Microsoft Purview 的集合政策有許多元件需要設定。 要建立有效的政策,你需要了解每個元件的目的,以及其設定如何改變政策的行為。 本文詳細剖析了收藏政策。
開始之前
如果你是收藏政策的新手,以下是你在組織中實施這些政策時需要的核心條目清單:
- 收藏政策解決方案概述
- 收藏政策參考—— 你現在正在閱讀的這篇文章介紹了 DLP 政策的所有組成部分,以及每個組成部分如何影響政策的行為
- 建立並部署收集政策。
條件
指定條件來定義 要偵測哪些資料。 條件為可選,但 其他設定可能需要部分條件。 如果你不加入條件,偵測到什麼會依你之後選擇的資料 來源 而異:
- 裝置:所有資料都會被偵測到,即使不符合你組織的分類器
- 所有其他資料來源:僅偵測到符合你組織分類器的資料。
催收政策支持四項條件:
| 條件 | 其他相關資訊 |
|---|---|
| 內容包含分類器 |
敏感資訊類型 與 可訓練分類器 以偵測。 可作用範圍涵蓋所有分類器、除選定分類器外的所有分類器,或特定分類器。 注意:裝置資料來源不支援可訓練的分類器。 任何被選中的可訓練分類器都會被裝置忽略。 |
| 文件大小等於或大於 | 偵測大小超過指定位元組數的檔案,例如千 (KB) 、兆位元組 (MB) 、GB (GB) ,或 TB) (TB 。 |
| 文件等於或小於 | 偵測大小小於指定位元組數的檔案,例如千 (KB) 、兆位元組 (MB) 、吉兆位元組 (GB) ,或 TB (TB) 。 |
| 檔案副檔名為 | 偵測具有指定副檔名的檔案。 |
活動
選擇 要偵測哪些活動。 支援的活動會針對你想包含的資料 來源 而有所不同。
提示
你可以在同一政策中混合支援不同資料來源的活動,但必須將所有適用的資料來源加入政策,才能支援所選活動。
| 活動 | 描述 | 資料來源 |
|---|---|---|
| 傳送或分享給雲端或 AI 應用程式的文字 | 當原始文字上傳到雲端應用程式時,包括生成式 AI 提示、表單提交和訊息 | - 雲端應用程式 - 生成式人工智慧 |
| 檔案上傳到或分享給雲端或 AI 應用程式 | 當二進位檔案被上傳到雲端應用程式或生成式 AI 服務時 | - 雲端應用程式 - 生成式人工智慧 |
| 來自雲端或 AI 應用程式的文字 | 當從雲端應用程式下載原始文字,包括生成式 AI 回應時 | - 雲端應用程式 - 生成式人工智慧 |
| 檔案是從雲端或 AI 應用程式下載的 | 當從雲端應用程式或生成式 AI 服務下載二進位檔案時 | - 雲端應用程式 - 生成式人工智慧 |
| 封存檔已建立 | 當在已接入端點裝置上建立歸檔檔案時 | 裝置 |
| 檔案已遭不允許的應用程式存取 | 當受 限應用程式或應用程式群組 在已接入端點裝置上存取檔案時 | 裝置 |
| 檔案已存檔 | 當檔案被加入已接入端點裝置的歸檔時 | 裝置 |
| 檔案複製至網路共享 | 當檔案被複製到已接入端點裝置上的網路共享時 | 裝置 |
| 檔案已複製到遠端桌面會話 | 當檔案透過遠端桌面會話在接入端點裝置上複製到遠端電腦時 | 裝置 |
| 檔案已複製到抽取式媒體 | 當檔案被複製到可移除媒介(例如 USB 隨身碟)時,在已安裝的端點裝置上 | 裝置 |
| 已建立檔案 | 當檔案在已接入端點裝置上建立時 | 裝置 |
| 網路共享上建立的檔案 | 當檔案從已接入的端點裝置建立到網路共享時 | 裝置 |
| 在可移除媒體上建立的檔案 | 當檔案從內建端點裝置建立在可移除媒介(例如 USB 隨身碟)上時 | 裝置 |
| 刪除檔案 | 當從已接入的端點裝置刪除檔案時 | 裝置 |
| 已修改檔案 | 當檔案從已接入端點裝置修改時 | 裝置 |
| 列印的檔案 | 當從已接入端點裝置列印的檔案時 | 裝置 |
| 已讀取檔案 | 當檔案從已接入端點裝置讀取時 | 裝置 |
| 已重新命名檔案 | 當檔案從已接入端點裝置重新命名時 | 裝置 |
| 透過藍牙傳輸檔案 | 當檔案透過藍牙從內建端點裝置傳輸時 | 裝置 |
| 檔案已上傳到雲端 | 當檔案從接入端點裝置上傳到雲端時 | 裝置 |
| 可拆卸媒體支架 | 當可拆卸媒體(如 USB 隨身碟)安裝於內建端點裝置時 | 裝置 |
| 可移除媒體解除掛載 | 當可移除媒體(如 USB 隨身碟)在內建端點裝置上卸載時 | 裝置 |
資料來源
資料來源定義 政策的應用位置 ,並與新增 的活動 直接相關。
以下資料來源為支援:
| 資料來源 | 其他相關資訊 | 支持活動 |
|---|---|---|
| 裝置 | 裝置 已接入 Microsoft 365 ,並由您的組織管理。 | Windows 裝置 已接入 Microsoft 365。 |
| 副駕駛經驗 | 僅包含 Microsoft Fabric 中的 Copilot 與 Microsoft Security Copilot,未來將支援更多體驗。 | - 傳送或分享至雲端或 AI 應用程式的文字 - 從雲端或 AI 應用程式接收的文字 |
| 企業型人工智慧 | 非 Copilot 的 AI 應用程式,透過 Microsoft Entra 註冊、Microsoft Foundry 或 Purview Data Map 連接器等方式,直接接入或連接到你的組織。 | - 傳送或分享至雲端或 AI 應用程式的文字 - 從雲端或 AI 應用程式接收的文字 |
| 未受管理的雲端應用程式 | Defender for Cloud Apps目錄中未設定單點登入 (SSO) 的雲端應用程式,允許使用者透過瀏覽器、應用程式、外掛或 API 存取個人資料。 政策只會偵測資料在分享或傳輸時,或 (透過 瀏覽器和網路偵測) 動態資料。 |
瀏覽器 & 網路: - 傳送或分享至雲端或 AI 應用程式的文字 僅限網路: - 從雲端或 AI 應用程式接收的文字 - 上傳至或與雲端或 AI 應用程式分享的檔案 - 從雲端或 AI 應用程式下載的檔案 |
| 自適應應用示波器 | 群組的應用程式,成員資格依據應用程式的元資料(如類別)決定。 目前只有「所有非託管 AI 應用程式」——所有歸類為生成式 AI 的非託管雲端應用程式——透過 瀏覽器和網路偵測支援。 |
瀏覽器 & 網路: - 傳送或分享至雲端或 AI 應用程式的文字 僅限網路: - 從雲端或 AI 應用程式接收的文字 - 上傳至或與雲端或 AI 應用程式分享的檔案 - 從雲端或 AI 應用程式下載的檔案 |
將資料來源範圍設定至使用者與群組
對於每個資料來源,您可以選擇範圍涵蓋以下內容:
- 所有 使用者和群組 (預設)
- 特定 使用者與群組
- 除了特定的使用者和群組外
注意事項
被排除的使用者和群組優先於所有包含的使用者或群組。
其他收藏政策設定
根據條件、活動及資料來源,可能需要設定其他收集政策設定。 每當這些設定被停用或變灰時,代表政策設定與設定不相容。
AI 互動內容擷取
為了協助符合法規要求,您可以決定是否擷取並儲存所有來自政策中新增的生成式 AI 資料來源偵測到的提示與回應。 這使得日後透過其他 Microsoft Purview 政策與解決方案來發現並保護擷取內容變得容易。 此功能不包含與生成式 AI 共享的檔案內容,且僅適用於以下資料來源:
- 副駕駛經驗
- 企業型人工智慧
- 未管理的雲端應用程式被歸類為生成式 AI
- 所有未管理的 AI 應用自適應應用範圍
若未啟用此設定,提示與回應中偵測到的內容僅限於敏感資訊。
注意事項
要擷取 AI 內容,您必須將 「內容包含分類器」 條件設定為 All。
雲端應用程式偵測
若政策中新增了任何非管理的雲端應用程式或自適應應用範圍資料來源,包括生成式 AI,您必須選擇如何偵測這些資料。 您可以選擇:
- 瀏覽器 - 在 Intune 管理的工作裝置上,偵測透過 Microsoft Edge 瀏覽器與非管理雲端應用程式共享的敏感資料。 查看可被政策鎖定的支援非管理應用程式、可擷取的使用者活動,以及支援的瀏覽器,以確認您的 Microsoft Edge 瀏覽器版本是否支援瀏覽器偵測。
- 網路 - 透過整合的安全服務邊緣 (SSE) 服務提供者及 Purview 網路資料安全,偵測與非管理雲端應用程式共享的敏感資料。
後續步驟
建立收集政策後,根據設定,可能需要採取下一步步驟。
- 若啟用瀏覽器偵測,Microsoft Edge 管理服務會自動建立啟用 Edge for Business 中收集政策所需的設定政策。 請參考 Microsoft Edge 中的啟用 Purview 政策。
- 若啟用網路偵測,您必須在 DLP 設定中新增並設定一個或多個 Secure Access Service Edge (SASE) 或 Secure Service Edge (SSE) 整合,才能開始偵測網路流量。 參見 SASE 供應商整合。
隨用付費功能
部分收款政策資料來源與功能採用隨用付費制,且需先連結 Azure 訂閱才能建立政策。 在這裡了解更多使用 Pay-You-Go-Bill 的 Microsoft Purview 功能。
- 副駕駛經驗
- 企業型人工智慧
- 透過 Purview 網路資料安全偵測到未管理的雲端應用程式活動
- 透過瀏覽器內嵌資料保護的 Purview 政策偵測到未管理的雲端應用程式活動
企業人工智慧與網路資料安全的隱私聲明
企業 AI 資料來源與網路資料安全整合可能需要與第三方應用程式或供應商整合。 值得注意的是,如果你選擇啟用任何第三方整合,他們將能存取並儲存部分政策設定,包括使用者識別碼。 在此情況下,第三方的條款、條件及隱私政策將規範這些資料的使用與儲存。