数据丢失防护模拟模式入门

可以使用Microsoft Purview 数据丢失防护 (DLP) 模拟模式查看:

  • 不强制执行策略对生产环境的影响。
  • 如果已强制实施策略,则由策略匹配的所有项。

本文逐步讲解模拟模式先决条件、配置选项以及如何查看模拟结果。

提示

开始使用Microsoft Security Copilot,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的Microsoft Security Copilot

开始之前

授权

在开始使用 DLP 策略之前,请确认 Microsoft 365 订阅 和任何加载项。

有关许可的信息,请参阅 Microsoft 365、Office 365、企业移动性 + 安全性 和 Windows 11 企业订阅

权限

用于与模拟模式交互的帐户必须具有信息保护管理员角色。 有关使用模拟模式所需的角色和角色组的详细信息,请参阅 权限。 有关 Microsoft Purview 合规性中的角色和角色组的详细信息,请参阅 Microsoft Defender for Office 365 和 Microsoft Purview 合规性中的角色和角色组

系统配置

若要在“ 项”上查看终结点设备的本机应用程序中的匹配项,必须为 设备上的文件活动配置证据收集

管理 DLP 模拟模式

可以将策略设置为在创建策略时或创建后处于模拟模式。 还可以关闭已处于模拟模式的策略的模拟模式。

  1. 使用 创建和部署数据丢失防护策略 中的步骤创建新策略或编辑现有策略。
  2. 策略配置工作流中的最后一步是 模拟或打开策略。 选择“ 在模拟模式下运行策略 ”以启用模拟模式。 选择“ 立即打开” 或“ 将其关闭 ”以禁用模拟模式。 可以进一步选择:
    1. 在模拟模式下显示策略提示 ,以帮助在用户采取可能触发策略操作的操作时进行教育。
    2. 如果在模拟后的 15 天内未编辑策略,请打开 策略,无需进一步交互即可打开策略。
  3. 选择“ 下一步 ”和“ 提交”。

禁用后,见解最多可能需要 24 小时才会停止显示在“概述”页上。

在模拟模式下查看 DLP 策略

为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 登录到 Microsoft Purview 门户>数据丢失防护>策略

  2. 选择状态为“ 模拟中 ”或“ 使用通知进行模拟” 的策略以打开浮出窗格。

  3. 选择“ 查看模拟 ”以查看“ 模拟概述”、“ 要审阅的项目”和“ 警报 ”选项卡。

模拟模式状态消息

注意

在模拟模式下运行策略的扫描结果将保存 30 天。 可以继续在超过此时间的模拟模式下运行策略,但仅显示最近 30 天期间的结果。

当策略在模拟模式下运行时,大多数位置的内容扫描都是实时进行的,也就是说,在发送电子邮件或 Teams 消息时发生。 SharePoint 和 OneDrive 位置的内容扫描的工作方式略有不同。 除了在将文档上传到这些位置时扫描内容外,在模拟模式下运行的策略还可以显示三条额外的进度消息: 已完成正在进行已过期。 下表标识并描述了每个位置可用的状态消息:

模拟模式按位置扫描状态

位置 状态消息说明
Exchange 实时 - 发送消息时扫描内容
SharePoint 已完成 - 表示扫描 Sharepoint 和/或 OneDrive 中的现有内容已完成。 仅当 SharePoint 和/或 OneDrive 是范围内的唯一位置时,才会显示此状态消息。

正在进行 - 表示模拟正在运行。 结果会随着找到更多匹配项而更新。

OneDrive 已完成 - 表示扫描 Sharepoint 和/或 OneDrive 中的现有内容已完成。 仅当 SharePoint 和/或 OneDrive 是范围内的唯一位置时,才会显示此状态消息。

正在进行 - 表示模拟正在运行。 结果会随着找到更多匹配项而更新。

Teams 聊天和通道消息 实时 - 发送消息时扫描内容
设备 实时 - 从设备传输时扫描内容
构造和 Power BI 实时 - 上传时扫描内容

下表说明了与整体策略模拟进度相关的状态消息。

总体模拟模式状态

模拟状态 说明
已完成 仅在 DLP 策略范围限制为 SharePoint 和/或 OneDrive 时才可用。 指示已扫描所有静态数据。
正在进行 模拟扫描正在进行中。 检测到其他策略匹配项时,结果会更新。
已过期 正在模拟的策略超过 30 天。 Microsoft Purview 仅将模拟数据保留 30 天。 若要获取在最近 30 天时段之前扫描的静态数据的扫描结果,请重新运行扫描。

仅显示 SharePoint 和 OneDrive 位置中匹配的前 100 个项目以供审阅。 这可能与匹配项的总数不同。

模拟事件显示在 活动资源管理器中。 可以筛选 策略模式,该模式具有 TestWithNotifyUserTestWithoutNotifyUser强制实施 值。

另请参阅