資料遺失防護參考

重要

這是參考主題不再是 Microsoft 365 資料遺失防護 (DLP) 資訊的主要資源。 DLP 內容集會進行更新及重構。 本文涵蓋的主題將移至新的更新的文章。 如需有關 DLP 的詳細資訊,請參閱 瞭解資料遺失防護

注意

針對已取得 Office 365 進階合規性授權的使用者,系統最近將資料外洩防護功能新增至 Microsoft Teams 聊天和頻道訊息,該功能可作為獨立選項提供,並包含在 Office 365 E5 和 Microsoft 365 E5 合規性中。 若要深入了解授權需求,請參閱 Microsoft 365 租用戶層級服務授權指導方針

建立及管理 DLP 原則

您可以在 Microsoft 365 合規性中心的 [資料外洩防護] 頁面上建立及管理 DLP 原則。

Office 365 安全性與合規性中心的「資料遺失防護」頁面 & 。

調整規則以讓它們更容易或更難符合

在建立並開啟 DLP 原則後,有時候會遇到下列問題:

  • 太多 敏感性資訊的內容符合規則,換句話說就是太多誤判。

  • 太少內容 敏感性資訊符合規則。 換句話說,不會對敏感性資訊強制執行保護動作。

若要解決這些問題,您可以調整規則的執行個體計數及比對精確度,使得內容更難或更易於符合規則。 規則中使用的每個機密資訊類型都同時具有執行個體計數及比對精確度。

執行個體計數

執行個體計數指的是特定敏感性資訊類型必須在內容中出現多少次才能符合規則的次數。 例如,如果識別出 1 到 9 個之間的不重複美國或英國護照號碼, 內容就符合以下顯示的規則。

注意

執行個體計數僅包含符合敏感性資訊類型和關鍵字的 不重複 項目。 例如,如果有一封電子郵件內出現 10 次同一組信用卡號碼,這 10 次只會採計為該信用卡號碼出現一次。

使用執行個體計數來調整規則的指導方針非常簡單:

  • 若要讓規則更容易符合,請減少 [最小] 計數及/或增加 [最大] 計數。 您也可以刪除 [最大] 中的數值以將它設定成 [任意]

  • 若要讓規則更難符合,請增加 [最小] 計數。

一般而言,您會在執行個體計數較低 (例如 1 到 9) 的規則中使用較不具限制性的動作,例如傳送使用者通知。 並在執行個體計數較高 (例如 10 到任意) 的規則中使用較多限制的動作,例如限制存取內容且不允許使用者覆寫。

規則編輯器中的實例計數。

比對精確度

如上所述,機密資訊類型會由不同類型證據所形成的組合來定義與偵測。 一般而言,機密資訊類型會由多種這樣的組合 (稱為模式) 所定義。 證據需求較低的模式具有較低的比對精確度 (或信賴等級),而證據需求較高的模式,其比對精確度 (或信賴等級) 則較高。 若要深入了解各機密資訊類型實際使用的模式及信賴等級,請參閱敏感資訊類型實體定義

例如,名為 [信用卡號碼] 的機密資訊類型是由兩種模式所定義:

  • 一個 65% 信賴度的模式,所需證據為:

    • 一組信用卡號碼形式的數字。

    • 一組通過總和檢查碼的數字。

  • 一個 85% 信賴度的模式,所需證據為:

    • 一組信用卡號碼形式的數字。

    • 一組通過總和檢查碼的數字。

    • 格式正確的關鍵字或到期日。

您可以在自己的規則中使用這些信賴等級 (或比對精確度)。 一般而言,您會在比對精確度較低的規則中使用較不具限制性的動作,例如傳送使用者通知。 並在比對精確度較高的規則中使用較多限制的動作,例如限制存取內容且不允許使用者覆寫。

請務必記得,當在內容中辨識出特定機密資訊類型 (例如信用卡號碼) 時,系統只會傳回一個信賴等級:

  • 如果所有符合項目都是來自同一個模式,那麼會傳回該模式的信賴等級。

  • 如果符合的模式不只一個 (亦即有兩種不同信賴等級的相符項目),則會傳回單一模式中最大的信賴等級。 這部分就有點複雜了。 以信用卡為例,如果同時符合了 65% 和 85% 的模式,該機密資訊傳回的信賴等級會大於 90%,因為證據越多代表信賴度越高。

因此,如果您想要為信用卡建立兩個互斥規則,一個比對精確度為 65%,另一個為 85%,那麼比對精確度的範圍會像下面這樣。 第一個規則只會挑選與模式 65% 相符的項目。 第二個規則至少會挑選 85% 相符的項目,並可能會有其他較低信賴度的相符項目。

兩個具有不同範圍的規則,以符合精確度。

由於這些原因,建立具有不同比對精確度之規則的指導方針為:

  • 最低信賴等級的 [最小][最大] 值通常會使用同一個值 (而不是一個範圍)。

  • 最高的信賴等級通常會是一個稍高於最低信賴等級到 100 的範圍。

  • 任何介於中間的信賴等級則通常是一個稍高於最低信賴等級,到稍低於最高信賴等級之間的範圍。

使用保留標籤作為 DLP 原則的條件

當您在 DLP 原則中使用先前建立及發佈的保留標籤做為條件時,請注意下列事項:

  • 您必須先建立並發佈保留標籤,然後才能嘗試將它做為 DLP 原則中的條件。

  • 已發佈的保留標籤會在一到七天內進行同步處理。如需詳細資訊,關於保留原則中已發佈的保留標籤請參閱 當保留標籤可以使用時 ,關於自動發佈的保留標籤請參閱 保留標籤要多久才會生效

  • 僅 SharePoint 和 OneDrive 中的項目才支援*在原則中使用保留標籤。

    標籤為條件。

    如果您的項目受保留與處置的限制,且您也想要對這些項目套用其他控制,則可以在 DLP 原則中使用保留標籤,例如:

    • 您發佈了一個名為 2018 年稅務 的保留標籤,該保留標籤會套用至儲存在 SharePoint 中 2018 年的稅務文件,保留 10 年,然後加以處置。 您也不想要在組織外共用這些項目,則可以使用 DLP 原則執行此動作。

    重要

    如果您指定保留標籤做為 DLP 原則的條件,且也將 Exchange 和/或 Teams 包含為位置,您會遇到此錯誤:「不支援保護電子郵件與小組訊息內套用標籤的內容。請移除下列標籤或關閉 Exchange 與 Teams 做為位置。」 這是因為 Exchange 傳輸不會在提交與傳遞郵件期間評估標籤中繼資料。

使用敏感度標籤做為 DLP 原則的條件

若要深入瞭解,請參閱使用敏感度標籤做為 DLP 原則中的條件。

這項功能與其他功能的關係

有多項功能可以套用到含有敏感性資訊的內容:

  • 保留標籤和保留原則 都能對內容強制執行 保留 動作。

  • DLP 原則可以對內容強制執行 「保護」 動作。 您不僅要為內容設定標籤,還要讓內容滿足其他條件,DLP 原則才能強制執行這些動作。

可套用至敏感資訊的功能圖表。

請注意,DLP 原則的偵測功能比套用到敏感性資訊的任何標籤或保留原則來得強大。 DLP 原則可以針對含有敏感性資訊的內容強制執行保護動作。如果敏感性資訊已從內容中移除,就可以在系統再次掃描內容後復原相關的保護動作。 但是,如果保留原則或標籤套用到含有敏感性資訊的內容,就是一次性動件。之後即使移除敏感性資訊,也無法復原。

如果將標籤做為 DLP 原則的條件,就可以針對設有該標籤的內容來強制執行保留和保護動作。 設有標籤的內容就像是含有敏感性資訊的內容,標籤和敏感性資訊類型都是用來分類內容的屬性,您可以藉此針對內容強制執行動作。

使用標籤做為條件的 DLP 原則圖表。

簡單設定和進階設定的比較

建立 DLP 原則時,您可選擇簡單或進階設定:

  • 簡單設定 可讓您輕鬆建立最常見的 DLP 原則,而不使用規則編輯器來建立或修改規則。

  • 進階設定 會使用規則編輯器,提供您 DLP 原則設定的完整控制權。

別擔心,除了設定方式以外,簡單設定與進階設定的運作方式完全相同,皆會強制執行由條件及動作構成的原則,唯一的差別在於使用簡單設定時,您不會看見規則編輯器。 最快的方式便是建立 DLP 原則。

簡單設定

目前,最常見的 DLP 情境是建立原則以協助保護含有敏感性資訊的內容,避免組織外部的人員共用這類內容,並採取自動修正動作,如限制可存取內容的對象、傳送使用者或系統管理員通知,並稽核事件以便日後調查。 採用 DLP 的人員可協助避免敏感性資訊不當外洩。

若要以更簡單的方式達成這個目標,請在建立 DLP 原則時,選擇 [使用簡單設定]。 這些設定會提供執行最常見 DLP 原則所需的項目,讓您不必進入規則編輯器。

適用于簡易和高級設定的 DLP 選項。

進階設定

如果您要建立更多自訂 DLP 原則,您可以選擇 [使用進階設定]

使用進階設定即可顯示規則編輯器。在編輯器中,您擁有所有選項的完整控制權,包括每個規則的執行個體計數及相符準確度 (信賴層級)。

若要快速移至某個區段,只要按一下規則編輯器頂端瀏覽區中的項目,即可移至下方的該區段。

DLP 規則編輯器的上方流覽功能表。

DLP 原則範本

建立 DLP 原則的第一步是選擇要保護的資訊。 從 DLP 範本開始,您就省去從頭建立新規則集,以及釐清應依預設包含資訊類型的工作。 接著,您可以新增或修改這些需求以微調規則,達到組織的特定需求。

預先設定的原則範本可協助您偵測特定的敏感性資訊類型,例如 HIPAA 資料、PCI-DSS 資料、Gramm-Leach-Bliley 金融服務業現代化法案資料,或甚至是特定地區設定的個人識別資訊 (PII)。 為了讓您能輕鬆地尋找並保護常見的敏感資訊類型,Microsoft 365 中包含的原則範本納入了最常見的敏感資訊類型,讓您快速著手使用。

資料遺失防護原則的範本清單,其焦點位於美國愛國 Act 的範本上。

貴組織也可能設有專屬需求,在這種情況下,您可以選擇 [自訂原則] 選項從頭建立 DLP 原則。 自訂原則中不會有任何內容,也不含預先製作的規則。

DLP 報告

建立並開啟您的 DLP 原則之後,您會想要確認原則是否達到您想要的效果並有助於您符合規範。 透過 DLP 報告,您可以快速檢視一段時間內的 DLP 原則和規則相符項目的數目,以及誤判和覆寫的數目。 針對每份報告,您可以依據位置、時間範圍篩選這些相符項目,甚至將其範圍縮小到特定原則、規則或動作。

透過 DLP 報告,您將可取得深入的商業資訊,並且:

  • 將重點放在特定時段,以了解尖峰和趨勢的原因。

  • 探索違反貴組織規範原則的商務程序。

  • 了解 DLP 原則帶來的任何業務影響。

此外,您可以使用 DLP 報告來微調您所執行的 DLP 原則。

安全性與合規性中心的報表儀表板。

DLP 原則的運作方式

DLP 會使用深度內容分析 (不只是簡單的文字掃描) 來偵測敏感資訊。此深度內容分析會使用關鍵字比對、字典比對、規則運算式評估、內部函數和其他方法來偵測符合 DLP 原則的內容。可能只有一小部分的資料會被視為敏感資訊。DLP 原則可識別、監視和自動保護該項資料,而不會妨礙或影響到使用其餘內容的人員。

原則會同步處理

在安全性與合規性中心中建立 DLP 原則之後,原則會儲存在中央原則存放區中,然後再同步處理至各種內容來源,包括:

  • Exchange Online,再從這裡到 Outlook 網頁版和 Outlook。

  • 商務用 OneDrive 網站。

  • SharePoint Online 網站。

  • Office 桌上型電腦程式 (Excel、PowerPoint 及 Word)。

  • Microsoft Teams 頻道和聊天訊息。

原則同步處理至正確的位置之後,會開始評估內容並強制執行動作。

商務用 OneDrive 和 SharePoint Online 網站中的原則評估

在您所有的 SharePoint Online 網站和商務用 OneDrive 網站上,文件都會持續變動 — 文件會不斷地建立、編輯、共用等等。 這表示文件可能會隨時違反或符合 DLP 原則。 例如,人員可以將不含敏感資訊文件上傳到小組網站,而後另一個人可以編輯同一份文件並在其中加入敏感資訊。

因此,DLP 原則會頻繁地在背景中檢查文件是否有原則相符項目。您可以將此視為非同步原則評估。

運作方式

當使用者新增或變更其網站中的文件時,搜尋引擎會掃描內容,使您可以在稍後搜尋。 執行這個動作時,也會掃描內容的敏感性資訊,並檢查它是否為共用。 找到的任何敏感性資訊會安全地儲存在搜尋索引中,只有合規性小組能夠存取,一般使用者無法存取。 您已開啟的每個 DLP 原則會在背景執行 (以非同步方式),頻繁地對於符合原則的任何內容檢查搜尋,並套用動作以防止意外的資料外洩。

圖表顯示 DLP 原則如何非同步評估內容。

最後,文件可能會違反 DLP 原則,但也可能會符合 DLP 原則。例如,如果人員在文件中加入信用卡號碼,有可能會導致 DLP 原則自動封鎖文件的存取。但如果人員稍後移除敏感資訊,則會在下次依據原則進行評估時自動復原動作 (在此案例中為封鎖)。

DLP 會評估可編製索引的任何內容。 若要進一步了解依預設會對哪些檔案類型進行編目,請參閱 SharePoint Server 中的預設編目副檔名和剖析檔案類型

注意

為了防止在 DLP 原則進行分析之前共用檔,在 SharePoint 中共用的新檔案可能會封鎖,直到其內容已編制索引為止。 如需詳細資訊,請參閱 透過預設,將新檔案標示為敏感檔案

Exchange Online、Outlook 和 Outlook 網頁版中的原則評估

當您建立 DLP 原則,其中包含 Exchange Online 作為位置時,原則會從 Office 365 安全性與合規性中心同步到 Exchange Online,然後從 Exchange Online 同步到 Outlook 網頁版和 Outlook。

在 Outlook 中撰寫郵件時,若使用者撰寫的內容經評估後判定違反 DLP 原則,就會看見原則提示。 郵件送出時,系統會在一般郵件流程中進行 DLP 原則評估,此外也會一併執行 Exchange 系統管理中心中建立的 Exchange 郵件流程規則 (也稱為傳輸規則) 和 DLP 原則。 DLP 原則會掃描郵件和所有附件。

Office 桌上型電腦程式中的原則評估

Excel、PowerPoint 和 Word 都具有與 SharePoint Online 和商務用 OneDrive 相同的功能,可識別敏感資訊並套用 DLP 原則。 這些 Office 程式會直接從中央原則存放區同步處理其 DLP 原則,並在有人使用從 DLP 原則所包含的網站開啟的文件時,持續根據 DLP 原則來評估內容。

Office 中的 DLP 原則評估依設計並不會影響程式的效能或內容使用者的產能。 如果他們正在處理大型文件,或使用者的電腦忙碌中,可能需要幾秒鐘才會顯示原則提示。

Microsoft Teams 中的原則評估

當您建立 DLP 原則,其中包含 Microsoft Teams 作為位置時,原則會從 Office 365 安全性與合規性中心同步到使用者帳戶與 Microsoft Teams 頻道和聊天訊息。 根據 DLP 原則的設定方式,當有人嘗試在 Microsoft Teams 聊天或頻道訊息中共用敏感性資訊時,可以封鎖或撤銷訊息。 此外,若文件包含敏感性資訊且與來賓 (外部使用者) 共用,則不會對這些使用者開放。 若要深入了解,請參閱資料外洩防護和 Microsoft Teams

權限

根據預設,全域系統管理員、安全性管理員及合規性系統管理員都有權建立及套用 DLP 原則。 您要建立 DLP 原則的其他法規遵從性小組成員必須具備安全性與 & 合規性中心的許可權。 根據預設,您的租使用者系統管理員將可以存取此位置,並可讓合規性監察官和其他人員存取安全 & 規範中心,但不會將租使用者管理員的擁有權限授與他們。為做到這一點,建議您執行下列動作:

  1. 在 Microsoft 365 中建立一個群組,並將法務人員新增至此群組。

  2. 在安全性與合規性中心的 [權限] 頁面上建立角色群組。

  3. 建立角色群組時,請使用 [選擇角色] 區段,將下列角色新增至角色群組: [DLP 合規性管理]。

  4. 使用 [選擇成員] 區段,將您建立的 Microsoft 365 群組新增至角色群組。

您也可以透過授予 [僅限檢視 DLP 合規性管理] 角色,來建立擁有 DLP 原則和 DLP 報告的僅限檢視權限角色群組。

如需詳細資訊,請參閱授與使用者存取 Office 365 合規性中心的權限

需要這些權限才能建立及套用 DLP 原則。原則強制執行不需要內容的存取權。

尋找 DLP Cmdlet

若要對安全性與合規性中心使用大部分 Cmdlet,您必須:

  1. 使用遠端 PowerShell 連線到 Office 365 安全性與合規性中心

  2. 使用任何 policy-and-compliance-dlp Cmdlet

不過,DLP 報告需要從整個 Microsoft 365 擷取資料,包含 Exchange Online。 有鑑於此,DLP 報告的 Cmdlet 可在 Exchange Online PowerShell 中使用,但安全性與合規性中心 PowerShell 則不行。 因此,若要為 DLP 報告使用 Cmdlet,您需要︰

  1. 使用遠端 PowerShell 連線到 Exchange Online

  2. 為 DLP 報告使用下列任何 Cmdlet:

詳細資訊