使用自适应保护帮助动态缓解风险

重要

Microsoft Purview 内部风险管理关联各种信号,以识别潜在的恶意或无意内部风险,例如 IP 盗窃、数据泄露和安全违规。 内部风险管理使客户能够创建策略来管理安全性和合规性。 根据设计而构建的隐私,默认情况下,用户将化名化,并且基于角色的访问控制和审核日志已到位,以帮助确保用户级别的隐私。

Microsoft Purview 中的自适应保护使用机器学习来识别最关键的风险,并主动和动态地从以下方面应用保护控制:

与数据丢失防护、数据生命周期管理和条件访问集成可帮助组织自动响应内部风险,并减少识别和修正潜在威胁所需的时间。 通过利用这四种解决方案的功能,组织可以创建一个更全面的安全框架来应对内部和外部威胁。

重要

若要了解将自适应保护与数据丢失防护、数据生命周期管理和条件访问结合使用的许可要求,请参阅 Microsoft 365、Office 365、企业移动性 + 安全性 和 Windows 11 订阅

自适应保护通过以下方法帮助缓解潜在风险:

  • 上下文感知检测。 通过 ML 驱动的内容和用户活动分析来帮助识别最关键的风险。
  • 动态控件。 帮助对高风险用户强制实施有效控制,而其他人则保持工作效率。
  • 自动缓解。 有助于将潜在数据安全事件的影响降到最低,并降低管理开销。

自适应保护根据机器学习模型在内部风险管理中定义和分析的内部风险级别,向用户动态分配适当的数据丢失防护、数据生命周期管理和条件访问策略。 策略根据用户上下文进行自适应,确保最有效的策略(例如通过数据丢失防护阻止数据共享或通过条件访问阻止应用程序访问)仅应用于高风险用户,而低风险用户保持工作效率。 数据丢失防护和条件访问策略控制不断调整,因此当用户的内部风险级别发生更改时,会动态应用适当的策略来匹配内部新风险级别。 对于数据生命周期管理,内部风险管理会检测 风险级别提升 的用户,并使用自动创建的数据生命周期管理保留标签策略将其删除的数据保留 120 天。

重要

内部风险管理目前在托管在 Azure 服务依赖项支持的地理区域和国家/地区的租户中可用。 若要验证组织是否支持内部风险管理解决方案,请参阅 按国家/地区提供的 Azure 依赖项可用性。 内部风险管理可用于商业云,但目前不适用于美国政府云计划。

观看以下视频,了解自适应保护如何帮助识别和缓解组织中最关键的风险:

提示

开始使用Microsoft Security Copilot,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的Microsoft Security Copilot

内部风险级别和预防性控制

借助自适应保护,管理员可以根据组织的需要为可自定义的内部风险级别配置风险因素或活动。 自适应保护的内部风险级别会根据用户的风险因素和见解持续自动更新,因此,当用户的数据安全风险增加或减少时,其内部风险级别会相应地进行调整。 根据内部风险级别,数据丢失防护策略和条件访问策略会自动应用管理员配置的适当级别的预防性控制 (,例如 阻止替代阻止或 警告) 。

提示

自适应保护中的内部风险级别不同于根据内部风险管理策略中检测到的活动分配给内部风险管理用户的警报严重性级别

  • 如本文所述,预览体验成员风险级别 (提升、中等或次要) 是一种风险度量标准,由管理员定义的条件(例如用户一天内执行的外泄活动数)确定,或者其活动是否生成了高严重性内部风险警报。
  • 警报严重性级别 (低、中或高) 根据内部风险管理策略中检测到的活动分配给用户。 这些级别是根据分配给与用户关联的所有活动警报的警报风险分数计算的。 这些级别可帮助内部风险分析师和调查人员相应地确定用户活动的优先级并做出响应。

对于数据生命周期管理,数据生命周期管理策略监视内部风险管理自适应保护分配了 提升风险级别的 用户。 当有风险的用户从 SharePoint、OneDrive 或 Exchange Online中删除任何内容时,这些内容会自动保留 120 天。 管理员可以联系Microsoft支持人员以还原任何保留的内容。

根据自适应保护中分配的内部风险管理策略, (用户、组、指标、阈值等 ) 使用不同的条件来确定适用的内部风险级别。 内部风险级别基于用户见解,而不仅仅是基于特定用户活动的实例数。 见解是活动的聚合数量和这些活动的严重性级别的计算。

例如,执行潜在风险活动超过三次的用户 A 不会确定用户 A 的内部风险级别。 用户 A 的内部风险级别将由活动总数的见解确定,风险分数将根据所选策略中配置的阈值分配给活动。

内部风险级别

自适应保护中的预览体验成员风险级别定义用户活动的风险程度,并且可以基于以下条件:他们执行的外泄活动数,或者他们的活动是否生成了高严重性内部风险警报。 这些内部风险级别具有内置的内部风险级别定义,但可以根据需要自定义这些定义:

  • 提升的风险级别:这是最高的内部风险级别。 它包括具有高严重性警报的用户的内置定义、具有至少三个序列见解的用户,每个序列见解针对特定风险活动具有高严重性警报,或一个或多个已确认的高严重性警报。
  • 中等风险级别:中等内部风险级别包括针对具有中等严重性警报的用户或具有至少两个数据外泄活动且严重性分数较高的用户的内置定义。
  • 次要风险级别:最低内部风险级别包括针对具有低严重性警报的用户或具有至少一个数据外泄活动且严重性分数较高的用户的内置定义。

对于要分配给用户的预览体验成员风险级别,分配给活动的见解数和严重性需要匹配内部风险级别的定义。 见解的活动数可以是单个活动,也可以是单个见解累积的多个活动。 根据内部风险级别定义评估见解数,而不是见解中包含的活动数。

例如,假设分配给自适应保护的内部风险管理策略中的条件限定为标识从组织中的 SharePoint 网站下载。 如果策略检测到用户在一天内从 SharePoint 网站下载了 10 个文件,这些文件被确定为高严重性,则这将计为包含 10 个活动事件的单个见解。 为了使此活动有资格向用户分配 提升的风险级别 ,用户需要两个具有高严重性) 的附加见解 (。 其他见解可能包含也可能不包含一个或多个活动。

内部风险管理自适应保护内部风险级别。

自定义内部风险级别

自定义预览体验成员风险级别允许你根据组织的需求创建内部风险级别。 可以自定义内部风险级别所基于的条件,然后定义条件以控制何时将内部风险级别分配给用户。

请考虑以下示例,将自适应保护与数据丢失防护、数据生命周期管理和条件访问策略结合使用。

  • 数据丢失防护策略
    • 允许具有 次要风险级别中等风险级别的 用户接收有关处理敏感数据的最佳做法的策略提示和教育。 通过这种方式,可以影响一段时间内的积极行为更改,并降低组织数据风险。
    • 阻止 具有提升风险级别的 用户保存或共享敏感数据,以尽量减少潜在数据事件的影响。
  • 数据生命周期管理策略
    • 将风险用户删除的任何 SharePoint、OneDrive 或Exchange Online内容保留 120 天。 在这种情况下,风险用户是通过自适应保护分配了 提升风险级别的 用户。
  • 条件访问策略
    • 要求 次要风险级别 用户在使用应用程序之前确认使用条款。
    • 阻止 中等风险级别的 用户访问某些应用程序。
    • 完全阻止 提升的风险级别 用户使用 任何 应用程序。 详细了解常用条件访问策略

内部风险级别标准和条件

内部风险级别条件和条件自定义可以基于以下方面:

  • 为用户生成或确认的警报:此选项允许你根据针对所选内部风险管理策略的用户生成或确认的 警报的严重性级别 选择条件。 警报的条件不会累加,如果满足其中一个条件,则会向用户分配内部风险级别。
  • 特定用户活动:此选项允许你选择要检测的活动的条件、其严重性以及 过去活动检测 窗口中的每日发生次数 (可选) 。 用户活动的条件是累加的,仅当满足所有条件时,才会向用户分配内部风险级别。

过去活动检测

此内部风险级别设置确定自适应保护检查的天数,以检测用户是否满足任何内部风险级别定义的条件。 默认设置为 7 天,但可以选择 5 到 30 天的先前活动来应用内部风险级别条件。 此设置仅适用于基于用户日常活动的预览体验成员风险级别,并基于警报排除内部风险级别。

以下示例演示了过去的活动检测设置和内部风险级别如何交互,以确定用户过去的活动是否在范围内:

  • 提升的风险级别 设置:用户至少执行三个序列,每个序列的严重性风险分数 (67 到 100)
  • 过去的活动检测 设置:3 天
用户活动 内部风险级别的活动范围
用户每天在 T-3、T-2、T-1 上具有 1 个高严重性序列
用户在第 3 天 T-3 具有 3 个高严重性序列
用户在第 4 天具有 1 个高严重性序列,在第 3 天具有 2 个高严重性序列

内部风险级别时间范围

此内部风险级别设置确定内部风险级别在自动重置之前仍分配给用户的时长。 默认设置为 7 天,但在重置用户的预览体验成员风险级别之前,可以选择 5 到 30 天。

在出现时,还会重置用户的预览体验成员风险级别:

  • 用户的关联警报将被消除。
  • 已解决用户的关联案例。
  • 内部风险级别的结束日期已手动过期。

注意

如果用户当前分配了内部风险级别,并且该用户再次满足该内部风险级别的条件,则内部风险级别时间范围将延长为该用户定义的天数。

风险级别过期选项

如果启用此选项 (默认启用) ,则当用户的关联警报被消除或用户的关联案例关闭时,用户的自适应保护风险级别会自动过期。 如果想要保持用户的自适应保护风险级别,即使警报已消除或案例已关闭,请禁用 选项。

自适应保护的权限

重要

若要了解将自适应保护与数据丢失防护、数据生命周期管理和条件访问结合使用的许可要求,请参阅 Microsoft 365、Office 365、企业移动性 + 安全性 和 Windows 11 订阅

根据使用内部风险管理内置角色组和角色组来防止数据丢失或条件访问的方式,可能需要更新组织中管理员、分析师和调查人员 的权限

下表描述了特定自适应保护任务所需的权限。

重要

Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限

任务 所需角色组
配置自适应保护和更新设置 内部风险管理内部风险管理管理员
使用自适应保护条件创建和管理数据丢失防护策略 以下其中一项: 合规性管理员合规性数据管理员DLP 合规性管理全局管理员
创建和管理具有自适应保护条件的条件访问策略 以下选项之一:全局管理员条件访问管理员安全管理员
查看有关用户分配的内部风险级别的详细信息 内部风险管理内部风险管理分析师内部风险管理调查员

重要

四类角色组对应于“自适应保护”页上的以下选项卡:“预览体验成员风险级别”、“用户分配的内部风险级别”、“数据丢失防护”、“条件访问”。 如果未分配到相应的角色组,则“ 自适应保护 ”页上不会显示该选项卡。

详细了解 Microsoft Defender for Office 365 和 Microsoft Purview 合规性中的角色组

配置自适应保护

根据组织的需求,或者你当前配置了内部风险管理、数据丢失防护、数据生命周期管理和条件访问,可以使用两个选项开始使用自适应保护:

  • 快速设置
  • 自定义设置

快速设置

快速设置选项是开始使用自适应保护的最快方法。 使用此选项,无需任何预先存在的内部风险管理、数据丢失防护、数据生命周期管理或条件访问策略,也无需预先配置任何设置或功能。 如果你的组织没有支持内部风险管理、数据丢失防护或数据生命周期管理的当前订阅或许可证,请在开始快速设置过程之前注册 Microsoft Purview 风险和合规性解决方案试用版 。 还可以注册条件访问的Microsoft Entra试用版

首先,可以从 Microsoft Purview 门户主页或数据丢失防护概述页上的自适应保护卡片中选择“ 启用自适应 保护”。 还可以转到预览体验成员风险管理>自适应保护>仪表板>快速设置,开始快速设置过程。

注意

如果你已经是 Microsoft Purview 的范围 管理员 ,则无法启用快速设置。

下面是使用自适应保护的快速设置过程时所配置的内容:

区域 配置
如果尚未配置内部风险设置, () - 隐私:显示用户名的匿名版本。 注意: 在条件访问或数据丢失防护中,用户名不是匿名的。
- 策略时间范围:默认值
- 策略指示器:可以在内部风险管理设置中查看 (Office 指标的子集)
- 风险分数提升器:全部
- 智能检测:警报卷 = 默认卷
- 分析:打开
- 管理员通知:在生成第一个警报时向所有人发送通知电子邮件
如果已配置) ,则 (内部风险设置 - 策略指示器:尚未配置 Office 指示器 (可以在内部风险管理设置中查看)
- 以前配置的所有其他设置不会更新或更改。
- 分析:在策略中触发事件的 (阈值是由 Analytics 建议 确定的默认设置)
新的内部风险策略 - 策略模板: 数据泄漏
- 策略名称:内部风险管理的自适应保护策略
- 用户和组的策略范围:所有用户和组
- 优先级内容:无
- 触发事件:可以在内部风险管理设置) 查看所选的外泄事件 (
- 策略指示器:可以在内部风险管理设置中查看 (Office 指标的子集)
- 风险分数提升器:活动高于当天用户通常的活动
自适应保护内部风险级别 - 提升的风险级别:用户必须至少有三个高严重性外泄序列
- 中等风险级别:用户必须至少有两个高严重性活动, (排除某些类型的下载)
- 次要风险级别:用户必须至少有一个高严重性活动 (排除某些类型的下载)
两个新的数据丢失防护策略 终结点 DLP 的自适应保护策略

- 提升的风险级别 规则:已阻止
- 温和/次要风险级别 规则:审核
- 策略在测试模式下启动, (仅审核)

适用于 Teams 和 Exchange DLP 的自适应保护策略

- 提升的风险级别 规则:已阻止
- 温和/次要风险级别 规则:审核
- 策略在测试模式下启动, (仅审核)
新的数据生命周期管理策略 组织范围的自动应用标签策略,用于监视分配了 提升风险级别的用户。 风险用户删除的任何 SharePoint、OneDrive 或Exchange Online内容将保留 120 天。 如果尚未启用自适应保护,则会在启用自适应保护时自动创建并应用策略。 如果已打开自适应保护, 则需要显式选择加入自动创建的数据生命周期管理策略
新的条件访问策略 (“仅报表”模式下创建,因此用户不会被阻止) 1-阻止具有预览体验成员风险的用户 (预览版)

- 包含的用户:所有用户
- 排除的来宾或外部用户:B2bDirectConnect 用户;OtherExternalUser;ServiceProvider
- 云应用:Office 365应用
- 内部风险级别: 提升
- 阻止访问:已选择

启动快速设置过程后,最多可能需要 72 小时才能完成分析,创建关联的内部风险管理、数据丢失防护、数据生命周期管理和条件访问策略,并且你会看到适用于用户活动的自适应保护内部风险级别、数据丢失防护、数据生命周期管理和条件访问操作。 完成快速设置过程后,管理员会收到通知电子邮件。

自定义设置

使用自定义设置选项,可以自定义内部风险管理策略、内部风险级别以及为自适应保护配置的数据丢失防护和条件访问策略。

注意

对于数据生命周期管理,如果尚未启用自适应保护,则会在启用自适应保护时自动创建并应用策略。 如果已为组织启用自适应保护,则需要 显式选择加入以应用自动创建的数据生命周期管理策略

此选项还允许在内部风险管理和数据丢失防护之间实际启用自适应保护连接之前配置这些项目。 在大多数情况下,此选项应由已制定内部风险管理和/或数据丢失防护策略的组织使用。

完成以下步骤,使用自定义设置配置自适应保护。

步骤 1:创建内部风险管理策略

在自适应保护中分配的策略检测到用户活动或生成与下一步中定义的内部风险级别条件匹配的警报时,将向用户分配内部风险级别。 如果不想使用在步骤 2) 中选择的现有内部风险管理策略 (,则必须创建新的内部风险管理策略。 自适应保护的内部风险管理策略应包括:

  • 要检测其活动的用户。 这可以是组织中的所有用户和组,也可以只是特定风险缓解方案或测试目的的子集。
  • 你认为有风险的活动以及影响活动风险评分的自定义阈值。 风险活动可能包括向组织外部的人员发送电子邮件或将文件复制到 USB 设备。

选择“ 创建内部风险策略 ”以启动新策略向导。 向导中会自动选择 “数据泄漏 ”策略模板,但可以选择任何策略模板。

重要

根据所选的策略模板,可能需要为策略配置 其他设置 ,以正确检测潜在风险活动并创建适用的警报。

步骤 2:配置内部风险级别设置

选择“ 预览体验成员风险级别 ”选项卡。首先选择要用于自适应保护的内部风险管理策略。 这可以是在步骤 1 中创建的新策略,也可以是已配置的现有策略。

接下来,接受适用的内置内部风险级别条件或创建自己的内部风险级别条件。 根据所选策略的类型,内部风险级别条件将反映与策略中配置的指标和活动关联的适用条件。

例如,如果已基于 数据泄露 策略模板选择了策略,则内置内部风险级别条件选项适用于该策略中可用的指标和活动。 如果已基于 安全策略冲突 策略模板选择了策略,则内置内部风险级别条件将自动限定为该策略中可用的指标和活动。

为策略自定义内部风险级别

为正在使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户

  2. 转到 预览体验成员风险管理 解决方案。

  3. 在左侧导航栏中选择 “自适应保护 ”,然后选择“ 预览体验成员风险级别”。

  4. “预览体验成员风险级别 ”页上,选择“ 编辑 ”以获取要自定义 (“提升”、“ 中等”“次要 ”) 的预览体验成员风险级别。

  5. “自定义预览体验成员风险级别 ”窗格中, 选择“基于预览体验成员风险级别 ”部分的选项:

    • 为用户生成或确认警报
    • 特定用户活动
  6. 如果选择了 “为用户生成或确认警报 ”选项,请选择应使用此内部风险级别的用户生成或确认的警报的严重性级别。 可以保留已生成警报的严重性和已确认警报条件的严重性,如果只想使用其中一个条件,可以删除这些条件之一。 如果需要重新添加其中一个条件,请选择“ 添加条件”,然后选择该条件。 对于每个条件,请选择应对条件应用的严重性级别 (“高”、“ 中”或“ ”) 。 如果满足 任何 条件,则会向用户分配内部风险级别。

  7. 如果选择了 “特定用户活动 ”选项,请选择要检测的活动、其严重性和过去活动检测窗口中的每日发生次数。 必须为此内部风险级别配置“活动”、“活动严重性”和“检测窗口期间的活动发生次数”。

    对于 “活动” 条件,可以根据使用关联策略中配置的指示器定义的活动类型自动更新可从中选择的选项。 如果需要,请选中“ 将此内部风险级别分配给已确认未来警报的任何用户,即使不符合上述条件 也是如此”复选框。 如果满足 所有 条件,则会向用户分配内部风险级别。

    对于 “活动严重性 ”条件,请指定每日活动见解中包含的活动的严重性级别。 选项有 “高”、“ 中”“低”,并且基于风险分数范围。

    对于 “检测窗口期间的活动事件” 条件,指定必须在指定的 “过去 ”活动检测期限内检测到所选活动的次数。 此数字与活动可能发生的事件数无关。 例如,如果策略检测到用户在一天内从 SharePoint 下载了 20 个文件,则计为包含 20 个事件的每日活动见解。

  8. 选择“ 确认 ”以应用自定义内部风险级别条件。

如果用户在多个策略范围内,如何分配内部风险级别

如果用户在多个策略的范围内,如果用户收到不同严重级别的警报,则默认情况下,将向用户分配收到的最高严重级别。 例如,请考虑在用户收到高严重性警报时分配 提升风险级别的 策略。 如果用户收到来自策略 1 的低严重性警报、来自策略 2 的中等严重性警报和来自策略 3 的高严重性警报,则会为该用户分配“ 提升”风险级别 ,即收到的最高警报严重性级别。

请注意,内部风险级别条件必须存在于要检测的所选策略中。 例如,如果选择“ 复制到 USB ”活动以分配 “中等风险级别”,但仅在三个所选策略中选择了该活动,则只有该策略中的活动将为该活动分配 “中等”风险级别

步骤 3:创建或编辑数据丢失防护策略

接下来,创建新的数据丢失防护策略 (或编辑现有策略) ,以限制与自适应保护中内部风险级别条件匹配的用户的操作。 对数据丢失防护策略配置使用以下准则:

  • 必须在数据丢失防护策略中包含自适应保护的用户内部风险级别。 此数据丢失防护策略可以根据需要包括其他条件。
  • 尽管可以在数据丢失防护策略中包含其他位置,但自适应保护目前仅支持 Exchange、Microsoft Teams 和设备。

选择“ 创建策略 ”以启动数据丢失防护策略向导,并创建新的数据丢失防护策略。 如果已有要为自适应保护配置的数据丢失防护策略,请转到合规性门户中的 数据丢失防护>策略 ,然后选择要针对自适应保护更新的数据丢失防护策略。 有关如何为自适应保护配置新的数据丢失防护策略或更新现有数据丢失防护策略的指导,请参阅 了解数据丢失防护中的自适应保护:手动配置

提示

建议使用策略提示) 测试数据丢失防护策略 (,以便在启用自适应保护之前查看数据丢失防护警报,验证策略是否按预期工作。

步骤 4:创建或编辑条件访问策略

接下来,创建新的条件访问策略 (或编辑现有策略) ,以限制与自适应保护中内部风险级别条件匹配的用户的操作。 对条件访问策略配置使用以下准则:

  • 在“条件访问”页上,根据条件中的信号控制访问权限,将 “预览体验成员风险 条件”设置为“ 是”,然后选择内部风险级别 (“提升”、“ 中等”或“ 次要 ”) 。 这是用户为强制实施策略而必须具有的内部风险级别。

选择“ 创建策略 ”以启动条件访问策略向导并创建新的条件访问策略。 如果已有要为自适应保护配置的条件访问策略,请转到Microsoft Entra 管理中心中的“保护>条件访问”,然后选择要针对自适应保护更新的条件访问策略。 有关如何为自适应保护配置新的条件访问策略或更新现有条件访问策略的指导,请参阅 通用条件访问策略:基于内部风险的策略

步骤 5:启用自适应保护

完成上述所有步骤后,即可启用自适应保护。 启用自适应保护时:

  • 内部风险管理策略开始查找与内部风险级别条件匹配的用户活动。 如果检测到,则会向用户分配内部风险级别。
  • 分配有内部风险级别的用户显示在自适应保护的“ 用户分配的内部风险级别 ”选项卡上。
  • 数据丢失防护策略针对分配给数据丢失防护策略中包含的内部风险级别的任何用户应用保护操作。 数据丢失防护策略将添加到自适应保护中的“数据丢失防护”选项卡。 可以从仪表板查看有关数据丢失防护策略和编辑策略条件的详细信息。
  • 自动创建的数据生命周期管理策略为分配到 提升风险级别的任何用户应用保护操作。 以下消息在 “自适应保护 ”选项卡上以绿色背景显示,以告知用户正在应用主动数据保留:“你的组织也受到动态保护,使其免受可能删除关键数据的用户的影响。该消息还提供指向数据生命周期管理设置的链接,可在其中根据需要关闭主动数据保留功能。
  • 条件访问策略为分配到条件访问策略中包含的内部风险级别的任何用户应用保护操作。 条件访问策略将添加到自适应保护中的“条件访问策略”选项卡中。 可以从仪表板查看有关条件访问策略和编辑策略条件的详细信息。

若要启用自适应保护,请选择“ 自适应保护设置 ”选项卡,然后将 “自适应保护 ”设置为 “开”。 最长可能需要 36 小时才能看到适用于用户活动的自适应保护内部风险级别和数据丢失防护、数据生命周期管理和条件访问操作。

观看 Microsoft 机制频道上的以下视频, 了解自适应保护如何根据用户计算的数据安全内部风险级别自动调整数据保护强度

管理自适应保护

启用自适应保护并配置内部风险管理、数据丢失防护和条件访问策略后,你将有权访问有关策略指标、当前范围内用户和当前范围内的内部风险级别的信息。

注意

目前,仪表板上不会显示数据生命周期管理指标。 但是,如果你在 “自适应保护 ”选项卡上看到以下消息:“你的组织也受到动态保护,使其免受用户可能删除关键数据的影响,则你就会知道是否已启用主动数据保留。

仪表板

完成“快速”或“自定义”设置过程后,自适应保护中的“仪表板”选项卡会显示小组件,以获取有关用户内部风险级别、条件访问策略和数据丢失防护策略的摘要信息。

  • 用户分配了内部风险级别:显示每个预览体验成员风险级别的用户数, (提升中等次要) 。
  • 使用内部风险级别的策略:显示策略的状态 (未启动完成) 、 (条件访问数据丢失防护) 的策略类型,以及每种类型的策略配置的策略数。 如果尚未配置策略类型,请选择“ 快速设置 ”以配置策略。

内部风险管理自适应保护仪表板。

用户分配的内部风险级别

已在自适应保护中分配了内部风险级别的用户显示在“ 用户分配的内部风险级别 ”选项卡上。可以查看每个用户的以下信息:

  • 用户:Lists用户名。 对于数据丢失防护策略,如果在内部风险管理设置中选择了 “显示用户名的匿名版本 ”选项,你将看到匿名用户名。 对于条件访问策略,即使选择了 “显示用户名的匿名版本 ”设置,也不会匿名用户名。

    重要

    为了保持引用完整性,如果启用) ,则不会保留具有警报或活动出现在内部风险管理外部的自适应保护中的用户的匿名化 (。 实际用户名将显示在相关的数据丢失防护警报和活动资源管理器中。

  • 内部风险级别:分配给用户的当前内部风险级别。

  • 分配给用户:自为用户分配内部风险级别以来经过的天数或月数。

  • 预览体验成员风险级别重置:为用户自动重置内部风险级别之前的天数。

    若要手动重置用户的预览体验成员风险级别,请选择该用户,然后选择“ 过期”。 将不再为此用户分配内部风险级别。 不会删除此用户的现有警报或案例。 如果此用户包含在所选的内部风险管理策略中,则检测到触发事件时,将再次分配内部风险级别。

  • 活动警报:用户的当前内部风险管理警报数。

  • 已确认为冲突的案例:用户的已确认案例数。

  • Case:事例的名称。

如果需要,可以按 预览体验成员风险级别筛选用户。

内部风险管理自适应保护用户。

若要查看特定用户的详细内部风险和自适应保护信息,请选择该用户以打开用户详细信息窗格。 详细信息窗格包含三个选项卡:“用户配置文件”、“用户活动”“自适应保护摘要”。 有关 “用户配置文件 ”和“ 用户活动 ”选项卡的信息,请参阅 查看用户详细信息

“自适应保护摘要”选项卡聚合四个部分的信息:

  • 自适应保护:本部分显示有关用户当前 风险级别风险级别分配风险级别重置 的信息。
  • 范围内的数据丢失防护策略 (动态) :本部分显示用户当前范围内的所有数据丢失防护策略以及策略的开始和结束日期。 这基于用户的预览体验成员风险级别和内部风险级别的数据丢失防护策略配置。 例如,如果用户的活动已定义为内部风险管理策略 的风险级别 提升,并且两个数据丢失防护策略配置了 提升的风险级别 条件,则会在此处为用户显示这两个数据丢失防护策略。
  • 范围中的条件访问策略 (动态) :本部分显示当前在用户范围内的所有条件访问策略以及策略的开始和结束日期。 这基于用户的预览体验成员风险级别和内部风险级别的条件访问策略配置。 例如,如果用户的活动已定义为内部风险管理策略 的提升风险级别 ,并且条件访问策略配置了 提升的风险级别 条件,则会在此处为该用户显示条件访问策略。
  • 自适应保护的预览体验成员风险策略:本部分显示用户当前处于范围内的任何内部风险管理策略。

内部风险管理自适应保护用户详细信息。

条件访问策略

条件访问策略 ”页显示使用 预览体验成员风险 条件的所有条件访问策略。 可以查看每个策略的以下信息:

  • 策略名称:条件访问策略的名称。
  • 策略状态:策略的当前状态。 值为“活动”“非活动”。
  • 内部风险级别:使用预览体验成员风险条件的条件访问策略中包含的 内部风险 级别。 选项为“提升”、“中等”“次要”。
  • 策略状态:条件访问策略的当前状态。 选项为 “打开 ”或 “测试并显示通知”。
  • 创建日期:创建条件访问策略的日期。
  • 上次修改时间:上次编辑条件策略的日期。

内部风险管理自适应保护条件访问策略。

数据丢失防护策略

“数据丢失防护策略”页显示使用用户内部风险级别进行自适应保护的所有数据丢失防护策略。 可以查看每个策略的以下信息:

  • 策略名称:数据丢失防护策略的名称。
  • 策略状态:策略的当前状态。 值为“活动”“非活动”。
  • 策略位置:数据丢失防护策略中包含的 位置 。 目前,自适应保护支持 Exchange、Teams 和设备。
  • 内部风险级别:使用 自适应保护的预览体验成员风险级别 在数据丢失防护策略中包含的内部风险级别是条件。 选项为“提升”、“中等”“次要”。
  • 策略状态:数据丢失防护策略的当前状态。 选项为 “打开 ”或 “测试并显示通知”。
  • 创建日期:数据丢失防护策略的创建日期。
  • 上次修改时间:上次编辑数据丢失防护策略的日期。

内部风险管理自适应保护数据丢失防护策略。

优化内部风险级别设置

在查看具有内部风险级别的用户后,你可能会发现分配有内部风险级别的用户太多或太少。 可以使用两种方法来优化策略配置,以减少或增加分配有内部风险级别的用户数:

  • 修改内部风险级别设置。 可以调整阈值以向用户分配内部风险级别:
    • 增加或降低分配内部风险级别所需的活动的严重性。 例如,如果看到具有内部风险级别的用户太少,则可以降低活动或警报严重性。
    • 如果内部风险级别基于特定的用户活动,请在检测窗口中增加或减少活动发生次数。 例如,如果看到具有内部风险级别的用户太少,则可以减少活动发生次数。
    • 更改内部风险级别所基于的内容。 例如,如果看到太多具有内部风险级别的用户,为了减少用户数量,则只能在确认警报时分配内部风险级别。
  • 修改策略阈值。 由于内部风险级别是根据策略检测分配的,因此还可以修改策略,这反过来又会更改分配内部风险级别的要求。 可以通过增加或降低导致高/中/低严重性活动和警报的策略阈值来修改策略。

禁用自适应保护

在某些情况下,可能需要暂时禁用自适应保护。 若要禁用自适应保护,请选择“ 自适应保护设置 ”选项卡,并将 “自适应保护 ”设置为 “关闭”。

如果在启用和激活后关闭自适应保护,则内部风险级别将停止分配给用户,并与数据丢失防护、数据生命周期管理和条件访问共享,并且将重置用户的所有现有内部风险级别。 关闭自适应保护后,最多可能需要 6 小时才能停止为用户活动分配内部风险级别并全部重置。 不会自动删除内部风险管理、数据丢失防护、数据生命周期管理和条件访问策略。

启用内部风险管理自适应保护。

注意

通过在数据生命周期管理中关闭“数据生命周期管理 中的自适应 保护”设置,可以选择退出数据生命周期管理保护,而无需禁用内部风险管理自适应保护。 如果关闭此设置,则会删除数据生命周期管理策略。 除非将其重新打开,否则不会再次启用该设置。 详细了解 数据生命周期管理中的自适应保护 设置