資料外洩防護 (Microsoft Defender for Cloud Apps 中的 DLP) 使用內容檢查來偵測檔案中的敏感性資訊。 啟用內容檢查時,Defender for Cloud Apps 會分析運算式所定義的文字型樣的檔案。 符合這些運算式的文字會被視為相符項目,並可用來判斷是否違反原則。
您可以使用預設或自訂運算式,並定義相符項構成違規時的臨界值。 例如,您可以將臨界值設定為 10,以便在檔案包含至少 10 個信用卡號時發出警示。
相符的文字會取代為「X」字元,並遮罩比對) 前後 (100 個字元的周圍內容。 內容中的數字會取代為 “#” ,而且不會儲存。 若要公開相符項目的最後四位數,請在檔案原則中啟用 [解除遮罩比對項目的最後四個字元 ] 設定。
您也可以定義要檢查的檔案元素 (內容、中繼資料或檔案名稱)。 依預設,檢查會同時套用至內容和中繼資料。 這種方法允許檢查受保護的檔案、偵測敏感資料、強制執行合規性以及套用治理控制,同時減少誤報並使強制執行與內部分類標準保持一致。
必要條件
若要檢查加密的檔案,並啟用標籤掃描,全域系統管理員必須先授與一次性系統管理員同意,以Defender for Cloud Apps Microsoft Entra識別碼。
若要這樣做,請在 Defender 入口網站中移至 [設定>] [雲端應用程式>] [Microsoft 資訊保護>] [檢查受保護的檔案],然後選取 [授與許可權]。
受保護檔案的內容檢查
授與同意之後,Defender for Cloud Apps會在租用戶中佈建雲端 App 安全性 (內部) 應用程式Microsoft。 應用程式會使用 Azure Rights Management Services > Content.SuperUser 許可權來解密和檢查受保護的檔案。
下列應用程式識別碼會根據您的 Microsoft 雲端環境套用:
應用程式 ID
| 環境 | 應用程式識別碼 |
|---|---|
| 公開 | 25a6a87d-1e19-4c71-9cb0-16e88ff608f1 |
| 費爾法克斯 | BD5667E4-0484-4262-A9DB-93FAA0893899 |
| GCCM | 23105E90-1DFC-497A-BB5D-8B18A44BA061 |
注意事項
應用程式識別碼是 Defender for Cloud Apps 在公用、Fairfax 和 GCC-M 環境中使用的內部服務主體,用來檢查和強制執行受保護檔案的 DLP 原則。 請勿移除或停用這些應用程式 ID。 這樣做會中斷檢查,並防止 DLP 原則套用至受保護的檔案。 請務必確認您環境的應用程式識別碼已存在並已啟用。
設定 Microsoft 資訊保護設定
若要將必要的許可權授與 Defender for Cloud Apps:
移至 [設定>] [Microsoft 資訊保護]。
在 [Microsoft 資訊保護] 設定下,設定下列其中一個或兩個選項:
自動掃描新檔案以取得 Microsoft 資訊保護敏感度標籤和內容檢查警告。 啟用時,應用程式連接器會掃描新檔案,以取得來自Microsoft資訊保護內嵌敏感度標籤。
僅掃描此租用戶的 Microsoft 資訊保護敏感度標籤和內容檢查警告檔案。 啟用時,只會掃描租用戶內套用的敏感度標籤。 外部租用戶套用的標籤會被忽略。
選取選項之後,選取 [儲存] 以套用您的變更。
設定受保護檔案的檔案原則
在 Defender 入口網站中,移至 [ 設定 > Cloud Apps > 原則] 原則 > 管理。
請遵循步驟來 建立新的檔案原則。
選取套用至所有檔案或套用至選取的檔案,以指定要掃描的檔案。 如果您有要從原則中排除的內部分類關鍵字標準,此選項很有用。
選取檢查方法>資料分類服務,以啟用原則的內容檢查。
核取這兩個方塊 - 檢查受保護的檔案 並 取消遮罩匹配的最後 4 個字元。
後續步驟
如果您遇到任何問題,我們隨時為您提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證。