الملاحظات

إنشاء نهج DLP لحماية المستندات باستخدام FCI أو خصائص أخرى

  • مقالة
  • قراءة خلال 7 دقائق

Microsoft 365 استخدام سياسات منع فقدان البيانات (DLP) لخصائص التصنيف أو خصائص العناصر لتحديد العناصر الحساسة. على سبيل المثال، يمكنك استخدام:

  • Windows البنية الأساسية لتصنيف ملفات الخادم (FCI)
  • SharePoint المستند
  • خصائص مستند النظام الخاص ب جهة خارجية

رسم تخطيطي Office 365 التصنيف الخارجي.

على سبيل المثال، قد تستخدم مؤسستك Windows Server FCI لتعريف العناصر التي تتضمن بيانات شخصية مثل أرقام الضمان الاجتماعي، ثم تصنف المستند من خلال تعيين الخاصية معلومات التعريف الشخصية إلى PII عالي أو متوسط أو منخفض أو عام أو ليس PII استنادا إلى نوع البيانات الشخصية الموجودة في المستند وعدد تكراراتها.

في Microsoft 365، يمكنك إنشاء نهج DLP يحدد المستندات التي تم تعيين هذه الخاصية لها إلى قيم معينة، مثل عالية ومتوسطة، ثم اتخاذ إجراء مثل حظر الوصول إلى تلك الملفات. يمكن أن يكون لنفس النهج قاعدة أخرى تتخذ إجراء مختلفا إذا تم تعيين الخاصية إلى منخفض، مثل إرسال إعلام بالبريد الإلكتروني. بهذه الطريقة، تتكامل DLP مع Windows Server FCI ويمكنها المساعدة في حماية مستندات Office التي تم تحميلها أو مشاركتها Microsoft 365 من Windows الملفات المستندة إلى الخادم.

تبحث نهج DLP ببساطة عن زوج معين من أسماء/قيم الخاصية. يمكن استخدام أي خاصية مستند، طالما أن الخاصية لها خاصية مدارة مقابلة SharePoint البحث. على سبيل المثال، قد تستخدم SharePoint موقع ويب نوع محتوى يسمى " تقرير الرحلة" مع حقل مطلوب يسمى "العميل". عندما يقوم شخص بإنشاء تقرير رحلة، يجب إدخال اسم العميل. يمكن أيضا استخدام زوج القيمة/اسم الخاصية هذا في نهج DLP— على سبيل المثال، إذا كنت تريد قاعدة تمنع وصول الضيوف إلى المستند عندما يحتوي حقل "العميل" على Contoso.

إذا كنت تريد تطبيق نهج DLP على محتوى Microsoft 365 تسميات معينة، يجب عدم اتباع الخطوات هنا. بدلا من ذلك، تعرف على كيفية استخدام تسمية استبقاء كشرط في نهج DLP.

قبل إنشاء نهج DLP

قبل أن تتمكن من استخدام خاصية Windows Server FCI أو خاصية أخرى في نهج DLP، ستحتاج إلى إنشاء خاصية مدارة في SharePoint مركز الإدارة. إليك السبب.

في SharePoint عبر الإنترنت OneDrive for Business، يتم بناء فهرس البحث عن طريق تتبع ارتباطات المحتوى على مواقعك. ويلتقط متتبع الارتباطات المحتوى والبيانات التعريفية من المستندات على شكل خصائص تم تتبع ارتباطاتها. يساعد مخطط البحث متتبع الارتباطات على تحديد المحتوى والبيانات التعريفية التي يجب التقاطها. أمثلة لبيانات التعريف هي كاتب المستند وعنوانه. ومع ذلك، للحصول على المحتوى والبيانات التعريفية من المستندات في فهرس البحث، يجب تعيين الخصائص التي تم تتبع ارتباطاتها إلى الخصائص المدارة. يتم الاحتفاظ بالخصائص المدارة فقط في الفهرس. على سبيل المثال، يتم تعيين خاصية تم تتبع ارتباطاتها ذات الصلة بكاتب إلى خاصية مدارة ذات صلة بكاتب.

ملاحظة

تأكد من استخدام اسم خاصية مدارة وليس اسم خاصية تم تتبع ارتباطاتها عند إنشاء قواعد DLP باستخدام ContentPropertyContainsWords الشرط.

وهذا أمر مهم لأن DLP تستخدم متتبع ارتباطات البحث لتعريف المعلومات الحساسة وتصنيفها على مواقعك، ثم تخزين تلك المعلومات الحساسة في جزء آمن من فهرس البحث. عند تحميل مستند إلى Office 365، SharePoint تلقائيا خصائص تم تتبع ارتباطاتها استنادا إلى خصائص المستند. ولكن لاستخدام FCI أو خاصية أخرى في نهج DLP، يجب تعيين الخاصية التي تم تتبع ارتباطاتها إلى خاصية مدارة بحيث يتم الاحتفاظ بالمحتوى الذي به هذه الخاصية في الفهرس.

لمزيد من المعلومات حول خصائص البحث والخصائص المدارة، راجع إدارة مخطط البحث في SharePoint Online.

الخطوة 1: Upload مستند ب الخاصية المطلوبة Office 365

ستحتاج أولا إلى تحميل مستند مع الخاصية التي تريد الإشارة إليها في نهج DLP. Microsoft 365 عن الخاصية وإنشاء خاصية تم تتبع ارتباطاتها تلقائيا منها. في الخطوة التالية، ستنشئ خاصية مدارة، ثم تعيين الخاصية المدارة إلى هذه الخاصية التي تم تتبع ارتباطاتها.

الخطوة 2: إنشاء خاصية مدارة

  1. سجل الدخول إلى مركز مسؤولي Microsoft 365.

  2. في التنقل الأيسر، اختر مراكز الإدارة SharePoint > . أنت الآن في مركز إدارة SharePoint.

  3. في التنقل الأيسر، اختر البحث > في صفحة إدارة البحث > إدارة مخطط البحث.

    صفحة إدارة البحث SharePoint مركز الإدارة.

  4. في صفحة الخصائص المدارة خاصية > مدارة جديدة.

    صفحة الخصائص المدارة مع تمييز الزر "خاصية مدارة جديدة".

  5. أدخل اسما ووصفا للممتلكات. هذا الاسم هو ما سيظهر في سياسات DLP.

  6. بالنسبة إلى النوع، اختر نص.

  7. ضمن السمات الرئيسية، حدد قابل للاستعلام واسترداده.

  8. ضمن تعيينات إلى خصائص تم تتبع ارتباطاتها > أضف تعيينا.

  9. في مربع الحوار > تحديد الخاصية التي تم تتبع ارتباطاتها ابحث عن الخاصية التي تم تتبع ارتباطاتها وحددها والتي تتوافق مع خاصية Windows Server FCI أو الخاصية الأخرى التي سيتم استخدامها في نهج DLP > موافق.

    مربع الحوار "تحديد خاصية تم تتبع ارتباطاتها".

  10. في أسفل الصفحة موافق>.

إنشاء نهج DLP يستخدم خاصية FCI أو خاصية أخرى

في هذا المثال، تستخدم مؤسسة FCI على خوادم الملفات المستندة إلى Windows على الخادم؛ وعلى وجه التحديد، تستخدم خاصية تصنيف FCI المسماة معلومات تعريف شخصية مع القيم المحتملة لقيم عالية، أو متوسطة، أو منخفضة، أو عامة، أو غير PII. والآن يريدون استخدام تصنيف FCI الموجود لديهم في سياسات DLP الخاصة بهم في Office 365.

أولا، يتبعون الخطوات المذكورة أعلاه لإنشاء خاصية مدارة في SharePoint Online، والتي تقوم بالخرائط إلى الخاصية التي تم تتبع ارتباطاتها التي تم إنشاؤها تلقائيا من الخاصية FCI.

بعد ذلك، تقوم بإنشاء نهج DLP باستخدام القواعد التي تستخدم كلا الشرطين تحتوي خصائص المستند على أي من هذه القيم:

  • محتوى FCI PII - عالي، متوسط تقيد القاعدة الأولى الوصول إلى المستند إذا كانت خاصية تصنيف FCI معلومات تعريف شخصية تساوي عالية أو متوسطة وكان المستند مشتركا مع أشخاص من خارج المؤسسة.

  • محتوى FCI PII - منخفض ترسل القاعدة الثانية إعلاما إلى مالك المستند إذا كانت خاصية تصنيف FCI معلومات تعريف شخصية تساوي منخفض وكان المستند مشتركا مع أشخاص من خارج المؤسسة.

إنشاء نهج DLP باستخدام PowerShell

الشرط لا تتوفر & خصائص المستند التي تحتوي على أي من هذه القيم مؤقتا في واجهة مستخدم مركز توافق الأمان، ولكن لا يزال بإمكانك استخدام هذا الشرط باستخدام PowerShell. يمكنك استخدام New\Set\Get-DlpCompliancePolicy cmdlets للعمل مع نهج DLP New\Set\Get-DlpComplianceRule ، واستخدام cmdlets ContentPropertyContainsWords مع المعلمة لإضافة الشرط تحتوي خصائص المستند على أي من هذه القيم.

لمزيد من المعلومات حول cmdlets هذه، راجع cmdlets & لمركز توافق الأمان.

  1. الاتصال إلى الأمان & مركز التوافق باستخدام PowerShell البعيد

  2. قم بإنشاء النهج باستخدام New-DlpCompliancePolicy.

ينشئ PowerShell هذا نهج DLP ينطبق على كل المواقع.

New-DlpCompliancePolicy -Name FCI_PII_policy -ExchangeLocation All -SharePointLocation All -OneDriveLocation All -Mode Enable

  1. قم بإنشاء القواعد الموضحة أعلاه باستخدام New-DlpComplianceRule، حيث تكون إحدى القواعد للقيمة المنخفضة، ولقاعدة أخرى للقيم العالية والم متوسطة.

    فيما يلي مثال PowerShell الذي ينشئ هاتين القواعد. يتم إحاطة أزواج أسماء/قيم الخاصية بين علامات اقتباس، وقد يحدد اسم الخاصية قيما متعددة مفصولة بفصول فاصلة بدون مسافات، مثل "<Property1>:<Value1>,<Value2>","<Property2>:<Value3>,<Value4>"....

    New-DlpComplianceRule -Name FCI_PII_content-High,Moderate -Policy FCI_PII_policy -AccessScope NotInOrganization -BlockAccess $true -ContentPropertyContainsWords "Personally Identifiable Information:High,Moderate" -Disabled $falseNew-DlpComplianceRule -Name FCI_PII_content-Low -Policy FCI_PII_policy -AccessScope NotInOrganization -BlockAccess $false -ContentPropertyContainsWords "Personally Identifiable Information:Low" -Disabled $false -NotifyUser Owner

    Windows Server FCI العديد من الخصائص المضمنة، بما في ذلك معلومات تعريف الشخصية المستخدمة في هذا المثال. يمكن أن تختلف القيم المحتملة لكل خاصية لكل مؤسسة. القيم العالية والم متوسطة ودنيا المستخدمة هنا هي مثال فقط. بالنسبة إلى مؤسستك، يمكنك عرض خصائص تصنيف Windows Server FCI مع قيمها المحتملة في ملف Server Resource Manager على Windows المستند إلى الخادم. لمزيد من المعلومات، راجع إنشاء خاصية تصنيف.

عند الانتهاء، يجب أن يحتوي النهج على القواعد الجديدة التي تستخدم خصائص المستند على أي شرط من شرط القيم هذه. لن يظهر هذا الشرط في واجهة المستخدم، على الرغم من ظهور الشروط والإجراءات والإعدادات الأخرى.

تمنع إحدى القواعد الوصول إلى المحتوى حيث تساوي الخاصية معلومات تعريف شخصية عالية أو متوسطة. ترسل القاعدة الثانية إعلاما حول المحتوى حيث تساوي الخاصية معلومات تعريف شخصية منخفضة.

مربع حوار نهج DLP جديد يعرض القواعد التي تم إنشاؤها للتو.

بعد إنشاء نهج DLP

سينشئ القيام بالخطوات في المقاطع السابقة نهج DLP الذي سيكشف بسرعة المحتوى باستخدام هذه الخاصية، ولكن فقط إذا تم تحميل هذا المحتوى حديثا (بحيث يكون المحتوى مفهرسا)، أو إذا كان هذا المحتوى قديما ولكن تم تحريره للتو (بحيث يتم إعادة فهرسة المحتوى).

للكشف عن المحتوى الذي يحتوي على هذه الخاصية في كل مكان، قد تحتاج إلى طلب إعادة فهرسة المكتبة أو الموقع أو مجموعة المواقع المشتركة يدويا، بحيث يكون نهج DLP على علم بكل المحتوى الذي يحتوي على هذه الخاصية. في SharePoint Online، يتم تتبع ارتباطات المحتوى تلقائيا استنادا إلى جدول تتبع ارتباطات معرف. يلتقط متتبع الارتباطات المحتوى الذي تم تغييره منذ آخر تتبع ارتباطات ويحدث الفهرس. إذا كنت بحاجة إلى نهج DLP لحماية المحتوى قبل عملية تتبع الارتباطات المجدولة التالية، يمكنك اتخاذ هذه الخطوات.

تنبيه

قد تتسبب إعادة فهرسة موقع في حمل هائل على نظام البحث. لا تقوم بفهرسة موقعك من جديد إلا إذا كان السيناريو يتطلب ذلك بشكل مطلق.

لمزيد من المعلومات، راجع طلب تتبع الارتباطات يدويا و إعادة فهرسة موقع أو مكتبة أو قائمة.

إعادة ترابط موقع (اختياري)

  1. على الموقع ، اختر الإعدادات (أيقونة الترس في الزاوية العلوية اليسرى) > موقع الإعدادات.

  2. ضمن بحث، اختر البحث والتوفر > دون اتصال موقع Reindex.

معلومات إضافية