数据丢失防护和 Microsoft Teams

如果组织Microsoft Purview 数据丢失防护 (DLP) ，则可以定义策略来帮助防止用户在Microsoft Teams 频道或聊天会话中共享敏感信息。 下面是此保护工作原理的一些示例:

• 保护消息中的敏感信息。 假设有人尝试在 Teams 聊天或频道中与来宾共享敏感信息， () 的外部用户。 如果定义了 DLP 策略来防止这种情况，则会删除包含发送给外部用户的敏感信息的消息。 这在几秒钟内根据 DLP 策略的配置方式自动发生。

注意

Microsoft Teams 的 DLP 在与具有以下内容Microsoft Teams 用户共享时会阻止敏感内容：

• 团队和频道中的来宾访问权限，或
• 会议和聊天会话中的外部访问。

仅当发送方和接收方都处于“仅 Teams”模式并使用 Microsoft Teams 本机联合时，外部聊天会话的 DLP 才有效。 Teams 的 DLP 不会阻止与Skype或非本机联合聊天会话的 互操作 中的消息。

• 保护文档中的敏感信息。 假设有人尝试在Microsoft Teams 频道或聊天中与来宾共享文档，并且该文档包含敏感信息。 如果定义了 DLP 策略来防止这种情况，则不会为这些用户打开该文档。 DLP 策略必须包含 SharePoint 和 OneDrive，才能强制实施保护。 这是显示在 Microsoft Teams 中的 SharePoint DLP 示例，因此要求用户获得 Office 365 DLP (包含在 Office 365 E3) 中的许可，但不要求用户获得 Office 365 高级合规性许可。

• 保护 Teams 共享频道中的通信。 对于共享频道，将应用主机 Teams 团队 DLP 策略。 例如，假设 Contoso 团队 A 拥有一个共享频道。 团队 A 具有 DLP 策略 P1。 可通过三种方式共享频道：

  • 与成员共享：邀请 Contoso 中的 User1 加入共享频道，而无需使其成为团队 A 的成员。P1 涵盖此共享频道中的所有人，包括 User1。
  • 在内部) 与团队 (共享 ：与 Contoso 团队 B 中的另一个团队共享频道。其他团队可能有不同的 DLP 策略，但这并不重要。 P1 适用于此共享频道中的每个人，包括团队 A 和团队 B 用户。
  • 与团队 (跨租户) 共享 ：在 Fabrikam 中与团队 F 共享频道。 Fabrikam 可能有自己的 DLP 策略，但这并不重要。 P1 适用于此共享频道中的每个人，包括 Team A (Contoso) 和 Team F (Fabrikam) 用户。

• 在与 Microsoft Teams 中的外部用户聊天时保护通信。 来自不同Microsoft 365 个组织且全部使用 外部访问 功能的人员都可以加入同一聊天会话。 每个用户都受其自己组织的 DLP 策略的约束。 例如，假设来自 Contoso 的 UserA、UserB 和 UserC 以及来自 Fabrikam 的 UserX、UserY 和 UserZ 都位于同一 Teams 聊天中。 Contoso 用于在 Teams 中共享信息的 DLP 策略适用于 UserA、UserB 和 UserC，而 Fabrikam 的 DLP 策略适用于 UserX、UserY 和 UserZ。 有关使用 Microsoft Teams 与组织外部的人员聊天的详细信息，请参阅 管理外部会议并使用Microsoft标识与人员和组织聊天

提示

开始使用 Microsoft Copilot for Security，探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的 Microsoft Copilot for Security。

Microsoft Teams 的 DLP 许可

数据丢失防护 功能包括Microsoft Teams 聊天和频道消息，包括用于以下对象的 专用频道消息 ：

• Office 365 E5/A5/G5
• Microsoft 365 E5/A5/G5
• Microsoft 365 E5/A5/G5 信息保护和治理
• Microsoft 365 E5/A5/G5/F5 合规性及 F5 安全性 + 合规性

Office 365 和 Microsoft 365 E3 包括针对 SharePoint、OneDrive 和 Exchange 的 DLP 保护。 这还包括通过 Teams 共享的文件，因为 Teams 使用 SharePoint 和 OneDrive 来共享文件。

支持 Teams 聊天中的 DLP 保护需要 E5 许可证。

重要

有关许可的信息，请参阅 Microsoft 365、Office 365、企业移动性 + 安全性和适用于企业的 Windows 11 订阅。

提示

DLP 仅适用于聊天或频道线程中的实际消息。 活动通知（包括短消息预览并基于用户的通知设置显示） 不包括 在 Teams DLP 中。 预览中显示的消息部分中的任何敏感信息都将在通知中保持可见，即使在应用 DLP 策略并从邮件本身中删除敏感信息之后也是如此。

DLP 保护范围

DLP 保护以不同的方式应用于 Teams 实体，如下表所述。

若要将 DLP Teams 策略的范围限定为所有聊天类型，请将策略范围限定为 “所有位置”，或验证每个 Teams 用户是否同时位于Microsoft 365 组中，并且位于作用域为策略的安全组或通讯组中。 有关详细信息， 请详细了解如何同步成员身份。

策略范围	Teams 实体	DLP 保护
个人用户帐户	- 1：1/n 聊天 - 标准和共享频道消息 - 私人频道消息	-是的 -不 -是的
安全组/通讯组/未启用邮件的安全组	- 1：1/n 聊天 - 标准和共享频道消息 - 私人频道消息	-是的 -不 -是的
Microsoft 365 组*	- 1：1/n 聊天 - 标准和共享频道消息 - 私人频道消息	-不 -是的 -不

注意

当 DLP 策略的范围限定为Microsoft 365 个组时，DLP 保护将应用于使用与其所属的组关联的标准和共享通道的组成员。

策略提示帮助教育用户

与 (Exchange、Outlook、SharePoint、OneDrive 和 Windows 设备上 DLP 策略提示的工作方式类似，当使用 DLP 策略触发操作时，Teams 中的策略提示会显示。 下面是策略提示的示例：

在这里，发件人尝试在 Microsoft Teams 频道中共享社会安全号码。 “ 我该怎么办？” 链接将打开一个对话框，该对话框为发件人提供了解决问题的选项。 请注意，发件人可以选择替代策略或通知管理员查看和解决问题。

可以选择允许组织中的用户替代 DLP 策略。 配置 DLP 策略时，可以使用默认策略提示，或为组织 自定义策略提示 。

回到我们的示例，当发件人在 Teams 频道中共享社会安全号码时，收件人会看到以下情况：

自定义策略提示

若要执行该任务，须被分配具有编辑 DLP 策略权限的角色。 若要了解详细信息，请参阅 Microsoft Purview 合规性门户中的权限。

为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户，请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息，请参阅 Microsoft Purview 合规性门户。

Microsoft Purview 门户

1. 登录到 Microsoft Purview 门户>数据丢失防护>策略。

2. 选择一个策略，然后选择“ 编辑策略 ” (铅笔图标) 。

3. 在工具中导航，直到转到 “自定义高级 DLP 规则 ”屏幕。

4. 创建新规则，或编辑策略的现有规则。

5. 向下滚动到 “用户通知 ”，并将 “使用通知告知用户并帮助告知他们正确使用敏感信息” 开关设置为 “开”。

6. 在 “Microsoft 365 服务”下，选择“ 使用策略提示通知 Office 365 服务中的用户”。

7. 在 “策略提示 ”下，选择“ 自定义策略提示文本”。

8. 指定要用于策略提示的文本。

9. 如果策略提示应用于 Microsoft Exchange 中的用户活动，并且您希望在发送电子邮件之前有一个对话框显示提示，请选择“ 在发送之前将策略提示显示为最终用户的对话框”。

10. 选择 “保存” ，然后选择 “下一步”。

11. 在 “策略模式 ”页上，选中 “在模拟模式下显示策略提示 ”旁边的框（如果需要）。

12. 依次选择 “下一步”、“ 提交”和“ 完成”。

合规性门户

1. 登录到 Microsoft Purview 合规性门户>数据丢失防护>策略。

2. 选择策略，然后选择 “编辑” (铅笔图标) 。

3. 在工具中导航，直到转到 “自定义高级 DLP 规则 ”屏幕。

4. 创建新规则，或编辑策略的现有规则。

5. 向下滚动到 “用户通知 ”，选择“ 使用策略提示通知 Office 365 服务中的用户 ”，然后选择 “自定义策略提示文本”。

6. 指定要用于电子邮件通知和/或策略提示的文本，然后选择 “保存”。

7. 选择“保存”。

8. 完成工具工作。 在最后一个屏幕上，选择“ 提交”。

大约需要一小时，让更改通过数据中心运行并同步到用户帐户。

将 Microsoft Teams 作为位置添加到现有 DLP 策略

若要执行该任务，须被分配具有编辑 DLP 策略权限的角色。 若要了解详细信息，请参阅 Microsoft Purview 合规性门户中的权限。md#permissions) 。

为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户，请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息，请参阅 Microsoft Purview 合规性门户。

Microsoft Purview 门户

1. 登录到 Microsoft Purview 门户>数据丢失防护>策略。

2. 选择一个策略，然后选择“ 编辑策略 ” (铅笔图标) 。

3. 在工具中导航，直到到达 “选择要应用策略的位置 ”页。

4. 选择 “Teams 聊天和频道消息”。

5. 选择“ 下一步 ”，并一直完成该过程。

6. Choose Submit.

大约需要一小时，让更改通过数据中心运行并同步到用户帐户。

合规性门户

1. 转到 Microsoft Purview 合规性门户 并登录。

2. 选择 “数据丢失防护>策略”。

3. 选择一个策略，然后选择 “编辑策略”。

4. 在工具中导航，直到到达 “选择要应用策略的位置 ”页。

5. 将 Teams 聊天和频道消息 选项切换为 “打开”。

6. 选择“ 下一步 ”，并一直完成该过程。

7. Choose Submit.

大约需要一小时，让更改通过数据中心运行并同步到用户帐户。

为 Microsoft Teams 定义新的 DLP 策略

有关如何创建和实施新的 DLP 策略的信息，请参阅 创建和部署数据丢失防护策略。

阻止对敏感文档的外部访问

默认情况下，可以通过 将新文件标记为敏感，确保文档受到保护，直到 DLP 扫描并将它们标记为安全共享。

建议的 DLP 策略结构

• 条件

  • 内容包含以下任一敏感信息类型：[选择所有应用]

  • 内容从 Microsoft 365> 共享与组织外部的人员

  

• 操作

  • 添加操作

  • 限制访问或加密Microsoft 365 个位置>的内容仅阻止组织外部的人员

    

  • 使用通知通知你的用户，并帮助他们正确使用敏感信息>使用策略提示通知 Office 365 中的用户

  • 通知这些人 [选择所有应用]

  • 策略提示 [选择所有适用]

    

注意

事件报告的发件人地址现在 no-reply-MicrosoftInformationProtectionOnline@microsoft.com为 。

相关文章

• 创建和部署数据丢失防护策略
• 发送电子邮件通知并显示 DLP 策略的策略提示