建立及管理資料外洩防護原則

  • 8 分鐘

組織必須保護敏感性資訊並防止不當外洩。 資料保護法規會不時變更。 資料遺失防護 (DLP) 的目標是確保敏感性資料不會遺失、誤用或由未經授權的使用者存取。

使用 Microsoft Purview 資料遺失防護原則,組織即可識別、監控並自動保護整個 Microsoft 365 環境中的敏感性資訊。

DLP 原則可協助您:

  • 在多個位置識別敏感性資訊 (Exchange Online、SharePoint、OneDrive 及 Microsoft Teams)

  • 防止意外分享敏感性資訊。

  • 監視和保護 Excel、PowerPoint 和 Word 桌面版中的敏感性資訊。

  • 檢視 DLP 報告 (含有符合貴組織 DLP 原則的內容)

Microsoft Teams 的 DLP 原則

如果您的組織具有資料外洩防護 (DLP),則您可以定義原則,防止人員在 Microsoft Teams 頻道或聊天工作階段中共用敏感性資訊。 與具有 [來賓存取權][外部存取權] 的 Microsoft Teams 使用者共用敏感性內容時,適用於 Microsoft Teams 的 DLP 會封鎖敏感性內容。 以下是此防護系統運行方式的部分範例:

  • [保護訊息中的敏感性資訊]: 假設有人嘗試與來賓共用 Teams 聊天或頻道中的敏感性資訊。 如果您已定義 DLP 原則以避免發生這種情況,便會刪除傳送至來賓的含有敏感性資訊的訊息。 該刪除會自動執行,而且會依據您的 DLP 原則的設定方式,在幾秒鐘內執行。

  • [保護文件中的敏感性資訊]: 假設有人嘗試與 Microsoft Teams 頻道或聊天中的來賓共用文件,且該文見中包含敏感性資訊。 如果您已定義 DLP 原則來防止此錯誤,該文件將不會向這些使用者開啟。 DLP 原則必須包括 SharePoint 和 OneDrive,才能隨時提供保護。

範例: 在 Teams 聊天和頻道訊息中保護社會安全碼

作為 Contoso 的 Teams 系統管理員,您已建立並套用 DLP 原則來保護 Teams 聊天和頻道訊息中的社會安全碼。

稍後,使用者嘗試在 Microsoft Teams 頻道中傳送社會安全碼。 該訊息已遭封鎖,且有一個說明連結 [我該怎麼做?]。 此連結會開啟對話方塊,提供寄件者解決問題的選項。

Teams 中封鎖的訊息通知之螢幕擷取畫面。

作為系統管理員,您可以選擇允許使用者在組織中覆寫 DLP 原則。 當您設定 DLP 原則時,您可以使用預設原則提示或自訂原則提示。 在下列範例中,寄件者具有可以覆寫該原則或通知系統管理員進行審閱並解決該問題的選項。

解決已封鎖訊息的選項之螢幕擷取畫面。

收件者正在畫面上檢視不同的郵件,如下圖所示:

已封鎖訊息的螢幕擷取畫面。

您可能注意到,收件者收到訊息因敏感性內容而遭封鎖的資訊,且訊息旁有一個連結: [這是什麼?] 這會開啟一篇有關 DLP 原則的文章,使用者可以在這裡找到訊息遭封鎖的原因之說明。

DLP 原則設定概述

您對於如何建立並設定 DLP 原則方面具有彈性。 您可以從預先定義的範本開始,按幾下以建立原則,或者您也可以從頭開始設計自己的原則。 無論您選擇哪一個,所有 DLP 原則都需要您提供相同的資訊。

  1. 選擇您想要監視的內容: Microsoft Purview 隨附多個預先定義之原則範本,可協助您開始使用,或者您可以建立自訂原則。

    • 預先定義之原則範本: 財務資料、醫療與健康資料、隱私權資料全部適用于所有國家/地區。 如需詳細資訊,請參閱 DLP 原則範本

    • 使用可用敏感性資訊類型、保留標籤和敏感度標籤的自訂原則。

  2. 選擇您想要監視的位置: 您可挑選一個或多個您想要 DLP 監視敏感性資訊的位置。 您可以監視:

    位置 包含/排除依據
    Exchange 電子郵件 通訊群組
    SharePoint 網站 網站
    OneDrive 帳戶 帳戶或通訊群組
    Teams 聊天和頻道訊息 帳戶
    Windows 10 裝置 使用者或群組
    Microsoft 雲端 App 安全性 執行個體
    內部部署存放庫 存放庫檔案路徑

  3. 選擇原則必須相符的條件,以將原則套用至項目: 您可以接受預先設定的條件或定義自訂條件。 部分範例如下:

    • 項目包含用於特定內容中的特定敏感性資訊類型。 例如,95 個社會安全碼會以電子郵件傳送給組織外部的收件者。

    • 項目具有特定的敏感性標籤。

    • 在內部或外部共用的具有敏感性資訊的項目。

  4. 選擇當原則條件符合時,要採取的動作: 該動作取決於活動正在發生的位置。 部分範例如下:

    • SharePoint/Exchange/OneDrive - 封鎖貴組織外部人員存取內容。 向使用者顯示提示,並傳送電子郵件通知給他們,通知他們正在採取 DLP 原則禁止的動作。

    • Teams 聊天和頻道 - 封鎖敏感性資訊在聊天或頻道中共用。

條件及要採取的動作定義于名為 [規則] 的物件中。 規則旨在強制執行特定的保護需求。 DLP 原則用於匯集一般的保護需求。

資料外遺失防護原則的螢幕擷取畫面。

建立 Microsoft Teams 的新 DLP 原則

可以在 Microsoft Purview 合規性入口網站的 [資料外洩防護] 底下,管理 DLP 原則。 請遵循下列步驟,為 Teams 位置建立新的 DLP 原則:

  1. Microsoft Purview 合規性入口網站,選取 [原則] > [資料外洩防護]

  2. 選取 [原則] 索引標籤,然後選取 [+建立原則] 以啟動精靈。

  3. [從範本或建立自訂原則開始] 頁面上,您可以選擇不同的敏感性資訊類型範本,或選擇建立 [自訂原則]。 做出您的選擇,然後選取 [下一步]

  4. [命名您的原則] 頁面上,輸入有意義的 [名稱][描述],以說明此 DLP 原則的用途。 選取 [下一步]

  5. [選擇要套用該原則的位置] 頁面,選擇您想要 DLP 原則保護的位置。 DLP 原則可以同時包含 Teams 和非 Teams 位置。

    DLP 中 [位置] 選項的螢幕擷取畫面。

  6. [定義原則設定] 頁面,選取其中一個選項按鈕,然後選取 [下一步]

    • 從範本中檢閱及自訂預設設定

    • 建立或自訂進階 DLP 規則

  7. 視先前的選取項目,您將設定 [原則設定]

    如果您已選取 [建立或自訂進階 DLP 規則],您將使用下列設定來設定新規則:

    • 條件

    • 例外狀況

    • 動作

    • 使用者通知

    • 使用者覆寫

    • 事件報告

    • 其他選項

    DLP 中 Microsoft 365 動作選項的螢幕擷取畫面。

    設定所需的設定之後,請選取 [下一步]

  8. [測試或開啟原則] 頁面上,您可以從不同的設定中選取,以啟用新的 DLP 原則:

    • [先進行測試] - 不會強制執行原則。 您也可以選擇在測試模式中,顯示原則提示。

    • [立即開啟] - 在建立之後立即啟動原則。

    • [保留關閉狀態] - 將該原則保留為停用狀態。

  9. 選取 [下一步],然後在 [檢閱您的設定] 頁面上,選取 [提交]