数据丢失防护参考

  • 项目

重要

此参考主题不再是 DLP) 信息Microsoft Purview 数据丢失防护 (的主要资源。 DLP 内容集正在更新和重组。 本文中介绍的主题将移至新的更新文章。 有关 DLP 的详细信息,请 参阅了解数据丢失防护

备注

对于具有 Office 365 高级合规版许可证的用户,最近为 Microsoft Teams 聊天和频道消息添加了数据丢失防护功能。它是一种独立选项,包含在 Office 365 E5 和 Microsoft 365 E5 合规版中。 要详细了解许可要求,请参阅 Microsoft 365 租户级服务许可指南

创建和管理 DLP 策略

可以在Microsoft Purview 合规门户中的数据丢失防护页上创建和管理 DLP 策略。

Microsoft Purview 合规门户中的数据丢失防护页

调整规则,使它们更易或更难匹配

用户创建并启用 DLP 策略后,他们有时会遇到以下问题:

  • 太多 不是 敏感信息的内容与规则匹配 — 也就是说,太多误报。

  • 太少 敏感信息的内容与规则匹配。 也就是说,未对敏感信息强制执行保护操作。

若要解决这些问题,可以通过调整实例计数和匹配准确度来调整规则,使内容更难或更易匹配规则。 规则中使用的每一类敏感信息都有实例计数和匹配准确度。

实例计数

实例计数是指若要使内容与规则匹配,某类敏感信息必须出现的次数。 例如,如果将美国或英国护照号码标识为 1 到 9, 则内容将与如下所示的规则匹配。

备注

实例计数仅包括敏感信息类型和关键字的 唯一 匹配项。 例如,如果一个电子邮件中相同的信用卡号码出现了 10 次,则这 10 次计为信用卡号码的单个实例。

若要使用实例计数来调整规则,则指南非常简单:

  • 若要使规则更易匹配,减少“最小”计数和/或增加“最大”计数。 也可以通过删除数值,将“最大”设置为“任意”。

  • 若要使规则更难匹配,增加“最小”计数。

在实例计数较低(例如,1-9)的规则中,通常会使用较为宽松的操作,如发送用户通知。 在实例计数较高(例如,10–任意)的规则中,使用更严格的操作,如限制访问内容且不允许用户替代。

规则编辑器中的实例计数。

匹配准确度

如上文所述,使用不同类型的证据组合定义并检测敏感信息类型。 敏感信息类型通常由多个此类组合(称为模式)定义。 需要越少证据的模式匹配准确度(即置信水平)越低,而需要越多证据的模式匹配准确度(即置信水平)更高。 若要了解每种敏感信息类型使用的实际模式和置信水平,请参阅敏感信息类型实体定义

例如,名为“信用卡号”的敏感信息类型由两种模式定义:

  • 置信度为 65% 的模式需要:

    • 信用卡号格式的数字。

    • 传递校验和的数字。

  • 置信度为 85% 的模式需要:

    • 信用卡号格式的数字。

    • 传递校验和的数字。

    • 格式正确的关键字或到期日期。

可在规则中使用这些置信水平(或匹配准确度)。 在匹配准确度较低的规则中通常使用较为宽松的操作,如发送用户通知。 在匹配准确度较高的规则中使用更严格的操作,如限制访问内容且不允许用户替代。

务必了解在内容中标识特定类型的敏感信息(如信用卡号)时,只会返回单个置信水平:

  • 如果所有匹配项适用于单个模式,则返回该模式的置信水平。

  • 如果存在多个模式的匹配项(即,存在具有两种不同置信水平的匹配项),则返回高于任一单个模式的置信水平。 这就是难点。 例如,对于信用卡号,如果同时匹配 65% 和 85% 模式,则该敏感信息类型返回的置信水平超过 90%,因为证据越多,置信度越高。

因此,如果要为信用卡创建两条互斥的规则,一条用于 65% 的匹配准确度,另一条用于 85% 的匹配准确度,匹配准确度的范围将如下所示。 第一条规则仅选取 65% 模式的匹配项。 第二条规则选取 至少一个 85% 匹配项,并且 可能具有 其他置信度较低的匹配项。

两个规则具有不同的匹配准确性范围。

由于以上原因,使用不同的匹配准确性创建规则的指南为:

  • 最低置信水平通常使用相同的“最小”和“最大”值(而不是范围)。

  • 最高置信水平通常是一个范围,该范围为略高于置信水平下限到 100。

  • 任何中间置信水平范围通常为略高于置信水平下限,略低于置信水平上限。

将保留标签用作 DLP 策略中的条件

将以前创建和发布的保留标签用作 DLP 策略中的条件时,请注意以下事项:

  • 必须先创建和发布保留标签,然后才能尝试将它用作 DLP 策略中的条件。

  • 已发布的保留标签可能需要一到七天的时间才能同步。有关详细信息,请参阅当保留标签可应用时(对于已在保留策略中发布的保留标签),以及保留标签多长时间生效(对于已自动发布的保留标签)。

  • 只有 SharePoint 和 OneDrive 中的项才支持*在策略中使用保留标签。

    标签作为条件。

    如果你有项目处于保留和处置状态,并且还希望为其应用其他控件,则可能需要在 DLP 策略中使用保留标签,例如:

    • 你发布了一个名为“2018 纳税年度”的保留标签,当它应用于存储在 SharePoint 中的 2018 年税务文档后,系统会将其保留 10 年,并在此期限后处置它们。 你也不希望在组织外部共享这些项目,你可以使用 DLP 策略来完成此操作。

    重要

    如果在 DLP 策略中将保留标签指定为条件,而且你还包含 Exchange 和/或 Teams 作为位置,则你将收到以下错误:“不支持保护电子邮件和团队消息中带标签的内容。请删除下述标签或取消将 Exchange 和 Teams 设为位置。” 这是因为 Exchange 传输在消息提交和传递过程中不会评估标签元数据。

使用敏感度标签作为在DLP策略中的条件

详细了解 如何在 DLP 策略中将敏感度标签用作条件。

此功能与其他功能的联系

可对包含敏感信息的内容应用多个功能:

  • 保留标签和保留策略都可以对此内容强制执行 保留 操作。

  • DLP 策略可对此内容执行 保护 操作。 执行这些操作之前,DLP 策略可要求内容除包含标签之外还需满足其他条件。

可应用于敏感信息的功能图。

请注意,相较于对敏感信息应用的标签或保留策略,DLP 策略的检测功能更强。 DLP 策略可以对包含敏感信息的内容执行保护操作;从内容中删除敏感信息之后,这些保护操作会在下一次扫描内容时撤消。 但如果对包含敏感信息的内容应用了保留策略或标签,则该操作是一次性操作,即使删除了敏感信息也不会撤消该操作。

在 DLP 策略中使用标签作为条件之后,可对包含该标签的内容执行保留和保护操作。 可将带标签的内容完全视为包含敏感信息的内容;标签和敏感信息类型都是用于对内容进行分类的属性,以便对该内容执行操作。

使用标签作为条件的 DLP 策略图。

简单设置与高级设置

创建 DLP 策略时,将在简单或高级设置中进行选择:

  • 简单设置,可轻松创建最常见类型的 DLP 策略,无需使用规则编辑器创建或修改规则。

  • 高级设置,使用规则编辑器,让使用者可完全控制 DLP 策略的每个设置。

不要担心,实际上简单设置和高级设置的工作方式完全相同,都是强制执行由条件和操作组成的规则,只是使用简单设置时,看不到规则编辑器。 这是快速创建 DLP 策略的方法。

简单设置

到目前为止,最常见的 DLP 方案是创建策略,帮助保护含敏感信息的内容,防止与组织外人员共享该内容,并采取自动补救措施,例如限制可访问内容的人员、向最终用户或管理员发送通知、对事件进行审核以备后续调查。 人们使用 DLP 防止意外泄露敏感信息。

为轻松实现这一目标,创建 DLP 策略时,可选择 使用简单设置。 这些设置可提供实现最常见 DLP 策略所需的一切,无需使用规则编辑器。

用于简单和高级设置的 DLP 选项。

高级设置

如需创建自定义程度更高的 DLP 策略,可选择 使用高级设置

高级设置会显示规则编辑器,可通过它完全控制每个可能的选项,包括每个规则的实例计数和匹配准确度(可信度级别)。

若要快速跳转到某一部分,请单击规则编辑器顶部导航中的项,转到下面的部分。

DLP 规则编辑器的顶部导航菜单。

DLP 策略模板

创建 DLP 策略的第一步是选择要保护的内容。 从 DLP 模板开始创建,无需从头构建一组新规则,无需指出默认应包含哪些信息类型。 然后即可添加或修改这些要求,微调规则以满足组织的特定要求。

预配置的 DLP 策略模板可帮助你检测特定类型的敏感信息,如 HIPAA 数据、PCI-DSS 数据、格雷姆-里奇-比利雷法案数据,甚至是特定区域设置的个人身份信息 (P.I.)。 要使你能够轻松地查找和保护常见类型的敏感信息,包含在 Microsoft 365 中的策略模板已包含你要开始构建策略所需的最常见的敏感信息类型。

数据丢失防护策略的模板列表,重点介绍美国爱国者法案的模板。

组织可能还有自己特定的要求,在这种情况下可通过选择“自定义策略”选项从头创建 DLP 策略。 自定义策略为空,且不包含任何预制定的规则。

DLP 报告

创建并启用 DLP 策略后,你会希望验证这些策略是否按预期工作,以及是否有助于保持合规性。 使用 DLP 报告,您可以快速查看随着时间的推移 DLP 策略和规则匹配的次数,以及误报和替代数。 对于每个报告,您都可以按位置、时间范围,甚至缩小为特定的策略、规则或操作来筛选这些匹配项。

使用 DLP 报告,您可以获取业务见解并了解以下内容:

  • 重点关注特定的时间段,并了解峰值和发展趋势的原因。

  • 发现违反贵组织的合规性策略的业务流程。

  • 了解 DLP 策略的任何业务影响。

此外,您可以使用 DLP 报告在运行时微调您的 DLP 策略。

安全与合规中心中的报表仪表板。

DLP 策略的工作原理

DLP 使用深入内容分析(而不仅仅是简单的文本扫描)来检测敏感信息。这种深入内容分析使用关键字匹配、字典匹配、正则表达式评估、内部函数以及其他方法来检测匹配 DLP 策略的内容。您的数据中可能只有一小部分数据被视为敏感数据。DLP 策略可以只识别、监视和自动保护那些敏感数据,而不会妨碍或影响处理您的内容的其余部分的人员。

策略会进行同步

在Microsoft Purview 合规门户中创建 DLP 策略后,它将存储在中央策略存储中,然后同步到各种内容源,包括:

  • Exchange Online,并从它同步到 Outlook 网页版和 Outlook。

  • OneDrive for Business 网站。

  • SharePoint Online 网站。

  • Office 桌面程序(Excel、PowerPoint 和 Word)。

  • Microsoft Teams 频道和聊天消息。

该策略同步到正确的位置后,它将开始评估内容并强制执行操作。

OneDrive for Business 和 SharePoint Online 站点中的策略评估

文档在你的所有 SharePoint Online 站点和 OneDrive for Business 站点中会不断更改,用户会持续对文档执行创建、编辑、共享等操作。 这意味着文档可能随时会与 DLP 策略发生冲突,或变为合规状态。 例如,一个用户上载的文档可能不包含与团队站点相关的敏感信息,但之后,另一个客户可能会编辑同一文档,并向文档添加了敏感信息。

为此,DLP 策略经常检查后台中是否包含与策略相符的文档。 您可以将这视为异步策略评估。

运作方式

在用户添加或更改其站点中的文档时,搜索引擎会扫描内容,以便你稍后对其进行搜索。 同时,还对此内容进行敏感信息扫描,以检查是否进行过共享。 找到的任何敏感信息都安全地存储在搜索索引中,以便仅供合规性团队而不是典型用户进行访问。 已启用的每个 DLP 策略在后台(异步)运行,它会经常检查搜索中是否包含与某个策略相符的内容,并应用操作以防止由于疏忽而导致泄漏。

显示 DLP 策略如何异步评估内容的示意图。

最后,文档可能与 DLP 策略相冲突,但也可能符合 DLP 策略。例如,如果用户将信用卡号添加到文档,可能会导致 DLP 策略自动阻止对该文档的访问。但是,如果该用户稍后删除此敏感信息,则下一次根据此策略对此文档进行评估时,该操作(在这种情况下,阻止操作)将自动撤消。

DLP 评估可编制索引的任何内容。 有关默认的爬网文件类型的详细信息,请参阅 SharePoint Server 中的默认爬网文件扩展名和分析文件类型

备注

为了防止在 DLP 策略有机会分析文档之前共享文档,在为其内容编制索引之前,可以在 SharePoint 中阻止共享新文件。 有关详细信息,请参阅默认情况下,将新文件标记为敏感

Exchange Online、Outlook 和 Outlook 网页版中的策略评估

创建包含Exchange Online位置的 DLP 策略时,策略会从Microsoft Purview 合规门户同步到Exchange Online,然后从Exchange Online同步到Outlook 网页版和 Outlook。

在 Outlook 中撰写消息时,会显示策略提示,因为会根据 DLP 策略对创建的内容进行评估。 发送邮件后,会根据 DLP 策略作为邮件流的正常部分对其进行评估,以及 Exchange 邮件流规则 (也称为在 Exchange 管理中心创建的传输规则) 和 DLP 策略。 DLP 策略会扫描邮件及其所有附件。

Office 桌面程序中的策略评估

Excel、PowerPoint 和 Word 包含相同的功能,可像 SharePoint Online 和 OneDrive for Business 一样识别敏感信息和应用 DLP 策略。 这些 Office 程序直接从中心策略存储同步其 DLP 策略,然后在用户处理从包含在 DLP 策略中的网站打开的文档时,不断根据 DLP 策略对内容进行评估。

Office 中的 DLP 策略评估旨在不对程序的性能或处理内容的用户的工作效率产生任何影响。 如果他们正在处理大型文档,或用户的计算机正忙,可能需要几秒钟才能显示策略提示。

Microsoft Teams 中的策略评估

创建包含 Microsoft Teams 作为位置的 DLP 策略时,策略将从Microsoft Purview 合规门户同步到用户帐户、Microsoft Teams 频道和聊天消息。 根据 DLP 策略的配置方式,当某人尝试在 Microsoft Teams 聊天或频道消息中共享敏感信息时,可以阻止或撤消该消息。 并且,这些用户将无法打开包含敏感信息以及与来宾(外部用户)共享的文档。 若要了解详细信息,请参阅数据丢失防护和 Microsoft Teams

权限

默认情况下,全局管理员、安全管理员和合规性管理员将有权创建和应用 DLP 策略。 将创建 DLP 策略的合规性团队的其他成员需要对Microsoft Purview 合规门户的权限。 默认情况下,租户管理员将有权访问此位置,并且可以向合规官和其他人授予对Microsoft Purview 合规门户的访问权限,而无需向他们授予租户管理员的所有权限。为此,建议执行以下操作:

  1. 在 Microsoft 365 中创建组并为其添加合规部主管。

  2. 在Microsoft Purview 合规门户的“权限”页上创建一个角色组。

  3. 创建角色组时,使用“选择角色”部分向角色组添加以下角色:DLP 合规性管理

  4. 使用“选择成员”部分,将先前创建的 Microsoft 365 组添加到角色组中。

此外,还可通过授予“仅查看 DLP 合规性管理”角色,创建对 DLP 策略和 DLP 报告具有仅查看权限的角色组。

有关详细信息,请访问向用户授予对 Office 365 合规中心的访问权限

只有在创建和应用 DLP 策略时才需要这些权限。 策略执行不需要访问此内容。

查找 DLP cmdlet

若要将大部分 cmdlet 用于Microsoft Purview 合规门户,需要:

  1. 连接到安全与合规 PowerShell

  2. 使用任一 policy-and-compliance-dlp cmdlet

但是,DLP 报告需要从 Microsoft 365(包括 Exchange Online)提取数据。 因此,DLP 报表的 cmdlet 在 Exchange Online Powershell 中可用,而不是在 Microsoft Purview 合规门户 Powershell 中。 因此,若要使用适用于 DLP 报告的 cmdlet,你需要执行以下操作:

  1. 连接到 Exchange Online PowerShell

  2. 对 DLP 报告使用以下任意 cmdlet:

更多信息