的量 企業如今處理的機密數據 資料量呈現爆炸性成長:財務資訊、個人資料、智慧財產權…所有這些都透過電子郵件、Teams 等工具傳播開來。 的SharePoint裝置 應用程序 在雲端,現在也 像 Copilot 這樣的 AI 工具在這種情況下,如果不採取切實有效的措施,失去對訊息傳播方向的控制只是時間問題。
那就是… 使用 Microsoft 365 中的資料遺失防護 (DLP) 微軟權限這不僅是偶爾屏蔽文件的問題,而是要建立一個集中式系統,能夠檢測敏感內容,監控其使用方式,並在有人試圖不當分享時進行智慧攔截,同時又不破壞日常生產力。
Microsoft 365 中的 DLP 是什麼?為什麼它如此重要?
當我們談到 Microsoft 365 中的 DLP 時,我們指的是一系列… 有助於防止敏感資訊洩漏到錯誤位置的指令它已整合到微軟的資料治理和合規平台 Microsoft Purview 中,幾乎可以作用於使用者每天使用的所有功能。
組織管理 特別敏感的數據 例如信用卡號、銀行帳戶資訊、醫療記錄、社會安全號碼、員工資料、商業機密或受合約和法規(GDPR、HIPAA、PCI-DSS 等)保護的文件。意外透過電子郵件傳輸、與外部人員共享文件或複製貼上到錯誤網站都可能導致資料洩露,並帶來巨大的法律和聲譽後果。
使用 Microsoft View DLP,您可以 定義集中式策略 能夠識別敏感內容,監控其所在位置,並採取自動保護措施:從通知使用者到完全阻止操作或將文件發送到隔離區。
關鍵在於,Microsoft 365 中的 DLP 不僅僅是搜尋單字語,而是執行… 深度內容分析 結合敏感資訊類型 (SIT)、正規表示式、關鍵字、內部驗證以及在許多情況下結合機器學習演算法,以減少誤報。
保護範圍:業務應用程式、裝置和網路流量
Microsoft Purview DLP 的一大優勢在於它涵蓋了以上兩方面。 靜態、使用中和動態數據 跨不同地點。它不僅限於 Exchange 或 SharePoint,還擴展到裝置、Office 應用程式、第三方雲端應用程式、網路流量、Copilot 等等。
企業應用和設備中的資料防洩漏
在應用和裝置領域,DLP 可以 監控和保護關鍵 Microsoft 365 工作負載中的信息 以及透過 Purview 入口網站配置的其他附加來源。
其中 支援的地點 其中包括以下內容:
- 在線交流 (公司電子郵件)
- SharePoint Online (協作網站和文件庫)。
- OneDrive 商業版 (使用者的個人資料夾)。
- 微軟團隊 (聊天訊息,標準頻道、共享頻道和私人頻道)。
- 辦公應用 (Word、Excel、PowerPoint,包括桌面版和網頁版)。
- Windows 10、Windows 11 和 macOS 設備 (最後三個版本),包括 手提相容的桌上型電腦和VDI系統。
- 非微軟雲端應用透過 Defender for Cloud Apps 整合。
- 本地倉庫 例如,使用資訊保護分析器來保護共用文件資源和本機 SharePoint。
- Fabric 和 Power BI 工作區涵蓋報告和數據集。
- Microsoft 365 Copilot(某些情況為預覽版) 以及副駕駛聊天。
對於這些起源,你創造 針對「企業應用程式和裝置」的DLP指令這樣就可以從一個面板對所有這些位置的規則進行一致的控制。
非託管 Web 流量和雲端應用程式的資料防洩漏 (DLP)
除了「內部」服務外,Purview DLP 還可以 控制從您的網路流向非託管雲端應用程式的數據尤其是在用戶訪問時 微軟邊緣 適用於企業或透過網路控制。
這是旨在…的指令所在之處 “插入的網路流量”和“網路活動” (某些環境下的預覽功能),例如,允許控制貼上的內容:
因此,即使用戶試圖將敏感資訊從內部文件複製到外部應用程序, DLP 指令可以偵測內容並阻止或審核該操作。 根據您定義的配置。
Microsoft View DLP 的主要功能
Purview DLP 不僅僅是一個內容過濾器:它是策略的核心組成部分 資料保護與治理 來自微軟。它旨在與其他 Purview 功能集成,並提供從分類到事件響應的一致方法。
在你之間 主要特點 脫穎而出:
- 單一政策管理中心 透過 Microsoft Purview 門戶,在全球範圍內建立、編輯和部署 DLP 策略。
- 與 Purview 資訊保護的集成重複使用現成的、客製化的或進階的保密標籤和敏感資訊類型(包括可訓練的分類器)。
- 統一警報和糾正 可以在 Purview DLP 面板中看到,也可以在 Microsoft Defender XDR 或 Microsoft Sentinel 中看到,用於 SIEM/SOAR 場景。
- 開機 RAPIDO 得益於指令模板,無需建造複雜的雲端基礎設施。
- 自適應保護根據風險等級(高、中或低)和具體情況,政策的嚴格程度也會有所改變。
- 減少誤報 透過上下文內容分析和機器學習。
所有這些都使 Purview DLP 成為一種解決方案。 對受監管產業而言尤其值得關注 (醫療保健、銀行業、公共管理、教育、科技)以及任何必須遵守嚴格要求的組織,例如 GDPR 或 HIPAA。
DLP實施生命週期:從構思到生產
隨意搭建DLP系統通常是導致問題的完美溫床。 阻礙關鍵流程,激怒所有人微軟制定了一個清晰的生命週期,應該遵守該生命週期,以確保成功實施並避免問題。
規劃階段
在規劃階段,你應該考慮以下兩個面向: 技術、業務流程與組織文化一些重要的里程碑:
- 確定 有關各方:安全、法律、業務、IT、人力資源等部門的經理。
- 定義 機密資訊類別 您需要保護的資訊(個人資料、財務資料、智慧財產權等)。
- 決定 目標和策略您具體想避免什麼(外部發送、複製到) USB上傳到某些應用程式等)。
- 評估 您將在以下位置套用 DLP:Microsoft 365 服務、裝置、本機儲存庫、外部雲端應用程式…
此外,我們還必須考慮 對業務流程的影響DLP 可以阻止常見操作(例如,透過電子郵件向供應商發送某些報告),這涉及協商例外情況、建立替代工作流程或改變習慣。
最後,別忘了關於…的部分 文化變革與培訓使用者需要了解某些操作被阻止的原因以及如何安全地進行操作。應用程式內策略建議是一種非常有效的工具,既能教育用戶,又不會過度限制用戶。
準備環境和先決條件
在啟用封鎖某些內容的策略之前,您必須確保: 所有場地均已做好充分準備。 並與 Purview 連結:
- Exchange Online、SharePoint、OneDrive 和 Teams 只需要定義包含它們的策略。
- 本機檔案儲存庫和本機 SharePoint 需要部署 資訊保護分析器.
- Windows 裝置、macOS 和虛擬化環境透過特定的入職流程進行整合。
- 第三方雲端應用程式透過以下方式進行管理 適用於雲端應用的 Microsoft Defender.
場地準備就緒後,建議的下一步是: 配置策略草案並進行測試 在開始阻擋之前,他們會進行大量的測試。
逐步實施:模擬、調整與激活
DLP指令的實施應遵循分階段的方法,使用三個控制軸: 狀態、範圍和行動.
很多 主要國家 指令包含以下要素:
- 保持關閉狀態設計和審查,但沒有實際影響。
- 以模擬模式執行指令事件已被記錄,但未採取任何阻止措施。
- 帶有政策建議的模擬雖然目前還沒有被封鎖,但用戶會收到通知和電子郵件(視情況而定),這些通知和電子郵件會對他們進行培訓。
- 立即啟用:完全合規模式,所有配置的操作都將套用。
在模擬階段,您可以調整 指令範圍:先從一小部分使用者或地點(試點小組)開始,然後隨著條件、例外情況和使用者訊息的完善而擴展。
由於 行動最好先從「允許」或「僅審核」等非侵入性選項開始,逐步引入通知功能,最後再過渡到… 可能失效的區塊 在最嚴重的情況下,甚至會導致永久封鎖。
Microsoft 365 中 DLP 策略的組成部分
所有 Microsoft 隱私權保護指令都遵循相同的邏輯結構: 監測什麼內容、監測地點、監測條件、偵測到異常情況後採取什麼措施。在創建它時(無論是從零開始還是使用模板),您需要在這些方面做出決定。
需要監控的內容:自訂範本和策略
Purview 提供 現成的 DLP 策略模板 針對常見場景(按國家、法規、行業等劃分),包括每項法規中典型的各類機密訊息,包括 PDF 中的元數據如果您願意,您也可以建立自己的自訂保單,並選擇您想要的 SIT 或條件。
行政範圍和行政單位
在大型環境中,通常會將管理職責委派給不同的部門。為此,您可以使用 行政單位 在權限範圍內:指派到某個單元的管理員只能為其權限範圍內的使用者、群組、網站和裝置建立和管理策略。
例如,如果您希望某個區域的安全團隊管理自己的 DLP 策略而不影響租戶的其他部分,這種方法非常有效。
指令位置
下一步是選擇 董事會將監督一些最常見的選項包括:
| 位置 | 納入/排除標準 |
|---|---|
| 交換郵件 | 分發群組 |
| SharePoint 網站 | 具體地點 |
| OneDrive 帳戶 | 帳戶或分發群組 |
| 團隊聊天和頻道 | 帳戶或分發群組 |
| Windows 和 macOS 設備 | 使用者、群組、設備和設備群組 |
| 雲端應用(雲端應用防禦系統) | 實例數 |
| 本地倉庫 | 資料夾路徑 |
| Fabric 和 Power BI | 工作範圍 |
| Microsoft 365 副駕駛 | 帳戶或分發群組 |
匹配條件
該 條款 它們定義了資料防洩漏規則「觸發」必須滿足的條件。一些典型範例:
- 內容包含一個或多個 機密資訊的類型 (例如,在發送給外部收件者的電子郵件中包含 95 個社會安全號碼)。
- 該元素具有 保密標籤 具體說明(例如:「極其機密」)。
- 內容是 與組織外部共享 來自 Microsoft 365。
- 敏感文件正在被複製到 USB 或網路分享.
- 機密內容被貼到 Teams聊天或非託管雲端應用.
保護措施
一旦滿足條件,指令即可執行不同的操作。 保護措施根據地點不同:
- En Exchange、SharePoint 和 OneDrive阻止外部用戶存取、封鎖共享、向用戶顯示策略建議並向其發送通知。
- En 小組:阻止敏感資訊出現在聊天或頻道訊息中;如果分享,訊息可能會被刪除或不顯示。
- En Windows 和 macOS 設備審核或限制諸如複製到USB、列印、複製到等操作 剪貼板上傳到互聯網,與外部客戶端同步等。
- En 辦公室(Word、Excel、PowerPoint):顯示彈出警告,阻止保存或發送,允許作廢並給出理由。
- En 本地倉庫偵測到敏感資訊時,將檔案移至安全隔離資料夾。
此外,所有受監督的活動都會被記錄在案。 Microsoft 365 審核日誌 可以在 DLP 活動瀏覽器中查看。
Microsoft Teams 中的資料防洩漏:訊息、文件和範圍
Microsoft Teams 已成為協作的中心,這意味著它也是… 潛在資料外洩的關鍵點Teams 中的 DLP 將 Purview 的策略擴展到平台內共享的訊息和檔案。
在 Teams 中保護訊息和文檔
使用 Microsoft View DLP,您可以 防止用戶在聊天或頻道中分享機密信息尤其是在涉及訪客或外部用戶時。一些常見場景:
- 如果有人試圖發布一個 社會安全號碼 如果包含信用卡訊息,該訊息可能會自動封鎖或刪除。
- 如果你分享一個 包含敏感資訊的文件 在有訪客的頻道中,DLP 策略可以阻止這些訪客開啟文件(這要歸功於與 SharePoint 和 OneDrive 的整合)。
- En 共享頻道即使頻道與其他內部團隊或不同的組織(不同的租戶)共享,主機團隊的策略仍然適用。
- En 與外部用戶的聊天 (外部存取),每個人都受其租戶的 DLP 約束,但最終結果是,即使對方有不同的策略,貴公司的敏感內容也會受到貴公司策略的保護。
Teams 中的 DLP 保護區域
Teams 中的 DLP 覆蓋範圍取決於 指令的實體類型和範圍。 例如:
- 如果你的目標是 個人用戶帳戶 對於安全性群組,您可以保護一對一或群組聊天,但不一定能保護標準頻道或私人頻道中的消息。
- 如果你的目標是 Microsoft 365 群組此保護措施可以涵蓋與這些群組關聯的標準、共享和私人頻道中的聊天和訊息。
為了保護 Teams 中“所有移動的內容”,通常建議將範圍配置為: 所有地點 或確保 Teams 使用者所在的群組與策略完全一致。
團隊政策建議
除了阻止之外,Teams 中的 DLP 還可以顯示 指導建議 當有人做出可能危險的事情,例如發送受監管的資料時,這些建議會解釋原因並為使用者提供選項:更正內容、請求審查,或者,如果政策允許,則透過提供理由來推翻規則。
這些建議可以透過 Purview 入口網站進行高度自訂:您可以 改編文本決定在哪些服務上顯示它們,以及是否在類比模式下顯示它們。
端點資料防洩漏:在 Windows、macOS 和虛擬環境中進行控制
的組成部分 DLP連接點 它將保護範圍擴展到員工使用的實體設備和虛擬設備。它使您能夠了解敏感檔案在複製、列印、上傳到雲端或透過伺服器端的「隱藏」通道傳輸時發生的情況。
Endpoint DLP 支援 Windows 10 和 11,以及 macOS(最新三個版本)。它還可以在以下系統中運作: 虛擬化環境 例如 Azure 虛擬桌面、Windows 365、Citrix 虛擬應用程式和桌面、Amazon Workspaces 或 Hyper-V 虛擬機,以及一些特定功能。它還可以與以下技術結合使用: Windows 中的憑證保護 加強終端安全防護。
在VDI環境中, USB 裝置通常被視為共享網路資源。因此,該策略應包含「複製到網路共用」活動,以涵蓋複製到 USB 隨身碟的操作。在日誌中,這些操作顯示為複製到共用資源,即使實際上複製到 USB 隨身碟。
此外,還有一些已知的限制,例如無法透過 Azure 虛擬桌面中的瀏覽器監視某些剪貼簿複製活動,儘管如果透過 RDP 工作階段執行相同的操作則可以看到。
DLP 和 Microsoft 365 Copilot / Copilot Chat
隨著 Copilot 的出現,各組織已經意識到 敏感資料也可能最終出現在與…的請求和互動中。 IA微軟已將 Copilot 特有的 DLP 控制功能整合到 Purview 中,因此您可以限制請求中包含的資訊以及用於產生回應的資料。
阻止向 Copilot 發送訊息中的敏感資訊類型
在預覽中,您可以建立用於以下用途的 DLP 指令: 地點“Microsoft 365 Copilot 和 Copilot Chat” 阻止在應用程式中使用某些類型的敏感資訊 (SIT)。例如:
- 阻止它們被納入其中 信用卡號碼依指示輸入護照號碼或社會安全號碼。
- 阻止發送來自特定國家/地區的郵政地址或受監管的金融識別碼。
當匹配發生時,該規則可以 阻止 Copilot 處理內容因此,用戶會收到一條訊息警告,稱其請求包含被組織阻止的數據,該請求不會執行,也不會用於內部或網路搜尋。
阻止在摘要中使用已標記的文件和電子郵件
另一項能力是防止這種情況發生。 帶有特定保密標籤的文件或電子郵件 用於產生 Copilot 回應摘要,儘管它們可能仍以引用或參考的形式出現。
該指令再次聚焦於Copilot的位置,使用「內容包含敏感度標籤」這一條件來偵測例如「個人」或「高度機密」等標籤的項目,並執行「阻止Copilot處理內容」的操作。實際上,即使Copilot能夠識別出這些項目的存在,它也不會讀取這些項目的內容來建立回應。
DLP活動報告、警報和分析
制定政策只是成功的一半:另一半是 觀察事態發展並及時做出反應。Purview DLP 將其所有遙測資料傳送到 Microsoft 365 審核日誌,然後從那裡分發到不同的工具。
一般資訊面板
Purview入口網站上的DLP概覽頁面提供了以下內容: 快速查看您的保單狀態同步狀態、設備狀態、主要偵測到的活動以及整體狀況。您可以從這裡跳到更詳細的視圖。
DLP警報
當 DLP 規則配置為產生事件時,符合條件的活動會觸發這些事件。 警報 這些資訊會顯示在 Purview DLP 警報面板以及 Microsoft Defender 入口網站中。
這些警報可以 按使用者、時間視窗或規則類型分組根據您的訂閱方案,這有助於偵測風險行為模式。 Purview 通常提供 30 天的數據,而 Defender 允許您保留長達六個月的數據。
DLP 活動瀏覽器
DLP 活動瀏覽器可讓您篩選和分析 過去30天的詳細事件它包含預配置視圖,例如:
- 連接點處的DLP活動。
- 包含各類機密資訊的文件。
- 疏散活動。
- 已偵測到活動的策略和規則。
也可以看 用戶失效 (當有人違反允許的規則時)或特定規則的匹配。對於 DLPRuleMatch 事件,甚至可以查看符合內容的上下文摘要,同時遵守隱私權政策和最低系統版本要求。
憑藉這套涵蓋策略、警報、活動瀏覽器以及對應用程式、裝置、Teams、Copilot 和 Web 流量的控制的完整生態系統,Microsoft Purview DLP 成為關鍵元件。 在 Microsoft 365 中控制敏感數據降低逃逸風險,遵守相關規定,同時讓人們能夠在相對自由的環境下工作,而無需一直處於封鎖狀態。
對字節世界和一般技術充滿熱情的作家。我喜歡透過寫作分享我的知識,這就是我在這個部落格中要做的,向您展示有關小工具、軟體、硬體、技術趨勢等的所有最有趣的事情。我的目標是幫助您以簡單有趣的方式暢遊數位世界。