通过

帮助防止共享一组定义的不受支持的文件

本文使用在设计数据丢失防护策略中学到的过程,演示如何创建Microsoft Purview 数据丢失防护 (DLP) 策略,以帮助防止共享定义的一组不受支持的文件。 在测试环境中完成这些方案,以熟悉策略创建 UI。

部署策略的方式与策略设计一样重要。 本文 介绍如何使用部署选项,以便策略实现你的意图,同时避免代价高昂的业务中断。

将控件应用于某些文件类型目前处于 预览状态

使用此配置仅对文件类型列表应用 Audit、Block with override 或 Block 控件。 例如,你可以对视频文件(如 .mp3 文件 (应用控件,这些文件仅受终结点数据丢失防护) 监视。

重要

在策略配置“作”中选择“审核或限制设备上的活动”作时,将显示“仅对不支持的文件扩展名应用限制”。 仅对不支持的文件扩展名配置选项应用限制不支持按策略位置设置中的设备和设备组的范围。

支持以下作:

  • 上传到受限的云服务域
  • 复制到可移动 USB 设备
  • 复制到网络共享
  • 打印

此配置使用 文件扩展名组 的组合,并且“ 文档无法扫描 ”条件。 它不使用 文件扩展名为 条件。 此配置意味着,Microsoft Purview 终结点数据丢失防护 (DLP) 不会扫描包含在 文件扩展名组中 的文件的内容,并且不会在策略匹配项生成的事件或警报中看到 敏感信息类型的 值。

重要

本文介绍一个具有假设值的假设方案。 它仅用于说明目的。 替换你自己的敏感信息类型、敏感度标签、通讯组和用户。

策略意向语句和映射

我们 Wingtip Toys 的设备上有一个文件类型列表,这些文件类型 不在 受监视的文件列表中,并且我们想要对其应用控件。 我们知道它们不在终结点 DLP 的受监视文件列表中。 我们希望防止用户将这些文件复制到 USB 设备或网络共享。 当他们尝试时,我们希望让他们知道,教育他们,他们正在尝试禁止的行动。

语句 配置问题解答和配置映射
“我们在设备上有一个文件类型列表,这些文件类型不在”受监视的文件“列表中,并且我们想要应用控件...”...” - 管理范围: 完整目录
- 监视位置: 设备
范围: 所有用户、组、设备、设备组
“我们希望将控件应用于位于 ”受监视文件 “列表但终结点 DLP 扫描未涵盖的设备上的文件类型列表...”。 - 匹配条件:无法扫描
文档 -作:选择审核或限制设备上的
活动 - 清除“上传到重新写入的云服务域或从未启用的浏览器
进行访问”-选择“将限制应用于特定活动
”-选择“复制到可移动 USB 设备”,>选择“阻止
- 复制到网络共享>阻止
复制到剪贴板”,“打印”、使用未安装蓝牙应用复制或移动,使用 RDP
选择文件复制或移动无法扫描
- 选择仅对不支持的文件扩展名应用限制
“我们知道它们不在终结点 DLP 的受监视文件列表中。” - 终结点设置:创建 文件扩展名组
"...我们需要防止用户将这些文件复制到 USB 设备或网络共享。” - 匹配条件:无法扫描
文档 -作:选择审核或限制设备上的
活动 - 清除“上传到受限制的云服务域或从未启用的浏览器
进行访问”-选择“将限制应用于特定活动
”-选择“复制到可移动 USB 设备”,>“阻止
- 复制到网络共享>”“阻止
复制到剪贴板”,“打印”使用未安装蓝牙应用复制或移动,使用 RDP
选择文件复制或移动无法扫描
- 选择仅对不支持的文件扩展名应用限制
“当他们尝试时,我们想让他们知道,教育他们,他们正在尝试禁止的行动。 - 使用通知通知用户并帮助他们了解如何正确使用敏感信息:
终结点设备上 > ,在限制活动时向用户显示策略提示通知...: 已选择
- 自定义通知: 选定的> 通知标题: Wingtip 玩具不复制文件>通知内容:FYI,Wingtip Toy 策略不允许将这种类型的文件复制到 USB 设备或网络共享。 (预览) 能够在终结点策略提示通知中添加超链接

创建文件扩展名组的步骤

为使用的门户选择相应的选项卡。 若要详细了解 Microsoft Purview 门户,请参阅 Microsoft Purview 门户

  1. 登录到 Microsoft Purview 门户
  2. 打开 “设置”>“数据丢失防护>终结点 DLP 设置>”“文件扩展名组”。
  3. 选择“ 创建文件扩展名组 ”并输入 组名称。 在此方案中,请使用 Non-classified file extensions
  4. 提供扩展。
  5. 选择“保存”
  6. 关闭项目。

配置策略作的步骤

  1. 登录到 Microsoft Purview 门户
  2. 打开 数据丢失防护>策略
  3. 选择“创建策略”。
  4. 选择“ 企业应用程序 & 设备”。
  5. “类别”中选择“自定义”,然后从“法规”中选择“自定义策略模板”。
  6. 为新策略命名并提供说明。
  7. 选择“管理员单位”下的“完整目录”。
  8. 将位置范围限定为 “仅设备 ”。
  9. 创建规则,其中:
    1. “条件” 中。
      1. 无法扫描文档
    2. 作中
      1. 选择: 审核或限制设备上的活动
      2. 清除: 上传到受限的云服务域或从未启用的浏览器进行访问
      3. 选择: 对特定活动应用限制
      4. 清除: 复制到剪贴板
      5. 选择: 复制到可移动 USB 设备>
      6. 选择: 复制到网络共享>阻止
      7. 清除: 打印
      8. 清除: 使用未安装蓝牙应用进行复制或移动
      9. 清除: 使用 RDP 复制或移动
      10. 清除: 受限应用的访问权限
      11. 选择: 仅对不支持的文件扩展名应用限制
      12. 选择: 添加文件扩展名组 ,然后选择 Non-classified file extensions
  10. “用户通知” 设置为 “开”。
    1. “终结点设备 ”下,选择“在 限制活动时向用户显示策略提示通知...”
    2. 选择 “自定义通知”。
      1. 通知标题中输入 Wingtip toys don't copy files
      2. “通知内容”中输入 FYI, Wingtip Toy policy doesn't let you copy that type of file to USB device or a network share
  11. 保存
  12. 选择“ 立即打开策略”。 选择“下一步”。
  13. 查看设置,然后选择“提交”。

重要

在这种情况下,不能将 “文档无法扫描” 条件用于其他条件。

  • Last updated on