Referens för dataförlustskydd
Viktigt
Det här är referensavsnittet är inte längre huvudresursen Microsoft 365 skydd mot dataförlust (DLP). DLP-innehållsuppsättningen uppdateras och struktureras om. Artiklarna i den här artikeln flyttas till nya, uppdaterade artiklar. Mer information om DLP finns i Läs mer om skydd mot dataförlust.
Anteckning
Funktioner för skydd mot dataförlust har nyligen lagts till i Microsoft Teams chatt- och kanalmeddelanden för användare som är licensierade för Office 365 Advanced Compliance, som är tillgängligt som ett fristående alternativ och ingår i Office 365 E5 och Microsoft 365 E5 Compliance. Mer information om licenskrav finns i Vägledning Microsoft 365 Tenant-Level om licensiering för tjänster.
Skapa och hantera DLP-principer
Du skapar och hanterar DLP-principer på sidan Skydd mot dataförlust i Microsoft 365 Efterlevnadscenter.
Justera regler så att de blir lättare eller svårare att matcha
När användare skapar och aktiverar sina DLP-principer kan de ibland få följande problem:
För mycket innehåll som inte är känslig information matchar reglerna, med andra ord för många falska positiva resultat.
För lite innehåll som är känslig information matchar reglerna. Skyddsåtgärder upprätthålls alltså inte för den känsliga informationen.
För att åtgärda dessa problem kan du justera reglerna genom att justera antalet förekomster och matcha precisionen för att göra det svårare eller lättare för innehållet att matcha reglerna. Varje typ av känslig information som används i en regel har både antal förekomster och matchningsprecision.
Antal instanser
Antal förekomster innebär bara hur många förekomster av en viss typ av känslig information som måste finnas för att innehållet ska matcha regeln. Innehåll matchar till exempel regeln nedan om mellan 1 och 9 unika usa eller Storbritannien. passnummer identifieras.
Anteckning
Antalet förekomster omfattar endast unika matchningar för typer av känslig information och nyckelord. Om ett e-postmeddelande till exempel innehåller 10 förekomster av samma kreditkortsnummer räknas dessa tio förekomster som en enskild förekomst av ett kreditkortsnummer.
Om du vill använda antal instanser för att justera regler är vägledningen enkel:
För att regeln ska bli lättare att matcha minskar du minantalet och/eller ökar maxantalet. Du kan också ange maxvärdet för ett värde genom att ta bort det numeriska värdet.
Öka minantalet för att regeln ska bli svårare att matcha.
Vanligtvis använder du mindre restriktiva åtgärder, till exempel att skicka användarmeddelanden, i en regel med ett lägre antal instanser (till exempel 1–9). Och du använder mer restriktiva åtgärder, till exempel att begränsa åtkomsten till innehåll utan att tillåta åsidosättningar av användare, i en regel med ett högre antal instanser (till exempel 10-alla).
Matchningsprecision
Enligt beskrivningen ovan definieras och identifieras en typ av känslig information genom en kombination av olika typer av bevis. En typ av känslig information definieras ofta av flera sådana kombinationer, så kallade mönster. Ett mönster som kräver mindre bevis har en lägre matchningsprecision (eller konfidensnivå), medan ett mönster som kräver fler bevis har högre matchningsprecision (eller konfidensnivå). Mer information om de faktiska mönster och konfidensnivåer som används av alla typer av känslig information finns i Definitioner av typ av känslig information.
Den typ av känslig information som heter Kreditkortsnummer definieras till exempel med två mönster:
Ett mönster med konfidens på 65 % som kräver:
Ett tal i ett kreditkortsnummer.
Ett tal som klarar kontrollsumman.
Ett mönster med 85 % säkerhet som kräver:
Ett tal i ett kreditkortsnummer.
Ett tal som klarar kontrollsumman.
Ett nyckelord eller ett utgångsdatum i rätt format.
Du kan använda dessa konfidensnivåer (eller matchningsprecision) i reglerna. Vanligtvis använder du mindre restriktiva åtgärder, till exempel att skicka användarmeddelanden, i en regel med lägre matchningsprecision. Och du använder mer restriktiva åtgärder, till exempel att begränsa åtkomsten till innehåll utan att tillåta åsidosättningar av användare, i en regel med högre matchningsprecision.
Det är viktigt att förstå att när en viss typ av känslig information, t.ex. kreditkortsnummer, identifieras i innehåll returneras bara ett enda konfidensnivå:
Om alla matchningar gäller för ett enda mönster returneras konfidensnivån för det mönstret.
Om det finns matchningar för fler än ett mönster (det vill säga det finns träffar med två olika konfidensnivåer), returneras en konfidensnivå som är högre än något av de enskilda mönsteren. Det här är den knepiga delen. Om både 65 % och 85 % mönster matchas för ett kreditkort, är den konfidensnivå som returneras för den känsliga informationstypen större än 90 % eftersom fler bevis innebär mer förtroende.
Så om du vill skapa två ömsesidigt uteslutande regler för kreditkort, en för 65 % matchningsprecision och en för 85 % matchningsprecision, skulle intervallen för matchningsprecision se ut så här. Den första regeln tar endast upp matchningar för mönstret på 65 %. Den andra regeln tar upp matchningar med minst en matchning på 85 % och kan potentiellt ha andra matchningar med lägre förtroende.
Därför är vägledningen för att skapa regler med olika matchningsprecision:
Den lägsta konfidensnivån använder vanligtvis samma värde för min och max (inte ett intervall).
Den högsta konfidensnivån är vanligtvis ett intervall från strax över den lägre konfidensnivån till 100.
Konfidensnivåer mellan konfidensnivåer ligger normalt strax över den lägre konfidensnivån till strax under den högre konfidensnivån.
Använda en kvarhållningsetikett som ett villkor i en DLP-princip
När du använder en tidigare skapad och publicerad bevarandeetikett som ett villkor i en DLP-princip finns det några saker du bör känna till:
Bevarandeetiketten måste skapas och publiceras innan du kan använda den som ett villkor i en DLP-princip.
Publicerade bevarandeetiketter kan ta från en till sju dagar att synkronisera. Mer information finns i När bevarandeetiketter blir tillgängliga för bevarandeetiketter som publiceras i en bevarandeprincip och Hur lång tid det tar för de bevarandeetiketter som publiceras automatiskt att gälla.
Bevarandeetiketter stöds bara för objekt i SharePoint och OneDrive***.
Du kanske vill använda en bevarandeetikett i en DLP-princip om du har objekt som ligger under bevarande och disposition, och du även vill använda andra kontroller för dem, till exempel:
- Du publicerade en bevarandeetikett med namnet Moms år 2018, som när den används för skattedokument från 2018 som lagras i SharePoint behåller dem i tio år. Du vill inte heller att de objekten ska delas utanför organisationen, vilket du kan göra med en DLP-princip.
Viktigt
Det här felmeddelandet visas om du anger en bevarandeetikett som ett villkor i en DLP-princip och du även tar med Exchange och/eller Teams som en plats: "Skydda märkt innehåll i e-postmeddelanden och gruppmeddelanden stöds inte. Ta antingen bort etiketten nedan eller inaktivera Exchange och Teams som en plats". Det beror på Exchange transport inte utvärderar etikettmetadata vid sändning och leverans av meddelanden.
Använda en känslighetsetikett som ett villkor i en DLP-princip
Läs mer om att använda känslighetsetikett som ett villkor i DLP-principer.
Hur den här funktionen relaterar till andra funktioner
Flera funktioner kan användas på innehåll som innehåller känslig information:
Bevarandeetiketter och bevarandeprinciper kan både tillämpa bevarandeåtgärder på innehållet.
En DLP-princip kan tillämpa skyddsåtgärder på det här innehållet. Innan dessa åtgärder framtvingas kan det i en DLP-princip krävas att andra villkor uppfylls utöver det innehåll som innehåller en etikett.
Observera att en DLP-princip har bättre identifieringsfunktioner än en etikett- eller kvarhållningsprincip som används för känslig information. En DLP-princip kan tillämpa skyddsåtgärder för innehåll som innehåller känslig information och om den känsliga informationen tas bort från innehållet ångras skyddsåtgärderna nästa gång innehållet genomsöks. Men om en bevarandeprincip eller etikett används på innehåll som innehåller känslig information är det en enda åtgärd som inte kan ångras även om den känsliga informationen tas bort.
Genom att använda en etikett som ett villkor i en DLP-princip kan du tillämpa både bevarande- och skyddsåtgärder på innehåll med den etiketten. Du kan tänka på innehåll som innehåller en etikett exakt som innehåll som innehåller känslig information – både en etikett och en typ av känslig information används för att klassificera innehåll, så att du kan tillämpa åtgärder på innehållet.
Enkla inställningar jämfört med avancerade inställningar
När du skapar en DLP-princip väljer du mellan enkla eller avancerade inställningar:
Med enkla inställningar är det enkelt att skapa den vanligaste typen av DLP-princip utan att använda regelredigeraren för att skapa eller ändra regler.
Avancerade inställningar använder regelredigeraren för att ge dig fullständig kontroll över alla inställningar för DLP-principen.
Men oroa dig inte. Enkla inställningar och avancerade inställningar fungerar på exakt samma sätt under tvingande regler som utgörs av villkor och åtgärder, men med enkla inställningar visas inte regelredigeraren. Det är ett snabbt sätt att skapa en DLP-princip.
Enkla inställningar
Som mest är det vanligaste DLP-scenariot att skapa en princip som hjälper till att skydda innehåll som innehåller känslig information från att delas med personer utanför organisationen, och vidta en automatisk åtgärd, till exempel att begränsa vem som kan komma åt innehållet, skicka meddelanden till slutanvändare eller administratörer och granska händelsen för senare undersökning. Användare använder DLP för att förhindra att känslig information oavsiktligt delas.
Om du vill göra det enklare att uppnå detta mål kan du när du skapar en DLP-princip välja Använd enkla inställningar. Med de här inställningarna får du allt du behöver för att implementera den vanligaste DLP-principen utan att behöva gå in i regelredigeraren.
Avancerade inställningar
Om du behöver skapa mer anpassade DLP-principer kan du välja Använd avancerade inställningar.
I de avancerade inställningarna visas regelredigeraren, där du har fullständig kontroll över alla möjliga alternativ, inklusive antal förekomster och matchning av noggrannhet (konfidensnivå) för varje regel.
Om du snabbt vill hoppa till ett avsnitt klickar du på ett objekt i det övre navigeringsfältet i regelredigeraren för att gå till avsnittet nedan.
DLP-principmallar
Det första steget när du skapar en DLP-princip är att välja vilken information som ska skyddas. Genom att börja med en DLP-mall sparar du arbetet med att skapa en ny uppsättning regler från grunden och ta reda på vilka typer av information som ska ingå som standard. Du kan sedan lägga till eller ändra dessa krav för att finjustera regeln så att den uppfyller organisationens specifika krav.
En förkonfigurerad DLP-principmall kan hjälpa dig att identifiera särskilda typer av känslig information, t.ex. HIPAA-data, PENO-DSS-data, Gramm-Leach-Bliley Act-data eller till och med språkspecifik personligt identifierbar information (P.I.). För att göra det enkelt för dig att hitta och skydda vanliga typer av känslig information innehåller principmallarna i Microsoft 365 redan de vanligaste typerna av känslig information så att du kan komma igång.
Organisationen kan också ha egna specifika krav. I sådana fall kan du skapa en DLP-princip från grunden genom att välja alternativet Anpassad princip. En anpassad princip är tom och innehåller inga förinmade regler.
DLP-rapporter
När du har skapat och aktiverar DLP-principerna ska du kontrollera att de fungerar som du tänkt dig och hjälpa dig att uppfylla kraven. Med DLP-rapporter kan du snabbt se antalet matchningar och matchningar av DLP-regler över tid och antalet felaktiga matchningar och åsidosättanden. För varje rapport kan du filtrera matchningarna efter plats, tidsram och till och med begränsa det till en viss princip, regel eller åtgärd.
Med DLP-rapporterna kan du få affärsinsikter och:
Fokusera på vissa tidsperioder och förstå orsakerna till toppar och trender.
Upptäck affärsprocesser som strider mot organisationens efterlevnadsprinciper.
Förstå alla affärseffekter i DLP-principerna.
Du kan dessutom använda DLP-rapporterna för att finjustera DLP-principerna när du kör dem.
Så här fungerar DLP-principer
DLP identifierar känslig information med hjälp av djup innehållsanalys (inte bara en enkel genomsökning av text). Den djupa innehållsanalysen använder matchningar för nyckelord, matchningar i ordlistor, utvärdering av reguljära uttryck, interna funktioner och andra metoder för att identifiera innehåll som matchar dina DLP-principer. Potentiellt sett är endast en liten procentandel av alla data att betrakta som känsliga. En DLP-princip kan automatiskt identifiera, övervaka och skydda endast dessa data, utan att påverka eller påverka personer som arbetar med resten av innehållet.
Principer synkroniseras
När du har skapat en DLP-princip i Säkerhetsefterlevnadscenter lagras den i en central principkälla och synkroniseras sedan med de olika & innehållskällorna, till exempel:
Exchange Online och därifrån till Outlook på webben och Outlook.
OneDrive för företag webbplatser.
SharePoint Onlinewebbplatser.
Office -skrivbordsprogram (Excel, PowerPoint och Word).
Microsoft Teams kanaler och chattmeddelanden.
När principen har synkroniserats till rätt platser börjar den utvärdera innehåll och tillämpa åtgärder.
Principutvärderingar i OneDrive för företag och SharePoint onlinewebbplatser
I alla SharePoint onlinewebbplatser och OneDrive för företag ändras är dokumenten i ständig förändring – de skapas, redigeras, delas och så vidare. Det innebär att dokumenten när som helst kan gå i konflikt med eller bli kompatibla med en DLP-princip. En person kan till exempel ladda upp ett dokument som inte innehåller någon känslig information på gruppwebbplatsen, men någon annan person kan senare redigera samma dokument och lägga till känslig information i det.
Därför söker DLP-principerna igenom dokument ofta i bakgrunden efter principmatchning. Tänk på det som en asynkron principutvärdering.
Så här fungerar det
När andra lägger till eller ändrar dokument på sina webbplatser söker sökmotor igenom innehållet så att du kan söka efter det senare. När detta händer genomsöks även innehållet efter känslig information och för att kontrollera om det delas. Känslig information som hittas lagras på ett säkert sätt i sökindexet, så att bara efterlevnadsteamet kan komma åt den, men inte vanliga användare. Varje DLP-princip som du har aktiverat körs i bakgrunden (asynkront), söker ofta efter innehåll som matchar en princip och tillämpar åtgärder för att skydda den från oavsiktliga läckor.
Slutligen kan dokument vara i konflikt med en DLP-princip, men de kan också bli kompatibla med en DLP-princip. Om en person lägger till kreditkortsnummer i ett dokument kan det leda till att åtkomsten till dokumentet blockeras automatiskt av DLP-principen. Men om personen senare tar bort den känsliga informationen ångras åtgärden (i det här fallet blockeringen) automatiskt nästa gång dokumentet utvärderas mot principen.
DLP utvärderar allt innehåll som kan indexeras. Mer information om vilka filtyper som crawlas som standard finns i Filnamnstillägg som crawlas som standard och filtyper som analyseras i SharePoint Server.
Anteckning
För att förhindra att dokument delas innan DLP-principerna kunde analyseras kan delning av nya filer i SharePoint blockeras tills dess innehåll har indexerats. Mer information finns i Markera nya filer som känsliga som standard.
Principutvärderingar i Exchange Online, Outlook och Outlook på webben
När du skapar en DLP-princip som innehåller Exchange Online som en plats synkroniseras principen från säkerhetsefterlevnadscentret för Office 365 till Exchange Online och sedan från Exchange Online till & Outlook på webben och Outlook.
När ett meddelande skapas i Outlook kan användaren se principtips när innehållet som skapas utvärderas mot DLP-principer. När ett meddelande har skickats utvärderas det mot DLP-principer som en normal del av e-postflödet, tillsammans med Exchange-e-postflödesregler (kallas även transportregler) och DLP-principer som skapats i Exchange-administrationscentret. DLP-principer söker igenom både meddelandet och eventuella bifogade filer.
Principutvärdering i Office skrivbordsprogram
Excel, PowerPoint och Word har samma funktion för att identifiera känslig information och använda DLP-principer som SharePoint Online och OneDrive för företag. Dessa Office synkroniserar sina DLP-principer direkt från det centrala principarkivet och utvärderar sedan kontinuerligt innehållet mot DLP-principerna när personer arbetar med dokument som öppnas från en webbplats som ingår i en DLP-princip.
Utvärdering av DLP-Office har utformats för att inte påverka programmets prestanda eller produktiviteten för personer som arbetar med innehåll. Om användaren arbetar med ett stort dokument eller om användarens dator är upptagen kan det ta några sekunder innan ett principtips visas.
Principutvärdering i Microsoft Teams
När du skapar en DLP-princip som innehåller Microsoft Teams som en plats synkroniseras principen från säkerhetsefterlevnadscentret för Office 365 till användarkonton och Microsoft Teams kanaler och & chattmeddelanden. När någon försöker dela känslig information i ett Microsoft Teams-chatt- eller kanalmeddelande kan meddelandet blockeras eller återkallas, beroende på hur DLP-principerna är konfigurerade. Och dokument som innehåller känslig information och som delas med gäster (externa användare) öppnas inte för dessa användare. Mer information finns i Skydd mot dataförlust och Microsoft Teams.
Behörigheter
Som standard får globala administratörer, säkerhetsadministratörer och efterlevnadsadministratörer åtkomst till att skapa och tillämpa en DLP-princip. Andra medlemmar i efterlevnadsteamet som ska skapa DLP-principer behöver behörighet till & Säkerhetsefterlevnadscenter. Som standard har din innehavaradministratör åtkomst till den här platsen och kan ge efterlevnadsansvariga och andra personer tillgång till Säkerhetsefterlevnadscenter, utan att ge dem alla behörigheter som en & innehavaradministratör har. För att göra det rekommenderar vi att du:
Skapa en grupp i Microsoft 365 och lägg till efterlevnadsansvariga i den.
Skapa en rollgrupp på sidan Behörigheter i & Säkerhetsefterlevnad.
När du skapar rollgruppen använder du avsnittet Välj roller för att lägga till följande roll i rollgruppen: DLP-efterlevnadshantering.
Använd avsnittet Välj medlemmar för att lägga till Microsoft 365 grupp som du skapade före i rollgruppen.
Du kan också skapa en rollgrupp med endast visningsbehörighet för DLP-principerna och DLP-rapporter genom att ge rollen Endast visa-efterlevnadshantering för DLP.
Mer information finns i Ge användarna tillgång till Office 365 kompatibilitetscenter.
De här behörigheterna krävs endast för att skapa och tillämpa en DLP-princip. Tillämpning av policyer kräver inte åtkomst till innehållet.
Hitta DLP-cmdlet:arna
Om du vill använda de flesta cmdlets för & Säkerhetsefterlevnadscenter måste du:
Anslut till Office 365 säkerhet & Efterlevnadscenter med fjärr-PowerShell.
Använd någon av dessa cmdlets med policy-and-compliance-dlp.
Men DLP-rapporter behöver hämta data från hela Microsoft 365, inklusive Exchange Online. Därför är cmdlet:arna för DLP-rapporterna tillgängliga i Exchange Online Powershell – inte i Powershell för & säkerhetsefterlevnad. Om du vill använda cmdlet:arna för DLP-rapporterna måste du därför:
Använd någon av följande cmdlets för DLP-rapporter: