開始收集裝置中符合資料外洩防護原則的檔案

本文會逐步引導您完成裝置上檔案活動辨識項收集的必要條件和設定步驟，並介紹如何檢視複製和儲存的專案。

以下是設定和使用裝置上檔案活動證據收集的高階步驟。

1. 將裝置上線
2. 瞭解您的需求建立受控 Azure 儲存體帳戶
3. 將 Azure 儲存體 Blob 新增至您的帳戶
4. 在 Microsoft 所管理的儲存體帳戶上啟用和設定辨識項收集
5. 設定您的 DLP 原則
6. 檢視 Microsoft 受控儲存體的使用量

開始之前

開始這些程序之前，您應該檢閱瞭解 裝置上檔案活動的辨識項收集。

授權和訂閱

如需授權的相關資訊，請參閱

• Microsoft 365 企業版方案
• Microsoft 365 服務描述

請參閱 RBAC) 建立自訂角色型存取控制所需的Microsoft Entra識別碼 P1 或 P2 的必要條件授權需求 (。

權限

需要Standard Microsoft Purview 資料外洩防護 (DLP) 權限。 如需詳細資訊，請參閱＜權限＞。

預覽或下載辨識項的權限

當您想要預覽或下載辨識項時，使用的帳戶必須具有下列角色：

• 預覽辨識項：資料分類內容檢視器
• 下載證據：資料分類內容下載

[資料分類內容下載] 角色會預先指派給下列內建角色群組：

• 資料安全管理
• 資訊保護
• 資訊保護調查人員

如果您需要管理使用者、角色和角色群組，請參閱 Microsoft Purview 入口網站中的許可權。

將裝置上線

在您可以使用複製相符專案之前，您必須將 Windows 10/11 裝置或 macOS 裝置 (預覽) 上線至 Purview，請參閱 將 Windows 裝置上線至 Microsoft 365 概觀。

了解您的需求

在設定 Azure 儲存體並將功能範圍限定為使用者之前，您應該先了解下列問題的答案。

您是否需要按照角色或部門線劃分項目和訪問權限？

例如，如果您的組織想要有一組系統管理員或 DLP 事件調查員，以檢視來自高階領導層的已儲存檔案，以及另一組系統管理員或 DLP 事件調查人員，以檢視人力資源中已儲存的專案，您應該為組織的高階領導建立一個 Azure 儲存體帳戶，並為人力資源部門建立另一個帳戶。 這可確保 Azure 儲存體系統管理員或 DLP 事件調查人員只能從其各自群組看到符合 DLP 原則的專案。

您想使用容器來組織已儲存的項目嗎？

您可以在相同的儲存體帳戶內建立多個辨識項容器，以排序已儲存的檔案。 例如，一個用於從人力資源部門保存的文件，另一個用於來自 IT 部門的文件。

您防止已儲存項目刪除或修改的策略是什麼？

在 Azure 儲存體中，資料保護是指保護儲存體帳戶及其內的資料免遭刪除或修改，以及在刪除或修改資料之後還原資料的策略。 Azure 儲存體也提供災害復原選項，包括多個層級的備援，以保護您的資料免於因硬體問題或自然災害而中斷服務。 如果主要區域中的資料中心無法使用，它也可以使用客戶管理的容錯移轉來保護您的資料。 如需詳細資訊，請參閱 資料保護概觀。

您也可以為 Blob 資料設定不變性原則，以防止已儲存的專案被覆寫或刪除。 如需詳細資訊，請參閱使用 不可變儲存體儲存業務關鍵性 Blob 資料

支援用於儲存和預覽證據的檔案類型

將匹配的項目保存到您喜歡的存儲中

若要儲存 Microsoft Purview 在套用資料外洩防護原則時偵測到的辨識項，您必須設定記憶體。 執行這項作業的方法有兩種：

1. 建立客戶管理的儲存設備
2. 建立 Microsoft 受控儲存體

如需這兩種儲存體類型的詳細資訊和比較，請參閱 偵測 到敏感資訊時儲存證據。

建立客戶管理的儲存設備

設定 Azure 儲存體帳戶、容器和 Blob 的程式記載在 Azure 文件集中。 以下是相關文章的鏈接，您可以參考以幫助您入門：

1. Azure Blob 儲存體簡介
2. 建立儲存體帳戶
3. 預設使用 Microsoft Entra ID 來授權存取 Blob
4. 使用 Azure 入口網站管理 Blob 容器
5. 使用 PowerShell 管理區塊 Blob

請務必儲存 Azure Blob 容器的名稱和 URL。 若要檢視 URL，請開啟 Azure 儲存體入口網站>>主儲存體帳戶>容器>屬性

Azure Blob 容器 URL 的格式為：https://storageAccountName.blob.core.windows.net/containerName。

將 Azure 儲存體 Blob 新增至您的帳戶

您可以透過數種方式將 Azure 儲存體 Blob 新增至您的帳戶。 選擇以下方法 之一 。

1. 登入 Microsoft Purview 入口網站，然後選擇功能表列中的 [ 設定 ] 齒輪。
2. 選擇 資料外洩防護。
3. 選取 [端點 DLP 設定]。
4. 展開 [設定裝置上檔案活動的辨識項收集]。
5. 將切換從 關閉 變更為 開啟。
6. 在 [ 在裝置上設定證據快取 ] 欄位中，選取裝置離線時應在本機儲存證據的時間量。 您可以選擇 7、 30 或 60 天。
7. 選取 儲存體類型 (客戶自控存放區 或 Microsoft受控存放區) ，然後選取 [+ 新增儲存體]。
   1. 對於客戶管理的儲存：
      1. 選擇 客戶管理的存放區：，然後選擇 + 新增儲存空間。
      2. 輸入 為帳戶命名，然後輸入儲存體 Blob 的 URL 。
      3. 選擇 [儲存]。
   2. 針對 Microsoft 管理的儲存體：
      1. 選擇 Microsoft 受控存放區

若要在 Microsoft Purview 入口網站中使用 DLP 原則建立工作流程新增 Azure Blob 儲存體：

1. 登入 Microsoft Purview 入口網站，然後選擇 [數據外洩防護]。
2. 請遵循步驟來建立新原則。
3. 在 [位置 ] 步驟中，確定只選取 [裝置 ] 位置，然後選擇 [下一步]。
4. 在 [原則設定] 步驟中，選取 [建立或自訂進階 DLP 規則]。
5. 選取 [+建立規則]，然後使用您選擇的值新增條件、動作、使用者通知和使用者覆寫。
6. 在 [事件報告 ] 區段中，預設情況下，當 規則相符時傳送警示給系統管理員 切換 應該為 [開啟 ]。 (如果不是，請將其打開 )
7. 選取 [收集原始檔案作為端點上所有選取檔案活動的證據] 旁的核取方塊。
8. 選取您要收集證據的活動。
9. 選取核取方塊項目旁的 [新增儲存空間 ]。
10. 在 [端點 DLP 設定 ] 頁面上，展開 [設定裝置上檔案活動的辨識項收集] ，並確定選項已切換為 [ 開啟]。

設定 Azure Blob 儲存體的許可權

使用Microsoft Entra授權，您必須設定兩組許可權 () Blob 上的角色群組：

1. 一個供管理員和調查人員使用，以便他們可以查看和管理證據
2. 一個適用於需要從其裝置將項目上傳至 Azure 的使用者

最佳做法是對所有使用者強制執行 最低權限 ，無論角色為何。 透過強制執行最低權限，您可以確保使用者權限僅限於其角色所需的權限。 若要設定使用者許可權，請在適用於 Office 365 的 Microsoft Defender 和 Microsoft Purview 中建立角色和角色群組。

系統管理員和調查人員的 Azure Blob 許可權

建立 DLP 事件調查人員的角色群組之後，您必須設定後續的 調查人員動作 和 調查 人員資料動作 一節中所述的許可權。

如需設定 Blob 存取的詳細資訊，請參閱下列文章：

• 如何在 Azure 入口網站 中授權存取 Blob 資料
• 指派共用層級權限。

調查人員的動作

為調查者角色設定這些物件和動作權限：

調查員資料動作

調查員角色群組的 JSON 應該如下所示：

"permissions": [
            {
                "actions": [
                 "Microsoft.Storage/storageAccounts/blobServices/read",
                 "Microsoft.Storage/storageAccounts/blobServices/containers/read",
                 "Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"
                ],
                "notActions": [],
                "dataActions": [
                    "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"
                ],
                "notDataActions": []
            }
        ]

使用者對 Azure Blob 的許可權

將這些物件和動作許可權指派給使用者角色的 Azure Blob：

使用者動作

使用者資料動作

使用者角色群組的 JSON 應該如下所示：

"permissions": [
  {
     "actions": [
       "Microsoft.Storage/storageAccounts/blobServices/containers/read",
       "Microsoft.Storage/storageAccounts/blobServices/containers/write",
       "Microsoft.Storage/storageAccounts/blobServices/read"
     ],
     "notActions": [],
     "dataActions": [
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action",
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write"
     ],
     "notDataActions": []
    }
 ]

在 Microsoft 所管理的儲存體帳戶上啟用和設定辨識項收集

若要從 Microsoft Purview 入口網站內啟用和設定 Microsoft 所管理的儲存體帳戶上的辨識項收集：

1. 登入功能表列中的 Microsoft Purview 入口網站>[設定 ] 齒輪。
2. 選擇 資料外洩防護。
3. 選取 [端點 DLP 設定]。
4. 展開 [設定裝置上檔案活動的辨識項收集] ，並將切換設定為 [開啟]。
5. 在 [選取儲存體類型] 底下，選擇 [Microsoft 受控儲存體]。

設定您的 DLP 原則

像往常一樣建立 DLP 原則。 如需原則設定範例，請參閱 建立和部署資料外洩防護原則。

使用下列設定來設定您的原則：

• 請確定 [裝置] 是唯一選取的位置。
• 在 [事件報告] 中，將 [發生規則相符時傳送警示給管理員] 切換為 [ 開啟]。
• 在 [事件報告] 中，選取 [收集原始檔案作為端點上所有選取檔案活動的辨識項]。
• 選取您想要的儲存體帳戶。
• 選取您要將相符專案複製到 Azure 儲存體的活動，例如：
  • 受限制的應用程式存取 (預覽)
  • 貼到支援的瀏覽器
  • 上傳至雲端服務網域或存取不允許的瀏覽器
  • 複製到抽取式 USB 裝置
  • 複製到網路共用
  • Print
  • 使用不允許的藍牙應用程式複製或移動
  • 使用 RDP 複製或移動

檢視 Microsoft 受控儲存體的使用量

您可以檢視和匯出過去 6 個月的 Microsoft 受控儲存體的每日使用量。

1. 登入功能表列中的 Microsoft Purview 入口網站>[設定 ] 齒輪。
2. 選擇 資料外洩防護。
3. 選取 [端點 DLP 設定]。
4. 展開 [設定裝置上檔案活動的辨識項收集]。
5. 單擊 查看使用情況 按鈕，將打開一個面板。 在這裡，您可以查看每日使用情況的每月圖表，還可以導出使用數據。

預覽並下載證據

有不同的方式可以預覽證據，具體取決於您選擇的儲存類型。

透過活動總管預覽辨識項

1. 登入 Microsoft Purview 入口網站>資料外洩防護>活動總管。
2. 使用 日期 下拉式清單，選取您感興趣期間的 開始 和 結束 日期。
3. 在結果清單中，按兩下您要調查之活動的明細項目。
4. 在飛出視窗窗格中，儲存辨識項之 Azure Blob 的連結會出現在 [辨識項檔案] 底下。
5. 選取 Azure Blob 儲存體連結以顯示相符的檔案。

透過 Purview 入口網站 [警示] 頁面預覽辨識項

1. 登入 Microsoft Purview 入口網站>資料外洩防護>警示。
2. 使用 日期 下拉式清單，選取您感興趣期間的 開始 和 結束 日期。
3. 在結果清單中，按兩下您要調查之活動的明細項目。
4. 在飛出視窗窗格中，選取 [ 檢視詳細資料]。
5. 選取 [事件] 索引標籤。
6. 在 [詳細資料 ] 窗格中，選取 [ 來源] 索引標籤。相符的檔案隨即顯示。

已知行為

• 可從裝置上傳的檔案大小上限為 500 MB。
• 如果在掃描的檔案上觸發 Just-In-Time 保護 ，或如果檔案儲存在網路共用上，則不會收集辨識項檔案。
• 當在非辦公室應用程式) (相同進程中開啟多個檔案，且其中一個符合原則的檔案輸出時，會針對所有檔案觸發 DLP 事件。 沒有捕獲任何證據。
• 如果在單一檔案中偵測到多個原則規則，則只有在將最嚴格的原則規則設定為收集證據時，才會儲存證據檔案。