了解內部部署存放庫的數據外洩防護
當您選取內部部署存放庫位置時,Microsoft Purview 資料外洩防護 (DLP) 可以在檔案共用和 SharePoint 文檔庫和資料夾的內部部署待用數據上強制執行保護動作。 這可提供您所需的可見度和控制,以確保敏感性項目得到正確的使用與保護,並協助防治可能導致威脅入侵的風險行為。 DLP 會使用 內建 或 自定義敏感性資訊 類型、 敏感度標籤 或文件屬性來偵測敏感性資訊。 您可以在 活動總管 中查看使用者使用敏感度專案的相關資訊,而且您可以透過 DLP 原則強制執行這些專案上的保護動作。
提示
開始使用 Microsoft Security Copilot,探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的 Microsoft Security Copilot。
DLP 依賴 Microsoft Purview 資訊保護 掃描器
DLP 依賴 Microsoft Purview 資訊保護 掃描器的完整實作來監視、標記及保護敏感性專案。 如果您尚未實作 資訊保護 掃描器,您必須先執行此動作,才能使用 DLP。 如需詳細資訊,請閱讀下列文章:
DLP 內部部署存放庫動作
DLP 會尋找下列專案來偵測內部部署存放庫中的檔案:
- 敏感性資訊類型
- 敏感度標籤
- 檔案副檔名
- 僅 Office 檔案上的自訂文件屬性
當偵測到的檔案造成合規性政策違規或洩漏時的潛在風險時,DLP 可以採取下列四個動作之一。
動作 | 描述 |
---|---|
封鎖人員存取儲存在內部部署掃描器中的檔案 - 封鎖所有人 | 強制執行時,此動作會封鎖對所有帳戶的存取,但內容擁有者、上次修改專案的帳戶和系統管理員除外。 其作法是從檔案層級的NTFS/SharePoint許可權中移除所有帳戶,但檔案擁有者除外,存放庫擁有者 (在內容掃描工作) 中使用 DLP 原則設定中設定,最後一個修飾詞 (只能在SharePoint中識別) 和系統管理員。掃描儀帳戶也會被授與檔案的FC許可權。 |
僅封鎖可存取內部部署網路的人員,以及組織中未獲得檔案明確存取權的使用者存取檔案 | 強制執行時,此動作會從檔案訪問控制清單中移除 Everyone、 NT AUTHORITY\authenticated 使用者和 網域使用者 SID (ACL) 。 只有明確獲得檔案或父資料夾權限的使用者和群組才能存取檔案。 |
設定檔案的許可權 (許可權將會繼承自父資料夾) | 強制執行時,此動作會強制檔案繼承其父資料夾的權限。 根據預設,只有在父資料夾的許可權比已經在檔案上的許可權更嚴格時,才會強制執行此動作。 例如,如果檔案上的 ACL 設定為只允許 特定使用者 ,且父資料夾設定為允許 網域使用者 群組,則檔案不會繼承父資料夾許可權。 您可以選取 [ 繼承],即使父許可權較不嚴格 ,也可以覆寫此行為。 |
從不當位置移除檔案 | 強制執行時,此動作會以 .txt 副檔名取代原始檔案,並且將原始檔案的一份副本位於隔離資料夾中。 |
內部部署掃描器的不同處
在您深入了解內部部署掃描器之前,您必須先注意一些額外的概念。
掃描儀存放庫和內容掃描工作
您必須為資訊保護掃描器建立內容掃描工作,並識別裝載要 DLP 評估之檔案的存放庫。 請務必在建立的內容掃描作業中啟用 DLP 規則。
原則提示
內部 部署掃描器中無法使用原則提示。
檢視 DLP 內部部署掃描器事件
您可以在 Microsoft Purview 合規性入口網站 活動總管中檢視 DLP 數據。
後續步驟
既然您已瞭解 資訊保護 內部部署掃描器,接下來的步驟如下: