本文使用在设计数据丢失防护策略中学到的过程,演示如何创建Microsoft Purview 数据丢失防护 (DLP) 策略,以帮助保护扫描过程失败的受支持 Windows 和 macOS 设备上的文件。 在测试环境中完成此方案,以熟悉策略创建 UI。
将控件应用于扫描失败的受支持 文件预览版。
如果要对位于 “监视的文件 ”列表上的文件的用户活动应用“审核”、“阻止”或“阻止”,但终结点 DLP 无法扫描的文件,请使用此方案。
重要
本文介绍一个具有假设值的假设方案。 它仅用于说明目的。 替换你自己的敏感信息类型、敏感度标签、通讯组和用户。
部署策略的方式与策略设计一样重要。 本文 介绍如何使用部署选项,以便策略实现你的意图,同时避免代价高昂的业务中断。
先决条件和假设条件
此方案要求你已将设备载入并报告到活动资源管理器中。 如果尚未载入设备,请参阅终结点数据丢失防护入门。
重要
此功能仅支持以下作类型:
- 上传到受限的云服务域
- 复制到可移动 USB 设备
- 复制到网络共享
- 打印
策略意向语句和映射
有时,扫描终结点 DLP 支持的文件会失败。 这些文件中可能有敏感信息,但我们不知道。 在任何已载入的设备上扫描文件失败时,我们希望阻止用户将该文件复制到 USB 设备或网络共享。
| 语句 | 配置问题解答和配置映射 |
|---|---|
| “扫描任何已载入设备上的文件失败时...” | - 管理范围: 完整目录 - 监视位置: 存储在连接的源中的数据、 设备 范围: 所有用户、组、设备、设备组 - 条件: 无法扫描文档 |
| "...我们希望防止用户将该文件复制到 USB 设备或网络共享。” | -作:选择 “审核”或“限制设备上的 活动”-清除“ ”上传到重新写入的云服务域或从未启用的浏览器 进行访问“-选择” 将限制应用于特定活动 “-选择” 复制到可移动 USB 设备“,选择” 使用替代 阻止“-选择” 复制到网络共享 “和” 使用替代 阻止“清除 ”复制到剪贴板“, ”打印” 使用未安装蓝牙应用复制或移动, 并使用 RDP 复制或移动 |
配置条件时,摘要如下所示:
配置策略作的步骤
重要
出于此策略创建过程的目的,请将策略保持关闭状态。 在部署策略时更改这些设置。
- 登录到 Microsoft Purview 门户。
- 打开 数据丢失防护>策略。
- 选择“创建策略”。
- 选择“ 连接源中存储的数据”。
- 从“类别”中选择“自定义”,然后选择“法规”中的“自定义”策略模板。
- 为新策略命名并提供说明。
- 选择“管理员单位”下的“完整目录”。
- 将位置范围限定为 “仅设备 ”。
- 创建规则,其中:
- 在 “条件”中:
- 选择“ 无法扫描文档”
- 在 作中:
- 选择 “审核”或“限制设备上的活动”。
- 清除 “上传到已重述的云服务域”或从未启用的浏览器进行访问
- 选择 “将限制应用于特定活动”
- 选择“复制到可移动 USB 设备”和“使用替代阻止”
- 选择“ 复制到网络共享”,然后选择“ 使用替代阻止”
- 清除 “复制到剪贴板”、“ 打印”、“ 使用未安装蓝牙应用复制或移动”, 并使用 RDP 复制或移动
- 在 “条件”中:
- 保存。
- 选择“ 立即启用策略”。 选择“下一步”。
- 查看设置,然后选择“提交”。