Microsoft Purview 数据丢失防护 (DLP) 策略包括许多配置选项。 每个选项都会更改策略的行为。 本系列文章介绍了一些最常见的 DLP 策略方案。 它们将指导你配置这些选项,以为你提供 DLP 策略创建过程的实践体验。 熟悉这些方案后,你将获得使用 DLP 策略创建 UX 创建自己的策略所需的基本技能。
部署策略的方式与策略设计一样重要。 有多个 选项可用于控制策略部署。 本文介绍如何使用这些选项,以便策略在避免代价高昂的业务中断的同时实现你的意图。
预览版 可以更改 DLP 策略和规则的显示名称。 重命名策略或规则后,任何现有记录会在活动资源管理器 evetns、警报和审核记录中保留其先前的名称。 新记录将在活动资源管理器事件、警报和审核记录中反映新名称。 这些名称将一直保留,直到项退出系统。
将自己定向到 DLP
如果你不熟悉Microsoft Purview DLP,下面是实现 DLP 时应熟悉的核心文章列表:
- 管理单元
- 了解Microsoft Purview 数据丢失防护 - 介绍数据丢失防护规则和 DLP 的实现Microsoft。
- 规划数据丢失防护 (DLP) - 通过本文完成以下作:
- 数据丢失防护策略参考 - 介绍 DLP 策略的所有组件以及每个组件如何影响策略的行为。
- 设计 DLP 策略 - 指导你完成创建策略意向语句并将其映射到特定策略配置。
- 创建和部署数据丢失防护策略 - 探索常见策略意向方案,并了解它们如何连接到配置选项。 然后,按照分步指南设置这些选项,并获取有关顺利部署策略的有用提示。
- 了解如何调查数据丢失防护警报 - 了解警报的进度-从创建到最终修正和策略优化。 你还将发现有助于调查沿途警报的工具。
SKU/订阅许可
有关许可的信息,请参阅
权限
用于创建和部署策略的帐户必须是以下角色组之一的成员:
- 合规性管理员
- 合规性数据管理员
- 信息保护
- 信息保护管理员
- 安全管理员
重要
在开始之前,通过阅读“管理单元”,确保了解不受限制的管理员和管理单元受限管理员之间的区别。
细化角色和角色组
可以使用这些角色和角色组来微调访问控制。
下面是适用角色的列表。 若要了解详细信息,请参阅 Microsoft Purview 门户中的权限。
- DLP 合规性管理
- 信息保护管理员
- 信息保护分析师
- 信息保护调查员
- 信息保护读者
下面是适用角色组的列表。 若要了解详细信息,请参阅 Microsoft Purview 门户中的权限。
- 信息保护
- 信息保护管理员
- 信息保护分析师
- 信息保护调查员
- 信息保护读者
策略创建方案
上 一篇文章“设计 DLP 策略”介绍了创建策略意向语句,然后将该意向语句映射到策略配置选项的方法。
- 帮助防止通过电子邮件共享信用卡号码
- 帮助防止通过 SharePoint 和 OneDrive 与外部用户共享敏感项目
- 帮助保护终结点数据丢失防护无法扫描的文件
- 帮助保护终结点数据丢失防护不扫描的文件
- 帮助防止共享一组定义的不受支持的文件
- 对某些受支持的文件禁用Microsoft Purview 数据丢失防护扫描并应用控件
- 帮助防止通过Microsoft Edge 商业版从托管设备共享到非托管 AI 应用
- 帮助防止使用信用卡号码共享 Power BI 报表
- 帮助防止用户与 Edge for Business 中的云应用共享敏感信息
部署
成功的策略部署不仅仅是将策略引入环境以强制控制用户作。 杂乱无章的、匆忙的部署可能会对业务流程产生负面影响,并惹恼用户。 这些后果会减缓组织中 DLP 技术的接受度,以及它所促进的更安全的行为。 最终,从长远来看,这些后果会降低敏感项的安全性。
在开始部署之前,请确保通读 策略部署。 它提供策略部署过程的广泛概述和一般指南。
本部分更深入地探讨在一起用于管理生产策略的三种类型的控件。 你可以随时更改这些控件中的任何一个,而不仅仅是在策略创建期间。
部署管理的三个轴
使用三个轴来控制策略部署过程:范围、状态和作。 始终采用增量方法来部署策略,从影响最小的 模拟模式 开始,通过完全强制实施。
建议的部署控制配置
| 当策略状态为 | 策略范围可以是 | 策略作的影响 |
|---|---|---|
| 在模拟模式下运行策略 | 位置的策略范围可以是窄或宽 | - 可以配置任何作 - 配置的作 不会影响用户 - 管理员查看警报并可以跟踪活动 |
| 使用策略提示在模拟模式下运行策略 | 应将策略的范围限定为面向试点组,然后在优化策略时扩展范围 | - 可以配置任何作 - 配置的作 不会影响用户 - 用户可以接收策略提示和警报 - 管理员查看警报并可以跟踪活动 |
| 将其打开 | 所有目标位置实例 | - 对用户活动 强制实施所有配置的作 - 管理员可查看警报并可以跟踪活动 |
| 将其关闭 | 不适用 | 不适用 |
状态
State 是用于推出策略的主要控件。 创建完策略后,将策略的状态设置为 “使其关闭”。 在处理策略配置时,请将其保留为此状态,直到获得最终评审并注销为止。 将状态设置为:
- 在模拟模式下运行策略:不强制实施任何策略作,对事件进行审核。 处于此状态时,可以在 DLP 模拟模式概述和 DLP 活动资源管理器 控制台中监视策略的影响。
- 在模拟模式下运行策略,并在模拟模式下显示策略提示:不会强制实施任何作,但用户会收到策略提示和通知电子邮件,以提高其认知度并对其进行教育。
- 立即将其打开:这是完全强制模式。
- 将其关闭:策略处于非活动状态。 在部署前开发和查看策略时使用此状态。
可以随时更改策略的状态。
操作
作是策略在响应敏感项上的用户活动时执行的作。 由于可以随时更改这些作,因此可以从影响最小的 设备) 允许 (和 仅审核 所有其他位置 () ,收集和查看审核数据,并在移动到限制性更严格的作之前使用它来优化策略。
允许:允许发生用户活动,因此不会影响任何业务流程。 你会收到审核数据,并且没有任何用户通知或警报。
注意
“允许”作仅适用于作用域为“设备”位置的策略。
仅审核:允许发生用户活动,因此不会影响任何业务流程。 你获取审核数据,可以添加通知和警报,以提高认知度,并培训用户知道他们正在执行的作是一种有风险的行为。 如果你的组织打算稍后强制实施更严格的作,你也可以告诉用户这一点。
使用替代阻止:默认情况下会阻止用户活动。 可以审核事件、引发警报和通知。 此作会影响业务流程,但用户可以选择替代块并提供替代原因。 由于你从用户那里获得直接反馈,因此此作可以帮助你识别误报匹配项,可用于进一步优化策略。
注意
对于 Microsoft 365 中的 Exchange online 和 SharePoint,可以在用户通知部分中配置替代。
阻止:无论什么,用户活动都将被阻止。 可以审核事件、引发警报和通知。
策略范围
每个策略的范围限定为一个或多个位置,例如 Exchange、Microsoft 365 中的 SharePoint、Teams 和设备。 默认情况下,选择某个位置时,该位置的所有实例都属于该范围,并且不会排除任何实例。 通过配置位置的包含/排除选项,可以进一步优化位置 (实例(如站点、组、帐户、通讯组、邮箱和设备)) 应用策略。 若要详细了解包括/排除范围选项,请参阅 位置。
通常,在策略处于 模拟模式状态下运行策略 时,可以更灵活地确定范围,因为不会采取任何作。 可以仅从为策略设计的范围开始,也可以广泛了解策略将如何影响其他位置的敏感项。
将状态更改为 在模拟模式下运行策略并显示策略提示时,请将范围缩小到一个试点组,该试点组可以为你提供反馈,并成为早期采用者,当其他人加入时,他们可以成为他们的资源。
移动策略以 立即将其打开时,可以扩大范围,以包括设计策略时所需的所有位置实例。
策略部署步骤
- 创建策略并将其状态设置为 “使其关闭”后,请与利益干系人进行最终评审。
- 将状态更改为 在模拟模式下运行策略。 此时,位置范围可能很宽,因此可以跨多个位置收集有关策略行为的数据,或者仅从单个位置开始。
- 根据行为数据优化策略,使其更好地满足业务意图。
- 将状态更改为 在模拟模式下运行策略并显示策略提示。 根据需要优化位置范围以支持试点组,并利用包含/排除,以便策略首先推出到该试点组。
- 收集用户反馈以及警报和事件数据。 如果需要,请优化策略和计划。 请确保解决用户提出的所有问题。 你的用户很可能遇到问题,并提出有关你在设计阶段未想到的问题。 此时开发一组超级用户。 当策略范围增加且加入更多用户时,它们可以是帮助培训其他用户的资源。 在转到下一阶段部署之前,请确保策略已实现控制目标。
- 将状态更改为 立即将其打开。 策略已完全部署。 监视 DLP 警报和 DLP 活动资源管理器。 地址警报。