資料外洩防護 Exchange 條件和動作參考
Microsoft Purview 資料外洩防護 (DLP) 原則中的條件會識別套用原則的敏感性專案。 動作會定義因符合例外狀況條件而發生的狀況。
- 條件會定義要包含的內容
- 動作會定義因符合條件而發生的狀況
大部分的條件都有一個支援一或多個值的屬性。 例如,如果 DLP 原則套用至 Exchange 電子郵件, 則發件者 的條件需要訊息的寄件者。 Some conditions have two properties. 例如, 「訊息標頭」包含上述任一字組 ,條件需要一個屬性來指定訊息標頭欄位,而第二個屬性則指定要在標頭字段中尋找的文字。 某些條件或例外狀況沒有任何屬性。 例如, [附件受密碼保護] 條件只會在受密碼保護的訊息中尋找附件。
動作通常需要其他屬性。 例如,當 DLP 原則規則重新導向訊息時,您必須指定訊息的重新導向位置。
提示
開始使用 Microsoft Security Copilot,探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的 Microsoft Security Copilot。
DLP 原則的交換條件
下列各節中的數據表說明 DLP 中可用的條件和例外狀況。
寄件者
如果您使用寄件者地址作為條件,則尋找值的實際欄位會根據設定的寄件者位址位置而有所不同。 根據預設,DLP 規則會使用標頭位址作為寄件者位址。
在租用戶層級,您可以設定要在所有規則中使用的寄件者位址位置,除非由單一規則覆寫。 若要設定租使用者 DLP 原則設定,以跨所有規則評估 Envelope 的寄件者位址,您可以執行下列命令:
Set-PolicyConfig -SenderAddressLocation Envelope
若要在 DLP 規則層級設定寄件者位址位置,參數為 SenderAddressLocation。 可用值包括:
標頭:僅檢查訊息標頭中的寄件者 (例如[ 寄件者]、[ 寄件者] 或 [ 回復至] 字 段) 。 這是預設值。
信封:只檢查郵件信封中的寄件者 (SMTP 傳輸中使用的 MAIL FROM 值,此值通常會儲存在 [ 傳回路徑] 字段) 中。
標頭或信封 ()
HeaderOrEnvelope檢查郵件標頭和郵件信封中的寄件者。
| DLP 中的條件或例外狀況 | 安全性 & 合規性 PowerShell 中的條件/例外狀況參數 | 屬性類型 | 描述 |
|---|---|---|---|
| 寄件者為 | 條件: 來源 例外狀況: ExceptIfFrom |
Addresses | 由組織中指定的信箱、郵件使用者、郵件聯繫人或Microsoft 365 群組所傳送的郵件。 |
| 寄件者屬於 | 條件: FromMemberOf 例外狀況: ExceptIfFromMemberOf |
Addresses | 由指定通訊群組、擁有郵件功能的安全組或Microsoft 365 群組的成員所傳送的訊息。 |
| 寄件者 IP 位址為 | 條件: SenderIPRanges 例外狀況: ExceptIfSenderIPRanges |
IPAddressRanges | 寄件者的IP位址符合指定IP位址或落在指定IP位址範圍內的訊息。 |
| 寄件者位址包含文字 | 條件: FromAddressContainsWords 例外狀況: ExceptIfFromAddressContainsWords |
Words | 在寄件者的電子郵件位址中包含指定文字的訊息。 |
| 寄件者地址符合模式 | 條件: FromAddressMatchesPatterns 例外狀況: ExceptIfFromAddressMatchesPatterns |
模式 | 寄件者的電子郵件位址包含符合指定正則表示式之文字模式的訊息。 |
| 寄件者網域為 | 條件: SenderDomainIs 例外狀況: ExceptIfSenderDomainIs |
DomainName | 寄件者電子郵件位址網域符合指定值的訊息。 如果您需要尋找 包含 指定網域 (的發件者網域,例如,網域) 的任何子域,請使用發 件者位址符合 (FromAddressMatchesPatterns) 條件,並使用語法指定網域: '\.domain\.com$'。 |
| 寄件者範圍 | 條件: FromScope 例外狀況: ExceptIfFromScope |
UserScopeFrom | 由內部或外部寄件者傳送的訊息。 |
| 寄件者的指定摘要資訊包含任何這些字詞 | 條件: SenderADAttributeContainsWords 例外狀況: ExceptIfSenderADAttributeContainsWords |
第一個屬性: ADAttribute 第二個屬性: Words |
傳送者之指定 Microsoft Entra ID 屬性包含任何指定文字的訊息。 |
| 寄件者指定的摘要資訊符合這些文字模式 | 條件: SenderADAttributeMatchesPatterns 例外狀況: ExceptIfSenderADAttributeMatchesPatterns |
第一個屬性: ADAttribute 第二個屬性: 模式 |
訊息,其中指定的傳送者 Microsoft Entra ID 屬性包含符合指定正則表達式的文字模式。 |
收件者
當電子郵件傳送給多個收件者,且 DLP 原則規則只允許傳遞其中一些電子郵件時,電子郵件可能會 分叉。 例如,假設您的 DLP 原則規則允許將電子郵件傳送至組織內的電子郵件位址,並封鎖電子郵件傳送至外部電子郵件位址。
有數個原則條件會造成混淆;允許將電子郵件傳送給某些使用者,但不允許傳送給其他人。 如需 bifurcation 的詳細資訊和 Bifurcation 運作方式的詳細資訊,請參閱 Bifurcation 一文。
| DLP 中的條件或例外狀況 | 安全性 & 合規性 PowerShell 中的條件/例外狀況參數 | 屬性類型 | 描述 | 正在混淆? |
|---|---|---|---|---|
| 收件者為 | 條件: SentTo 例外狀況: ExceptIfSentTo |
Addresses | 其中一個收件者是組織中指定信箱、郵件使用者或郵件聯繫人的郵件。 收件者可以位於郵件的 [ 收件者]、[ 副本] 或 [ 密件抄送 ] 字段中。 | 是 |
| 收件者網域為 | 條件: RecipientDomainIs 例外狀況: ExceptIfRecipientDomainIs |
DomainName | 收件者電子郵件位址網域符合指定值的訊息。 | 是 |
| 收件者地址包含文字 | 條件: AnyOfRecipientAddressContainsWords 例外狀況: ExceptIfAnyOfRecipientAddressContainsWords |
Words | 在收件者的電子郵件位址中包含指定單字的訊息。 注意事項:這種情況並未考慮傳送至收件者 Proxy 位址的郵件。 而只比對傳送至收件者主要電子郵件地址的郵件。 |
否 |
| 收件者地址符合模式 | 條件: AnyOfRecipientAddressMatchesPatterns 例外狀況: ExceptIfAnyOfRecipientAddressMatchesPatterns |
模式 | 收件者電子郵件位址包含符合指定正則表達式之文字模式的訊息。 注意事項:這種情況並未考慮傳送至收件者 Proxy 位址的郵件。 而只比對傳送至收件者主要電子郵件地址的郵件。 |
否 |
| 傳送給的成員 | 條件: SentToMemberOf 例外狀況: ExceptIfSentToMemberOf |
Addresses | 郵件,其中包含屬於指定通訊群組、啟用郵件安全組或Microsoft 365 群組之成員的收件者。 群組可以位於訊息的 [ 至]、 [副本] 或 [ 密件抄送 ] 字段中。 | 是 |
| 收件者的指定摘要資訊可以包含任何這些字詞 | 條件: RecipientADAttributeContainsWords 例外狀況: ExceptIfRecipientADAttributeContainsWords |
第一個屬性: ADAttribute 第二個屬性: Words |
訊息,其中指定的 Microsoft Entra ID 收件者屬性包含任何指定的單字。 請注意, Country 屬性需要兩個字母的國家/地區代碼值 (例如,DE for Germany) 。 |
是 |
| 收件者的指定摘要資訊符合這些文字模式 | 條件: RecipientADAttributeMatchesPatterns ExceptIfRecipientADAttributeMatchesPatterns |
第一個屬性: ADAttribute 第二個屬性: 模式 |
訊息,其中收件者的指定 Entra ID 屬性包含符合指定正則表達式的文字模式。 | 是 |
| 收件者範圍/內容會與 共用 | 條件: AccessScope 例外狀況: ExceptIfAccessScope |
UserScopeFrom | 內部或外部收件者所接收的訊息。 | 是 |
訊息主旨或本文
| DLP 中的條件或例外狀況 | 安全性 & 合規性 PowerShell 中的條件/例外狀況參數 | 屬性類型 | 描述 |
|---|---|---|---|
| 主旨包含單字或片語 | 條件: SubjectContainsWords 例外狀況: ExceptIf SubjectContainsWords |
Words | [主旨] 欄位中具有指定文字的訊息。 此條件對於非英文多位元組位元的支援有限。 |
| 主題符合模式 | 條件: SubjectMatchesPatterns 例外狀況: ExceptIf SubjectMatchesPatterns |
模式 | [主旨] 欄位包含符合指定正規表示式之文字模式的訊息。 |
| 內容包含 | 條件: ContentContainsSensitiveInformation 例外狀況: ExceptIfContentContainsSensitiveInformation |
SensitiveInformationTypes | 包含敏感性資訊的訊息或檔,如 Microsoft Purview 資料外洩防護 (DLP) 原則所定義。 |
| 內容未加上標籤 | 條件: ContentIsNotLabeled Exception:ExceptIfContentIsNotLabeled |
敏感度標籤 | 電子郵件和附加檔都不包含任何敏感度標籤的訊息,如 Microsoft Purview 資料外洩防護 (DLP) 原則所定義。 |
| 主旨或本文比對模式 | 條件: SubjectOrBodyMatchesPatterns 例外狀況: ExceptIfSubjectOrBodyMatchesPatterns |
模式 | 主旨欄位或訊息本文包含符合指定正則表示式之文字模式的訊息。 |
| 主旨或本文包含文字 | 條件: SubjectOrBodyContainsWords 例外狀況: ExceptIfSubjectOrBodyContainsWords |
Words | 在主旨欄位或訊息本文中具有指定文字的訊息。 此條件對於非英文多位元組位元的支援有限。 |
附件
| DLP 中的條件或例外狀況 | 安全性 & 合規性 PowerShell 中的條件/例外狀況參數 | 屬性類型 | 描述 |
|---|---|---|---|
| 附件受密碼保護 | 條件: DocumentIsPasswordProtected 例外狀況: ExceptIfDocumentIsPasswordProtected |
無 | 附件受到密碼保護的訊息 (,因此無法掃描) 。 密碼偵測適用於 Office 檔、壓縮檔 (.zip、.7z) 和 .pdf 檔案。 |
| 附件的副檔名為 | 條件: ContentExtensionMatchesWords 例外狀況: ExceptIfContentExtensionMatchesWords |
Words | 附件擴展名符合任何指定文字的訊息。 |
| 無法掃描任何電子郵件附件的內容 | 條件: DocumentIsUnsupported 例外狀況: ExceptIf DocumentIsUnsupported |
不適用 | Exchange Online 無法原生辨識附件的訊息。 |
| 未完成掃描任何電子郵件附件的內容 | 條件: ProcessingLimitExceeded 例外狀況: ExceptIfProcessingLimitExceeded |
不適用 | 規則引擎無法完成附件掃描的訊息。 您可以使用此條件來建立一起運作的規則,識別和處理未完整掃描內容的郵件。 |
| 檔名稱包含文字 | 條件: DocumentNameMatchesWords 例外狀況: ExceptIfDocumentNameMatchesWords |
Words | 附件的檔名符合名稱開頭、任何非英數位元或名稱結尾之間分隔之任何指定文字的訊息。 |
| 檔名稱符合模式 | 條件: DocumentNameMatchesPatterns 例外狀況: ExceptIfDocumentNameMatchesPatterns |
模式 | 附件的檔名包含符合指定正則表達式之文字模式的訊息。 SharePoint 和 OneDrive 工作負載已停止此作業。 無法修改現有的規則,也無法建立新的規則。 現有的客戶可以繼續使用此條件。 |
| 文件屬性為 | 條件: ContentPropertyContainsWords 例外狀況: ExceptIfContentPropertyContainsWords |
Words | 具有文件的訊息,其中附件的自定義屬性符合指定的值。 |
| 檔大小等於或大於 | 條件: DocumentSizeOver 例外狀況: ExceptIfDocumentSizeOver |
大小 | 任何附件大於或等於指定值的訊息。 |
| 任何附件的內容都包含這些字組中的任何一個 | 條件: DocumentContainsWords 例外狀況: ExceptIfDocumentContainsWords |
Words | 附件包含指定文字的訊息。 |
| 任何附件內容都符合這些文字模式 | 條件: DocumentMatchesPatterns 例外狀況: ExceptIfDocumentMatchesPatterns |
模式 | 附件包含符合指定正則表達式之文字模式的訊息。 |
訊息標頭
| DLP 中的條件或例外狀況 | 安全性 & 合規性 PowerShell 中的條件/例外狀況參數 | 屬性類型 | 描述 |
|---|---|---|---|
| 標頭包含單字或片語 | 條件: HeaderContainsWords 例外狀況: ExceptIfHeaderContainsWords |
哈希表 | 包含指定標頭欄位的訊息,以及該標頭欄位的值包含指定的字組。 |
| 標頭符合模式 | 條件: HeaderMatchesPatterns 例外狀況: ExceptIfHeaderMatchesPatterns |
哈希表 | 包含指定標頭欄位的訊息,以及該標頭欄位的值包含指定的正規表示式。 |
郵件屬性
| DLP 中的條件或例外狀況 | 安全性 & 合規性 PowerShell 中的條件/例外狀況參數 | 屬性類型 | 描述 |
|---|---|---|---|
| 具有重要性 | 條件: WithImportance 例外狀況: ExceptIfWithImportance |
Importance | 以指定重要性層級標示的訊息。 |
| 內容字元集包含文字 | 條件: ContentCharacterSetContainsWords 例外狀況: ExceptIfContentCharacterSetContainsWords |
CharacterSets | 具有任何指定字元集名稱的訊息。 |
| 具有傳送者覆寫 | 條件: HasSenderOverride 例外狀況: ExceptIfHasSenderOverride |
不適用 | 傳送者選擇覆寫數據外洩防護 (DLP) 原則的訊息。 如需詳細資訊,請 參閱了解數據外洩防護 |
| 訊息類型相符 | 條件: MessageTypeMatches 例外狀況: ExceptIfMessageTypeMatches |
MessageType | 指定型別的訊息。 注意:可用的訊息類型為自動回復、自動轉寄、加密 (S/MIME) 、行事曆、許可權控制 (許可權管理) 、語音信箱、已簽署、讀取收據和核准要求。 |
| 郵件大小大於或等於 | 條件: MessageSizeOver 例外狀況: ExceptIfMessageSizeOver |
大小 | 訊息的總大小 (加上附件) 大於或等於指定值的訊息。 注意:信箱的郵件大小限制會在郵件流程規則之前進行評估。 對於信箱而言太大的郵件,在具有此條件的規則能夠對郵件採取動作之前,將會遭到拒絕。 |
DLP 原則的動作
下表描述 DLP 中可用的動作。
| DLP 中的動作 | 安全性 & 合規性 PowerShell 中的動作參數 | 屬性類型 | 描述 |
|---|---|---|---|
| 限制存取或加密Microsoft 365 個位置中的內容 | BlockAccess | 第一個屬性: 布爾值 第二個屬性: BlockAccessScope |
這可讓您使用 RMS 範本封鎖對指定使用者的存取或加密內容。 |
| 設定標頭 | SetHeader | 第一個屬性: 標頭名稱 第二個屬性: 標頭值 |
參數 SetHeader 會指定 DLP 規則的動作,以新增或修改訊息標頭中的標頭字段和值。 此參數使用語法 "HeaderName:HeaderValue"。 您可以指定多個標頭名稱和值組,並以逗號分隔 |
| 拿掉標頭 | RemoveHeader | 第一個屬性: MessageHeaderField 第二個屬性: 字串 |
參數 RemoveHeader 會指定 DLP 規則的動作,以從訊息標頭移除標頭字段。 這個參數會使用 語 HeaderName 法或 "HeaderName:HeaderValue。 您可以指定多個標頭名稱或標頭名稱,以及以逗號分隔的值組 |
| 將訊息重新導向至特定使用者 | RedirectMessageTo | Addresses | 將郵件重新導向至指定的收件者。 郵件不會傳遞給原始的收件者,也不會傳送任何通知給寄件者或原始的收件者。 |
| 將訊息轉寄給寄件者管理員以供核准 | 中等 | 第一個屬性: ModerateMessageByManager 第二個屬性: 布爾值 $true |
Moderate 參數會指定 DLP 規則的動作,以將電子郵件訊息傳送給仲裁者, (用戶的經理或指定的核准者) 。 若要將訊息轉寄給使用者的管理員以供核准,請使用下列語法: @{ModerateMessageByManager = $true} |
| 將核准的訊息轉寄給特定核准者 | 中等 | 第一個屬性: ModerateMessageByManager 第二個屬性: 布爾值 $false 第三個屬性: ModerateMessageByUser 第四個屬性: 位址 |
Moderate 參數會指定 DLP 規則的動作,以將電子郵件訊息傳送給仲裁者, (用戶的經理或指定的核准者) 。 若要將訊息轉寄給指定的收件者以供核准,請使用下列語法: @{ModerateMessageByManager = $false; ModerateMessageByUser = @("emailaddress1","emailaddress2",..."emailaddressN")} |
| 新增收件者 | AddRecipients | 第一個屬性: 欄位 第二個屬性: 位址 |
將一或多個收件者新增至郵件的 [收件者/副本/密件 抄送] 字段。 此參數會使用 語法: @{<AddToRecipients \<CopyTo \| BlindCopyTo\> = "emailaddress"} |
| 將寄件人的管理員新增為收件者 | AddRecipients | 第一個屬性: AddedManagerAction 第二個屬性: 欄位 |
將寄件人的管理員新增至郵件,做為指定的收件者類型, (收件者、 副本、 密 件抄送) ,或將郵件重新導向至寄件者管理員,而不通知寄件者或收件者。 只有在傳送者的 Manager 屬性定義於 Microsoft Entra ID 時,此動作才有效。 此參數會使用 語法: @{AddManagerAsRecipientType = "\<To \| Cc \| Bcc\>"} |
| 前置主旨 | PrependSubject | 字串 | 將指定的文字加入至訊息 [ 主旨 ] 字段的開頭。 請考慮使用空格或冒號 (:) 做為指定文字的最後一個字元,以區別原始主旨文字。 例如,若要防止將相同的字串新增至主旨 (中已經包含文字的訊息,請回復) ,將主 旨包含文字 ( ExceptIfSubjectContainsWords 規則) 例外狀況。 |
| 套用 HTML 免責聲明 | ApplyHtmlDisclaimer | 第一個屬性: 文字 第二個屬性: 位置 第三個屬性: 後援動作 |
將指定的 HTML 免責聲明套用至訊息的必要位置。 此參數會使用 語法: @{Text = " " ; Location = \<Append \| Prepend\>; FallbackAction = \<Wrap \| Ignore \| Reject\>} |
| 拿掉訊息加密和版權保護 | RemoveRMSTemplate | 不適用 | 拿掉電子郵件上套用的郵件加密 |
| 將商標套用至加密的訊息 | ApplyBrandingTemplate | 字串 | 參數ApplyBrandingTemplate會指定 DLP 規則的動作,以針對 Microsoft Purview 郵件加密 所加密的訊息套用自定義商標範本。 您可以依名稱識別自定商標範本。 如果名稱包含空格,請使用引號 (") 括住名稱。 |
| 讓外部收件者在加密的郵件入口網站中開啟郵件 | EnforcePortalAccess | 布林值 | 參數 EnforcePortalAccess 會控制外部使用者是否需要使用加密的訊息入口網站來檢視加密的訊息 |
| 將訊息傳遞至託管的隔離區 | 隔離區 | 不適用 | 將訊息傳遞至 Exchange Online Protection (EOP) 中的隔離區。 如需詳細資訊,請參閱 EOP 中隔離的電子郵件訊息。 |
| 修改主旨 | ModifySubject | PswsHashTable | 從符合特定模式的主旨行中移除文字,並以不同的文字取代它。 請參閱下列範例。 您可以: - 以 取代文字取代主旨中的所有相符專案 - 附加 以移除主旨中的所有相符專案,並在主旨結尾插入取代文字。 - 在前面加上 以移除所有相符專案,並在主旨開頭插入取代文字。 如需詳細資訊,請參閱 New-DlpComplianceRule 參考文章中的 ModifySubject 參數描述。 |