資料外洩防護和 Microsoft Teams

如果您的組織有Microsoft Purview 資料外洩防護 (DLP) ，您可以定義政策，幫助防止人們在 Microsoft Teams 頻道或聊天會話中分享敏感資訊。 以下是一些範例情境：

• 保護訊息中的敏感資訊。 假設有人試圖在 Teams 聊天或頻道中與訪客 (外部使用者分享敏感資訊) 。 如果你有設定 DLP 政策來防止這種情況，傳送給外部使用者的敏感訊息會被刪除。 這會根據你的 DLP 政策設定，自動且在幾秒內完成。

• 保護文件中的敏感資訊。 假設有人試圖在 Microsoft Teams 頻道或聊天中與訪客分享一份文件，而該文件包含敏感資訊。 如果您已定義 DLP 原則來防止此錯誤，該文件將不會向這些使用者開啟。 你的 DLP 政策必須包含 SharePoint 和 OneDrive，才能強制執行保護。 這是 SharePoint DLP 的範例，顯示在 Microsoft Teams 中，因此要求使用者必須取得 Office 365 E3) 中包含的 DLP 授權Office 365 (，但不要求使用者必須取得 Office 365 進階合規性 授權。

• 保護團隊共享通道中的通訊。 對於共用頻道，會套用主機 Teams 團隊的 DLP 政策。 舉例來說，假設 Contoso 的 Team A 擁有一個共用頻道。 A隊有DLP政策P1。 共有三種方式分享頻道：

  • 與成員分享：你邀請 Contoso 的 User1 加入共享頻道，但不讓他成為 Team A 的成員。這個共享頻道中的所有人，包括 User1，都受 P1 的保護。
  • 與團隊 (內部分享) ：你與 Contoso 內的另一團隊 Team B 共享頻道。那支隊伍可能有不同的DLP政策，但那不重要。 P1 適用於此共享通道中的所有人，包括 Team A 和 Team B 使用者。
  • 與團隊 (跨租戶) 分享 ：你與 Fabrikam 的團隊 F 共享頻道。 Fabrikam 可能有自己的 DLP 政策，但那並不重要。 P1 適用於此共享頻道中的所有人，包括 Team A (Contoso) 以及 Team F (Fabrikam) 用戶。

• 在 Microsoft Teams 與外部使用者聊天時保護通訊。 來自不同 Microsoft 365 組織、使用外部存取功能的人員都可以加入同一個聊天會話。 每位使用者都必須遵守其組織的 DLP 政策。 舉例來說，假設 Contoso 的 UserA、UserB 和 UserC，以及 Fabrikam 的 UserX、UserY 和 UserZ，都在同一個 Teams 聊天中。 Contoso 在 Teams 中分享資訊的 DLP 政策適用於 UserA、UserB 和 UserC，而 Fabrikam 的 DLP 政策則適用於 UserX、UserY 和 UserZ。 欲了解更多使用 Microsoft Teams 與組織外部人員聊天的資訊，請參閱「管理外部會議及使用 Microsoft 身份與個人與組織聊天」

Microsoft Teams 的 DLP 授權

資料遺失防護功能包括 Microsoft Teams 聊天與通道訊息，包括私人通道訊息，適用於：

• Office 365 E5/A5/G5
• Microsoft 365 E5/A5/G5
• Microsoft 365 E5/A5/G5 資訊保護與治理
• Microsoft 365 E5/A5/G5/F5 合規性和 F5 安全性與合規性

Office 365 與 Microsoft 365 E3 包含 SharePoint、OneDrive 及 Exchange 的 DLP 防護。 這也包括透過 Teams 分享的檔案，因為 Teams 使用 SharePoint 和 OneDrive 來分享檔案。

Teams 聊天中支援 DLP 保護需要 E5 授權。

DLP 保護範圍

DLP 保護在 Teams 實體間的應用方式不同，如下表所述。

要將 DLP Teams 政策範圍涵蓋所有聊天類型，請將政策範圍設為 所有地點，或確認每位 Teams 使用者同時在 Microsoft 365 群組中，且同時在該政策範圍內的安全群組或散發群組。 欲了解更多資訊， 請參閱如何同步會員資格。

政策建議有助於教育使用者

類似於 Exchange、Outlook、SharePoint、OneDrive 及 Windows 裝置上的 DLP 政策提示，Teams 中的政策提示會在觸發 DLP 政策時出現。 以下是一個政策建議範例：

此案中，發送者嘗試在 Microsoft Teams 頻道中分享社會安全號碼。 我該怎麼辦？Link 會開啟一個對話框，提供寄件人解決問題的選項。 請注意，寄件人可以選擇覆寫政策或通知管理員審查並解決問題。

你可以選擇允許組織中的使用者覆蓋 DLP 政策。 當您設定 DLP 政策時，可以使用預設的政策提示，或 為您的組織自訂政策提示 。

回到我們的例子，當發送者在 Teams 頻道分享社會安全號碼時，收件人會看到以下內容：

DLP 保護會套用在聊天或頻道線程中的實際訊息上。 訊息資訊也會在活動通知的簡短預覽中顯示，這些通知是由聊天或頻道訊息建立的。 當與 DLP 政策匹配時，對應的預覽會被隱藏，並顯示「預覽不可用」訊息，取代被封鎖的預覽。 若發送的訊息符合 DLP 政策，則會為發送者產生活動條目。 標記與封鎖訊息，會建立顯示「您的訊息已被封鎖」的活動。

Microsoft Teams 的 DLP 不會像 Exchange、SharePoint 和 OneDrive 的 DLP 一樣發送用戶通知郵件。 取而代之的是，使用者只會收到訊息標誌作為通知。

自訂原則提示

若要執行這項工作，您必須被指派為具有編輯 DLP 原則權限的角色。 欲了解更多，請參閱 Microsoft Purview 入口網站的權限。

1. 登入 Microsoft Purview 入口網站>的資料遺失防止>政策。

2. 選擇一個政策，然後) 鉛筆圖示 (選擇 編輯政策 。

3. 在工具中瀏覽，直到進入 「自訂進階 DLP 規則 」畫面。

4. 要麼建立新規則，要麼編輯現有的政策規則。

5. 往下滑到「使用者通知」，並將「使用通知」設為「開啟」來通知用戶並幫助他們了解如何正確使用敏感資訊。

6. 在 Microsoft 365 服務中，選擇「通知 Office 365 服務中的使用者」並附有政策提示。

7. 在 「政策提示」中，選擇 「自訂政策提示文字」。

8. 請指定你想用來做政策提示的文字。

9. 如果政策提示適用於 Microsoft Exchange 中的使用者活動，且你希望在發送郵件前出現提示的對話框，請在 發送前選擇「向終端使用者顯示政策提示」作為對話框。

10. 選擇 儲存 ，然後 選擇下一步。

11. 在 政策模式 頁面，若需要，可勾選「 模擬模式時顯示政策提示 」的選項。

12. 選擇 下一步，選擇 提交，然後選擇 完成。

將 Microsoft Teams 新增為現有 DLP 原則的位置

若要執行這項工作，您必須被指派為具有編輯 DLP 原則權限的角色。 欲了解更多，請參閱 Microsoft Purview 入口網站的權限

1. 登入 Microsoft Purview 入口網站>的資料遺失防止>政策。

2. 選擇一個政策，然後) 鉛筆圖示 (選擇 編輯政策 。

3. 在工具中瀏覽，直到您來到 「選擇地點」以套用保單 頁面。

4. 選擇 Teams 聊天和頻道訊息。

5. 選擇 下一步 ，然後一路完成流程。

6. Choose Submit.

請預留大約一小時，讓變更在資料中心順利進行並同步到使用者帳號。

定義 Microsoft Teams 的新 DLP 原則

如需了解如何建立及實施新的 DLP 政策，請參閱 「建立與部署資料遺失防護政策」。

防止外部存取敏感性文件

你可以透過 預設標記新檔案為敏感，確保文件在 DLP 掃描並標記為安全可分享前受到保護。

建議的 DLP 原則結構

• Conditions

• 內容包含以下任何敏感資訊類型：[選擇所有適用資訊]

• 內容來自 Microsoft 365>與組織外的人

• 動作

  • 新增一個動作

  • 限制存取權限或加密 Microsoft 365 地點>的內容只封鎖組織外的人

• 利用通知通知用戶，並幫助他們正確使用敏感資訊>透過政策提示通知 Office 365 中的使用者

• 通知這些人 [選擇所有適用項目]

• 政策提示 [選擇所有適用項目]

相關文章

• 建立並部署資料遺失防護政策
• 針對 DLP 原則傳送電子郵件通知並顯示原則提示