檔指紋辨識是 Microsoft Purview 功能,可採用您提供的標準表單,並根據該表單建立敏感性資訊類型 (SIT) 。 文件指紋識別可讓您識別整個組織中使用的標準表單,從而更輕鬆地保護敏感性資訊。 本文說明文件指紋背後的概念,以及如何使用使用者介面或 PowerShell 建立文件指紋。
文件指紋識別包括以下優點:
- 從檔指紋建立的 SIT 可作為 Exchange、SharePoint、OneDrive、Teams 和裝置範圍的 DLP 原則中的偵測方法。
- MIP 自動標記可以使用 檔指紋作為 Exchange、SharePoint 和 OneDrive 中的偵測方法。
- 檔指紋功能可以透過 Microsoft Purview 使用者介面來管理。
- 支援部分比對。
- 支援精確比對。
- 提高檢測精度
- 支援多種語言的檢測,包括中文、日文、韓文等雙位元組語言。
重要事項
如果您是 E5 客戶,建議您更新現有的指紋,以利用完整的文件指紋功能集。 如果您是 E3 客戶,建議您升級至 E5 授權。 如果您選擇不這樣做,您將無法在 2023 年 4 月之後修改現有指紋或建立新指紋。
文件指紋識別的基本場景
如前所述,檔指紋識別功能會將標準資訊形式轉換成敏感性資訊類型 (SIT) ,您可以在 DLP 原則的規則中使用。 例如,您可以根據空白專利範本建立文件指紋,然後再建立 DLP 原則,以偵測及封鎖所有填入敏感內容的傳出專利範本。 或者,您可以設定 原則提示 ,以通知寄件者他們可能正在傳送敏感性資訊,而且寄件者應該驗證收件者是否有資格接收專利。 此程序適用於您的組織中所使用的任何文字型表單。 您可以上傳的其他表單範例包括:
- 政府表單
- 1996 年健康保險流通與責任法案 (HIPAA) 符合性表單
- 人力資源部門的員工資訊表單
- 特別為您的組織建立的自訂表單
在理想情況下,您的組織應已建立使用特定表單來傳輸敏感資訊的商業實務準則。 若要啟用偵測,請上傳要轉換為文件指紋的空白表單。 接下來,設定對應的原則。 完成這些步驟後,DLP 會偵測出埠郵件中符合該指紋的任何文件。
如需設計 DLP 原則的詳細資訊,請參閱 設計資料外洩防護原則。
如需建立和部署 DLP 原則的詳細資訊,請參閱 建立和部署資料外洩防護原則。
文件指紋辨識的運作方式
您知道文檔沒有實際的指紋,但名稱有助於解釋該功能。 就像一個人的指紋具有獨特的圖案一樣,常用的表單 (模板) 可以具有他們獨特的文字圖案。 您可以使用以此模式為基礎的 SIT 來偵測使用相同範本建立的檔案。 這就是為什麼上傳表單或範本會建立最有效的文件指紋類型。 填寫表單的每個人都使用相同的原始單字集,然後將自己的單字添加到文檔中。 要掃描的文件不能受密碼保護,而且必須包含原始表單中的所有文字。
專利範本包含空白欄位 [專利標題]、[ 發明人] 和 [說明],以及每個欄位的說明 - 這就是「模式」一詞。 當您上傳原始專利範本時,它採用支援的檔案類型之一,且為純文字。 MIcrosoft Purview 會將此單字模式轉換成檔指紋,這是小型 Unicode XML 檔案,其中包含代表原始文字的唯一雜湊值。 作為安全措施,原始文件本身不會被儲存;只會儲存雜湊值。 無法從雜湊值重建原始文件。 專利指紋會以 SIT 表示,您可以將其用作 DLP 原則中的條件。
例如,如果您設定 DLP 原則,防止一般員工傳送包含專利的外寄訊息,則 DLP 會使用專利指紋 SIT 來偵測專利並封鎖這些電子郵件。 或者,您可能希望讓您的法律部門能夠將專利發送給其他組織,因為它有這樣做的業務需求。 若要允許特定部門傳送敏感性資訊,請在 DLP 原則中為這些部門建立例外狀況。 或者,您可以允許他們使用業務理由置換原則提示。
重要事項
內嵌文件中的文字不會考慮建立指紋。 您需要提供不包含內嵌文件的範例範本檔案。
文件指紋的限制
在下列情況下,文件指紋不會偵測敏感性資訊:
- 檔案受密碼保護
- 僅包含影像的檔案
- 文件未包含原始表單中所有用來建立文件指紋的文字
- 大於 4 MB 的檔案
注意事項
若要在裝置上使用文件指紋識別,必須開啟 進階分類掃描和保護 。
指紋儲存在單獨的規則包中。 此規則套件的大小限制上限為 300 KB。 鑑於此限制,您可以為每個租戶建立大約 100 個指紋。
注意事項
用於建立指紋的範本應至少包含 256 個字元。 指紋範本支援的擷取文字長度必須介於 256 到 204,800 個字元之間。
下列範例顯示如果您根據專利範本建立文件指紋,會發生什麼情況。 但是,您可以使用任何表單作為建立文件指紋的基礎。
範例:建立符合專利範本文件指紋的專利文件
- 在 Microsoft Purview 入口網站中,流覽至 [數據外洩防護] 或 [資訊保護>分類器]>敏感性資訊類型。
- 在 [敏感性資訊類型 ] 頁面上,選擇 [+ 建立指紋型 SIT]。
- 輸入新 SIT 的名稱和描述。
- 上傳您要用作指紋模板的文件。
- 選用: 調整每一個信賴水準的需求。 (如需詳細資訊,請參閱 部分比對 和 完全比對.)
- 選擇 [下一步]。
- 檢閱您的設定,然後選擇 Create (建立)。
- 當確認頁面顯示時,選擇 Done (完成)。
符合專利範本文件指紋的專利文件範例
>> $Patent_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\patent.docx'))
>> New-DlpSensitiveInformationType -Name "Patent SIT" -FileData $Patent_Form -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Contoso Patent Template"
部分比對
若要設定文件指紋的部分比對,當您在範本上傳期間設定組態選項時,請設定信賴度,選擇「低」、「中」或「高」,並指定檔案中必須符合指紋的文字量,以 30% - 90% 之間的百分比為單位。
高信賴水準會傳回最少的誤判,但可能會導致更多的誤判。 低或中置信度會傳回較多的誤報,但很少或零的誤報。
- 低信賴度:相符的項目包含最少的誤報,但最多的誤報。 低信賴度會傳回所有低、中和高信賴度相符專案。
- 中信賴度:相符的項目包含誤判和誤判的平均數量。 中置信度會傳回所有中置信度和高置信度相符專案。
- 高信賴度:相符的專案包含最少的誤報,但最多的誤報。
精確匹配
若要設定文件指紋的精確比對,請選取 [精確] 作為高信賴度的值。 當您將高信賴度設定為 完全時,只會偵測到與指紋具有完全相同文字的檔案。 如果檔案與指紋有哪怕很小的偏差,也不會被偵測到。
已經使用指紋 SIT?
您現有的指紋和這些指紋的原則/規則應該會繼續運作。 如果您不想使用最新的指紋功能,則無需執行任何操作。
如果您擁有 E5 許可證並想使用最新的指紋功能,您有 2 個選擇:
- 建立新的指紋。
- 將原則移轉至較新版本。
注意事項
不支援使用已存在指紋的範本建立新的指紋。
使用 PowerShell 根據文件指紋建立自訂敏感性資訊類型
目前,您只能在 安全性 & 合規性 PowerShell 中建立檔指紋。
若要根據檔指紋建立自定義 SIT,請使用 New-DlpSensitiveInformationType Cmdlet。 下列範例會根據檔案 C:\My Documents\Contoso Customer Form.docx 建立名為 “Contoso Customer Confidential” 的新檔指紋。
$Employee_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Customer Form.docx'))
New-DlpSensitiveInformationType -Name "Contoso Customer Confidential" -FileData $Employee_Form -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Message contains Contoso customer information."
最後,將「Contoso 客戶機密」敏感性資訊類型新增至 Microsoft Purview 入口網站中的 DLP 原則。 此範例會將規則新增至名為 「ConfidentialPolicy」 的現有 DLP 原則。
New-DlpComplianceRule -Name "ContosoConfidentialRule" -Policy "ConfidentialPolicy" -ContentContainsSensitiveInformation @{Name="Contoso Customer Confidential"} -BlockAccess $True
您也可以在 Exchange 的郵件流程規則中使用指紋 SIT,如下列範例所示。 若要執行此命令,您必須先連線到 Exchange PowerShell。 另請注意,SIT 需要一些時間才能與 Exchange 系統管理中心同步處理。
New-TransportRule -Name "Notify :External Recipient Contoso confidential" -NotifySender NotifyOnly -Mode Enforce -SentToScope NotInOrganization -MessageContainsDataClassification @{Name=" Contoso Customer Confidential"}
DLP 現在可以偵測符合 Contoso Customer Form.docx 文件指紋的文件。
如需語法和參數資訊,請參閱:
- 新 DLP 指紋
- New-DlpSensitiveInformationType
- Remove-DlpSensitiveInformationType
- Set-DlpSensitiveInformationType
- Get-DlpSensitiveInformationType
編輯、測試或刪除文件指紋
若要在 Microsoft Purview 入口網站中執行此動作,請開啟您要編輯、測試或刪除的指紋 SIT,然後選擇適當的圖示。
若要透過 PowerShell 執行此動作,請執行下列命令:
編輯文件指紋
>> Set-DlpSensitiveInformationType -Name "Fingerprint SIT" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"
測試文件指紋
>> $r = Test-DataClassification -TextToClassify "Credit card information Visa: 4485 3647 3952 7352. Patient Identifier or SSN: 452-12-1232"
>> $r.ClassificationResults
刪除文件指紋
>> Remove-DlpSensitiveInformationType "Fingerprint SIT"
透過 Microsoft Purview 入口網站將現有的指紋 SIT 移轉至
- 開啟 Microsoft Purview 入口網站>資訊保護>分類器敏感>性資訊類型。
- 開啟包含您要移轉之指紋的 SIT。
- 選擇 Edit (編輯)。
- 再次上傳相同的指紋檔案。
- 檢閱指紋設定 >完成。
使用 PowerShell 移轉指紋
輸入下列命令:
Set-DlpSensitiveInformationType -Name "Old Fingerprint" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"