了解資料外洩防護

注意

Microsoft 365 合規性現在稱為 Microsoft Purview,且合規性區域內的解決方案已重新命名。 如需 Microsoft Purview 的詳細資訊,請參閱 部落格公告什麼是 Microsoft Purview? 一文。

組織在其控制下具有敏感性資訊,例如財務資料、專屬資料、信用卡號碼、健康記錄或社會安全號碼。 為了協助保護此敏感性資料並降低風險,他們需要有防止使用者與不應擁有此資料之人員不當共用的方法。 此做法稱為資料外洩防護 (DLP)。

在Microsoft Purview中,您可以定義並套用 DLP 原則來實作資料外泄防護。 透過 DLP 原則,您可以識別、監視及自動保護敏感性專案:

  • Microsoft 365服務,例如 Teams、Exchange、SharePoint 和 OneDrive
  • Office Word、Excel 和 PowerPoint 等應用程式
  • Windows 10、Windows 11和macOS (Catalina 10.15 和更高) 端點
  • 非 Microsoft 雲端應用程式
  • 內部部署檔案共用和內部部署SharePoint。

DLP 會使用深度內容分析來偵測敏感性專案,而不只是簡單的文字掃描。 內容會透過正則運算式的評估、內部函式驗證,以及接近主要資料比對的次要資料比對,分析主要資料與關鍵字的相符專案。 除此之外,DLP 也會使用機器學習演算法和其他方法來偵測符合 DLP 原則的內容。

DLP 是較大Microsoft Purview供應專案的一部分

DLP 只是您將用來協助保護敏感性專案的其中一個Microsoft Purview工具,無論它們在何處存取或移動。 您應該瞭解Microsoft Purview工具集中的其他工具、它們如何相互關聯,以及如何搭配使用。 若要深入瞭解資訊保護程式,請參閱Microsoft Purview工具

DLP 原則的保護動作

DLP 原則是您監視使用者對待用敏感性專案、傳輸中敏感性專案或使用中敏感性專案所採取的活動,並採取保護動作的方式。 例如,當使用者嘗試採取禁止的動作,例如將敏感性專案複製到未核准的位置,或在原則中配置的電子郵件或其他條件中共用醫療資訊時,DLP 可以:

  • 向使用者顯示快顯原則提示,警告他們可能嘗試不當共用敏感性專案
  • 封鎖共用,並透過原則提示,允許使用者覆寫區塊並擷取使用者的理由
  • 封鎖不含覆寫選項的共用
  • 針對待用資料,敏感性專案可以鎖定並移至安全的隔離位置
  • 針對Teams聊天,不會顯示敏感性資訊

根據預設,所有受 DLP 監視的活動都會記錄到Microsoft 365稽核記錄檔,並路由傳送至活動總管。 當使用者執行符合 DLP 原則準則的動作,而且您已設定警示時,DLP 會在 DLP 警示管理儀表板中提供警示。

DLP 生命週期

DLP 實作通常會遵循這些主要階段。

規劃 DLP

DLP 監視和保護是使用者每天使用的應用程式原生。 這有助於保護組織的敏感性專案免于有風險的活動,即使您的使用者不自訂資料外泄防護思考和做法。 如果您的組織和使用者不熟悉資料外泄防護做法,採用 DLP 可能需要變更您的商務程式,而且您的使用者會有文化轉變。 但是,透過適當的規劃、測試和調整,您的 DLP 原則會保護您的敏感性專案,同時將任何潛在的商務程式中斷降至最低。

DLP 的技術規劃

請記住,DLP 即技術可以監視及保護待用資料、使用中的資料,以及跨Microsoft 365服務、Windows 10、Windows 11和macOS (Catalina 10.15 和更新版本) 裝置、內部部署檔案共用和內部部署SharePoint的資料。 對於不同位置、您想要監視和保護的資料類型,以及原則比對時所要採取的動作,都有規劃影響。

DLP 的商務程式規劃

DLP 原則可以封鎖禁止的活動,例如透過電子郵件不當共用敏感性資訊。 當您規劃 DLP 原則時,您必須識別觸控敏感性專案的商務程式。 商務程式擁有者可協助您識別應該允許的適當使用者行為,以及應該受到保護的不當使用者行為。 您應該先規劃原則並以測試模式加以部署,然後先透過 活動總 管評估其影響,再以更嚴格的模式套用它們。

DLP 的組織文化規劃

成功的 DLP 實作與妥善規劃和微調的原則一樣,都與讓使用者定型並適應資料外泄防護做法一樣多。 因為您的使用者涉及很多,所以也請務必為其規劃訓練。 您可以策略性地使用原則提示來提高使用者的認知,然後再將原則強制執行從測試模式變更為更嚴格的模式。

準備 DLP

您可以將 DLP 原則套用至待用資料、使用中的資料,以及位置中移動中的資料,例如:

  • Exchange Online電子郵件
  • SharePoint Online 網站
  • OneDrive 帳戶
  • Teams 聊天和頻道訊息
  • Microsoft 雲端應用程式安全性
  • Windows 10、Windows 11和macOS (Catalina 10.15 和更新版本的) 裝置
  • 內部部署存放庫
  • PowerBI 網站

每一個都有不同的必要條件。 某些位置中的敏感性專案,例如線上Exchange,只要設定套用至這些專案的原則,就可以在 DLP 保護之下。 其他檔案存放庫,例如內部部署檔案存放庫,則需要部署 Azure 資訊保護 (AIP) 掃描器。 您必須準備環境、撰寫程式碼原則,並徹底測試它們,然後再啟用任何封鎖動作。

在生產環境中部署原則

設計原則

首先,請定義您的控制目標,以及它們如何套用到每個個別的工作負載。 草擬包含您目標的原則。 您可以隨意從一次一個工作負載開始,或跨所有工作負載開始 , 目前沒有任何影響。

在測試模式中實作原則

使用測試模式中的 DLP 原則來實作控制項,以評估其影響。 您可以將原則套用至測試模式中的所有工作負載,以便取得完整的結果,但您可以視需要從一個工作負載開始。

監視結果並微調原則

在測試模式中,監視原則的結果並進行微調,使其符合您的控制目標,同時確保您不會對有效的使用者工作流程和生產力造成負面影響或不慎影響。 以下是一些要微調的範例:

  • 調整位於或超出範圍的位置和人員/地點
  • 微調用來判斷專案及其執行方式是否符合原則的條件和例外狀況
  • 敏感性資訊定義/秒
  • 動作
  • 限制層級
  • 新增控制項
  • 新增人員
  • 新增新的受限制應用程式
  • 新增受限制的網站

注意

停止處理更多規則 無法在測試模式中運作,即使已開啟也一般。

啟用控制項並調整原則

一旦原則符合您的所有目標,請將其開啟。 繼續監視原則應用程式的結果,並視需要進行微調。

注意

一般而言,原則會在開啟後大約一小時生效。

DLP 原則設定概述

您對於如何建立並設定 DLP 原則方面具有彈性。 您可以從預先定義的範本開始,按幾下以建立原則,或者您也可以從頭開始設計自己的原則。 無論您選擇哪一個,所有 DLP 原則都需要您提供相同的資訊。

  1. 選擇您想要監視的內容 - DLP 隨附許多預先定義的原則範本,可協助您開始使用或建立自訂原則。
    • 預先定義之原則範本: 財務資料、醫療與健康資料、隱私權資料全部適用于所有國家/地區。
    • 使用可用敏感性資訊類型、保留標籤和敏感度標籤的自訂原則。
  2. 選擇您要監視的位置 - 您可以挑選一或多個要 DLP 監視敏感性資訊的位置。 您可以監視:
位置 包含/排除依據
Exchange 電子郵件 通訊群組
SharePoint 網站 網站
OneDrive 帳戶 帳戶或通訊群組
Teams 聊天和頻道訊息 帳戶或通訊群組
Windows 10、Windows 11和macOS (Catalina 10.15 和更新版本的) 裝置 使用者或群組
Microsoft Cloud App Security 執行個體
內部部署存放庫 存放庫檔案路徑
  1. 選擇必須符合才能將原則套用至專案的條件 - 您可以接受預先設定的條件或定義自訂條件。 部分範例如下:
  • 專案包含特定內容中所使用的指定敏感性資訊類型。 例如,95 個社會安全碼會以電子郵件傳送給組織外部的收件者。
  • 專案具有指定的敏感度標籤
  • 具有敏感性資訊的專案會在內部或外部共用
  1. 選擇符合原則條件時要採取的動作 - 動作取決於活動發生的位置。 部分範例如下:
  • SharePoint/Exchange/OneDrive:封鎖組織外部的人員存取內容。 向使用者顯示提示,並傳送電子郵件通知給他們,通知他們正在採取 DLP 原則禁止的動作。
  • Teams聊天和頻道:封鎖在聊天或頻道中共用敏感性資訊
  • Windows 10、Windows 11及macOS (Catalina 10.15 和更新版本) 裝置:稽核或限制將敏感性專案複製到可移除的 USB 裝置
  • Office應用程式:顯示快顯視窗,通知使用者他們參與有風險的行為,並封鎖或封鎖,但允許覆寫。
  • 內部部署檔案共用:將檔案從儲存位置移至隔離資料夾

注意

條件及要採取的動作定義于名為 [規則] 的物件中。

在合規性中心建立 DLP 原則之後,它會儲存在中央原則存放區中,然後同步處理到各種內容來源,包括:

  • Exchange Online,再從這裡到 Outlook 網頁版和 Outlook。
  • 商務用 OneDrive 網站。
  • SharePoint Online 網站。
  • Office 桌上型電腦程式 (Excel、PowerPoint 及 Word)。
  • Microsoft Teams 頻道和聊天訊息。

原則同步處理至正確的位置之後,會開始評估內容並強制執行動作。

檢視原則應用程式結果

DLP 會從監視、原則比對和動作,以及使用者活動,將大量資訊報告到Microsoft Purview。 您必須取用並處理該資訊,以調整您對敏感性專案採取的原則和分級動作。 遙測會先進入Microsoft Purview 合規性入口網站稽核記錄、進行處理,並進入不同的報告工具。 每個報告工具都有不同的用途。

DLP 警示儀表板

當 DLP 對敏感性專案採取動作時,您可以透過可設定的警示收到該動作的通知。 合規性中心不會讓這些警示堆積在信箱中供您篩選,而是可在 DLP 警示管理儀表板中使用。 使用 DLP 警示儀表板來設定警示、檢閱警示、分類警示,以及追蹤 DLP 警示的解決方式。 以下是原則相符專案和來自Windows 10裝置的活動所產生的警示範例。

警示資訊。

您還可以在同一個儀表板中檢視具有豐富中繼資料的關聯事件的詳細資訊

事件資訊。

報告

DLP 報告會顯示一段時間的廣泛趨勢,並提供下列特定見解:

  • DLP 原則會比對 一段時間,並依日期範圍、位置、原則或動作進行篩選
  • DLP 事件相符專案 也會顯示一段時間的相符專案,但會針對專案而非原則規則進行樞紐分析。
  • DLP 誤判和覆 寫會顯示誤判的計數,如果已設定,則會顯示使用者覆寫以及使用者理由。

DLP 活動總管

DLP 頁面上的 [活動總管] 索引標籤具有 DLPRuleMatch 的 [活動 篩選] 預設值。 使用此工具來檢閱包含敏感性資訊或已套用標籤之內容的相關活動,例如哪些標籤已變更、檔案已修改,以及符合規則。

DLPRuleMatch 範圍活動總管的螢幕擷取畫面。

如需詳細資訊,請參閱使用活動總管開始

若要深入瞭解 DLP Microsoft Purview,請參閱:

若要瞭解如何使用資料外泄防護來遵守資料隱私權法規,請參閱使用Microsoft Purview (aka.ms/m365dataprivacy) 部署資料隱私權法規的資訊保護

授權和訂用帳戶

如需支援 DLP 之訂用帳戶的詳細資訊,請參閱資訊保護 的授權需求。