Создание схемы для типа конфиденциальной информации с точным соответствием данных

  • Статья

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Сфера применения

  • Классический процесс создания типа конфиденциальной информации (SIT) для точного сопоставления данных (EDM).

Использование схемы точного сопоставления данных и шаблона типа конфиденциальной информации

Если вы не знакомы с SITS на основе EDM или их реализацией, ознакомьтесь со следующими сведениями:

Одну схему EDM можно использовать в нескольких типах конфиденциальной информации, использующих одну таблицу конфиденциальных данных. В клиенте Microsoft 365 можно создать до 10 различных схем EDM.

Использование схемы точного сопоставления данных и средства "Тип конфиденциальной информации"

Это средство можно использовать для упрощения процесса создания файла схемы.

Предварительные требования

Использование схемы точного сопоставления данных и шаблона типа конфиденциальной информации

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

  1. Войдите на портал >Microsoft Purview Information Protection >Classifiers>EDM classifiersEDM schemas> (доступно, если новый интерфейс EMD переключен на Выкл.).

  2. Выберите Создать схему EDM , чтобы открыть всплывающее меню конфигурации средства схемы.

    Всплывающее окно конфигурации мастера создания схем EDM.

  3. Введите соответствующее Имя и Описание.

  4. Выберите Игнорировать разделители и знаки препинания для всех полей схемы , если вы хотите применить поведение Игнорировать... для всей схемы. Дополнительные сведения о настройке EDM для игнорирования регистра или разделителей см. в статье Использование полей caseInsensitive и ignoreedDelimiters для получения дополнительных сведений об этой функции.

  5. Введите нужные значения в Поле схемы 1 и при необходимости добавьте дополнительные поля. Каждое поле схемы должно быть идентично заголовкам столбцов в исходном файле конфиденциальной информации.

  6. При необходимости задайте значения для каждого поля для следующих значений:

    • Поле доступно для поиска
    • Поле не учитывает регистр
    • Выберите разделители и знаки препинания, которые следует игнорировать для этого поля
    • Введите настраиваемые разделители и знаки препинания для этого поля.

    Важно!

    По крайней мере одно, но не более десяти полей схемы должно быть назначено в качестве доступных для поиска.

  7. Выберите Сохранить. Ваша схема теперь указана и доступна для использования.

    Важно!

    Если вы хотите удалить схему, которая уже связана с EDM SIT, сначала необходимо удалить EDM SIT. При удалении схемы, с которым связано хранилище данных, хранилище данных также удаляется в течение 24 часов.

Экспорт файла схемы EDM в формате XML

Если вы создали схему EDM в средстве схемы EDM, необходимо экспортировать файл схемы в формате XML. Xml-файл понадобится для завершения хэша и отправки таблицы источников конфиденциальной информации для этапа точного сопоставления типов конфиденциальной информации .

  1. Подключение к Безопасности и соответствию требованиям PowerShell

  2. Чтобы экспортировать файл схемы EDM, используйте следующий синтаксис:

    $Schema = Get-DlpEdmSchema -Identity "[your EDM Schema name]"
Set-Content -Path ".\Schemafile.xml" -Value $Schema.EdmSchemaXML

  3. Сохраните этот файл для последующего использования.

Создание и отправка файла схемы точного сопоставления данных вручную

При создании файла схемы заголовки столбцов (поля данных) должны соответствовать следующим требованиям к именованию:

  • Должен начинаться с буквы и состоять по крайней мере из трех буквенно-цифровых символов.
  • Должен содержать только буквенно-цифровые символы.

Используйте следующий синтаксис для каждого столбца или поля данных:

<Field name="FieldName" searchable="true/false" caseInsensitive="true/false" ignoredDelimiters="delimiter characters" />

Использование полей caseInsensitive и ignoredDelimiters

В следующем xml-примере схемы используются caseInsensitive поля и ignoredDelimiters .

При включении поля со caseInsensitive значением true в определение схемы EDM не будет исключать элемент на основе различий вариантов. Например, EDM видит значения FOO-1234 и fOo-1234 как идентичные PatientID для поля.

При включении ignoredDelimiters поля с поддерживаемыми символами EDM игнорирует эти символы. Таким образом, EDM видит значения FOO-1234 и FOO#1234 как идентичные PatientID для поля.

В этом примере, где используются и caseInsensitiveignoredDelimiters , EDM видит FOO-1234 и fOo#1234 как идентичные и классифицирует элемент как тип конфиденциальной информации записи пациента.

Оба этих параметра используются для каждого поля.

Важно!

Если вы настроите пробелы , которые будут игнорироваться, это будет действовать только для столбцов основного поля, для которых определен тип конфиденциальной информации, который может обнаруживать многословные строки. В противном случае будет выполнено сравнение с каждым отдельным словом в анализируемом содержимом.

Флаг ignoredDelimiters поддерживает любые символы, не являющиеся цифровыми символами. Ниже приведены некоторые примеры:

  • .
  • -
  • /
  • _
  • *
  • ^
  • #
  • !
  • ?
  • [
  • ]
  • {
  • }
  • \
  • ~
  • ;

Флаг ignoredDelimiters не поддерживает:

  • символы от 0 до 9
  • От А до Я
  • от a до z
  • "
  • ,

Важно!

При определении типа конфиденциальной информации EDM не влияет на то, как тип конфиденциальной информации классификации, связанный с основным элементом в шаблоне EDM, ignoredDelimiters определяет содержимое элемента. Таким образом, если вы настраиваете ignoredDelimiters поле для поиска, необходимо убедиться, что тип конфиденциальной информации, используемый для первичного элемента на основе этого поля, будет выбирать строки как с этими символами, так и без них.

Количество столбцов в исходной таблице конфиденциальной информации и количество полей в схеме должны совпадать, порядок не имеет значения.

Символы, используемые в качестве разделителей маркеров , ведут себя иначе, чем другие разделители. Ниже приводятся примеры:

  • \ (пробел)
  • \t
  • ,
  • .
  • ;
  • ?
  • !
  • \r
  • \n

При включении разделителя маркеров EDM разбивает маркер там, где находится разделитель. Например, EDM видит значение Middle-Last Name в поле Middle-Last и Name для LastName поля. ignoredDelimiters Если значение включено для LastName поля с символом "-", это действие происходит только после того, как значение будет нарушено. В конце EDM увидит следующие значения MiddleLast и Name.

Чтобы использовать следующие символы как ignoredDelimitersи не разделители маркеров, необходимо связать с полем SIT, соответствующий соответствующему формату. Например, код SIT, который обнаруживает многословную строку с тире в ней, должен быть связан с полем LastName .

  • .
  • ;
  • !
  • ?
  • \

Можно связать SIT с дополнительными элементами с помощью PowerShell.

  1. Определите схему в формате XML (как в следующем примере). Присвойте этому файлу схемы имяedm.xml , а затем настройте его таким образом, чтобы для каждого столбца в таблице источника конфиденциальной информации существовала строка, использующая синтаксис:

    \<Field name="" searchable=""/\>.

    • Используйте имена столбцов для значений Field name.
    • Используйте searchable="true" для полей, которые должны быть доступны для поиска, и первичных полей не более пяти. По крайней мере одно поле должно поддерживать поиск.

    Например, следующий XML-файл определяет схему для базы данных записей пациентов с пятью полями, указанными в качестве доступных для поиска: PatientID, MRN, SSN, Phoneи DOB.

    (Вы можете скопировать, изменить и использовать наш пример.)

    <EdmSchema xmlns="http://schemas.microsoft.com/office/2018/edm">
      <DataStore name="PatientRecords" description="Schema for patient records" version="1">
            <Field name="PatientID" searchable="true" caseInsensitive="true" ignoredDelimiters="-,/,*,#,^" />
            <Field name="MRN" searchable="true" />
            <Field name="FirstName" />
            <Field name="LastName" />
            <Field name="SSN" searchable="true" />
            <Field name="Phone" searchable="true" />
            <Field name="DOB" searchable="true" />
            <Field name="Gender" />
            <Field name="Address" />
      </DataStore>
</EdmSchema>

    После создания файла схемы EDM в формате XML его необходимо отправить в облачную службу.

  2. Подключение к Безопасности и соответствию требованиям PowerShell

  3. Чтобы передать схему базы данных, выполните следующую команду:

    New-DlpEdmSchema -FileData ([System.IO.File]::ReadAllBytes('.\\edm.xml')) -Confirm:$true

    Вам будет предложено подтвердить, как показано ниже.

    Подтвердить

    Вы действительно хотите выполнить это действие?

    Будет импортирована новая схема EDM для хранилища данных "patientrecords".

    [Y] Да [A] Да всем [N] Нет [L] Нет всем [?] Справка (по умолчанию — "Y"):

    Совет

    Если вы хотите, чтобы изменения происходили без подтверждения, не используйте -Confirm:$true в шаге 3.

Примечание.

Обновление EDMSchema с дополнениями может занять от 10 до 60 минут. Перед выполнением действий, в которых используется дополнение, необходимо выполнить обновление.

Следующее действие