建立及管理內部風險管理原則
重要事項
Microsoft Purview 內部風險管理 相互關聯各種訊號,以識別潛在的惡意或意外內部風險,例如IP竊取、數據外泄和安全性違規。 測試人員風險管理可讓客戶建立原則來管理安全性與合規性。 根據設計使用隱私權建置,用戶預設會以假名化,且已備妥角色型訪問控制和稽核記錄,以協助確保用戶層級隱私權。
內部風險管理原則會判斷涉入的使用者,以及針對警示設定的風險指標類型。 您可以快速建立適用於組織中所有使用者的安全策略,或定義個別使用者或群組以在原則中進行管理。 原則支援內容優先順序,以著重於多個或特定 Microsoft Teams、SharePoint 網站、資料敏感度類型和資料標籤上的原則條件。 您可以使用範本,以選取特定風險指標,並自訂原則指標的事件閾值,有效地自訂風險分數,以及警示等級和頻率。
您也可以藉由離開會根據最新分析結果自動定義原則條件的用戶原則,來設定快速的數據外泄和數據竊取原則。 此外,風險分數提升器和異常偵測有助於識別具有較高重要性或不尋常的潛在風險用戶活動。 原則視窗允許您定義時間範圍,以將原則適用于警示活動,並用來判斷原則啟用後的時間長度。
如需使用內建原則範本建立的原則如何協助您快速處理潛在風險的概觀,請參閱 測試人員風險管理 原則設定影片。
提示
開始使用 Microsoft Security Copilot,探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的 Microsoft Security Copilot。
原則儀表板
原則 儀錶板 可讓您快速查看組織中的原則、原則的健康情況、手動將使用者新增至安全策略,以及檢視與每個原則相關聯的警示狀態。
- 原則名稱:指派給原則工作流程中原則的名稱。
- 狀態:每個原則的健全狀態。 顯示原則警示和建議的數量或沒有問題的原則之健康狀態。 您可以選取原則,以查看任何警告或建議的健康狀態詳細數據。
- 作用中警示:每個原則的作用中警示數目。
- 已確認的警示:過去 365 天內從原則產生案例的警示總數。
- 對警示採取的動作:過去 365 天內已確認或關閉的警示總數。
- 原則警示有效性:確認的警示總數除以警示 (的動作總數所決定的百分比,也就是過去一年中確認或關閉的警示) 。
來自分析的原則建議
測試人員風險分析可讓您匯總與安全性與合規性相關的匿名用戶活動,讓您評估組織中的潛在內部風險,而不需要設定任何內部風險原則。 這項評估可協助您的組織找出風險較高的潛在區域,並協助判斷您可能會考慮設定的內部風險管理原則類型和範圍。 如果您決定對數據 外泄 或 數據竊取 的分析掃描結果採取動作,您甚至可以選擇根據這些結果來設定快速原則。
若要深入瞭解內部風險分析和原則建議,請參閱 測試人員風險管理設定:分析。
注意事項
您必須是不受限制的系統管理員,才能存取分析深入解析。 了解系統管理群組如何影響許可權。
快速原則
對於許多組織來說,開始使用初始原則可能是一項挑戰。 如果您不熟悉內部風險管理,或是使用建議的動作開始使用,您可以使用快速原則來建立和設定新原則。 快速原則設定會自動從建議的最佳做法或組織中最新的分析掃描結果填入。 例如,如果分析檢查偵測到組織中的潛在數據外泄活動, [日期流失 ] 快速原則會自動包含用來偵測這些活動的指標。
您可以從下列快速原則中選擇:
- 重要資產保護:偵測涉及貴組織最有價值資產的活動。 遺失這些資產可能會導致法律責任、財務損失或信譽受損。
- 數據外洩:偵測組織中所有使用者的潛在數據外泄,範圍從意外過度共用敏感性資訊到惡意意圖的數據竊取。
- 離職使用者竊取數據:偵測使用者在接近離職或終止日期或從 Microsoft Entra ID 刪除其帳戶時可能竊取的數據。
- Email 外流:偵測用戶在組織外部傳送敏感性資產的電子郵件。 例如,使用者透過電子郵件將敏感性資產傳送至其個人電子郵件位址。
若要開始使用,請流覽至 [測試人員風險管理>原則] ,然後選取 [建立原則>快速原則]。 如果您正在檢閱分析報告,您可以選取 [檢視詳細>數據開始使用適用區域的快速原則]。
啟動快速原則工作流程之後,請檢閱原則設定,並使用單一選取專案來設定原則。 如果您需要自定義快速原則,您可以在建立原則之後變更條件。 在每次您收到原則警告或每次原則產生高嚴重性警示時設定電子郵件通知,以掌握快速原則的偵測結果。
注意事項
您必須是不受限制的系統管理員,才能建立快速原則。 了解系統管理群組如何影響許可權。
在原則中設定內容的優先順序
內部風險管理原則支持根據內容的儲存位置、內容類型或分類方式,指定較高的內容優先順序。 您也可以選擇將風險分數指派給原則所偵測到的所有活動,還是只指派包含優先順序內容的活動。 將內容指定為優先順序會增加任何相關活動的風險分數,進而增加產生高嚴重性警示的可能性。 不過,某些活動將不會產生警示,除非相關內容包含內建或自訂敏感性資訊類型,或是在原則中指定為優先順序。
例如,貴組織擁有高度機密專案的專用 SharePoint 網站。 此 SharePoint 網站中資訊的資料外洩可能會危害該專案,並對專案是否能夠成功具有重大影響。 在資料外洩原則中排定此 SharePoint 網站優先順序,就會自動提高合格活動的風險分數。 此優先順序會增加這些活動產生內部風險警示的可能性,並提升警示的嚴重性層級。
此外,您可以選擇將此原則聚焦於只包含此項目優先順序內容的 SharePoint 網站活動。 系統會指派風險分數,而且只有在指定的活動包含優先順序內容時,才會產生警示。 沒有優先順序內容的活動將不會進行評分,但如果產生警示,您仍然可以檢閱這些活動。
注意事項
如果您設定原則只針對包含優先順序內容的活動產生警示,則不會對風險分數提升器套用任何變更。
當您在原則工作流程中建立測試人員風險管理原則時,您可以從下列優先順序中選擇:
- SharePoint 網站:任何與已定義 SharePoint 網站中所有檔案類型相關聯的活動,會指派較高的風險分數。 設定原則並選取優先順序 SharePoint 網站的使用者可以選取有權存取的 SharePoint 網站。 如果目前使用者無法在原則中選取 SharePoint 網站,則具有必要許可權的另一位使用者稍後可以選取原則的網站,或是目前使用者應獲得必要網站的存取權。
- 敏感性資訊類型:任何與包含 敏感性資訊類型 之內容相關的活動都會獲指派較高的風險分數。
- 敏感度標籤:任何與已套用這些特定 敏感度標籤 的內容相關的活動,都會指派較高的風險分數。
- 擴展名:與具有特定擴展名之內容相關聯的任何活動。 用戶設定數據竊取/洩漏原則,以選取要在原則工作流程中 設定優先順序的擴展 名,最多可以定義 50 個擴展名,以在原則中設定優先順序。 輸入的延伸模組可以包含或省略 『.』 作為優先順序延伸模組的第一個字元。
- 可訓練分類器:任何與 可訓練分類器中包含的內容相關聯的活動。 設定原則的用戶在原則工作流程中選取可訓練分類器的原則,最多可以選取 5 個可訓練分類器來套用至原則。 這些分類器可以是現有的分類器,可識別敏感性資訊的模式,例如社會安全、信用卡或銀行帳戶號碼,或在組織中建立的自定義分類器。
順序偵測
風險管理活動可能不會以隔離事件的方式發生。 這些風險通常是較大事件序列的一部分。 序列是一組兩個或多個可能具風險的活動,一個接一個執行,可能建議提高風險。 識別這些相關的用戶活動是評估整體風險的重要部分。 針對數據竊取或數據外泄原則選取順序偵測時,序列信息活動的深入解析會顯示在內部風險管理案例的 [ 用戶活動 ] 索引卷標上。 下列原則範本支援順序偵測:
- 離職使用者竊取的資料
- 資料外洩
- 優先使用者造成的資料外洩
- 有風險用戶的數據外洩
- 具風險的 AI 使用方式
這些內部風險管理原則可以使用特定指標及其發生順序,以對一系列風險中的每個步驟進行偵測。 針對優先用戶範本從 數據外泄 和 數據外洩 建立的原則,您也可以選取觸發原則的順序。 將活動跨序列進行對應時,會使用檔案名稱。 這些風險分為四個主要的活動類別:
- 集合:偵測範圍內原則用戶的下載活動。 範例風險管理活動包括從 SharePoint 網站下載檔、第三方雲端服務、不允許的網域,或將檔案移至壓縮資料夾。
- 外流:偵測範圍內原則使用者對內部和外部來源的共用或擷取活動。 風險管理活動的範例包括將附件的電子郵件從組織傳送給外部收件者。
- 模糊化:偵測範圍內原則使用者可能具風險的活動遮罩。 風險管理活動的範例包括重新命名裝置上的檔案。
- 清除:偵測範圍內原則使用者的刪除活動。 風險管理活動的範例包括從裝置刪除檔案。
注意事項
時序偵測會使用全域設定中啟用的指標來管理內部風險。 如果未選取適當的指標,您將能夠在原則工作流程的順序偵測步驟中開啟這些指標。
您可以在原則中進行設定時,自訂每個序列偵測類型的個別閾值設定。 這些閾值設定會根據與順序類型相關聯的檔案數量來調整警示。
注意事項
序列可能包含一或多個事件,這些事件會根據您的設定組態從風險評分中排除。 例如,您的組織可能會使用全域 排除 設定 來排除 .png 檔案的風險評分,因為 .png 檔案通常不會有風險。 但 .png 檔案可用來混淆惡意活動。 因此,如果因為模糊化活動而從風險評分中排除的事件屬於序列的一部分,則事件會包含在序列中,因為它在序列的內容中可能很有趣。 深入瞭解如何在 [活動總管] 中顯示屬於序列一部分的排除專案。
若要深入瞭解 使用者活動 檢視中的順序偵測管理,請參閱 內部風險管理案例:使用者活動。
累積外洩偵測
根據預設,針對內部風險原則範圍內的用戶進行每日評估時,內部風險指標可協助識別不尋常的風險活動層級。 累積外洩偵測會使用機器學習模型來協助您識別使用者在特定時間執行的外泄活動,是否超過貴組織中使用者在過去 30 天內在多個外泄活動類型上執行的一般數量。 例如,如果使用者在過去一個月共用的檔案比大部分使用者多,則會偵測到此活動並分類為累計外泄活動。
內部風險管理分析師和調查人員可能會使用累積的外洩偵測深入解析,協助識別通常不會產生 警示 ,但超過其組織一般情況的外泄活動。 有些範例可能會讓離職用戶在數天內緩慢地外流數據,或使用者在多個通道之間重複共享數據,比平常多為貴組織的數據共用,或與其對等群組相較之下。
注意事項
根據預設,相較於其組織規範,累積外洩偵測會根據用戶的累積外泄活動來產生風險分數。 您可以在 [測試人員風險管理設定] 頁面的 [原則指標] 區段中啟用累積外洩偵測選項。 較高的風險分數會指派給 SharePoint 網站的累積外洩活動、敏感性資訊類型,以及敏感度標籤設定為原則中優先順序內容的內容,或指派給在 Microsoft Purview 資訊保護 中設定為高優先順序之標籤標的活動。
使用下列原則範本時,根據預設,會啟用累積外洩偵測:
- 離職使用者竊取的資料
- 資料外洩
- 優先使用者造成的資料外洩
- 有風險用戶的數據外洩
累積外洩偵測的對等群組
測試人員風險管理會識別三種類型的對等群組,以分析使用者所執行的外泄活動。 為使用者定義的對等群組是以下列準則為基礎:
SharePoint 網站:測試人員風險管理會根據存取類似SharePoint網站的用戶來識別對等群組。
類似的組織:具有以組織階層為基礎的報表和小組成員的使用者。 此選項需要您的組織使用 Microsoft Entra ID 來維護組織階層。
類似的職稱:具有組織距離和類似職稱組合的使用者。 例如,具有資深銷售經理職稱且與相同組織中潛在客戶銷售經理具有類似角色指定的使用者,會被識別為類似的職稱。 此選項需要您的組織使用 Microsoft Entra ID 來維護組織階層、角色指定和職稱。 如果您未針對組織結構和職稱設定 Microsoft Entra ID,則內部風險管理會根據一般 SharePoint 網站來識別對等群組。
如果您啟用累積外洩偵測,您的組織會同意與合規性入口網站共用 Microsoft Entra 數據,包括組織階層和職稱。 如果您的組織未使用 Microsoft Entra ID 來維護此資訊,則偵測可能較不精確。
注意事項
累積外洩偵測會使用全域設定中針對內部風險管理啟用的外洩指標,以及在原則中選取的外洩指標。 因此,只會針對選取的必要外洩指標評估累計外洩偵測。 優先順序內容中所設定 敏感度標籤 的累積外洩活動會產生較高的風險分數。
針對資料竊取或資料外洩原則啟用累積外洩偵測時,來自累積外洩活動的深入解析會顯示在內部風險管理案例內的 [使用者活動] 索引標籤上。 若要深入瞭解用戶活動管理,請參閱 測試人員風險管理案例:用戶活動。
原則健康情況
注意事項
如果您的原則 受一或多個管理單位限制,您只能檢視您所限定原則的原則健康情況。 如果您是不受限制的系統管理員,您可以檢視租使用者中所有原則的原則健康情況。
此原則健康狀態讓您深入瞭解內部風險管理原則的潛在問題。 [ 原則 ] 索引 標籤上的 [狀態] 資料行可以警示您可能無法回報使用者活動的原則問題,或是活動警示數目不尋常的原因。 此原則健康狀態也可用以確認該原則狀況良好,且不需要注意或變更設定原則。
重要事項
您必須具有 測試人員風險管理 或 測試人員風險管理管理員 角色,才能存取原則健康情況。
如果原則有問題,則原則健康狀態會顯示通知警告和建議,協助您採取動作,解決原則問題。 這些通知可協助解決下列問題:
- 設定不完整的原則。 這些問題可能包括在策略或其他不完整的設定原則步驟中遺失使用者或群組。
- 具有指標設定問題的原則。 指標是每個原則的重要部分。 如果未設定指標,或選取的指標太少,則此原則可能無法如預期般針對危險活動進行評估。
- 原則觸發程式無法運作,或未正確設定原則觸發程式需求。 原則功能可能依賴其他服務或設定要求,才能有效地偵測觸發事件,以啟動原則中為使用者指派的風險評分。 這些相依性可能包括連接器設定、適用於端點的Microsoft Defender 警示共用,或資料外洩防護原則設定的設定問題。
- 磁碟區限制接近或超過限制。 內部風險管理原則使用許多 Microsoft 365 服務和端點來匯總風險活動訊號。 依據您原則中的使用者數量,數量限制可能會延遲識別及回報風險活動。 在本文的 [原則範本限制] 一節中深入瞭解這些限制。
若要快速檢視原則的健康情況狀態,請 瀏覽 [原則 ] 索引標籤和 [ 狀態] 數據行 。 在這裡,您會看到每個原則的下列原則健全狀態選項:
- 狀況良好:原則未發現任何問題。
- 建議:原則問題,可能會使原則無法如預期般運作。
- 警告:原則的問題,可能會導致無法識別潛在風險的活動。
如需任何建議或警告的相關詳細資訊,請在 [原則] 索引標籤中選取原則,以開啟該原則的詳細資料卡。 詳細數據卡片的 [ 通知 ] 區段會顯示建議和警告的詳細資訊,包括如何解決這些問題的指引。
通知訊息
使用下表深入瞭解建議和警告通知,以及解決潛在問題時需採取的動作。
通知訊息 | 原則範本 | 原因/ 嘗試此動作以修正 |
---|---|---|
原則未為活動指派風險分數 | 所有原則範本 | 您可能想要檢閱原則範圍並觸發事件設定,讓原則可以將風險分數指派給活動 1. 檢查針對該原則所選的使用者。 如果您選取了少數使用者,建議您選取其他使用者。 2. 如果您使用 HR 連接器,請檢查您的 HR 連接器是否正在傳送正確的資料。 3.如果您使用 DLP 原則做為觸發事件,請檢查您的 DLP 原則組態,以確保其已設定為用於此原則中。 4.針對安全性違規原則,請檢閱在測試人員風險設定>智慧型手機偵測中選取的 適用於端點的 Microsoft Defender 警示分級狀態。 確認該警示篩選條件並未過分苛刻。 |
原則沒有產生任何警示 | 所有原則範本 | 您可能想要檢閱原則設定,以便分析最相關的評分活動。 1. 確認您選取了要評分的指標。 選取的指標越多,指派風險分數的活動就越多。 2. 檢查原則的閾值自訂。 如果選取的閾值不符合貴組織的風險承受能力,請調整選取專案,以便根據您偏好的閾值建立警示。 3. 檢查針對該原則所選的使用者和群組。 確認您選取了所有適用的使用者和群組。 4. 針對安全性違規原則,確認您選取了想要在設定中的智慧偵測中使用適用於端點的 Microsoft Defender 評分的警示分類狀態。 |
這個原則不包含任何使用者或群組 | 所有原則範本 | 使用者或群組未指派給該原則。 編輯您的原則,並選取該原則的使用者或群組。 |
未選取此原則的指標 | 所有原則範本 | 未選取該原則的指標 編輯您的原則,並選取適當的原則指標。 |
這項原則中未包含優先注意使用者群組 | - 優先使用者造成的資料外洩 - 優先使用者的安全性原則違規 |
優先使用者或群組未指派給該原則。 在內部風險管理設定中設定優先使用者群組,並指派優先使用者至該原則。 |
未針對此原則選取觸發事件 | 所有原則範本 | 未針對此原則設定觸發事件 在編輯原則並選取觸發事件之前,不會將風險分數指派給使用者活動。 |
HR 連接器未按預期設定或運作 | - 離職使用者竊取的資料 - 離職使用者造成的安全性原則違規 - 有風險用戶的數據外洩 - 有風險的用戶違反安全策略 |
HR 連接器發生問題。 1. 如果您使用 HR 連接器,請檢查您的 HR 連接器是否正在傳送正確的資料 或 2.選取 Microsoft Entra 帳戶已刪除觸發事件。 |
未連線任何裝置 | - 離職使用者竊取的資料 - 數據外洩 - 有風險用戶的數據外洩 - 優先使用者造成的資料外洩 |
已選取裝置指標,但沒有任何裝置已上線至合規性入口網站 檢查裝置是否已上線並符合要求。 |
HR 連接器最近未上傳資料 | - 離職使用者竊取的資料 - 離職使用者造成的安全性原則違規 - 有風險用戶的數據外洩 - 有風險的用戶違反安全策略 |
HR 連接器超過 7 天未匯入數據。 檢查您的 HR 連接器已正確設定並傳送資料。 |
我們目前無法檢查 HR 連接器的狀態,請稍後再檢查一次 | - 離職使用者竊取的資料 - 離職使用者造成的安全性原則違規 - 有風險用戶的數據外洩 - 有風險的用戶違反安全策略 |
內部風險管理解決方案無法檢查您的 HR 連接器狀態。 檢查您的 HR 連接器已正確設定並傳送資料,或者返回並檢查原則狀態。 |
並未選取 DLP 原則以作為觸發事件 | - 數據外洩 - 優先使用者造成的資料外洩 |
尚未選取 DLP 原則作為觸發事件,或已刪除選取的 DLP 原則。 編輯原則,並在原則設定中選取作用中的 DLP 原則或 [使用者執行外洩活動] 作為觸發事件。 |
此原則中使用的 DLP 原則已關閉 | - 數據外洩 - 優先使用者造成的資料外洩 |
此原則中使用的 DLP 原則已關閉。 1. 開啟指派給此原則的 DLP 原則。 或 2. 編輯原則,並在原則設定中選取新的 DLP 原則或 [使用者執行外洩活動] 作為觸發事件。 |
DLP 原則不符合要求 | - 數據外洩 - 優先使用者造成的資料外洩 |
用來作為觸發事件的 DLP 原則必須設定為能產生高嚴重性警示。 1. 編輯您的 DLP 原則,將適用的警示指派為 高嚴重性。 或 2. 編輯此原則並選取 使用者執行外洩活動 作為觸發事件。 |
貴組織沒有適用於端點的 Microsoft Defender 訂閱 | - 安全策略違規 - 離職使用者造成的安全性原則違規 - 有風險的用戶違反安全策略 - 優先使用者的安全性原則違規 |
未偵測到貴組織的作用中的適用於端點的 Microsoft Defender 訂閱。 在新增適用於端點的 Microsoft Defender 訂閱之後,這些原則才會指派風險分數給使用者活動。 |
適用於端點的 Microsoft Defender 警示不會與合規性入口網站共用 | - 安全策略違規 - 離職使用者造成的安全性原則違規 - 有風險的用戶違反安全策略 - 優先使用者的安全性原則違規 |
適用於端點的 Microsoft Defender 警示不會與合規性入口網站共用。 設定適用於端點的 Microsoft Defender 警示共用。 |
您即將達到針對此原則範本主動評分的使用者上限 | 所有原則範本 | 每個原則範本的範圍內使用者數目上限。 請參閱範本限制區段詳細資料。 檢閱 [使用者] 索引標籤中的使用者,並移除不再需要評分的任何使用者。 |
此原則中超過 15% 的使用者重複發生觸發事件 | 所有原則範本 | 調整觸發事件,以協助減少使用者進入原則範圍的頻率。 |
建立新的原則
若要建立新的測試人員風險管理原則,您通常會在 Microsoft Purview 合規性入口網站 的測試人員風險管理解決方案中使用原則工作流程。 您也可以從分析中離職的使用者檢查是否適用,為一般數據外泄和數據竊取建立快速原則。
完成 步驟 6:建立測試人員風險管理原則 ,以設定新的內部風險原則。
更新原則
針對您使用的入口網站選取適當的索引標籤。 視您的Microsoft 365 方案而定,Microsoft Purview 合規性入口網站 即將淘汰或即將淘汰。
若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
- 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
- 移至 測試人員風險管理 解決方案。
- 選 取 左側導覽中的原則。
- 在原則儀錶板上,選取您想要更新的原則。
- 在 [原則詳細數據] 頁面上,選取 [ 編輯原則]。
- 在 [ 名稱和描述 ] 頁面上,如有需要,您可以更新原則的描述。
注意事項
您無法編輯 [原則 範本 ] 或 [ 名稱] 欄 位。
- 選取 [下一步] 繼續。
- 移至 建立原則程式的步驟 7。
複製原則
您可能需要建立類似于現有原則的新原則,但只需要進行一些設定原則變更即可。 您可以複製現有的原則,然後修改需要新原則中更新的區域,而無須從頭開始建立新原則。
針對您使用的入口網站選取適當的索引標籤。 視您的Microsoft 365 方案而定,Microsoft Purview 合規性入口網站 即將淘汰或即將淘汰。
若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
- 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
- 移至 測試人員風險管理 解決方案。
- 選 取 左側導覽中的原則。
- 在原則儀表板上,選取您想要複製的原則。
- 在 [原則詳細數據] 頁面上,選取 [ 複製]。
- 在原則工作流程中,將新原則命名為 ,然後視需要更新原則設定。
立即開始為使用者活動進行評分
在某些情況下,您可能需要在內部風險管理觸發事件工作流程之外,開始將風險分數指派給具有內部風險原則的使用者。 使用 [原則] 索引標籤上使用者的 [開始評分活動] 手動將使用者 (或使用者) 到一或多個內部風險原則一段特定時間、開始將風險分數指派給其活動,以及略過要求讓使用者擁有觸發指標 (,例如 DLP 原則相符專案或 HR 連接器) 的僱用結束日期。
[ 評分活動原因 ] 欄位中的值會出現在使用者的啟用時間軸上。 手動新增至原則的用戶會顯示在 [使用者 ] 儀錶板中,如果活動符合原則警示閾值,就會建立警示。 在任何指定時間,您最多可以有 4,000 位使用者在使用 使用者開始評分活動 功能手動新增的範圍內。
您可能想要立即開始評分使用者活動的一些案例包括:
- 當用戶發現有風險考慮,而且您想要立即開始為一或多個原則將風險分數指派給其活動時。
- 發生事件時,您可能需要立即開始為一或多個原則的相關用戶活動指派風險分數。
- 當您尚未設定 HR 連接器,但想要上傳 .csv 檔案,開始將風險分數指派給 HR 事件的用戶活動。
注意事項
手動新增的使用者可能需要數小時才會出現在 [ 使用者 ] 儀錶板中。 這些使用者過去 90 天的活動最多可能需要 24 小時的時間才能顯示。 若要檢視手動新增使用者的活動,請移至 [ 使用者 ] 索引卷標,選取 [ 使用者 ] 儀錶板上的使用者,然後在詳細數據窗格上開啟 [ 用戶活動 ] 索引卷標。
在一或多個測試人員風險管理原則中手動啟動用戶評分活動
針對您使用的入口網站選取適當的索引標籤。 視您的Microsoft 365 方案而定,Microsoft Purview 合規性入口網站 即將淘汰或即將淘汰。
若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
移至 測試人員風險管理 解決方案。
選 取 左側導覽中的原則。
在原則儀表板上,選取您想要新增使用者至的一個或多個原則。
選取 開始評分使用者的活動。
在 [ 將使用者新增至多個原則 ] 窗格的 [ 原因 ] 字段中,新增新增使用者的原因。
在 [ 這應該持續 (選擇 5 到 30 天) 字段中,定義要為使用者的活動評分的天數。
輸入您要新增的用戶名稱,或使用 [ 搜尋使用者新增到 原則] 字段來搜尋使用者,然後選取用戶名稱。 重複此程式以指派其他使用者。 您選取的使用者清單會出現在 [將 使用者新增至多個 原則] 窗格的 [使用者] 區段中。
注意事項
如果原則受 一或多個管理單位限制,您只能看到已設定範圍的使用者。
若要匯入使用者清單,請選取 [ 匯 入] 以匯入 .csv (以逗號分隔的值) 檔案。 檔案必須採用下列格式,而且您必須列出檔案中的使用者主體名稱:
user principal name user1@domain.com user2@domain.com
選 取 [將使用者新增至原則 ] 以接受變更。
停止在原則中為使用者評分
若要停止在一個原則中為使用者評分,請參閱 [內部風險管理使用者:將使用者從範圍內指派移除至原則] 一文。
刪除原則
重要事項
您無法復原原則刪除。
當您刪除原則時,有兩個選項。 您可以:
- 只刪除原則。
- 刪除原則和所有相關聯的警示和使用者。
如果您選擇第二個選項:
- 除非與案例相關聯,否則會刪除該原則所產生的所有警示。 刪除原則時,永遠不會刪除相關聯的案例。
- 任何與該原則警示相關聯的使用者,會從 [ 使用者 ] 頁面中移除。
- 如果使用者在多個原則的範圍內,則只會從要刪除的原則中移除該使用者。 它們不會從其他作用中的原則中移除。
例如,假設您在將原則推出至組織之前,先建立用於測試用途的原則。 完成測試之後,您可以快速刪除原則和所有相關聯的測試數據,以便在準備好即時推送原則時重新開始。
最多可能需要 72 小時才能完成原則刪除。
注意事項
如果您刪除與測試人員風險管理 Adaptive Protection 相關聯的原則,您會看到一則警告,指出調適型保護會停止將內部風險層級指派給使用者,直到您在調適型保護中選擇不同的原則為止。 這是因為調適型保護必須與生效的原則相關聯。
若要刪除原則
針對您使用的入口網站選取適當的索引標籤。 視您的Microsoft 365 方案而定,Microsoft Purview 合規性入口網站 即將淘汰或即將淘汰。
若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
移至 測試人員風險管理 解決方案。
選 取 左側導覽中的原則。
在原則儀表板上,選取您想要刪除的原則。
在儀表板工具列上選取 [刪除]。
執行下列其中一項:
- 選 取 [僅刪除原則]。
- 選 取 [刪除原則] 和所有相關聯的警示和使用者。
重要事項
您無法復原原則刪除。
選取 [確認]。
您會在畫面上半部看到一則訊息,告知您刪除是否成功或是否擱置中。