對內部風險管理案例採取行動

案例是內部風險管理的核心。 它們可讓您調查政策中風險指標產生的問題並採取行動。 當您需要採取額外步驟來解決使用者的合規性相關問題時，請從警示手動建立案例。 每個案例都專注於一個使用者，您可以將該使用者的多個警示新增至現有案例或啟動新案例。

調查案例的詳細資料之後，您可以採取下列動作：

• 傳送通知給使用者
• 將案件解決為良性
• 與您的 ServiceNow 執行個體或電子郵件收件者共用案例
• 呈報電子檔探索 (進階版) 調查案例

如需如何在測試人員風險管理中調查和管理案例的概觀，請參閱 測試人員風險管理調查和呈報影片。

案例儀表板

測試人員風險管理 案例儀錶板 可讓您檢視案例並採取行動。 案例佇列會列出您組織的所有作用中和已關閉案例，以及下列案例屬性的目前狀態：

• 案例 ID：案例的 ID。
• 案例名稱：案例的名稱，在您確認警示並建立案例時定義。
• 狀態：案例的狀態， 作用中 或 已關閉。
• 使用者：案例的使用者。 如果您啟用使用者名稱的匿名化，入口網站會顯示匿名資訊。
• 開啟案例的時間：自開啟案例以來經過的時間。
• 原則警示總數：案例中包含的原則相符專案數目。 如果您將新警示新增至案例，此數目可能會增加。
• 案例上次更新時間：自您新增案例附註或變更案例狀態以來經過的時間。
• 上次更新者：上次更新案例的測試人員風險管理分析師或調查員的名稱。

使用 「搜尋」 控制項來搜尋「案例 ID」或搜尋案例名稱中的特定文字。 使用案例篩選器，依下列屬性排序案例：

• 狀態
• 案例開啟時間、開始日期和結束日期
• 上次更新日期、開始日期和結束日期

指派案例

如果您是具有適當許可權的系統管理員，您可以將案例的擁有權指派給自己，或指派給具有測試人員風險管理、測試人員風險管理分析師或測試人員風險管理調查員角色的測試人員風險管理使用者。 指派案例之後，您可以將它重新指派給具有任何相同角色的使用者。 您一次只能將案例指派給一位管理員。

如果您將管理員指派給案例，您可以依管理員進行篩選。

從「案例」儀表板指派案例

1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站 。
2. 移至 測試人員風險管理 解決方案。
3. 選取左側導覽中的 案例 。
4. 在 案例儀表板上，選取您要指派的案例。
5. 在案例佇列上方的命令列中，選取指派。
6. 在畫面右側的 [指派擁有者] 窗格中，搜尋具有適當許可權的系統管理員，然後選取該系統管理員的核取方塊。
7. 選取 [指派]。

從案例詳細資料頁面指派案例

1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站 。
2. 移至 測試人員風險管理 解決方案。
3. 選取左側導覽中的 案例 。
4. 選取案例。
5. 在案例的詳細資料窗格中，選取指派。
6. 在 建議的連絡人 清單中，選取適當的系統管理員。

篩選案例

根據組織中作用中測試人員風險管理原則的數目和類型，檢閱大量案例佇列可能具有挑戰性。 透過使用案例篩選器，分析師和調查人員可以依數個屬性對案例進行排序。 若要篩選 [案例] 儀表板上的警示，請選取 [篩選] 控制項。 您可以依一或多個屬性篩選案例：

• 狀態：選取一或多個狀態值以篩選案例清單。 選項為 [作用中] 和 [已關閉]。
• 開啟案例的時間：選取開啟案例的開始和結束日期。
• 上次更新時間：選取案例更新的開始和結束日期。

篩選案例、儲存篩選集的檢視、自訂資料行或搜尋警示

根據組織中作用中測試人員風險管理原則的數目和類型，檢閱大量案例佇列可能具有挑戰性。 為了幫助您追蹤案例，您可以：

• 依各種屬性篩選案例。
• 儲存篩選器集的檢視，以便稍後重複使用。
• 顯示或隱藏欄。
• 搜尋警示。

篩選案例

1. 選取 [新增篩選]。

2. 選取下列一或多個屬性：

   屬性	描述
   指派給	如果指派) ，則將警示指派給分級 (系統管理員。
   案例最後更新	上次更新案例的開始和結束日期。
   狀態	案件的當前狀態。 選項為 [作用中] 和 [已關閉]。
   開啟的時間案例	開啟案例的開始和結束日期。

   篩選列會顯示您選取的屬性。

3. 在篩選列中選取屬性，然後選取要篩選依據的值。 例如，選取 上次活動日期 屬性，在 開始日期 和 結束日期 欄位中輸入或選取日期，然後選取 套用。

   提示

   若要隨時重新開始，請選取篩選列上的 全部重設 。

儲存篩選器集的檢視，以便稍後重複使用

1. 套用上述程序中所述的篩選條件後，選取篩選列上方的 儲存， 輸入篩選集的名稱 ，然後選取儲存。

   篩選器集會顯示為篩選列上方的卡片。 它包含一個數字，顯示符合篩選器集中準則的觀察值計數。

   注意事項

   您最多可以儲存五個篩選器集。 若要刪除篩選器集，請選取卡片右上角) 三個點 (省略號，然後選取 [刪除]。

2. 若要重新套用已儲存的篩選器集，請選取篩選器集的卡片。

顯示或隱藏欄

1. 在頁面右側，選取自訂欄。

2. 選取或清除您要顯示或隱藏之欄的核取方塊。

欄設定會跨工作階段和瀏覽器儲存。

搜尋警示

使用 [搜尋 ] 控制項來搜尋使用者主體名稱 (UPN) 、指派的系統管理員名稱或警示識別碼。

調查案例

對測試人員風險管理警示進行更深入的調查，對於採取適當的更正動作至關重要。 測試人員風險管理案例是中央管理工具，可深入瞭解使用者風險活動歷程記錄、警示詳細數據、風險事件順序，以及探索暴露於風險的內容和訊息。 風險分析師和調查人員也會使用案例來集中檢閱意見和註釋，以及處理案例解決方案。

選取案例會開啟案例管理工具，並允許分析師和調查人員深入調查案例詳細資料。

案例概觀

案例概觀索引標籤摘要說明風險分析師和調查人員的案例詳細資料。 它包含 [ 關於此案例 ] 區域中的下列資訊：

• 案例 ID：案例的 ID。
• 狀態：案例的目前狀態，作用中或已關閉。
• 案例建立日期：建立案例的日期和時間。
• 使用者的風險評分：案例使用者目前計算的風險等級。 系統每 24 小時計算一次此分數，並使用與使用者相關聯的所有作用中警示的警示風險評分。 當使用者被偵測為潛在的高影響使用者，或使用者是優先順序使用者群組的成員時，風險助推器會在 [測試人員風險管理] 設定頁面的 [原則指標] 區段中啟用為 [風險分數助推器]，[使用者詳細數據] 頁面包含使用者計算風險層級的詳細資訊。
• Email：案例使用者的電子郵件別名。
• 組織或部門：使用者被指派到的組織或部門。
• 管理員名稱：使用者管理員的名稱。
• 管理員電子郵件：使用者管理員的電子郵件別名。

[ 案例概觀] 索引標籤也包含 [警示] 區段，其中包含與案例相關聯之原則比對警示的下列相關資訊：

• 原則相符專案：與比對警示相關聯的測試人員風險管理原則名稱，以警示可能導致安全性事件的潛在風險使用者活動。
• 狀態：警示的狀態。
• 嚴重性：警示的嚴重性。
• 偵測到的時間：自產生警示以來經過的時間。

警示

警示索引標籤會摘要案例中包含的目前警示。 您可以將新警示新增至現有案例。 當您指派新的警示時， 警示 佇列會包含這些警示。 佇列會列出下列警示屬性：

• 提醒
• 警示標識碼
• 狀態
• 嚴重性
• 偵測時間

從佇列中選取警示，以顯示 警示詳細資料 頁面。

使用搜尋控制項來搜尋警示識別碼或警示名稱中的特定文字。 使用警示篩選器，依下列屬性排序案例：

• 狀態
• 嚴重性
• 偵測到的時間、開始日期和結束日期

使用篩選控制項依數個屬性篩選警示，包括：

• 狀態：選取一或多個狀態值以篩選警示清單。 選項包括已確認、已解除、需要檢閱以及已解決。
• 嚴重性：選取一或多個警示風險嚴重性層級，以篩選警示清單。 選項包括 高、中和低。
• 偵測到的時間：選取建立警示的開始和結束日期。
• 原則：選取一或多個原則，以篩選所選原則所產生的警示。

使用者活動

[使用者活動] 索引標籤可讓風險分析師和調查人員檢閱使用者活動詳細資料。 它提供與風險警示和案例相關聯的所有潛在風險活動的視覺化表示。 使用此資訊來判斷這些風險活動是否可能導致安全性事件。 例如，在警示分類程式中，分析師可能需要檢閱與案例相關聯的所有風險活動，以取得更多詳細資料。 在某些情況下，風險調查人員可以檢閱使用者活動詳細數據和泡泡圖，以協助瞭解與案例相關聯的風險活動的整體範圍。 如需使用者活動圖表的詳細資訊，請參閱 測試人員風險管理活動 一文。

活動總管 (預覽)

「 活動瀏覽器」 標籤可讓風險分析師和調查人員檢閱與風險警示相關聯的案例活動詳細資料。 例如，在案例管理動作中，調查人員和分析師可能需要檢閱與案例相關聯的所有風險活動，以取得更多詳細資料。 透過 活動總管，檢閱者可以快速檢查偵測到的潛在風險活動的時間表，並識別和篩選與警示相關聯的所有風險活動。

如需活動總管的詳細資訊，請參閱 測試人員風險管理活動 一文。

法醫證據

[ 取證證據 ] 索引標籤可讓風險調查人員檢閱與案例中包含的風險活動相關聯的視覺擷取。 例如，在案例管理動作中，調查人員可能需要協助釐清所檢閱使用者活動的內容。 檢視活動的實際剪輯可協助調查人員判斷使用者活動是否具有潛在風險，並可能導致安全性事件。

如需鑑識辨識的詳細資訊，請參閱 瞭解測試人員風險管理鑑識辨識項 一文。

內容總管

「內容總管」索引標籤可讓風險調查人員檢閱與風險警示相關聯的所有個別檔案和電子郵件訊息的複本。 例如，如果當使用者從 SharePoint Online 下載數百個檔案時建立警示，且活動觸發原則警示，案例會擷取警示的所有下載檔案，並將其從原始儲存體來源複製到測試人員風險管理案例。

內容總管是一個強大的工具，具有基本和高級搜索和過濾功能。 若要深入瞭解如何使用內容總管，請參閱 測試人員風險管理內容總管。

案例附註

風險分析師和調查人員使用案例中的 [案例附註 ] 索引標籤來共用有關其案例工作的註解、意見和見解。 附註是案例的永久新增內容。 儲存備忘錄後，您無法編輯或刪除它。 當您從警示建立案例時，您在 [確認警示] 和 [建立測試人員風險案例] 對話方塊中輸入的批注會自動成為案例附註。

案例附註儀表板會顯示建立附註的使用者所依照的附註，以及自儲存附註以來經過的時間。 若要在案例附註文字欄位中搜尋特定關鍵字，請使用案例儀表板上的 搜尋 並輸入特定關鍵字。

新增案例附註

1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站 。
2. 移至 測試人員風險管理 解決方案。
3. 選取左側導覽中的 案例 。
4. 選取案例，然後選取 案例附註 索引標籤。
5. 選取 [新增案例附註]。
6. 在 [新增案例附註 ] 對話方塊中，輸入附註。
7. 選取 儲存以 將附註新增至案例。

參與者

風險分析師和調查人員可以將其他審查者新增至案例中的參與者索引標籤。 根據預設，指派測試 人員風險管理調查員 和 測試人員風險管理 角色的所有使用者都會列為每個作用中和已關閉案例的參與者。

您可以將使用者新增為參與者，以授與案例的暫時存取權，但有下列限制：

• 分析師和調查人員可以新增參與者。
• 您無法將分析師新增為參與者。
• 參與者無法新增參與者。

參與者對特定案例具有所有案例管理控制權，但以下情況除外：

• 確認或關閉警示的權限。
• 編輯案例參與者的權限。

將參與者新增至案例

1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站 。
2. 移至 測試人員風險管理 解決方案。
3. 選取左側導覽中的 案例 。
4. 選取案例，然後 選取參與者索引 標籤。
5. 選取 [新增參與者]。
6. 在 [ 新增參與者 ] 對話方塊中，開始輸入您要新增的使用者名稱，然後從建議的使用者清單中選取使用者。 此清單來自租用戶訂用帳戶的 Microsoft Entra ID。
7. 選取 [ 新增 ] 以將使用者新增為參與者。

案例動作

風險調查人員可以使用數種方法之一對案例採取動作，具體取決於案例的嚴重性、使用者的風險歷程記錄，以及組織的風險準則。 在某些情況下，您可能需要將案例呈報給使用者或資料調查，以與組織的其他區域共同作業，並深入瞭解風險活動。 測試人員風險管理與其他 Microsoft Purview 解決方案緊密整合，以協助您進行端對端解決方案管理。

發送電子郵件通知

在大部分情況下，建立內部風險警示的使用者動作是無意或意外的。 透過電子郵件向使用者發送提醒通知是記錄案例審查和行動的有效方法。 此方法會提醒使用者公司原則，或指出他們進行進修訓練。 您可以從針對測試人員風險管理基礎結構建立 的通知範本 產生通知。

請記住，傳送電子郵件通知給使用者並不會將案例解決為「已關閉」。 在某些情況下，您可能想要在傳送通知給使用者之後讓案例保持開啟狀態，以尋找更多風險活動，而不開啟新案例。 如果您想要在傳送通知後解決案例，請選取 [解決案例] 作為傳送通知後的後續步驟。

傳送通知給指派給案例的使用者

1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站 。
2. 移至 測試人員風險管理 解決方案。
3. 選取左側導覽中的 案例 。
4. 選取案例，然後選取案例動作工具列上的 傳送電子郵件通知 。
5. 在 [傳送電子郵件通知 ] 對話方塊中，選取 [ 選擇通知範本 ] 下拉式控制項，以選取通知的通知範本。 此選項會預先填入通知中的其他欄位。
6. 檢閱通知欄位並視需要進行更新。 您輸入的值會覆寫範本中的值。
7. 選取 [傳送] 以將通知傳送給使用者。 所有已傳送的通知都會新增至 「案例備註 」儀表板上的案例備註佇列。

呈報調查

當您需要對使用者的風險活動進行額外的法律審查時，請呈報案例以進行使用者調查。 此呈報會在您的 Microsoft 365 組織中開啟新的 Microsoft Purview 電子文件探索 (Premium) 案例。 電子文件探索 (進階版) 提供端對端工作流程，可讓您保留、收集、檢閱、分析及匯出回應您組織內部及外部法律調查的內容。 此外也可讓您的法律小組管理整個法務保存措施工作流程，以與涉及案例的監管人通訊。 從測試人員風險管理案例呈報至電子檔探索 (進階) 案例，可協助您的法律小組採取適當的動作並管理內容保留。 如需電子檔探索 (進階級) 案例的詳細資訊，請參閱 Microsoft Purview 電子文件探索 (進階) 概觀 。

將案例呈報為使用者調查

1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站 。
2. 移至 測試人員風險管理 解決方案。
3. 選取左側導覽中的 案例 。
4. 選取案例，然後在案例動作工具列上選取呈 報以進行調查 。
5. 在呈 報以進行調查 對話方塊中，輸入新使用者調查的名稱。 如有需要，請輸入有關案例的附註，然後選取呈 報。
6. 檢閱通知欄位並視需要進行更新。 您輸入的值會覆寫範本上的值。
7. 選取 [ 確認 ] 以建立使用者調查案例。

將測試人員風險管理案例呈報為新的使用者調查案例之後，您可以在 Microsoft Purview 入口網站的 電子檔探索>進階 區域中檢閱新的案例。

使用 Power Automate 流程執行案例的自動化工作

使用建議的 Power Automate 流程，風險調查人員和分析師可以快速採取行動：

• 向 HR 或企業要求有關內部風險案例中使用者的資訊。
• 當使用者有內部風險警示時通知管理員。
• 在 ServiceNow 中建立測試人員風險管理案例的記錄。
• 當使用者新增至測試人員風險原則時，通知使用者。

若要執行、管理或建立測試人員風險管理案例的 Power Automate 流程：

1. 選取案例動作工具列上的 自動化 。
2. 選擇要執行的 Power Automate 流程，然後選取執行流程。
3. 流程完成後，選取 [完成]。

如需測試人員風險管理 Power Automate 流程的詳細資訊，請參閱 開始使用測試人員風險管理設定。

檢視或建立案例的 Microsoft Teams 小組

當您在設定中啟用測試人員風險管理的 Microsoft Teams 整合時，每次您確認警示並建立案例時，解決方案都會自動建立 Microsoft Teams 小組。 風險調查人員和分析師可以快速開啟 Microsoft Teams，並選取案例動作工具列上的 [ 檢視 Microsoft Teams 小組 ]，直接流覽至案例的小組。

對於您在啟用 Microsoft Team 整合之前開啟的案例，風險調查人員和分析師可以在案例動作工具列上選取建立 Microsoft Teams 小組 ，為案例建立新的 Microsoft Teams 小組。

當您解決案例時，解決方案會自動封存相關聯的Microsoft團隊 (將其隱藏並轉換為唯讀) 。

如需 Microsoft Teams for Insider Risk Management 的詳細資訊，請參閱 開始使用測試人員風險管理設定。

解決案例

風險分析師和調查人員完成檢閱和調查之後，請解決案例，以處理案例中目前包含的所有警示。 解決案例會新增解決方案分類，將案例狀態變更為 已關閉，並自動將解決動作原因新增至 案例備註 儀表板上的案例備註佇列。 以下列其中一項方式解決案例：

• 良性：原則比對警示評估為低風險、非嚴重或誤判的案例分類。
• 已確認的原則違規：原則比對警示評估為有風險、嚴重或惡意意圖結果的案例分類。

解決案例

1. 使用 Microsoft 365 組織中系統管理員帳戶的認證登入 Microsoft Purview 入口網站 。
2. 移至 測試人員風險管理 解決方案。
3. 選取左側導覽中的 案例 。
4. 選取案例，然後選取案例動作工具列上的 解決案例 。
5. 在 [ 解決案例 ] 對話方塊中，選取 [ 解決為 ] 下拉式控制項，以選取案例的解決分類。 選項包括良 性 或 已確認的原則違規。
6. 在 解決案例 對話方塊中，在採取 的動作 文字欄位中輸入解決分類的原因。
7. 選取 [解決] 以關閉案例。