介绍 Microsoft Purview 中的数据丢失防护

  • 7 分钟

数据丢失会损害组织的客户、业务流程和组织本身。 组织需要通过检测风险行为和阻止敏感信息被不当共享来防止数据丢失。

在 Microsoft Purview 中,可通过定义和应用 DLP 策略来实现数据丢失防护 (DLP)。 使用 DLP 策略,可以跨以下各项识别、监视和自动保护敏感项目:

  • Microsoft 365 服务,例如 Teams、Exchange、SharePoint 和 OneDrive 帐户
  • Office 应用程序,例如 Word、Excel 和 PowerPoint
  • Windows 10、Windows 11 和 macOS(三个最新版本)终结点
  • 云应用
  • 本地文件共享和本地 SharePoint
  • Power BI

DLP 使用深入内容分析(而不仅仅是文本扫描)检测敏感项目。 通过正则表达式计算、内部函数验证和辅助数据匹配(与主数据匹配接近)来分析内容,以获取主数据中与关键字匹配的项。 除此之外,DLP 还使用机器学习算法和其他方法来检测与 DLP 策略匹配的内容。

DLP 策略的保护性操作

DLP 策略是监视用户对静态敏感项目、传输中的敏感项目或正在使用的敏感项目执行的活动并采取保护性操作的方式。 DLP 策略可以采取的保护性操作包括:

  • 向用户显示弹出策略提示,警告他们可能正在尝试以不恰当的方式共享敏感项目。
  • 阻止共享,并通过策略提示允许用户替代阻止并捕获用户的理由。
  • 在没有替代选项的情况下阻止共享。
  • 对于静态数据,可以锁定敏感项目并将其移至安全隔离位置,
  • 对于 Teams 聊天,不会显示敏感信息。

默认情况下,所有 DLP 监视的活动都记录到 Microsoft 365 审核日志中,并路由到活动资源管理器。 当用户执行符合 DLP 策略条件的操作且你配置了警报时,DLP 会在 DLP 警报管理仪表板中提供警报。

DLP 策略信息

可以从预定义的模板创建 DLP 策略,也可以创建自定义策略。 无论你选择哪个,所有 DLP 策略都需要相同的信息。

  • 选择要监视的数据类型。 预定义的策略模板允许你从不同国家和地区的财务数据、医疗保健数据或隐私数据等类别中进行选择。 或者,你可以创建使用可用敏感信息类型、保留标签和敏感度标签的自定义策略。
  • 选择管理范围。 DLP 策略可由不受限制的管理员应用于所有用户和组,也可以将其范围限定为管理单元。 使用管理单元,可以将你的组织细分为更小的单元,然后分配只能对这些单元的成员进行管理的特定管理员。
  • 选择将要应用策略的位置,如 Exchange、SharePoint 和 OneDrive 等。
  • 选择策略要应用于某个项目而必须匹配的条件。
  • 选择满足策略条件时要采取的保护性操作。

创建 DLP 策略时的登录页面的屏幕捕获。该屏幕显示从模板或自定义策略开始的选项。

创建 DLP 策略的屏幕捕获。该屏幕显示用于选择位置以应用 DLP 策略的选项。

什么是终结点数据丢失防护?

使用终结点 DLP,可以审核和管理用户对物理存储在 Windows 10、Windows 11 或 macOS 设备中的敏感项目执行的许多活动。 下面的列表显示了几个示例:

  • 创建项
  • 重命名项
  • 将项复制到可移动媒体
  • 将项复制到网络共享
  • 打印文档
  • 使用不允许的应用和浏览器访问项

在活动资源管理器中,你可以查看用户对敏感内容执行的操作的相关信息。

活动资源管理器中通过终结点 DLP 监视的数据分类信息的屏幕截图。

管理员使用此信息通过控制和策略来对内容强制执行保护措施。

Microsoft Teams 中的数据丢失防护

数据丢失防护功能扩展到 Microsoft Teams 聊天和频道消息,无论是在消息还是文件中,其中都包括专用频道中的消息。 如同使用 Exchange、Outlook、SharePoint 和 OneDrive 一样,管理员可以使用向用户展示的 DLP 策略提示,以显示触发策略的原因。 例如,以下屏幕截图显示聊天消息上的策略提示,该消息因用户试图共享美国社会安全号码而被阻止。

被阻止的 Microsoft Teams 聊天的屏幕截图,该聊天中包括用户链接以获取更多信息。

然后用户可以通过选择“我可以执行什么操作?”链接来查找有关其消息被阻止的原因的详细信息,并采取适当的措施。

向消息被阻止的用户显示的 DLP 策略提示的屏幕截图。该提示提供了有关其消息被阻止的原因以及需执行的操作的信息。

应用于 Microsoft 365 服务(包括 Microsoft Teams)的 DLP 策略可以帮助组织中的用户以安全且符合合规性要求的方式来进行协作。

与 Microsoft 安全 Copilot 集成

Microsoft Purview 数据丢失防护支持通过独立和嵌入式体验与 Microsoft 安全 Copilot 集成。

若要体验此 Copilot 功能,组织必须加入 Copilot,使 Copilot 能够访问来自 Microsoft 365 服务的数据,并且用户必须具有适当的角色权限,

Microsoft Purview 功能(可通过选择提示图标并选择所有功能在独立体验中查看)是可以使用的内置提示,但你也可以根据支持的功能输入自己的提示。

Microsoft 安全 Copilot 提供的 Microsoft Purview 功能的屏幕截图。

在嵌入式体验中,Microsoft Purview 数据丢失防护中的 Copilot 支持警报摘要。 若要从 Microsoft Purview 数据丢失防护内部访问 Copilot,请导航到警报队列以选择要查看的警报。 可看到有关警报的信息以及汇总警报的选项。 选择“汇总”以让 Copilot 生成警报摘要。