通过

帮助防止通过Microsoft Edge 商业版从托管设备共享到非托管 AI 应用

注意

此方案中使用的功能为预览版。

本文使用 在设计数据丢失防护策略 中学到的过程,演示如何创建Microsoft Purview 数据丢失防护 (DLP) 策略,以帮助防止将敏感信息从托管设备共享到 AI 应用。 在测试环境中完成此方案,以熟悉策略创建 UI。

使用此方案可以使用 Edge 作为控制点,阻止与非托管 AI 应用(如 OpenAI ChatGPT、DeepSeek 或 Google Gemini)共享敏感信息。 它要求设备 由 Intune 管理

重要

本文介绍一个具有假设值的假设方案。 它仅用于说明目的。 替换你自己的敏感信息类型、敏感度标签、通讯组和用户。

部署策略的方式与策略设计一样重要。 本文 介绍如何使用部署选项,以便策略实现你的意图,同时避免代价高昂的业务中断。

先决条件和假设条件

此过程使用假设的通讯组,其中一个名为 Finance Team,另一个组用于 安全团队

重要

在开始此过程之前,请阅读 了解 Edge for Business 中云应用的数据丢失防护。 它提供有关此方案的先决条件和假设的重要信息。

实现浏览器 DLP 遵循以下阶段:

  1. (本文) Microsoft Purview 数据丢失防护门户中的过程创建浏览器 DLP 策略。
  2. 在 Edge 管理中心,使用边缘管理服务 通过部署阻止在不符合的浏览器中访问应用来激活 DLP 策略

重要

用户必须同时处于 DLP 策略和边缘配置策略的范围内,才能将策略应用于 Edge 中的用户。

策略意向语句和映射

我们需要阻止财务团队成员通过 Edge 将敏感信息共享到非托管 AI 应用。 其他团队无权访问这些高度敏感的信息,因此块只需应用于此团队。 当其文本提示包含银行帐户、路由或国际客户的 SWIFT 号码等信息时,共享将被阻止。 我们还必须满足警报要求。 每当策略匹配时,我们希望通过一封电子邮件通知安全团队。 最后,我们希望在测试后尽快生效,并且需要能够查看系统中的相关活动。

语句 配置问题解答和配置映射
我们需要阻止财务团队成员通过 Edge 将敏感信息共享到非托管 AI 应用... - 选择应用策略的位置:浏览器中的数据活动
-管理范围:完整目录
- 应用策略的位置:OpenAI ChatGPTGoogle GeminiMicrosoft CopilotDeepSeek
Action: Block
其他团队无权访问此信息,因此块只需应用于此团队... - 每个应用“ 特定用户和组的范围,包括用户和组>财务团队
当其文本提示包含银行帐户、路由或国际客户的 SWIFT 号码等信息时,应阻止共享。 要监视的内容: - 使用 自定义策略模板
- 匹配条件: 内容包含敏感信息类型>ABA 路由号码澳大利亚银行帐号加拿大银行帐号国际银行帐号 (IBAN) 以色列银行帐号日本银行帐号新西兰银行帐号SWIFT 代码美国银行帐号
-作: 限制浏览器和网络活动>文本上传>阻止
我们还必须满足警报要求。 每当策略匹配时,我们希望通过一封电子邮件通知安全团队。 - 事件报告发生
规则匹配时向管理员发送警报 - 向这些人发送电子邮件警报 (可选) :添加安全团队
- 每次活动与规则匹配时发送警报:选定
- 使用电子邮件事件报告在发生策略匹配时通知你:On
- 向这些人发送通知:根据需要
添加单个管理员 - 还可以在报告中包括以下信息: 选择所有选项
...最后,我们希望在测试后尽快生效,并且需要能够查看系统中的相关活动。... 策略模式: 在模拟中打开

创建策略的步骤

  1. 登录到 Microsoft Purview 门户
  2. 选择 “数据丢失防护>策略>+ 创建策略”。
  3. 选择 “浏览器活动中的数据”。
  4. “类别”列表中选择“自定义”,然后从“法规”列表中选择“自定义策略”。
  5. 选择“下一步”。
  6. 输入策略名称并提供说明。 可在此处使用策略意向语句。

重要

无法重命名策略。

  1. 选择“下一步”。

  2. 接受“分配管理单元”页上的默认完整目录

  3. 选择“下一步”。

  4. 在每个位置旁边的“作”列中选择“编辑

    1. 依次选择“OpenAIChatGPT”、“Google Gemini”、“Microsoft Copilot”、“DeepSeek”。

  5. 选择“ 特定用户和组”。

  6. 选择“ + 包含 ”,然后选择 “包括组”。

  7. 选择“ 财务团队”。

  8. 选择 “完成 ”,然后选择“ 下一步”。

  9. “定义策略设置” 页上,应已选择 “创建或自定义高级 DLP 规则 ”选项。

  10. 选择“下一步”。

  11. “自定义高级 DLP 规则 ”页上,选择“ + 创建规则”。

  12. 输入规则的名称和说明。

  13. 选择“ 添加条件 ”,并使用以下值:

    1. 选择“ 内容包含”。
    2. 选择“ 添加>敏感信息类型>” 敏感信息类型>ABA 路由号码澳大利亚银行帐号加拿大银行帐号国际银行帐号 (IBAN) 以色列银行帐号日本银行帐号新西兰银行帐号SWIFT Code美国银行帐号

  14. 选择“添加”。

  15. “作”下,添加具有以下值的作:

    1. 限制浏览器和网络活动
    2. 文本上传>

  16. “事件报告 ”下,选择:

    1. “在管理员警报和报表中使用此严重级别 ”设置为 “低”。
    2. 规则匹配发生时向管理员发送警报 的切换开关设置为 “开”。
    3. 在“ 向这些人发送电子邮件警报 (可选) ”下,选择“ + 添加或删除用户 ”,然后添加安全团队的电子邮件地址。

  17. 选择“ 保存 ”,然后选择“ 下一步”。

  18. “策略模式 ”页上,选择“ 在模拟模式下运行策略”。

  19. 选择“ 下一步 ”,然后选择“ 提交”。

  20. 选择“完成”。

  21. 管理员门户登录到Microsoft

  22. 选择“ 边缘”。

  23. 创建配置文件并将其应用于 财务团队组。

  24. 编辑配置策略并应用 设置以在不符合的浏览器中阻止 LLM

重要

在满足 DLP 和边缘管理服务要求之前,不会在 Edge 中应用 DLP 策略。

注意

当用户尝试使用 Chrome 共享时,会在应用级别阻止该用户。 在设备级别,用户被阻止打开 Firefox 和其他浏览器,如果 Chrome 扩展Microsoft Purview 扩展 未安装或过期,则禁止用户打开 Chrome。