Microsoft 365 的 Outlook 数据丢失防护策略提示参考

提示

开始使用Microsoft Security Copilot,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的Microsoft Security Copilot

注意

Microsoft Purview 数据丢失防护 (DLP) 只会处理Microsoft 365 专属 Outlook中策略提示的邮件内容的前 4 MB,最多只能对 2 MB 的附件进行分类。

重要

邮箱必须托管在 Exchange Online 中。 有关详细信息,请参阅: 了解数据丢失防护

授权

下面是各种许可证和 Outlook 版本的策略提示支持详细信息。

注意

对于高级 DLP 策略提示支持(使其他 DLP 条件、高级分类器、过度共享对话框等可用),每个作用域内用户都需要以下许可证:

  • E5 或等效许可证
  • 信息保护 for Office 365 - Premium“ 许可证 (MIP_S_CLP2 或 efb0351d-3b08-4503-993d-383af8de41e3) 。

支持 Outlook 永久用户策略提示的条件

对于 Outlook 永久版本和用户 这些条件适用
-E3 用户
-E5 用户
- 对于电子邮件和未加密Microsoft 365 文件 内容包含内置/自定义敏感信息类型
- 内容从 Microsoft 365 共享

支持Microsoft 365 专属 Outlook用户策略提示的条件

对于 Outlook for Microsoft 版本和用户 这些条件适用
- 所有 E3 用户
- 所有脱机 E5 用户
- 禁用
连接体验的所有 E5 用户 - 所有生产版本版本低于 2303 (内部版本 16.0.16216 的联机 E5 用户。 10000)
- 半年频道版本低于 2302 的所有联机 E5 用户 (内部版本 16.0.16130.20478)
- 内容包含内置/自定义敏感信息类型
- 内容从 Microsoft 365 共享
- 在 WW 商业版和 GCC-H/DoD 云
中启用了连接体验的所有联机 E5 用户 - 生产版本 2303 & 内部版本 16.0 16216.10000 或更高版本
- 半年频道版本 2302 & 内部版本 16.0.16130.20478 或更高版本
- 内容包含内置/自定义敏感信息类型 (适用于电子邮件和未加密Microsoft 365 和 PDF 文件)
- 邮件 (包括电子邮件主题) 包含内置-in/自定义敏感信息类型
- 附件包含内置/自定义敏感信息类型
- 内容包含敏感度标签 (适用于电子邮件和 Office & PDF 文件类型)
- 共享内容
- 发件人为
- 发件人是 (仅支持通讯组列表、基于 Azure 的动态通讯组和启用电子邮件的安全组。)
- 发件人域为
- 收件人为
- 收件人是仅支持 (通讯组的成员,支持基于 Azure 的动态通讯组和启用电子邮件的安全组。)
- 收件人域为
- 主题包含字词
- 未标记
内容 - 未标记邮件 - 未标记
附件
- 文件扩展名为

支持策略提示的操作

所有 Exchange 操作支持策略提示

  • 限制访问或加密Microsoft 365 个位置的内容
  • 设置标头
  • 删除标头
  • 将消息重定向到特定用户
  • 将邮件转发给发件人的经理进行审批
  • 将审批消息转发给特定审批者
  • 将收件人添加到“收件人”框
  • 将收件人添加到“抄送”框
  • 将收件人添加到密件抄送框
  • 将发件人的经理添加为收件人
  • 删除了 O365 消息加密和权限保护
  • 主题前面Email
  • 添加 HTML 免责声明
  • 修改Email主题
  • 将邮件传递到托管隔离区

支持 Outlook 永久用户策略提示的敏感信息类型

对于 Outlook 永久版本 E3 和 E5 用户,这些内置敏感信息类型和自定义敏感信息类型支持策略提示:

支持Microsoft 365 专属 Outlook用户的策略提示的敏感信息类型

对于这些 Outlook 版本和用户

  • 所有 Microsoft 365 for Enterprise E3 用户
  • 所有 Microsoft 365 for Enterprise 脱机 E5 用户
  • 已禁用连接体验的所有 Microsoft 365 for Enterprise E5 用户
  • 生产版本低于 2303 的所有 Microsoft 365 for Enterprise 联机 E5 用户 (内部版本 16.0.16216.10000)
  • 半年频道版本低于 2302 的所有 Microsoft 365 for Enterprise 联机 E5 用户 (内部版本 16.0.16130.20478)

这些 OOB 敏感信息类型支持策略提示以及任何自定义和高级敏感信息类型

对于这些 Outlook 版本和用户:

  • 已启用连接体验的联机 E5 用户。
  • 生产版本 2303 (内部版本 16.0.16216.10000) 或更高版本。
  • 半年频道版本 2302 (内部版本 16.0.16130.20478) 或更高版本。

这些敏感信息类型支持策略提示:

精确数据匹配支持策略提示的敏感信息类型Microsoft 365 专属 Outlook

是。

应用于:

  • 已启用连接体验的联机 E5 用户
  • 生产版本 2303 (内部版本 16.0.16216.10000) 或更高版本。
  • 半年频道版本 2302 (内部版本 16.0.16130.20478) 或更高版本。

有关基于精确数据匹配的 SIT 的详细信息,请参阅 了解基于精确数据匹配的敏感信息类型

Microsoft 365 专属 Outlook的可训练分类器支持

是。

重要

以下条件不支持可训练分类器:

  • 对于 条件:

  • Message contains

  • Attachment contains

  • 对于Content containsEvaluate rule per component条件结合使用的现有条件。 (预览版限制)

应用于:

对于这些 Outlook 版本和用户:

  • 已启用连接体验的联机 E5 用户
  • 生产版本 2303 (内部版本 16.0.16216.10000) 或更高版本。
  • 半年频道版本 2302 (内部版本 16.0.16130.20478) 或更高版本。

支持这些可训练的分类器:

有关可训练分类器的详细信息,请参阅 了解可训练分类器

对Microsoft 365 专属 Outlook的敏感度标签支持

应用于:

  • 已启用连接体验的联机 E5 用户
  • 生产版本 2303 (内部版本 16.0.16216.10000) 或更高版本。
  • 半年频道版本 2302 (内部版本 16.0.16130.20478) 或更高版本。

有关敏感度标签的详细信息,请参阅 了解敏感度标签

Microsoft 365 专属 Outlook的过度共享对话框

适用于 E5 用户的 Outlook 桌面版 DLP 中提供了过度共享对话框。 其他 Outlook 客户端不支持它。 在 DLP 规则中启用时,此功能向在 Outlook 桌面版中共享带标签或敏感电子邮件的最终用户显示警告、替代或阻止操作的弹出窗口。 有关旧版 AIP 外接程序的详细信息,请参阅 AIP 客户端的管理员指南

可以向用户显示多种类型的过度共享对话框。

默认过度共享对话框

应用于:

  • 已启用连接体验的联机 E5 用户
  • 生产版本 2303 (内部版本 16.0.16216.10000) 或更高版本。
  • 半年频道版本 2308 (内部版本 16.0.16731.20716) 或更高版本。

此对话框使用与策略提示完全相同的文本, (默认或自定义) ,如果适用,则使用一组不可自定义的理由选项来替代策略。

自定义过度共享对话框

应用于:

  • 已启用连接体验的联机 E5 用户
  • 生产版本 2404 (内部版本 16.0.17531.20000 ) 或更高版本。
  • 半年频道版本 2408 (生成 TBD) 或更高版本。

可以选择使用自定义标题、正文和动态变量(如 %%MatchedRecipientsList%%)和理由选项来定制过度共享对话框。

对于自定义对话框,请创建如下所示的 JSON 文件,并确保满足以下条件:

  • 该文件是 UTF-8 编码的。
  • 内容为纯文本。
  • 不包含任何注释。
{
    "LocalizationData": [
        {
            "Language": "en-us",
            "Title": "WARNING: A Sensitivity Label Not for External Use was Detected.",
            "Body": "The following classification(s) have been detected on this email or its attachments. <LineBreak /><LineBreak /><Bold>%%MatchedLabelName%%</Bold><LineBreak /><LineBreak />The email cannot be sent until either the following issues are corrected or a justification is provided. <LineBreak /><LineBreak />Attachment(s) needing attention (if applicable): <LineBreak />%%MatchedAttachmentName%% <LineBreak /><LineBreak />List of external recipients: <LineBreak />%%MatchedRecipientsList%% <LineBreak /><LineBreak />",
            "Options": [
                "The recipients have signed an NDA",
                "Manager has approved this email",
                "Organization required this content to be shared"
            ]
        },
{
            "Language": "es-es",
            "Title": "ADVERTENCIA: Etiqueta de sensibilidad no para uso externo detectada.",
            "Body": "Se ha detectado la(s) siguiente(s) clasificación(es) en este correo electrónico o sus archivos adjuntos. <LineBreak /><LineBreak /><Bold>%%MatchedLabelName%%</Bold><LineBreak /><LineBreak />El correo electrónico no se puede enviar hasta que se corrijan los siguientes problemas o se proporcione una justificación. <LineBreak /><LineBreak />Archivos adjuntos que necesitan atención (si corresponde): <LineBreak />%%MatchedAttachmentName%% <LineBreak /><LineBreak />Lista de destinatarios externos: <LineBreak />%%MatchedRecipientsList%% <LineBreak /><LineBreak />",
            "Options": [
                "Los destinatarios han firmado un NDA",
                "El gerente ha aprobado este correo electrónico",
                "La organización requirió que se compartiera este contenido"
            ]
        }
    ],
    "DefaultLanguage": "en-us"
}

可以使用以下选项在 DLP 规则中上传上述 JSON 内容:

UX 说明

在用户界面中选择用于上传自定义 JSON 文件的选项的位置的屏幕截图。

PowerShell
$content = Get-Content "path to the JSON file" -Encoding utf8| Out-String
New/Set-DlpComplianceRule -Name <Rule_name> -Policy <Policy_name> -NotifyPolicyTipCustomDialog $content -NotifyPolicyTipDisplayOption Dialog

运行 cmdlet 时,对内容运行验证检查。 验证检查包括 JSON 字符限制、格式设置和强制存在一种默认语言验证。 管理员将收到任何错误通知,以便可以更正错误。

对话框的功能和限制

可以使用 JSON 文件自定义对话框标题、正文和替代理由选项。 可以应用粗体、下划线、斜体格式和换行符。 最多可以有三个理由选项和一个用于自由文本输入的选项。

无法自定义“确认”“误报”替代的文本。

下面是 JSON 文件所需的结构。 使用此来自定义匹配规则的对话框。 这些键 都区分大小写。 匹配条件的格式设置和动态标记只能在 Body 键中使用。

Keys 强制? 规则/说明
{} Y 容器
LocalizationData Y 包含所有语言选项的数组。
语言 Y 指定语言代码,限制为 10 种语言。
标题 Y 指定对话框的标题。 限制为 75 个字符。
正文 Y 指定对话框的正文。 限制为 800 个字符。 可以在正文中添加匹配条件的动态标记。
选项 网络 最多可以包含三个选项, (每个) 限制为 100 个字符。 可以通过设置 HasFreeTextOption = true 来添加其他一个。
HasFreeTextOption 网络 这可以设置为 true 或 false。 True 将显示一个文本框作为对话框中的最后一个选项。
DefaultLanguage Y 其中一种语言必须在 LocalizationData 键中定义为 DefaultLanguage。
自定义过度共享对话框中的动态标记和文本格式设置
占位符 解释
%%MatchedRecipientsList%% 针对以下条件显示给定 DLP 规则的匹配收件人:
- “收件人即
- 收件人”域 是
- “收件人是内容共享自 Microsoft 365 的成员
- ”
%%MatchedLabelName%% 针对此条件显示给定 DLP 规则的匹配标签:
- 内容包含敏感度标签
%%MatchedAttachmentName%% 针对以下条件显示给定 DLP 规则的匹配附件:
- 内容包含敏感信息
- 内容包含敏感度标签
- 附件未标记为
- 文件扩展名为
<Bold>lorem ipsum</Bold> 加粗格式
<斜体>lorem ipsum</Italic> 斜体格式
<下划线>lorem ipsum</Underline> 下划线
<换行符/> 或 <br> 引入换行符

等待发送对话框支持对Microsoft 365 专属 Outlook的过度共享

配置过度共享对话框后,可以选择使用 dlpwaitonsendtimeout 注册表项启用“等待发送”对话框功能, (DWORD 值) 。 在想要确保在发送敏感电子邮件之前根据 DLP 策略评估敏感电子邮件的所有设备上执行此操作。 此注册表项定义当用户选择“ 发送”时保存电子邮件的最长时间。 它允许完成已标记或敏感内容的 DLP 策略评估。 “ 发送时等待 ”对话框不可自定义。

“等待发送”对话框的屏幕截图。

应用于:

  • 已启用连接体验的联机 E5 用户
  • 生产版本 2303 (内部版本 16.0.16216.10000) 或更高版本。
  • 半年频道版本 2302 (内部版本 16.0.16130.20478) 或更高版本。

配置等待发送

若要配置 “等待发送” ,请参阅 配置“等待发送时”的步骤