Начало работы с чрезмерным распространением всплывающих окон

При настройке соответствующей политики Защита от потери данных Microsoft Purview (DLP) защита от потери данных будет проверка сообщения электронной почты перед отправкой любых помеченных или конфиденциальных данных и применить действия, определенные в политике защиты от потери данных.

Всплывающее окно oversharing — это функция E5.

Важно!

Это гипотетический сценарий с гипотетическими значениями. Это только в иллюстративных целях. Следует заменить собственные типы конфиденциальной информации, метки конфиденциальности, группы рассылки и пользователей.

Важно!

Чтобы определить минимальную версию Outlook, которая поддерживает эту функцию, используйте таблицу возможностей Outlook и строку Предотвращение чрезмерного совместного использования в качестве подсказки политики защиты от потери данных.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Подготовка к работе

Лицензирование SKU/подписки

Прежде чем приступить к использованию политик защиты от потери данных, подтвердите подписку На Microsoft 365 и все надстройки.

Сведения о лицензировании см. в статье Подписки Microsoft 365, Office 365, Enterprise Mobility + Security и Windows 11 для предприятий.

Поддерживается лицензия AIP P2

Разрешения

Учетная запись, используемая для создания и развертывания политик, должна быть членом одной из этих групп ролей.

• Администратор соответствия требованиям
• Администратор данных о соответствии требованиям
• Защита информации
• Администратор Information Protection
• Администратор безопасности

Важно!

Убедитесь, что вы понимаете разницу между неограниченным администратором и администратором с ограниченным доступом к административной единице , прочитайте статью Административные единицы , прежде чем начинать работу.

Детализированные роли и группы ролей

Существуют роли и группы ролей, которые можно использовать для точной настройки элементов управления доступом.

Ниже приведен список применимых ролей. Дополнительные сведения см. в разделе Разрешения в Портал соответствия требованиям Microsoft Purview.

• Управление соответствием требованиям DLP
• Администратор Information Protection
• Аналитик Information Protection
• Исследователь Information Protection
• Читатель Information Protection

Ниже приведен список применимых групп ролей. Дополнительные сведения см. в статье Дополнительные сведения о них см. в разделе Разрешения в Портал соответствия требованиям Microsoft Purview.

• Защита информации
• Администраторы Information Protection
• Аналитики Information Protection
• Исследователи Information Protection
• Читатели Information Protection

Необходимые условия

В Outlook для Microsoft 365 перед отправкой сообщения отображается всплывающее окно. Выберите Показать подсказку политики в качестве диалогового окна для пользователя, прежде чем отправлять подсказку политики при создании правила защиты от потери данных для расположения Exchange. В этом сценарии используется метка конфиденциальности , поэтому требуется, чтобы вы создали и опубликовали метки конфиденциальности. Дополнительные сведения см. в статьях

• Сведения о метках конфиденциальности
• Начало работы с метками конфиденциальности
• Создание и настройка меток конфиденциальности и соответствующих политик

В этой процедуре используется гипотетический домен компании по Contoso.com.

Назначение и сопоставление политики

Необходимо заблокировать сообщения электронной почты всем получателям, к которым применяется метка конфиденциальности, за исключением случаев, когда домен получателя contoso.com. Мы хотим уведомить пользователя об отправке с помощью всплывающего диалога, и никто не может переопределить блок.

Statement	Ответы на вопрос о конфигурации и сопоставление конфигурации
"Нам нужно заблокировать сообщения электронной почты всем получателям..."	- Мониторинг: Административный область Exchange- : Действие полного каталога - : ограничение доступа или шифрование содержимого в расположениях > Microsoft 365 Блокировать получение электронной почты или доступ к общим файлам > SharePoint, OneDrive и Teams Блокировать всех
"... к которым применена метка конфиденциальности "строго конфиденциальности...".	- Что отслеживать: используйте настраиваемые условия шаблона - для соответствия: измените его, чтобы добавить метку конфиденциальности
"... за исключением случаев, если..."	Конфигурация группы условий . Создание вложенной логической группы условий NOT, присоединенной к первым условиям, с помощью логического И
"... домен получателя — contoso.com".	Условие для соответствия: домен получателя —
"... Уведомить..."	Уведомления пользователей: включено
"... пользователь при отправке с диалогом всплывающего окна..."	Советы по политике: выберите - Показать подсказку политики в качестве диалогового окна для конечного пользователя перед отправкой: выбрано
"... и никто не может быть разрешен переопределить блок...	Разрешить переопределения из служб M365: не выбран

Чтобы настроить всплывающие окна с текстом по умолчанию, правило защиты от потери данных должно включать следующие условия:

• Содержимое содержит > метки конфиденциальности. >Выберите метки конфиденциальности

и условие на основе получателя

• Получатель
• Получатель входит в группу
• Домен получателя

При выполнении этих условий подсказка политики отображает недоверенных получателей, пока пользователь пишет сообщение в Outlook перед отправкой.

Действия по настройке параметра "ожидание отправки"

При необходимости можно задать параметр dlpwaitonsendtimeout Regkey (значение в dword) на всех устройствах, которые вы хотите реализовать "ожидание при отправке" для всплывающих окон из общего доступа. Этот раздел реестра определяет максимальное время хранения сообщения электронной почты при выборе пользователем кнопки Отправить. Это позволяет выполнить оценку политики защиты от потери данных для помеченного или конфиденциального содержимого. Он находится в:

*Software\Policies\Microsoft\office\16.0\Outlook\options\Mail*

Этот regKey можно задать с помощью групповой политики (укажите время ожидания для оценки конфиденциального содержимого), скрипта или другого механизма настройки разделов реестра.

Если вы используете групповая политика, убедитесь, что вы скачали последнюю версию файлов административных шаблонов групповая политика для Приложения Microsoft 365 для предприятий и перейдите к этому параметру в разделе Конфигурация >> пользователей Административные шаблоны >> Microsoft Office Параметры безопасности 2016 >>г. Если вы используете службу "Облачная политика" для Microsoft 365, найдите параметр по имени, чтобы настроить его.

Если это значение задано и настроена политика защиты от потери данных, сообщения электронной почты проверяются на наличие конфиденциальной информации перед отправкой. Если сообщение содержит соответствие условиям, определенным в политике, перед нажатием кнопки Отправить появится уведомление о подсказке политики.

Этот regKey позволяет указать поведение "ожидание при отправке" в клиентах Outlook. Вот что означает каждый из параметров.

Не настроено или отключено: это значение по умолчанию. Если dlpwaitonsendtimeout не настроено, сообщение не проверяется перед отправкой пользователем. Сообщение электронной почты будет отправлено без приостановки при нажатии кнопки Отправить . Служба классификации данных защиты от потери данных оценит сообщение и применит действия, определенные в политике защиты от потери данных.

Включено: сообщение электронной почты проверяется при нажатии кнопки Отправить , но перед отправкой сообщения. Можно задать ограничение по времени ожидания завершения оценки политики защиты от потери данных (значение T в секундах). Если оценка политики не завершена в указанное время, появится кнопка Отправить в любом случае, которая позволяет пользователю обойти предварительное проверка. Диапазон значений T — от 0 до 9999 секунд.

Важно!

Если значение T больше 9999, оно будет заменено 10000 и кнопка Отправить в любом случае не появится. Сообщение будет храниться до тех пор, пока не завершится вычисление политики без возможности переопределения пользователя. Длительность завершения оценки может отличаться в зависимости от таких факторов, как скорость Интернета, длина содержимого и количество определенных политик. Некоторые пользователи могут чаще сталкиваться с сообщениями об оценке политики, чем другие, в зависимости от того, какие политики развернуты в их почтовом ящике.

Дополнительные сведения о настройке и использовании объекта групповой политики см. в статье Администрирование групповая политика в управляемом домене Доменные службы Microsoft Entra.

Действия по созданию политики защиты от потери данных для всплывающего окна переохвачений

Важно!

Для целей этой процедуры создания политики вы примите значения включения и исключения по умолчанию и оставить политику отключенной. Вы будете изменять их при развертывании политики.

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

Портал Microsoft Purview

1. Войдите на портал >Microsoft PurviewПолитики защиты от> потери данных.

2. Выберите + Создать политику.

3. Выберите Настраиваемые в списке Категории .

4. Выберите Настраиваемые в списке Шаблоны .

5. Присвойте политике имя.

   Важно!

   Политики не могут быть переименованы.

6. Заполните описание. Инструкцию намерения политики можно использовать здесь.

7. Нажмите кнопку Далее.

8. Выберите Полный каталогв разделе Администратор единиц.

9. Установите состояние расположения электронной почты Exchange в положение Вкл. Задайте для всех остальных расположений значение Выкл.

10. Нажмите кнопку Далее.

11. Примите значения по умолчанию для значений Включить = все и Исключить = нет.

12. Уже должен быть выбран параметр Создать или настроить расширенные правила защиты от потери данных .

13. Нажмите кнопку Далее.

14. Выберите Создать правило. Назовите правило и укажите описание.

15. Выберите Добавить условие>Содержимое содержит>метки>конфиденциальности>с высоким уровнем конфиденциальности. Нажмите кнопку Добавить.

16. Выберите Добавить группу>И>НЕ>добавить условие.

17. Выберите Домен получателя contoso.com>. Нажмите кнопку Добавить.

    Совет

    Вы также можете использовать Recipient is или Recipient is member of , а не Recipient domain is для активации всплывающего окна oversharing.

18. Выберите Добавить действие>Ограничить доступ или зашифровать содержимое в расположениях Microsoft 365.

19. Выберите Блокировать получение пользователями электронной почты или доступ к общим файлам SharePoint, OneDrive и Teams, а также элементам Power BI.

20. Выберите Блокировать всех.

21. Установите переключатель Уведомления пользователей в значение Вкл.

22. Выберите Советы политики>. Показать подсказку политики в качестве диалогового окна для конечного пользователя перед отправкой (доступно только для рабочей нагрузки Exchange).

23. Если этот параметр выбран, снимите флажок Разрешить переопределение из служб M365 .

24. Выберите *Сохранить.

25. Измените переключатель Состояние на Вкл. , а затем нажмите кнопку Далее.

26. На странице Режим политики выберите Запустить политику в тестовом режиме и проверка поле для параметра Показывать советы политики в режиме имитации.

27. Нажмите кнопку Далее , а затем нажмите кнопку Отправить.

Портал соответствия требованиям

1. Войдите в Портал соответствия требованиям Microsoft Purview>Solutions>Политики защиты>> от потери данных+ Создать политику.

2. Выберите Настраиваемые в списке Категории .

3. Выберите Настраиваемые в списке Шаблоны .

4. Присвойте политике имя.

   Важно!

   Политики не могут быть переименованы.

5. Заполните описание. Инструкцию намерения политики можно использовать здесь.

6. Нажмите кнопку Далее.

7. Выберите Полный каталогв разделе Администратор единиц.

8. Установите состояние расположения электронной почты Exchange в положение Вкл. Задайте для всех остальных расположений значение Выкл.

9. Нажмите кнопку Далее.

10. Примите значения по умолчанию для значений Включить = все и Исключить = нет.

11. Уже должен быть выбран параметр Создать или настроить расширенные правила защиты от потери данных .

12. Нажмите кнопку Далее.

13. Выберите Создать правило. Назовите правило и укажите описание.

14. Выберите Добавить условие>Содержимое содержит>метки>конфиденциальности>с высоким уровнем конфиденциальности. Нажмите кнопку Добавить.

15. Выберите Добавить группу>И>НЕ>добавить условие.

16. Выберите Домен получателя contoso.com>. Нажмите кнопку Добавить.

    Совет

    Recipient is and Recipient is the member of также можно использовать на предыдущем шаге и активировать всплывающее окно oversharing.

17. Выберите Добавить действие>Ограничить доступ или зашифровать содержимое в расположениях> Microsoft 365Ограничение доступа или шифрование содержимого в расположениях> Microsoft 365. Запретить пользователям получать электронную почту или получать доступ к общему файлу SharePoint, OneDrive и Teams.>Блокировать всех.

18. Установите для уведомления пользователей значение Включено.

19. Выберите Советы политики>. Показать подсказку политики в качестве диалогового окна для конечного пользователя перед отправкой.

20. Убедитесь, что параметр Разрешить переопределение из служб M365не выбран.

21. Выберите Сохранить.

22. Нажмите кнопку Далее>отключить следующую>>отправку.

Шаги PowerShell для создания политики

Политики и правила защиты от потери данных также можно настроить в PowerShell. Чтобы настроить переобученные всплывающие окна с помощью PowerShell, сначала создайте политику защиты от потери данных (с помощью PowerShell) и добавьте правила защиты от потери данных для каждого типа всплывающего окна предупреждения, обоснования или блокировки.

Вы настроите и область политику защиты от потери данных с помощью New-DlpCompliancePolicy. Затем вы настроите каждое правило oversharing с помощью New-DlpComplianceRule.

Чтобы настроить новую политику защиты от потери данных для сценария всплывающего окна oversharing, используйте следующий фрагмент кода:

PS C:\> New-DlpCompliancePolicy -Name <DLP Policy Name> -ExchangeLocation All

Этот пример политики защиты от потери данных распространяется на всех пользователей в вашей организации. Оставьте область политик защиты от потери данных с помощью -ExchangeSenderMemberOf и -ExchangeSenderMemberOfException.

Параметр	Конфигурация
-ContentContainsSensitiveInformation	Настраивает одно или несколько условий меток конфиденциальности. Этот пример включает один из них. По крайней мере одна метка является обязательной.
-ExceptIfRecipientDomainIs	Список доверенных доменов.
-NotifyAllowOverride	"WithJustification" включает переключатели обоснования, а "Безоправие" отключает их.
-NotifyOverrideRequirements	Параметр WithAcknowledgement включает новый параметр подтверждения. Этот шаг необязательный.

Чтобы настроить новое правило защиты от потери данных для создания всплывающего окна предупреждения с помощью доверенных доменов, выполните этот код PowerShell.

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator="Or";name="Default";labels=@(@{name=<Label GUID>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")

Чтобы настроить новое правило защиты от потери данных для создания всплывающего окна "Оправдание " с помощью доверенных доменов, выполните этот код PowerShell.

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com") -NotifyAllowOverride "WithJustification"

Чтобы настроить новое правило защиты от потери данных для создания блочного всплывающего окна с помощью доверенных доменов, выполните этот код PowerShell.

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")

Используйте эти процедуры для доступа к X-заголовку бизнес-обоснования.

См. также

• Начало работы с панелью мониторинга оповещений о защите от потери данных
• Создание и развертывание политик защиты от потери данных