设计自定义 DLP 策略

在 Microsoft Purview 中，可以通过定义和应用 DLP 策略来实现数据丢失防护。使用 DLP 策略，可以识别、监视和自动保护以下各项的敏感项：

Microsoft Purview DLP 策略使用深度内容分析（而不仅仅是简单的文本扫描）来检测敏感项目。它通过以下方式分析内容：

DLP 还使用机器学习算法和其他方法检测与组织 DLP 策略匹配的内容。

在实施之前设计 DLP 策略可产生更快、更准确的结果。组织应避免仅通过试错来优化 DLP 策略，这通常会导致意外问题。记录策略设计还有助于沟通、策略评审、故障排除和进一步优化。

设计 DLP 策略通常涉及：

应使用在规划阶段做出的决策来告知一些策略设计决策。

组织应在单个语句中汇总每个 DLP 策略的业务意向。开发此语句有助于在整个组织中推动有关策略的对话。在完全开发语句时，它应将策略直接链接到业务目的，并为策略设计提供路线图。

其他读取。有关 DLP 策略意向语句入门的帮助，请参阅规划数据丢失防护 (DLP) 。

在本培训的前面，你了解到所有 DLP 策略都要求组织：

例如，下面是意向声明的虚构初稿，它为 Contoso Ltd.提供所有四个问题的解答：

“Contoso 是一家总部位于美国的组织，我们需要检测包含员工存储在 OneDrive/SharePoint 中的 HIPPA 涵盖的敏感医疗保健信息的 Office 文档，并防止用户在 Teams 聊天和频道消息中共享此信息，并限制每个人与未经授权的第三方共享这些文档。”

当组织开发其策略设计时，它通常会修改和扩展其意向声明。

若要将业务需求映射到其策略配置，组织应首先将草稿分解为较短的部分。然后，它可以将每个段映射到 DLP 策略配置点。

下表将 Contoso 虚构的初稿语句的业务要求映射到其策略配置。

Statement	配置问题解答和配置映射
“Contoso 是一家总部位于美国的组织，我们需要检测包含 HIPPA 涵盖的敏感医疗保健信息的 Office 文档...	- 要监视的内容：Office 文档，使用美国健康保险法 (HIPAA) 模板。 - 匹配条件： (预配置但可编辑) - 项包含美国 SSN 和缉毒署 (DEA) 编号、国际疾病分类 (ICD-9-CM) 、国际疾病分类 (ICD-10-CM) ，用户与组织外部的人员共享内容。 - 驱动对话以阐明检测的触发阈值，例如置信度，实例计数 (称为泄漏容错) 。
...员工存储在 OneDrive/SharePoint 中，并防止用户在 Teams 聊天和频道消息中共享信息...	- 监视位置：通过包括或排除 OneDrive 和 SharePoint 网站以及 Teams 聊天/频道帐户或通讯组来确定位置范围。
...并限制所有人与未经授权的第三方共享这些文档。”	- 要执行的作：在 365 个位置添加限制访问或加密Microsoft内容。 - 推动对话，讨论有人触发策略时要执行的作。保护性作可能包括共享限制。感知作可能包括通知和警报。用户授权作可能包括允许用户替代阻止作。

此示例未涵盖 DLP 策略的所有配置点。在现实世界中，一个组织需要扩大这种声明。但是，在开发自己的 DLP 策略意向语句时，此示例应该能让你思考正确的方向。

重要

请记住，你选择的位置 () 会影响你是否可以使用敏感信息类型、敏感度标签和保留标签以及可用的作。

策略设计过程通常包括以下步骤：

完成上一单元中有关如何规划数据丢失防护的步骤。规划 DLP 时，请记住：
- 确定利益干系人。
- 描述要保护的敏感信息的类别。
- 设置目标和策略。
- 定义策略部署计划。
熟悉数据丢失防护策略参考，以便了解 DLP 策略的所有组件以及每个组件如何影响策略的行为。
熟悉 DLP 策略模板包含的内容。
与关键利益干系人一起制定策略意向声明。请参阅本文前面的示例。
确定此策略如何适合整体 DLP 策略策略。

重要

创建策略后，无法重命名策略。如果必须重命名策略，则需要创建一个具有所需名称的新策略，然后停用旧策略。鉴于此要求，应决定应用于所有策略的命名结构。
将策略意向语句中的项映射到配置选项。
确定必须从哪个策略模板开始，预定义的还是自定义的。
在创建策略之前，请浏览模板并组合所需的所有信息。通常会发现策略意向声明中未涵盖一些配置点。没关系。向利益干系人返回，以确定任何缺少的配置点的要求。
记录所有策略设置的配置，并与利益干系人一起查看它们。此时必须完成策略意向声明。在此步骤中，可以将其映射到配置点。
创建策略草稿并参考策略部署计划。

知识检查

为以下每个问题选择最佳答案。

此页面是否有帮助？