的量 企业如今处理的机密数据 数据量呈爆炸式增长:财务信息、个人数据、知识产权……所有这些都通过电子邮件、Teams 等工具传播开来。 SHAREPOINT设备 应用 在云端,现在也 像 Copilot 这样的 AI 工具在这种情况下,如果不采取切实有效的措施,失去对信息传播方向的控制只是时间问题。
那就是…… 使用 Microsoft 365 中的数据丢失防护 (DLP) 微软权限这不仅仅是偶尔屏蔽文件的问题,而是要建立一个集中式系统,能够检测敏感内容,监控其使用方式,并在有人试图不当分享时进行智能拦截,同时又不破坏日常生产力。
Microsoft 365 中的 DLP 是什么?为什么它如此重要?
当我们谈到 Microsoft 365 中的 DLP 时,我们指的是一系列…… 有助于防止敏感信息泄露到错误位置的指令它已集成到微软的数据治理和合规平台 Microsoft Purview 中,几乎可以作用于用户每天使用的所有功能。
组织管理 特别敏感的数据 例如信用卡号、银行账户信息、医疗记录、社会安全号码、员工数据、商业秘密或受合同和法规(GDPR、HIPAA、PCI-DSS 等)保护的文件。意外通过电子邮件传输、与外部人员共享文件或复制粘贴到错误网站都可能导致数据泄露,并带来巨大的法律和声誉后果。
借助 Microsoft View DLP,您可以 定义集中式策略 能够识别敏感内容,监控其所在位置,并采取自动保护措施:从通知用户到完全阻止操作或将文件发送到隔离区。
关键在于,Microsoft 365 中的 DLP 不仅仅是搜索单个词语,而是执行…… 深度内容分析 结合敏感信息类型 (SIT)、正则表达式、关键字、内部验证以及在许多情况下结合机器学习算法,以减少误报。
保护范围:业务应用程序、设备和网络流量
Microsoft Purview DLP 的一大优势在于它涵盖了以上两方面。 静态、使用中和动态数据 跨不同地点。它不仅限于 Exchange 或 SharePoint,还扩展到设备、Office 应用程序、第三方云应用程序、网络流量、Copilot 等等。
企业应用和设备中的数据防泄漏
在应用和设备领域,DLP 可以 监控和保护关键 Microsoft 365 工作负载中的信息 以及通过 Purview 门户配置的其他附加来源。
其中 支持的地点 其中包括以下内容:
- 在线交流 (公司电子邮件)
- SharePoint Online (协作网站和文档库)。
- 商业用OneDrive (用户的个人文件夹)。
- 微软团队 (聊天消息,标准频道、共享频道和私人频道)。
- 办公应用 (Word、Excel、PowerPoint,包括桌面版和网页版)。
- Windows 10、Windows 11 和 macOS 设备 (最后三个版本),包括 手提兼容的台式机和VDI系统。
- 非微软云应用通过 Defender for Cloud Apps 集成。
- 本地仓库 例如,使用信息保护分析器来保护共享文件资源和本地 SharePoint。
- Fabric 和 Power BI 工作区涵盖报告和数据集。
- Microsoft 365 Copilot(某些情况下为预览版) 以及副驾驶聊天。
对于这些起源,你创造 针对“企业应用程序和设备”的DLP指令这样就可以从一个面板对所有这些位置的规则进行一致的控制。
非托管 Web 流量和云应用程序的数据防泄漏 (DLP)
除了“内部”服务外,Purview DLP 还可以 控制从您的网络流向非托管云应用程序的数据尤其是在用户访问时 微软边缘 适用于企业或通过网络控制。
这是旨在……的指令所在之处 “插入的网络流量”和“网络活动” (某些环境下的预览功能),例如,允许控制粘贴的内容:
因此,即使用户试图将敏感信息从内部文档复制到外部应用程序, DLP 指令可以检测内容并阻止或审核该操作。 根据您定义的配置。
Microsoft View DLP 的主要功能
Purview DLP 不仅仅是一个内容过滤器:它是战略的核心组成部分 数据保护和治理 来自微软。它旨在与其他 Purview 功能集成,并提供从分类到事件响应的一致方法。
在他的 主要特点 包括:
- 单一政策管理中心 通过 Microsoft Purview 门户,在全球范围内创建、编辑和部署 DLP 策略。
- 与 Purview 信息保护的集成重复使用现成的、定制的或高级的保密标签和敏感信息类型(包括可训练的分类器)。
- 统一警报和纠正 可以在 Purview DLP 面板中看到,也可以在 Microsoft Defender XDR 或 Microsoft Sentinel 中看到,用于 SIEM/SOAR 场景。
- 启动 快 得益于指令模板,无需搭建复杂的云基础设施。
- 自适应保护根据风险等级(高、中或低)和具体情况,政策的严格程度也会有所变化。
- 减少误报 通过上下文内容分析和机器学习。
所有这些都使 Purview DLP 成为一种解决方案。 对受监管行业而言尤其值得关注 (医疗保健、银行业、公共管理、教育、科技)以及任何必须遵守 GDPR 或 HIPAA 等严格要求的组织。
DLP实施生命周期:从构思到生产
随意搭建DLP系统通常是导致问题的完美原因。 阻碍关键流程,激怒所有人微软制定了一个清晰的生命周期,应该遵守该生命周期,以确保成功实施并避免出现问题。
规划阶段
在规划阶段,你应该考虑以下两方面: 技术、业务流程和组织文化一些重要的里程碑:
- 确定 有关各方:安全、法律、业务、IT、人力资源等部门的经理。
- 定义 机密信息类别 您需要保护的信息(个人数据、财务数据、知识产权等)。
- 决定 目标和战略您具体想避免什么(外部发送、复制到) USB上传到某些应用程序等)。
- 评估 您将在以下位置应用 DLP:Microsoft 365 服务、设备、本地存储库、外部云应用程序……
此外,我们还必须考虑 对业务流程的影响DLP 可以阻止常见操作(例如,通过电子邮件向供应商发送某些报告),这涉及到协商例外情况、创建替代工作流程或改变习惯。
最后,别忘了关于……的部分 文化变革与培训用户需要了解某些操作被阻止的原因以及如何安全地进行操作。应用内策略建议是一种非常有效的工具,既能教育用户,又不会过于限制用户。
准备环境和先决条件
在启用阻止某些内容的策略之前,您必须确保: 所有场地均已做好充分准备。 并与 Purview 相连:
- Exchange Online、SharePoint、OneDrive 和 Teams 只需要定义包含它们的策略即可。
- 本地文件存储库和本地 SharePoint 需要部署 信息保护分析器.
- Windows 设备、macOS 和虚拟化环境均通过特定的入职流程进行集成。
- 第三方云应用程序通过以下方式进行管理 适用于云应用程序的 Microsoft Defender.
场地准备就绪后,建议的下一步是: 配置策略草案并进行测试 在开始阻挡之前,他们会进行大量的测试。
逐步实施:模拟、调整和激活
DLP指令的实施应遵循分阶段的方法,使用三个控制轴: 状态、范围和行动.
MGI 主要国家 指令包含以下要素:
- 保持关闭状态设计和审查,但没有实际影响。
- 以模拟模式执行指令事件已被记录,但未采取任何阻止措施。
- 模拟政策建议虽然目前还没有被屏蔽,但用户会收到通知和电子邮件(视情况而定),这些通知和电子邮件会对他们进行培训。
- 立即激活:完全合规模式,所有配置的操作都将应用。
在模拟阶段,您可以调整 指令范围:先从一小部分用户或地点(试点组)开始,然后随着条件、例外情况和用户消息的完善而扩展。
至于 行动最好先从“允许”或“仅审核”等非侵入性选项开始,逐步引入通知功能,最后再过渡到…… 可能失效的区块 在最严重的情况下,甚至会导致永久封锁。
Microsoft 365 中 DLP 策略的组成部分
所有 Microsoft 隐私保护指令都遵循相同的逻辑结构: 监测什么内容、监测地点、监测条件以及检测到异常情况后采取什么措施。在创建它时(无论是从零开始还是使用模板),您需要在这些方面做出决定。
需要监控的内容:自定义模板和策略
Purview 提供 现成的 DLP 策略模板 针对常见场景(按国家、法规、行业等划分),包括每项法规中典型的各类机密信息,包括 PDF 中的元数据如果您愿意,您也可以创建自己的自定义保单,并选择您想要的 SIT 或条件。
行政范围和行政单位
在大型环境中,通常会将管理职责委派给不同的部门。为此,您可以使用 行政单位 在权限范围内:分配到某个单元的管理员只能为其权限范围内的用户、组、站点和设备创建和管理策略。
例如,如果您希望某个区域的安全团队管理自己的 DLP 策略而不影响租户的其他部分,这种方法非常有效。
指令位置
下一步是选择 董事会将监督一些最常见的选项包括:
| 位置 | 纳入/排除标准 |
|---|---|
| 交换邮件 | 分发组 |
| SharePoint 网站 | 具体地点 |
| OneDrive 帐户 | 帐户或分发组 |
| 团队聊天和频道 | 帐户或分发组 |
| Windows 和 macOS 设备 | 用户、组、设备和设备组 |
| 云应用(云应用防御系统) | 执行个体 |
| 本地仓库 | 文件夹路径 |
| Fabric 和 Power BI | 阿拉斯德特拉巴霍 |
| Microsoft 365 副驾驶 | 帐户或分发组 |
匹配条件
该 条款 它们定义了数据防泄漏规则“触发”必须满足的条件。一些典型示例:
- 内容包含一个或多个 机密信息的类型 (例如,在发送给外部收件人的电子邮件中包含 95 个社会保障号码)。
- 该元素具有 保密标签 具体说明(例如,“极其机密”)。
- 内容是 与组织外部共享 来自 Microsoft 365。
- 敏感文件正在被复制到 USB 或网络共享.
- 机密内容被粘贴到 Teams聊天或非托管云应用.
保护措施
一旦满足条件,该指令即可执行不同的操作。 保护措施根据地点不同:
- En Exchange、SharePoint 和 OneDrive阻止外部用户访问、阻止共享、向用户显示策略建议并向其发送通知。
- En 团队:阻止敏感信息出现在聊天或频道消息中;如果分享,消息可能会被删除或不显示。
- En Windows 和 macOS 设备审核或限制诸如复制到U盘、打印、复制到等操作 剪贴板上传到互联网,与外部客户端同步等。
- En 办公室(Word、Excel、PowerPoint):显示弹出警告,阻止保存或发送,允许作废并给出理由。
- En 本地仓库检测到敏感信息时,将文件移至安全隔离文件夹。
此外,所有受监督的活动都会被记录在案。 Microsoft 365 审核日志 可以在 DLP 活动浏览器中查看。
Microsoft Teams 中的数据防泄漏:消息、文档和范围
Microsoft Teams 已成为协作的中心,这意味着它也是…… 潜在数据泄露的关键点Teams 中的 DLP 将 Purview 的策略扩展到平台内共享的消息和文件。
在 Teams 中保护消息和文档
借助 Microsoft View DLP,您可以 防止用户在聊天或频道中分享机密信息尤其是在涉及访客或外部用户时。一些常见场景:
- 如果有人试图发布一个 社会安全号码 如果包含信用卡信息,该消息可能会被自动屏蔽或删除。
- 如果你分享一个 包含敏感信息的文件 在有访客的频道中,DLP 策略可以阻止这些访客打开文件(这要归功于与 SharePoint 和 OneDrive 的集成)。
- En 共享频道即使频道与其他内部团队或不同的组织(不同的租户)共享,主机团队的策略仍然适用。
- En 与外部用户的聊天 (外部访问),每个人都受其租户的 DLP 约束,但最终结果是,即使对方有不同的策略,贵公司的敏感内容也会受到贵公司策略的保护。
Teams 中的 DLP 保护区域
Teams 中的 DLP 覆盖范围取决于 指令的实体类型和范围。 例如:
- 如果你的目标是 个人用户帐户 对于安全组,您可以保护一对一或群组聊天,但不一定能保护标准频道或私人频道中的消息。
- 如果你的目标是 Microsoft 365 群组该保护措施可以涵盖与这些群组关联的标准、共享和私人频道中的聊天和消息。
为了保护 Teams 中“所有移动的内容”,通常建议将范围配置为: 所有地点 或者确保 Teams 用户所在的群组与策略完全一致。
团队政策建议
除了阻止之外,Teams 中的 DLP 还可以显示 指导建议 当有人做出可能危险的事情,例如发送受监管的数据时,这些建议会解释原因并为用户提供选项:更正内容、请求审查,或者,如果政策允许,则通过提供理由来推翻规则。
这些建议可以通过 Purview 门户进行高度自定义:您可以 改编文本决定在哪些服务上显示它们,以及是否在模拟模式下显示它们。
端点数据防泄漏:在 Windows、macOS 和虚拟环境中进行控制
的组成部分 DLP连接点 它将保护范围扩展到员工使用的物理设备和虚拟设备。它使您能够了解敏感文件在被复制、打印、上传到云端或通过服务器端的“隐蔽”通道传输时发生的情况。
Endpoint DLP 支持 Windows 10 和 11,以及 macOS(最新三个版本)。它还可以在以下系统中运行: 虚拟化环境 例如 Azure 虚拟桌面、Windows 365、Citrix 虚拟应用和桌面、Amazon Workspaces 或 Hyper-V 虚拟机,以及一些特定功能。它还可以与以下技术结合使用: Windows 中的凭据保护 加强终端安全防护。
在VDI环境中, USB 设备通常被视为共享网络资源。因此,该策略应包含“复制到网络共享”活动,以涵盖复制到 USB 驱动器的操作。在日志中,这些操作显示为复制到共享资源,即使实际上是复制到 USB 驱动器。
此外,还有一些已知的限制,例如无法通过 Azure 虚拟桌面中的浏览器监视某些剪贴板复制活动,尽管如果通过 RDP 会话执行相同的操作则可以看到。
DLP 和 Microsoft 365 Copilot / Copilot Chat
随着 Copilot 的出现,各组织已经意识到 敏感数据也可能最终出现在与……的请求和交互中。 IA微软已将 Copilot 特有的 DLP 控制功能集成到 Purview 中,因此您可以限制请求中包含的信息以及用于生成响应的数据。
阻止向 Copilot 发送消息中的敏感信息类型
在预览中,您可以创建用于以下用途的 DLP 指令: 位置“Microsoft 365 Copilot 和 Copilot Chat” 阻止在应用程序中使用某些类型的敏感信息 (SIT)。例如:
- 阻止它们被纳入其中 信用卡号码根据提示输入护照号码或社会安全号码。
- 阻止发送来自特定国家/地区的邮政地址或受监管的金融标识符。
当匹配发生时,该规则可以 阻止 Copilot 处理内容因此,用户会收到一条消息警告,称其请求包含被组织阻止的数据,该请求不会执行,也不会用于内部或网络搜索。
阻止在摘要中使用已标记的文件和电子邮件
另一项能力是防止这种情况发生。 带有特定保密标签的文件或电子邮件 用于生成 Copilot 响应摘要,尽管它们可能仍然以引用或参考的形式出现。
该指令再次聚焦于Copilot的位置,使用“内容包含敏感度标签”这一条件来检测例如“个人”或“高度机密”等标签的项目,并执行“阻止Copilot处理内容”的操作。实际上,即使Copilot能够识别出这些项目的存在,它也不会读取这些项目的内容来构建响应。
DLP活动报告、警报和分析
制定政策只是成功的一半:另一半是 观察事态发展并及时做出反应。Purview DLP 将其所有遥测数据发送到 Microsoft 365 审核日志,然后从那里分发到不同的工具。
一般信息面板
Purview门户网站上的DLP概览页面提供了以下内容: 快速查看您的保单状态同步状态、设备状态、主要检测到的活动以及整体情况。您可以从这里跳转到更详细的视图。
DLP警报
当 DLP 规则配置为生成事件时,符合条件的活动会触发这些事件。 警报 这些信息会显示在 Purview DLP 警报面板以及 Microsoft Defender 门户中。
这些警报可以 按用户、时间窗口或规则类型分组根据您的订阅方案,这有助于检测风险行为模式。Purview 通常提供 30 天的数据,而 Defender 允许您保留长达六个月的数据。
DLP 活动浏览器
DLP 活动浏览器允许您筛选和分析 过去30天的详细事件它包含预配置视图,例如:
- 连接点处的DLP活动。
- 包含各类机密信息的文件。
- 疏散活动。
- 已检测到活动的策略和规则。
也可以看 用户失效 (当有人违反允许的规则时)或特定规则的匹配。对于 DLPRuleMatch 事件,甚至可以查看匹配内容的上下文摘要,同时遵守隐私政策和最低系统版本要求。
凭借这套涵盖策略、警报、活动浏览器以及对应用程序、设备、Teams、Copilot 和 Web 流量的控制的完整生态系统,Microsoft Purview DLP 成为关键组件。 在 Microsoft 365 中控制敏感数据降低逃逸风险,遵守相关规定,同时让人们能够在相对自由的环境下工作,而无需一直处于封锁状态。
对字节世界和一般技术充满热情的作家。我喜欢通过写作分享我的知识,这就是我在这个博客中要做的,向您展示有关小工具、软件、硬件、技术趋势等的所有最有趣的事情。我的目标是帮助您以简单而有趣的方式畅游数字世界。