使用調適型保護協助動態降低風險
重要事項
Microsoft Purview 內部風險管理 相互關聯各種訊號,以識別潛在的惡意或意外內部風險,例如IP竊取、數據外泄和安全性違規。 內部風險管理可讓客戶建立原則來管理安全性與合規性。 根據設計使用隱私權建置,用戶預設會以假名化,且已備妥角色型訪問控制和稽核記錄,以協助確保用戶層級隱私權。
Microsoft Purview 中的自適性保護會使用機器學習來識別最重要的風險,並主動且動態地套用保護控件:
與數據外洩防護、數據生命週期管理和條件式存取整合,可協助組織自動響應內部風險,並減少識別和補救潛在威脅所需的時間。 藉由運用這四個解決方案的功能,組織可以建立更全面的安全性架構來解決內部和外部威脅。
重要事項
若要瞭解搭配數據外洩防護、數據生命週期管理和條件式存取使用 Adaptive Protection 的授權需求,請參閱 Microsoft 365、Office 365、Enterprise Mobility + Security 和 Windows 11 訂閱。
自適性保護可使用下列項目來協助降低潛在風險:
- 內容感知偵測。 透過內容和用戶活動的ML驅動分析,協助識別最重要的風險。
- 動態控制件。 協助對高風險使用者強制執行有效控制,而其他人則維持生產力。
- 自動化風險降低。 協助將潛在數據安全性事件的影響降到最低,並降低系統管理員的額外負荷。
自適性保護會根據內部風險管理中機器學習模型所定義和分析的內部風險層級,動態指派適當的數據外泄防護、數據生命週期管理和條件式存取原則給使用者。 原則會根據用戶內容變成自適性,確保最有效的原則,例如透過數據外泄防護封鎖數據共用,或透過條件式存取封鎖應用程式存取,只會套用至高風險使用者,而低風險使用者則維持生產力。 數據外洩防護和條件式存取原則控制會持續調整,因此當使用者的測試人員風險層級變更時,會動態套用適當的原則,以符合測試人員的新風險層級。 在數據生命週期管理的案例中,內部風險管理會偵測 提升的風險層級 使用者,並使用自動建立的數據生命週期管理保留卷標原則來保留其刪除的數據 120 天。
重要事項
內部風險管理目前適用於裝載於地理區域的租使用者,以及 Azure 服務相依性所支援的國家/地區。 若要確認貴組織支持測試人員風險管理解決方案,請參閱 依國家/地區提供的 Azure 相依性。 測試人員風險管理適用於商業雲端,但目前不適用於美國政府雲端計劃。
觀看下列影片,以取得調適型保護如何協助識別並降低組織中最重大風險的摘要:
提示
開始使用 Microsoft Security Copilot,探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的 Microsoft Security Copilot。
測試人員風險層級和預防性控制措施
使用自適性保護,系統管理員可以根據組織的需求,設定可自定義內部風險層級的風險因素或活動。 調適型保護的內部風險層級會根據用戶的風險因素和深入解析持續自動更新,因此當用戶的數據安全性風險增加或降低時,其內部風險層級會據以調整。 根據內部風險層級,數據外泄防護原則和條件式存取原則會自動套用系統管理員 (所設定的正確預防性控制層級,例如 封鎖、 封鎖覆寫或 警告) 。
提示
調適型保護中的測試人員風險層級與根據測試人員風險管理原則中偵測到的活動指派給內部風險管理使用者的警示嚴重性層級不同。
- 如本文所述, (提升許可權、中度或次要) 的內部風險層級,是系統管理員定義條件所決定的風險量值,例如使用者在一天中執行的外泄活動數目,或其活動是否產生高嚴重性內部風險警示。
- 警示嚴重性層級 (低、中或高) 會根據測試人員風險管理原則中偵測到的活動指派給使用者。 這些層級是根據指派給與使用者相關聯之所有作用中警示的警示風險分數來計算。 這些層級可協助內部風險分析師和調查人員據此排定優先順序並回應用戶活動。
針對數據生命週期管理,數據生命週期管理原則會監視由測試人員風險管理調適型保護指派 提升風險層級 的使用者。 當有風險的使用者從 SharePoint、OneDrive 或 Exchange Online 刪除任何內容時,內容會自動保留 120 天。 系統管理員可以連絡Microsoft支持人員以還原任何保留的內容。
根據調適型保護中指派的測試人員風險管理原則,會使用使用者、群組、指標、閾值等 (不同的準則 ) 來判斷適用的測試人員風險層級。 內部風險層級是以使用者深入解析為基礎,而不只是以特定用戶活動的實例數目為基礎。 深入解析是這些活動的匯總數目和嚴重性層級的計算。
例如,使用者 A 的內部風險層級不會由執行潛在風險活動的使用者 A 判斷超過三次。 使用者 A 的內部風險層級取決於活動的匯總數目深入解析,而風險分數會根據所選原則中設定的閾值指派給活動。
測試人員風險層級
Adaptive Protection 中的測試人員風險層級會定義用戶活動的風險程度,而且可以根據其執行的外泄活動數目,或其活動是否產生高嚴重性內部風險警示等準則。 這些內部風險層級具有內建的內部風險層級定義,但這些定義可以視需要自定義:
- 提高的風險層級:這是最高的內部風險層級。 它包含內建定義,適用於具有高嚴重性警示的使用者、具有至少三個序列深入解析的使用者,每個使用者都有特定風險活動的高嚴重性警示,或一或多個已確認的高嚴重性警示。
- 中等風險層級:中度內部風險層級包含內建定義,適用於具有中度嚴重性警示的使用者,或具有至少兩個數據外泄活動且嚴重性分數較高的使用者。
- 次要風險層級:最低的內部風險層級包含內建定義,適用於具有低嚴重性警示的使用者,或具有至少一個數據外泄活動且嚴重性分數較高的使用者。
若要將內部風險層級指派給使用者,指派給活動的深入解析數目和嚴重性必須符合內部風險層級的定義。 深入解析的活動數目可能是單一活動,或是累算至單一深入解析的多個活動。 系統會評估內部風險層級定義的深入解析數目,而不是深入解析中包含的活動數目。
例如,假設指派給 Adaptive Protection 的測試人員風險管理原則中的條件,是針對識別組織中 SharePoint 網站下載項目的範圍。 如果原則偵測到使用者在一天中從 SharePoint 網站下載了 10 個判斷為高嚴重性的檔案,這會算是包含 10 個活動事件的單一深入解析。 為了讓此活動符合指派 提升風險層級 給用戶的資格,使用者需要兩個具有高嚴重性) 的額外深入解析 (。 其他深入解析可能包含或不包含一或多個活動。
自定義內部風險層級
自定義內部風險層級可讓您根據組織的需求建立內部風險層級。 您可以自定義內部風險層級所依據的準則,然後定義條件來控制何時將測試人員風險層級指派給使用者。
請考慮下列範例,搭配使用調適型保護與數據外泄防護、數據生命週期管理和條件式存取原則。
-
數據外洩防護原則:
- 允許具有 次要風險層級 或 中度風險層級 的使用者接收處理敏感數據最佳做法的原則秘訣和教育。 如此一來,您可以影響一段時間的正面行為變更,並降低組織數據風險。
- 封鎖 具有較高風險層級 的使用者儲存或共用敏感數據,以將潛在數據事件的影響降到最低。
-
數據生命週期管理原則:
- 保留風險性用戶刪除的任何 SharePoint、OneDrive 或 Exchange Online 內容 120 天。 在此情況下,有風險的使用者是已由調適型保護指派 提升風險層級 的使用者。
-
條件式存取原則:
- 使用應用程式之前,需要 次要風險層級 使用者確認使用規定。
- 封鎖 中等風險層級 使用者存取特定應用程式。
- 完全封鎖 提高的風險層級 使用者使用 任何 應用程式。 深入瞭解常用的條件式存取原則
測試人員風險層級準則和條件
測試人員風險層級準則和條件自定義可以根據下列領域:
- 為用戶產生或確認的警示:此選項可讓您根據針對所選內部風險管理原則的使用者所產生或確認 的警示嚴重性層級 ,選擇條件。 警示的條件不會加總,而且如果符合其中一個條件,則會將測試人員風險層級指派給使用者。
- 特定用戶活動:此選項可讓您選擇活動要偵測的條件、其嚴重性,以及 過去活動偵 測期間的每日發生次數, (選擇性) 。 用戶活動的條件會加總,而且只有在符合所有條件時,才會將測試人員風險層級指派給使用者。
過去的活動偵測
此測試人員風險層級設定會決定調適型保護檢查的天數,以偵測使用者是否符合任何內部風險層級所定義的條件。 默認設定為 7 天,但您可以選擇 5 到 30 天的先前活動,以套用內部風險層級條件。 此設定僅適用於以使用者每日活動為基礎的內部風險層級,並根據警示排除內部風險層級。
下列範例說明過去的活動偵測設定和內部風險層級如何互動,以判斷用戶的過去活動是否在範圍內:
- 提高的風險層級 設定:用戶會執行至少三個序列,每個序列都有高嚴重性風險分數 (67 到 100)
- 過去的活動偵測 設定:3 天
使用者活動 | 內部風險層級範圍內的活動 |
---|---|
使用者每天在 T-3、T-2、T-1 有 1 個高嚴重性序列 | 是 |
使用者在 T-3 日有 3 個高嚴重性序列 | 是 |
使用者在 T-4 日有 1 個高嚴重性序列,在 T-3 日有 2 個高嚴重性序列 | 否 |
測試人員風險層級時間範圍
此測試人員風險層級設定會決定在用戶自動重設之前,內部風險層級仍會保留多久的時間。 默認設定為 7 天,但您可以在重設使用者的測試人員風險層級之前選擇 5 到 30 天。
用戶的測試人員風險層級也會在下列狀況下重設:
- 用戶的相關聯警示會關閉。
- 已解決使用者的相關案例。
- 測試人員風險層級結束日期已手動過期。
注意事項
如果使用者目前獲指派測試人員風險層級,且該使用者再次符合該測試人員風險層級的準則,則會針對使用者定義的天數延長測試人員風險層級時間範圍。
風險層級到期選項
啟用此選項 (預設會啟用) ,當使用者的相關警示關閉或使用者的相關案例關閉時,使用者的 Adaptive Protection 風險層級會自動過期。 如果您想要保留使用者的自適性保護風險層級,即使警示已關閉或案例已關閉,請停用 選項。
調適型保護的許可權
重要事項
若要瞭解搭配數據外洩防護、數據生命週期管理和條件式存取使用 Adaptive Protection 的授權需求,請參閱 Microsoft 365、Office 365、Enterprise Mobility + Security 和 Windows 11 訂閱。
根據您使用內部風險管理內建角色群組和角色群組來防止數據外泄或條件式存取的方式,您 可能需要更新組織 中系統管理員、分析師和調查人員的許可權。
下表描述特定調適型保護工作所需的許可權。
重要事項
Microsoft 建議您使用權限最少的角色。 將具有全域管理員角色的用戶數目降至最低,有助於改善組織的安全性。 深入瞭解 Microsoft Purview 角色和許可權。
工作 | 必要角色群組 |
---|---|
設定調適型保護和更新設定 | 測試人員風險管理 或 測試人員風險管理管理員 |
使用調適性保護條件建立和管理數據外泄防護原則 | 下列其中一項: 合規性系統管理員、 合規性數據管理員、 DLP 合規性管理、 全域管理員 |
使用自適性保護條件建立和管理條件式存取原則 | 下列其中一項:全域管理員、條件式存取系統管理員、安全性系統管理員 |
檢視使用者指派的測試人員風險層級詳細數據 | 測試人員風險管理、 測試人員風險管理分析師或 測試人員風險管理調查人員 |
重要事項
角色群組的四個類別會對應至調適型保護頁面上的下列索引標籤: 測試人員風險層級、 使用者指派的內部風險層級、 數據外洩防護、 條件式存取。 如果您未指派給適當的角色群組,索引標籤將不會出現在 [ 調適型保護 ] 頁面上。
深入瞭解 適用於 Office 365 的 Microsoft Defender 和 Microsoft Purview 合規性中的角色群組
設定調適型保護
根據組織的需求或您目前設定內部風險管理、數據外泄防護、數據生命週期管理和條件式存取,您有兩個選項可開始使用調適型保護:
- 快速設定
- 自訂設定
快速設定
快速設定選項是開始使用Adaptive Protection的最快方式。 使用此選項時,您不需要任何既有的內部風險管理、數據外洩防護、數據生命週期管理或條件式存取原則,而且不需要預先設定任何設定或功能。 如果您的組織目前沒有支持內部風險管理、數據外泄防護或數據生命週期管理的訂用帳戶或授權,請先註冊 Microsoft Purview 風險和合規性解決方案試 用版,再開始快速安裝程式。 您也可以註冊條件式存取的 Microsoft Entra 試用版。
您可以從 Microsoft Purview 入口網站首頁或數據外洩防護概觀頁面上的調適型保護卡片中選取 [ 開啟調適型 保護] 來開始。 您也可以移至 測試人員風險管理>調適型保護>儀錶板>快速設定,以開始快速設定程式。
注意事項
如果您已經是 Purview Microsoft 限域系統管理員 ,則無法開啟快速設定。
以下是使用調適型保護的快速安裝程式時所設定的內容:
適用範圍 | 組態 |
---|---|
如果尚未設定測試人員風險設定, () | - 隱私權:顯示匿名版本的用戶名稱。
注意: 在條件式存取或數據外泄防護中,用戶名稱不會匿名。 - 原則時間範圍:預設值 - 原則指標:您可以在內部風險管理設定中檢視 (Office 指標子集) - 風險分數提升器:全部 - 智慧型偵測:警示磁碟區 = 預設磁碟區 - 分析:開啟 - 管理員 通知:在產生第一個警示時傳送通知電子郵件給所有人 |
如果已設定測試人員風險設定, () | - 原則指標:Office 指標尚未設定 (您可以在內部風險管理設定中檢視) - 先前設定的所有其他設定不會更新或變更。 - 分析:在 (觸發原則中事件的閾值是 分析建議 所決定的預設設定) |
新的內部風險原則 | - 原則範本: 數據外洩 - 原則名稱:適用於測試人員風險管理的調適型保護原則 - 使用者和群組的原則範圍:所有使用者和群組 - 優先順序內容:無 - 觸發事件:選取的外泄事件 (您可以在內部風險管理設定中檢視) - 原則指標:您可以在內部風險管理設定中檢視 (Office 指標子集) - 風險分數提升器:活動超過用戶當天的一般活動 |
自適性保護測試人員風險層級 |
-
提高的風險層級:用戶必須至少有三個高嚴重性外泄序列 - 中等風險層級:用戶必須至少有兩個高嚴重性活動 (排除某些類型的下載) - 次要風險層級:用戶必須至少有一個高嚴重性活動 (排除某些類型的下載) |
兩個新的數據外洩防護原則 |
端點 DLP 的自適性保護原則 - 提高的風險層級 規則:已封鎖 - 溫和/次要風險層級 規則:稽核 - 原則會在測試模式中啟動, (僅稽核) 適用於 Teams 和 Exchange DLP 的自適性保護原則 - 提高的風險層級 規則:已封鎖 - 溫和/次要風險層級 規則:稽核 - 原則會在測試模式中啟動, (僅稽核) |
新的數據生命週期管理原則 | 全組織自動套用標籤原則,可監視指派 提高風險層級的使用者。 風險性用戶刪除的任何 SharePoint、OneDrive 或 Exchange Online 內容都會保留 120 天。 如果您尚未開啟 Adaptive Protection,當您開啟 Adaptive Protection 時,就會自動建立並套用原則。 如果您已經開啟調適型保護, 您必須明確地加入自動建立的數據生命週期管理 原則。 |
在僅限報表模式中建立的新條件式存取原則 (,因此不會封鎖使用者) |
1-封鎖具有測試人員風險 (預覽) 的使用者存取 - 包含的使用者:所有使用者 - 排除的來賓或外部使用者:B2bDirectConnect 使用者;OtherExternalUser;ServiceProvider - 雲端應用程式:Office 365 應用程式 - 測試人員風險層級: 提升許可權 - 封鎖存取:已選取 |
快速安裝程序啟動后,最多可能需要72小時的時間,才能完成分析、建立相關聯的內部風險管理、數據外洩防護、數據生命週期管理和條件式存取原則,而且您可以預期會看到調適型保護測試人員風險層級、數據外洩防護、數據生命週期管理,以及套用至適用用戶活動的條件式存取動作。 一旦快速安裝程式完成,系統管理員就會收到通知電子郵件。
自訂設定
自定義安裝選項可讓您自定義測試人員風險管理原則、內部風險層級,以及針對調適型保護設定的數據外洩防護和條件式存取原則。
注意事項
針對數據生命週期管理,如果您尚未開啟 Adaptive Protection,當您開啟 Adaptive Protection 時,就會自動建立並套用原則。 如果您已為組織開啟調適型保護,您必須 明確地選擇套用自動建立的數據生命週期管理原則 。
此選項也可讓您先設定這些專案,再實際啟用內部風險管理和數據外泄防護之間的調適型保護連線。 在大部分情況下,已備妥內部風險管理和/或數據外泄防護原則的組織應該使用此選項。
完成下列步驟,以使用自定義設定來設定 Adaptive Protection。
步驟 1:建立內部風險管理原則
當調適型保護中指派的原則偵測到用戶活動,或產生符合您在下一個步驟中定義之內部風險層級條件的警示時,會將測試人員風險層級指派給使用者。 如果您不想使用在步驟 2) 中選取的現有內部風險管理原則 (,您必須建立新的內部風險管理原則。 調適型保護的測試人員風險管理原則應該包括:
- 您想要偵測其活動的使用者。 這可以是您組織中的所有使用者和群組,或只是特定風險降低案例或測試用途的子集。
- 您認為會影響活動風險分數的風險和自定義閾值的活動。 有風險的活動可能包括傳送電子郵件給組織外部的人員,或將檔案複製到USB裝置。
選 取 [建立測試人員風險原則 ] 以啟動新的原則工作流程。 系統會在工作流程中自動選取 [數據外 泄] 原則範本,但您可以選取任何原則範本。
重要事項
根據選取的原則範本,您可能需要設定 原則的其他設定 ,以正確偵測潛在風險的活動,並建立適用的警示。
步驟 2:設定測試人員風險層級設定
選取 [ 測試人員風險層級] 索引 標籤。從選取您想要用於調適型保護的測試人員風險管理原則開始。 這可以是您在步驟 1 中建立的新原則,或是您已設定的現有原則或原則。
接下來,接受適用的內建內部風險層級條件,或建立您自己的測試人員風險層級條件。 視您選取的原則類型而定,內部風險層級條件會反映與您在原則中設定的指標和活動相關聯的適用條件。
例如,如果您已根據 數據外泄 原則範本選擇原則,則內建的內部風險層級條件選項會套用至該原則中可用的指標和活動。 如果您已根據 安全策略違規 原則範本選取原則,內建內部風險層級條件會自動限定在該原則中可用的指標和活動。
自定義原則的測試人員風險層級
針對您使用的入口網站選取適當的索引標籤。 視您的Microsoft 365 方案而定,Microsoft Purview 合規性入口網站 會淘汰或即將淘汰。
若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站。
移至 測試人員風險管理 解決方案。
選取左側導覽中的 [ 自適性保護 ],然後選取 [ 測試人員風險層級]。
在 [測試人員風險層級] 頁面上,針對您想要自定義 (提升許可權、中度或次要) 的測試人員風險層級選取 [編輯]。
在 [ 自定義測試人員風險層級 ] 窗格中,根據區段選取 [測試人員風險層級 ] 中的選項:
- 為用戶產生或確認警示
- 特定用戶活動
如果您選取 [ 為用戶產生或確認 的警示] 選項,請針對應使用此內部風險層級的使用者,選擇所產生或確認警示的嚴重性層級。 您可以保留所產生警示的嚴重性和已確認警示條件的嚴重性,或如果您只想要使用其中一個條件,請移除其中一個條件。 如果您需要重新新增其中一個條件,請選取 [ 新增條件],然後選取條件。 針對每個條件,選擇應該針對條件套用的嚴重性層級, (高、 中或 低) 。 如果符合 任何 條件,則會將內部風險層級指派給使用者。
如果您選取 [ 特定用戶活動 ] 選項,請選擇要偵測的活動、其嚴重性,以及過去活動偵測期間的每日發生次數。 您必須在偵測期間設定此內部風險層級的活動、活動嚴重性和活動發生次數。
針對 [活動 ] 條件,您可以選擇的選項會針對您使用相關聯原則中設定的指標所定義的活動類型自動更新。 如有需要,請選 取 [將此測試人員風險層級指派給已確認未來警示的任何使用者],即使不符合上述條件也一 併複選框。 如果 符合所有 條件,則會將測試人員風險層級指派給使用者。
針對 [活動嚴重性 條件],指定每日活動深入解析中包含之活動的嚴重性層級。 這些選項為 [高]、[ 中] 和 [ 低],並以風險分數範圍為基礎。
針對 [ 偵測期間的活動發生 次數] 條件,指定必須在指定的 [ 過去活動偵 測] 期間內偵測到所選活動的次數。 此數目與活動可能發生的事件數目無關。 例如,如果原則偵測到使用者在一天中從 SharePoint 下載了 20 個檔案,這會算作由 20 個事件組成的一個每日活動深入解析。
選取 [確認 ] 以套用自定義內部風險層級條件。
如果使用者在多個原則範圍內,則如何指派內部風險層級
如果使用者在多個原則的範圍內,如果使用者收到不同嚴重性層級的警示,預設會將接收到的最高嚴重性層級指派給使用者。 例如,如果使用者收到高嚴重性警示,請考慮指派 提升風險層級 的原則。 如果使用者收到來自原則 1 的低嚴重性警示、來自原則 2 的中度嚴重性警示,以及來自原則 3 的高嚴重性警示,則會將提升 的風險層級 指派給使用者,這是接收到的最高警示嚴重性層級。
請注意,測試人員風險層級條件必須存在於要偵測的選取原則中。 例如,如果您選取 [複製到USB ] 活動來指派 中等風險層級,但活動只在三個選取原則的其中一個中選取,則只有來自該原則的活動會為該活動指派 中等風險層級 。
步驟 3:建立或編輯數據外泄防護原則
接下來,建立新的數據外泄防護原則 (或編輯現有的原則) ,以限制符合調適型保護中內部風險層級條件之用戶的動作。 針對您的數據外泄防護原則設定,請使用下列指導方針:
- 您必須在數據外洩防護原則中包含 自適性保護的用戶內部風險層級 條件。 此數據外洩防護原則可視需要包含其他條件。
- 雖然您可以在數據外洩防護原則中包含其他位置,但調適型保護目前僅支援 Exchange、Microsoft Teams 和裝置。
選 取 [建立原則 ] 以啟動數據外泄防護原則工作流程,並建立新的數據外泄防護原則。 如果您有想要針對調適型保護設定的現有數據外泄防護原則,請移至合規性入口網站中的數據外洩防護>原則,然後選取您想要針對調適型保護更新的數據外洩防護原則。 如需如何設定新的數據外泄防護原則或更新調適型保護之現有數據外洩防護原則的指引,請參閱 了解數據外泄防護中的自適性保護:手動設定。
提示
建議您使用原則提示) 來測試數據外泄防護原則 (,讓您可以檢閱數據外泄防護警示,以確認原則是否如預期般運作,再啟用調適型保護。
步驟 4:建立或編輯條件式存取原則
接下來,建立新的條件式存取原則 (或編輯現有的原則) ,以限制符合調適型保護中測試人員風險層級條件的使用者採取的動作。 針對條件式存取原則設定,請使用下列指導方針:
- 在 [條件式存取] 頁面上,根據來自條件的訊號來控制存取權,將 [測試人員風險 條件] 設定為 [ 是],然後選取 [提升權 限]、[ 中度] 或 [ 次要 ]) (測試人員風險層級。 這是用戶必須具備的內部風險層級,才能強制執行原則。
選 取 [建立原則 ] 以啟動條件式存取原則工作流程,並建立新的條件式存取原則。 如果您有想要針對調適型保護設定的現有條件式存取原則,請移至 Microsoft Entra 系統管理中心 中的 [保護>條件式存取],然後選取您想要針對調適型保護更新的條件式存取原則。 如需如何設定新的條件式存取原則或更新調適型保護之現有條件式存取原則的指引,請參閱 常見的條件式存取原則:內部風險型原則。
步驟 5:開啟調適型保護
完成所有先前的步驟之後,您就可以開始啟用調適型保護。 當您開啟調適型保護時:
- 測試人員風險管理原則會開始尋找符合測試人員風險層級條件的用戶活動。 如果偵測到,內部風險層級會指派給使用者。
- 獲指派內部風險層級的使用者會出現在調適型保護的 [ 使用者指派的內部風險層級 ] 索引標籤上。
- 數據外洩防護原則會針對指派給數據外泄防護原則中包含之內部風險層級的任何使用者套用保護動作。 數據外洩防護原則會新增至調適型保護中的 [數據外泄防護] 索引標籤。 您可以檢視數據外泄防護原則的詳細數據,並從儀錶板編輯原則條件。
- 自動建立的數據生命週期管理原則會對指派給 提升風險層級的任何使用者套用保護動作。 下列訊息會在 [ 調適型保護 ] 索引卷標上顯示綠色背景,讓使用者知道正在套用主動式數據保留:「您的組織也會受到動態保護,以防止可能刪除重要數據的使用者。」訊息也會提供數據生命週期管理設定的連結,您可以視需要關閉主動式數據保留功能。
- 條件式存取原則會針對指派給條件式存取原則中包含之內部風險層級的任何使用者套用保護動作。 條件式存取原則會新增至調適型保護中的 [條件式存取原則] 索引卷標。 您可以檢視條件式存取原則的詳細數據,並從儀錶板編輯原則條件。
若要啟用調適型保護,請選取 [ 調適型保護設定] 索引 標籤,然後將 [調適型保護 ] 變成 [ 開啟]。 最多可能需要 36 小時,您才能看到套用至適用用戶活動的自適性保護內部風險層級和數據外洩防護、數據生命週期管理和條件式存取動作。
觀看 Microsoft Mechanics 頻道的下列影片, 瞭解 Adaptive Protection 如何根據使用者的計算數據安全性測試人員風險層級,自動調整數據保護的強度。
管理自適性保護
一旦您啟用調適型保護,並設定測試人員風險管理、數據外洩防護和條件式存取原則,您就可以存取目前範圍內的原則計量、目前範圍內使用者和內部風險層級的相關信息。
注意事項
目前,數據生命週期管理計量不會出現在儀錶板上。 但是,如果您在 [ 調適型保護 ] 索引標籤上看到下列訊息,您將會知道主動式數據保留是否已開啟:「您的組織也會受到動態保護,以防止可能刪除重要數據的使用者。」
儀表板
完成快速或自定義設定程式之後,調適型保護中的 [儀錶板] 索引標籤會顯示小工具,以取得使用者內部風險層級、條件式存取原則和數據外泄防護原則的摘要資訊。
- 使用者指派的測試人員風險層級:顯示每個內部風險層級 (提升、 中度和 次要) 的用戶數目。
- 使用內部風險層級的原則:顯示原則 (未啟動 或 完成) 、原則類型 (條件式存取 或 數據外泄防護) ,以及每種原則類型的已設定原則數目。 如果尚未設定原則類型,請選取 [ 快速設定 ] 來設定原則。
使用者指派的測試人員風險層級
已在調適型保護中指派測試人員風險層級的使用者會出現在 [ 使用者指派的內部風險層級 ] 索引標籤上。您可以檢閱每個使用者的下列資訊:
使用者:清單 用戶名稱。 針對數據外洩防護原則,如果在測試人員風險管理設定中選取 [ 顯示匿名版本的使用者名稱 ] 選項,您會看到匿名的用戶名稱。 對於條件式存取原則,即使已選取 [ 顯示匿名版本的使用者名稱 ] 設定,用戶名稱也不會匿名。
重要事項
若要維護引用完整性,如果開啟) ,則用戶名稱的匿名 (不會針對具有警示或活動的調適型保護使用者保留在內部風險管理外部。 實際使用者名稱會出現在相關的數據外洩防護警示和活動總管中。
測試人員風險層級:指派給使用者的目前內部風險層級。
指派給使用者:指派測試人員風險層級之後,經過的天數或月數。
測試人員風險層級重設:用戶的內部風險層級自動重設之前的天數。
若要手動重設使用者的測試人員風險層級,請選取使用者,然後選取 [ 到期]。 此使用者將不再獲指派測試人員風險層級。 不會移除此使用者的現有警示或案例。 如果此使用者包含在選取的測試人員風險管理原則中,如果偵測到觸發事件,則會再次指派測試人員風險層級。
作用中警示:使用者目前內部風險管理警示的數目。
確認為違規的案例:使用者的已確認案例數目。
案例:案例的名稱。
如有需要,您可以依 測試人員風險層級來篩選使用者。
若要檢視特定使用者的詳細測試人員風險和調適型保護資訊,請選取使用者以開啟使用者詳細數據窗格。 詳細數據窗格包含三個索引標籤: [使用者配置檔]、[ 用戶活動] 和 [ 自適性保護摘要]。 如需 [使用者配置檔 ] 和 [ 用戶活動 ] 索引標籤的相關信息,請參 閱檢視使用者詳細數據。
[ 自適性保護摘要 ] 索引卷標會匯總四個區段中的資訊:
- 自適性保護:本節會顯示使用者目前 風險層級、 指派的風險層級,以及 風險層級重設 的相關信息。
- 動態) 範圍中的數據外泄防護原則 (:本節會顯示目前使用者範圍內的所有數據外泄防護原則,以及原則的開始和結束日期。 這是以用戶的內部風險層級和內部風險層級的數據外泄防護原則設定為基礎。 例如,如果使用者的活動已定義為內部風險管理原則 的提升風險層級 ,而且有兩個數據外泄防護原則是使用 提高的風險層級 條件來設定,則這兩個數據外泄防護原則會顯示在這裡供使用者使用。
- 動態存取範圍中的條件式存取原則 (動態) :本節會顯示目前使用者範圍內的所有條件式存取原則,以及原則的開始和結束日期。 這是以用戶的內部風險層級和內部風險層級的條件式存取原則設定為基礎。 例如,如果使用者的活動已定義為內部風險管理原則的提升 風險層級 ,且條件式存取原則是使用 提高的風險層級 條件來設定,則條件式存取原則會顯示在這裡供使用者使用。
- 自適性保護的測試人員風險原則:本節會顯示使用者目前在範圍內的任何內部風險管理原則。
條件式存取原則
[ 條件式存取 原則] 頁面會顯示使用 測試人員風險 條件的所有條件式存取原則。 您可以檢閱每個原則的下列資訊:
- 原則名稱:條件式存取原則的名稱。
- 原則狀態:原則的目前狀態。 值為 [作用 中] 或 [非使用中]。
- 測試人員風險層級:使用測試人員風險條件,包含在條件式存取原則中的 內部風險 層級。 選項為 [提升許可權]、[ 中度] 或 [ 次要]。
- 原則狀態:條件式存取原則的目前狀態。 選項為 [ 開啟 ] 或 [ 使用通知進行測試]。
- 建立日期:建立條件式存取原則的日期。
- 上次修改日期:上次編輯條件式原則的日期。
資料外洩防護原則
[ 數據外泄防護原則 ] 頁面會顯示使用 使用者的測試人員風險層級進行調適型保護 條件的所有數據外泄防護原則。 您可以檢閱每個原則的下列資訊:
- 原則名稱:數據外洩防護原則的名稱。
- 原則狀態:原則的目前狀態。 值為 [作用 中] 或 [非使用中]。
- 原則位置:數據外泄防護原則中包含 的位置 。 目前,Adaptive Protection 支援 Exchange、Teams 和裝置。
- 測試人員風險層級:使用調 適型保護的測試人員風險層級 ,納入數據外泄防護原則中的內部風險層級是條件。 選項為 [提升許可權]、[ 中度] 或 [ 次要]。
- 原則狀態:數據外洩防護原則的目前狀態。 選項為 [ 開啟 ] 或 [ 使用通知進行測試]。
- 建立日期:建立數據外泄防護原則的日期。
- 上次修改日期:上次編輯數據外泄防護原則的日期。
調整您的測試人員風險層級設定
您可能會在檢閱內部風險層級的用戶之後發現,您有太多或太少的使用者被指派內部風險層級。 您可以使用兩種方法來調整原則設定,以減少或增加獲指派內部風險層級的用戶數目:
-
修改內部風險層級設定。 您可以調整閾值,將測試人員風險層級指派給使用者:
- 增加或減少指派內部風險層級所需的活動嚴重性。 例如,如果您看到具有內部風險層級的使用者太少,您可以降低活動或警示嚴重性。
- 如果測試人員風險層級是以特定用戶活動為基礎,請在偵測期間增加或減少活動發生次數。 例如,如果您看到具有內部風險層級的使用者太少,您可以減少活動發生次數。
- 變更內部風險層級的基礎。 例如,如果您看到太多具有內部風險層級的使用者,若要減少用戶數目,您只能在確認警示時指派測試人員風險層級。
- 修改原則閾值。 由於內部風險層級是根據原則偵測來指派,因此您也可以修改原則,進而變更需求以指派測試人員風險層級。 您可以藉由增加或減少導致高/中/低嚴重性活動和警示的原則閾值來修改原則。
停用調適型保護
在某些情況下,您可能需要暫時停用 Adaptive Protection。 若要停用調適型保護,請選取 [ 調適型保護設定] 索引 標籤,然後將 [ 調適型保護 ] 設為 [關閉]。
如果在開啟並啟用之後關閉調適型保護,內部風險層級將停止指派給使用者,並與數據外泄防護、數據生命週期管理和條件式存取共用,而且會重設使用者的所有現有內部風險層級。 關閉調適型保護之後,最多可能需要 6 小時才能停止將內部風險層級指派給用戶活動,並全部重設。 不會自動刪除內部風險管理、數據外泄防護、數據生命週期管理和條件式存取原則。
注意事項
您可以關閉數據生命週期管理中的數據生命週期管理中的調 適型保護 設定,以退出數據生命週期管理保護,而不需要停用測試人員風險管理調適型保護。 如果您關閉此設定,則會刪除資料生命週期管理原則。 除非您重新開啟設定,否則不會再次啟用此設定。 深入了解 數據生命週期管理中的自適性保護 設定