了解终结点数据丢失防护

组织在其控制下拥有敏感信息，例如财务数据、专有数据、信用卡号码、健康记录或社会保险号码。 为了帮助保护这些敏感数据并降低过度共享的风险，他们需要一种方法来帮助防止其用户与不应拥有敏感数据的人员不当共享敏感数据。 这种做法称为数据丢失防护 (DLP)。

在 Microsoft Purview 中，可以通过定义和应用 DLP 策略来实现数据丢失防护。 使用 DLP 策略，可以识别、监视和自动保护以下各项的敏感项：

• Microsoft 365 服务，例如 Teams、Exchange、SharePoint 和 OneDrive 帐户
• Word、Excel 和 PowerPoint 等 Office 应用程序
• Windows 10、Windows 11和 macOS (三个最新版本) 终结点
• 非 Microsoft 云应用
• 本地文件共享和本地 SharePoint
• Power BI

DLP 通过使用深度内容分析（而不仅仅是简单的文本扫描）来检测敏感项。 分析内容：

• 对于主数据，与关键字匹配。
• 通过正则表达式的计算
• 通过内部函数验证
• 按与主数据匹配接近的辅助数据匹配项。
• DLP 还使用机器学习算法和其他方法来检测与 DLP 策略匹配的内容。

提示

如果你不是 E5 客户，请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

开始之前

如果你不熟悉 Microsoft Purview DLP，下面是实现 DLP 时需要的核心文章列表：

1. 管理单元
2. 了解Microsoft Purview 数据丢失防护 - 你正在阅读的文章介绍了数据丢失防护规则和 Microsoft DLP 的实现
3. 规划数据丢失防护 (DLP) - 通过完成本文，你将：
   1. 确定利益干系人
   2. 描述要保护的敏感信息类别
   3. 设置目标和策略
4. 数据丢失防护策略参考 - 本文介绍 DLP 策略的所有组件以及每个组件如何影响策略的行为
5. 设计 DLP 策略 - 本文指导你创建策略意向语句并将其映射到特定策略配置。
6. 创建和部署数据丢失防护策略 - 本文介绍将映射到配置选项的一些常见策略意向方案，然后指导你配置这些选项。
7. 了解如何调查数据丢失防护警报 - 本文介绍从创建到最终修正和策略优化的警报的生命周期。 它还介绍了用于调查警报的工具。

许可和订阅

有关支持 DLP 的订阅的详细信息，请参阅 Microsoft 365 安全 & 合规性指南 。

DLP 是更大的 Microsoft Purview 产品/服务的一部分

DLP 只是 Microsoft Purview 工具之一，你将使用它来帮助保护敏感物品，无论它们位于何处或旅行。 你应该了解 Microsoft Purview 工具集中的其他工具、它们如何相互关联并更好地协同工作。 有关信息保护过程的详细信息，请参阅 Microsoft Purview 工具 。

DLP 策略的保护操作

DLP 策略是监视用户对静态敏感项、传输中的敏感项或使用中的敏感项执行的活动，然后采取保护措施的方式。 例如，当用户尝试禁止的操作（例如将敏感项目复制到未批准的位置或在电子邮件中共享医疗信息）时，DLP 可以：

• 向用户显示弹出策略提示，警告他们可能尝试不当共享敏感项
• 阻止共享，并通过策略提示允许用户替代阻止并捕获用户的理由
• 在没有替代选项的情况下阻止共享
• 对于静态数据，可以锁定敏感项并将其移动到安全隔离位置
• 对于 Teams 聊天，不会显示敏感信息

默认情况下，所有 DLP 监视的活动都记录到 Microsoft 365 审核日志 ，并路由到 活动资源管理器。

DLP 生命周期

DLP 实现通常遵循这些主要阶段。

• DLP 计划
• 准备 DLP
• 在生产环境中部署策略

DLP 计划

DLP 监视和保护是用户每天使用的应用程序的本机功能。 这有助于保护组织的敏感项目免受风险活动的影响，即使用户不习惯于数据丢失防护思维和做法。 如果你的组织和用户不熟悉数据丢失防护做法，则采用 DLP 可能需要更改业务流程，并且你的用户将发生区域性转变。 但是，通过适当的规划、测试和优化，DLP 策略将保护敏感项，同时最大程度地减少任何潜在的业务流程中断。

DLP 的技术规划

请记住，DLP 作为一种技术可以跨 Microsoft 365 服务、Windows 10、Windows 11和 macOS 监视和保护静态数据、使用数据和动态数据， (三个最新版本) 设备、本地文件共享和本地 SharePoint。 对不同位置、要监视和保护的数据类型以及发生策略匹配时要执行的操作具有规划意义。

DLP 的业务流程规划

DLP 策略可以阻止用户执行禁止的活动，例如通过电子邮件不当共享敏感信息。 规划 DLP 策略时，必须确定涉及敏感项的业务流程。 业务流程所有者可帮助你识别应允许的相应用户行为和应受到保护的不当用户行为。 在以更严格的模式运行策略之前，应规划策略并将其部署在 模拟模式下，并评估其影响。

DLP 的组织文化规划

成功的 DLP 实现在很大程度上取决于让用户接受数据丢失防护实践的训练和适应，以及它是否在精心规划和优化的策略上。 由于用户参与其中非常频繁，因此请务必为他们规划培训。 在将策略状态从模拟模式更改为限制性更高的模式之前，可以战略性地使用策略提示来提高用户的认识。

准备 DLP

可以将 DLP 策略应用于静态数据、使用中的数据和移动数据，例如：

• Exchange Online电子邮件
• SharePoint Online 站点
• OneDrive 账户
• Teams 聊天和通道消息
• Microsoft Defender for Cloud Apps (实例)
• Windows 10、Windows 11和 macOS (三个最新发布的版本) 设备
• 本地存储库
• Power BI 网站

每个组件都有不同的先决条件。 某些位置（如 Exchange Online）中的敏感项只需配置适用于它们的策略即可将其置于 DLP 保护之下。 其他资源（如本地文件存储库）需要部署 Microsoft Purview 信息保护扫描程序。 在激活任何阻止操作之前，需要准备环境、编写策略草案并对其进行全面测试。

在生产环境中部署策略

设计策略

首先定义控制目标，以及它们如何应用于每个各自的工作负载。 起草体现目标的策略。 可以随意从一次一个工作负载开始，也可以跨所有工作负载开始 ，目前尚无任何影响。 有关详细信息，请参阅 创建和部署数据丢失防护策略。

在模拟模式下实现策略

通过在 模拟模式下使用 DLP 策略实现控件来评估控件的影响。 策略处于模拟模式时，不会应用策略中定义的操作。 可以在模拟模式下将策略应用到所有工作负载，以便获得完整的结果范围，但如果需要，可以从一个工作负载开始。 有关详细信息，请参阅 策略部署。

监视结果并微调策略

在模拟模式下，监视策略的结果并对其进行微调，使其符合控制目标，同时确保不会对有效的用户工作流和工作效率造成不利影响或无意中影响。 下面是一些需要微调的内容示例：

• 调整在范围内或范围外的位置和人员/地点
• 优化用于确定某个项及其正在执行的操作是否与策略匹配的条件
• 敏感信息定义/秒
• 添加新控件
• 添加新人员
• 添加新受限应用
• 添加新的受限网站

注意

停止处理更多规则 在模拟模式下不起作用，即使它已打开。

启用控制和优化策略

策略满足所有目标后，请将其打开。 继续监视策略应用程序的结果，并根据需要进行优化。

注意

一般情况下，策略在启用后大约一小时生效。

DLP 策略配置概述

可以灵活地创建和配置 DLP 策略。 可以从预定义模板开始，只需单击几下即可创建策略，也可以从头开始设计自己的策略。 无论你选择哪种，所有的 DLP 策略都需要你提供相同的信息。

1. 选择要监视的内容 - DLP 附带许多预定义的策略模板来帮助你入门，或者可以创建自定义策略。

   • 预定义的策略模板，例如财务数据、医疗和健康数据、隐私数据等，全部适用于各个国家和地区。
   • 使用可用 敏感信息类型的自定义策略， (SIT) 、 保留标签和 敏感度标签。

2. 选择管理范围 - DLP 支持将 管理单元 分配给策略。 分配到管理单元的管理员只能为其分配到的用户、组、通讯组和帐户创建和管理策略。 因此，策略可由不受限制的管理员应用于所有用户和组，也可以将其范围限定为管理单元。 有关 DLP 特定的详细信息，请参阅 策略范围 。 有关跨Microsoft Purview 信息保护管理单元的详细信息，请参阅管理单元。

3. 选择要监视的位置 - 选择要 DLP 监视敏感信息的一个或多个位置。 可以监视:

   位置	包含/排除方式
   Exchange 电子邮件	通讯组
   SharePoint 网站	网站
   OneDrive 账户	帐户或通讯组
   Teams 聊天和通道消息	帐户或通讯组
   Windows 10、Windows 11和 macOS (三个最新发布的版本) 设备	用户或组
   Microsoft Cloud App Security	实例
   本地存储库	存储库文件路径
   Power BI (预览版)	工作区

4. 选择策略必须匹配的条件才能应用于项 - 可以接受预配置条件，也可以定义自定义条件。 示例如下：

   • item 包含特定上下文中使用的指定敏感信息类型。 例如，95 个社会保险号码通过电子邮件发送给组织外部的收件人。
   • 项具有指定的敏感度标签
   • 具有敏感信息的项在内部或外部共享

5. 选择在满足策略条件时要执行的操作 - 操作取决于活动发生的位置。 示例如下：

   • SharePoint/Exchange/OneDrive：阻止组织外部的人员访问内容。 向用户显示提示，并向他们发送电子邮件通知，告知他们正在执行 DLP 策略禁止的操作。
   • Teams 聊天和频道：阻止在聊天或频道中共享敏感信息。
   • Windows 10、Windows 11和 macOS (三个最新版本) 设备：审核或限制将敏感项复制到可移动 USB 设备。
   • Office 应用：显示一个弹出窗口，通知用户他们正在从事有风险的行为，并阻止或阻止，但允许替代。
   • 本地文件共享：将文件从存储到隔离文件夹。

   注意

   条件和要执行的操作在名为 rule 的对象中定义。

创建和部署 DLP 策略

所有 DLP 策略都是在Microsoft Purview 合规门户中创建和维护的。 有关详细信息，请参阅 创建和部署数据丢失防护策略 。

在合规性门户中创建 DLP 策略后，该策略将存储在中央策略存储中，然后同步到各种内容源，包括：

• 交换，以及从那里到Outlook 网页版和 Outlook
• OneDrive
• SharePoint 网站
• Office 桌面程序（Excel、PowerPoint 和 Word）
• Microsoft Teams 频道和聊天消息

将策略同步到正确的位置后，它开始评估内容并强制实施操作。

查看策略应用程序结果

DLP 向 Microsoft Purview 报告从监视到策略匹配和操作以及用户活动的大量信息。 你需要使用该信息并对其执行操作，以优化策略和对敏感项目采取的会审操作。 遥测数据首先进入 Microsoft 365 审核日志 ，然后进行处理，并转到不同的报告工具。 每个报告工具都有不同的用途。

大量敏感信息在外部共享或保存

Microsoft 365 可让你了解 DLP 策略之外的风险用户活动。 DLP 主页上在外部共享或保存的大量敏感信息卡显示用户拥有的敏感项计数：

• 上传到可疑域
• 使用可疑应用程序访问
• 复制到可移动驱动器

Microsoft 365 扫描审核日志中存在风险的活动，并通过相关引擎运行这些日志，以查找大量发生的活动。 不需要 DLP 策略。

若要获取有关用户正在组织外部复制或移动的项的更多详细信息， (称为出口活动或外泄) ，请选择卡上的“了解详细信息”链接以打开详细信息窗格。 可以从Microsoft Defender门户“事件 & 警报>事件”调查Microsoft Purview 数据丢失防护 (DLP) 事件。 请参阅使用Microsoft Defender XDR调查数据丢失事件和调查Microsoft Defender XDR中的警报。

DLP 警报

当用户执行符合 DLP 策略条件的操作时，DLP 会生成警报，并且你已将 事件报告 配置为生成警报。 DLP 在 DLP 警报仪表板中发布警报以供调查。 使用 DLP 警报仪表板查看警报、会审警报、设置调查状态和跟踪解决方法。 警报还会路由到Microsoft Defender门户，可在其中执行所有警报仪表板任务等。

提示

DLP 警报可在 Microsoft Defender 门户中使用六个月。 它们仅在 Microsoft Purview DLP 警报仪表板提供 30 天。

注意

如果你是管理单元受限管理员，则只会看到管理单元的 DLP 警报。

下面是策略匹配项和活动从Windows 10设备生成的警报示例。

你还可以在同一仪表板中查看关联事件的详细信息以及丰富元数据

注意

电子邮件的警报生成方式与 SharePoint 或 OneDrive 项目的生成方式不同。 在 SharePoint 和 OneDrive 中，DLP 会扫描现有项目和新项目，并在找到匹配项时生成警报。 在 Exchange 中，将扫描新的电子邮件，并在策略匹配的情况下生成警报。 DLP 不会 扫描或匹配以前存储在邮箱或存档中的现有电子邮件项目。

有关警报的更多详细信息，请参阅：

• DLP 策略中的警报：描述 DLP 策略上下文中的警报。
• 数据丢失防护警报入门：涵盖 DLP 警报的必要许可、权限和先决条件以及警报参考详细信息。
• 创建和部署数据丢失防护策略：包括有关创建 DLP 策略的上下文中的警报配置指南。
• 了解如何调查数据丢失防护警报：介绍用于调查 DLP 警报的各种方法。
• 使用Microsoft Defender XDR调查数据丢失事件：如何在Microsoft Defender门户中调查 DLP 警报。

DLP 活动资源管理器和报表

DLP 页上的“活动资源管理器”选项卡有多个筛选器，可用于查看 DLP 事件。 使用此工具可以查看与包含敏感信息或应用了标签的内容相关的活动，例如更改了哪些标签、修改了哪些文件以及与规则匹配。

可以使用以下预配置筛选器在 活动资源管理器 中查看过去 30 天的 DLP 信息：

• 终结点 DLP 活动
• 包含敏感信息类型的文件
• 出口活动
• 检测到活动的 DLP 策略
• 检测到活动的 DLP 策略规则

查看此信息	选择此活动
用户重写	DLP 规则撤消
与 DLP 规则匹配的项目	DLP 规则匹配

还可以通过安全性 & 合规性 PowerShell 中的这些 cmdlet 访问 DLP 报表。

1. 连接到安全与合规 PowerShell

使用以下 cmdlet：

• Get-DlpDetailReport
• Get-DlpDetectionsReport
• Get-DlpSiDetectionsReport

但是，DLP 报表需要跨 Microsoft 365（包括 Exchange）拉取数据。 因此，Exchange Powershell 中提供了以下用于 DLP 报表的 cmdlet。 若要使用这些 DLP 报表的 cmdlet，请执行以下步骤：

1. 连接到 Exchange PowerShell

使用以下 cmdlet：

• Get-DlpDetailReport
• Get-MailDetailDlpPolicyReport

上下文摘要

可以看到匹配内容周围的文本，例如活动资源管理器中 DLPRuleMatch 事件中的信用卡编号。

DLPRuleMatch 事件与用户出口活动（例如“CopyToClipboard”或“CloudEgress”）配对。 它们应位于 (旁边，或者至少非常接近活动资源管理器中的彼此) 。 你需要查看这两者，因为 用户活动 包含有关匹配策略的详细信息， DLPRuleMatch 事件包含有关匹配内容周围文本的详细信息。

对于终结点，请确保已为Windows 10设备应用KB5016688，并为Windows 11或更高版本的设备应用了KB5016691

有关详细信息，请参阅 活动资源管理器入门

若要详细了解 Microsoft Purview DLP，请参阅：

• 了解终结点数据丢失防护
• 了解 Microsoft Teams（预览版）中的默认数据丢失防护策略
• 了解数据丢失防护本地扫描程序
• 了解 Microsoft 合规性扩展
• 数据丢失防护警报入门仪表板

若要了解如何使用数据丢失防护来遵守数据隐私法规，请参阅 使用 Microsoft Purview (aka.ms/m365dataprivacy) 为数据隐私法规部署信息保护 。