共用方式為

解決影響 DLP 原則秘訣的問題

  • 發行項
  • 適用於:
    Microsoft Purview Data Loss Prevention

如果您遇到與 Microsoft Purview 資料外洩防護 (DLP) 原則提示相關的問題,請在 Microsoft 365 系統管理中心 中執行 DLP 原則提示的自動化診斷。 診斷會分析 DLP 原則和規則設定,以取得原則提示、識別任何問題,以及建議解決方案。

執行 DLP 原則秘訣的診斷

注意

若要執行診斷,您必須是 Microsoft 365 全域管理員。

若要執行診斷,請遵循下列步驟:

  1. 選取下列按鈕,以在 Microsoft 365 系統管理中心 中開啟診斷。

    執行測試:DLP 原則秘訣

  2. 輸入下列資訊:

    • 用戶主體名稱 (UPN) 或使用者的電子郵件位址
    • DLP 規則名稱或 GUID
    • OutlookOWA (Outlook 網頁版)

  3. 選取 [ 執行測試]。

如果您執行了診斷,但問題並未解決,請檢查本文的下列各節。

Exchange Online 中的 DLP 原則

DLP 原則提示設定是在 DLP 原則中設定。 如果您在 Exchange Online 中建立 DLP 原則,建議您將其移轉至 Microsoft Purview 合規性入口網站,因為 Exchange 系統管理中心的舊版 Exchange Online 數據外洩防護已被取代。 針對未移轉的原則,您可能會看到非預期的結果,例如不會顯示原則提示。

如需詳細資訊,請參閱 Exchange 系統管理中心的原則提示與 Microsoft Purview 合規性入口網站

原則設定錯誤

原則是使用 使用者通知來設定,但原則的狀態與規則中的設定不符。 以下是開啟原則的範例,但原則狀態會顯示 測試。

使用者通知的螢幕快照。

標題為 [測試] 或開啟原則的視窗螢幕快照。標題為 [先測試出] 的狀態會在原則狀態中反白顯示。

如果使用兩個或多個規則來偵測具有相同實例計數值和信賴等級的相同敏感數據類型,可能會發生原則設定錯誤。

設定為根據敏感性資訊類型的偵測的 SSN 規則螢幕快照。

SSN 內容規則的螢幕快照,該規則已設定為根據敏感性資訊類型進行偵測。

這種設定是不必要的,而且有問題。 只需要一個規則。

解決方法

在這些案例中,請只建立一個規則,並使用偵測以相同敏感數據類型為基礎的參數。

Outlook 2013 和更新版本中不支持的原則設定

請參閱 Outlook 2013 和更新版本僅針對某些條件和例外狀況顯示原則提示。

並非所有原則條件都符合

此案例主要發生在原則提示無法在 Microsoft 365 的 SharePoint 中如預期般運作,且Microsoft工作或學校版 OneDrive,因為原則中設定了外部共享條件。

顯示原則中已設定外部共享條件的螢幕快照。

注意

目前,除非位於組織外部的外部合作物件第一次存取內容,否則內容不會以外部共用方式編製索引。

未開啟信件提示 (僅限 Outlook 2013 和更新版本用戶端)

針對 Outlook 2013 和更新版本用戶端,請確定已啟用郵件提示。 若要在 Outlook 中啟用郵件提示,請先確定已啟用原則提示。 若要這樣做,請遵循下列步驟:

  1. 在 Outlook 中,選取 [檔案>選項>郵件]。

  2. 捲動至 [ 郵件提示] 區段,然後選取 [ 郵件提示選項]。

  3. [選取要顯示 的郵件提示] 對話框中,確定已選取 [ 原則提示通知 ] 選項。

  4. 在 [郵件提示列顯示選項] 下,確定已選取 [郵件提示套用] 選項時自動顯示。

  5. 選取 [ 確定 ] 兩次以關閉 [檔案] 視窗。

  6. 重新啟動 Outlook。

    在 Outlook 中啟用郵件提示的步驟螢幕快照。

Fiddler 追踪中找不到 GetDLPPolicyTip 呼叫

如果 DLP 原則提示無法如預期般運作,請使用 Fiddler 追蹤來針對 DLP 原則提示進行疑難解答。

  1. 當您重現問題時,收集 Fiddler 追蹤檔案。 以下是 DLP 原則提示如預期般觸發的範例。

    傳送電子郵件訊息時 DLP 原則提示工作範例的螢幕快照。

  2. 在 POST 要求中,檢查 GetDLPPolicyTip 是否在追蹤檔案中呼叫。 針對上述範例,您可以看到 GetDLPPolicyTip 呼叫。

    POST 要求的螢幕快照,其中已醒目提示 GetDLPPolicyTip 呼叫。

    醒目提示 GetDLPPolicyTip 呼叫的 POST 要求標頭螢幕快照。

  3. 在回應中,檢查 DetectedClassificationIds 值。 如果值欄位不是空的,這表示 DLP 原則符合原則規則。

    反白顯示 DetectedClassificationIds 值的響應螢幕快照。

如果您找不到 GetDLPPolicyTip 呼叫,而且如果回應中的值欄位是空的 DetectedClassificationIds ,請遵循下列步驟來解決此問題:

  1. 檢查 DLP 原則是否已啟用並正確設定。
  2. 檢查您的使用者是否輸入正確的敏感性資訊和有效的收件者或寄件者來觸發原則。

用戶端不支援郵件提示

有數個 Outlook 用戶端授權不支持原則提示。 Exchange 功能的 Outlook 授權需求會列出支援 DLP 原則提示的 Outlook 用戶端授權。

注意

iOS 用戶端目前不支援 Mac 版 Outlook 原則提示。 因應措施是,您可以將文字新增至 DLP 原則規則的 NDR 回應,告知使用者在 OWA 用戶端中重新建立其訊息,如果他們原本使用 Mac 版 Outlook 提交訊息。 使用 OWA 用戶端向使用者公開原則提示功能,並讓他們覆寫、回報誤判或輸入商業理由(視 DLP 原則規則中指定的「通知」動作而定)。 然後,使用者可以提交訊息以供傳遞。

不支援檔案系統組態

如果下列條件成立,則不會顯示任何原則提示:

  • 您正在 Windows 7 上執行 Outlook 2013 或更新版本用戶端。
  • 您嘗試將格式化為 Adobe PDF 版本 10 或更新版本的檔案附加至應觸發 DLP 原則提示的電子郵件訊息。

解決方法

若要解決此問題,請仔細遵循 Outlook 的 一節中的步驟,不會在 Windows 7 中顯示 PDF 附件的 DLP 原則提示。

無效的測試數據

當您評估 DLP 原則規則的實例計數和信賴等級時,所使用的測試數據根據敏感性資訊類型實體定義無效。 請確定您使用的測試資料有效。

無效實例計數值的螢幕快照。