数据丢失防护和 Microsoft Teams

如果组织Microsoft Purview 数据丢失防护 (DLP) ，则可以定义策略来帮助防止用户在 Microsoft Teams 频道或聊天会话中共享敏感信息。 下面是此保护工作原理的一些示例:

• 保护消息中的敏感信息。 假设有人尝试在 Teams 聊天或频道中与来宾共享敏感信息， () 的外部用户。 如果定义了 DLP 策略来防止这种情况，则会删除包含发送给外部用户的敏感信息的消息。 这在几秒钟内根据 DLP 策略的配置方式自动发生。

注意

当与具有以下内容的 Microsoft Teams 用户共享时，Microsoft Teams DLP 会阻止敏感内容：

• 团队和频道中的来宾访问权限，或
• 会议和聊天会话中的外部访问。

仅当发送方和接收方都处于“仅 Teams”模式并使用 Microsoft Teams 本机联合时，外部聊天会话的 DLP 才有效。 用于 Teams 的 DLP 不会阻止与 Skype 或非本机联合聊天会话的 互操作 中的消息。

• 保护文档中的敏感信息。 假设有人尝试在 Microsoft Teams 频道或聊天中与来宾共享文档，并且该文档包含敏感信息。 如果定义了 DLP 策略来防止这种情况，则不会为这些用户打开该文档。 DLP 策略必须包含 SharePoint 和 OneDrive，才能强制实施保护。 这是 Microsoft Teams 中显示的 SharePoint 的 DLP 示例，因此要求用户获得Office 365 DLP 许可， (包含在 Office 365 E3) 中，但不要求用户获得Office 365 高级合规版许可。

• 保护 Teams 共享频道中的通信。 对于共享频道，将应用主机 Teams 团队 DLP 策略。 例如，假设 Contoso 团队 A 拥有一个共享频道。 团队 A 具有 DLP 策略 P1。 可通过三种方式共享频道：

  • 与成员共享：邀请 Contoso 中的 User1 加入共享频道，而无需使其成为团队 A 的成员。P1 涵盖此共享频道中的所有人，包括 User1。
  • 在内部) 与团队 (共享 ：与 Contoso 团队 B 中的另一个团队共享频道。其他团队可能有不同的 DLP 策略，但这并不重要。 P1 适用于此共享频道中的每个人，包括团队 A 和团队 B 用户。
  • 与团队 (跨租户) 共享 ：在 Fabrikam 中与团队 F 共享频道。 Fabrikam 可能有自己的 DLP 策略，但这并不重要。 P1 适用于此共享频道中的每个人，包括 Team A (Contoso) 和 Team F (Fabrikam) 用户。

• 在 Microsoft Teams 中与外部用户聊天时保护通信。 来自所有使用外部访问功能的 Microsoft 365 组织人员都可以加入同一聊天会话。 每个用户都受其自己组织的 DLP 策略的约束。 例如，假设来自 Contoso 的 UserA、UserB 和 UserC 以及来自 Fabrikam 的 UserX、UserY 和 UserZ 都位于同一 Teams 聊天中。 Contoso 用于在 Teams 中共享信息的 DLP 策略适用于 UserA、UserB 和 UserC，而 Fabrikam 的 DLP 策略适用于 UserX、UserY 和 UserZ。 有关使用 Microsoft Teams 与组织外部的人员聊天的详细信息，请参阅 管理外部会议并使用 Microsoft 标识与人员和组织聊天

提示

如果你不是 E5 客户，请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

Microsoft Teams 的 DLP 许可

数据丢失防护 功能包括 Microsoft Teams 聊天和频道消息，包括用于以下对象的 专用频道消息 ：

• Office 365 E5/A5/G5
• Microsoft 365 E5/A5/G5
• Microsoft 365 E5/A5/G5 信息保护和治理
• Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全 & 符合性

Office 365和Microsoft 365 E3包括 SharePoint、OneDrive 和 Exchange 的 DLP 保护。 这还包括通过 Teams 共享的文件，因为 Teams 使用 SharePoint 和 OneDrive 来共享文件。

支持 Teams 聊天中的 DLP 保护需要 E5 许可证。

重要

有关许可的信息，请参阅适用于企业的 Microsoft 365、Office 365、企业移动性 + 安全性和Windows 11订阅。

提示

DLP 仅适用于聊天或频道线程中的实际消息。 活动通知（包括短消息预览并基于用户的通知设置显示） 不包括 在 Teams DLP 中。 预览中显示的消息部分中的任何敏感信息都将在通知中保持可见，即使在应用 DLP 策略并从邮件本身中删除敏感信息之后也是如此。

DLP 保护范围

DLP 保护以不同的方式应用于 Teams 实体，如下表所述。

若要将 DLP Teams 策略的范围限定为所有聊天类型，请将策略范围限定为 “所有位置”，或验证每个 Teams 用户是否同时位于 Microsoft 365 组中，并且位于范围限定为该策略的安全组或通讯组中。 有关详细信息， 请详细了解如何同步成员身份。

策略范围	Teams 实体	DLP 保护
个人用户帐户	- 1：1/n 聊天 - 标准和共享频道消息 - 私人频道消息	-是的 -不 -是的
安全组/通讯组/未启用邮件的安全组	- 1：1/n 聊天 - 标准和共享频道消息 - 私人频道消息	-是的 -不 -是的
Microsoft 365 组*	- 1：1/n 聊天 - 标准和共享频道消息 - 私人频道消息	-不 -是的 -不

注意

当 DLP 策略的范围限定为 Microsoft 365 组时，DLP 保护将应用于使用与其所属组关联的标准和共享通道的组成员。

策略提示帮助教育用户

与 (Exchange、Outlook、SharePoint、OneDrive 和 Windows 设备上 DLP 策略提示的工作方式类似，当使用 DLP 策略触发操作时，Teams 中的策略提示会显示。 下面是策略提示的示例：

在这里，发件人尝试在 Microsoft Teams 频道中共享社会安全号码。 “ 我该怎么办？” 链接将打开一个对话框，该对话框为发件人提供了解决问题的选项。 请注意，发件人可以选择替代策略或通知管理员查看和解决问题。

可以选择允许组织中的用户替代 DLP 策略。 配置 DLP 策略时，可以使用默认策略提示，或为组织 自定义策略提示 。

回到我们的示例，当发件人在 Teams 频道中共享社会安全号码时，收件人会看到以下情况：

自定义策略提示

若要执行该任务，须被分配具有编辑 DLP 策略权限的角色。 若要了解详细信息，请参阅Microsoft Purview 合规门户中的权限。

为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息，请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息，请参阅 Microsoft Purview 合规门户。

Microsoft Purview 门户

1. 登录到 Microsoft Purview 门户>数据丢失防护>策略。

2. 选择一个策略，然后选择“ 编辑策略 ” (铅笔图标) 。

3. 在工具中导航，直到转到 “自定义高级 DLP 规则 ”屏幕。

4. 创建新规则，或编辑策略的现有规则。

5. 向下滚动到 “用户通知 ”，并将 “使用通知告知用户并帮助告知他们正确使用敏感信息” 开关设置为 “开”。

6. 在“Microsoft 365 服务”下，选择“使用策略提示通知Office 365服务中的用户”。

7. 在 “策略提示 ”下，选择“ 自定义策略提示文本”。

8. 指定要用于策略提示的文本。

9. 如果策略提示适用于 Microsoft Exchange 中的用户活动，并且您希望在发送电子邮件之前显示一个对话框，请选择“ 在发送之前将策略提示显示为最终用户的对话”。

10. 选择 “保存” ，然后选择 “下一步”。

11. 在“策略模式”页上，如果需要，检查“在模拟模式下显示策略提示”旁边的框。

12. 依次选择 “下一步”、“ 提交”和“ 完成”。

合规性门户

1. 登录到 Microsoft Purview 合规门户>数据丢失防护>策略。

2. 选择策略，然后选择 “编辑” (铅笔图标) 。

3. 在工具中导航，直到转到 “自定义高级 DLP 规则 ”屏幕。

4. 创建新规则，或编辑策略的现有规则。

5. 向下滚动到“用户通知”，选择“使用策略提示通知Office 365服务中的用户”，然后选择“自定义策略提示文本”。

6. 指定要用于电子邮件通知和/或策略提示的文本，然后选择“保存”。

7. 选择“保存”。

8. 完成工具工作。 在最后一个屏幕上，选择“ 提交”。

大约需要一小时，让更改通过数据中心运行并同步到用户帐户。

将 Microsoft Teams 作为位置添加到现有 DLP 策略

若要执行该任务，须被分配具有编辑 DLP 策略权限的角色。 若要了解详细信息，请参阅 Microsoft Purview 合规门户.md#permissions) 中的权限。

为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息，请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息，请参阅 Microsoft Purview 合规门户。

Microsoft Purview 门户

1. 登录到 Microsoft Purview 门户>数据丢失防护>策略。

2. 选择一个策略，然后选择“ 编辑策略 ” (铅笔图标) 。

3. 在工具中导航，直到到达 “选择要应用策略的位置 ”页。

4. 选择 “Teams 聊天和频道消息”。

5. 选择“ 下一步 ”，并一直完成该过程。

6. Choose Submit.

大约需要一小时，让更改通过数据中心运行并同步到用户帐户。

合规性门户

1. 转到Microsoft Purview 合规门户并登录。

2. 选择 “数据丢失防护>策略”。

3. 选择一个策略，然后选择 “编辑策略”。

4. 在工具中导航，直到到达 “选择要应用策略的位置 ”页。

5. 将 Teams 聊天和频道消息 选项切换为 “打开”。

6. 选择“ 下一步 ”，并一直完成该过程。

7. Choose Submit.

大约需要一小时，让更改通过数据中心运行并同步到用户帐户。

为 Microsoft Teams 定义新的 DLP 策略

有关如何创建和实施新的 DLP 策略的信息，请参阅 创建和部署数据丢失防护策略。

阻止对敏感文档的外部访问

默认情况下，可以通过 将新文件标记为敏感，确保文档受到保护，直到 DLP 扫描并将它们标记为安全共享。

建议的 DLP 策略结构

• 条件

  • 内容包含以下任一敏感信息类型：[选择所有应用]

  • 内容从 Microsoft 365> 共享与组织外部的人员

  

• 操作

  • 添加操作

  • 限制访问或加密 Microsoft 365 位置>中的内容仅阻止组织外部的人员

    

  • 使用通知通知你的用户，并帮助他们正确使用敏感信息>使用策略提示通知Office 365中的用户

  • 通知这些人 [选择所有应用]

  • 策略提示 [选择所有适用]

    

注意

事件报告的发件人地址现在 no-reply-MicrosoftInformationProtectionOnline@microsoft.com为 。

相关文章

• 创建和部署数据丢失防护策略
• 发送电子邮件通知并显示 DLP 策略的策略提示