应用 DLP 规则时阻止来宾访问文件

在 Microsoft 365 中将新文件添加到 SharePoint 或 OneDrive 时，Microsoft Purview 数据丢失防护 (DLP) 策略需要一段时间才能扫描内容并应用规则来帮助保护敏感内容。 如果启用了外部共享，则来宾可以在 DLP 规则完成处理之前共享和访问敏感内容。

默认情况下，可以将组织中的文件标记为敏感，而不是完全关闭外部共享。 这会阻止来宾访问新内容，直到对新内容进行扫描，以查找敏感内容并应用包含基于内容的条件的 DLP 策略。 如果来宾在此期间尝试访问该文件，则会通知他们正在扫描该文件。

对文件进行爬网且未检测到阻止每个 DLP 规则共享的内容后，来宾可以访问该文件。 如果策略标识文档中与 DLP 规则匹配的敏感内容，则会应用这些 DLP 规则定义的正常行为。

在以下的情况下，此功能不会阻止对文件的访问：

• 内容已被爬网，并且未找到与任何 DLP 规则中的条件匹配的敏感内容，
• 如果文件的属性与允许共享的 DLP 规则中的豁免项匹配，则为 。

此功能适用于 SharePoint 和 OneDrive 中新添加的文件。 如果更改了现有文件，则不会阻止共享。

与来宾共享内容需要 DLP 规则

启用此功能后，阻止在 DLP 策略中显式检查的任何内容在外部访问。 换句话说，要使内容可在外部共享，它必须位于 DLP 策略所涵盖的位置，并且该位置的策略必须在对内容进行爬网和识别后确定该文件与阻止共享文件的任何规则匹配。 通过将用户放置在 DLP 策略未涵盖的位置，这有助于防止用户泄露敏感文件。

如果要按照以下原则进行操作：只有 DLP 显式检查的位置才能在外部共享，则无需执行进一步操作。

如果要在 DLP 策略当前未涵盖的位置启用外部共享，可以创建一个 DLP 规则，该规则包括所有 SharePoint 和 OneDrive 位置，这些位置包含至少一个具有“内容包含”条件的规则， (任何内容) ，并且不会执行任何操作 (，例如限制或阻止内容) ， 触发任何警报，或生成任何通知或报告。 此策略必须移动到列表顶部，并且没有设置 “停止处理更多规则” 选项，因此它仅对与任何其他 DLP 规则不匹配的内容有效。 由于存在此类规则，将允许任何位置与其他 DLP 规则不匹配的任何文件进行外部共享。

有关如何创建 DLP 规则的信息，请参阅 了解如何创建和打开 DLP 策略。

默认情况下将文件标记为敏感

此功能是使用 PowerShell 配置的。

1. 下载最新的SharePoint在线管理壳。

   注意

   如果你已安装早期版本的SharePoint Online Management Shell，请进入添加或删除程序并卸载 "SharePoint Online Management Shell"。

2. 以 Microsoft 365 中的 全局管理员或 SharePoint 管理员身份连接到 SharePoint 。 若要了解具体操作步骤，请参阅 SharePoint 在线管理壳入门。

3. 运行以下命令：

   Set-SPOTenant -MarkNewFilesSensitiveByDefault BlockExternalSharing 
   

   若要禁用此功能，请运行以下命令：

   Set-SPOTenant -MarkNewFilesSensitiveByDefault AllowExternalSharing
   

注意

此新设置可能需要长达 60 分钟才能生效。