文件指紋

組織中的資訊工作者在其日常工作中會處理許多不同的敏感資訊。 在 Microsoft Purview 合規性入口網站 中,文件指紋可讓您藉由識別整個組織使用的標準表單,更輕鬆地保護此資訊。 本文說明文件指紋背後的概念,以及如何使用合規性入口網站或使用PowerShell建立文件指紋。

檔案指紋包含下列功能:

  • DLP 可以在 Exchange、SharePoint、OneDrive、Teams 和裝置中使用文件指紋作為偵測方法。
  • 檔指紋功能可以透過 Microsoft Purview 合規性入口網站 來管理。
  • 支援部分比對
  • 支援完全比對。
  • 改善偵測精確度
  • 支援多種語言的偵測,包括中文、日文和韓文等雙位元組語言。

重要事項

如果您是 E5 客戶,建議您更新現有的指紋,以利用完整的文件指紋功能集。 如果您是 E3 客戶,建議您升級至 E5 授權。 如果您選擇不這麼做,您將無法修改現有的指紋,或在 2023 年 4 月之後建立新的指紋。

檔指紋的基本案例

檔指紋是 Microsoft Purview 資料外洩防護 (DLP) 功能,可將標準表單轉換成敏感性資訊類型 (SIT) ,您可以在 DLP 原則的規則中使用。 例如,您可以根據空白專利範本建立文件指紋,然後再建立 DLP 原則,以偵測及封鎖所有填入敏感內容的傳出專利範本。 您可以選擇性地設定 原則提示 ,通知寄件者可能正在傳送敏感性資訊,而且發件者應該確認收件者符合獲得專利的資格。 此程序適用於您的組織中所使用的任何文字型表單。 您可以上傳的其他表單範例包括:

  • 政府表單
  • 1996 年健康保險流通與責任法案 (HIPAA) 符合性表單
  • 人力資源部門的員工資訊表單
  • 特別為您的組織建立的自訂表單

在理想情況下,您的組織應已建立使用特定表單來傳輸敏感資訊的商業實務準則。 若要啟用偵測,請上傳要轉換成檔指紋的空白表單。 接下來,設定對應的原則。 完成這些步驟之後,DLP 會偵測輸出郵件中符合該指紋的任何檔。

檔指紋的運作方式

您可能已經猜到檔沒有實際的指紋,但名稱有助於說明此功能。 如同人類的指紋具有獨特的型態,文件也會有獨特的文字模式。 當您上傳檔案時,DLP 會識別檔中的唯一文字模式、根據該模式建立文件指紋,並使用該文件指紋來偵測包含相同模式的輸出檔。 正因如此,上載表單或範本能夠產生最有效的文件指紋類型。 填寫表單的每個人都會使用相同的原始單字集,然後將自己的單字新增至檔。 如果輸出檔未受到密碼保護,且包含原始表單中的所有文字,DLP 可以判斷檔是否符合文件指紋。

檔指紋的圖表。

專利範本包含空白欄位「專利職稱」、「清查者」和「描述」,以及每個欄位的描述,即文字模式。 當您上傳原始專利範本時,它位於其中一個支援的檔類型和純文字中。 DLP 會將此字模式轉換成文件指紋,這是包含代表原始文字之唯一哈希值的小型 Unicode XML 檔案。 指紋會儲存為 Active Directory 中的數據分類。 (作為安全性措施,原始檔本身不會儲存在服務上;只會儲存哈希值。原始文件無法從哈希值重新建構。) 專利指紋接著會變成您可以與 DLP 原則相關聯的 SIT。 將指紋與 DLP 原則建立關聯之後,DLP 會偵測任何包含符合專利指紋之內容的輸出電子郵件,並根據貴組織的原則來處理。

例如,如果您設定的 DLP 原則可防止一般員工傳送包含專利的外寄訊息,DLP 會使用專利指紋來偵測專利並封鎖這些電子郵件。 或者,您可能想要讓法務部門能夠將專利傳送給其他組織,因為它有執行這項作業的商務需求。 若要允許特定部門傳送敏感性資訊,請在 DLP 原則中為這些部門建立例外狀況。 或者,您可以允許他們以商業理由覆寫原則提示。

重要事項

內嵌檔中的文字不會被視為指紋建立。 您必須提供不包含內嵌檔的範例範本檔案。

支援的檔案類型

文件指紋支援郵件流程規則中所支援的相同檔類型, (也稱為傳輸規則) 。 如需支援的檔類型清單,請參閱 郵件流程規則內容檢查的支援檔類型。 關於文件類型的一個快速注意事項:郵件流程規則和文件指紋都不支援 .dotx 檔案類型,這是 Microsoft Word 中的範本檔案。 當您在此和其他文件指紋文章中看到「範本」一詞時,它會參考您已建立為標準表單的檔,而不是範本檔類型。

文件指紋的限制

在下列情況下,文件指紋不會偵測敏感性資訊:

  • 檔案受密碼保護
  • 僅包含影像的檔案
  • 文件未包含原始表單中所有用來建立文件指紋的文字
  • 大於 4 MB 的檔案

注意事項

若要搭配裝置使用檔指紋,必須開啟 進階分類掃描和保護

指紋會儲存在不同的規則套件中。 此規則套件的大小上限為 1 至 150 KB。 根據此限制,您可以為每個租使用者建立大約50個指紋。

下列範例顯示如果您根據專利範本建立文件指紋,會發生什麼情況。 不過,您可以使用任何表單作為建立文件指紋的基礎。

符合專利範本檔指紋的專利檔合規性入口網站範例

  1. 在 Microsoft Purview 合規性入口網站 中,選取 [數據分類],然後選擇 [分類器]
  2. 在 [ 分類器] 頁面上,選擇 [ 敏感性資訊類型>][建立指紋型 SIT]
  3. 輸入新 SIT 的名稱和描述。
  4. 上傳您想要用來作為指紋範本的檔案。
  5. 選擇性:調整每個信賴等級的需求,然後選擇 [ 下一步]。 如需詳細資訊,請參閱 部分比對精確比對
  6. 檢閱您的設定 [ >建立]
  7. 當確認頁面顯示時,選擇 [ 完成]

符合專利範本之文件指紋的專利檔PowerShell範例

>> $Patent_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\patent.docx'))

>> New-DlpSensitiveInformationType -Name "Patent SIT" -FileData $Patent_Form  -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Contoso Patent Template"

部分比對

若要設定文件指紋的部分比對,請在設定信賴等級時,選擇 [低]、[ ] 或 [ ],並指定檔案中必須以介於 30% - 90% 之間的百分比來比對指紋的文字數量。

高信賴度層級會傳回最少的誤判,但可能會導致更多誤判。 低或中度信賴等級會傳回更多誤判,但誤判為零。

  • 低信賴度:相符的專案將包含最少的誤判,但誤判為真數最高。 低信賴度會傳回所有低、中和高信賴度相符專案。
  • 中度信賴度:相符的專案將包含平均誤判和誤判。 中度信賴會傳回所有中度和高信賴度相符專案。
  • 高信賴度:相符的專案將包含最少的誤判,但最多為誤判。

完全比對

若要設定文件指紋的完全比對,請選取 [精確 ] 作為高信賴度層級的值。 當您將高信賴度設定為 [精確] 時,只會偵測到文字與指紋完全相同的檔案。 如果檔案甚至與指紋有小的偏差,則不會偵測到。

已經在使用指紋 SIT 嗎?

您現有的指紋和這些指紋的原則/規則應該會繼續運作。 如果您不想要使用最新的指紋功能,則不需要執行任何動作。

如果您有 E5 授權,而且想要使用最新的指紋功能,您可以建立新的指紋,或 將原則移 轉至較新版本。

注意事項

不支援使用已經存在指紋的範本建立新的指紋。

使用合規性入口網站使用指紋 SIT 建立新原則

  1. 在 Microsoft Purview 合規性入口網站 中,選取 [數據外泄防護>原則>][敏感性資訊類型>+ 建立原則>][自定義] 以建立新的原則。
  2. 選取您的區域或國家/地區 >下一步
  3. 為您的原則命名,並提供下一的描述>。
  4. 在 [ 指派系統管理員單位] 頁面上,選擇下列兩個選項:
    • 將原則套用至所有使用者和群組 >下一步
    • 新增您想要受限於下一步原則>的特定使用者和群組。
  5. 選取您要 >套用原則的 [下一步] 位置。
  6. 在 [ 定義原則設定 ] 頁面上,選擇 [ 建立自定義進階 DLP 規則>] [下一步]
  7. 在 [ 自定義進階 DLP 規則] 頁面上,選擇 [ 建立規則]
  8. 輸入規則的名稱和描述。
  9. 在 [ 條件] 下 ,選擇 [新增內容包含的條件>]
  10. 為新的一組 DLP 規則提供組 >[新增>敏感性資訊類型]
  11. 搜尋並選取指紋 SIT >Add 的名稱。
  12. 選取信賴等級 >[新增動作]
  13. 選取觸發規則時要採取的動作,然後指定動作詳細數據>> [儲存下一步]
  14. 在這兩個選項之間選擇:
    • 測試您的原則 >下一步
    • 立即開啟您的原則 >下一步
  15. 檢閱您的設定 [ >提交>完成]

使用 PowerShell 根據文件指紋建立自定義敏感性資訊類型

目前,您只能在 安全性 & 合規性 PowerShell 中建立文件指紋。

DLP 會使用敏感性資訊類型 (SIT) 來偵測敏感性內容。 若要根據文件指紋建立自定義 SIT,請使用 New-DlpSensitiveInformationType Cmdlet。 下列範例會根據 C:\My Documents\Contoso Customer Form.docx 檔案,建立名為 “Contoso Customer Confidential” 的新文件指紋。

$Employee_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Customer Form.docx'))

New-DlpSensitiveInformationType -Name "Contoso Customer Confidential" -FileData $Employee_Form -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Message contains Contoso customer information."

最後,將「Contoso 客戶機密」敏感性資訊類型新增至 Microsoft Purview 合規性入口網站 中的 DLP 原則。 本範例會將規則新增至名為 「ConfidentialPolicy」 的現有 DLP 原則。

New-DlpComplianceRule -Name "ContosoConfidentialRule" -Policy "ConfidentialPolicy" -ContentContainsSensitiveInformation @{Name="Contoso Customer Confidential"} -BlockAccess $True

您也可以在 Exchange 的郵件流程規則中使用指紋 SIT,如下列範例所示。 若要執行此命令,您必須先連線到 Exchange PowerShell。 另請注意,SIT 需要一些時間才能從 Microsoft Purview 合規性入口網站 同步至 Exchange 系統管理中心。

New-TransportRule -Name "Notify :External Recipient Contoso confidential" -NotifySender NotifyOnly -Mode Enforce -SentToScope NotInOrganization -MessageContainsDataClassification @{Name=" Contoso Customer Confidential"}

DLP 現在會偵測符合 Contoso Customer Form.docx 文件指紋的檔。

如需語法和參數資訊,請參閱:

編輯、測試或刪除檔指紋

若要透過使用者介面執行此動作,請開啟您要編輯、測試或刪除的指紋 SIT,然後選擇適當的圖示。

若要透過PowerShell執行此動作,請 () 執行下列命令。

編輯文件指紋

>> Set-DlpSensitiveInformationType -Name "Fingerprint SIT" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"

測試文件指紋

>> $r = Test-DataClassification -TextToClassify "Credit card information Visa: 4485 3647 3952 7352. Patient Identifier or SSN: 452-12-1232"
>> $r.ClassificationResults

刪除檔案指紋

>> Remove-DlpSensitiveInformationType "Fingerprint SIT"

使用合規性入口網站使用指紋 SIT 移轉新原則

  1. 在 Microsoft Purview 合規性入口網站 中,選取 [數據外泄防護>原則>敏感性資訊類型]
  2. 開啟包含您要移轉之指紋的 SIT。
  3. 選擇 [編輯]
  4. 再次上傳相同的指紋檔案。
  5. 檢閱指紋設定 >完成

使用 PowerShell 移轉指紋

輸入下列命令:

Set-DlpSensitiveInformationType -Name "Old Fingerprint" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"