本地存储库数据丢失防护入门

注意

有一个新版本的信息保护扫描程序。 有关详细信息，请参阅升级Microsoft Purview 信息保护扫描程序。

本文将指导你完成在 DLP 策略中使用本地存储库位置Microsoft Purview 数据丢失防护的先决条件和配置。

提示

如果你不是 E5 客户，请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

准备工作

SKU/订阅许可

开始使用 DLP 策略之前，请确认 Microsoft 365 订阅 和任何加载项。

有关许可的信息，请参阅适用于企业的 Microsoft 365、Office 365、企业移动性 + 安全性和Windows 11订阅。

重要

通过添加文件或使用文件参与扫描位置的所有用户都需要拥有许可证，而不仅仅是扫描程序用户。

权限

可以在 活动资源管理器中查看 DLP 中的数据。 有四个角色可向活动资源管理器授予权限，用于访问数据的帐户必须是其中任何一个的成员。

• 全局管理员
• 合规性管理员
• 安全管理员
• 合规性数据管理员

角色和角色组

有一些角色和角色组可以在其中进行测试以微调访问控制。

下面是适用角色的列表。 若要详细了解它们，请参阅Microsoft Purview 合规门户中的权限。

• 信息保护管理员
• 信息保护分析师
• 信息保护调查员
• 信息保护读者

下面是适用角色组的列表。 若要了解详细信息，请参阅Microsoft Purview 合规门户中的权限。

• 信息保护
• 信息保护管理员
• 信息保护分析师
• 信息保护调查员
• 信息保护读者

DLP 本地存储库先决条件

• Microsoft Purview 信息保护扫描程序实现 DLP 策略匹配和策略强制实施。 扫描程序作为信息保护客户端的一部分安装，因此安装必须满足权限管理加密服务、信息保护客户端和信息保护扫描程序的所有先决条件。
• 部署客户端和扫描程序。 有关详细信息，请参阅 安装或升级信息保护客户端 和 配置和安装信息保护扫描程序。
• 必须至少在租户中发布一个标签和策略，即使所有检测规则都只基于敏感信息类型。

部署 DLP 本地扫描仪

为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息，请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息，请参阅 Microsoft Purview 合规门户。

Microsoft Purview 门户

1. 登录到 Microsoft Purview 门户。

2. 按照 安装或升级信息保护客户端中的过程进行操作。

3. 按照 配置和安装信息保护扫描程序 中的过程完成扫描程序安装。

   1. 必须创建内容扫描作业，并指定要由 DLP 引擎评估的文件的存储库。
   2. 在创建的内容扫描作业中启用 DLP 规则，并将 “强制” 选项设置为 “关闭 (，除非你想要直接进入 DLP 强制阶段) 。

4. 验证内容扫描作业是否已分配给正确的群集。 如果尚未创建内容扫描作业，请创建一个新作业并将其分配给包含扫描程序节点的群集。

5. 连接到 Microsoft Purview 门户，并将存储库添加到将执行扫描的内容扫描作业。

6. 执行下列操作之一以运行扫描：

   1. 设置扫描程序计划
   2. 在门户中使用手动 “立即扫描 ”选项
   3. 运行 Start-Scan PowerShell cmdlet

   重要

   请记住，扫描程序默认运行存储库的增量扫描，并且将跳过在上一个扫描周期中扫描的文件，除非文件已更改或已启动完全重新扫描。 通过使用 UI 中的“ 重新扫描所有文件 ”选项或运行 “开始扫描-重置”，可以启动完全重新扫描。

7. 打开 Microsoft Purview 门户> 数据丢失防护 > 策略。

8. 选择“+ Create策略”并创建测试 DLP 策略。 如果需要有关创建策略的帮助，请参阅Create和部署数据丢失防护策略。 请务必 在模拟模式下运行策略， 直到你熟悉此功能。 将以下参数用于策略：

   1. 如果需要，将 DLP 本地存储库规则的范围限定为特定位置。 如果将 位置 范围限定为 “全部”，则扫描的所有文件都将受到 DLP 规则匹配和执行的约束。
   2. 指定位置时，可以使用排除列表或包含列表。 可定义规则仅与包含列表中列出的其中一个模式相匹配的路径相关，与包含列表中列出的所有文件（与包含列表中列出的模式相匹配的文件除外）的所有文件除外。 不支持任何本地路径。 以下是一些有效路径的示例：
   • \\server\share
   • \\server\share\folder1\subfolderabc
   • *\folder1
   • *secret*.docx
   • *秘密*。*
   • https:// sp2010.local/sites/HR
   • https：//*/HR
   1. 以下是使用不可接受的值的一些示例：
   • *
   • *\a
   • Aaa
   • c:\
   • C:\test

重要

排除列表优先于包含列表。

合规性门户

1. 打开Microsoft Purview 合规门户。

2. 按照 安装或升级信息保护客户端中的过程进行操作。

3. 按照 配置和安装信息保护扫描程序 中的过程完成扫描程序安装。

   1. 必须创建内容扫描作业，并指定要由 DLP 引擎评估的文件的存储库。
   2. 在创建的内容扫描作业中启用 DLP 规则，并将 “强制” 选项设置为 “关闭 (，除非你想要直接进入 DLP 强制阶段) 。

4. 验证内容扫描作业是否已分配给正确的群集。 如果尚未创建内容扫描作业，请创建一个新作业并将其分配给包含扫描程序节点的群集。

5. 连接到Microsoft Purview 合规门户并将存储库添加到将执行扫描的内容扫描作业。

6. 执行下列操作之一以运行扫描：

   1. 设置扫描程序计划
   2. 在门户中使用手动 “立即扫描 ”选项
   3. 运行 Start-Scan PowerShell cmdlet

   重要

   请记住，扫描程序默认运行存储库的增量扫描，并且将跳过在上一个扫描周期中扫描的文件，除非文件已更改或已启动完全重新扫描。 通过使用 UI 中的“ 重新扫描所有文件 ”选项或运行 “开始扫描-重置”，可以启动完全重新扫描。

7. 在 Microsoft Purview 合规门户中打开 数据丢失防护页。

8. 选择 创建策略 并创建测试 DLP 策略。 如果需要有关创建策略的帮助，请参阅Create和部署数据丢失防护策略。 请务必 在模拟模式下运行策略， 直到你熟悉此功能。 将以下参数用于策略：

   1. 如果需要，将 DLP 本地存储库规则的范围限定为特定位置。 如果将 位置 范围限定为 “全部”，则扫描的所有文件都将受到 DLP 规则匹配和执行的约束。
   2. 指定位置时，可以使用排除列表或包含列表。 可定义规则仅与包含列表中列出的其中一个模式相匹配的路径相关，与包含列表中列出的所有文件（与包含列表中列出的模式相匹配的文件除外）的所有文件除外。 不支持任何本地路径。 以下是一些有效路径的示例：
   • \\server\share
   • \\server\share\folder1\subfolderabc
   • *\folder1
   • *secret*.docx
   • *秘密*。*
   • https:// sp2010.local/sites/HR
   • https：//*/HR
   1. 以下是使用不可接受的值的一些示例：
   • *
   • *\a
   • Aaa
   • c:\
   • C:\test

重要

排除列表优先于包含列表。

查看 DLP 警报

1. 在 Microsoft Purview 合规门户中打开“数据丢失防护”页面，然后选择“警报”。

2. 请参阅数据丢失防护入门警报仪表板和使用Microsoft Defender XDR调查数据丢失事件中的过程，以查看本地 DLP 策略的警报。

在活动资源管理器和审核日志中查看 DLP 数据

注意

信息保护扫描程序要求启用审核。 默认情况下，在 Microsoft 365 中启用审核。

1. 在 Microsoft Purview 合规门户中打开域的“数据分类”页，然后选择活动资源管理器。

2. 请参阅活动 工具入门 中的过程，以访问和筛选本地扫描仪位置的所有数据。

3. 在 合规中心打开审核日志。 DLP 规则匹配项在审核日志 UI 中可用，或可通过 PowerShell 中的 Search-UnifiedAuditLog 进行访问。

后续步骤

现在，你已为 DLP 本地位置部署了测试策略，并且可以在活动资源管理器中查看活动数据，接下来可以继续下一步，在其中创建 DLP 策略来保护敏感项。

• 使用 DLP 本地

另请参阅

• 了解数据丢失防护本地存储库
• 使用数据丢失防护本地存储库
• 了解数据丢失防护
• Create和部署数据丢失防护策略
• 活动资源管理器入门
• Microsoft 365 订阅