可以使用Microsoft Purview 数据丢失防护 (DLP) 策略跨Office 365识别、监视和保护敏感信息。 你希望组织中处理此敏感信息的人员符合 DLP 策略,但不希望不必要地阻止他们完成工作。 这是电子邮件通知和策略提示可以提供帮助的情况。
创建 DLP 策略时,可以将用户通知配置为:
向所选描述问题的人员发送电子邮件通知。
显示与 DLP 策略冲突的内容的策略提示:
对于Outlook 网页版和 Outlook 2013 及更高版本,撰写邮件时,策略提示显示在收件人上方的邮件顶部。
对于 OneDrive 帐户或 SharePoint 网站中的文档,策略提示显示为项目上显示的警告图标。 若要查看详细信息,可以选择一个项目,然后选择页面右上角的
,打开详细信息窗格。对于存储在 Dlp 策略范围内的 OneDrive 网站或 SharePoint 网站上的 Excel、PowerPoint 和 Word 文档,策略提示将显示在消息栏和 Backstage 视图 (“文件”菜单>信息) 。
提示
开始使用智能 Microsoft Security Copilot 副驾驶®,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的智能 Microsoft Security Copilot 副驾驶®。
注意
发送通知电子邮件时未受保护。
用于配置电子邮件通知的选项
对于 DLP 策略中的每个规则,您可以:
将通知发送给您选择的人员。 这些人员可以包含内容的所有者、最后一次修改内容的人员、存储内容的网站所有者或特定用户。
使用 HTML 或令牌自定义通知中包含的文本。 有关详细信息,请参阅下面的部分。
注意
- 只能将电子邮件通知发送给单个收件人,而不能发送到组或通讯组列表。
- 只有新内容会触发电子邮件通知。 编辑现有内容会触发策略提示,但不电子邮件通知。
- 外部发件人仅接收模板化通知,而不接收完整详细信息,以防止意外丢失有关策略配置的信息。
默认电子邮件通知
通知的 “主题” 行以所执行的作开头,例如 Notification、 Message Blocked 电子邮件或 Access Blocked 文档。 如果通知是关于文档的,则通知消息正文包含一个链接。 该链接将你带到存储文档的网站,并打开文档的策略提示,你可以在其中解决任何问题。 如果通知是关于邮件的,则通知包含与 DLP 策略匹配的邮件作为附件。
默认情况下,通知显示类似于网站上以下项的文本。 为每个规则单独配置通知文本,因此显示的文本因匹配的规则而异。
| 如果 DLP 策略规则执行此作... | 然后,SharePoint 或 OneDrive 文档的默认通知显示这一点... | 然后 Outlook 邮件的默认通知显示这一点... |
|---|---|---|
| 发送通知但不允许替代 | 此项与您的组织中的策略相冲突。 | 电子邮件与组织中的策略冲突。 |
| 阻止访问,发送通知,并允许重写 | 此项与您的组织中的策略相冲突。 如果不解决此冲突,可能会阻止访问此文件。 | 电子邮件与组织中的策略冲突。 邮件未传递到所有收件人。 |
| 阻止访问,并向发送通知 | 此项与您的组织中的策略相冲突。 除项目所有者、上次修饰符和主站点管理员外,其他人将阻止访问该项目。 | 电子邮件与组织中的策略冲突。 邮件未传递到所有收件人。 |
自定义电子邮件通知
可以为每个规则的最终用户电子邮件通知创建自定义电子邮件通知模板。 然后发送它,而不是发送默认电子邮件通知。 此选项适用于作用域为 Exchange、SharePoint 和 OneDrive 位置的策略。
在策略中编辑或创建规则时,选择“ 预览”和“编辑通知电子邮件 ”以创建自定义模板。
自定义电子邮件通知支持以下字段的 HTML 和自定义:
- 发件人显示名称:定义符合组织需求的自定义值。 有 70 个字符的限制。 设置此值不会更改发件人的电子邮件地址。
- Email主题:定义自定义值,使电子邮件主题对最终用户更具意义。 有 256 个字符的限制。
- Email正文:定义对用户具有更大意义的自定义值。 有 5120 个字符的限制。 可以使用 HTML 或 markdown 在通知中包含图像、格式设置和其他品牌。 电子邮件正文的自定义定义支持使用内联样式。 如果添加用户可以对电子邮件 执行的作 ,则只能使用 markdown 来设置电子邮件正文的格式。
注意
如果在 Exchange 管理员 Center 邮箱中配置发件人电子邮件别名,则会覆盖你在此处配置的发件人显示名称。
还可以使用以下令牌来帮助自定义电子邮件正文。 令牌是发送通知时被特定信息替换的变量。 例如,%%ContentURL%% 令牌将替换为 SharePoint 网站或 OneDrive 网站上的文档 URL。
| 标记 | 说明 | 可用于 Exchange | 可用于 SharePoint | 适用于 OneDrive |
|---|---|---|---|---|
| %%MatchedConditions%% | 内容匹配的条件。 使用此令牌通知用户内容可能存在问题。 | 是 | 是 | 是 |
| %%ContentURL%% | SharePoint 网站或 OneDrive 网站上文档的 URL。 | 否 | 是 | 是 |
| %%AppliedActions%% | 应用于内容的作。 仅在 DLP 规则配置中选择了“ 限制访问或加密Microsoft 365 个位置的内容 ”作时,才会填充此令牌 | 是 | 是 | 是 |
| %%BlockedMessageInfo%% | 被阻止的消息的详细信息。 使用此令牌可通知用户已阻止的消息的详细信息。 仅在 DLP 规则配置中选择了“ 限制访问或加密Microsoft 365 个位置的内容 ”作时,才会填充此令牌 | 是 | 否 | 否 |
| %%ContentId%% | 消息的唯一标识符。 | 是 | 否 | 否 |
| %%TimestampForIncidentOccurrence%% | DLP 策略条件匹配的 UTC 时间戳。 | 是 | 是 | 是 |
| %%MatchedConditionsAndValues%% | 匹配的 DLP 条件和值。 此令牌不涵盖 包含敏感信息条件的内容 。 有关匹配的 SIT 和修订值,请参阅 %%MatchedSITAndSurroundingcontext%% | 是 | 是 | 是 |
| %%Filename%% | 对于 SharePoint 和 OneDrive 匹配项,此令牌显示文档名称。 对于 Exchange,它显示电子邮件附件名称。 | 是 | 是 | 是 |
| %%PolicyName%% | 匹配的 DLP 策略名称。 | 是 | 是 | 是 |
| %%PolicyRule%% | 匹配的 DLP 规则名称。 | 是 | 是 | 是 |
| %%Workload%% | 发生匹配的工作负荷名称。 | 是 | 是 | 是 |
| %%MatchedSITAndSurroundingcontext%% | 匹配的 SCT 和修订的值。 | 是 | 是 | 是 |
| %%UserEmail%% | 与匹配内容关联的最终用户的电子邮件地址。 | 是 | 是 | 是 |
| %%SiteAdmin%% | 对于 SharePoint 网站,此令牌显示网站管理员的电子邮件地址。 | 否 | 是 | 否 |
| %%EmailSubject%% | 对于 Exchange,此令牌显示电子邮件主题。 | 是 | 否 | 否 |
| %%EmailRecipients%% | 对于 Exchange,此令牌显示电子邮件收件人列表。 | 是 | 否 | 否 |
| %%FileOwner%% | 对于 SharePoint 和 OneDrive 匹配项,此令牌显示文件所有者的名称。 | 否 | 是 | 是 |
注意
使用 HTML <div> 标记设置标记的样式。 例如, <div\ “style=”color:blue; font-size: 12px;”> %%MatchedConditions%% </div> 以字号 12 像素和字体蓝色呈现标记。
适用于 OneDrive 和 SharePoint 工作负载的可作电子邮件通知
注意
此功能为预览版。
管理员可以向自定义电子邮件通知添加控件。 这些控制使用户能够直接从电子邮件修复导致 DLP 策略匹配的问题,或以其他方式修正 OneDrive 文件夹或 SharePoint 网站上的问题。 这简化了修正过程。 控件包括:
- 停止共享文件:删除文件上的任何共享访问权限和链接。
- 删除文件:删除文件。
- 对文件应用敏感度或保留标签:打开文件所在的 OneDrive 或 SharePoint 文件夹或网站,以便用户可以应用敏感度或保留标签。
- 重写策略:要求最终用户添加业务理由并重写策略。
- 报告误报:要求最终用户输入理由并通过审核日志通知管理员。
- 报告无法执行作:要求最终用户输入理由并通过审核日志通知管理员。
若要在通知电子邮件中向用户提供这些选项,请在配置电子邮件通知时选择它们。
注意
如果向电子邮件添加作,则只能使用 markdown 模式来设置电子邮件正文的格式。
统一审核日志中的作详细信息:
- 删除、停止共享、应用标签:记录类型 = SharepointFileOperation
- 替代、报告误报、报告无法执行作:活动 -作名称 = DLPInfo,记录类型 = ComplianceDLPSharePoint
用于配置策略提示的选项
对于 DLP 策略中的每个规则,您可以配置策略提示用于:
通知用户内容与 DLP 策略冲突,以便他们可以采取措施解决冲突。 可以使用默认文本 (查看下表) 或输入有关组织特定策略的自定义文本。
允许用户替换 DLP 策略。 (可选) 您可以:
要求用户输入替换该策略的业务理由。 此信息已记录,你可以在门户的“ 报告 ”部分的 DLP 报表中查看它。
允许用户报告误报并替换 DLP 策略。 此信息还被记录下来用于报告,以便您可以使用误报来微调您的规则。
例如,假设你已将 DLP 策略应用于用于检测个人数据的 OneDrive 网站,并且此策略有三个规则:
第一个规则:如果在文档中检测到包含此敏感信息的实例少于五个,并且该文档与组织内部的人员共享,则“发送通知”操作将显示策略提示。 对于策略提示,无需提供任何替换选项,因为此规则只是通知相关人员,但不会阻止访问。
第二条规则:如果在文档中检测到此敏感信息的五个以上的实例,并且文档与组织内部的人员共享, 则“阻止访问内容” 作将限制文件的权限,并且 “发送通知 ”作允许用户通过提供业务理由来替代此规则中的作。 组织的业务有时需要内部人员共享个人数据,而你不希望 DLP 策略阻止此工作。
第三条规则:如果在文档中检测到此敏感信息的五个以上的实例,并且文档与组织外部的人员共享,则 “阻止访问内容” 作将限制文件的权限,并且 “发送通知 ”作不允许用户重写此规则中的作,因为信息是在外部共享的。 在任何情况下,都不应允许组织中的人员在组织外部共享个人数据。
用户替代支持
替代选项按规则执行,并覆盖规则中的所有作。
内容可以匹配 DLP 策略中的多个规则或多个不同的 DLP 策略,但仅显示优先级最高的限制性规则的策略提示。 这包括处于模拟模式的策略。 此设置可防止用户看到一系列策略提示。
例如,如果文档与 DLP 策略中的三个规则匹配,并且规则具有这些配置,则会应用规则 LMN,并向用户显示来自规则 LMN 的策略提示。
| 规则名称 | 规则优先级 | 规则作 | 已应用 |
|---|---|---|---|
| ABC | 1 | 发送通知 | 否 |
| LMN | 2 | 阻止访问和发送通知 | 是 |
| XYZ | 3 | 阻止 | 否 |
如果限制最严格的规则中的策略提示允许用户替换规则,那么替换此规则还会替换与此内容相匹配的所有其他规则。
如果将 NotifyAllowOverride作设置为 WithoutJustification、WithJustification 或 FalsePositives,请确保 BlockAccess 设置为 true 并且 BlockAccessScope 具有适当的值。 否则,出现策略提示,但用户找不到替代具有理由的电子邮件的选项。
若要查看 Outlook 网页版 的策略提示中的替代,必须将策略设置为“打开它”状态。 还必须将策略作配置为使用替代阻止。
替代的可用性
| 通知规则 | 通知/阻止作 | 替代可用 | 需要理由 |
|---|---|---|---|
| 仅通知 | 通知 | 否 | 否 |
| Notify + AllowOverride | 通知 | 否 | 否 |
| Notify + AllowOverride + False positive | 通知 | 否 | 否 |
| 通知 + AllowOverride + 含理由 | 通知 | 否 | 否 |
| 通知 + AllowOverride + 误报 + 无理由 | 通知 | 否 | 否 |
| Notify + AllowOverride + False positive + With justification | 通知 | 否 | 否 |
| 通知 + 阻止 | 阻止 | 否 | 否 |
| Notify + Block + AllowOverride | 阻止 | 是 | 否 |
| Notify + Block + AllowOverride + False positive | 阻止 | 是 | 否 |
| 通知 + 阻止 + AllowOverride + 理由 | 阻止 | 是 | 是 |
| 通知 + 阻止 + AllowOverride + 误报 + 无理由 | 阻止 | 是 | 否 |
| 通知 + 阻止 + AllowOverride + 误报 + 带理由 | 阻止 | 是 | 是 |
OneDrive 网站和 SharePoint 网站上的策略提示
当 OneDrive 网站或 SharePoint 网站上的文档与 DLP 策略中的规则匹配,并且该规则使用策略提示时,策略提示会在文档上显示特殊图标:
如果该规则发送有关该文件的通知,则会显示警告图标。
如果该规则阻止访问该文档,则会显示阻止图标。
若要对文档执行作,请选择项目,选择页面右上角的,打开详细信息窗格,然后选择“查看策略提示”。
策略提示列出了内容问题。 如果策略提示是使用这些选项配置的,则可以选择“ 解决”,然后选择 “替代 策略提示”或 “报告 误报”。
DLP 策略同步到站点,内容定期和异步评估,因此,创建 DLP 策略的时间和开始看到策略提示的时间之间可能会有短暂的延迟。 从解析或重写策略提示到网站上文档上的图标消失时,可能存在类似的延迟。
网站上的策略提示的默认文本
默认情况下,策略提示显示在网站上类似于以下项的文本。 通知文本是为每个规则单独配置的,因此显示的文本因匹配的规则而异。
| 如果 DLP 策略规则执行此作... | 然后默认策略提示显示此消息... |
|---|---|
| 发送通知但不允许替代 | 此项与您的组织中的策略相冲突。 |
| 阻止访问,发送通知,并允许重写 | 此项与您的组织中的策略相冲突。 如果不解决此冲突,可能会阻止访问此文件。 |
| 阻止访问,并向发送通知 | 此项与您的组织中的策略相冲突。 除项目所有者、上次修饰符和主站点管理员外,其他人将阻止访问该项目。 |
网站上的策略提示的自定义文本
可以独立于电子邮件通知自定义策略提示的文本。 与电子邮件通知 (的自定义文本不同,请参阅上一部分) ,策略提示的自定义文本不接受 HTML 或令牌。 相反,策略提示的自定义文本是纯文本,限制为 256 个字符。
Outlook 网页版和 Outlook 2013 及更高版本中的策略提示
在 Outlook 网页版 和 Outlook 2013 及更高版本中撰写新电子邮件时,如果添加的内容与 DLP 策略中的规则匹配,并且该规则使用策略提示,则会看到策略提示。 撰写邮件时,策略提示显示在邮件顶部、收件人上方。
无论敏感信息是否出现在邮件正文、主题行甚至邮件附件中,策略提示都起作用,如此处所示。
如果策略提示配置为允许替代,则可以选择“ 显示详细信息>替代”> ,输入业务理由或报告误报 >替代。
向电子邮件添加敏感信息时,添加敏感信息和显示策略提示之间可能存在延迟。 当使用Microsoft Purview 邮件加密对电子邮件进行加密时,用于检测电子邮件的策略使用检测到的加密条件时,不会显示策略提示。
Exchange 管理中心与 Microsoft Purview 门户中的策略提示
策略提示既适用于 在 Exchange 管理中心中创建的 DLP 策略和邮件流规则,也可以使用 DLP 策略,但不能同时使用这两者。 存在此限制是因为这些策略存储在不同的位置,但策略提示只能从单个位置提取。
如果在 Exchange 管理中心配置策略提示,则在关闭 Exchange 管理中心中的提示之前,在 Outlook 网页版 和 Outlook 2013 及更高版本中的用户不会在 Purview 门户中配置的任何策略提示。 此行为可确保当前 Exchange 邮件流规则 (也称为传输规则) 继续工作,直到你选择切换到 Purview 门户。
虽然策略提示只能从单个位置绘制,但始终会发送电子邮件通知,即使你在 Purview 门户和 Exchange 管理中心都使用 DLP 策略也是如此。
电子邮件中策略提示的默认文本
默认情况下,策略提示显示类似于以下电子邮件文本的文本。
| 如果 DLP 策略规则执行此作... | 然后默认策略提示显示此消息... |
|---|---|
| 发送通知但不允许替代 | 电子邮件与组织中的策略冲突。 |
| 阻止访问,发送通知,并允许重写 | 电子邮件与组织中的策略冲突。 |
| 阻止访问,并向发送通知 | 电子邮件与组织中的策略冲突。 |
Excel、PowerPoint 和 Word 中的策略提示
当用户在桌面版本的 Excel、PowerPoint 和 Word 中使用敏感内容时,策略提示会实时通知他们内容与 DLP 策略冲突。 此功能要求:
Office 文档存储在 OneDrive 网站或 SharePoint 网站上。
站点包含在配置为使用策略提示的 DLP 策略中。
Office 桌面程序直接从Office 365自动同步 DLP 策略,然后扫描文档以确保它们不会与 DLP 策略冲突。 它们实时显示策略提示。
根据你在 DLP 策略中配置策略提示的方式,用户可以选择忽略策略提示、使用或不使用业务理由替代策略,或报告误报。
在消息栏上显示策略提示。
策略提示也显示在 Backstage 视图 (“ 文件 ”选项卡) 。
如果使用这些选项在 DLP 策略中配置策略提示,则可以选择“ 解决 ”以 替代 策略提示或 “报告 误报”。
在这些 Office 桌面程序中,用户可以选择关闭策略提示。 如果关闭,简单通知的策略提示不会显示在消息栏或 Backstage 视图 (“ 文件 ”选项卡上) 。 但是,有关阻止和重写的策略提示仍会显示,并且用户仍会收到电子邮件通知。 此外,关闭策略提示不会使文档免于应用的任何 DLP 策略。
Excel 2016、PowerPoint 2016 和 Word 2016 中的策略提示的默认文本
默认情况下,策略提示在打开文档的消息栏和 Backstage 视图中显示类似于以下文本的文本。 为每个规则单独配置通知文本,因此显示的文本因匹配的规则而异。
| 如果 DLP 策略规则执行此作... | 然后默认策略提示显示此消息... |
|---|---|
| 发送通知但不允许替代 | 此文件与您的组织中的策略相冲突。 有关详细信息,请转到“ 文件 ”菜单。 |
| 阻止访问,发送通知,并允许重写 | 此文件与您的组织中的策略相冲突。 如果不解决此冲突,可能会阻止访问此文件。 有关详细信息,请转到“ 文件 ”菜单。 |
| 阻止访问,并向发送通知 | 此文件与您的组织中的策略相冲突。 如果不解决此冲突,可能会阻止访问此文件。 有关详细信息,请转到“ 文件 ”菜单。 |
Excel、PowerPoint 和 Word 中策略提示的自定义文本
可以独立于电子邮件通知自定义策略提示的文本。 与电子邮件通知 (的自定义文本不同,请参阅上一部分) ,策略提示的自定义文本不接受 HTML 或令牌。 相反,策略提示的自定义文本是纯文本,限制为 256 个字符。