建立和部署數據外洩防護原則
Microsoft Purview 資料外洩防護 (DLP) 原則中有許多組態選項。 每個選項都會變更原則的行為。 本文針對您對應至組態選項的原則,提供一些常見的意圖案例。 然後,它會逐步引導您設定這些選項。 一旦您熟悉這些案例,您將具備使用 DLP 原則建立 UX 建立您自己的原則所需的基本技能。
您部署原則的作法與重要的原則設計一樣重要。 您有 多個選項可控制原則部署。 本文說明如何使用這些選項,讓原則達到您的意圖,同時避免昂貴的業務中斷。
提示
如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
開始之前
如果您不熟悉 purview DLP Microsoft,以下是您在實作 DLP 時應該熟悉的核心文章清單:
- 管理單位
- 瞭解 Microsoft Purview 資料外洩防護 - 本文將介紹數據外泄防護專業領域和Microsoft的 DLP 實作。
- 規劃數據外洩防護 (DLP) - 透過本文,您將:
- 數據外洩防護原則參考 - 本文介紹 DLP 原則的所有元件,以及每個元件如何影響原則的行為。
- 設計 DLP 原則 - 本文會逐步引導您建立原則意圖語句,並將它對應至特定的原則設定。
- 建立和部署數據外洩防護原則 - 您正在閱讀的本文會呈現一些您對應至組態選項的常見原則意圖案例。 然後,它會逐步引導您設定這些選項,並提供部署原則的指引。
- 瞭解如何調查數據外洩防護警示 - 本文將介紹從建立到最終補救和原則微調的警示生命週期。 它也會向您介紹用來調查警示的工具。
SKU/訂閱授權
開始使用 DLP 原則之前,請確認您的 Microsoft 365 訂閱 和任何附加元件。
如需授權的相關信息,請參閱 Microsoft 365、Office 365、Enterprise Mobility + Security 和 Windows 11 訂閱。
權限
您用來建立和部署原則的帳戶必須是其中一個角色群組的成員
- 合規性系統管理員
- 合規性資料管理員
- 資訊保護
- 資訊保護系統管理員
- 安全性系統管理員
重要事項
開始之前,請務必先閱讀管理單位,以瞭解不受限制的系統管理員與受管理單位限制的系統管理員之間的差異。
細微的角色和角色 群組
您可以使用角色和角色群組來微調訪問控制。
以下是適用角色的清單。 若要深入瞭解,請參閱 Microsoft Purview 合規性入口網站 中的許可權。
- DLP 合規性管理
- 資訊保護系統管理員
- 資訊保護分析員
- 資訊保護調查人員
- 資訊保護讀者
以下是適用的角色群組清單。 若要深入瞭解,請參閱深入瞭解,請參閱 Microsoft Purview 合規性入口網站 中的許可權。
- 資訊保護
- 資訊保護系統管理員
- 資訊保護分析員
- 資訊保護調查人員
- 資訊保護讀者
原則建立案例
上一篇文章 設計 DLP 原則 會介紹建立原則意圖語句,然後將該意圖語句對應至原則組態選項的方法。 本節將採用這些範例,再加上一些範例,並逐步引導您完成實際的原則建立程式。 您應該在測試環境中處理這些案例,以熟悉原則建立UI。
原則建立流程中有許多設定選項,因此無法涵蓋每個或甚至大部分的設定。 因此,本文涵蓋數個最常見的 DLP 原則案例。 進行這些作業可讓您在各種不同的設定中提供實際操作體驗。
案例 1 封鎖具有信用卡號碼的電子郵件
重要事項
這是具有假設值的假設案例。 僅供說明之用。 您應該替換自己的敏感性資訊類型、敏感度標籤、通訊群組和使用者。
案例 1 必要條件和假設
此案例使用 高度機密 敏感度標籤,因此您必須建立併發佈敏感度標籤。 若要深入了解,請參閱:
此程式使用位於 Contoso.com 的假設通訊群組 財務小組 和假設的 SMTP 收件者 adele.vance@fabrikam.com。
此程式使用警示,請參閱: 開始使用數據外泄防護警示
案例 1 原則意圖聲明和對應
我們需要封鎖電子郵件給所有包含信用卡號碼或已套用「高度機密」敏感度標籤的收件者,除非該電子郵件是從財務小組的某人傳送至 adele.vance@fabrikam.com。 我們想要在每次封鎖電子郵件時通知合規性系統管理員,並通知傳送項目的使用者,不允許任何人覆寫該區塊。 在記錄檔中追蹤此高風險事件的所有發生次數,而且我們希望擷取並可供調查的任何事件詳細數據
陳述式 | 已回答設定問題與設定對應 |
---|---|
「我們需要封鎖所有收件者的電子郵件...」 | - 監視位置:Exchange - 系統管理範圍:完整目錄 - 動作:限制存取或加密Microsoft 365 位置>中的內容封鎖使用者接收電子郵件或存取共用 SharePoint、OneDrive 和 Teams 檔案>封鎖所有人 |
"...包含信用卡號碼或已套用「高度機密」敏感度標籤...」 | - 要監視的專案:使用 自定義範 本 - 相符的條件:編輯它以新增 高度機密 敏感度標籤 |
"...除了 if...」 | - 條件群組組態:使用布爾值 AND 建立聯結至第一個條件的巢狀布爾值 NOT 條件群組 |
"...電子郵件是從財務小組的某人傳送...」 | - 比對的條件: 發件者是 的成員 |
"...and...” | - 比對的條件:將第二個條件新增至 NOT 群組 |
"...到 adele.vance@fabrikam.com...」 | - 比對的條件: 收件者為 |
"...通知...」 | - 使用者通知: 已啟用 - 原則提示: 已啟用 |
"...每次封鎖電子郵件時,合規性系統管理員都會通知傳送項目的使用者...」 | - 原則提示: 已啟用 - 通知這些人員: 已選取 - 已傳送、共用或修改內容的人員: 已選取 - 將電子郵件傳送給其他人員:新增合規性系統管理員的電子郵件位址 |
"...不允許使用者覆寫區塊... | - 允許從 M365 服務覆寫:未選取 |
"...在記錄檔中追蹤此高風險事件的所有發生次數,而且我們希望擷取並可供調查的任何事件詳細數據。」 | - 在系統管理員警示和報告中使用此嚴重性層級: 高 - 在發生規則相符時將警示傳送給系統管理員: 已選取 - 每次活動符合規則時傳送警示: 選取 |
建立案例 1 原則的步驟
重要事項
基於此原則建立程式的目的,您將接受預設的包含/排除值,並將原則保持關閉。 當您部署原則時,將會變更這些專案。
針對您使用的入口網站選取適當的索引標籤。 視您的Microsoft 365 方案而定,Microsoft Purview 合規性入口網站 會淘汰或即將淘汰。
若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
開啟 數據外洩防護 解決方案,並流覽至 [ 原則>+ 建立原則]。
從 [類別] 列表中選取 [自定義]。
從 [法規] 列表中選取 [自定義]。
選擇 [下一步]。
為原則命名 名稱 和 描述。 您可以在這裡使用原則意圖語句。
重要事項
無法重新命名原則
選取 [下一步]。
指派系統管理員單位。 若要將原則套用至所有使用者,請接受預設設定。
選擇 [下一步]。
選擇要套用原則的位置。 只選取 Exchange 電子郵件 位置。 取消選取所有其他位置。
選擇 [下一步]。
在 [ 定義原則設定 ] 頁面上,應該已選取 [ 建立或自定義進階 DLP 規則 ] 選項。
選取 [下一步]。
選 取 [建立規則]。 將規則命名為 ,並提供描述。
在 [條件] 底 下,選取 [新增條件>內容包含]
(選擇性) 輸入 組名。
(選擇性) 選取 群組運算符
選 取 [新增>敏感性資訊類型>信用卡號碼]。
選擇 [新增]。
在 [ 內容包含] 區段中,選取 [ 新增>敏感度標籤>高度機密] ,然後選擇 [ 新增]。
接下來,在 [ 內容包含] 區段下方,選擇 [ 新增群組]。
將布爾運算符保持設定為 AND,然後將切換設定為 NOT。
選取 [新增條件]。
選 取 [寄件者] 是的成員。
選 取 [新增或移除通訊群組]。
選取 [財務小組] ,然後選擇 [ 新增]。
選擇 [新增條件>收件者為]。
在 [電子郵件] 欄位中,輸入 並選取 adele.vance@fabrikam.com[新增] 。
在 [ 動作] 底下,選 取 [新增動作>][限制Microsoft 365 位置中的內容存取或加密
選取 [封鎖使用者接收電子郵件或存取共用 SharePoint、OneDrive 和 Teams 檔案],然後選取 [ 封鎖所有人]。
將 [ 使用者通知] 切換為 [ 開啟]。
選 Email 通知>通知傳送、共用或上次修改內容的人員。
選擇是否要將 相符的電子郵件訊息附加至通知。
選擇是否要新增原則 提示。
在 [使用者][ovverides] 底下,確定未選取 [允許來自 Microsoft 365 應用程式和服務的覆寫]。
在 [ 事件報告] 底下,將 [ 在系統管理員警示和報告中使用此嚴重性層級 ] 設定為 [ 高]。
將 [每次活動符合規則時傳送警示] 切換為 [開啟]。
選擇 [儲存]。
選擇 [下一步],然後選擇 [在模擬模式中執行原則]。
選擇 [下一步 ],然後選擇 [ 提交]。
選擇 [完成]。
案例 2 封鎖在 Microsoft 365 中透過 SharePoint 和 OneDrive 與外部使用者共用敏感性專案
針對 Microsoft 365 中的 SharePoint 和 OneDrive,您會建立原則來封鎖透過 SharePoint 和 OneDrive 與外部用戶共用敏感性專案。
案例 2 必要條件和假設
此案例使用 機密 敏感度標籤,因此您必須建立併發佈敏感度標籤。 若要深入了解,請參閱:
此程式會使用假設的通訊群組 人力資源 ,以及安全性小組在 Contoso.com 的通訊群組。
此程式使用警示,請參閱: 開始使用數據外泄防護警示
案例 2 原則意圖聲明和對應
我們需要封鎖所有共用 SharePoint 和 OneDrive 專案的外部收件者,這些收件者包含社會安全號碼、信用卡數據或具有「機密」敏感度標籤。 我們不想要將此套用至人力資源小組的任何人。 我們也必須符合警示需求。 我們想要在每次共用檔案後封鎖時,使用電子郵件通知安全性小組。 此外,我們希望使用者盡可能透過電子郵件和介面內收到警示。 最後,我們不想要原則有任何例外狀況,而且需要能夠在系統內看到此活動。
陳述式 | 已回答設定問題與設定對應 |
---|---|
「我們需要封鎖所有外部收件者共用 SharePoint 和 OneDrive 專案...」 | - 系統管理範圍:完整目錄 - 監視位置:SharePoint 網站、OneDrive 帳戶 - 相符條件:組織 外部共用的第一個條件>- 動作:限制存取或加密Microsoft 365 位置>的內容封鎖使用者接收電子郵件或存取共用 SharePoint,OneDrive>僅封鎖組織外部的人員 |
"...包含社會安全號碼、信用卡數據或具有「機密」敏感度標籤...」 | - 要監視的專案:使用自定義範本 - 相符條件:建立第二個條件,並使用布爾值 AND - 相符條件聯結至第一個條件:第二個條件,第一個條件群組>內容包含敏感性資訊類型>美國社會安全號碼 (SSN) 、信用卡號碼 - 條件群組組態 建立第二個條件群組聯機到第一個由布爾值 OR 聯 機到第一個條件群組- 相符條件:第二個條件群組,第二個條件>內容包含任何這些敏感度卷標機密>。 |
“...我們不想要將此套用至人力資源小組的任何人...」 | - 適用位置:排除人力資源小組 OneDrive 帳戶 |
"...我們想要在每次共用檔案後封鎖時,使用電子郵件通知安全性小組...」 | - 事件報告:在 規則相符時 傳送警示給系統管理員- 將電子郵件警示傳送給這些人 (選擇性) :新增安全性小組 - 每次活動符合規則時傳送警示: 選取 - 使用電子郵件事件報告在發生原則相符時通知您: 將 通知傳送給這些人員:視需要 新增個別系統管理員 - 您也可以在報告中包含下列資訊: 選 取所有選項 |
"...此外,我們希望使用者盡可能透過電子郵件和介面內收到警示...」 | - 使用者通知:已 選取原則提示 Office 365 中的使用者通知使用者: |
“...最後,我們不想要對原則有任何例外狀況,而且需要能夠在系統內看到此活動...」 | -使用者覆寫: 未選取 |
設定條件時,摘要如下所示:
建立案例 2 原則的步驟
重要事項
基於此原則建立程式的目的,您將關閉原則。 您會在部署原則時變更這些專案。
針對您使用的入口網站選取適當的索引標籤。 視您的Microsoft 365 方案而定,Microsoft Purview 合規性入口網站 即將淘汰或即將淘汰。
若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
選 取 [數據外泄防護>原則>+ 建立原則]。
從 [類別] 清單和 [法規] 列表中選取 [自定義]。
選擇 [下一步]。
為原則命名 名稱 和 描述。 您可以在這裡使用原則意圖語句。
重要事項
原則無法重新命名。
- 選取 [下一步]。
- 接受 [指派系統管理員單位] 頁面上的預設 [完整目錄]。
- 選擇 [下一步]。
- 選擇要套用原則的位置。
- 確定已選取 SharePoint 網站 和 OneDrive 帳戶 位置。
- 取消選取所有其他位置。
- 在 OneDrive 帳戶旁邊的 [動作] 資料行中,選取 [編輯]。
- 選 取 [所有使用者和群組] ,然後選取 [ 排除使用者和群組]。
- 依序選擇 [+排除 ] 和 [ 排除群組]。
- 選 取 [人力資源]。
- 選擇 [完成 ],然後選擇 [ 下一步]。
- 在 [ 定義原則設定 ] 頁面上,應該已選取 [ 建立或自定義進階 DLP 規則 ] 選項。 選擇 [下一步]。
- 在 [ 自定義進階 DLP 規則] 頁面上,選取 [ + 建立規則]。
- 為規則提供 [名稱 ] 和 [描述]。
- 選 取 [新增條件 ] 並使用下列值:
- 選擇 [內容從 Microsoft 365 共用]。
- 選 取 [與組織外部的人員搭配使用]。
- 選取 [新增條件 ] 以建立第二個條件並使用這些值。
- 選取 [內容包含]。
- 選 取 [新增>敏感度卷標]> ,然後選取 [ 機密]。
- 選擇 [新增]。
- 在 [ 動作] 底下,新增具有下列值的動作:
- 限制存取或加密Microsoft 365 個位置中的內容。
- 僅封鎖組織外部的人員。
- 將 [ 使用者通知] 切換為 [ 開啟]。
- 選取 [使用原則提示通知 Office 365 服務中的使用者],然後選取 [通知傳送、共用或上次修改內容的使用者]。
- 在 [使用者覆寫] 底下,確定未選取 [允許從 M365 服務覆寫]。
- 在 [事件報告] 底下:
- 將 [在系統管理員警示和報告中使用此嚴重性層級 ] 設定為 [ 低]。
- 將 [當 規則相符時傳送警示給系統管理員 ] 的切換開關設定為 [ 開啟]。
- 在 [ 將電子郵件警示傳送給這些人 (選擇性) ],選擇 [+ 新增或移除使用者 ],然後新增安全性小組的電子郵件位址。
- 選擇 [ 儲存 ],然後選擇 [ 下一步]。
- 在 [ 原則模式] 頁面上,選擇 [ 在模擬模式中 執行原則] 和 [ 在模擬模式中顯示原則提示]。
- 選擇 [下一步 ],然後選擇 [ 提交]。
- 選擇 [完成]。
案例 3 將控制項套用至掃描失敗的支援檔案
注意事項
案例 3 將控制項套用至掃描失敗且處於 預覽狀態的支援檔案。
當您想要針對 [ 受監視檔案 ] 清單上但端點 DLP 無法掃描的檔案,套用 [稽核]、[封鎖] 或 [封鎖] 以覆寫用戶活動的控件時,請使用此案例。
案例 3 必要條件和假設
此案例會要求您已將裝置上線並報告至活動總管。 如果您還沒有上線裝置,請參閱 開始使用端點資料外洩防護。
重要事項
此功能僅支援下列動作類型:
- 上傳至受限制的雲端服務網域
- 複製到卸除式 USB 裝置
- 複製到網路共用
案例 3 原則意圖聲明和對應
有時候,端點 DLP 支援的檔案掃描會失敗。 這些檔案中可能有敏感性資訊,但我們不知道。 當掃描任何上線裝置上的檔案失敗時,我們想要防止使用者將該檔案複製到USB裝置或網路共用。
陳述式 | 已回答設定問題與設定對應 |
---|---|
「在任何已上線裝置上掃描檔案失敗時...」 | - 系統管理範圍: 完整目錄 - 監視位置: 裝置 範圍: 所有使用者、群組、裝置、裝置群組 - 條件: 無法掃描檔 |
"...我們想要防止使用者將該檔案複製到USB裝置或網路共用。」 | - 動作:選取 [稽核或限制裝置 上的活動] - 清除 [上傳至靜態雲端服務網域] 或從不允許的瀏覽器 存取 - 選取 [將限制套用至特定活動 ] - 選取 [複製到抽取式 USB 裝置],然後選取 [以覆寫 方式封鎖] -選取 [複製到網络分享] 和 [封鎖並覆 寫] [複製到剪貼簿]、[列印]、使用不允許的藍牙應用程式複製或移動,以及使用 RDP 複製或移動 |
設定條件時,摘要如下所示:
案例 3 設定原則動作
重要事項
基於此原則建立程式的目的,您將關閉原則。 您會在部署原則時變更這些專案。
針對您使用的入口網站選取適當的索引標籤。 視您的Microsoft 365 方案而定,Microsoft Purview 合規性入口網站 即將淘汰或即將淘汰。
若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
- 登入 Microsoft Purview 入口網站。
- 開 啟數據外洩防護>原則。
- 選取 [建立原則],然後從 [類別] 中選取 [自定義],然後從 [法規] 中選取 [自定義] 原則範本。
- 為您的新原則命名並提供描述。
- 選取 [管理員 單位下的 [完整目錄]。
- 將位置範圍設定為 [僅 限裝置] 。
- 建立規則,其中:
- 在 [條件] 中:
- 選取 [無法掃描檔]
- 在 [動作] 中:
- 選 取 [稽核或限制裝置上的活動]。
- 清除 [上傳至已重新架構的雲端服務網域] 或從不允許的瀏覽器存取
- 選 取 [將限制套用至特定活動]
- 選 取 [複製到抽取式 USB 裝置],然後選取 [以 覆寫封鎖]
- 選 取 [複製到網络共用],然後選取 [ 以覆寫封鎖]
- 清除 [複製到剪貼簿]、使用不允許的藍牙應用程式列印、複製或移動,以及使用 RDP 複製或移動
- 在 [條件] 中:
- 儲存。
- 選擇 [立即開啟原則]。 選擇 [下一步]。
- 查看您的設定,然後選擇 [提交]。
案例 4 將控制項套用至所有不支援的檔案
注意事項
案例 4 將控制項套用至所有不支援的檔案處於 預覽狀態。
當您想要對 不 在 [ 受監視檔案 ] 清單上的檔案套用 [稽核]、[封鎖] 或 [封鎖] 的用戶活動控件,而不需要透過擴展名來列舉所有擴展名 是 條件時,請使用此案例。 使用此設定來建立一個全面性原則,以在檔案上放置控件,例如 .mp3、.wav、.dat。
注意
將控件套用至所有檔案的能力是一項強大的功能,如果實作時未適當小心,可能會產生非預期的後果。 將此原則部署至生產環境之前,請務必先在非生產環境中測試此原則。 此範例也會示範如何選擇性地 () 從原則的範圍中排除特定的擴展名。
重要事項
此功能僅支援下列動作類型:
- 上傳至受限制的雲端服務網域
- 複製到卸除式 USB 裝置
- 複製到網路共用
案例 4 原則意圖聲明和對應
端點 DLP 不會掃描許多類型的檔案,超過我們所能追蹤的數目。我們不知道這些檔案中是否有敏感性資訊,因此我們想要在使用者嘗試將這些檔案複製到USB裝置或網路共用之前,先備妥檢查點。 我們不想要中斷 abc 檔類型的 使用者工作流程,這是我們熟知且不會造成數據外洩的威脅。
陳述式 | 已回答設定問題與設定對應 |
---|---|
「端點 DLP 不會掃描許多類型的檔案,...」 | - 系統管理範圍: 完整目錄 - 監視位置: 裝置 - 範圍: 所有使用者、群組、裝置、裝置群組 |
"...我們不想要中斷使用者 的 abc 檔類型工作流程,這是我們熟知且不會造成數據外洩的威脅。」 | - 端點設定:建立不支援的擴展名排除清單,並將擴展名 abc 新增至清單。 |
"...超過我們所能追蹤的數目。我們不知道這些檔案中是否有敏感性資訊,因此我們想要在嘗試將這些檔案複製到USB裝置或網路共用之前,先備妥檢查點...」 |
- 比對的條件:無法掃描 檔動作:選取 [稽核或限制裝置 上的活動] - 清除 [上傳至已重新設定的雲端服務網域] 或從不允許的瀏覽器 存取 - 選取 [將限制套用至特定活動 ] - 選取 [複製到抽取式 USB 裝置],然後選取 [以覆 寫方式封鎖] - 選取 [複製到網络分享],然後選取 [以覆 寫方式封鎖] -清除 [複製到剪貼簿]無法掃描使用不允許的藍牙應用程式列印、複製或移動,以及使用 RDP 選取檔案進行複製或移動。 - 選 取 [僅將限制套用至不支持的擴展名]。 |
重要事項
這項功能與擴展名之間的差異 在於 :
- 端點 DLP 會掃描擴展 名 為條件的內容。 例如,您將能夠在事件或警示上看到 敏感性資訊類型 值;另一方面,這項功能不會掃描檔案內容。
- 擴展名是 觸發內容掃描的條件,可能會耗用較高的計算機資源,例如 CPU 和記憶體,而且可能會導致某些文件類型的應用程式效能問題。
將檔案類型新增至不支援的擴展名排除專案
使用此設定可從原則中排除擴展名。
針對您使用的入口網站選取適當的索引標籤。 視您的Microsoft 365 方案而定,Microsoft Purview 合規性入口網站 會淘汰或即將淘汰。
若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
- 登入 Microsoft Purview 入口網站。
- 開啟> [設定數據外泄防護>端點 DLP 設定>][不支持的擴展名排除專案]。
- 選 取 [新增擴展名]。
- 提供延伸模組。
- 選取 [儲存]。
- 關閉專案。
案例 4 設定原則動作
針對您使用的入口網站選取適當的索引標籤。 視您的Microsoft 365 方案而定,Microsoft Purview 合規性入口網站 會淘汰或即將淘汰。
若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
- 登入 Microsoft Purview 入口網站。
- 開 啟數據外洩防護>原則。
- 選取 [建立原則],然後從 [類別] 中選取 [自定義],然後從 [法規] 中選取 [自定義] 原則範本。
- 為您的新原則命名並提供描述。
- 選取 [管理員 單位下的 [完整目錄]。
- 將位置範圍設定為 [僅 限裝置] 。
- 建立規則,其中:
- 在 [條件] 中:
- 選取 [無法掃描檔]。
- 在 [動作] 中:
- 選 取 [稽核或限制裝置上的活動]。
- 清除 [上傳至已重新架構的雲端服務網域],或從不允許的瀏覽器存取。
- 選 取 [將限制套用至特定活動]。
- 選 取 [複製到抽取式 USB 裝置],然後選取 [ 以覆寫封鎖]。
- 選 取 [複製到網络共用],然後選取 [ 以覆寫封鎖]。
- 清除 [複製到剪貼簿]、使用不允許的藍牙應用程式列印、複製或移動,以及使用 RDP 複製或移動。
- 選 取 [僅將限制套用至不支持的擴展名]。
- 在 [條件] 中:
- 儲存。
- 選擇 [立即開啟原則]。 選擇 [下一步]。
- 查看您的設定,然後選擇 [提交]。
重要事項
在此案例中,您 無法使用 Document 與其他條件一起掃描。
重要事項
您無法使用此 文件,無法 與此案例中的其他條件一起掃描。
案例 5 將控件套用至一些不支援的檔案
注意事項
案例 5 將控件套用至某些不支援的檔案處於 預覽狀態。
使用此設定可將 [稽核]、[含覆寫的封鎖] 或 [封鎖] 控件套用至您從 [受監視檔案] 清單上的所有檔案定義的檔類型清單。 例如,您可以將控件套用至視訊檔案,例如 .mp3 檔案 (,而這些檔案不會受到EDLP) 監視。
重要事項
此功能僅支援下列動作類型:
- 上傳至受限制的雲端服務網域
- 複製到卸除式 USB 裝置
- 複製到網路共用
此組態會使用 擴展名群組 的組合,而且 無法掃描檔 條件。 它不會使用 擴展名是 條件。 這表示您包含在擴展 名群組 中的檔案內容不會由端點 DLP 掃描,而且您不會在原則相符專案所產生的事件或警示中看到 敏感性資訊類型的 值。
案例 5 原則意圖聲明和對應
我們 Wingtip Toys 有想要套用控件之裝置上的檔案類型清單。 我們知道它們不在端點 DLP 的受監視檔案清單上。 我們想要防止使用者將這些檔案複製到USB裝置或網路共用。 當他們嘗試時,我們想要讓他們知道,為了教育他們,他們嘗試採取禁止的動作。
陳述式 | 已回答設定問題與設定對應 |
---|---|
「我們在想要套用控件的裝置上有一份檔類型清單...」。 | - 系統管理範圍: 完整目錄 - 監視位置: 裝置 範圍: 所有使用者、群組、裝置、裝置群組 |
「我們知道它們不在端點 DLP 的受監視檔案清單上。」 | - 端點設定:建立 擴展名群組 |
"...我們需要防止使用者將這些檔案複製到USB裝置或網路共用。」 | - 比對的條件:無法掃描 檔- 動作:選取裝置上的 稽核或限制活動- 清除 [上傳至靜態雲端服務網域] 或從不允許的瀏覽器 存取 - 選取 [將限制套用至特定活動 ] - 選取 [複製到抽取式 USB 裝置]、>[封鎖 - 複製到網络共用>] [封鎖 ] - 清除 [複製到剪貼簿]、[列印]、使用不允許的藍牙應用程式複製或移動,且無法掃描 使用 RDP 複製或移動選取檔案- 選取 [僅將限制套用至不支援的擴展名]。 |
「當他們嘗試時,我們想要讓他們知道,為了教育他們,他們嘗試禁止的動作。」 | - 使用通知通知您的使用者,並協助教育他們適當使用敏感性 資訊: 端點裝置 > 在活動受限時向使用者顯示原則提示通知...: 選取 - 自定義通知: 選取> 的通知標題: Wingtip toys 不會複製檔案>通知內容:FYI、Wingtip Toy 原則不會讓您將該類型的檔案複製到 USB 裝置或網络共用。 |
建立擴展名群組
針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
針對您使用的入口網站選取適當的索引標籤。 視您的Microsoft 365 方案而定,Microsoft Purview 合規性入口網站 即將淘汰或即將淘汰。
若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
- 登入 Microsoft Purview 入口網站。
- 開啟> [設定數據外泄防護>端點 DLP 設定>] [擴展名群組]。
- 選 取 [建立擴展名群組 ],然後輸入 組名。 在此案例中,我們會使用
Non-classified file extensions
。 - 提供延伸模組。
- 選取 [儲存]。
- 關閉專案。
設定原則動作
針對您使用的入口網站選取適當的索引標籤。 視您的Microsoft 365 方案而定,Microsoft Purview 合規性入口網站 即將淘汰或即將淘汰。
若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
- 登入 Microsoft Purview 入口網站。
- 開 啟數據外洩防護>原則。
- 選取 [建立原則],然後從 [類別] 中選取 [自定義],然後從 [法規] 中選取 [自定義] 原則範本。
- 為您的新原則命名並提供描述。
- 選取 [管理員 單位下的 [完整目錄]。
- 將位置範圍設定為 [僅 限裝置] 。
- 建立規則,其中:
- 在 [條件] 中。
- 無法掃描檔。
- 在 [動作] 中:
- 選取: 稽核或限制裝置上的活動。
- 清除: 上傳至受限制的雲端服務網域,或從不允許的瀏覽器存取。
- 選取: 將限制套用至特定活動。
- 清除: 複製到剪貼簿。
- 選取: 複製到卸除式USB裝置>封鎖。
- 選取: 複製到網路共享>[封鎖]。
- 清除: 列印。
- 清除: 使用不允許的藍牙應用程式進行複製或移動。
- 清除: 使用 RDP 複製或移動。
- 清除: 受限制的應用程式存取。
- 選取: 僅將限制套用至不支援的擴展名。
- 選取: 新增延伸名群組 ,然後選取
Non-classified file extensions
。
- 在 [條件] 中。
- 將 [使用者通知] 設定為 [ 開啟]。
- 在 [端點裝置] 下,選取 [ 在活動受限制時向使用者顯示原則提示通知...]。
- 選 取 [自定義通知]。
- 在
Wingtip toys don't copy files
[通知標題] 中輸入 。 - 在
FYI, Wingtip Toy policy doesn't let you copy that type of file to USB device or a network share
[通知內容] 中輸入 。
- 在
- 儲存。
- 選擇 [立即開啟原則]。 選擇 [下一步]。
- 查看您的設定,然後選擇 [提交]。
重要事項
您無法使用此 文件,無法 與此案例中的其他條件一起掃描。
案例6停用某些支援檔案的掃描並套用控件
注意事項
案例 6 停用某些支援檔案的掃描,並在 預覽中套用控件。
使用此設定可藉由停用監視 檔案 清單上某些檔類型的掃描來節省本機資源耗用量。 您可以將具有覆寫控件的稽核、封鎖或封鎖套用至這些文件類型。
重要事項
此功能僅支援下列動作類型:
- 上傳至受限制的雲端服務網域
- 複製到卸除式 USB 裝置
- 複製到網路共用
案例 6 原則意圖聲明和對應
Bellows 大學需要節省所有使用者 Windows 裝置上的資源,而減少 DLP 掃描檔案會是一大説明。 我們有一份已知內容的檔類型清單,因為它們是自動產生的。 這些檔案類型位於支援的檔案類型清單中。 不需要掃描這些自動產生的檔案,但我們想要防止使用者將它們複製到USB裝置或網路共用。 當他們嘗試時,我們想要讓他們知道,為了教育他們,他們嘗試採取禁止的動作。
陳述式 | 已回答設定問題與設定對應 |
---|---|
「Bellows 大學需要節省所有使用者 Windows 裝置上的資源,而減少 DLP 掃描檔案會是一大説明...」 | - 系統管理範圍: 完整目錄 - 監視位置: 裝置 範圍: 所有使用者、群組、裝置、裝置群組 |
"...我們有一份已知內容的檔類型清單,因為它們是自動產生的。 這些檔案類型位於支援的檔案類型清單中。 不需要掃描這些自動產生的檔案...」 | - 端點設定:建立 擴展名群組 - 停用分類 |
...但我們想要防止使用者將它們複製到 USB 裝置或網路共用... | - 比對的條件:無法掃描 檔動作:選取 [稽核或限制裝置 上的活動] - 清除 [上傳至已重新設定的雲端服務網域] 或從不允許的瀏覽器 存取 - 選取 [將限制套用至特定活動 ] - 選取 [複製到抽取式 USB 裝置]、>[封鎖 - 複製到網络共用>] [封鎖 ] - 清除 [複製到剪貼簿]、[列印]無法掃描使用不允許的藍牙應用程式複製或移動,以及使用 RDP 複製或移動選取檔案。 |
"...當他們嘗試時,我們想要讓他們知道,為了教育他們,他們嘗試禁止的動作...」 | - 使用通知通知您的使用者,並協助教育他們適當使用敏感性 資訊: 端點裝置 > 在活動受限時向使用者顯示原則提示通知...: 選取 - 自定義通知: 選取>的通知標題:Bellows 大學 IT 不會複製檔案 >通知內容:FYI、Bellows 大學數據外洩防護原則無法讓您將該類型的檔案複製到 USB 裝置或網路共用 |
建立擴展名群組
針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
針對您使用的入口網站選取適當的索引標籤。 視您的Microsoft 365 方案而定,Microsoft Purview 合規性入口網站 即將淘汰或即將淘汰。
若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
- 登入 Microsoft Purview 入口網站。
- 開啟> [設定數據外泄防護>端點 DLP 設定>] [擴展名群組]。
- 選 取 [建立擴展名群組 ],然後輸入 組名。 在此案例中,我們會使用
Student Class Registration file extensions
。 - 提供延伸模組。
- 選取 [儲存]。
- 關閉專案。
停用分類
使用此設定可從端點 DLP 分類中排除特定的擴展名。
針對您使用的入口網站選取適當的索引標籤。 視您的Microsoft 365 方案而定,Microsoft Purview 合規性入口網站 即將淘汰或即將淘汰。
若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
- 登入 Microsoft Purview 入口網站。
- 開啟> [設定數據外泄防護>端點 DLP 設定>停用分類]。
- 選 取 [新增或編輯擴展名]。
- 提供延伸模組。
- 選取 [儲存]。
- 關閉專案。
設定原則動作
針對您使用的入口網站選取適當的索引標籤。 視您的Microsoft 365 方案而定,Microsoft Purview 合規性入口網站 即將淘汰或即將淘汰。
若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
- 登入 Microsoft Purview 入口網站。
- 開 啟數據外洩防護>原則。
- 選取 [建立原則],然後從 [類別] 中選取 [自定義],然後從 [法規] 中選取 [自定義] 原則範本。
- 為您的新原則命名並提供描述。
- 選取 [管理員 單位下的 [完整目錄]。
- 將位置範圍設定為 [僅 限裝置] 。
- 建立規則,其中:
- 在 [條件] 中:
- 無法掃描檔。
- 在 [動作] 中:
- 選取: 稽核或限制裝置上的活動。
- 選取: 將限制套用至特定活動。
- 清除: 複製到剪貼簿。
- 選取: 複製到卸除式USB裝置>封鎖。
- 選取: 複製到網路共享>[封鎖]。
- 清除: 列印。
- 清除: 使用不允許的藍牙應用程式進行複製或移動。
- 清除: 使用 RDP 複製或移動。
- 清除: 受限制的應用程式存取。
- 選取: 僅將限制套用至不支援的擴展名。
- 選取: 新增延伸名群組 ,然後選取
Student Class Registration file extensions
。
- 儲存。
- 在 [條件] 中:
- 選擇 [立即開啟]。 選擇 [下一步]。
- 查看您的設定,然後選擇 [提交]。
重要事項
在此情況下,您無法使用此檔與其他條件一起 掃描 。
部署
成功部署原則不只是讓原則進入您的環境,以強制執行用戶動作的控制。 隨機、混亂的部署可能會對商務程式造成負面影響,並讓您的使用者感到困擾。 這些結果會讓您組織中 DLP 技術的接受速度變慢,以及其提升的更安全行為。 最終讓您的敏感性項目長期較不安全。
開始部署之前,請確定您已閱讀原則 部署。 它提供原則部署程式和一般指引的廣泛概觀。
本節將深入探討您在生產環境中用來管理原則的三種控件類型。 請記住,您可以隨時變更其中任何一項,而不只是在原則建立期間。
部署管理的三個軸
您可以使用三個軸來控制原則部署程式、範圍、原則狀態和動作。 您應該一律採取累加方式來部署原則,從影響最小/模擬模式 到完全強制執行。
建議的部署控制組態
當您的原則狀態為 時 | 您的原則範圍可以是 | 原則動作的影響 |
---|---|---|
在模擬模式中執行原則 | 位置的原則範圍可以是縮小或廣泛 | - 您可以設定任何動作 - 沒有來自已設定動作 的使用者影響 - 管理員 查看警示並追蹤活動 |
使用原則提示在模擬模式中執行原則 | 原則應該設定為以試驗群組為目標,然後在調整原則時展開範圍 | - 您可以設定任何動作 - 沒有來自已設定動作 的使用者影響 - 使用者可以接收原則提示和警示 - 管理員 查看警示並追蹤活動 |
開啟 | 所有目標位置實例 | - 所有設定的動作都會在用戶活動 上強制執行 - 管理員 查看警示並追蹤活動 |
將它保持關閉 | n/a | n/a |
狀態
State 是您用來推出原則的主要控制件。 當您完成建立原則時,您會將原則的狀態設定為 [保持關閉]。 當您在處理原則設定時,以及在取得最終檢閱並註銷之前,您應該保持此狀態。 狀態可以設定為:
- 在模擬模式中執行原則:不會強制執行任何原則動作,系統會稽核事件。 處於此狀態時,您可以在 DLP 模擬模式概觀和 DLP 活動總 管控制台中監視原則的影響。
- 在模擬模式中執行原則,並在模擬模式中顯示原則提示:不會強制執行任何動作,但使用者會收到原則提示和通知電子郵件,以提高其認知並教育他們。
- 立即開啟:這是完整強制模式。
- 保持關閉:原則處於非作用中狀態。 在部署之前開發和檢閱原則時,請使用此狀態。
您可以隨時變更原則的狀態。
動作
動作是原則在回應敏感性項目上用戶活動時所執行的動作。 因為您可以隨時變更這些專案,所以可以從影響最小的開始: [允許) 的裝置 (] 和 [僅 稽核 (其他所有位置) 、收集和檢閱稽核數據,然後使用它來微調原則,再移至更嚴格的動作。
允許:允許用戶活動發生,因此不會影響任何商務程式。 您會取得稽核數據,而且沒有任何使用者通知或警示。
注意事項
[ 允許 ] 動作僅適用於範圍為 [ 裝置 ] 位置的原則。
僅稽核:允許用戶活動發生,因此不會影響任何商務程式。 您會取得稽核數據,而且您可以新增通知和警示來提高認知並訓練使用者,讓他們知道他們的行為是有風險的行為。 如果您的組織想要在稍後強制執行更嚴格的動作,您也可以告訴使用者。
封鎖並覆寫:預設會封鎖用戶活動。 您可以稽核事件、引發警示和通知。 這會影響商務程式,但您的使用者可以選擇覆寫區塊,並提供覆寫的原因。 因為您會收到使用者的直接意見反應,所以此動作可協助您識別誤判相符專案,以供您進一步微調原則。
注意事項
針對 Microsoft 365 中的 Exchange Online 和 SharePoint,會在使用者通知區段中設定覆寫。
封鎖:無論發生什麼狀況,用戶活動都會遭到封鎖。 您可以稽核事件、引發警示和通知。
原則範圍
每個原則的範圍都是一或多個位置,例如 Exchange、Microsoft 365 中的 SharePoint、Teams 和裝置。 根據預設,當您選取某個位置時,該位置的所有實例都會落在範圍內,而且不會排除任何實例。 您可以設定位置的包含/排除選項,進一步精簡位置 (的實例,例如網站、群組、帳戶、通訊群組、信箱和裝置) 套用原則。 若要深入瞭解包含/排除範圍選項,請參閱 位置。
一般而言,當原則處於 模擬模式狀態執行 原則時,您在範圍設定方面會有更大的彈性,因為不會採取任何動作。 您可以從您為原則設計的範圍開始,或廣泛查看原則如何影響其他位置的敏感性專案。
然後,當您將狀態變更為 在模擬模式中執行原則並顯示原則秘訣時,您應該將範圍縮小為試驗群組,該試驗群組可提供您意見反應,並在其他人上線時成為其資源的早期採用者。
當您將原則移至 [立即開啟] 時,您會擴大範圍,以包含您在設計原則時想要的所有位置實例。
原則部署步驟
- 建立原則並將其狀態設定為 [關閉] 之後,請與專案關係人進行最終檢閱。
- 將狀態變更為 在模擬模式中執行原則。 此時位置範圍可能很廣泛,因此您可以跨多個位置收集原則行為的數據,或只從單一位置開始。
- 根據行為數據調整原則,使其更符合商務意圖。
- 將狀態變更為 在模擬模式中執行原則,並顯示原則提示。 視需要調整位置範圍以支持試驗群組,並使用包含/排除專案,以便先將原則推出至該試驗群組。
- 視需要收集使用者意見反應、警示和事件數據,進一步微調原則和您的計劃。 請確定您已解決使用者所遇到的所有問題。 您的使用者很可能會遇到問題,並針對您在設計階段未想到的事項提出問題。 此時開發一組進階使用者。 它們可以是一項資源,可協助訓練其他使用者,因為原則的範圍已增加,且有更多用戶上線。 在您移至下一個部署階段之前,請確定原則已達成您的控制目標。
- 將狀態變更為 立即開啟。 原則已完全部署。 監視 DLP 警示和 DLP 活動總管。 解決警示。