创建 DLP 策略来保护具有 FCI 或其他属性的文档

  • 项目

Microsoft Purview 数据丢失防护 (DLP) 策略可以使用分类属性或项属性来标识敏感项。 例如,可以使用:

  • Windows Server 文件分类基础结构 (FCI) 属性
  • SharePoint 文档属性
  • 第三方系统文档属性

显示Office 365和外部分类系统的示意图。

例如,你的组织可能会使用 Windows Server FCI 来标识包含个人数据(例如社会安全号码)的项目,然后根据每个文档中发现的个人数据的类型和出现次数,将 “个人身份信息” 属性设置为 “高”、“ 中等”、“ ”、“ 公共”或 “非 PII ”来对这些文档进行分类。

在 Microsoft 365 中,可以创建一个 DLP 策略,用于标识该属性设置为特定值(如 HighMedium)的文档,然后执行阻止对这些文件的访问等操作。 如果将属性设置为“低”,则同一个策略可以使用其他规则来执行不同的操作,如发送电子邮件通知。 这样,DLP 与 Windows Server FCI 集成,有助于保护从基于 Windows Server 的文件服务器上载或共享到 Microsoft 365 的 Office 文档。

DLP 策略只需查找特定的属性名称/值对。 可以使用任何文档属性,只要该属性具有 SharePoint 搜索的相应托管属性。 例如,SharePoint 网站集可能使用名为“行程报告”的内容类型,包含名为“客户”的必填字段。 只要有人创建行程报告,就必须输入客户名称。 此属性名称/值对也可以在 DLP 策略中使用,例如,如果想要在 “客户 ”字段包含 Contoso 时阻止来宾访问文档的规则。

如果要将 DLP 策略应用于具有特定 Microsoft 365 标签的内容,请不要执行此处的步骤。 请改为参阅l 创建和部署数据丢失防护策略

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

在创建 DLP 策略之前

在 DLP 策略中使用 Windows Server FCI 属性或其他属性之前,需要在 SharePoint 管理中心中创建托管属性。 原因如下。

在 SharePoint 和 OneDrive 中,搜索索引是通过对网站上的内容进行爬网而建立的。 爬网程序以已爬网属性的形式从文档中选取内容和元数据。 搜索架构可帮助爬网程序确定要选取的内容和元数据。 (元数据的示例包括 document 的作者和标题。) 但是,若要将文档的内容和元数据放入搜索索引中,必须将已爬网属性映射到托管属性。 索引中仅保留托管属性。 例如,与作者相关的已爬网属性映射到与作者相关的托管属性。

注意

使用 条件创建 DLP 规则时,请务必使用 ContentPropertyContainsWords 托管属性名称,而不是已爬网属性名称。 这一点很重要,因为 DLP 使用搜索爬网程序来识别和分类网站上的敏感信息,然后将该敏感信息存储在搜索索引的安全部分。 当您将文档上载到 Office 365 时,SharePoint 会自动创建基于文档属性的已爬网属性。 但是,若要在 DLP 策略中使用 FCI 或其他属性,需要将已爬网属性映射到托管属性,以便将具有该属性的内容保留在索引中。

有关搜索和托管属性的详细信息,请参阅 在 SharePoint Online 中管理搜索架构

步骤 1:将包含所需属性的文档上载到 Office 365

首先,需要上传具有要在 DLP 策略中引用的属性的文档。 Microsoft 365 将检测 属性,并从中自动创建已爬网属性。 在下一步中,你将创建一个托管属性,然后将托管属性映射到此已爬网属性。

步骤 2:创建托管属性

  1. 登录到 Microsoft 365 管理中心

  2. 在左侧导航窗格中,选择“管理员 SharePoint”中心>。 你现在位于 SharePoint 管理中心

  3. 在左侧导航窗格中,选择 “搜索”。 在 搜索管理 页上,选择 “管理搜索架构”。

    SharePoint 管理中心中的搜索管理页面。

  4. “托管属性” 页上 >,新建托管属性

    “托管属性”页,其中突出显示了“新建托管属性”按钮。

  5. 输入属性的名称和说明。 此名称将显示在您的 DLP 策略中。

  6. 对于“类型”,选择“文本”

  7. 在“主要特征”下,选择“可查询”和“可检索”

  8. “映射到已爬网属性” 下,选择 “添加映射”。

  9. 在“ 已爬网属性选择 ”对话框中,找到并选择与 Windows Server FCI 属性或将在 DLP 策略中使用的其他属性对应的已爬网属性,然后选择“ 确定”。

    已爬网属性选择对话框。

  10. 在页面底部,选择“ 确定”。

创建使用 FCI 属性或其他属性的 DLP 策略

在此示例中,组织在其基于 Windows Server 的文件服务器上使用 FCI;具体而言,它们使用名为 “个人身份信息” 的 FCI 分类属性,其可能值为 “高”、“ 中等”、“ ”、“ 公共”和 “非 PII”。 现在,他们希望在Office 365的 DLP 策略中使用现有的 FCI 分类。

首先,按照上述步骤在 SharePoint Online 中创建托管属性,该属性映射到从 FCI 属性自动创建的已爬网属性。

接下来,创建包含两个规则的 DLP 策略,这两个规则都使用 条件 Document 属性包含以下任何值

  • FCI PII 内容 - 高、中等 如果 FCI 分类属性 “个人身份信息 ”等于 “高 ”或“ 中等 ”,并且文档与组织外部的人员共享,则第一个规则将限制对文档的访问。

  • FCI PII 内容 - 低 如果 FCI 分类属性 “个人身份信息 ”等于 Low ,并且文档与组织外部的人员共享,则第二个规则会向文档所有者发送通知。

创建 DLP 策略之后

完成前面各节中的步骤会创建一个 DLP 策略,该策略将快速检测具有该属性的内容,但前提是该内容是新上传的 (以便) 编制索引的内容,或者该内容是旧内容,但只是 (编辑,以便) 重新索引内容。

若要在任意位置检测具有该属性的内容,需要重新为库、网站或网站集编制索引,以便 DLP 策略知道该属性的所有内容。 在 SharePoint 中,编辑内容时会自动对内容进行爬网。 无法手动重新索引特定的 SharePoint 网站。

警告

无法针对 DLP 方案重新编制站点索引。

有关详细信息,请参阅Manually request crawling and re-indexing of a site, a library or a list(手动请求对网站、库或列表进行爬网和重新编制索引)。

为站点重新编制索引 (可选)

  1. 在站点上,选择“设置” (右上角的齿轮图标) >“网站设置”。

  2. “搜索”下,选择“搜索和脱机可用性>重新编制网站索引”。

更多信息