Skydd mot dataförlust och Microsoft Teams

  • Artikel
  • 3 minuter för att läsa

Om din organisation har skydd mot dataförlust (DLP) kan du definiera principer som hindrar personer från att dela känslig information i en Microsoft Teams kanal eller chattsession. Här är några exempel på hur skyddet fungerar:

  • Exempel 1: Skydda känslig information i meddelanden. Anta att någon försöker dela känslig information i en Teams chatt eller kanal med gäster (externa användare). Om en DLP-princip har definierats för att förhindra detta, tas meddelanden med känslig information som skickas till externa användare bort. Det sker automatiskt, och inom några sekunder, beroende på hur DLP-principen har konfigurerats.

    Anteckning

    DLP för Microsoft Teams blockerar känsligt innehåll när det delas Microsoft Teams användare som har:
    - gäståtkomst i team och kanaler; eller
    - extern åtkomst i möten och chattsessioner.

    DLP för externa chattsessioner fungerar bara om både avsändare och mottagare är i läget Teams och använder Microsoft Teams intern federation. DLP för Teams blockeras inte meddelanden i interop med Skype för företag externa eller icke-inbyggda federerade chattsessioner.

  • Exempel 2: Skydda känslig information i dokument. Anta att någon försöker dela ett dokument med gäster i en Microsoft Teams kanal eller chatt, och att dokumentet innehåller känslig information. Om en DLP-princip har definierats för att förhindra det öppnas inte dokumentet för dessa användare. Din DLP-princip måste SharePoint och OneDrive för att skyddet ska vara på plats. Det här är ett exempel på DLP för SharePoint som visas i Microsoft Teams och därför krävs att användarna är licensierade för Office 365 DLP (ingår i Office 365 E3), men att användarna inte måste vara licensierade för Office 365 Advanced Compliance.)

DLP-licensiering för Microsoft Teams

Funktioner för skydd mot dataförlust har utökats så att de omfattar Microsoft Teams chatt- och kanalmeddelanden, inklusive meddelanden i privata kanaler för:

  • Office 365 E5/A5/G5
  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5/G5 Informationsskydd och styrning
  • Microsoft 365 E5-A5/G5/F5 efterlevnad och F5 & efterlevnad

Office 365 och Microsoft 365 E3 DLP-skydd för SharePoint Online, OneDrive och Exchange Online. Det här omfattar även filer som delas via Teams eftersom Teams använder SharePoint Online och OneDrive för att dela filer.

Stöd för DLP-skydd i Teams chatt kräver E5.

Mer information om licenskrav finns i licensvägledning Microsoft 365 Tenant-Level Services Licensing Guidance.

Viktigt

DLP gäller endast för de faktiska meddelandena i chatten eller kanaltråden. Aktivitetsmeddelanden – som innehåller en kort förhandsgranskning och visas utifrån en användares meddelandeinställningar – tas inte med i Teams DLP. Känslig information som finns i den del av meddelandet som visas i förhandsgranskningen fortsätter att visas i meddelandet även efter att DLP-principen har tillämpats och tagit bort känslig information i själva meddelandet.

DLP-skyddets omfattning

DLP-skydd tillämpas olika på Teams enheter.

När principen omfattas av De Teams enheter Kommer att ha DLP-skydd tillgängligt
Enskilda användarkonton 1:1/n chattar Ja
Allmänna chattar Nej
privata kanaler Ja
Säkerhetsgrupper/distributionslistor 1:1/n chattar Ja
Allmänna chattar Nej
privata kanaler Ja
Microsoft 365 grupp 1:1/n chattar Nej
Allmänna chattar Ja
privata kanaler Nej

Principtips hjälper till att utbilda användare

På liknande sätt som DLP fungerar i Exchange, Outlook, Outlook på webben, SharePoint Online, OneDrive för företag-webbplatseroch Office-skrivbordsklienter visas principtips när en åtgärd utlöses med en DLP-princip. Här är ett exempel på ett principtips:

Meddelande om blockerat meddelande i Teams.

Här försökte avsändaren dela ett personnummer i en Microsoft Teams kanal. Länken Vad kan jag göra? öppnar en dialogruta med alternativ för att avsändaren ska kunna lösa problemet. Observera att avsändaren kan välja att åsidosätta principen eller meddela en administratör att granska och lösa den.

Alternativ för att lösa blockerade meddelanden.

I din organisation kan du välja att tillåta användare att åsidosätta en DLP-princip. När du konfigurerar DLP-principerna kan du använda standardprinciptipsen eller anpassa principtipsen för organisationen.

Gå tillbaka till exemplet där en avsändare delade ett personnummer i en Teams-kanal, så här såg mottagaren:

Meddelandet är blockerat.

Så här anpassar du principtips

Du måste ha tilldelats en roll som har behörighet att redigera DLP-principer för att kunna utföra den här uppgiften. Mer information finns i Behörigheter.

  1. Gå till efterlevnadscentret https://compliance.microsoft.com () och logga in.

  2. Välj Policy för skydd mot > dataförlust.

  3. Välj en princip och välj Redigera bredvid Principinställningar.

  4. Skapa antingen en ny regel eller redigera en befintlig regel för principen.

    Redigera en regel för en princip.

  5. På fliken Användarmeddelanden väljer du Anpassa e-posttexten och/eller Anpassa textalternativen för principtips.

    Anpassa användarmeddelanden och principtips.

  6. Ange den text som du vill använda för e-postaviseringar och/eller principtips och välj sedan Spara.

  7. På fliken Principinställningar väljer du Spara.

Det kan ta ungefär en timme innan ändringarna fungerar via datacentret och synkroniseras med användarkonton.

Lägga Microsoft Teams som plats i befintliga DLP-principer

Du måste ha tilldelats en roll som har behörighet att redigera DLP-principer för att kunna utföra den här uppgiften. Mer information finns i Behörigheter.

  1. Gå till efterlevnadscentret https://compliance.microsoft.com () och logga in.

  2. Välj Policy för skydd mot > dataförlust.

  3. Välj en princip och titta på värdena under Platser. Om du ser Teams chatt- och kanalmeddelanden är allt klart. Om du inte har det klickar du på Redigera.

    Platser för befintlig princip.

  4. I kolumnen Status aktiverar du principen för Teams och kanalmeddelanden.

    DLP för Teams chattar och kanaler.

  5. Behåll standardinställningen för alla konton på fliken Välj platser eller välj Låt mig välja specifika platser . Du kan ange:

    1. Upp till 1 000 enskilda konton att inkludera eller exkludera
    2. Distributionslistor och säkerhetsgrupper som ska inkluderas eller exkluderas.

  6. Välj sedan Nästa.

  7. Klicka på Spara.

Det kan ta ungefär en timme innan ändringarna fungerar via datacentret och synkroniseras med användarkonton.

Definiera en ny DLP-princip för Microsoft Teams

Du måste ha tilldelats en roll som har behörighet att redigera DLP-principer för att kunna utföra den här uppgiften. Mer information finns i Behörigheter.

  1. Gå till efterlevnadscentret https://compliance.microsoft.com () och logga in.

  2. Välj Policy för skydd mot > > dataförlust + Skapa en princip.

  3. Välj en malloch välj sedan Nästa.

    I vårt exempel har vi valt mallen U.S. Personally Identifiable Information Data.

    Sekretessmall för DLP-princip.

  4. På fliken Namnge principen anger du ett namn och en beskrivning för principen och väljer sedan Nästa.

  5. Behåll standardinställningen för alla konton på fliken Välj platser eller välj Låt mig välja specifika platser . Du kan ange:

    1. Upp till 1 000 enskilda konton att inkludera eller exkludera
    2. Distributionslistor och säkerhetsgrupper som ska inkluderas eller exkluderas. Det här är en offentlig förhandsversionsfunktion.

    DLP-principplatser.

    Anteckning

    Om du vill kontrollera att dokument som innehåller känslig information inte delas olämpligt i Teams kontrollerar du att SharePoint-webbplatser och OneDrive-konton är aktiverat tillsammans med Teams-chatt- och kanalmeddelanden.

  6. På fliken Principinställningar, under Anpassa den typ av innehåll som du vill skydda, behåll de enkla standardinställningarna eller välj Använd avancerade inställningar och välj sedan Nästa. Om du väljer avancerade inställningar kan du skapa eller redigera regler för principen. Om du behöver hjälp med detta kan du gå till Enkla inställningar jämfört med avancerade inställningar.

  7. Granska inställningarna under Vad vill du göra om vi hittar känslig information? på fliken Principinställningar. Här kan du välja att behålla standardprinciptips och e-postaviseringareller anpassa dem.

    DLP-principinställningar med tips och meddelanden.

    När du är klar med granskningen eller redigeringsinställningarna väljer du Nästa.

  8. På fliken Principinställningar, under Vill du aktivera principen eller testa saker först? väljer du om du vill aktivera principen,testar den först eller behåller den inaktiverad för tillfället och väljer sedan Nästa.

    Ange om principen ska vara på.

  9. Granska inställningarna för den nya principen på fliken Granska dina inställningar. Välj Redigera för att göra ändringar. När du är klar väljer du Skapa.

Det kan ta ungefär en timme för den nya principen att fungera via datacentret och synkronisera med användarkonton.

Förhindra extern åtkomst till känsliga dokument

Om du vill SharePoint att externa gäster inte kan komma åt SharePoint dokument som innehåller känslig information, antingen från SharePoint eller Teams, markerar du följande:

  • Du kan säkerställa att dokument skyddas tills DLP genomsöker och markerar dem som säkra att dela genom att markera nya filer som känsliga som standard.

  • Rekommenderad DLP-principstruktur

    • Villkor

      • Innehållet innehåller någon av följande typer av känslig information: [Markera alla som gäller]

      • Innehåll delas från Microsoft 365 med personer utanför organisationen

        DLP-villkor för att identifiera extern delning av känsligt innehåll.

    • Åtgärder

      • Begränsa åtkomst till innehållet för externa användare

      • Meddela användarna via e-post- och principtips

      • Skicka incidentrapporter till administratören

      DLP-åtgärd för att blockera extern delning av känsligt innehåll.

DLP-principen används när du försöker dela ett dokument i ett SharePoint som innehåller känslig information med en extern gäst:

Extern delning blockerad.

DLP-princip i praktiken när gäst försöker öppna ett dokument i Teams med extern blockering:

Extern åtkomst blockerad.