发送电子邮件通知并显示 DLP 策略的策略提示
可以使用Microsoft Purview 数据丢失防护 (DLP) 策略跨Office 365识别、监视和保护敏感信息。 你希望组织中处理此敏感信息的人员符合 DLP 策略,但不希望不必要地阻止他们完成工作。 这是电子邮件通知和策略提示可以提供帮助的情况。
创建 DLP 策略时,可以将用户通知配置为:
向所选描述问题的人员发送电子邮件通知。
显示与 DLP 策略冲突的内容的策略提示:
对于 Outlook 网页版 和 Outlook 2013 及更高版本中的电子邮件,撰写邮件时,策略提示显示在收件人上方的邮件顶部。
对于 OneDrive 帐户或 SharePoint 网站中的文档,策略提示由项目上显示的警告图标指示。 若要查看详细信息,可以选择一个项目,然后选择页面右上角的,打开详细信息窗格。
对于存储在 DLP 策略中包含的 OneDrive 网站或 SharePoint 站点上的 Excel、PowerPoint 和Word文档,策略提示将显示在消息栏和 Backstage 视图 (“文件”菜单中>的信息) 。
提示
开始使用Microsoft Security Copilot,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的Microsoft Security Copilot。
注意
发送通知电子邮件时未受保护。
用于配置电子邮件通知的选项
对于 DLP 策略中的每个规则,您可以:
将通知发送给您选择的人员。 这些人员可以包含内容的所有者、最后一次修改内容的人员、存储内容的网站所有者或特定用户。
使用 HTML 或令牌自定义通知中包含的文本。 有关详细信息,请参阅下面的部分。
注意
- Email通知只能发送给单个收件人,不能向组或通讯组列表发送。
- 只有新内容才会触发电子邮件通知。 编辑现有内容将触发策略提示,但不会电子邮件通知。
- 外部发件人仅接收模板化通知,而不接收完整详细信息,以防止意外丢失有关策略配置的信息。
默认电子邮件通知
通知具有以所执行的操作开头的“主题”行,例如“通知”、“电子邮件已阻止”或文档的“访问已阻止”。 如果通知是关于文档的,则通知消息正文包含一个链接。 该链接将你带到存储文档的网站,并打开文档的策略提示,你可以在其中解决任何问题。 如果通知是关于邮件的,则通知包含与 DLP 策略匹配的邮件作为附件。
默认情况下,通知显示类似于网站上以下项的文本。 通知文本针对每个规则单独配置,因此根据匹配的规则,显示的文本有所不同。
如果 DLP 策略规则执行此操作... | 然后,SharePoint 或 OneDrive 文档的默认通知显示这一点... | 然后 Outlook 邮件的默认通知显示这一点... |
---|---|---|
发送通知但不允许替代 | 此项与您的组织中的策略相冲突。 | 电子邮件与组织中的策略冲突。 |
阻止访问,发送通知,并允许重写 | 此项与您的组织中的策略相冲突。 如果不解决此冲突,可能会阻止访问此文件。 | 电子邮件与组织中的策略冲突。 邮件未传递到所有收件人。 |
阻止访问,并向发送通知 | 此项与您的组织中的策略相冲突。 除项目所有者、上次修饰符和主站点管理员外,其他人将阻止访问该项目。 | 电子邮件与组织中的策略冲突。 邮件未传递到所有收件人。 |
自定义电子邮件通知
可以为每个规则的最终用户电子邮件通知创建自定义电子邮件通知模板。 然后发送它,而不是发送默认电子邮件通知。 这适用于作用域为 Exchange、SharePoint 和 OneDrive 位置的策略。
在策略中编辑或创建规则时,选择“ 预览”和“编辑通知电子邮件 ”以创建自定义模板。
自定义电子邮件通知支持以下字段的 HTML 和自定义:
- 发件人显示名称:定义符合组织需求的自定义值。 有 70 个字符的限制。 设置此项不会更改发件人的电子邮件地址。
- Email主题:定义自定义值,使电子邮件主题对最终用户更具意义。 有 256 个字符的限制。
- Email正文:定义对用户具有更大意义的自定义值。 有 5120 个字符的限制。 可以使用 HTML 在通知中包含图像、格式设置和其他品牌。 电子邮件正文的自定义定义支持使用内联样式。
注意
如果在 Exchange 管理员中心邮箱中配置了用于发送电子邮件通知的电子邮件 ID,则将覆盖发件人显示名称设置。
还可以使用以下令牌来帮助自定义电子邮件正文。 令牌是发送通知时被特定信息替换的变量。 例如,%%ContentURL%% 令牌将替换为 SharePoint 网站或 OneDrive 网站上的文档 URL。
标记 | 说明 | 可用于 Exchange | 可用于 SharePoint | 适用于 OneDrive |
---|---|---|---|---|
%%MatchedConditions%% | 与内容匹配的条件。 使用此令牌通知用户内容可能存在问题。 | 是 | 是 | 是 |
%%ContentURL%% | SharePoint 网站或 OneDrive 网站上文档的 URL。 | 否 | 是 | 是 |
%%AppliedActions%% | 应用于内容的操作。 仅在 DLP 规则配置中选择了“ 限制访问或加密Microsoft 365 个位置的内容 ”操作时,才会填充此令牌 | 是 | 是 | 是 |
%%BlockedMessageInfo%% | 被阻止的消息的详细信息。 使用此令牌可通知用户已阻止的消息的详细信息。 仅在 DLP 规则配置中选择了“ 限制访问或加密Microsoft 365 个位置的内容 ”操作时,才会填充此令牌 | 是 | 否 | 否 |
%%ContentId%% | 消息的唯一标识符。 | 是 | 否 | 否 |
%%TimestampForIncidentOccurrence%% | DLP 策略条件匹配的 UTC 时间戳。 | 是 | 是 | 是 |
%%MatchedConditionsAndValues%% | 匹配的 DLP 条件和值。 此令牌不涵盖 包含敏感信息条件的内容 。 有关匹配的 SIT 和修订值,请参阅 %%MatchedSITAndSurroundingcontext%% | 是 | 是 | 是 |
%%Filename%% | 对于 SharePoint 和 OneDrive 匹配项,此令牌显示文档名称。 对于 Exchange,它显示电子邮件主题或附件名称。 | 是 | 是 | 是 |
%%PolicyName%% | 匹配的 DLP 策略名称。 | 是 | 是 | 是 |
%%PolicyRule%% | 匹配的 DLP 规则名称。 | 是 | 是 | 是 |
%%Workload%% | 发生匹配的工作负荷名称。 | 是 | 是 | 是 |
%%MatchedSITAndSurroundingcontext%% (预览版) | 匹配的 SCT 和修订的值。 | 是 | 是 | 是 |
%%UserEmail%% | 与匹配内容关联的最终用户的电子邮件地址。 | 是 | 是 | 是 |
%%SiteAdmin%% | 对于 SharePoint 网站,此令牌显示网站管理员的电子邮件地址。 | 否 | 是 | 否 |
注意
使用 HTML 标记 <div> 设置标记的样式。 例如, <div\ “style=”color:blue; font-size: 12px;”> %%MatchedConditions%% </div> 将呈现字体大小为 12 像素且字体颜色为蓝色的标记。
用于配置策略提示的选项
对于 DLP 策略中的每个规则,您可以配置策略提示用于:
简单地通知该用户此项内容与 DLP 策略相冲突,以便用户可以执行相应的操作来解决此冲突。 可以使用默认文本 (查看下表) 或输入有关组织特定策略的自定义文本。
允许用户替换 DLP 策略。 (可选) 您可以:
要求用户输入替换该策略的业务理由。 此信息已记录,你可以在门户的“ 报告 ”部分的 DLP 报表中查看它。
允许用户报告误报并替换 DLP 策略。 此信息还被记录下来用于报告,以便您可以使用误报来微调您的规则。
例如,你可能已将 DLP 策略应用于用于检测个人数据的 OneDrive 网站,并且此策略有三个规则:
第一个规则:如果在文档中检测到包含此敏感信息的实例少于五个,并且该文档与组织内部的人员共享,则“发送通知”操作将显示策略提示。 对于策略提示,无需提供任何替换选项,因为此规则只是通知相关人员,但不会阻止访问。
第二个规则:如果在文档中检测到包含此敏感信息的实例多于五个,并且该文档与组织内部的人员共享,则“阻止访问内容”操作将限制文件权限,并且“发送通知”操作会允许用户通过提供业务理由来替换该规则中的操作。 组织的业务有时需要内部人员共享个人数据,而你不希望 DLP 策略阻止此工作。
第三条规则:如果在文档中检测到超过五个此敏感信息实例,并且文档与组织外部的人员共享,则 “阻止访问内容 ”操作将限制文件的权限,并且 “发送通知 ”操作不允许用户重写此规则中的操作,因为信息是在外部共享的。 在任何情况下,都不应允许组织中的人员在组织外部共享个人数据。
用户替代支持
替代选项按规则进行,它覆盖规则 (中的所有操作,但发送通知) 无法重写。
内容可以匹配 DLP 策略中的多个规则或多个不同的 DLP 策略,但仅显示来自最严格、最高优先级规则的策略提示 (包括测试模式下的策略) 。 例如,阻止访问内容的规则所提供的策略提示比起只是发送通知的规则所提供的策略提示,前者的显示优先级高于后者。 这会让用户看不到策略提示的级联方式。
如果限制最严格的规则中的策略提示允许用户替换规则,那么替换此规则还会替换与此内容相匹配的所有其他规则。
如果使用 WithoutJustification、WithJustification 或 FalsePositives 设置 NotifyAllowOverride 操作,请确保 BlockAccess 设置为 true 并且 BlockAccessScope 具有适当的值。 否则,出现策略提示,但用户找不到替代具有理由的电子邮件的选项。
若要查看 Outlook 网页版 的策略提示中的替代,必须将策略设置为“打开它”状态。 还必须将策略操作配置为使用替代阻止。
替代的可用性
通知规则 | 通知/阻止操作 | 替代可用 | 需要理由 |
---|---|---|---|
仅通知 | 通知 | 否 | 否 |
Notify + AllowOverride | 通知 | 否 | 否 |
Notify + AllowOverride + False positive | 通知 | 否 | 否 |
通知 + AllowOverride + 含理由 | 通知 | 否 | 否 |
通知 + AllowOverride + 误报 + 无理由 | 通知 | 否 | 否 |
Notify + AllowOverride + False positive + With justification | 通知 | 否 | 否 |
通知 + 阻止 | 阻止 | 否 | 否 |
Notify + Block + AllowOverride | 阻止 | 是 | 否 |
Notify + Block + AllowOverride + False positive | 阻止 | 是 | 否 |
通知 + 阻止 + AllowOverride + 理由 | 阻止 | 是 | 是 |
通知 + 阻止 + AllowOverride + 误报 + 无理由 | 阻止 | 是 | 否 |
通知 + 阻止 + AllowOverride + 误报 + 带理由 | 阻止 | 是 | 是 |
OneDrive 网站和 SharePoint 网站上的策略提示
当 OneDrive 网站或 SharePoint 网站上的文档与 DLP 策略中的规则匹配,并且该规则使用策略提示时,策略提示会在文档上显示特殊图标:
如果该规则发送有关该文件的通知,则会显示警告图标。
如果该规则阻止访问该文档,则会显示阻止图标。
若要对文档执行操作,可以选择项目>,选择页面右上角的,打开详细信息窗格>“查看策略提示”。
策略提示会列出问题及其内容,如果对策略提示配置了这些选项,则您可以选择“解决”,然后选择“替换”策略提示或“报告”误报。
将 DLP 策略同步到网站,并定期以异步方式根据这些策略对内容进行评估,因此,您创建 DLP 策略的时间与开始看到策略提示的时间之间可能出现短暂的延迟。 类似延迟还有可能出现在从您解决或替换策略提示到网站的文档上的图标消失的这段时间里。
网站上的策略提示的默认文本
默认情况下,策略提示显示在网站上类似于以下项的文本。 通知文本针对每个规则单独配置,因此根据匹配的规则,显示的文本有所不同。
如果 DLP 策略规则执行此操作... | 然后默认策略提示显示此消息... |
---|---|
发送通知但不允许替代 | 此项与您的组织中的策略相冲突。 |
阻止访问,发送通知,并允许重写 | 此项与您的组织中的策略相冲突。 如果不解决此冲突,可能会阻止访问此文件。 |
阻止访问,并向发送通知 | 此项与您的组织中的策略相冲突。 除项目所有者、上次修饰符和主站点管理员外,其他人将阻止访问该项目。 |
网站上的策略提示的自定义文本
可以独立于电子邮件通知自定义策略提示的文本。 与电子邮件通知 (上一部分) 的自定义文本不同,策略提示的自定义文本不接受 HTML 或令牌。 相反,策略提示的自定义文本是纯文本,限制为 256 个字符。
Outlook 网页版和 Outlook 2013 及更高版本中的策略提示
在 Outlook 网页版 和 Outlook 2013 及更高版本中撰写新电子邮件时,如果添加的内容与 DLP 策略中的规则匹配,并且该规则使用策略提示,则会看到策略提示。 撰写邮件时,策略提示显示在邮件顶部、收件人上方。
无论敏感信息是否出现在邮件正文、主题行甚至邮件附件中,策略提示都起作用,如此处所示。
如果策略提示配置为允许替代,则可以选择“ 显示详细信息>替代”> ,输入业务理由或报告误报 >替代。
向电子邮件添加敏感信息时,在添加敏感信息和显示策略提示之间可能存在延迟。 使用Microsoft Purview 邮件加密加密电子邮件时,用于检测电子邮件的策略使用检测到的加密条件时,不会显示策略提示。
Exchange 管理中心中的策略提示与Microsoft Purview 合规门户
策略提示既适用于 在 Exchange 管理中心中创建的 DLP 策略和邮件流规则,也适用于在合规性门户中创建的 DLP 策略,但不能同时使用这两者。 这是因为这些策略存储在不同的位置,但策略提示只能从单个位置提取。
如果在 Exchange 管理中心中配置了策略提示,则在关闭 Exchange 管理中心中的提示之前,在合规性门户中配置的任何策略提示都不会显示给 Outlook 网页版 和 Outlook 2013 及更高版本的用户。 这可确保当前 Exchange 邮件流规则 (也称为传输规则) 将继续工作,直到你选择切换到合规性门户。
虽然策略提示只能从单个位置进行绘制,但始终会发送电子邮件通知,即使你在合规性门户和 Exchange 管理中心都使用 DLP 策略也是如此。
电子邮件中策略提示的默认文本
默认情况下,策略提示在电子邮件中显示类似于以下内容的文本。
如果 DLP 策略规则执行此操作... | 然后默认策略提示显示此消息... |
---|---|
发送通知但不允许替代 | 电子邮件与组织中的策略冲突。 |
阻止访问,发送通知,并允许重写 | 电子邮件与组织中的策略冲突。 |
阻止访问,并向发送通知 | 电子邮件与组织中的策略冲突。 |
Excel、PowerPoint 和 Word 中的策略提示
当用户在桌面版本的 Excel、PowerPoint 和 Word 中使用敏感内容时,策略提示可以实时通知他们内容与 DLP 策略冲突。 这要求:
Office 文档存储在 OneDrive 网站或 SharePoint 网站上。
站点包含在配置为使用策略提示的 DLP 策略中。
Office 桌面程序直接从Office 365自动同步 DLP 策略,然后扫描文档以确保它们不会与 DLP 策略冲突,并实时显示策略提示。
注意
Office 桌面应用会扫描文档本身,以确定是否应显示 DLP 策略提示;它们不会显示 SharePoint Online 网站或OneDrive for Business网站已确定应在文件上显示的策略提示。 因此,在 SharePoint Online 网站或OneDrive for Business网站中看到的桌面应用中,可能不会始终看到 DLP 策略提示。 相比之下,Web 上的 Office 应用程序仅显示应显示 SharePoint Online 网站或OneDrive for Business网站已确定的 DLP 策略提示。
根据你在 DLP 策略中配置策略提示的方式,用户可以选择忽略策略提示、使用或不使用业务理由替代策略,或报告误报。
在消息栏上显示策略提示。
策略提示也显示在 Backstage 视图(“文件”选项卡上)中。
如果对 DLP 策略中的策略提示配置了这些选项,您可以选择“解决”以“替换”策略提示或“报告”误报。
在这些 Office 桌面程序中,用户可以选择关闭策略提示。 如果关闭,简单通知的策略提示不会显示在消息栏或 Backstage 视图 (“ 文件 ”选项卡上) 。 但是,仍会显示有关阻止和重写的策略提示,它们仍会收到电子邮件通知。 此外,关闭策略提示不会将文档从已应用于文档的任何 DLP 策略中免除。
Excel 2016、PowerPoint 2016 和 Word 2016 中的策略提示的默认文本
默认情况下,策略提示将在打开文档的消息栏和 Backstage 视图中显示类似于以下的文本。 通知文本针对每个规则单独配置,因此根据匹配的规则,显示的文本有所不同。
如果 DLP 策略规则执行此操作... | 然后默认策略提示显示此消息... |
---|---|
发送通知但不允许替代 | 此文件与您的组织中的策略相冲突。 有关详细信息,请转到“ 文件 ”菜单。 |
阻止访问,发送通知,并允许重写 | 此文件与您的组织中的策略相冲突。 如果不解决此冲突,可能会阻止访问此文件。 有关详细信息,请转到“ 文件 ”菜单。 |
阻止访问,并向发送通知 | 此文件与您的组织中的策略相冲突。 如果不解决此冲突,可能会阻止访问此文件。 有关详细信息,请转到“ 文件 ”菜单。 |
Excel、PowerPoint 和 Word 中策略提示的自定义文本
可以独立于电子邮件通知自定义策略提示的文本。 与电子邮件通知 (上一部分) 的自定义文本不同,策略提示的自定义文本不接受 HTML 或令牌。 相反,策略提示的自定义文本是纯文本,限制为 256 个字符。