Создание и развертывание политик защиты от потери данных

В политике Защита от потери данных Microsoft Purview (DLP) существует множество параметров конфигурации. Каждый параметр изменяет поведение политики. В этой статье представлены некоторые распространенные сценарии намерений для политик, которые сопоставляется с параметрами конфигурации. Затем вы сможете настроить эти параметры. После ознакомления с этими сценариями вы сможете использовать пользовательский интерфейс создания политики защиты от потери данных для создания собственных политик.

Развертывание политики также важно. У вас есть несколько вариантов управления развертыванием политики. В этой статье показано, как использовать эти параметры, чтобы политика достигла вашего намерения, избегая дорогостоящих сбоев в работе.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Подготовка к работе

Если вы не знакомы с Microsoft Purview DLP, вот список основных статей, с которыми вы должны быть знакомы при реализации DLP:

1. Административные единицы
2. Сведения о Защита от потери данных Microsoft Purview. В этой статье рассказывается о дисциплине защиты от потери данных и реализации защиты от потери данных корпорацией Майкрософт.
3. Планирование защиты от потери данных (DLP) — работая с этой статьей, вы:
   1. Определение заинтересованных лиц
   2. Описание категорий конфиденциальной информации для защиты
   3. Установка целей и стратегии
4. Справочник по политике защиты от потери данных . В этой статье описаны все компоненты политики защиты от потери данных, а также сведения о том, как каждый из них влияет на поведение политики.
5. Разработка политики защиты от потери данных . В этой статье описано, как создать инструкцию намерения политики и сопоставить ее с определенной конфигурацией политики.
6. Создание и развертывание политик защиты от потери данных . В этой статье, которую вы сейчас читаете, представлены некоторые распространенные сценарии намерения политики, которые сопоставляются с параметрами конфигурации. Затем в нем описывается настройка этих параметров и приводятся рекомендации по развертыванию политики.
7. Сведения об изучении оповещений о предотвращении потери данных . В этой статье вы узнаете о жизненном цикле оповещений с момента создания до окончательного исправления и настройки политики. Он также знакомит вас с инструментами, используемыми для исследования оповещений.

Лицензирование SKU/подписки

Прежде чем приступить к использованию политик защиты от потери данных, подтвердите подписку На Microsoft 365 и все надстройки.

Сведения о лицензировании см. в статье Подписки Microsoft 365, Office 365, Enterprise Mobility + Security и Windows 11 для предприятий.

Разрешения

Учетная запись, используемая для создания и развертывания политик, должна быть членом одной из этих групп ролей.

• Администратор соответствия требованиям
• Администратор данных о соответствии требованиям
• Защита информации
• Администратор Information Protection
• Администратор безопасности

Важно!

Убедитесь, что вы понимаете разницу между неограниченным администратором и администратором с ограниченным доступом к административной единице , прочитайте статью Административные единицы , прежде чем начинать работу.

Детализированные роли и группы ролей

Существуют роли и группы ролей, которые можно использовать для точной настройки элементов управления доступом.

Ниже приведен список применимых ролей. Дополнительные сведения см. в разделе Разрешения в Портал соответствия требованиям Microsoft Purview.

• Управление соответствием требованиям DLP
• Администратор Information Protection
• Аналитик Information Protection
• Исследователь Information Protection
• Читатель Information Protection

Ниже приведен список применимых групп ролей. Дополнительные сведения см. в статье Дополнительные сведения о них см. в разделе Разрешения в Портал соответствия требованиям Microsoft Purview.

• Защита информации
• Администраторы Information Protection
• Аналитики Information Protection
• Исследователи Information Protection
• Читатели Information Protection

Сценарии создания политик

В предыдущей статье Разработка политики защиты от потери данных вы познакомили вас с методологией создания оператора намерения политики, а затем сопоставления этого оператора намерения с параметрами конфигурации политики. В этом разделе рассматриваются эти примеры, а также несколько дополнительных сведений о фактическом процессе создания политики. Эти сценарии следует использовать в тестовой среде, чтобы ознакомиться с пользовательским интерфейсом создания политики.

Существует так много параметров конфигурации в потоке создания политики, что невозможно охватить каждую или даже большинство конфигураций. Поэтому в этой статье рассматриваются несколько наиболее распространенных сценариев политики защиты от потери данных. При их использовании вы получите практический опыт в различных конфигурациях.

Сценарий 1 Блокировка электронных писем с номерами кредитов карта

Важно!

Это гипотетический сценарий с гипотетическими значениями. Это только в иллюстративных целях. Следует заменить собственные типы конфиденциальной информации, метки конфиденциальности, группы рассылки и пользователей.

Сценарий 1. Предварительные требования и допущения

В этом сценарии используется метка конфиденциальности , поэтому требуется, чтобы вы создали и опубликовали метки конфиденциальности. Дополнительные сведения см. в статьях

• Сведения о метках конфиденциальности
• Начало работы с метками конфиденциальности
• Создание и настройка меток конфиденциальности и соответствующих политик

В этой процедуре используется гипотетическая группа распределения Finance team at Contoso.com и гипотетический получатель adele.vance@fabrikam.comSMTP.

В этой процедуре используются оповещения, см. статью Начало работы с оповещениями защиты от потери данных.

Сценарий 1. Оператор намерения политики и сопоставление

Нам необходимо заблокировать сообщения электронной почты всем получателям, которые содержат номера кредитов карта или к которым применена метка конфиденциальности, за исключением случаев, когда электронное письмо отправляется от кого-то из финансовой команды по адресу adele.vance@fabrikam.com. Мы хотим уведомлять администратора соответствия требованиям каждый раз, когда сообщение электронной почты блокируется, и уведомлять пользователя, отправившего элемент, и никому не может быть разрешено переопределить блокировку. Отслеживайте все случаи этого события с высоким риском в журнале, и мы хотим, чтобы сведения о любых событиях были записаны и предоставлены для исследования.

Statement	Ответы на вопрос о конфигурации и сопоставление конфигурации
"Нам нужно заблокировать сообщения электронной почты всем получателям..."	- Мониторинг: Административный область Exchange- : Действие полного каталога - : ограничение доступа или шифрование содержимого в расположениях > Microsoft 365 Блокировать получение электронной почты или доступ к общим файлам > SharePoint, OneDrive и Teams Блокировать всех
"... которые содержат кредитные карта числа или имеют метку конфиденциальности " строго конфиденциальности..."	- Что следует отслеживать, с помощью настраиваемых условий шаблона - для сопоставления измените его, чтобы добавить метку конфиденциальности
"... за исключением случаев, если..."	- Конфигурация группы условий. Создание вложенной логической группы условий NOT, присоединенной к первым условиям, с помощью логического И
"... сообщение электронной почты отправляется от кого-то из финансовой команды..."	- Условие соответствия: Отправитель является членом
"... и ..."	- Условие соответствия: добавление второго условия в группу NOT
"... в ..."adele.vance@fabrikam.com	- Условие для соответствия: Sender is
"... Уведомить..."	- Уведомления пользователей: советы по включенной - политике: включено
"... администратор соответствия требованиям каждый раз, когда сообщение электронной почты блокируется, и уведомляет пользователя, отправившего элемент..."	- Советы по политике: включено - Уведомлять этих пользователей: выберите Пользователь, отправивший, поделившийся или изменивший содержимое. Выберите - Отправить сообщение электронной почты этим дополнительным пользователям: добавьте адрес электронной почты администратора соответствия требованиям.-
"... и никто не может быть разрешен переопределить блок...	- Разрешить переопределения из служб M365: не выбран
"... Отслеживайте все случаи этого события с высоким риском в журнале, и мы хотим, чтобы сведения о любых событиях были записаны и предоставлены для исследования.	- Используйте этот уровень серьезности в оповещениях и отчетах администратора: высокий уровень - Отправка оповещения администраторам при совпадении правила: выбран параметр - Отправить оповещение каждый раз, когда действие соответствует правилу: выбрано значение

Действия по созданию политики для сценария 1

Важно!

Для целей этой процедуры создания политики вы примите значения включения и исключения по умолчанию и оставить политику отключенной. Вы будете изменять их при развертывании политики.

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

Портал Microsoft Purview

1. Вход на портал Microsoft Purview

2. Откройте решение для защиты от потери данных и перейдите в раздел Политики>+ Создание политики.

3. Выберите Настраиваемые в списке Категории .

4. Выберите Настраиваемый в списке Правила .

5. Нажмите кнопку Далее.

6. Присвойте политике имя иописание. Инструкцию намерения политики можно использовать здесь.

   Важно!

   Невозможно переименовать политики

7. Нажмите кнопку Далее.

8. Назначение единиц администрирования. Чтобы применить политику ко всем пользователям, примите параметр по умолчанию.

9. Нажмите кнопку Далее.

10. Выберите, куда следует применить политику. Выберите только расположение электронной почты Exchange . Отмените выбор всех остальных расположений.

11. Нажмите кнопку Далее.

12. На странице Определение параметров политики уже должен быть выбран параметр Создание или настройка расширенных правил защиты от потери данных .

13. Нажмите кнопку Далее.

14. Выберите Создать правило. Назовите правило и укажите описание.

15. В разделе Условия выберите Добавить условие>Содержимое содержит

16. (Необязательно) Введите имя группы.

17. (Необязательно) Выбор оператора Group

18. Выберите Добавить> типы >конфиденциальной информацииНомер кредитной карты.

19. Нажмите кнопку Добавить.

20. По-прежнему в разделе Содержимое содержится выберите Добавить>метки> конфиденциальностис высоким уровнем конфиденциальности, а затем нажмите кнопку Добавить.

21. Затем под разделом Содержимое содержит выберите Добавить группу.

22. Оставьте для логического оператора значение AND, а затем установите для переключателя значение NOT.

23. Выберите Добавить условие.

24. Выберите Отправитель является участником.

25. Выберите Добавить или удалить группы.

26. Выберите Команда по финансам , а затем нажмите кнопку Добавить.

27. Выберите Добавить условие>Получатель.

28. В поле электронной почты введите adele.vance@fabrikam.com и выберите Добавить .

29. В разделе Действия выберите Добавить действие>Ограничить доступ или зашифровать содержимое в расположениях Microsoft 365.

30. Выберите Блокировать получение электронной почты пользователями или доступ к общим файлам SharePoint, OneDrive и Teams, а затем выберите Блокировать всех.

31. Установите переключатель Уведомления пользователей в значение Вкл.

32. Выберите Email уведомления>Уведомлять пользователя, отправившего, поделившегося или последнего изменившего содержимое.

33. Укажите, следует ли вложить соответствующее сообщение электронной почты в уведомление.

34. Выберите, следует ли добавлять советы по политике.

35. В разделе Пользовательские ovverides убедитесь, что флажок Разрешить переопределения из приложений и служб Microsoft 365...не установлен.

36. В разделе Отчеты об инцидентах установите для параметра Использовать этот уровень серьезности в оповещениях и отчетах администратора значение Высокий.

37. Установите параметр Отправить оповещение каждый раз, когда действие соответствует переключателю правила вкл..

38. Выберите Сохранить.

39. Нажмите кнопку Далее, а затем — Запуск политики в режиме имитации.

40. Нажмите кнопку Далее , а затем нажмите кнопку Отправить.

41. Нажмите кнопку Готово.

Портал соответствия требованиям

1. Войдите в Портал соответствия требованиям Microsoft Purview>Solutions>Политики защиты>> от потери данных+ Создать политику.

2. Выберите Настраиваемые в списке Категории .

3. Выберите Настраиваемый в списке Правила , а затем нажмите кнопку Далее.

4. Присвойте политике имя.

   Важно!

   Политики не могут быть переименованы.

5. Заполните описание. Инструкцию намерения политики можно использовать здесь.

6. Нажмите кнопку Далее.

7. Примите значение по умолчанию Полный каталог в разделе Администратор единиц.

8. Установите состояние расположения электронной почты Exchange в положение Вкл. Отмените выбор всех остальных расположений.

9. Нажмите кнопку Далее.

10. Уже должен быть выбран параметр Создать или настроить расширенные правила защиты от потери данных . Нажмите кнопку Далее.

11. Выберите + Создать правило. Назовите правило и укажите описание.

12. В разделе Условия выберите Добавить условие>Содержимое содержит>> типы >конфиденциальной информацииНомер кредитной карты. Нажмите кнопку Добавить.

13. Выберите Добавить>метки>конфиденциальности Строго конфиденциальные. Нажмите кнопку Добавить.

14. Выберите Добавить группу>И>НЕ>добавить условие.

15. Выберите Отправитель является членом команды по добавлению>или удалению групп>рассылки.

16. Нажмите кнопку Добавить.

17. Выберите Добавить условие>Получатель. Добавьте adele.vance@fabrikam.com и нажмите кнопку Добавить.

18. В разделе Действие выберите Добавить и действие>Ограничить доступ или зашифровать содержимое в расположениях Microsoft 365.

19. Выберите Блокировать получение пользователями электронной почты или доступ к общим файлам SharePoint, OneDrive и Teams и элементам Power BI.

20. Выберите Блокировать всех.

21. Установите для уведомления пользователей значение Включено.

22. Выберите Email уведомление>Уведомлять этих людей:>пользователь, отправивший, поделившийся или изменивший содержимое.

23. В разделе Отправить сообщение электронной почты этим дополнительным пользователям и добавьте адрес электронной почты администратора соответствия требованиям.

24. В разделе Переопределения пользователей убедитесь, что параметр Разрешить переопределение из служб M365не выбран.

25. В разделе Отчеты об инцидентах установите для параметра Использовать этот уровень серьезности в оповещениях и отчетах администратора на высокий.

26. Установите параметр Отправить оповещение администраторам при совпадении с правилом значение Включено.

27. Выберите Отправить оповещение каждый раз, когда действие соответствует правилу.

28. Выберите Сохранить.

29. Нажмите кнопку Далее.

30. На странице Режим политики выберите Запуск политики в режиме имитации и нажмите кнопку Далее.

31. Нажмите кнопку Отправить , а затем — Готово.

Сценарий 2. Блокировка общего доступа к конфиденциальным элементам с помощью SharePoint и OneDrive в Microsoft 365 внешним пользователям

Для SharePoint и OneDrive в Microsoft 365 вы создаете политику, чтобы запретить общий доступ к конфиденциальным элементам внешним пользователям через SharePoint и OneDrive.

Сценарий 2. Предварительные требования и допущения

В этом сценарии используется метка конфиденциальности , поэтому требуется, чтобы вы создали и опубликовали метки конфиденциальности. Дополнительные сведения см. в статьях

• Сведения о метках конфиденциальности
• Начало работы с метками конфиденциальности
• Создание и настройка меток конфиденциальности и соответствующих политик

В этой процедуре используется гипотетическая группа распределения Human Resources и группа рассылки для группы безопасности на Contoso.com.

В этой процедуре используются оповещения, см. статью Начало работы с оповещениями защиты от потери данных.

Сценарий 2. Оператор намерения политики и сопоставление

Необходимо заблокировать доступ ко всем внешним получателям, содержащим номера социального страхования, кредиты карта данные или имеющие метку конфиденциальности "Конфиденциально". Мы не хотим, чтобы это применялось ни к кому из сотрудников отдела кадров. Мы также должны соответствовать требованиям к оповещениям. Мы хотим уведомлять нашу службу безопасности по электронной почте каждый раз, когда файл предоставляется к общему доступу, а затем блокируется. Кроме того, мы хотим, чтобы пользователь был оповещен по электронной почте и в интерфейсе, если это возможно. Наконец, мы не хотим создавать исключения из политики и должны иметь возможность видеть это действие в системе.

Statement	Ответы на вопрос о конфигурации и сопоставление конфигурации
"Нам нужно заблокировать весь общий доступ к элементам SharePoint и OneDrive всем внешним получателям..."	- Административный область: полный каталог - Где отслеживать: сайты SharePoint, учетные - записи OneDrive Условия для соответствия: Первое условие>, общее за пределами моей организации - Действие: ограничение доступа или шифрование содержимого в расположениях > Microsoft 365 Запретить пользователям получать электронную почту или доступ к общей папке SharePoint, OneDrive > Блокировать только людей за пределами организации
"... которые содержат номера социального страхования, кредиты карта данные или имеют метку конфиденциальности " Конфиденциально..."	- Что отслеживать: используйте пользовательское условие шаблона - для соответствия: создайте второе условие, присоединенное к первому условию с логическими условиями И - условия для совпадения: Второе условие, первая группа > условий Содержимое содержит типы конфиденциальной информации номер социального страхования США (SSN), конфигурация группы условий номера - кредитной карты Создание второй группы условий, подключенной к первой по логическому или - Условие для соответствия: вторая группа условий, вторая условие > Содержимое содержит любую из этих меток конфиденциальности Конфиденциально.
"... Мы не хотим, чтобы это применялось ни к кому из сотрудников отдела кадров...	- Где применяться , исключите учетные записи OneDrive группы по персоналу
"... Мы хотим уведомлять нашу службу безопасности по электронной почте каждый раз, когда файл предоставляется, а затем блокируется..."	- Отчеты об инцидентах. Отправка оповещения администраторам при совпадении - правила Отправка оповещений по электронной почте этим людям (необязательно): добавьте команду - безопасности Отправлять оповещение каждый раз, когда действие соответствует правилу: выберите - Использовать отчеты об инцидентах электронной почты, чтобы уведомлять вас о совпадении политики: На - странице Отправка уведомлений этим пользователям: добавьте отдельных администраторов по мере необходимости - .В отчет также можно включить следующие сведения: Выберите все параметры.
"... Кроме того, мы хотим, чтобы пользователь был оповещен по электронной почте и в интерфейсе, если это возможно..."	- Уведомления пользователей: на - уведомлении об использовании в Office 365 с подсказкой политики: выбран
"... Наконец, мы не хотим каких-либо исключений из политики и должны иметь возможность видеть это действие в системе..."	-Переопределения пользователей: не выбрано

Если условия настроены, сводка выглядит следующим образом:

Действия по созданию политики для сценария 2

Важно!

Для этой процедуры создания политики политика будет отключена. Они изменяются при развертывании политики.

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

Портал Microsoft Purview

1. Вход на портал Microsoft Purview

2. ВыберитеПолитики>защиты от> потери данных + Создать политику.

3. Выберите Настраиваемый в списке Категории и в списке Правила .

4. Нажмите кнопку Далее.

5. Присвойте политике имя иописание. Инструкцию намерения политики можно использовать здесь.

   Важно!

   Политики не могут быть переименованы.

6. Нажмите кнопку Далее.

7. Примите полный каталог по умолчанию на странице Назначение единиц администрирования .

8. Нажмите кнопку Далее.

9. Выберите, куда следует применить политику.

   1. Убедитесь, что выбраны расположения сайтов SharePoint и учетных записей OneDrive .
   2. Отмените выбор всех остальных расположений.
   3. Выберите Изменить в столбце Область рядом с пунктом Учетные записи OneDrive.
   4. Выберите Все пользователи и группы , а затем выберите Исключить пользователей и группы.
   5. Выберите +Исключить , а затем — Исключить группы.
   6. Выберите Кадровые ресурсы.

10. Нажмите кнопку Готово , а затем нажмите кнопку Далее.

11. На странице Определение параметров политики уже должен быть выбран параметр Создать или настроить расширенные правила защиты от потери данных . Нажмите кнопку Далее.

12. На странице Настройка расширенных правил защиты от потери данных выберите + Создать правило.

13. Присвойте правилу имя и описание.

14. Выберите Добавить условие и используйте следующие значения:

    1. Выберите Содержимое предоставлено из Microsoft 365.
    2. Выберите людей за пределами моей организации.

15. Выберите Добавить условие , чтобы создать второе условие и использовать эти значения.

    1. Выберите Содержимое содержит.

16. Выберите Добавить>метки> конфиденциальности, а затем — Конфиденциально.

17. Нажмите кнопку Добавить.

18. В разделе Действия добавьте действие со следующими значениями:

    1. Ограничьте доступ или зашифруйте содержимое в расположениях Microsoft 365.
    2. Блокировать только людей за пределами организации.

19. Установите переключатель Уведомления пользователей в значение Вкл.

20. Выберите Уведомлять пользователей в Office 365 службах с помощью подсказки политики, а затем выберите Уведомить пользователя, отправившего, поделившегося или последнего изменения содержимого.

21. В разделе Переопределения пользователей установите флажок Разрешить переопределение из служб M365НЕ установлен.

22. В разделе Отчеты об инцидентах:

    1. Установите для параметра Использовать этот уровень серьезности в оповещениях и отчетах администратора значение Низкий.
    2. Установите переключатель Отправить оповещение администраторам при совпадении правила в значение Вкл.

23. В разделе Отправка оповещений по электронной почте этим людям (необязательно) выберите + Добавить или удалить пользователей , а затем добавьте адрес электронной почты группы безопасности.

24. Нажмите кнопку Сохранить , а затем нажмите кнопку Далее.

25. На странице Режим политики выберите Запуск политики в режиме имитации и Показать подсказки политики в режиме имитации.

26. Нажмите кнопку Далее , а затем нажмите кнопку Отправить.

27. Нажмите кнопку Готово.

Портал соответствия требованиям

1. В Портал соответствия требованиям Microsoft Purview перейдите к разделу Решения>Политики> защиты > отпотери данных+ Создать политику.

2. Выберите Настраиваемые в списке Категории и выберите Пользовательская политика в списке Правила .

3. Нажмите кнопку Далее.

4. Присвойте политике имя.

   Важно!

   Политики не могут быть переименованы.

5. Заполните описание. Инструкцию намерения политики можно использовать здесь.

6. Нажмите кнопку Далее.

7. Примите значение по умолчанию Полный каталог в разделе Администратор единиц.

8. Нажмите кнопку Далее.

9. Задайте расположения сайтов SharePoint и учетных записей OneDrive , отмените выбор всех остальных расположений.

10. Изменитеобласть учетных записей OneDrive. Выберите Все пользователи и группа>Исключить пользователей и группы>+ Исключить>группы и добавьте группу Кадровые ресурсы .

11. Нажмите кнопку Готово.

12. Нажмите кнопку Готово.

13. Нажмите кнопку Далее.

14. На странице Определение параметров политики уже должен быть выбран параметр Создать или настроить расширенные правила защиты от потери данных . Нажмите кнопку Далее.

15. Выберите Создать правило. Назовите правило и укажите описание.

16. В разделе Условия выберите + Добавить условие>Содержимое предоставляется из Microsoft 365>пользователям за пределами моей организации.

17. Выберите Добавить условие.

18. Выберите Содержимое содержит> типы >"Добавить>конфиденциальную информацию"(U.S.SSN) и "Номер кредитной карты". Нажмите кнопку Добавить.

19. Нажмите Создать группу. Задайте для логического оператора значение OR.

20. Выберите >Добавить>метки> конфиденциальности и Конфиденциально.

21. Нажмите Добавить.

22. В разделе Действия выберите Добавить действие>Ограничить доступ или зашифровать содержимое в расположениях> Microsoft 365Блокировать только людей за пределами организации.

23. Установите для уведомления пользователей значение Включено.

24. Выберите Уведомлять пользователей в службах Office 365 с помощью подсказки> политикиУведомлять пользователя, отправившего, поделившегося или последнего изменения содержимого.

25. В разделе Переопределения пользователей убедитесь, что параметр Разрешить переопределение из служб M365не выбран.

26. В разделе Отчеты об инцидентах установите этот уровень серьезности в оповещениях и отчетах администратора на низкий.

27. Установите параметр Отправить оповещение администраторам при совпадении с правилом значение Включено.

28. В разделе Отправка оповещений по электронной почте этим пользователям (необязательно) выберите + Добавить или удалить пользователей.

29. Добавьте адрес электронной почты группы безопасности.

30. Выберите Отправить оповещение каждый раз, когда действие соответствует правилу.

31. Выберите Сохранить.

32. Нажмите кнопку Далее.

33. На странице Режим политики выберите Запустить политику в режиме имитации.

34. Нажмите кнопку Далее , а затем нажмите кнопку Отправить.

35. Нажмите кнопку Готово.

Развертывание

Успешное развертывание политики — это не только получение политики в среде для применения элементов управления действиями пользователей. Случайное и торопливое развертывание может негативно повлиять на бизнес-процесс и раздражить пользователей. Эти последствия замедляют принятие технологии защиты от потери данных в организации и ее безопасное поведение. В конечном итоге делает конфиденциальные элементы менее безопасными в долгосрочной перспективе.

Перед началом развертывания убедитесь, что вы ознакомились с развертыванием политики. В нем содержатся общие сведения о процессе развертывания политики и общие рекомендации.

В этом разделе подробно описаны три типа элементов управления, которые используются совместно для управления политиками в рабочей среде. Помните, что вы можете изменить любой из них в любое время, а не только во время создания политики.

Три оси управления развертыванием

Существует три оси, которые можно использовать для управления процессом развертывания политики, область, состоянием политики и действиями. При развертывании политики всегда следует применять добавочный подход, начиная от режима наименьшего влияния или моделирования до полного применения.

Рекомендуемые конфигурации элементов управления развертыванием

Если политика находится в состоянии	Политика область может быть	Влияние действий политики
Запуск политики в режиме имитации	Политика область расположений может быть узкой или широкой	— Вы можете настроить любое действие — настраиваемые действия не влияют на пользователя. Администратор видит оповещения и может отслеживать действия.
Запуск политики в режиме имитации с помощью советов по политикам	Политика должна быть ограничена для пилотной группы, а затем развернуть область по мере настройки политики.	— Вы можете настроить любое действие . Пользователь не влияет на пользователей от настроенных действий . Пользователи могут получать советы и оповещения политики. Администратор видит оповещения и может отслеживать действия.
Включите его	Все экземпляры целевого расположения	— Все настроенные действия применяются к действиям пользователей— Администратор видит оповещения и может отслеживать действия.
Не закрывать	н/д	н/д

State

State — это основной элемент управления, используемый для развертывания политики. Завершив создание политики, вы задали ее состояние так, чтобы она была отключена. Вы должны оставить его в этом состоянии, пока вы работаете над конфигурацией политики, пока не получите окончательную проверку и не выйдете. Для состояния можно задать следующее:

• Запуск политики в режиме имитации: действия политики не применяются, события проверяются. Находясь в этом состоянии, вы можете отслеживать влияние политики в обзоре режима имитации защиты от потери данных и консоли обозревателя действий DLP.
• Запустите политику в режиме имитации и покажите советы политики в режиме имитации. Действия не применяются, но пользователи получают подсказки политики и уведомления по электронной почте, чтобы повысить их осведомленность и обучить их.
• Включите его сразу: это режим полного принудительного применения.
• Не выключите ее: политика неактивна. Используйте это состояние при разработке и проверке политики перед развертыванием.

Состояние политики можно изменить в любое время.

Действия

Действия — это действия, выполняемые политикой в ответ на действия пользователей с конфиденциальными элементами. Так как вы можете изменить их в любое время, вы можете начать с минимального влияния: Разрешить (для устройств) и Только аудит (для всех остальных расположений), собрать и просмотреть данные аудита и использовать их для настройки политики, прежде чем переходить к более строгим действиям.

• Разрешить. Действия пользователя разрешены, поэтому бизнес-процессы не затрагиваются. Вы получаете данные аудита, и нет уведомлений или оповещений пользователей.

  Примечание.

  Действие Разрешить доступно только для политик, ограниченных расположением устройств .

• Только аудит. Действия пользователя разрешены, поэтому бизнес-процессы не затрагиваются. Вы получаете данные аудита и можете добавлять уведомления и оповещения, чтобы повысить осведомленность и обучить пользователей понимать, что то, что они делают, является рискованным поведением. Если ваша организация намерена применить более строгие меры позже, вы также можете сообщить об этом своим пользователям.

• Блокировать с переопределением. Действия пользователя блокируются по умолчанию. Вы можете выполнять аудит события, создавать оповещения и уведомления. Это влияет на бизнес-процесс, но пользователям предоставляется возможность переопределить блок и указать причину для переопределения. Так как вы получаете прямые отзывы от пользователей, это действие может помочь вам определить ложноположительные совпадения, которые можно использовать для дальнейшей настройки политики.

  Примечание.

  Для Exchange Online и SharePoint в Microsoft 365 переопределения настраиваются в разделе уведомлений пользователя.

• Блокировать. Действия пользователя блокируются независимо от того, что. Вы можете выполнять аудит события, создавать оповещения и уведомления.

Политика область

Каждая политика ограничена одним или несколькими расположениями, такими как Exchange, SharePoint в Microsoft 365, Teams и устройства. По умолчанию при выборе расположения все экземпляры этого расположения попадают под область и ни один из них не исключается. Вы можете дополнительно уточнить, к каким экземплярам расположения (например, сайты, группы, учетные записи, группы рассылки, почтовые ящики и устройства), к которым применяется политика, настроив параметры включения и исключения для расположения. Дополнительные сведения о параметрах включения и исключения области см. в разделе Расположения.

Как правило, у вас есть больше гибкости с определением области, пока политика находится в состоянии Запуск политики в режиме имитации , так как никакие действия не выполняются. Вы можете начать с область, для чего вы разработали политику, или ознакомиться с тем, как политика повлияет на конфиденциальные элементы в других местах.

Затем при изменении состояния на Запуск политики в режиме имитации и выводе подсказок политики следует сузить область до пилотной группы, которая может дать вам отзывы и быть ранними последователями, которые могут быть ресурсом для других пользователей, когда они будут подключены.

При перемещении политики, чтобы включить ее сразу, вы расширяете область, включив все экземпляры расположений, которые вы планировали при разработке политики.

Этапы развертывания политики

1. Создав политику и установив для нее состояние Не отключено, выполните окончательный обзор с заинтересованными лицами.
2. Измените состояние на Запуск политики в режиме имитации. Расположение область на этом этапе может быть широким, поэтому вы можете собирать данные о поведении политики в нескольких расположениях или просто начинать с одного расположения.
3. Настройте политику на основе данных о поведении, чтобы она лучше соответствовала бизнес-намерениям.
4. Измените состояние на Запуск политики в режиме имитации и отображение подсказок политики. Уточните область расположений для поддержки пилотной группы, если это необходимо, и используйте включения и исключения, чтобы политика сначала была развернута в этой пилотной группе.
5. Соберите отзывы пользователей и данные об оповещениях и событиях, при необходимости настройте политику и свои планы. Убедитесь, что вы убираете все проблемы, возникающие у пользователей. Пользователи, скорее всего, столкнутся с проблемами и возникнут вопросы о вещах, о которых вы не думали на этапе разработки. На этом этапе создайте группу суперпользователей. Они могут быть ресурсом для обучения других пользователей, так как область политики увеличивается и все больше пользователей вступают в состав. Прежде чем перейти к следующему этапу развертывания, убедитесь, что политика достигла ваших целей управления.
6. Измените состояние, чтобы включить его сразу. Политика полностью развернута. Мониторинг оповещений защиты от потери данных и обозреватель действий защиты от потери данных. Адреса оповещений.