共用方式為


開始使用數據外泄防護內部部署存放庫

注意事項

有新版本的信息保護掃描器。 如需詳細資訊,請參閱升級 Microsoft Purview 資訊保護 掃描器

本文將逐步引導您完成在 DLP 原則中使用 Microsoft Purview 資料外洩防護 內部部署存放庫位置的必要條件和設定。

提示

開始使用 Microsoft Security Copilot,以探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的 Microsoft Security Copilot

開始之前

SKU/訂閱授權

開始使用 DLP 原則之前,請確認您的 Microsoft 365 訂閱 和任何附加元件。

如需授權的相關信息,請參閱 Microsoft 365、Office 365、Enterprise Mobility + Security 和 Windows 11 訂閱。

重要事項

所有參與掃描位置的使用者,無論是藉由新增檔案或取用檔案,都需要擁有授權,而不只是掃描器使用者。

權限

您可以在 活動總管中檢視來自 DLP 的數據。 有四個角色可以將權限授與活動總管,您用來存取資料的帳戶必須是其中任一的成員。

  • 全域系統管理員
  • 合規性系統管理員
  • 安全性系統管理員
  • 合規性資料管理員

重要事項

Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域管理員是高度特殊許可權的角色,只能在無法使用較低許可權角色的情況下使用。

角色和角色 群組

中有角色和角色群組可供您進行測試,以微調訪問控制。

以下是適用角色的清單。 若要深入瞭解,請參閱 Microsoft Purview 合規性入口網站 中的許可權

  • 資訊保護系統管理員
  • 資訊保護分析員
  • 資訊保護調查人員
  • 資訊保護讀者

以下是適用的角色群組清單。 若要深入瞭解,請參閱 Microsoft Purview 合規性入口網站 中的許可權

  • 資訊保護
  • 資訊保護系統管理員
  • 資訊保護分析員
  • 資訊保護調查人員
  • 資訊保護讀者

DLP 內部部署存放庫必要條件

  • Microsoft Purview 資訊保護 掃描器會實作 DLP 原則比對和原則強制執行。 掃描儀會安裝為資訊保護用戶端的一部分,因此您的安裝必須符合 Rights Management 加密服務、資訊保護用戶端和資訊保護掃描器的所有必要條件。
  • 部署客戶端和掃描器。 如需詳細資訊,請 參閱安裝或升級資訊保護客戶 端,以及設定 和安裝資訊保護掃描器
  • 即使您的所有偵測規則都只以敏感資訊類型為基礎,租用戶中仍至少必須發佈一個標籤和原則。

部署 DLP 內部部署掃描器

針對您使用的入口網站選取適當的索引標籤。 視您的Microsoft 365 方案而定,Microsoft Purview 合規性入口網站 會淘汰或即將淘汰。

若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站

  1. 登入 Microsoft Purview 入口網站

  2. 請遵循 安裝或升級資訊保護客戶端中的程式。

  3. 請遵循 設定和安裝資訊保護掃描器 中的程式,完成掃描器安裝。

    1. 您必須建立內容掃描作業,並指定裝載要由 DLP 引擎評估之檔案的存放庫。
    2. 在建立的內容掃描作業中啟用 DLP 規則,並將 [ 強制 執行] 選項設定為 [關閉 (,除非您想要直接進入 DLP 強制執行階段) 。
  4. 確認您的內容掃描作業已指派給正確的叢集。 如果您尚未建立內容掃描作業,請建立新的工作,並將它指派給包含掃描器節點的叢集。

  5. 聯機到 Microsoft Purview 入口網站,並將您的存放庫新增至將執行掃描的內容掃描作業。

  6. 執行下列其中一項操作以執行掃描:

    1. 設定掃描器排程
    2. 在入口網站中使用手動 [立即掃描] 選項
    3. 執行 Start-Scan PowerShell Cmdlet

    重要事項

    請記住,除非檔案已變更或您起始完整重新掃描,否則掃描器預設會執行存放庫的差異掃描,並略過在先前掃描週期中掃描的檔案。 您可以使用 UI 中的 [重新掃描所有檔案 ] 選項或執行 Start-Scan -Reset 來起始完整重新掃描。

  7. 啟 Microsoft Purview 入口網站> 數據外洩防護 > 原則。

  8. 選擇 [+ 建立原則 ] 並建立測試 DLP 原則。 如果您需要建立原則的協助,請參閱 建立和部署數據外洩防護 原則。 請務必 在模擬模式中 執行原則,直到您熟悉這項功能為止。 針對您的原則使用這些參數:

    1. 視需要將 DLP 內部部署存放庫規則的範圍設定為特定位置。 如果您將 位置 範圍設定為 [全部],則掃描的所有檔案都會受到 DLP 規則比對和強制執行的約束。
    2. 指定位置時,您可以使用排除或包含清單。 您可以將規則定義為只與包含清單中所列的其中一個模式相符的路徑相關,或是所有檔案,但符合包含清單中所列模式的檔案除外。 不支援任何本機路徑。 以下是一些有效路徑的範例:
    • \\server\share
    • \\server\share\folder1\subfolderabc
    • *\folder1
    • *secret*.docx
    • *秘密*。*
    • https:// sp2010.local/sites/HR
    • https://*/HR
    1. 以下是一些不被接受的值範例:
    • *
    • *\一個
    • Aaa
    • c:\
    • C:\test

重要事項

排除清單的優先順序高於包含清單

檢視 DLP 警示

  1. 在 Microsoft Purview 合規性入口網站中開啟 [資料外洩防護] 頁面,然後選取 [警示]

  2. 請參閱開始使用數據外洩防護警示儀錶板使用 Microsoft Defender 全面偵測回應 調查數據遺失事件中的程式,以檢視內部部署 DLP 原則的警示。

在活動總管和稽核記錄中檢視 DLP 數據

注意事項

資訊保護 掃描器需要啟用稽核。 稽核預設會在 Microsoft 365 中啟用。

  1. 在 Microsoft Purview 合規性入口網站中開啟您網域的 [資料分類] 頁面,然後選取 [活動總管]。

  2. 請參閱 開始使用活動總管 中的程序,以存取及篩選您內部部署掃描器位置的所有資料。

  3. 合規性中心開啟稽核記錄。 DLP 規則相符專案可在稽核記錄 UI 中取得,或由 PowerShell 中的 Search-UnifiedAuditLog 存取。

後續步驟

既然您已部署 DLP 內部部署位置的測試原則,而且可以在 [活動總管] 中檢視活動數據,您就可以繼續進行下一個步驟,以建立可保護敏感性專案的 DLP 原則。

另請參閱