收集政策是 Microsoft Purview 中的事件收集與過濾工具,能監控並分類來自組織信任邊界內外的應用程式與地點事件。 它們讓你能過濾哪些來自不受信任與受信任來源的事件被匯入 Purview。 一旦資料被擷取,這些資料可被分類並被各種 Microsoft Purview 訊號消費解決方案使用,例如 Microsoft Purview 活動檔案總管、Microsoft Purview 內部風險管理、Microsoft Purview 電子文件探索, Microsoft Purview 資料生命週期管理。
收集政策能幫助您達成以下資料安全目標:
只輸入你想要的事件
收集政策的主要目的是讓你能定義組織想帶入 Microsoft Purview 的事件,讓你能專注於你關心的資料。 以下是這些能力如何幫助你的例子。
依地緣政治地點劃分的法規遵循
您的組織可能跨越地緣政治與監管邊界,不同區域擁有不同的資料安全與隱私需求。 有些區域可能要求所有活動都匯入 Purview,而其他區域則可能對可收集的事件有限制。 收集政策可以讓你定義每個地區收集的活動。 這讓您能滿足各區域的資料安全與隱私需求,同時仍能整合檢視組織的敏感資訊。
過濾掉不必要的事件
你的組織可能有許多活動正在收集,但你只想看到與你需求的相關事件。 舉例來說,假設你的組織已經啟動所有裝置的上線,並在端點 DLP 設定中啟用 了 Always Audit 檔案活動 。 這表示所有檔案活動都會被收集並放入活動總管。 篩選所有事件可能會拖慢事件調查進度,因為你必須整理不需要的資料才能取得所需的資料。 透過收藏政策,你可以過濾掉那些你不想在進入活動總覽前看到的事件。 這有助於減少噪音,讓你更容易找到與組織相關的活動。
收藏政策的運作方式
了解催收政策的關鍵是了解事件的本質。
一個事件由兩個部分組成:
- 條件,例如內容包含,或檔案副檔名。 這需要使用分類器,例如敏感資訊類型。 例如,條件可能是內容包含敏感資訊類型,例如美國社會安全號碼,或檔案副檔名.docx>。
- 使用者可以對敏感物品進行的 活動 ,例如 複製到可移除媒體的檔案
收藏政策會根據以下條件篩選事件:
- 與活動中定義的一項或多項條件和活動相匹配。
- 與事件發生地點或 資料來源 的匹配。 例如,收集政策可以設定為只從裝置收集事件,或在 Fabric 中只從 Copilot 收集事件。
當一項或多項條件符合時,該政策被視為已匹配 (除非你同時) 條件且資料來源上的活動也被匹配。
單一資料來源的多重收集政策
你的組織可能需要為任何特定資料來源建立多個收集政策。 收集政策處理多重政策情境的方式與 DLP 或其他 Purview 政策不同,後者會根據政策建立順序分配優先權。
在收款政策頁面,你可以看到所有已建立的個別政策。 但在後端,在政策評估時,Microsoft Purview 會將該資料來源的所有收集政策合併成單一的收集政策。 因此,在識別匹配時,會考慮所有資料來源的條件。
存取收藏政策
集合政策是 Microsoft Purview 入口網站 分類 器功能的一個組成部分。 你可以從 Purview 入口網站中任何有 分類器 功能的平台存取這些資料。 例如:
在 Microsoft Purview 入口網站中,選擇解決方案>資料遺失防護>分類器>收集政策。
或者,您也可以透過 Microsoft Purview 入口網站的 Solutions>資訊保護>分類>器收集政策存取集合政策。
集合政策設定概述
你可以在建立和設定收藏政策時有彈性。 所有催收政策都要求你提供相同的資訊。 在開始制定催收政策 之前 ,你必須先了解這些資訊。 關於每個步驟的更多細節,包括支援的設定,請參閱收藏政策政策參考。
定義 可偵測的資料 ,透過設定政策匹配所需的條件。 有四種支援條件:
選擇政策匹配所需的 活動 ——支援的活動針對資料來源特定。 對於裝置,支援 19 項活動,例如 檔案複製至可移除媒介、 檔案列印,以及 檔案上傳至雲端。 完整的支援活動清單可參考 「收藏政策政策」參考。
選擇政策應用地點,請選擇資料來源。
根據你選擇的政策設定,你可能還需要設定 額外內容 ,例如是否啟用 AI 互動的內容擷取,以及雲端應用程式的偵測方法。
AI 互動內容擷取
為了協助符合法規要求,您可以決定是否擷取並儲存所有來自政策中新增的生成式 AI 資料來源偵測到的提示與回應。 這使得日後透過額外的 Microsoft Purview 政策與解決方案,容易發現並保護擷取的內容。 此功能不包含與生成式 AI 分享的檔案內容,僅適用於:
- 副駕駛經驗
- 企業型人工智慧
- 未管理的雲端應用程式被歸類為生成式 AI
- 所有未管理的 AI 應用自適應應用範圍
若未啟用此設定,提示與回應中偵測到的內容僅限於敏感資訊。
注意事項
要擷取 AI 內容,必須將 「內容包含分類器」 條件設為 全部。
集合政策與 Microsoft Purview 內部風險管理
根據您的設定,Microsoft Purview 內部風險管理政策行為可能會受到收集政策的影響。 當內部風險政策被設定時,它會監控服務及第三方指標,協助你快速識別、分流並處理風險活動。 利用 Microsoft 365 和 Microsoft Graph 的日誌,Insider Risk Management 允許你定義具體政策以識別風險指標。 這些保單讓您能識別風險活動並採取行動以降低風險。
警告
當裝置收集政策被設定並部署時,如果內部風險管理政策設定監控的範圍與收集政策設定的過濾內容有衝突,則收集政策設定會優先。 這表示如果內部風險管理政策設定為監控特定活動,但收集政策被設定為過濾該活動,該活動不會被收集,也無法在內部風險管理中檢視。 此規定僅適用於內部風險管理政策中的 裝置指標 ,且僅在部署裝置收集政策時。 如果某個收集政策被設定為收集內部風險管理政策未設定的項目,則該指標會被收集,但內部風險管理會忽略它。
收集政策與端點資料遺失防範
當啟用 Always 審核裝置檔案活動 時,預設會收集所有 Office、PDF 和 CSV 檔案的活動。 如果你想修改裝置被收集的活動,可以透過設定針對裝置的收集政策來達成。 如果沒有啟用 Always auditing 裝置檔案活動 ,即使有針對裝置的收集政策,也不會從裝置收集。
收集政策無法影響 DLP 政策的行為,只能影響裝置上審計檔案事件所收集和記錄的內容。
收集政策與 Microsoft Purview 資料安全性態勢管理與 Purview 適用於 AI 的資料安全性態勢管理
當你在Microsoft資料安全性態勢管理中使用一鍵政策,或Microsoft 適用於 AI 的資料安全性態勢管理 (DSPM for AI) 時,你可以根據建議自動為你建立催收政策採取行動。
您可以在 DSPM 及 DSPM for AI 的客製化體驗中,以及活動瀏覽器中檢視並監控這些政策的成果。 這些保單會根據快速的保單經驗自動命名。 建立後,這些收藏政策可以像使用工作流程建立收藏政策一樣檢視與編輯。