 和 .pdf 文件。 |
| 附件的文件扩展名为 | 条件: ContentExtensionMatchesWords 异常: ExceptIfContentExtensionMatchesWords |
Words | 附件的文件扩展名匹配任意指定词语的邮件。 |
| 无法扫描任何电子邮件附件的内容 | 条件: DocumentIsUnsupported 异常: ExceptIf DocumentIsUnsupported |
不适用 | Exchange Online无法本机识别附件的邮件。 |
| 任何电子邮件附件的内容均未完成扫描 | 条件: ProcessingLimitExceeded 异常: ExceptIfProcessingLimitExceeded |
不适用 | 规则引擎无法完成附件扫描的邮件。 可以使用此条件创建规则,以协同工作来标识并处理无法完全扫描内容的邮件。 |
| 文档名称包含字词 | 条件: DocumentNameMatchesWords 异常: ExceptIfDocumentNameMatchesWords |
Words | 附件的文件名与名称开头、任何非字母数字字符或名称末尾之间分隔的任何指定字词匹配的消息。 |
| 文档名称与模式匹配 | 条件: DocumentNameMatchesPatterns 异常: ExceptIfDocumentNameMatchesPatterns |
模式 | 附件的文件名包含匹配指定正则表达式的文本模式的邮件。 对于 SharePoint 和 OneDrive 工作负载,此功能已停止。 无法修改现有规则,并且无法创建新规则。 现有客户可以继续使用此条件。 |
| 文档属性为 | 条件: ContentPropertyContainsWords 异常: ExceptIfContentPropertyContainsWords |
Words | 包含附件的自定义属性与给定值匹配的文档的邮件。 |
| 文档大小等于 或 大于 | 条件: DocumentSizeOver 异常: ExceptIfDocumentSizeOver |
Size | 任何附件大于或等于指定值的邮件。 |
| 任何附件内容包含这些词语中的任何一个 | 条件: DocumentContainsWords 异常: ExceptIfDocumentContainsWords |
Words | 附件包含指定词语的邮件。 |
| 任何附件内容都与这些文本模式匹配 | 条件: DocumentMatchesPatterns 异常: ExceptIfDocumentMatchesPatterns |
模式 | 附件包含匹配指定正则表达式的文本模式的邮件。 |
邮件头
| DLP 中的条件或异常 | 安全性 & 合规性 PowerShell 中的条件/异常参数 | 属性类型 | 说明 |
|---|---|---|---|
| 标头包含字词或短语 | 条件: HeaderContainsWords 异常: ExceptIfHeaderContainsWords |
哈希表 | 包含指定标头字段的邮件以及该标头字段的值包含指定的字词。 |
| 标题与模式匹配 | 条件: HeaderMatchesPatterns 异常: ExceptIfHeaderMatchesPatterns |
哈希表 | 包含指定标头字段的消息以及该标头字段的值包含指定的正则表达式。 |
邮件属性
| DLP 中的条件或异常 | 安全性 & 合规性 PowerShell 中的条件/异常参数 | 属性类型 | 说明 |
|---|---|---|---|
| 具有重要性 | 条件: WithImportance 异常: ExceptIfWithImportance |
Importance | 使用指定重要性级别标记的消息。 |
| 内容字符集包含字词 | 条件: ContentCharacterSetContainsWords 异常: ExceptIfContentCharacterSetContainsWords |
CharacterSets | 具有任意指定字符集名称的邮件。 |
| 具有发件人替代 | 条件: HasSenderOverride 异常: ExceptIfHasSenderOverride |
不适用 | 发件人已选择覆盖数据丢失防护 (DLP) 策略的邮件。 有关详细信息,请参阅 了解数据丢失防护 |
| 消息类型匹配 | 条件: MessageTypeMatches 异常: ExceptIfMessageTypeMatches |
MessageType | 指定类型的邮件。 注意:可用邮件类型包括自动答复、自动转发、加密 (S/MIME) 、日历、权限控制 (权限管理) 、语音邮件、已签名、已读回执和审批请求。 |
| 邮件大小大于或等于 | 条件: MessageSizeOver 异常: ExceptIfMessageSizeOver |
Size | 总大小(邮件和附件)大于或等于指定值的邮件。 注意:在确定邮件流规则之前将对邮箱的邮件大小限制进行评估。 对于邮箱而言过大的邮件将被拒绝,然后此条件的规则才能对该邮件采取措施。 |
DLP 策略的操作
下表介绍了 DLP 中可用的操作。
| DLP 中的操作 | 安全性 & 合规性 PowerShell 中的操作参数 | 属性类型 | 说明 |
|---|---|---|---|
| 限制访问或加密Microsoft 365 个位置的内容 | BlockAccess | 第一个属性: 布尔值 第二个属性: BlockAccessScope |
这允许使用 RMS 模板阻止对指定用户的访问或加密内容。 |
| 设置标头 | SetHeader | 第一个属性: 标头名称 第二个属性: 标头值 |
参数 SetHeader 指定 DLP 规则的操作,该规则在邮件头中添加或修改标头字段和值。 此参数使用语法 "HeaderName:HeaderValue"。 可以指定多个标头名称和值对(用逗号分隔) |
| 删除标头 | RemoveHeader | 首要属性:MessageHeaderField 次要属性:String |
参数 RemoveHeader 指定 DLP 规则的操作,该操作从邮件头中删除标头字段。 此参数使用 语法 HeaderName 或 "HeaderName:HeaderValue。 可以指定多个标头名称或标头名称和值对(用逗号分隔) |
| 将消息重定向到特定用户 | RedirectMessageTo | Addresses | 将电子邮件重定向到指定的收件人。 邮件不会传递给原始收件人,也不会向发件人或原始收件人发送通知。 |
| 将邮件转发给发件人的经理进行审批 | 适度 | 第一个属性: ModerateMessageByManager 第二个属性: 布尔值 $true |
Moderate 参数指定 DLP 规则的操作,该规则将电子邮件发送给审查者 (用户的经理或指定的审批者) 。 若要将消息转发给用户的经理进行审批,请使用以下语法: @{ModerateMessageByManager = $true} |
| 将审批消息转发给特定审批者 | 适度 | 第一个属性: ModerateMessageByManager 第二个属性: 布尔值 $false 第三个属性: ModerateMessageByUser 第四个属性: Addresses |
Moderate 参数指定 DLP 规则的操作,该规则将电子邮件发送给审查者 (用户的经理或指定的审批者) 。 若要将邮件转发给指定的收件人进行审批,请使用以下语法: @{ModerateMessageByManager = $false; ModerateMessageByUser = @("emailaddress1","emailaddress2",..."emailaddressN")} |
| 添加收件人 | AddRecipients | 第一个属性: Field 次要属性:Addresses |
将一个或多个收件人添加到邮件的 “收件人/抄送/密件抄送 ”字段。 此参数使用语法: @{<AddToRecipients \<CopyTo \| BlindCopyTo\> = "emailaddress"} |
| 将发件人的经理添加为收件人 | AddRecipients | 第一个属性: AddedManagerAction 第二个属性: 字段 |
将发件人的经理添加到邮件中作为指定收件人类型 (To、Cc、Bcc),或在不通知发件人或收件人的情况下将邮件重定向到发件人的经理。 仅当发送方的 Manager 属性在Microsoft Entra ID中定义时,此操作才有效。 此参数使用语法: @{AddManagerAsRecipientType = "\<To \| Cc \| Bcc\>"} |
| 预置主题 | PrependSubject | String | 将指定的文本添加到邮件" Subject "字段的开头。 考虑使用空格或冒号 (:) 作为指定文本的最后一个字符以区别于原始的主题文本。 若要防止将同一字符串添加到已包含主题 (文本的邮件,例如答复) , 请将主题包含字词 ( ExceptIfSubjectContainsWords) 例外添加到规则。 |
| 应用 HTML 免责声明 | ApplyHtmlDisclaimer | 第一个属性: Text 第二个属性: Location 第三个属性: 回退操作 |
将指定的 HTML 免责声明应用于邮件的所需位置。 此参数使用语法: @{Text = " " ; Location = \<Append \| Prepend\>; FallbackAction = \<Wrap \| Ignore \| Reject\>} |
| 删除邮件加密和权限保护 | RemoveRMSTemplate | 不适用 | 删除在电子邮件上应用的邮件加密 |
| 将品牌应用于加密邮件 | ApplyBrandingTemplate | String | 参数ApplyBrandingTemplate指定 DLP 规则的操作,该操作对Microsoft Purview 邮件加密加密的邮件应用自定义品牌模板。 按名称标识自定义品牌模板。 如果名称中包含空格,则使用引号 (") 括住该名称。 |
| 使外部收件人在加密邮件门户中打开邮件 | EnforcePortalAccess | Boolean | 参数 EnforcePortalAccess 控制是否需要外部用户使用加密的消息门户来查看加密的消息 |
| 将邮件传递到托管隔离区 | 隔离 | 不适用 | 将邮件传递到 Exchange Online Protection (EOP) 中的隔离区。 有关详细信息,请参阅 EOP 中的隔离电子邮件。 |
| 修改主题 | ModifySubject | PswsHashTable | 从主题行中删除与特定模式匹配的文本,并将其替换为不同的文本。 请参阅下面的示例。 可以执行下列操作: - 将 主题中的所有匹配项替换为替换文本 - 追加 以删除主题中的所有匹配项,并在主题末尾插入替换文本。 - 在前面追加 以删除所有匹配项,并在主题开头插入替换文本。 有关详细信息,请参阅 New-DlpComplianceRule 参考文章中的 ModifySubject 参数说明。 |