設定端點資料外洩防護設定

端點資料遺失防護 (DLP) 行為的許多面向，皆由集中配置的設定控制，這些設定套用於所有裝置的 DLP 政策。 使用這些設定來控制以下行為：

• 雲端輸出限制
• 各應用程式對使用者活動採取的各種限制性行動
• Windows 與 macOS 裝置的檔案路徑排除
• 瀏覽器和網域限制
• 政策建議中商業理由推翻政策的出現
• 對 Office、PDF 和 CSV 檔案執行的操作是否會自動審核

要存取這些設定，請從 Microsoft Purview 入口網站進入資料遺失防護>概覽>、資料遺失防護設定>、端點設定。

進階分類掃描與保護

進階分類掃描與保護讓 Microsoft Purview 雲端資料分類服務能掃描項目、分類，並將結果回傳至本地機器。 因此，你可以在 DLP 政策中善用精確 資料匹配 分類、 可訓練分類器、 憑證分類器及 命名實體 等分類技術。

當進階分類開啟時，内容會從本機裝置傳送至雲端服務以進行掃描和分類。 如果需要注意頻寬使用，你可以設定一個滾動 24 小時內可使用的頻寬上限。 限制是在 端點 DLP 設定 中設定，並依裝置套用。 如果你設定了頻寬使用限制，且使用限制超過，DLP 就會停止將使用者內容傳送到雲端。 此時，裝置上的本地資料分類會繼續進行，但無法使用精確資料匹配、命名實體、可訓練分類器及憑證分類器來分類。 當累積頻寬使用量低於滾動 24 小時限制時，與雲端服務的通訊會恢復。

如果不擔心頻寬使用，請選擇 「不限制頻寬」。無限 是指允許無限頻寬使用。

進階分類檔案掃描大小限制

即使有 Do 也不會限制頻寬。啟用無限 進階分類，但對可掃描的個別檔案大小仍有限制。

• 文字檔有 64 MB 的限制。
• 啟用光學字元辨識 (OCR) 時，影像檔案容量限制為50 MB。

即使頻寬限制設為 「不限制頻寬」，進階分類對於超過 64 MB 的文字檔案仍無法運作。無限。

以下 Windows 版本 (及以後) 支援進階分類掃描與防護功能。

• 所有 Windows 11 版本
• Windows 10版本為 20H1/21H1 或更高， (KB 5006738)
• Windows 10 RS5 (KB 5006744)

針對所有裝置檔案的進階標籤保護

開啟此功能後，使用者可以在裝置上處理檔案，包括非 Office 和 PDF 檔案的敏感度標籤，這些檔案會在未加密狀態下套用存取控制設定。 即使在未加密狀態下，端點 DLP 仍會監控並執行存取控制及基於標籤的保護措施，並在檔案從使用者裝置傳輸到外部前自動加密。 欲了解更多此功能資訊，請參閱 「了解進階標籤保護」。

檔案路徑排除

如果你想排除某些路徑在 DLP 監控、警報和裝置上的 DLP 政策強制執行之外，可以透過設定檔案路徑排除來關閉這些設定。 排除位置的檔案不會被稽核，且在該位置建立或修改的檔案也不受 DLP 政策強制執行。 要在 DLP 設定中設定路徑排除，請前往 Microsoft Purview 入口網站>資料遺失防護>概述>資料遺失防護設定>端點設定>Windows 檔案路徑排除。

Windows 的檔案路徑排除

你可以使用以下邏輯來構建 Windows 10/11 裝置的排除路徑：

• 以 結尾 \的有效檔案路徑表示，只有直接位於指定資料夾下方的檔案會被排除。
  範例：C:\Temp\

• 以 結尾 \*的有效檔案路徑表示，只有指定資料夾子資料夾內的檔案會被排除。 直接位於指定資料夾下方的檔案不會被排除。
  範例：C:\Temp\*

• 有效檔案路徑若結尾沒有 \ 或 \*，表示所有直接位於指定資料夾下方的檔案及其子資料夾都被排除。
  範例：C:\Temp

• 兩側與 \ 之間帶有萬用字元的路徑。
  範例：C:\Users\*\Desktop\

• 一條路徑，兩側(number)之間\有通配碼，用來指定要排除的精確子資料夾數量。
  範例：C:\Users\*(1)\Downloads\

• 含有 [系統] 內容變數的路徑。
  範例：%SystemDrive%\Test\*

• 這裡描述的所有模式的混合。
  範例：%SystemDrive%\Users\*\Documents\*(2)\Sub\

預設排除 Windows 檔案路徑

• %SystemDrive%\\Users\\*(1)\\AppData\\Roaming
• %SystemDrive%\\Users\\*(1)\\AppData\\Local\\Temp
• %%SystemDrive%\\Users\\*(1)\\AppData\\Local\\Microsoft\\Windows\\INetCache

Mac 的檔案路徑排除

你也可以為 macOS 裝置新增自己的排除項目。

• 檔案路徑定義不區分大小寫，因此 User 與 相同 user

• 支援萬用字元值。 因此，路徑定義可以在路徑中間或路徑末端 (包含星號) * 。
  範例：/Users/*/Library/Application Support/Microsoft/Teams/*

macOS 檔案路徑預設被排除

/System

macOS 推薦的檔案路徑排除

出於效能原因，端點 DLP 包含 macOS 裝置的建議檔案路徑排除清單。 如果 Mac 的「 包含推薦檔案路徑排除」 切換為 開啟，以下路徑也會被排除：

• /Applications
• /usr
• /Library
• /private
• /opt
• /Users/*/Library/Logs
• /Users/*/Library/Containers
• /Users/*/Library/Application Support
• /Users/*/Library/Group Containers
• /Users/*/Library/Caches
• /Users/*/Library/Developer

我們建議將此開關設為 開啟。 不過，你可以把開關設為 關閉，停止排除這些路徑。

為裝置上的檔案活動設置證據收集

當它辨識出與裝置政策相符的項目時，DLP 可以將它們複製到 Azure 儲存帳號。 此功能對於審核政策活動及排除特定匹配問題非常有用。 使用此區塊新增儲存帳號的名稱與網址。

• 欲了解更多此功能資訊，請參閱 「了解如何收集符合裝置資料遺失防護政策的檔案」。
• 欲了解更多如何設定此功能，請參閱 「開始收集符合裝置資料遺失防護政策的檔案」。

網路共享覆蓋與排除事項

網路共享覆蓋與排除 範圍將端點 DLP 政策與行動擴展至網路共享與映射磁碟上的新檔案與編輯檔案。 若同時啟用 即時保護 ，即時保護的保障與排除範圍將擴展至網路共享與映射硬碟。 如果你想排除所有監控裝置的特定網路路徑，請在 「排除這些網路共享路徑」中加入路徑值。

此表顯示網路共享覆蓋率及排除項目的預設設定。

網路共享覆蓋與排除條款 補充了 DLP 本地儲存庫的操作。 下表顯示了排除設定及根據本地儲存庫是否啟用或停用 DLP 所產生的行為。

受限制的應用程式和應用程式群組

受限制的應用程式

受限應用程式清單，是你自訂的應用程式清單。 你可以設定當有人使用清單上的應用程式 存取 裝置上的 DLP 保護檔案時，DLP 會採取哪些行動。 限制應用程式清單適用於運行最新三個 macOS 版本的 Windows 10/11 及 macOS 裝置。

有些應用程式除了本地安裝的應用程式版本外，還提供網頁介面。 在預覽階段，當你新增一個可本地存取或透過網頁介面存取的應用程式，加入 受限應用程式群組 或受 限應用程式時，適用於存取受保護檔案的 DLP 政策，將透過 Edge 在瀏覽器應用程式介面強制執行，應用程式介面則在裝置上執行。

當政策中選擇「 受限應用程式存取 」，且使用者使用受限應用程式清單中的應用程式存取受保護檔案時，活動為 audited、 blocked或 blocked with override，視你如何設定 受限應用程式 清單而定。 例外：如果 受限應用程式 清單中的應用程式同時也是 受限應用程式群組的成員，則 受限應用程式群組 中為活動所設定的動作會覆蓋對 受限應用程式 清單所設定的動作。 所有活動都會經過稽核，並可在活動總管中檢視。

受限制的應用程式群組

[受限制的應用程式群組] 是您在 DLP 設定中建立的應用程式集合，然後新增至原則中的規則。 當你將受限的應用程式群組加入政策時，你可以採取以下表格中定義的動作。

封鎖所有應用程式，只保留允許的應用程式清單

你可以建立允許的應用程式清單，並封鎖所有其他應用程式。 這樣一來，你就不需要建立和管理一份完整的不可信應用程式清單。 此功能有助於簡化政策管理，並增強您對應用程式檔案活動的掌控。

在此程序中，我們會將限制層級 Allow 明確允許特定應用程式群組的活動，然後封鎖不在該清單中的應用程式。 因此，沒有定義限制等級的應用程式會被有效封鎖，而限制等級定義為 允許 的應用程式則是明確允許的。 基本上，我們定義了一個受限制的應用程式群組，以允許該應用程式群組，但這樣做是為了封鎖任何沒有明確限制的應用程式。

1. 進入端點 DLP 設定。
2. 在 受限制應用程式與應用程式群組 列表中定義允許或制裁的應用程式。
3. 在你現有或新的端點 DLP 政策中，找到 「受限應用程式群組設定中的應用程式檔案活動 」。
4. 新增想要的受限應用程式群組。
5. 選擇 「套用限制至所有/特定活動」，並選擇 「允許」。
6. 對於其他所有應用程式，請將「存取權限」設定為「封鎖」，該設定中不在「不允許的應用程式」清單中。

DLP 如何對活動套用限制

受限應用程式群組中應用程式的檔案活動互動、所有應用程式的檔案活動，以及受限應用程式活動清單之間的互動，都適用相同的規則。

受限制的應用程式群組覆寫

在[受限制的應用程式群組中的應用程式檔案活動] 中定義的設定，會覆寫 [受限制的應用程式活動] 清單以及 [所有應用程式的檔案活動] 中相同規則中的設定。

所有應用程式的受限制應用程式活動和檔案活動

[受限制的應用程式活動] 和 [所有應用程式的檔案活動] 的設定會協同運作，如果為 [受限制的應用程式活動] 定義的動作為相同規則中的 Audit only 或 Block with override。 為什麼？ 限制應用程式活動所定義的動作，僅適用於使用者使用清單中應用程式存取檔案時。 一旦使用者有存取權，就會套用針對所有應用程式的檔案活動中所定義的動作。

例如，你可以在 受限應用程式 中新增 Notepad.exe，並為所有應用程式設定檔案活動，讓 所有應用程式 對 特定活動套用限制。 你可以依照下表配置兩者：

當使用者 A 使用記事本開啟受 DLP 保護的檔案時，DLP 允許存取並稽核該活動。 使用者 A 在還在記事本時，嘗試將受保護項目的內容複製到剪貼簿。 此動作成功後，DLP 會稽核該活動。 使用者 A 接著嘗試從記事本列印受保護的項目，而該活動會遭到封鎖。

僅適用於所有應用程式的檔活動

如果某應用程式不在受限應用程式群組的檔案活動中，或不在受限應用程式活動清單中，且動作為 Audit only、或 Block with override，則所有應用程式的檔案活動中定義的任何限制都會在同一規則中套用。

macOS 裝置

你也可以透過在 「受限應用程式活動 」清單中定義 macOS 應用程式，防止它們存取敏感資料。

要尋找 Mac 應用程式的完整路徑：

1. 在 macOS 裝置上，開啟 [活動監視器]。 找到並雙擊你想限制的流程。

2. 選擇 「開啟檔案與埠」 標籤。

3. 記下完整的路徑名稱，包括應用程式名稱。 例如：

• /System/Applications/TextEdit.app/Contents/MacOS/TextEdit

Edge 支援應用程式與應用程式群組 (預覽)

預覽版中，支援 Edge 瀏覽器內的應用程式或應用程式群組，以限制透過 DLP 政策偵測到的敏感內容。 非 Edge 瀏覽器會建議在 Edge 瀏覽器中開啟連結。

自動隔離

為了防止像 onedrive.exe這類雲端同步應用程式將敏感物品同步到雲端，請將雲端同步應用程式加入「受限應用程式」清單，並啟用自動隔離功能

啟用後，當受限制的應用程式嘗試存取受 DLP 保護的敏感項目時，會觸發自動隔離。 自動隔離會將敏感項目移到管理員設定的資料夾。 若設定為此，自動隔離可在原始檔案 (保留佔位符) .txt 檔案。 你可以設定佔位檔中的文字，告訴使用者物品的新位置及其他相關資訊。

當未經允許的雲端同步應用程式嘗試存取受封鎖 DLP 政策保護的項目時，請使用自動隔離功能。 DLP 可能會產生重複通知。 你可以透過啟用 自動隔離來避免這些重複的通知。

你也可以使用自動隔離功能，避免使用者和管理員收到無止盡的 DLP 通知鏈。 更多資訊請參見 情境四：避免雲端同步應用程式重複發送 DLP 通知，並啟用自動隔離。

不支援的檔案副檔名排除

你可以使用文件 無法掃描 條件，搭配 DLP 政策中 只對不支援的檔案副檔名套用限制 ，來限制涉及端點 DLP 不支援的檔案副檔名的檔案活動。 由於這可能包含許多不支援的副檔名，你可以透過排除不支援的副檔名來細化偵測。 欲了解更多資訊，請參閱 「幫助保護端點資料遺失防止未掃描的檔案」，「 幫助防止一組定義的不支援檔案共享」。

在 DLP 政策中封鎖特定副檔名可能會導致意外行為，若一個被標記為不允許的應用程式需要在正常運作中存取這些副檔名的檔案。 例如，某些應用程式可能會在例行流程中讀取或暫時開啟檔案，例如.dll.json.tmp渲染、快取或驗證內容。 若這些擴充功能被封鎖，應用程式可能無法正常運作，導致錯誤、工作流程不完整，或出現與使用者意圖無關的強制執行彈窗。 在實施基於擴充功能的限制前，請確認你了解哪些應用程式在標準操作中會與這些檔案類型互動，以及是否能透過應用程式限制或情境規則等替代控制措施在不影響功能的情況下達成安全目標。

不受允許的藍牙應用程式

為了防止別人透過特定藍牙應用程式傳輸受你政策保護的檔案，請將這些應用程式加入端點 DLP 設定中的 不允許藍牙應用程式 清單。

敏感性資料的瀏覽器與網域限制

限制符合您原則的敏感檔案無法與不受限制的雲端服務網域共用。

不受允許的瀏覽器

對於 Windows 裝置，你可以限制使用指定的瀏覽器，這些瀏覽器以執行檔名稱來識別。 指定的瀏覽器被禁止存取符合強制執行的 DLP 政策條件的檔案，該政策將上傳至雲端服務限制設為 block 或 block override。 當這些瀏覽器被封鎖無法存取檔案時，終端使用者會看到一份吐司通知，要求他們透過 Microsoft Edge 開啟該檔案。

針對 macOS 裝置，您必須新增完整的檔案路徑。 要尋找 Mac 應用程式的完整路徑：

1. 在 macOS 裝置上，開啟 [活動監視器]。 找到並雙擊你想限制的流程。

2. 選擇 [開啟檔案與連接埠] 索引標籤。

3. 記得記下完整的路徑名稱，包括應用程式名稱。

服務網域

這裡的 服務領域 與工作流程中建立規則的 裝置審核或限制活動 設定協同運作。

當你建立規則時，當符合特定條件時，你會使用動作來保護你的內容。 在為終端裝置建立規則時，你需要選擇「 審核或限制裝置上的活動 」選項，並選擇以下選項之一：

• 僅稽核
• 封鎖並覆寫
• 封鎖

為了控制受政策保護的敏感檔案是否能上傳到特定服務域，接著你需要進入端點 DLP 設定>瀏覽器及敏感資料的網域限制，並預設封鎖或允許服務網域。

封鎖

當 服務網域 清單被設為 封鎖時，你會使用 新增雲端服務網域 來指定應該被封鎖的網域。 其他所有服務領域皆可使用。 此時，DLP 政策限制僅在使用者嘗試將敏感檔案上傳至列表中任一網域時才會生效。

例如，考慮以下配置：

• DLP 政策設定用來偵測含有實體位址的敏感項目，而「 稽核」或「限制裝置活動」 選項則設 為僅稽核。
• 服務域設定為封鎖。
• contoso.com 不在清單上。
• wingtiptoys.com 在名單上。

在這種情況下，如果使用者嘗試上傳帶有實體位址的敏感檔案到 contoso.com，上傳會被允許完成並產生稽核事件，但不會觸發警報。

相較之下，若使用者嘗試上傳帶有信用卡號碼的敏感檔案至 wingtiptoys.com，該用戶活動——上傳過程——也會被允許完成，並產生稽核事件與警示。

另一個例子，考慮以下配置：

• DLP 政策被設定為偵測包含實體位址的敏感項目，而「 審計或限制裝置活動」 選項設為 封鎖。
• 服務域設定為封鎖。
• contoso.com 不在清單上。
• wingtiptoys.com 在名單上。

在這種情況下，如果使用者嘗試上傳帶有實體位址的敏感檔案到 contoso.com，上傳會被允許完成並觸發稽核事件，雖然會產生稽核事件，但不會觸發警報。

相較之下，若使用者嘗試上傳帶有信用卡號碼的敏感檔案至 wingtiptoys.com，該用戶活動（上傳過程）會被阻擋，並同時產生稽核事件與警示。

允許

當 服務網域 清單設為 允許時，你可以使用 新增雲端服務網域 來指定允許的網域。 所有其他服務域都會強制執行 DLP 政策限制。 此時，DLP 政策僅在使用者嘗試上傳敏感檔案至上述任何網域時才會套用。

例如，這裡有兩種起始配置：

• DLP 政策設定用來偵測含有信用卡號碼的敏感項目，且「 審計或限制裝置活動 」選項設為 「封鎖並覆蓋」。
• 服務網域設定為允許。
• contoso.com 不在 允許 名單上。
• wingtiptoys.com 在 允許 名單上。

在這種情況下，如果使用者嘗試上傳帶有信用卡號碼的敏感檔案給 contoso.com，上傳會被阻擋，並顯示警告，讓使用者可以選擇覆蓋封鎖。 若使用者選擇覆寫封鎖，會產生稽核事件並觸發警報。

然而，如果使用者嘗試上傳帶有信用卡號碼的敏感檔案給 wingtiptoys.com，則 不會 適用該政策限制。 上傳被允許完成，並產生稽核事件，但不會觸發警報。

• DLP 政策設定用來偵測含有實體位址的敏感項目，而「稽核」或「限制裝置活動」選項則設為僅稽核。
• 服務網域設定為允許。
• contoso.com 不在清單上。
• wingtiptoys.com 確實在名單上。

在這種情況下，如果使用者嘗試上傳帶有實體位址的敏感檔案到 contoso.com，上傳會被允許完成，並會產生稽核事件和警示。

相較之下，若使用者嘗試上傳帶有信用卡號碼的敏感檔案 wingtiptoys.com，使用者活動——上傳過程——也會被允許完成，產生稽核事件但不會觸發警報。

摘要表：允許/封鎖行為

下表顯示系統根據所列設定的行為。

新增網域時，請使用服務網域的 FQDN 格式，且不) (. 結束。 作為通配符來 *. 指定所有網域或子網域。 在) 之前 // ，將協定排除在網域 (之外。 只包含主機名稱，且不包含子網站。

例如：

你可以在 敏感服務網域下設定最多 50 個網域。

敏感服務領域群組

當您將網站列入 敏感服務網域時，您可以 audit、 block with override，或在使用者嘗試採取以下任一行動時，顯示完整 block 用戶活動：

• 從網站列印
• 從網站複製資料
• 將網站儲存為本機檔案
• 上傳或拖放敏感檔案到被排除的網站
• 敏感資料貼上至排除網站

下表顯示支援這些功能的瀏覽器：

在「 貼上至支援瀏覽器 」操作中，使用者嘗試將文字貼入網頁與系統完成分類並回應之間，可能會有短暫的延遲。 若發生這種分類延遲，你可能會在 Edge 看到政策評估與檢查完成通知，或在 Chrome 和 Firefox 上看到政策評估 Toast。 以下是減少通知數量的一些建議：

1. 當目標網站的政策被設定為 封鎖 或 覆寫 該使用者 支持的瀏覽器貼上 時，通知就會觸發。 你可以將整體操作設定為 審計 ，然後利用 例外封鎖目標 網站。 或者，你可以將整體動作設為 封鎖 ，然後利用 例外程序審核 安全網站。
2. 使用最新的反惡意軟體客戶端版本。
3. 請確保您的 Microsoft Edge 版本為 120 或以上。
4. 安裝這些 Windows KB：
   1. Windows 10： KB5032278，KB5023773
   2. Windows 11 21H2：KB5023774
   3. 22H2 贏 11 場： KB5032288，KB5023778
5. 在 macOS 上，請確保你的反惡意軟體客戶端版本是 101.25022.0003 或更新版本

「貼上至支援瀏覽器」的動作並不遵循服務網域清單中定義的行為。 然而，如果在貼上到瀏覽器的規則中設定了敏感服務網域群組，這些群組會被遵守。

對於裝置，你必須設定 敏感服務網域 清單，才能在 DLP 政策中使用 「上傳到受限的雲端服務網域 」動作。 你也可以定義想要指派政策行動的網站群組，這些行動與全域網站群組的行動不同。 你最多可以將 100 個網站加入一個群組，最多也只能建立 150 個群組。 這最多可指派15,000個網站，供政策行動執行。 欲了解更多資訊，請參閱 情境六：監控或限制敏感服務域上的使用者活動。

更多資訊請參見情境七：限制將敏感內容貼上瀏覽器。

在網站群組中指定網站的支援語法

如果你用網址來識別網站，請不要將網路協定納入網址 (，例如 https:// 或 file://) 。 相反地，請使用靈活的語法，在你的網站群組中包含或排除網域、子網域、網站和子網站。 例如：

• 作為 *. 萬用字元來指定所有網域或所有子網域。
• 在網址末尾使用 / 終止符，只針對該特定網站進行範圍。

當你新增一個沒有終止斜線 ( /) 的網址時，該網址會被限定到該網站及所有子網站。 你只能在網域的開頭加東西 *. 。 /終端器僅支援在網域的末尾。

此語法適用於所有 http/https 網站。 範例如下：

支援用於指定 IP 範圍或 IP 位址的語法 (預覽)

預覽階段，DLP 支援使用 IP 位址及位址範圍來識別網站。 將匹配類型設為 IP 位址 或 IP 位址範圍 ，然後在 敏感服務域 欄位輸入特定 IP 位址或 IP 範圍，點選 新增網站 以將選擇加入敏感服務域群組。

支援語法範例：

• 1.1.1.1
• 1.1.1.1-2.2.2.2
• 2001：0db8：85a3：0000：0000：8a2e：0370：7334
• 2001：0db8：85a3：0000：0000：8a2e：0370：7320-2001：0db8：85a3：0000：0000：8a2e：0370：7334

• 列印網站
• 從網站複製資料
• 將網站儲存為本地檔案 (另存為)
• 貼上到支援的瀏覽器
• 上傳到受限的雲端服務網域

IP 位址及其範圍支援以下操作：

• 列印網站
• 從網站複製資料
• 將網站儲存為本地檔案 (另存為)
• 上傳到僅限 Windows (的雲端服務網域)

敏感服務領域群組包含一個預先設定的 生成式 AI 網站群組。 欲了解本群組所有網站列表，請參見「支援 AI 網站列表」Microsoft Purview 適用於 AI 的資料安全性態勢管理

端點 DLP 的其他設定

原則提示中的業務理由

你可以控制使用者如何與選項中的商業正當性選項互動， 以設定政策提示。 當使用者執行一項受到在 DLP 原則中設定的 覆寫封鎖 保護的活動時，即會出現此選項。 這是全域設定。 您可以選擇下列其中一個選項:

• 顯示預設選項和自訂文字方塊: 根據預設, 使用者可以選取內建的理由，或輸入自己的文字。
• 僅顯示預設選項：使用者只能從內建的對齊清單中選擇。
• 僅顯示自訂文字框：使用者只能輸入自訂對齊說明。 文字框會出現在終端使用者政策提示通知中，但沒有選項清單。

自訂下拉式功能表中的選項

你可以選擇「 自訂選項」下拉選單，建立最多五個自訂選項，當使用者與政策通知提示互動時出現。

開啟端點 DLP 的自動診斷日誌

Microsoft Purview Alever-always on 診斷功能會自動記錄完整的追蹤日誌，節省時間並加速故障排除。 欲了解更多資訊，請參閱 端點 DLP 的 Always-on 診斷。

啟用 Windows 伺服器端點 DLP

端點 DLP 支援以下 Windows Server 版本：

• Windows Server 2019 (2023 年 11 月 14 日—KB5032196 (OS 建置版 17763.5122) - Microsoft 支援服務)

• Windows Server 2022 (2023 年 11 月 14 日 安全更新 (KB5032198) - Microsoft 支援服務)

一旦你啟動 Windows Server，必須先開啟端點 DLP 支援，才能套用端點保護。

要使用 DLP 警示管理儀表板：

1. 在 Microsoft Purview 入口網站中，請導覽至 資料遺失防護>概覽。
2. 在右上角選擇 設定 。
3. 在 設定 頁面，選擇 端點設定 ，並展開 對已接載伺服器的端點 DLP 支援。
4. 把開關設為 開啟。

一律稽核裝置的檔案活動

預設裝置上線的時候，會自動稽核 Office、PDF 和 CSV 檔案的活動並可在活動總管中進行檢視。 如果你希望只有在啟用的裝置包含在啟用政策中時才審核此活動，請關閉此功能。 「Always audit file activity for devices」設定允許稽核與 DLP 規則不符的文件檔案活動：檔案建立、檔案修改、檔案重命名、可移除媒介建立檔案，以及網路共享檔案建立。

檔案活動對於已啟用的裝置，無論是否包含在啟用政策中，都會被稽核。

印表機群組

使用此設定定義一組印表機，這些群組是你想要指派政策動作的，這些組別與全域列印動作不同。

建立印表機群組最常見的使用情境是限制合約列印權，僅限組織法務部門的印表機使用。 在這裡定義印表機群組後，你可以在所有 設定裝置範圍的政策中使用它。 欲了解更多關於設定政策動作以使用授權群組的資訊，請參閱 情境 8 授權群組 。

你最多只能建立 20 組印表機群組。 每組最多可容納50台印表機。

在此舉例說明。 假設你希望DLP政策封鎖所有印刷廠的合約，除了法務部門的印刷廠。

1. 請使用以下參數來指派每組印表機。

   • 友善印表機 名稱 - 友善印表機名稱是你選擇印表機時，UX 上顯示的值。

   • USB 印表機 - 透過電腦的 USB 埠連接的印表機。 如果你想強制使用任何 USB 印表機，且未選擇 USB 產品 ID 和 USB 廠商 ID，請選擇此選項。 你也可以指定特定 USB 印表機的 USB 產品 ID 和 USB 廠商 ID。

   • USB 產品 ID - 從裝置管理員中的印表機裝置屬性細節取得 裝置實例 路徑值。 將該值轉換為產品識別碼和供應商識別碼格式。 欲了解更多資訊，請參閱 Standard USB 識別碼。

   • USB 廠商 ID - 從裝置管理員中的印表機裝置屬性細節取得 裝置實例 路徑值。 將該數值轉換為產品ID和供應商ID格式。 欲了解更多資訊，請參閱 Standard USB 識別碼。

   • IP 範圍

   • 列印成檔案 - Microsoft 列印成 PDF 或 Microsoft XPS 文件撰寫器。 如果你只想強制執行 Microsoft 列印成 PDF，應該用友善印表機名稱搭配「Microsoft Print to PDF」。

   • 在印表機上部署的通用列印 - 欲了解更多通用印表機相關資訊，請參見「設定通用列印」。

   • 企業印表機 ——是透過你網域內本地 Windows 列印伺服器共享的列印佇列。 它的路徑可能如下：\print-server\contoso.com\legal_printer_001。

   • 列印到本地 - 任何透過 Microsoft 列印埠連接的印表機，但不包括上述任何一種。 例如：透過遠端桌面列印或重新導向印表機。

2. 為群組中的每台印表機分配一個 顯示名稱。 這些名稱僅出現在 Microsoft Purview 控制台中。

3. 建立一個名為 Legal printers的印表機群組，並以友善名稱) (的替名加入個別印表機;例如：legal_printer_001、、 legal_printer_002legal_color_printer和 。 (你可以同時選擇多個參數，幫助你明確辨識特定印表機 )

4. 在 DLP 政策中將政策動作指派給群組：

   • Allow (審核，沒有用戶通知或警示)

   • Audit only (你可以新增通知和警示)

   • Block with override (會阻擋該動作，但使用者可以覆蓋)

   • Preview 是一個修正，旨在解決初次覆寫後排隊列印工作時不必要的重新提交問題。

   • Block (無論如何都會封鎖)

建立印表機群組

1. 開啟 Microsoft Purview 入口網站，並前往右上角>的資料遺失防護>概覽>設定齒輪圖示，資料遺失防護>端點 DLP 設定>印表機群組。
2. 選擇 + 建立印表機群組。
3. 給團體取個名字。
4. 選擇 新增印表機。
5. 給印表機取個 友善的名字。 確保名稱與印表機裝置屬性細節中的裝置管理員值相符。
6. 選擇參數並提供數值，以明確識別特定印表機。
7. 選取 新增。
8. 需要時再加其他印表機。
9. 選擇 儲存 ，然後 關閉。

檔案副檔名群組

使用此設定來定義你想要指派政策動作的檔案副檔名群組。 例如，僅對已建立群組中的檔案副名套用無法 掃描 的檔案政策。

停用分類

使用此設定以排除特定檔案副檔名，排除 Endpoint DLP 分類。

對於在 監控檔案 清單中的檔案，你可以透過此設定關閉分類。 一旦你在這個設定中加入了副檔名，Endpoint DLP 就不會掃描帶有這個副檔名的檔案內容。 因此，端點 DLP 不會根據這些檔案的內容進行政策評估。 您將無法查看用於調查的內容資訊。

可拆卸 USB 裝置群組

使用此設定來定義一組可移除儲存裝置，例如 USB 隨身碟，這些裝置要分配與全域列印動作不同的政策動作。 舉例來說，假設你想要 DLP 政策阻止有工程規格的項目複製到可移除儲存裝置，除了指定的 USB 連接硬碟，這些硬碟用來備份異地儲存資料。

你最多可以建立 20 個群組，每個群組最多可移除 50 個儲存裝置。

請使用以下參數來定義你的可移動儲存裝置。

• 儲存裝置友善名稱 - 從裝置管理員的儲存裝置屬性細節取得友善名稱值。 支援萬用字元值 (*) 。

• USB 產品識別碼 - 從裝置管理員的 USB 裝置屬性細節取得裝置實例路徑值。 轉換成產品ID和供應商ID格式。 欲了解更多資訊，請參閱 Standard USB 識別碼。

• USB 廠商 ID - 從裝置管理員的 USB 裝置屬性細節取得裝置實例路徑值。 轉換成產品ID和供應商ID格式。 欲了解更多資訊，請參閱 Standard USB 識別碼。

• 序號 ID - 從裝置管理員的儲存裝置屬性細節取得序號 ID 值。 支援萬用字元值 (*) 。

• 裝置 ID - 從裝置管理員的儲存裝置屬性細節取得裝置 ID 值。 支援萬用字元值 (*) 。

• 實例路徑 ID - 從裝置管理員中的儲存裝置屬性細節取得裝置 ID 值。 支援萬用字元值 (*) 。

• 硬體 ID - 從裝置管理員的儲存裝置屬性細節取得硬體 ID 值。 支援萬用字元值 (*) 。

你要為群組中的每個可移除儲存裝置分配一個 別名。 這個別名是一個友善的名字，只出現在 Microsoft Purview 控制台中。 繼續這個例子，你會建立一個名為 Backup 的可移除儲存裝置群組，並以友善名稱) (添加個別裝置，例如 backup_drive_001、 和 backup_drive_002。

你可以多選參數，然後印表機群組會包含所有符合這些參數的裝置。

你可以在 DLP 政策中將以下政策動作指派給群組：

• Allow (審核，沒有用戶通知或警示)
• Audit only (你可以新增通知和警示)
• Block with 覆寫 (會阻擋動作，但使用者可以)
• Block (無論如何都會封鎖)

建立一個可拆卸的 USB 裝置群組

1. 打開 Microsoft Purview 入口網站，並導向右上角>的資料遺失防護>概覽>設定，齒輪圖示：資料遺失防護>端點 DLP 設定>，可移除 USB 裝置群組。
2. 選擇 + 建立可移除儲存裝置群組。
3. 提供 一個群組名稱。
4. 選擇 新增可移動儲存裝置。
5. 提供 化名。
6. 選擇參數並提供數值，以明確識別特定裝置。
7. 選取 新增。
8. 需要時加入其他裝置。
9. 選擇 儲存 ，然後 關閉。

建立可移除儲存群組最常見的使用情境是用它們來指定使用者可以複製檔案的可移除儲存裝置。 一般而言，複製僅允許於指定 備份 群組中的裝置。

在你定義可移除儲存裝置群組後，你可以在所有針對 裝置的政策中使用它。 詳見 情境 8：授權群組 ，以設定政策動作以使用授權群組。

網路共享群組

使用此設定定義一組你想指派政策動作的網路共享路徑群組，這些路徑與全域網路共享路徑動作不同。 舉例來說，假設你希望你的 DLP 政策能防止使用者將受保護檔案儲存或複製到網路共享中，除了特定群組的網路共享。

要將網路共享路徑納入群組，請定義所有共享點起始的前綴。 例如：

• 「\Library」會相符：

  • \Library 資料夾及其所有子資料夾。

• 你可以使用萬用字元，例如「\Users*\Desktop」會匹配：

  • 「\Users\user1\Desktop」
  • '\Users\user1\user2\Desktop'
  • 「\使用者*\桌面」

• 你也可以使用環境變數，例如：

  • %AppData%\app123

• 支援萬用字元值。 因此，路徑定義可以在路徑中間或路徑末端 (包含星號) * 。
  範例： \\Lib* 將涵蓋 \\Libray

你可以在 DLP 政策中為群組指派以下政策動作：

• Allow (審核，沒有用戶通知或警示)
• Audit only (你可以新增通知和警示)
• Block with override (會阻擋該動作，但使用者可以覆蓋)
• Block (無論如何都會封鎖)

一旦你定義了網路共享群組，就可以在所有針對 裝置範圍的 DLP 政策中使用它。 欲了解更多關於設定政策動作以使用授權群組的資訊，請參閱 情境 8 授權群組。

建立網路分享群組

1. 打開 Microsoft Purview 入口網站，並前往右上角>的資料遺失防護>概覽>設定齒輪圖示，資料遺失防護>端點 DLP 設定>，網路共享群組。
2. 選擇 + 建立網路分享群組。
3. 提供 一個群組名稱。
4. 把檔案路徑加入分享資料夾。
5. 選取 新增。
6. 需要時加入其他共享路徑。
7. 選擇 儲存 ，然後 關閉。

VPN 設定

使用 VPN 清單只控制透過該 VPN 執行的操作。

當你在 VPN 設定中列出 VPN 時，可以為它們指派以下政策動作：

• Allow (審核，沒有用戶通知或警示)
• Audit only (你可以新增通知和警示)
• Block with override (會阻擋該動作，但使用者可以覆蓋)
• Block (無論如何都會封鎖)

這些操作可單獨或集體應用於以下使用者活動：

• 複製到剪貼簿
• 複製到 USB 可拆卸裝置
• 複製到網路共用
• Print
• 使用不允許 (限制) 藍牙應用程式複製或移動
• 使用 RDP 複製或移動

在設定 DLP 政策以限制裝置活動時，你可以控制使用者在你組織中任何列出的 VPN 中所執行的每項活動的處理方式。

使用 伺服器位址 或 網路位址 參數來定義允許的 VPN。

取得伺服器位址或網路位址

1. 在受 DLP 監控的 Windows 裝置上，以管理員身份開啟 Windows PowerShell 視窗。
2. 執行以下 cmdlet，回傳多個欄位與值。

Get-VpnConnection

3. 在 cmdlet 的結果中，找到 ServerAddress 欄位並記錄該值。 當你在 VPN 清單中建立 VPN 條目時，你會使用 ServerAddress 。
4. 找到 名字 欄位並記錄該值。 在 VPN 清單中建立 VPN 條目時， 名稱 欄位會對應到 網路位址 欄位。

新增 VPN

1. 打開 Microsoft Purview 入口網站，並導覽至右上角>的資料遺失防護>總覽>設定，齒輪圖示，資料遺失防護>端點 DLP 設定>VPN 設定。
2. 選擇 新增或編輯 VPN 位址。
3. 提供你執行Get-VpnConnection後記錄的伺服器位址或網路位址。
4. 選取 [儲存]。
5. 關閉該物品。

請參閱 情境 9：網路例外， 以更多關於如何設定政策動作以使用網路例外的資訊。

另請參閱

• 深入了解端點資料外洩防護

• 開始使用端點資料外洩防護

• 深入了解資料外洩防護

• 開始使用活動總管

• 適用於端點的 Microsoft Defender

• 將 Windows 10 和 Windows 11 裝置上線到 Microsoft Purview 概觀

• Microsoft 365 訂閱

• Microsoft Entra 加入

• 下載以 Chromium 為基礎的新 Microsoft Edge。

• 建立並部署資料遺失防護政策