共用方式為


開始使用活動總管

活動總管 可讓您監視已加上標籤的內容正在執行的作業。 活動總管提供已標記內容的活動歷程記錄檢視。 活動資訊會從Microsoft 365 統一稽核記錄收集、轉換,然後在活動總管 UI 中提供。 活動總管會報告最多 30 天的數據。

活動總管提供多種方式來排序和檢視數據。

篩選

篩選條件是活動總管的建置組塊,每個專案都著重於所收集數據的不同維度。 有大約50個不同的個別篩選可供使用,有些則是:

  • 日期範圍
  • 活動類型
  • 位置
  • 敏感度標籤
  • 使用者
  • 用戶端IP
  • 裝置名稱
  • 受到保護

若要全部查看,請在活動總管中開啟篩選窗格,並查看下拉式清單。

注意事項

篩選選項會根據前 500 筆記錄產生,以確保最佳效能。 這可能會導致某些值未顯示在篩選下拉式清單中。

篩選集

活動總管隨附預先定義的篩選集,可協助您在想要專注於特定活動時節省時間。 使用篩選集快速為您提供比個別篩選條件更高層級活動的檢視。 部份預先定義的篩選集為:

  • 端點 DLP 活動
  • 套用、變更或移除的敏感度標籤
  • 輸出活動
  • 偵測到活動的 DLP 原則
  • 網路 DLP 活動
  • 受保護的瀏覽器

您也可以結合個別篩選條件來建立和儲存您自己的篩選集。

活動總管 (預覽) 中的 Security Copilot

預覽中,Microsoft Purview 中的 Microsoft Security Copilot 內嵌在活動總管中。 它可協助有效率地向下鑽研活動數據,並協助您識別活動、具有敏感性資訊的檔案、使用者,以及與調查相關的其他詳細數據。

重要事項

根據所提供的資訊採取任何動作之前,請務必先檢查 Security Copilot 的回應是否正確且完整。 您可以提供意見反應來協助改善回應的精確度。

數據搜捕

Security Copilot 技能使用所有可用來Microsoft Purview 的數據、活動總管中可用的篩選和篩選集,並使用機器學習來提供活動 (有時稱為數據搜捕) 對您最重要的數據的深入解析。

  • 顯示過去一周的前 5 個活動
  • 篩選和調查活動
  • 尋找用於特定活動的檔案

選取提示會自動開啟 Security Copilot 端卡片,並顯示查詢的結果。 然後,您可以進一步精簡查詢。

用來篩選集產生的自然語言

您可以使用提示方塊來輸入複雜的自然語言查詢,以產生篩選集。 例如,您可以輸入:

「篩選和調查過去 30 天內以敏感性資訊類型信用卡號碼複製到雲端的檔案。」

Security Copilot 會產生查詢的篩選集。 接著,您應該檢閱篩選,以確定它是您想要的,然後您可以將它套用至數據。

提示

如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

必要條件

SKU/訂閱授權

開始使用 DLP 原則之前,請確認您的 Microsoft 365 訂閱 和任何附加元件。

如需授權的相關信息,請參閱 Microsoft 365、Office 365、Enterprise Mobility + Security 和 Windows 11 訂閱。

權限

帳戶必須在任一角色群組中明確指派成員資格,或必須明確授與該角色。

角色和角色 群組

您可以使用角色和角色群組來微調訪問控制。 若要深入瞭解,請參閱 Microsoft Purview 合規性入口網站 中的許可權

Microsoft Purview 角色

  • 資訊保護系統管理員
  • 資訊保護分析員
  • 資訊保護調查人員
  • 資訊保護讀者

Microsoft Purview 角色 群組

  • 資訊保護
  • 資訊保護系統管理員
  • 資訊保護調查人員
  • 資訊保護分析員
  • 資訊保護讀者

Microsoft 365 個角色

  • 合規性系統管理員
  • 安全性系統管理員
  • 合規性數據管理員

Microsoft 365 角色 群組

  • 合規性系統管理員
  • 安全性系統管理員
  • 安全性讀取者

活動類型

活動總管會從多個活動來源的稽核記錄收集資訊。

從原生應用程式到 Microsoft Office 的敏感度標籤活動保留標籤活動的一些範例、Microsoft 資訊保護 客戶端和掃描器、SharePoint、Exchange (敏感度標籤僅) ,以及 OneDrive 包括:

  • 已套用標籤
  • 已變更標籤 (升級、降級或移除)
  • 自動標籤模擬
  • 已讀取檔案

如需活動總管中列出的目前活動清單,請移至 [活動總管],然後開啟 [主動式篩選]。 活動清單可在下拉式清單中取得。

Microsoft 資訊保護 用戶端和瀏覽器中進入活動總管的掃描器專用標籤活動包括:

  • 已套用保護
  • 保護已變更
  • 已移除保護
  • 已發現的檔案

如需哪些標籤活動變成活動總管的詳細資訊,請參閱活動總管 中可用的標記事件

此外,使用端點數據外洩防護 (DLP) ,活動總管會從 Exchange、SharePoint、OneDrive、Teams 聊天和頻道、內部部署 SharePoint 資料夾和文檔庫、內部部署檔案共用,以及執行 Windows 10、Windows 11,以及最近三個主要 macOS 版本中的任何一個,收集 DLP 原則比對事件。 從 Windows 10 裝置收集的一些範例事件包括下列對檔案採取的動作:

  • 刪除
  • 創造
  • 複製到剪貼簿
  • 修改
  • 讀取
  • Print
  • 重新命名
  • 複製到網路共用
  • 不受允許的應用程式存取

瞭解對具有敏感度標籤的內容所採取的動作,可協助您判斷您已備妥的控件,例如 Microsoft Purview 資料外洩防護 原則是否有效。 如果不是,或如果您發現某些非預期的 (,例如大量標示 highly confidential 為降級為 general) 的專案,您可以管理原則並採取新動作來限制不想要的行為。

注意事項

活動總管目前不會監視 Exchange 的保留活動。

注意事項

如果使用者將Teams DLP決策回報為誤判,活動將會在活動總管的清單中顯示為 DLP 資訊。 專案不會有任何規則和原則比對詳細數據存在,但會顯示綜合值。 也不會針對誤判報告產生任何事件報告。

活動類型事件和警示

下表會根據是否偵測到原則相符專案,為三個原則設定範例配置活動總管中觸發的事件。

原則設定 針對此動作類型觸發的活動總管事件 符合 DLP 規則時觸發的活動總管事件 觸發的活動總管警示
原則包含單一規則,允許活動而不進行稽核。
原則包含兩個規則:允許符合規則 #1;系統會稽核規則 #2 的原則相符專案。
僅限 (規則 #2)

僅限 (規則 #2)

僅限 (規則 #2)
原則包含兩個規則:允許和不稽核這兩個規則的相符專案。

另請參閱