文件指紋

文件指紋是一種Microsoft Purview 功能，採用您提供的標準表單，並根據該窗體 (SIT) 建立敏感性資訊類型。 文件指紋可讓您藉由識別整個組織使用的標準表單，更輕鬆地保護敏感性資訊。 本文說明文件指紋背後的概念，以及如何使用使用者介面或使用PowerShell建立文件指紋。

檔案指紋包含下列優點：

• 從文件指紋建立的 SIT 可作為 DLP 原則中的偵測方法，範圍為 Exchange、SharePoint、OneDrive、Teams 和裝置。
• MIP 自動套用標籤 可以使用文件指紋作為 Exchange、SharePoint 和 OneDrive 中的偵測方法。
• 文件指紋功能可以透過 Microsoft Purview 使用者介面來管理。
• 支援部分比對。
• 支援完全比對。
• 改善偵測精確度
• 支援多種語言的偵測，包括中文、日文和韓文等雙位元組語言。

重要事項

如果您是 E5 客戶，建議您更新現有的指紋，以利用完整的文件指紋功能集。 如果您是 E3 客戶，建議您升級至 E5 授權。 如果您選擇不這麼做，您將無法修改現有的指紋，或在 2023 年 4 月之後建立新的指紋。

檔指紋的基本案例

如前所述，文件指紋功能會將標準形式的信息轉換成敏感性資訊類型 (SIT) ，您可以在 DLP 原則的規則中使用。 例如，您可以根據空白專利範本建立文件指紋，然後再建立 DLP 原則，以偵測及封鎖所有填入敏感內容的傳出專利範本。 您可以選擇性地設定 原則提示 ，通知寄件者可能正在傳送敏感性資訊，而且發件者應該確認收件者符合獲得專利的資格。 此程序適用於您的組織中所使用的任何文字型表單。 您可以上傳的其他表單範例包括：

• 政府表單
• 1996 年健康保險流通與責任法案 (HIPAA) 符合性表單
• 人力資源部門的員工資訊表單
• 特別為您的組織建立的自訂表單

在理想情況下，您的組織應已建立使用特定表單來傳輸敏感資訊的商業實務準則。 若要啟用偵測，請上傳要轉換成檔指紋的空白表單。 接下來，設定對應的原則。 完成這些步驟之後，DLP 會偵測輸出郵件中符合該指紋的任何檔。

如需有關設計 DLP 原則的詳細資訊，請 參閱設計數據外洩防護原則。

如需建立和部署 DLP 原則的詳細資訊，請參閱 建立和部署數據外洩防護原則。

檔指紋的運作方式

您知道檔沒有實際的指紋，但名稱有助於說明此功能。 以一個人的指紋具有唯一模式的相同方式，常用的窗體 (範本) 可以有其唯一的單字模式。 您可以使用以此模式為基礎的 SIT 來偵測使用相同範本建立的檔案。 這就是為什麼上傳表單或範本會建立最有效類型的文件指紋。 填寫表單的每個人都會使用相同的原始單字集，然後將自己的單字新增至檔。 要掃描的文件無法受到密碼保護，而且必須包含原始表單中的所有文字。

專利範本包含空白字位 專利標題、 清查者和 描述，以及這些欄位的描述， 即文字模式。 當您上傳原始專利範本時，它位於其中一個支援的檔類型和純文字中。 MIcrosoft Purview 會將此文字模式轉換成文件指紋，這是一個小型的 Unicode XML 檔案，其中包含代表原始文字的唯一哈希值。 作為安全性措施，原始檔本身不會儲存;只會儲存哈希值。 無法從哈希值重新建構原始檔。 專利指紋是在 SIT 中表示，您可以在 DLP 原則中做為條件使用。

例如，如果您設定的 DLP 原則可防止一般員工傳送包含專利的外寄訊息，DLP 會使用專利指紋 SIT 來偵測專利並封鎖這些電子郵件。 或者，您可能想要讓法務部門能夠將專利傳送給其他組織，因為它有執行這項作業的商務需求。 若要允許特定部門傳送敏感性資訊，請在 DLP 原則中為這些部門建立例外狀況。 或者，您可以允許他們以商業理由覆寫原則提示。

重要事項

內嵌檔中的文字不會被視為指紋建立。 您必須提供不包含內嵌檔的範例範本檔案。

文件指紋的限制

在下列情況下，文件指紋不會偵測敏感性資訊：

• 檔案受密碼保護
• 僅包含影像的檔案
• 文件未包含原始表單中所有用來建立文件指紋的文字
• 大於 4 MB 的檔案

注意事項

若要搭配裝置使用檔指紋，必須開啟 進階分類掃描和保護 。

指紋會儲存在不同的規則套件中。 此規則套件的大小上限為 150 KB。 根據此限制，您可以為每個租使用者建立大約50個指紋。

注意事項

用來建立指紋的範本應該至少有 4,096 個字元。 指紋範本支援的擷取文字長度必須介於 4,096 到 204,800 個字元之間。

下列範例顯示如果您根據專利範本建立文件指紋，會發生什麼情況。 不過，您可以使用任何表單作為建立文件指紋的基礎。

範例：建立符合專利範本之文件指紋的專利檔

針對您使用的入口網站選取適當的索引標籤。 視您的Microsoft 365 方案而定，Microsoft Purview 合規性入口網站 即將淘汰或即將淘汰。

若要深入瞭解 Microsoft Purview 入口網站，請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站，請參閱 Microsoft Purview 合規性入口網站。

Microsoft Purview 入口網站

1. 在 Microsoft Purview 入口網站中，流覽至 [資料外泄防護] 或 [資訊保護>機密>資訊類型]。
2. 在 [ 敏感性資訊類型] 頁面上，選擇 [ + 建立指紋型 SIT]。
3. 輸入新 SIT 的名稱和描述。
4. 上傳您想要用來作為指紋範本的檔案。
5. 選擇性：調整每個信賴等級的需求。 (如需詳細資訊，請參閱 部分比對 和 精確比對。)
6. 選擇 [下一步]。
7. 檢閱您的設定，然後選擇 [ 建立]。
8. 當確認頁面顯示時，選擇 [ 完成]。

合規性入口網站

1. 在合規性入口網站中，選取 [ 數據分類] ，然後選擇 [ 分類器]。
2. 在 [ 分類器] 頁面上，選擇 [ 敏感性資訊類型>][建立指紋型 SIT]。
3. 輸入新 SIT 的名稱和描述。
4. 上傳您想要用來作為指紋範本的檔案。
5. 選擇性：調整每個信賴等級的需求。 (如需詳細資訊，請參閱 部分比對 和 精確比對。)
6. 選擇 [下一步]。
7. 檢閱您的設定 [ >建立]。
8. 當確認頁面顯示時，選擇 [ 完成]。

符合專利範本之文件指紋的專利檔PowerShell範例

>> $Patent_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\patent.docx'))

>> New-DlpSensitiveInformationType -Name "Patent SIT" -FileData $Patent_Form  -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Contoso Patent Template"

部分比對

若要設定文件指紋的部分比對，當您在範本上傳期間設定組態選項時，請設定信賴等級、選擇 [低]、[ 中] 或 [ 高]，並指定檔案中必須符合指紋的文字數量，百分比介於 30% 到 90%。

高信賴度層級會傳回最少的誤判，但可能會導致更多誤判。 低或中度信賴等級會傳回更多誤判，但誤判為零。

• 低信賴度：相符的專案包含最少的誤判，但誤判為真數最高。 低信賴度會傳回所有低、中和高信賴度相符專案。
• 中度信賴度：相符的專案包含平均誤判和誤判。 中度信賴會傳回所有中度和高信賴度相符專案。
• 高信賴度：相符的專案包含最少的誤判，但誤判為真。

完全比對

若要設定文件指紋的完全比對，請選取 [精確 ] 作為高信賴度層級的值。 當您將高信賴度設定為 [精確] 時，只會偵測到文字與指紋完全相同的檔案。 如果檔案甚至與指紋有小的偏差，則不會偵測到。

已經在使用指紋 SIT 嗎？

您現有的指紋和這些指紋的原則/規則應該會繼續運作。 如果您不想要使用最新的指紋功能，則不需要執行任何動作。

如果您有 E5 授權，而且想要使用最新的指紋功能，您有 2 個選擇：

• 建立新的指紋。
• 將原則移轉 至較新版本。

注意事項

不支援使用已經存在指紋的範本建立新的指紋。

使用 PowerShell 根據文件指紋建立自定義敏感性資訊類型

目前，您只能在 安全性 & 合規性 PowerShell 中建立文件指紋。

若要根據文件指紋建立自定義 SIT，請使用 New-DlpSensitiveInformationType Cmdlet。 下列範例會根據 C：\My Documents\Contoso Customer Form.docx 檔案，建立名為 “Contoso Customer Confidential” 的新文件指紋。

$Employee_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Customer Form.docx'))

New-DlpSensitiveInformationType -Name "Contoso Customer Confidential" -FileData $Employee_Form -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Message contains Contoso customer information."

最後，將「Contoso 客戶機密」敏感性資訊類型新增至 Microsoft Purview 合規性入口網站 中的 DLP 原則。 本範例會將規則新增至名為 「ConfidentialPolicy」 的現有 DLP 原則。

New-DlpComplianceRule -Name "ContosoConfidentialRule" -Policy "ConfidentialPolicy" -ContentContainsSensitiveInformation @{Name="Contoso Customer Confidential"} -BlockAccess $True

您也可以在 Exchange 的郵件流程規則中使用指紋 SIT，如下列範例所示。 若要執行此命令，您必須先連線到 Exchange PowerShell。 另請注意，SIT 需要一些時間才能與 Exchange 系統管理中心同步。

New-TransportRule -Name "Notify :External Recipient Contoso confidential" -NotifySender NotifyOnly -Mode Enforce -SentToScope NotInOrganization -MessageContainsDataClassification @{Name=" Contoso Customer Confidential"}

DLP 現在可以偵測符合 Contoso Customer Form.docx 文件指紋的檔。

如需語法和參數資訊，請參閱：

• New-DlpFingerprint
• New-DlpSensitiveInformationType
• Remove-DlpSensitiveInformationType
• Set-DlpSensitiveInformationType
• Get-DlpSensitiveInformationType

編輯、測試或刪除檔指紋

若要在 Microsoft Purview 入口網站中執行此動作，請開啟您要編輯、測試或刪除的指紋 SIT，然後選擇適當的圖示。

若要透過PowerShell執行此動作，請執行下列命令：

編輯文件指紋

>> Set-DlpSensitiveInformationType -Name "Fingerprint SIT" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"

測試文件指紋

>> $r = Test-DataClassification -TextToClassify "Credit card information Visa: 4485 3647 3952 7352. Patient Identifier or SSN: 452-12-1232"
>> $r.ClassificationResults

刪除檔案指紋

>> Remove-DlpSensitiveInformationType "Fingerprint SIT"

透過 Microsoft Purview 入口網站將現有的指紋 SIT 移轉至

1. 開啟 Microsoft Purview 入口網站 >資訊保護>類別>信息類型。
2. 開啟包含您要移轉之指紋的 SIT。
3. 選擇 [編輯]。
4. 再次上傳相同的指紋檔案。
5. 檢閱指紋設定 >完成。

使用 PowerShell 移轉指紋

輸入下列命令：

Set-DlpSensitiveInformationType -Name "Old Fingerprint" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"