创建和管理内部风险管理策略

重要

Microsoft Purview 内部风险管理关联各种信号,以识别潜在的恶意或无意内部风险,例如 IP 盗窃、数据泄露和安全违规。 预览体验成员风险管理使客户能够创建策略来管理安全性和合规性。 根据设计而构建的隐私,默认情况下,用户将化名化,并且基于角色的访问控制和审核日志已到位,以帮助确保用户级别的隐私。

预览体验计划风险管理策略确定哪些用户位于范围内以及为警报配置了哪些类型的风险指示器。 可以快速创建一个安全策略,该策略适用于组织中的所有用户,或定义单个用户或组以在策略中进行管理。 策略支持内容优先级,重点关注多个或特定 Microsoft Teams、SharePoint 网站、数据敏感度类型和数据标签的策略条件。 通过使用模板,可以选择特定风险指示器并自定义策略指示器的事件阈值,有效自定义风险分数,以及警报级别和频率。

还可以通过离开基于最新分析结果自动定义策略条件的用户策略来配置快速数据泄漏和数据盗窃策略。 此外,风险评分提升器和异常情况检测有助于识别具有较高重要性或异常的潜在风险用户活动。 通过策略窗口,可定义应用策略提醒活动的时间框架,并用于确定激活策略的持续时间。

查看 预览体验成员风险管理策略配置视频 ,大致了解使用内置策略模板创建的策略如何帮助你快速应对潜在风险。

提示

开始使用Microsoft Security Copilot,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的Microsoft Security Copilot

策略仪表板

使用策略仪表板可以快速查看组织中的策略、策略的运行状况、手动将用户添加到安全策略,以及查看与每个策略关联的警报的状态。

  • 策略名称:在策略工作流中分配给策略的名称。
  • 状态:每个策略的运行状况状态。 显示策略警告和建议的数量,或没有问题的策略的“健康”状态。 可以选择策略以查看任何警告或建议的运行状况状态详细信息。
  • 活动警报:每个策略的活动警报数。
  • 已确认的警报:过去 365 天内导致策略中的案例的警报总数。
  • 对警报执行的操作:过去 365 天内确认或消除的警报总数。
  • 策略警报有效性:由已确认警报总数除以对警报 (所执行操作总数(即过去一年确认或消除的警报) 总和)确定的百分比。

预览体验计划风险管理策略仪表板

来自分析的策略建议

预览体验成员风险分析提供与安全性和合规性相关的匿名用户活动的聚合视图,使你无需配置任何内部风险策略即可评估组织中的潜在内部风险。 此评估可帮助组织识别潜在的高风险领域,并帮助确定可以考虑配置的预览体验成员风险管理策略的类型和范围。 如果决定通过离开用户策略来对分析扫描结果执行 数据泄漏数据盗窃 ,甚至可以选择根据这些结果配置快速策略。

若要详细了解内部风险分析和策略建议,请参阅 内部风险管理设置:分析

注意

必须是不受限制的管理员才能访问分析见解。 了解管理组如何影响权限

快速策略

对于许多组织来说,开始使用初始策略可能是一项挑战。 如果你不熟悉内部风险管理或开始使用建议的操作,则可以使用快速策略来创建和配置新策略。 快速策略设置根据建议的最佳做法或组织中最新分析扫描的结果自动填充。 例如,如果分析检查检测到组织中潜在的数据泄漏活动,则 Date 泄漏快速策略将自动包含用于检测这些活动的指示器。

可以从以下快速策略中进行选择:

  • 关键资产保护:检测涉及组织最有价值的资产的活动。 这些资产的损失可能导致法律责任、财务损失或声誉损失。
  • 数据泄漏:检测组织中所有用户的潜在数据泄漏,范围从意外过度共享敏感信息到恶意数据盗窃。 ​
  • 离职用户的数据盗窃:检测用户接近其辞职或终止日期或从Microsoft Entra ID中删除其帐户的潜在数据盗窃。
  • Email外泄:检测用户何时向组织外部的敏感资产发送电子邮件。 例如,用户将敏感资产通过电子邮件发送到其个人电子邮件地址。

若要开始,请导航到 “内部风险管理>策略 ”,然后选择“ 创建策略>”“快速策略”。 如果要查看分析报告,可以选择“ 查看详细信息>”“开始 ”,以开始使用适用区域的快速策略。

启动快速策略工作流后,查看策略设置,并使用单一选择配置策略。 如果需要自定义快速策略,可以在创建策略后更改条件。 通过配置电子邮件通知每次出现策略警告或每次策略生成高严重性警报时,随时了解快速策略的检测结果。

注意

必须是不受限制的管理员才能创建快速策略。 了解管理组如何影响权限

确定策略中内容的优先级

内部风险管理策略支持根据内容的存储位置、内容类型或分类方式,为内容指定更高的优先级。 还可以选择是将风险分数分配给策略检测到的所有活动,还是仅分配包含优先级内容的活动。 将内容指定为优先级会增加任何关联活动的风险分数,反过来会增加生成严重性警报的可能性。 但某些活动不会生成警报,除非相关内容包含内置或自定义敏感信息类型或被指定为策略中的优先级。

例如,你的组织为高度机密项目专门了 SharePoint 网站。 此 SharePoint 网站中信息泄露可能泄露到项目,并可能严重影响项目成功。 通过针对数据泄露策略中此 SharePoint 网站的优先级,符合条件的活动的风险分数会自动增加。 此优先顺序会增加这些活动生成预览体验成员风险警报的可能性,提高警报严重性级别。

此外,可以选择将此策略集中在仅包含此项目的优先级内容的 SharePoint 网站活动上。 仅当指定的活动包含优先级内容时,才会分配风险评分并生成警报。 不会对没有优先级内容的活动评分,但如果生成了警报,你仍然可以查看它们。

注意

如果将策略配置为仅针对包含优先级内容的活动生成警报,则不会对风险评分提升器应用任何更改。

在策略工作流中创建内部风险管理策略时,可以从以下优先级中进行选择:

  • SharePoint 网站:与所定义的 SharePoint 网站中所有文件类型关联的任何活动都将被分配更高的风险分数。 配置策略并选择优先级 SharePoint 网站的用户可以选择他们有权访问的 SharePoint 网站。 如果当前用户在策略中无法选择 SharePoint 网站,则具有所需权限的另一个用户可以稍后选择策略的网站,或者应向当前用户授予对所需网站的访问权限。
  • 敏感信息类型:与包含敏感信息类型的内容相关的任何活动都被分配了较高的风险评分。
  • 敏感度标签:与具有特定标签 敏感度标签 的任何活动都将被分配更高的风险分数。
  • 文件扩展名:与具有特定文件扩展名的内容关联的任何活动。 配置数据盗窃/泄漏策略(选择要在策略工作流中 优先考虑的文件扩展名 )的用户可以定义最多 50 个文件扩展名,以在策略中确定优先级。 输入的扩展可以包含或省略“.”作为优先扩展的第一个字符。
  • 可训练分类器:与 可训练分类器中包含的内容关联的任何活动。 配置在策略工作流中选择可训练分类器的策略的用户最多可以选择 5 个可训练的分类器来应用于策略。 这些分类器可以是现有的分类器,用于识别敏感信息的模式,例如社会保障、信用卡、银行帐号或组织中创建的自定义分类器。

序列检测

风险管理活动可能不会作为独立事件发生。 这些风险通常是大量事件的一部分。 序列是一组两个或更多个可能具有潜在风险的活动,这些活动一个接一个地执行,这些活动可能表明风险升高。 识别这些相关的用户活动是评估总体风险的一个重要部分。 为数据盗窃或数据泄漏策略选择序列检测时,来自序列信息活动的见解将显示在内部风险管理案例中的“ 用户活动 ”选项卡上。 以下策略模板支持顺序检测:

  • 离职用户窃取数据
  • 数据泄漏
  • 优先用户的数据泄露
  • 风险用户的数据泄漏
  • 有风险的 AI 使用

这些预览体验计划风险管理策略可以使用特定指标及其出现的顺序来按风险顺序检测每个步骤。 对于根据优先级用户模板从“数据泄漏”和“数据泄漏”创建的策略,还可以选择触发策略的序列。 跨序列映射活动时,使用文件名。 这些风险分为四个主要活动类别:

  • 集合:按范围内策略用户检测下载活动。 示例风险管理活动包括从 SharePoint 网站下载文件、第三方云服务、未注册的域或将文件移动到压缩文件夹中。
  • 外泄:检测由作用域内策略用户共享或提取到内部和外部源的活动。 一个示例风险管理活动包括向外部收件人发送包含组织附件的电子邮件。
  • 模糊处理:检测范围内策略用户对潜在风险活动的掩码。 一个示例风险管理活动包括重命名设备上的文件。
  • 清理:按作用域内策略用户检测删除活动。 一个示例风险管理活动包括从设备中删除文件。

注意

序列检测使用全局设置中启用的指示器进行内部风险管理。 如果未选择适当的指示器,则可以在策略工作流的序列检测步骤中打开这些指示器。

在策略中配置时,可自定义每种序列检测类型的单个阈值设置。 这些阈值设置根据与序列类型关联的文件量调整警报。

注意

序列可能包含一个或多个事件,这些事件根据设置配置从风险评分中排除。 例如,组织可以使用 全局排除 设置 从风险评分中排除 .png 文件,因为 .png 文件通常没有风险。 但是,.png 文件可用于模糊处理恶意活动。 因此,如果由于模糊处理活动而从风险评分中排除的事件是序列的一部分,则该事件将包含在序列中,因为它在序列的上下文中可能很有趣。 详细了解如何显示在活动资源管理器中属于序列的排除项。

要在“用户活动”视图中了解有关序列检测管理的更多信息,请参阅 预览体验计划风险管理事例:用户活动

累积外泄检测

默认情况下,内部风险指标在为内部风险策略范围内的用户进行评估时,有助于识别异常的风险活动级别。 累积外泄检测使用机器学习模型来帮助你确定用户在特定时间内执行的外泄活动何时超过组织中用户在过去 30 天内针对多种外泄活动类型执行的正常量。 例如,如果用户在过去一个月中共享的文件比大多数用户多,则会检测到此活动并将其归类为累积外泄活动。

内部风险管理分析师和调查人员可以使用累积的外泄检测见解来帮助识别通常不会生成 警报 但超出组织典型情况的外泄活动。 一些示例可能是离开用户在一段时间内缓慢地外泄数据,或者当用户比平时更经常地跨多个渠道共享数据,以便为组织共享数据,或者将其与对等组进行比较时。

注意

默认情况下,累积外泄检测根据用户的累积外泄活动与其组织规范相比生成风险评分。 可以在预览体验成员风险管理设置页的“策略指示器”部分启用累积外泄检测选项。 对于 SharePoint 网站的累积外泄活动、敏感信息类型和敏感度标签在策略中配置为优先内容的内容,或者对于涉及在 Microsoft Purview 信息保护 中配置为高优先级的标签的活动,风险评分更高。

使用下列策略模板时,默认情况下将启用累积筛选检测:

  • 离职用户窃取数据
  • 数据泄漏
  • 优先用户的数据泄露
  • 风险用户的数据泄漏

用于累积外泄检测的对等组

内部风险管理标识三种类型的对等组,用于分析用户执行的外泄活动。 为用户定义的对等组基于以下条件:

SharePoint 网站:内部风险管理根据访问类似 SharePoint 网站的用户标识对等组。

类似组织:具有基于组织层次结构的报表和团队成员的用户。 此选项要求组织使用Microsoft Entra ID来维护组织层次结构。

类似的职务:具有组织距离和类似职务组合的用户。 例如,具有高级销售经理职称的用户,其角色指定为同一组织中的销售主管销售经理,将被标识为类似的职务。 此选项要求组织使用Microsoft Entra ID来维护组织层次结构、角色指定和职务。 如果没有为组织结构和职务配置Microsoft Entra ID,则内部风险管理会基于常见的 SharePoint 网站标识对等组。

如果启用累积外泄检测,则组织同意与合规性门户共享Microsoft Entra数据,包括组织层次结构和职务。 如果你的组织不使用Microsoft Entra ID来维护此信息,则检测可能不太准确。

注意

累积筛选检测使用全局设置中启用了内部筛选指示器,以用于预览体验风险管理和在策略中选择的筛选指示器。 因此,只会针对选中的必要筛选指示器对累积筛选检测进行评估。 优先级内容中配置的 敏感度标签 的累积外泄活动会产生更高的风险评分。

当为数据盗用或数据泄露策略启用了累积泄露检测时,预览体验计划内" 用户活动 "选项卡上会显示累积泄露活动的见解。 若要详细了解用户活动管理,请参阅 预览体验成员风险管理案例:用户活动

策略运行状况

注意

如果策略 的范围由一个或多个管理单元确定,则只能查看所针对的策略的策略运行状况。 如果你是不受限制的管理员,则可以查看租户中所有策略的策略运行状况。

通过策略运行状况状态,可深入了解预览体验计划风险管理策略的潜在问题。 “策略”选项卡上的“状态”列可以针对可能阻止报告用户活动的策略问题或活动警报数异常的原因发出警报。 策略运行状况状态还可以确认策略运行状态,不需要注意或配置更改。

重要

必须具有 Insider Risk ManagementInsider Risk Management 管理员 角色才能访问策略运行状况。

如果策略存在问题,策略运行状况状态将显示通知警告和建议,帮助你采取措施解决策略问题。 这些通知可帮助你解决以下问题:

  • 配置不完整的策略。 这些问题可能包括策略中缺少用户或组,或其他不完整的策略配置步骤。
  • 具有指示器配置问题的策略。 指标是每个策略的重要组成部分。 如果没有配置指标,或者选择的指标过少,策略可能不会如期评估风险活动。
  • 策略触发器不起作用,或者策略触发器要求未正确配置。 策略功能可能取决于其他服务或配置要求,才能有效地检测触发事件以向策略中的用户激活风险评分分配。 这些相关性可能包括连接器配置问题、Microsoft Defender for Endpoint 警报共享或数据丢失防护策略配置设置问题。
  • 卷限制即将接近或超过限制。 预览体验计划风险管理策略使用许多 Microsoft 365 服务和终结点聚合风险管理信号。 根据策略中的用户数,批量限制可能会延迟标识和报告风险活动。 若要详细了解这些限制,请通过本文的"策略模板限制"部分了解。

若要快速查看策略的运行状况状态,请导航“ 策略 ”选项卡和 “状态” 列。 在这里,你将看到每个策略的以下策略运行状况状态选项:

  • 正常:未发现策略的问题。
  • 建议:策略存在问题,可能会阻止策略按预期运行。
  • 警告:策略存在问题,可能会阻止它识别潜在的风险活动。

有关任何建议或警告的更多详细信息,请在“策略”选项卡上选择一个策略以打开策略详细信息卡。 有关建议和警告的详细信息,包括有关如何解决这些问题的指导,显示在详细信息卡的通知部分。

内部风险管理策略运行状况。

通知消息

使用下表详细了解解决潜在问题的建议和警告通知及操作。

通知消息 策略模板 原因/请尝试此操作进行修复
策略并未向活动分配风险分数 所有策略模板 你可能想要查看策略范围并触发事件配置,以便策略可以为活动分配风险评分

1. 查看为策略选择的用户。 如果选择了几个用户,可能需要选择其他用户。
2. 如果使用的是人力资源连接器,请检查 HR 连接器是否发送正确的数据。
3. 如果使用 DLP 策略作为触发事件,检查 DLP 策略配置,以确保将其配置为在此策略中使用。
4. 对于安全违规策略,请查看在预览体验成员风险设置>智能检测中选择的Microsoft Defender for Endpoint警报会审状态。 确认警报筛选器不是太窄。
策略未生成任何警报 所有策略模板 可能需要查看策略配置,以便分析最相关的评分活动。

1. 确认已选择了要评分的指标。 选择的指标越多,分配给风险分数的活动就更多。
2. 查看策略的阈值自定义。 如果所选阈值与组织的风险容忍度不一致,请调整选择,以便根据首选阈值创建警报。
3.查看为策略选择的用户和组。 确认你已选择所有适用的用户和组。
4. 对于安全策略,请确认你已选择在设置中为 Microsoft Defender for Endpoint 警报评分的警报分报状态。
此策略中不包括任何用户或组 所有策略模板 未向用户或组分配该策略。

编辑策略,然后选择该策略的用户或组。
未为此策略选择任何指示器 所有策略模板 尚未为策略选择指示器

编辑策略并选择相应的策略指示器。
此策略中不包括优先级用户组 优先用户的数据泄露
优先用户的安全策略违规
优先级用户组未分配到策略。

在预览体验计划风险管理设置中配置优先级用户组,并将优先级用户组分配给策略。
未为此策略选择任何触发事件 所有策略模板 未为策略配置触发事件

在编辑策略并选择触发事件之前,风险分数不会分配给用户活动。
HR 连接器未如预期配置或运行 - 离开用户的数据被窃取
- 离开用户时发生安全策略冲突
- 风险用户的数据泄漏
- 风险用户违反安全策略
HR 连接器存在问题。

1. 如果使用的是 HR 连接器,请检查 HR 连接器是否发送正确的数据



2. 选择Microsoft Entra帐户删除的触发事件。
未载入任何设备 - 离职用户窃取数据
- 数据泄漏
- 风险用户的数据泄漏
- 优先用户的数据泄露
已选择设备指示器,但没有任何设备载入到合规性门户

检查设备是否载入且满足要求。
人力资源连接器最近尚未上传数据 - 离开用户的数据被窃取
- 离开用户时发生安全策略冲突
- 风险用户的数据泄漏
- 风险用户违反安全策略
HR 连接器在 7 天内未导入数据。

检查 HR 连接器是否配置正确并发送数据。
我们无法立即检查 HR 连接器的状态,请稍后再次检查 - 离开用户的数据被窃取
- 离开用户时发生安全策略冲突
- 风险用户的数据泄漏
- 风险用户违反安全策略
预览体验计划风险管理解决方案无法检查 HR 连接器的状态。

检查 HR 连接器是否配置正确并发送数据,或者返回并检查策略状态。
DLP 策略未选择为触发事件 - 数据泄漏
- 优先用户的数据泄露
尚未选择 DLP 策略作为触发事件,或者已删除所选 DLP 策略。

编辑策略,然后选择活动的 DLP 策略或"用户执行筛选活动"作为策略配置中的触发事件。
已关闭此策略所使用的 DLP 策略 - 数据泄漏
- 优先用户的数据泄露
已关闭此策略中使用的 DLP 策略。

1. 打开分配给此策略的 DLP 策略。



2. 编辑此策略,并选择新的 DLP 策略或"用户执行筛选活动"作为策略配置中的触发事件。
DLP 策略不满足要求 - 数据泄漏
- 优先用户的数据泄露
必须配置用作触发事件的 DLP 策略以生成高严重性警报。

1.编辑您的DLP策略,以将适用的警报分配为高严重性



2.编辑此策略,然后选择“用户执行外泄活动”作为触发事件。
你的组织没有 Microsoft Defender for Endpoint 订阅 - 安全策略冲突
- 离职用户的安全策略违规活动
- 风险用户违反安全策略
- 优先用户的安全策略违规
系统未检测到组织有活动的 Microsoft Defender for Endpoint 订阅。

在添加 Microsoft Defender for Endpoint 订阅之前,这些策略不会向用户活动分配风险分数。
Microsoft Defender for Endpoint警报未与合规性门户共享 - 安全策略冲突
- 离职用户的安全策略违规活动
- 风险用户违反安全策略
- 优先用户的安全策略违规
Microsoft Defender for Endpoint警报未与合规性门户共享。

配置 Microsoft Defender 的共享以使用终结点警报。
你即将达到此策略模板主动评分的用户的最大限制 所有策略模板 每个策略模板具有最大范围用户数。 请参阅模板限制部分的详细信息。

在“用户”选项卡中查看用户,并删除不再需要评分的任何用户。
此策略中超过 15% 的用户反复发生触发事件 所有策略模板 调整触发事件以帮助减少将用户引入策略范围的频率。

创建新策略

若要创建新的内部风险管理策略,通常使用Microsoft Purview 合规门户的预览体验成员风险管理解决方案中的策略工作流。 还可以通过将用户从 Analytics 检查中分离(如果适用)来创建针对常规数据泄漏和数据盗窃的快速策略。

完成 步骤 6:创建内部风险管理策略 以配置新的内部风险策略。

更新策略

为正在使用的门户选择相应的选项卡。 根据 Microsoft 365 计划,Microsoft Purview 合规门户已停用或即将停用。

若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户
  2. 转到 预览体验成员风险管理 解决方案。
  3. 在左侧导航栏中选择“ 策略 ”。
  4. 在策略仪表板上,选择要更新的策略。
  5. 在策略详细信息页上,选择 “编辑策略”。
  6. “名称和说明 ”页上,如果需要,可以更新策略的说明。

    注意

    无法编辑 “策略模板 ”或 “名称” 字段。

  7. 选择“下一步”以继续。
  8. 转到 创建策略过程的步骤 7

复制策略

可能需要创建一个类似于现有策略的新策略,但只需进行几个配置更改。 可以复制现有策略,然后修改需要在新策略中更新的区域,而不是从头开始创建新策略。

为正在使用的门户选择相应的选项卡。 根据 Microsoft 365 计划,Microsoft Purview 合规门户已停用或即将停用。

若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户
  2. 转到 预览体验成员风险管理 解决方案。
  3. 在左侧导航栏中选择“ 策略 ”。
  4. 在策略仪表板上,选择要复制的策略。
  5. 在策略详细信息页上,选择“ 复制”。
  6. 在策略工作流中,为新策略命名,然后根据需要更新策略配置。

立即开始使用用户活动

在某些情况下,可能需要开始将风险分数分配给在内部风险管理触发事件工作流之外具有内部风险策略的用户。 使用“策略”选项卡上的用户开始评分活动可以手动将用户 (或用户) 添加到特定时间内的一个或多个内部风险策略,开始为其活动分配风险评分,并绕过要求用户具有触发指示器 (,例如 DLP 策略匹配项或 HR 连接器) 的雇佣结束日期。

评分活动的原因字段中的值显示在用户的活动时间线。 手动添加到策略的用户显示在“用户仪表板,如果活动达到策略警报阈值,则会创建警报。 在任何给定时间,范围内最多可以有 4,000 个用户,这些用户已使用 “开始为用户评分” 功能手动添加。

可能需要立即开始对用户活动评分的一些方案包括:

  • 当用户被识别出存在风险问题时,你希望立即开始为其活动分配一个或多个策略的风险分数。
  • 当发生可能需要立即开始为一个或多个策略的涉案用户活动分配风险分数时。
  • 如果尚未配置 HR 连接器,但希望通过上传 .csv 文件开始为 HR 事件的用户活动分配风险分数。

注意

手动添加的用户可能需要几个小时才能显示在“用户”仪表板中。 过去 90 天内这些用户的活动可能需要多达 24 小时才能显示。 若要查看手动添加的用户的活动,请转到“用户”选项卡,在“用户”仪表板选择该用户,然后在详细信息窗格中打开“用户活动”选项卡。

为一个或多个内部风险管理策略中的用户手动启动评分活动

为正在使用的门户选择相应的选项卡。 根据 Microsoft 365 计划,Microsoft Purview 合规门户已停用或即将停用。

若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户

  2. 转到 预览体验成员风险管理 解决方案。

  3. 在左侧导航栏中选择“ 策略 ”。

  4. 在策略仪表板上,选择要添加用户的策略。

  5. 选择 开始为用户启动

  6. “将用户添加到多个策略 ”窗格的“ 原因 ”字段中,添加添加用户的原因。

  7. 在“ 此应持续 (选择 5 到 30 天) 字段中,定义对用户的活动进行评分的天数。

  8. 输入要添加的用户的名称,或使用 “搜索用户添加到策略 ”字段搜索用户,然后选择用户名。 重复此过程以分配其他用户。 选择的用户列表将显示在“ 将用户添加到多个策略 ”窗格的“用户”部分中。

    注意

    如果策略的范围由 一个或多个管理单元确定,则只能看到已确定范围的用户。

    若要导入用户列表,请选择“ 导入 ”以导入以逗号分隔的 .csv (值) 文件。 该文件必须采用以下格式,并且您必须在文件中列出用户主体名称:

    user principal name
    user1@domain.com
    user2@domain.com
    
  9. 选择“ 将用户添加到策略” 以接受更改。

停止在策略中设置用户

若要停止搜索策略中的用户,请参阅 预览体验计划风险管理用户:将用户从策略范围内分配中删除 文章。

删除策略

重要

无法撤消策略删除。

删除策略时,有两个选项。 可以执行下列操作:

  • 仅删除策略。
  • 删除策略以及所有关联的警报和用户。

如果选择第二个选项:

  • 除非与案例关联,否则将删除该策略生成的所有警报。 删除策略时,永远不会删除关联的事例。
  • 将从“用户”页中删除与该策略中的警报关联的任何 用户
  • 如果用户在多个策略的范围内,则仅从要删除的策略中删除该用户。 它们不会从其他活动策略中删除。

例如,假设在将策略推广到组织之前,先创建一个用于测试的策略。 完成测试后,可以快速删除策略和所有相关的测试数据,以便在准备好实时推送策略时可以重新开始。

最长可能需要 72 小时才能完成策略删除。

注意

如果删除与内部风险管理 自适应保护关联的策略,你将看到一条警告,指示自适应保护将停止向用户分配内部风险级别,直到你在自适应保护中选择其他策略。 这是因为自适应保护必须与策略相关联才能生效。

删除策略

为正在使用的门户选择相应的选项卡。 根据 Microsoft 365 计划,Microsoft Purview 合规门户已停用或即将停用。

若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户

  2. 转到 预览体验成员风险管理 解决方案。

  3. 在左侧导航栏中选择“ 策略 ”。

  4. 在策略仪表板上,选择要删除的策略。

  5. 在仪表板工具栏上选择“删除”

  6. 执行下列操作之一:

    • 选择“ 仅删除策略”。
    • 选择 “删除策略以及所有关联的警报和用户”。

    重要

    无法撤消策略删除。

  7. 选择“确认”。

    你将在屏幕的上半部分看到一条消息,告知删除是否成功或是否处于挂起状态。