文件指紋
檔指紋是 Microsoft Purview 資料外洩防護 (DLP) 功能,可將標準表單轉換成敏感性資訊類型 (SIT) ,您可以在 DLP 原則的規則中使用。
文件指紋可讓您藉由識別整個組織使用的標準表單,更輕鬆地保護敏感性資訊。 本文說明文件指紋背後的概念,以及如何使用使用者介面或使用PowerShell建立文件指紋。
檔案指紋包含下列優點:
- DLP 可以在 Exchange、SharePoint、OneDrive、Teams 和裝置中使用文件指紋作為偵測方法。
- 文件指紋功能可以透過 Microsoft Purview 使用者介面來管理。
- 支援部分比對。
- 支援完全比對。
- 改善偵測精確度
- 支援多種語言的偵測,包括中文、日文和韓文等雙位元組語言。
重要事項
如果您是 E5 客戶,建議您更新現有的指紋,以利用完整的文件指紋功能集。 如果您是 E3 客戶,建議您升級至 E5 授權。 如果您選擇不這麼做,您將無法修改現有的指紋,或在 2023 年 4 月之後建立新的指紋。
檔指紋的基本案例
如前所述,文件指紋功能會將標準形式的信息轉換成敏感性資訊類型 (SIT) ,您可以在 DLP 原則的規則中使用。 例如,您可以根據空白專利範本建立文件指紋,然後再建立 DLP 原則,以偵測及封鎖所有填入敏感內容的傳出專利範本。 您可以選擇性地設定 原則提示 ,通知寄件者可能正在傳送敏感性資訊,而且發件者應該確認收件者符合獲得專利的資格。 此程序適用於您的組織中所使用的任何文字型表單。 您可以上傳的其他表單範例包括:
- 政府表單
- 1996 年健康保險流通與責任法案 (HIPAA) 符合性表單
- 人力資源部門的員工資訊表單
- 特別為您的組織建立的自訂表單
在理想情況下,您的組織應已建立使用特定表單來傳輸敏感資訊的商業實務準則。 若要啟用偵測,請上傳要轉換成檔指紋的空白表單。 接下來,設定對應的原則。 完成這些步驟之後,DLP 會偵測輸出郵件中符合該指紋的任何檔。
檔指紋的運作方式
您可能知道檔沒有實際的指紋,但名稱有助於說明此功能。 與人員指紋具有唯一模式的方式相同,檔具有唯一的文字模式。 當您上傳檔案時,DLP 會識別檔中的唯一文字模式、根據該模式建立文件指紋,並使用該文件指紋來偵測包含相同模式的輸出檔。 這就是為什麼上傳表單或範本會建立最有效類型的文件指紋。 填寫表單的每個人都會使用相同的原始單字集,然後將自己的單字新增至檔。 如果輸出檔未受到密碼保護,且包含原始表單中的所有文字,DLP 可以判斷檔是否符合文件指紋。
專利範本包含空白字位 專利標題、 清查者和 描述,以及這些欄位的描述, 即文字模式。 當您上傳原始專利範本時,它位於其中一個支援的檔類型和純文字中。 DLP 會將此字模式轉換成文件指紋,這是包含代表原始文字之唯一哈希值的小型 Unicode XML 檔案。 指紋會儲存為 Active Directory 中的數據分類。 (作為安全性措施,原始檔本身不會儲存在服務上;只會儲存哈希值。原始文件無法從哈希值重新建構。) 專利指紋接著會變成您可以與 DLP 原則相關聯的 SIT。 將指紋與 DLP 原則建立關聯之後,DLP 會偵測任何包含符合專利指紋之內容的輸出電子郵件,並根據貴組織的原則來處理。
例如,如果您設定的 DLP 原則可防止一般員工傳送包含專利的外寄訊息,DLP 會使用專利指紋來偵測專利並封鎖這些電子郵件。 或者,您可能想要讓法務部門能夠將專利傳送給其他組織,因為它有執行這項作業的商務需求。 若要允許特定部門傳送敏感性資訊,請在 DLP 原則中為這些部門建立例外狀況。 或者,您可以允許他們以商業理由覆寫原則提示。
重要事項
內嵌檔中的文字不會被視為指紋建立。 您必須提供不包含內嵌檔的範例範本檔案。
支援的檔案類型
文件指紋支援郵件流程規則中所支援的相同檔類型, (也稱為傳輸規則) 。 如需支援的檔案類型清單,請參閱 郵件流程規則內容檢查的支援檔案類型。 關於文件類型的一個快速注意事項:郵件流程規則或文件指紋都不支援 .dotx 檔案類型,這是Microsoft Word 中的範本檔案。 當您在此和其他文件指紋文章中看到「範本」一詞時,它會參考您建立為標準表單的檔,而不是範本檔類型。
文件指紋的限制
在下列情況下,文件指紋不會偵測敏感性資訊:
- 檔案受密碼保護
- 僅包含影像的檔案
- 文件未包含原始表單中所有用來建立文件指紋的文字
- 大於 4 MB 的檔案
注意事項
若要搭配裝置使用檔指紋,必須開啟 進階分類掃描和保護 。
指紋會儲存在不同的規則套件中。 此規則套件的大小上限為 1 至 150 KB。 根據此限制,您可以為每個租使用者建立大約50個指紋。
注意事項
用來建立指紋的範本應該至少有 4,096 個字元。 指紋範本支援的擷取文字長度必須介於 4,096 到 204,800 個字元之間。
下列範例顯示如果您根據專利範本建立文件指紋,會發生什麼情況。 不過,您可以使用任何表單作為建立文件指紋的基礎。
範例:建立符合專利範本之文件指紋的專利檔
針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
符合專利範本之文件指紋的專利檔PowerShell範例
>> $Patent_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\patent.docx'))
>> New-DlpSensitiveInformationType -Name "Patent SIT" -FileData $Patent_Form -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Contoso Patent Template"
部分比對
若要設定文件指紋的部分比對,當您設定信賴等級時,請選擇 [低]、[ 中] 或 [ 高],並根據介於 30% - 90% 之間的百分比,指定檔案中的文字必須符合指紋的程度。
高信賴度層級會傳回最少的誤判,但可能會導致更多誤判。 低或中度信賴等級會傳回更多誤判,但誤判為零。
- 低信賴度:相符的專案包含最少的誤判,但誤判為真數最高。 低信賴度會傳回所有低、中和高信賴度相符專案。
- 中度信賴度:相符的專案包含平均誤判和誤判。 中度信賴會傳回所有中度和高信賴度相符專案。
- 高信賴度:相符的專案包含最少的誤判,但誤判為真。
完全比對
若要設定文件指紋的完全比對,請選取 [精確 ] 作為高信賴度層級的值。 當您將高信賴度設定為 [精確] 時,只會偵測到文字與指紋完全相同的檔案。 如果檔案甚至與指紋有小的偏差,則不會偵測到。
已經在使用指紋 SIT 嗎?
您現有的指紋和這些指紋的原則/規則應該會繼續運作。 如果您不想要使用最新的指紋功能,則不需要執行任何動作。
如果您有 E5 授權,而且想要使用最新的指紋功能,您有 2 個選擇:
- 建立新的指紋。
- 將原則移轉 至較新版本。
注意事項
不支援使用已經存在指紋的範本建立新的指紋。
使用 Microsoft Purview 建立使用指紋 SIT 的新原則
針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請 參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站。
- 在 Microsoft Purview 合規性入口網站 中,流覽至 [數據外泄防護>原則],然後選擇 [+ 建立原則]。
- 針對 [ 類別 ] 選 取 [自定義 ],然後針對 [法規 ] 選取 [自定義原則]。
- 選擇 [下一步]。
- 為您的原則命名,並提供下一步的描述>。
- 在 [ 指派系統管理單位] 頁面上,選擇 [ 下一步]。
- 選取您要套用原則的位置,然後選擇 [ 下一步]。
- 在 [ 定義原則設定 ] 頁面上,選取 [建立或自定義進階 DLP 規則 ],然後選擇 [ 下一步]。
- 選 取 [+ 建立規則]。
- 為您的規則提供名稱和描述。
- 在 [ 條件] 下 ,選擇 [新增內容包含的條件>]。
- 為新的一組 DLP 規則提供組 名>[新增>敏感性資訊類型]。
- 搜尋並選取指紋 SIT >Add 的名稱。
- 請完成規則建立工具的其餘部分,以設定您的規則。
- 選擇 [儲存]。
- 選擇 [下一步]。
- 選擇 [在模擬模式中執行原則] ,然後選擇 [ 下一步]。
- 選擇 [提交 ],然後選擇 [ 完成]。
使用 PowerShell 根據文件指紋建立自定義敏感性資訊類型
目前,您只能在 安全性 & 合規性 PowerShell 中建立文件指紋。
DLP 會使用敏感性資訊類型 (SIT) 來偵測敏感性內容。 若要根據文件指紋建立自定義 SIT,請使用 New-DlpSensitiveInformationType Cmdlet。 下列範例會根據 C:\My Documents\Contoso Customer Form.docx 檔案,建立名為 “Contoso Customer Confidential” 的新文件指紋。
$Employee_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Customer Form.docx'))
New-DlpSensitiveInformationType -Name "Contoso Customer Confidential" -FileData $Employee_Form -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Message contains Contoso customer information."
最後,將「Contoso 客戶機密」敏感性資訊類型新增至 Microsoft Purview 合規性入口網站 中的 DLP 原則。 本範例會將規則新增至名為 「ConfidentialPolicy」 的現有 DLP 原則。
New-DlpComplianceRule -Name "ContosoConfidentialRule" -Policy "ConfidentialPolicy" -ContentContainsSensitiveInformation @{Name="Contoso Customer Confidential"} -BlockAccess $True
您也可以在 Exchange 的郵件流程規則中使用指紋 SIT,如下列範例所示。 若要執行此命令,您必須先連線到 Exchange PowerShell。 另請注意,SIT 需要一些時間才能與 Exchange 系統管理中心同步。
New-TransportRule -Name "Notify :External Recipient Contoso confidential" -NotifySender NotifyOnly -Mode Enforce -SentToScope NotInOrganization -MessageContainsDataClassification @{Name=" Contoso Customer Confidential"}
DLP 現在會偵測符合 Contoso Customer Form.docx 文件指紋的檔。
如需語法和參數資訊,請參閱:
- New-DlpFingerprint
- New-DlpSensitiveInformationType
- Remove-DlpSensitiveInformationType
- Set-DlpSensitiveInformationType
- Get-DlpSensitiveInformationType
編輯、測試或刪除檔指紋
若要透過使用者介面執行此動作,請開啟您要編輯、測試或刪除的指紋 SIT,然後選擇適當的圖示。
若要透過PowerShell執行此動作,請執行下列命令:
編輯文件指紋
>> Set-DlpSensitiveInformationType -Name "Fingerprint SIT" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"
測試文件指紋
>> $r = Test-DataClassification -TextToClassify "Credit card information Visa: 4485 3647 3952 7352. Patient Identifier or SSN: 452-12-1232"
>> $r.ClassificationResults
刪除檔案指紋
>> Remove-DlpSensitiveInformationType "Fingerprint SIT"
透過使用者介面使用指紋 SIT 移轉新的原則
- 流覽至 [數據分類>分類器]>[敏感性資訊類型]。
- 開啟包含您要移轉之指紋的 SIT。
- 選擇 [編輯]。
- 再次上傳相同的指紋檔案。
- 檢閱指紋設定 >完成。
使用 PowerShell 移轉指紋
輸入下列命令:
Set-DlpSensitiveInformationType -Name "Old Fingerprint" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"