选择本地存储库位置时,Microsoft Purview 数据丢失防护 (DLP) 可以强制对文件共享和 SharePoint 文档库和文件夹中的本地静态数据执行保护作。 通过此操作,可了解确保正确使用和保护敏感项目所需的可见性和控制,还有助于防止可能泄露到其的风险行为。 DLP 使用内置或自定义敏感信息类型、敏感度标签或文件属性来检测敏感信息。 活动资源管理器 中显示有关用户使用敏感项目的信息,并且通过 DLP 策略对。
提示
开始使用智能 Microsoft Security Copilot 副驾驶®,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的智能 Microsoft Security Copilot 副驾驶®。
DLP 依赖于Microsoft Purview 信息保护扫描程序
DLP 依赖于Microsoft Purview 信息保护扫描程序的完整实现来监视、标记和保护敏感项。 如果尚未实现信息保护扫描程序,则必须先实现该扫描程序,然后才能使用 DLP。 有关详细信息,请阅读以下文章:
DLP 本地存储库作
DLP 通过查找以下内容来检测本地存储库中的文件:
- 敏感信息类型
- 敏感度标签
- 文件扩展名
- 仅 Office 文件的自定义文档属性
当检测到的文件与 DLP 策略匹配时,DLP 可以执行以下四项作之一。
| 操作 | 说明 |
|---|---|
| 阻止人员访问存储在本地扫描程序中的文件 - 阻止所有人 | 强制实施后,此作将阻止访问内容所有者、上次修改项的帐户和管理员以外的所有帐户。 它通过在文件级别删除 NTFS/SharePoint 权限中的所有帐户(文件所有者、存储库所有者 (在内容扫描作业中使用 DLP 策略 设置) 、只能在 SharePoint 中标识最后修饰符 () 和管理员)来执行此作。扫描程序帐户还被授予对文件的 FC 权限。 |
| 仅阻止有权访问本地网络的人员以及组织中未获得对文件显式访问权限的用户访问文件 | 强制实施后,此作将从文件访问控制列表中 (ACL) 中删除 “所有人”、“ NT AUTHORITY\Authenticated 用户”和 “域用户 SID”。 只有已明确授予文件或父文件夹权限的用户和组才能访问该文件。 |
| 设置对文件的权限 (权限将从父文件夹继承) | 强制使用时,此操作会强制文件继承其父文件夹的权限。 默认情况下,仅当父文件夹的权限比文件上已有的权限更严格时,才会强制实施此作。 例如,如果文件上的 ACL 设置为仅允许 特定用户 ,并且父文件夹配置为允许 域用户组 ,则该文件不会继承父文件夹权限。 可以通过选择“ 即使父权限限制较弱 ”选项来替代此行为。 |
| 从不正确的位置删除文件 | 强制安装后,此操作用 .txt 扩展名替换原始文件,将原始文件的副本隔离文件夹中。 |
本地扫描仪中的不同功能
在深入研究本地扫描仪之前,有必要了解一些额外的概念。
扫描程序存储库和内容扫描作业
必须为信息保护扫描程序创建内容扫描作业,并确定托管要 DLP 评估的文件的存储库。 请确保在创建的内容扫描作业中启用 DLP 规则。
策略提示
策略提示 在本地扫描程序中不可用。
查看 DLP 本地扫描仪事件
可以在 Microsoft Purview 门户 活动资源管理器中查看 DLP 数据。
后续步骤
了解信息保护本地扫描程序后,接下来的步骤如下: