创建和管理数据丢失防护策略
各组织和机构必须保护敏感信息,防止信息意外泄露。 有关数据保护的法规会不时地发生变化。 数据丢失防护 (DLP) 的目的是保证敏感数据不会丢失、被误用,或由未经授权的用户访问。
使用 Microsoft Purview 数据丢失防护策略,组织可以识别、监视并自动保护整个 Microsoft 365 环境中的敏感信息。
DLP 策略可帮助你:
识别多个位置的敏感信息 (Exchange Online、SharePoint、OneDrive 和 Microsoft Teams)
防止意外共享敏感信息
监视和保护 Excel、PowerPoint 和 Word 桌面版中的敏感信息
查看 DLP 报告 (了解符合组织的 DLP 策略的内容)
Microsoft Teams 的 DLP 策略
如果你的组织具有数据丢失防护(DLP),则可以定义阻止人员在 Microsoft Teams 频道或聊天会话中共享敏感信息的策略。 与具有 来宾访问权限 或 外部访问权限 的 Microsoft Teams 用户共享时,Microsoft Teams 的 DLP 会阻止敏感内容。 下面是此保护工作原理的一些示例:
保护消息中的敏感信息: 假设有人尝试在 Teams 聊天或频道中与来宾共享敏感信息。 如果定义了 DLP 策略来防止这种情况,则会删除发送给来宾的带有敏感信息的消息。 此删除操作将根据 DLP 策略的配置将在几秒钟内自动执行。
保护文档中的敏感信息: 假设有人尝试在 Microsoft Teams 频道或聊天中与来宾共享文档,而文档中包含敏感信息。 如果定义了 DLP 策略来防止这种情况,则不会为这些用户打开该文档。 DLP 策略必须包含 SharePoint 和 OneDrive,才能实施保护。
示例: 在 Teams 聊天和频道消息中保护社会安全号码
作为 Contoso 的 Teams 管理员,你已创建并应用了 DLP 策略来保护 Teams 聊天和频道消息中的社会保险号码。
之后,用户尝试在 Microsoft Teams 频道中发送社会安全号码。 已阻止信息,并且有一个帮助链接 我可以做什么?。 此链接将打开一个为发件人提供解决该问题的选项对话框。
作为管理员,可以选择允许用户替代组织中的 DLP 策略。 配置 DLP 策略时,可以使用默认策略提示或自定义策略提示。 在下面的示例中,发件人具有替代策略或通知管理员查看和解决策略的选项。
收件人正在屏幕上查看不同的消息,如下图所示:
你可能会注意到收件人收到的信息是该信息因敏感内容而受到阻止,并且邮件旁边有一个链接: 这是什么? 这将打开有关 DLP 策略的文章,用户可在其中找到阻止消息原因的说明。
DLP 策略配置概述
可以灵活地创建和配置 DLP 策略。 可以从预定义模板开始,只需单击几下即可创建策略,也可以从头开始设计自己的策略。 无论你选择哪种,所有的 DLP 策略都需要你提供相同的信息。
选择要监视的内容: Microsoft Purview 配备了许多预定义的策略模板,可帮助你入门或创建自定义策略。
预定义的策略模板: 适用于各个国家和地区的财务数据、医疗和健康数据和隐私数据。 有关详细信息,请参阅 DLP 策略模板。
使用可用的敏感信息类型、保留标签和敏感度标签的自定义策略。
选择要监视的位置: 选择一个或多个希望 DLP 监视敏感信息的位置。 可以监视:
位置 包含/排除方式 Exchange 电子邮件 通讯组 SharePoint 网站 网站 OneDrive 账户 帐户或通讯组 Teams 聊天和通道消息 账户 Windows 10 设备 用户或组 Microsoft Defender for Cloud Apps 实例 本地存储库 存储库文件路径 选择要将策略应用于项时必须匹配的条件: 可以接受预配置的条件或定义自定义条件。 示例如下:
项包含在某些情况下使用的特定敏感信息。 例如,95 个社会保险号码通过电子邮件发送给组织外部的收件人。
项具有指定的敏感度标签。
具有敏感信息的项目在内部或外部共享。
选择在满足策略条件时要执行的操作: 操作取决于活动发生的位置。 示例如下:
SharePoint/Exchange/OneDrive - 阻止组织表单外部人员访问内容。 向用户显示提示,并向他们发送电子邮件通知,告知他们正在执行 DLP 策略所禁止的操作。
团队聊天和频道 - 阻止在聊天或频道中共享敏感信息。
条件和要执行的操作是在名为“规则”的对象中定义的。 创建规则是为了执行具体的保护要求。 DLP 策略用于将共同的保护要求组合在一起。
为 Microsoft Teams 创建新的 DLP 策略
DLP 策略可以在 数据丢失防护 下的 Microsoft Purview 合规性门户中进行管理。 按照以下步骤为 Teams 位置创建新的 DLP 策略:
在 Microsoft Purview 合规性门户中,选择“策略” > “数据丢失防护”。
选择 策略 选项卡,然后选择 + 创建策略 以启动向导。
在 从模板开始或创建自定义策略 页面上,可以从不同的敏感信息类型模板中进行选择,也可以选择创建 自定义策略。 进行选择,然后选择 下一步。
在 命名策略 页面上,输入有意义的 名称 和 说明,以说明此 DLP 策略的用途。 选择 下一步。
在 选择要应用策略的位置 页面上,选择要保护 DLP 策略的位置。 DLP 策略可以同时包含 Teams 和非 Teams 位置。
在 定义策略设置页面 中,选择其中一个单选按钮,然后选择 下一步。
从模板查看和自定义默认设置
创建或自定义高级 DLP 规则
根据前面的选择,你将配置 策略设置。
如果选择 创建或自定义高级 DLP 规则,则将使用以下设置配置新规则:
条件
例外
操作
用户通知
用户重写
事件报告
其他选项
配置完所需设置后,选择 下一步。
在 测试或打开策略 页面上,可以从不同的设置中进行选择以启用新的 DLP 策略:
先测试 - 不强制执行策略。 还可以选择在测试模式下显示策略提示。
立即启用它 - 创建后立即激活策略。
关闭它 - 使策略保持停用状态。
选择“下一步”,然后在“查看设置”页面上选择“提交”。