開始使用過度共用快顯視窗
當您設定適當的 Microsoft Purview 資料外洩防護 (DLP) 原則時,DLP 會先檢查電子郵件訊息,再傳送電子郵件訊息以取得任何標籤或敏感性資訊,並套用 DLP 原則中定義的動作。 此功能需要Microsoft 365 E5 訂閱,以及支援它的 Outlook 版本。 如需必要版本的詳細資訊,請參閱過度共享 Microsoft 365 Outlook 對話方塊。
重要事項
以下是具有假設值的假設性案例。 僅供說明之用。 實作這項功能時,您應該替換自己的敏感性資訊類型、敏感度標籤、通訊群組和使用者。
提示
開始使用 Microsoft Security Copilot,探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的 Microsoft Security Copilot。
開始之前
SKU/訂閱授權
開始使用 DLP 原則之前,請確認您的 Microsoft 365 訂閱 和任何附加元件。
如需授權的相關信息,請參閱 Microsoft 365、Office 365、Enterprise Mobility + Security 和 Windows 11 訂閱。
權限
您用來建立和部署原則的帳戶必須是下列其中一個角色群組的成員
- 合規性系統管理員
- 合規性資料管理員
- 資訊保護
- 資訊保護系統管理員
- 安全性系統管理員
重要事項
開始之前,請先閱讀 管理單位 ,以確定您瞭解 不受限制的系統管理員 與 受管理單位限制的系統管理員之間的差異。
細微的角色和角色群組
有數個角色和角色群組可用來微調訪問控制。
以下是適用角色的清單。 若要深入瞭解,請參閱 Microsoft Purview 合規性入口網站 中的許可權。
- DLP 合規性管理
- 資訊保護系統管理員
- 資訊保護分析員
- 資訊保護調查人員
- 資訊保護讀者
以下是適用的角色群組清單。 若要深入瞭解,請參閱 Microsoft Purview 合規性入口網站 中的許可權。
- 資訊保護
- 資訊保護系統管理員
- 資訊保護分析員
- 資訊保護調查人員
- 資訊保護讀者
必要條件和假設
在 Microsoft 365 Outlook 中,過度共享的彈出視窗會在訊息傳送之前顯示快顯。 若要啟用這些彈出視窗,請先將您的原則範圍設定為 Exchange 位置,然後在您為該原則建立 DLP 規則時,選取原則提示中的 [在原則提示中 傳送之前 ,先為使用者顯示原則提示] 對話方塊。
我們的範例案例使用 高度機密 敏感度標籤,因此您必須建立併發佈敏感度標籤。 若要深入了解,請參閱:
此程式會使用 contoso.com。 假設的公司網域。
原則意圖和對應
在此範例中,我們的原則意圖語句是:
我們需要封鎖套用「高度機密」敏感度標籤之所有收件者的電子郵件,除非收件者網域已 contoso.com。 我們想要在使用者傳送電子郵件時,透過快顯對話通知使用者。 不允許任何使用者覆寫區塊。
陳述式 | 已回答設定問題與設定對應 |
---|---|
「我們需要封鎖所有收件者的電子郵件...」 |
-
監視位置:Exchange - 系統管理範圍:完整目錄 - 動作:限制Microsoft 365 位置 > 中內容的存取或加密 封鎖使用者接收電子郵件或存取共用 SharePoint、OneDrive 和 Teams 檔案 > 封鎖所有人 |
"...已套用「高度機密」敏感度標籤...」 |
-
要監視的內容:針對相符專案使用自定義範 - 本條件:編輯它以新增高度機密敏感度標籤 |
"...除非...」 | 條件群組組態 - 使用布爾值 AND 建立聯結至第一個條件的巢狀布爾值 NOT 條件群組 |
"...收件者網域已 contoso.com」。 | 比對的條件:收件者網域為 |
"...通知...」 | 使用者通知:已啟用 |
"...用戶傳送時,會使用快顯對話框...」 |
原則提示:選取 [ - 在傳送前顯示原則提示作為終端使用者的對話框]:選取 |
"...不允許使用者覆寫區塊... | 允許從 M365 服務覆寫:未選取 |
若要使用預設文字來設定過度共享彈出視窗,DLP 規則必須包含下列條件:
- 內容包含>敏感度標籤>選擇敏感度標籤 ()
以及下列一或多個以收件者為基礎的條件
- 收件者為
- 收件者為以下的成員
- 收件者網域為
符合這些條件時,當使用者在 Outlook 中寫入郵件時,原則提示會顯示不受信任的收件者,然後再傳送郵件。
設定「傳送時等候」的步驟
您可以選擇性地將 dlpwaitonsendtimeout Regkey 設定 (dword 中的 Value) 在您想要實作「等候傳送」以進行過度共享彈出視窗的所有裝置上。 此登錄機碼 (RegKey) 定義當使用者選取 [傳 送] 時,保存電子郵件的時間上限。 這可讓系統完成標籤或敏感性內容的 DLP 原則評估。 您可以在下列專案下找到此 RegKey:
*Software\Policies\Microsoft\office\16.0\Outlook\options\Mail*
您可以透過組策略設定此 RegKey (指定用來評估敏感性內容的等候時間) 、腳本或其他設定登錄機碼的機制。
如果您使用 群組原則,請確定您已下載適用於 Microsoft 365 Apps 企業版 的最新 群組原則 系統管理範本檔案,然後從 >> Office 2016 >> 安全性設定Microsoft使用者設定系統管理範>>本流覽至此設定。 如果您使用雲端原則服務Microsoft 365,請依名稱搜尋設定以進行設定。
設定此值並設定 DLP 原則時,會先檢查電子郵件訊息是否有敏感性資訊,再傳送。 如果訊息包含與原則中所定義條件的相符專案,則會在用戶按兩下 [ 傳送] 之前出現原則提示通知。
此 RegKey 可讓您指定 Outlook 客戶 端的等候傳送 行為。
以下是每個設定的意義:
未設定或停用:這是預設值。 未設定 dlpwaitonsendtimeout 時,不會在用戶傳送訊息之前檢查訊息。 按兩下 [ 傳送 ] 之後,就會立即傳送電子郵件訊息。 DLP 數據分類服務會評估訊息,並套用 DLP 原則中定義的動作。
已啟用:按兩下 [ 傳送 ] 時,但在實際傳送郵件之前,會檢查電子郵件訊息。 您可以設定等候 DLP 原則評估完成 (T 值的時間限制,以秒為單位) 。 如果原則評估未在指定的時間內完成,則會出現 [ 傳送] 按鈕,讓使用者略過傳送前檢查。 T 值範圍是 0 到 9999 秒。
重要事項
如果 T 值大於 9999,則會以 10000 取代它,而且不會出現 [ 傳送無論如何 ] 按鈕。 在原則評估完成之前,這會保留訊息,而且不會為使用者提供 覆寫 選項。 完成評估的持續時間可能會因特網速度、內容長度和定義的原則數目等因素而有所不同。 某些使用者可能會比其他使用者更頻繁地遇到原則評估訊息,視其信箱上部署的原則而定。
若要深入瞭解如何設定和使用 GPO,請參閱管理 Microsoft Entra Domain Services 受控網域中的 群組原則。
建立過度共用快顯之 DLP 原則的步驟
針對您使用的入口網站選取適當的索引標籤。 視您的Microsoft 365 方案而定,Microsoft Purview 合規性入口網站 即將淘汰或即將淘汰。
若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
登入 Microsoft Purview 入口網站>數據外洩防護>原則
選擇 [+ 建立原則]。
從 [類別] 列表中選取 [自定義]。
從 [法規] 列表中選取 [自定義]。
給與原則一個「名稱」。
重要事項
無法重新命名原則。
填入描述。 您可以在這裡使用原則意圖語句。
選取 [下一步]。
選取 [管理員 單位下的 [完整目錄]。
只選取 Exchange 電子郵件 位置。
選取 [下一步]。
在 [ 定義原則設定 ] 頁面上,選取 [建立或自定義進階 DLP 規則]。
應已選取 [建立或自定義進階 DLP 規則 ] 選項。
選取 [下一步]。
選 取 [建立規則]。 將規則命名為 ,並提供描述。
選取 [新增條件>內容包含>新增>敏感度卷>標高度機密]。 選擇 [新增]。
選 取 [新增群組>] 和>[不>新增條件]。
選取 [收件者網域已>contoso.com]。 選擇 [新增]。
提示
您也可以使用 Recipient is 或 Recipient 是 的成員, 而不是 Recipient 網域是 觸發過度共用彈出視窗。
選取 [新增動作>][限制存取或加密Microsoft 365 個位置中的內容。
選取 [封鎖使用者接收電子郵件] 或存取共用的 SharePoint、OneDrive 和 Teams 檔案,以及 Power BI 專案。
選 取 [封鎖所有人]。
將 [ 使用者通知] 切換為 [ 開啟]。
選取 [原則秘訣>][在傳送僅適用於 Exchange 工作負載的 (之前,將原則提示顯示為使用者的對話) 。
如果已選取,請取消核取 [ 允許從 M365 服務覆寫] 選項。
選擇 [儲存]。
將 [ 狀態] 切換開關變更為 [ 開啟] ,然後選擇 [ 下一步]。
在 [ 原則模式] 頁面上,選取 [ 在測試模式中執行原則 ],然後核取 [ 在模擬模式中顯示原則提示 ] 選項的方塊。
選擇 [下一步 ],然後選擇 [ 提交]。
選擇 [完成]。
建立原則的PowerShell步驟
您也可以在 PowerShell 中設定 DLP 原則和規則。 若要使用PowerShell設定過度共享彈出視窗,請先使用PowerShell) 建立 DLP 原則 (,並針對每個警告、合理化或封鎖快顯類型新增 DLP 規則。
您將使用 New-DlpCompliancePolicy 來設定及設定 DLP 原則的範圍。 然後,您將使用 New-DlpComplianceRule 設定每個過度共享規則
若要為過度共用快顯案例設定新的 DLP 原則,請使用下列代碼段:
PS C:\> New-DlpCompliancePolicy -Name <DLP Policy Name> -ExchangeLocation All
此範例 DLP 原則的範圍限於組織中的所有使用者。 使用 -ExchangeSenderMemberOf
和 -ExchangeSenderMemberOfException
設定 DLP 原則的範圍。
參數 | 組態 |
---|---|
-ContentContainsSensitiveInformation | 設定一或多個敏感度標籤條件。 此範例包含一個。 至少必須有一個標籤。 |
-ExceptIfRecipientDomainIs | 受信任網域的清單。 |
-NotifyAllowOverride | “WithJustification” 啟用理由單選按鈕,“WithoutJustification” 會停用它們。 |
-NotifyOverrideRequirements | “WithAcknowledgement” 會啟用新的通知選項。 這是選擇性的。 |
若要設定新的 DLP 規則,以使用受信任的網域產生 警告 彈出視窗,請執行下列 PowerShell 程式代碼:
PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator="Or";name="Default";labels=@(@{name=<Label GUID>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")
若要設定新的 DLP 規則,以使用受信任的網域產生 合理 化快顯,請執行下列 PowerShell 程式代碼:
PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com") -NotifyAllowOverride "WithJustification"
若要設定新的 DLP 規則以使用受信任的網域產生 區塊 快顯,請執行下列 PowerShell 程式代碼:
PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")
使用這些程式來存取 商務理由 X 標頭。