创建和管理数据丢失防护策略

  • 8 分钟

各组织和机构必须保护敏感信息,防止信息意外泄露。 有关数据保护的法规会不时地发生变化。 数据丢失防护 (DLP) 的目的是保证敏感数据不会丢失、被误用,或由未经授权的用户访问。

使用 Microsoft Purview 数据丢失防护策略,组织可以识别、监视并自动保护整个 Microsoft 365 环境中的敏感信息。

DLP 策略可帮助你:

  • 识别多个位置的敏感信息 (Exchange Online、SharePoint、OneDrive 和 Microsoft Teams)

  • 防止意外共享敏感信息

  • 监视和保护 Excel、PowerPoint 和 Word 桌面版中的敏感信息

  • 查看 DLP 报告 (了解符合组织的 DLP 策略的内容)

Microsoft Teams 的 DLP 策略

如果你的组织具有数据丢失防护(DLP),则可以定义阻止人员在 Microsoft Teams 频道或聊天会话中共享敏感信息的策略。 与具有 来宾访问权限外部访问权限 的 Microsoft Teams 用户共享时,Microsoft Teams 的 DLP 会阻止敏感内容。 下面是此保护工作原理的一些示例:

  • 保护消息中的敏感信息: 假设有人尝试在 Teams 聊天或频道中与来宾共享敏感信息。 如果定义了 DLP 策略来防止这种情况,则会删除发送给来宾的带有敏感信息的消息。 此删除操作将根据 DLP 策略的配置将在几秒钟内自动执行。

  • 保护文档中的敏感信息: 假设有人尝试在 Microsoft Teams 频道或聊天中与来宾共享文档,而文档中包含敏感信息。 如果定义了 DLP 策略来防止这种情况,则不会为这些用户打开该文档。 DLP 策略必须包含 SharePoint 和 OneDrive,才能实施保护。

示例: 在 Teams 聊天和频道消息中保护社会安全号码

作为 Contoso 的 Teams 管理员,你已创建并应用了 DLP 策略来保护 Teams 聊天和频道消息中的社会保险号码。

之后,用户尝试在 Microsoft Teams 频道中发送社会安全号码。 已阻止信息,并且有一个帮助链接 我可以做什么?。 此链接将打开一个为发件人提供解决该问题的选项对话框。

Teams 中阻止的消息通知的屏幕截图。

作为管理员,可以选择允许用户替代组织中的 DLP 策略。 配置 DLP 策略时,可以使用默认策略提示或自定义策略提示。 在下面的示例中,发件人具有替代策略或通知管理员查看和解决策略的选项。

用于解析阻止的消息的选项的屏幕截图。

收件人正在屏幕上查看不同的消息,如下图所示:

阻止的消息的屏幕截图。

你可能会注意到收件人收到的信息是该信息因敏感内容而受到阻止,并且邮件旁边有一个链接: 这是什么? 这将打开有关 DLP 策略的文章,用户可在其中找到阻止消息原因的说明。

DLP 策略配置概述

可以灵活地创建和配置 DLP 策略。 可以从预定义模板开始,只需单击几下即可创建策略,也可以从头开始设计自己的策略。 无论你选择哪种,所有的 DLP 策略都需要你提供相同的信息。

  1. 选择要监视的内容: Microsoft Purview 配备了许多预定义的策略模板,可帮助你入门或创建自定义策略。

    • 预定义的策略模板: 适用于各个国家和地区的财务数据、医疗和健康数据和隐私数据。 有关详细信息,请参阅 DLP 策略模板

    • 使用可用的敏感信息类型、保留标签和敏感度标签的自定义策略。

  2. 选择要监视的位置: 选择一个或多个希望 DLP 监视敏感信息的位置。 可以监视:

    位置 包含/排除方式
    Exchange 电子邮件 通讯组
    SharePoint 网站 网站
    OneDrive 账户 帐户或通讯组
    Teams 聊天和通道消息 账户
    Windows 10 设备 用户或组
    Microsoft Defender for Cloud Apps 实例
    本地存储库 存储库文件路径

  3. 选择要将策略应用于项时必须匹配的条件: 可以接受预配置的条件或定义自定义条件。 示例如下:

    • 项包含在某些情况下使用的特定敏感信息。 例如,95 个社会保险号码通过电子邮件发送给组织外部的收件人。

    • 项具有指定的敏感度标签。

    • 具有敏感信息的项目在内部或外部共享。

  4. 选择在满足策略条件时要执行的操作: 操作取决于活动发生的位置。 示例如下:

    • SharePoint/Exchange/OneDrive - 阻止组织表单外部人员访问内容。 向用户显示提示,并向他们发送电子邮件通知,告知他们正在执行 DLP 策略所禁止的操作。

    • 团队聊天和频道 - 阻止在聊天或频道中共享敏感信息。

条件和要执行的操作是在名为“规则”的对象中定义的。 创建规则是为了执行具体的保护要求。 DLP 策略用于将共同的保护要求组合在一起。

数据丢失防护策略的屏幕截图。

为 Microsoft Teams 创建新的 DLP 策略

DLP 策略可以在 数据丢失防护 下的 Microsoft Purview 合规性门户中进行管理。 按照以下步骤为 Teams 位置创建新的 DLP 策略:

  1. Microsoft Purview 合规性门户中,选择“策略” > “数据丢失防护”。

  2. 选择 策略 选项卡,然后选择 + 创建策略 以启动向导。

  3. 从模板开始或创建自定义策略 页面上,可以从不同的敏感信息类型模板中进行选择,也可以选择创建 自定义策略。 进行选择,然后选择 下一步

  4. 命名策略 页面上,输入有意义的 名称说明,以说明此 DLP 策略的用途。 选择 下一步

  5. 选择要应用策略的位置 页面上,选择要保护 DLP 策略的位置。 DLP 策略可以同时包含 Teams 和非 Teams 位置。

    DLP 中的位置选项的屏幕截图。

  6. 定义策略设置页面 中,选择其中一个单选按钮,然后选择 下一步

    • 从模板查看和自定义默认设置

    • 创建或自定义高级 DLP 规则

  7. 根据前面的选择,你将配置 策略设置

    如果选择 创建或自定义高级 DLP 规则,则将使用以下设置配置新规则:

    • 条件

    • 例外

    • 操作

    • 用户通知

    • 用户重写

    • 事件报告

    • 其他选项

    DLP 中 Microsoft 365 操作选项的屏幕截图。

    配置完所需设置后,选择 下一步

  8. 测试或打开策略 页面上,可以从不同的设置中进行选择以启用新的 DLP 策略:

    • 先测试 - 不强制执行策略。 还可以选择在测试模式下显示策略提示。

    • 立即启用它 - 创建后立即激活策略。

    • 关闭它 - 使策略保持停用状态。

  9. 选择“下一步”,然后在“查看设置”页面上选择“提交”。