Изменение схемы точного соответствия данных для использования настраиваемого совпаденияModify Exact Data Match schema to use configurable match

Классификация на основе Exact Data Match (EDM) позволяет создавать пользовательские типы конфиденциальной информации, ссылающиеся на точные значения в базе данных конфиденциальной информации.Exact Data Match (EDM) based classification enables you to create custom sensitive information types that refer to exact values in a database of sensitive information. При необходимости разрешить варианты точной строки, можно использовать настраиваемое совпадение, чтобы Microsoft 365 игнорировал регистр и некоторые разделители.When you need to allow for variants of a exact string, you can use configurable match to tell Microsoft 365 to ignore case and some delimiters.

Важно!

Используйте эту процедуру для изменения существующей схемы EDM и файла данных.Use this procedure to modify an existing EDM schema and data file.

  1. Удалите EdmUploadAgent.exe с компьютера, который используется для подключения к Microsoft 365 для схемы EDM и загрузки файлов данных.Uninstall the EdmUploadAgent.exe from the computer that you use to connect to Microsoft 365 for EDM schema and data file upload purposes.

  2. Загрузите соответствующий файл EdmUploadAgent.exe для вашей подписки по ссылкам ниже:Download the appropriate EdmUploadAgent.exe file for your subscription using the links below:

    • Коммерческий + GCC — для большинства коммерческих клиентов;Commercial + GCC - most commercial customers should use this
    • GCC-High — специально для пользователей облачного хранилища для правительственных органов с высоким уровнем безопасности;GCC-High - This is specifically for high security government cloud subscribers
    • DoD — специально для пользователей облачного хранилища для Министерства обороны США.DoD - this is specifically for United States Department of Defense cloud customers
  3. Чтобы разрешить работу агента отправки EDM, откройте окно командной строки (в качестве администратора) и выполните следующую команду:Authorize the EDM Upload Agent, open Command Prompt window (as an administrator) and run the following command:

    EdmUploadAgent.exe /Authorize

  4. При отсутствии текущей копии существующей схемы, необходимо загрузить копию существующей схемы, выполните следующую команду:If you don't have a current copy of the existing schema, you'll need to download a copy of the existing schema, run this command:

    EdmUploadAgent.exe /SaveSchema /DataStoreName <dataStoreName> [/OutputDir [Output dir location]]

  5. Настройте схему таким образом, чтобы каждая колонка использовала "caseInsensitive" и/или "ignoredDelimiters".Customize the schema so each column utilizes “caseInsensitive” and / or “ignoredDelimiters”. Значение по умолчанию для "caseInsensitive" — false, а для "ignoredDelimiters" — пустая строка.The default value for “caseInsensitive” is “false” and for “ignoredDelimiters”, it is an empty string.

Примечание

Базовый настраиваемый или встроенный тип конфиденциальной информации, используемый для обнаружения общего шаблона регулярного выражения, должен поддерживать обнаружение входных вариаций, перечисленных с ignoredDelimiters.The underlying custom sensitive information type or built in sensitive information type used to detect the general regex pattern must support detection of the variations inputs listed with ignoredDelimiters. Например, встроенный в номер социального страхования США (SSN) тип конфиденциальной информации может обнаружить вариации в данных, которые включают тире, пробелы или отсутствие пробелов между сгруппированными числами, составляющими SSN.For example, the built in U.S. social security number (SSN) sensitive information type can detect variations in the data that include dashes, spaces, or lack of spaces between the grouped numbers that make up the SSN. В результате, единственными разделителями, которые необходимо включить в ignoredDelimiters EDM для данных SSN, являются тире и пробел.As a result, the only delimiters that are relevant to include in EDM’s ignoredDelimiters for SSN data are: dash and space.

Вот пример схемы, которая имитирует совпадение без учета регистра, создавая дополнительные столбцы, необходимые для распознавания вариаций регистра в конфиденциальных данных.Here is a sample schema that simulates case insensitive match by creating the extra columns needed to recognize case variations in the sensitive data.

<EdmSchema xmlns="http://schemas.microsoft.com/office/2018/edm">
  <DataStore name="PatientRecords" description="Schema for patient records policy" version="1">
           <Field name="PolicyNumber" searchable="true" />
           <Field name="PolicyNumberLowerCase" searchable="true" />
           <Field name="PolicyNumberUpperCase" searchable="true" />
           <Field name="PolicyNumberCapitalLetters" searchable="true" />
  </DataStore>
</EdmSchema>

В приведенном выше примере варианты исходного столбца PolicyNumber больше не требуются, если добавлены оба: caseInsensitive и ignoredDelimiters.In the above example, the variations of the original PolicyNumber column will no longer be needed if both caseInsensitive and ignoredDelimiters are added.

Чтобы обновить эту схему таким образом, чтобы EDM использовал настраиваемое соответствие, используйте флаги caseInsensitive и ignoredDelimiters.To update this schema so that EDM uses configurable match use the caseInsensitive and ignoredDelimiters flags. Вот как это выглядит:Here's how that looks:

<EdmSchema xmlns="http://schemas.microsoft.com/office/2018/edm">
  <DataStore name="PatientRecords" description="Schema for patient records policy" version="1">
         <Field name="PolicyNumber" searchable="true" caseInsensitive="true" ignoredDelimiters="-,/,*,#,^" />
  </DataStore>
</EdmSchema>

Флаг ignoredDelimiters поддерживает любые не буквенно-цифровые символы. Вот несколько примеров:The ignoredDelimiters flag supports any non-alphanumeric character, here are some examples:

  • ..
  • -
  • /
  • _
  • *
  • ^
  • #
  • !
  • ?
  • [
  • ]
  • {
  • }
  • \
  • ~
  • ;

Флаг ignoredDelimiters не поддерживает:The ignoredDelimiters flag doesn't support:

  • символы от 0 до 9characters 0-9
  • От А до ЯA-Z
  • от a до za-z
  • "
  • ,
  1. Подключитесь к Центру безопасности и соответствия требованиям, используя процедуры, описанные в статье Подключение к интерфейсу PowerShell Центра безопасности и соответствия требованиям.Connect to the Security & Compliance center using the procedures in Connect to Security & Compliance Center PowerShell.

Примечание

Если ваша организация настроила ключ клиента для Microsoft 365 на уровне клиента (общедоступная предварительная версия), точное соответствие данных будет автоматически использовать его функцию шифрования.If your organization has set up Customer Key for Microsoft 365 at the tenant level (public preview), Exact data match will make use of its encryption functionality automatically. Эта возможность доступна только лицензированным клиентам E5 в коммерческом облаке.This is available only to E5 licensed tenants in the Commercial cloud.

  1. Обновите схему, запустив эти командлеты по очереди:Update your schema by running these cmdlets one at a time:

$edmSchemaXml=Get-Content .\\edm.xml -Encoding Byte -ReadCount 0

Set-DlpEdmSchema -FileData $edmSchemaXml -Confirm:$true

  1. При необходимости обновите файл данных, чтобы он соответствовал новой версии схемыIf necessary, update the data file to match the new schema version

Совет

При желании можно запустить проверку CSV-файла перед загрузкой, запустив:Optionally, you can run a validation against your csv file before uploading by running:

EdmUploadAgent.exe /ValidateData /DataFile [data file] [schema file]

Для получения дополнительной информации обо всех поддерживаемых параметрах EdmUploadAgent.exe> запуститеFor more information on all the EdmUploadAgent.exe >supported parameters run

EdmUploadAgent.exe /?

  1. Откройте окно командной строки (в качестве администратора) и выполните следующую команду для хеширования и загрузки конфиденциальных данных:Open Command Prompt window (as an administrator) and run the following command to hash and upload your sensitive data:

    EdmUploadAgent.exe /UploadData /DataStoreName [DS Name] /DataFile [data file] /HashLocation [hash file location] /Salt [custom salt] /Schema [Schema file]