資料遺失防護政策參考

Microsoft Purview 資料外洩防護 (DLP) 政策包含許多需要設定的元件。 要建立有效的政策，你需要了解每個元件的目的，以及其設定如何改變政策的行為。 本文詳細剖析了DLP政策。

建議閱讀

1. 管理單位
2. 了解 Microsoft Purview 資料外洩防護
3. 規劃資料外洩防護 (DLP) - 透過本文，您將：
   1. 識別專案關係人
   2. 描述要保護的敏感性資訊類型
   3. 設定目標和策略
4. 收藏政策解決方案概述
5. 收藏政策參考
6. 資料外洩防護原則參考資料 - 本文介紹 DLP 原則的所有元件，以及每個元件如何影響原則的行為
7. 設計 DLP 政策 ——本文將引導你建立政策意圖陳述，並將其映射到特定的政策配置。
8. 建立並部署資料遺失防護政策 ——本文介紹一些常見的政策意圖情境，將這些情境映射到設定選項，然後引導你如何配置這些選項。
9. 了解資料遺失防範警示的調查 ——本文將介紹警示從建立到最終修復及政策調整的生命週期。 同時也會介紹你用來調查警報的工具。

DLP 平台考量

此外，你也需要注意平台的以下限制：

• 租戶中最多可持有 MIP + MIG 保單數量：10,000
• DLP 政策的最大容量 (100 KB)
• DLP規則的最大數量：
  • 在保單中：受限於保單金額
  • 租戶：600
• 單一 DLP 規則的最大大小：100 KB (102,400 字元)
• DLP 警示與產生事件報告證據限制：100 筆，包含每筆 SIT 證據，按事件發生比例計算
• 從檔案掃描的文字最大大小：前 200 萬字元 (~2) MB 可擷取的文字。 若檔案超過此限制，前 200 萬字元會被掃描，並發出「文件未完成掃描」訊號。
• 所有預測匹配的正則表達式大小限制：20 KB
• 保單名稱長度限制：64 個字元
• 政策規則長度限制：64 字元
• 留言長度限制：1,024 字元
• 描述長度限制：1,024 字元
• 端點DLP最大大小設定：16,384字元

原則範本

DLP 政策範本分為五種，分為兩大類。

企業應用程式 & 裝置

• 強化政策
• 能偵測並保護各種 財務 資訊的保單。
• 能偵測並保護各種 醫療與健康 資訊的政策。
• 能偵測並保護各種 隱私 資訊的政策。
• 一個自訂保單範本，如果其他保單都不符合你組織的需求，你可以用來建立自己的保單。

下表列出所有政策範本及其涵蓋 (SIT) 敏感資訊類型。

內嵌網路流量政策

• 一個自訂保單範本，你可以用來建立自己的保單。

政策範圍

請參閱 「管理單位」 ，確保您了解無限制管理員與受限制管理單位管理員的差別。

DLP政策涵蓋兩個不同層級。 第一層級會根據) 選擇的地點 (套用無限制的管理員範圍政策，適用於組織內的以下所有事項，稱為 行政單位限制政策（Administrative Unit restricted policies）：

• 使用者
• 團體
• 通訊群組
• 帳戶
• 網站
• 雲端應用實例
• 本地部署儲存庫
• Fabric 與 Power BI 工作空間

在這個層級，受限制的行政單位管理員只能從他們被分配的行政單位中選擇。 DLP 支援管理單元對部分受企業應用 & 裝置保護的地點進行範圍範圍。

DLP 政策的第二層級範圍是依據 DLP 支援 的地點 來界定。 在此層級，無限制與管理單位受限管理員僅能看到第一層政策範圍中包含且該地點可用的使用者、分發群組、群組與帳號。

支援將 SharePoint 網站加入管理單元

Microsoft Purview 支援 將 SharePoint 網站加入現有的管理單元。 當你將 SharePoint 位置的 DLP 政策指派給管理單位時，該政策只會適用於該管理單位內的站點。 無法進一步編輯範圍以包含或排除特定網站。 本政策適用於所有隸屬於行政單位的站點。

這裡有一個使用案例範例：

Contoso 為工程部門建立了 Entra ID 管理單位，並指派特定管理員管理該部門的使用者與群組。 工程部門有一個 SharePoint 網站用來儲存敏感資訊。 Contoso 希望確保工程部門 SharePoint 網站的 DLP 政策只適用於屬於管理單位的 SharePoint 網站。 將 DLP 政策指派給管理單位後，該政策只會適用於該管理單位所屬的 SharePoint 網站。 此外，管理單位受限管理員只能管理該站點的 DLP 政策，且只能在活動總管和警示儀表板中看到該管理單位的政策匹配結果資料。

無限制政策

不受限制的政策由以下角色群組的使用者建立和管理：

• 合規性系統管理員
• 合規性資料管理員
• 資訊保護
• 資訊保護系統管理員
• 安全性系統管理員

詳情請參見 權限 條目。

不受限制的管理員可以管理所有政策，並查看所有從政策匹配中流向 警報儀表板 與 DLP 活動總管的警報與事件。

行政單位限制政策

管理單元是您 Microsoft Entra ID 目錄的子集，建立目的是管理使用者、群組、散發群組及帳號的集合。 這些彙編通常依據商業集團或地緣政治區域建立。 行政單位有一位委派管理員，該管理員與角色群組中的行政單位相關聯。 這些稱為行政單位限制管理員。

DLP 支援將政策與行政單位關聯。 請參閱 Microsoft Purview 入口網站中的 管理單元 實作細節。 管理單位管理員需被指派至與無限制 DLP 政策管理員相同的角色或角色群組，以便建立並管理其行政單位的 DLP 政策。

位置

DLP 政策能在多個地點尋找並保護含有敏感資訊的項目。

交換地點範圍

如果你選擇在 Exchange 中包含特定的分發群組，DLP 政策的範圍會針對該群組成員發送或寄給該群組成員的電子郵件。 同樣地，排除分發群組即排除該分發群組成員發出的所有電子郵件，或排除政策評估之外。

交易所地點範圍計算

以下是交易所地點範圍計算的範例：

假設你組織中有四個使用者，以及兩個用來定義 Exchange 位置包含與排除範圍的分發群組。 群組成員制度如下：

您可以選擇將原則限定至通訊清單、動態通訊群組和安全性群組的成員。 DLP 原則最多可包含 50 項此類的包含和排除。

OneDrive 位置範圍

在為 OneDrive 位置設定政策範圍時，除了將 DLP 政策套用到組織中的所有使用者和群組外，你還可以將政策的範圍限制在特定使用者和群組中。 DLP 支援將政策範圍涵蓋最多 100 位個別使用者。

例如，如果你想包含超過 100 名使用者，必須先將這些使用者放入分發群組或安全群組，視情況而定。 你可以將保單範圍擴大到最多50個群組。

在某些情況下，你可能想對一兩個群組，加上兩三個不屬於這兩個群組的個別使用者套用政策。 這裡的最佳做法是 把這兩三個人分成一個獨立的團體。 這是確保政策涵蓋所有預期使用者的唯一方法。

原因是當你只列出使用者時，DLP 會將所有指定的使用者加入政策範圍。 同樣地，當你只新增群組時，DLP 會將所有群組的所有成員加入政策範圍。

假設你有以下群組和使用者：

若將政策範圍限制為 僅 使用者或 群組 ，DLP 將政策套用於使用者，如下表所示：

然而，當使用者和群組混合在作用範圍設定中時，情況就會變得複雜。 原因如下：DLP 只將政策範圍限制在上述群組與使用者 的交集 處。

DLP 在決定應納入範圍的使用者與群組時，採用以下操作順序：

1. 評估群體成員的合併
2. 評估使用者的聯合
3. 評估群組成員與使用者的交集，也就是結果重疊的地方

接著，它將政策的範圍套用到群組成員與使用者的交集部分。

我們擴展範例，使用同一組群組，並加入不屬於群組的 User4：

下表說明在使用者與群組同時包含在範疇內的情況下，政策範疇的運作方式。

裝置範圍

在預覽階段，端點的 DLP 政策依使用者與裝置範圍設定。 要套用端點政策，使用者與裝置必須同時在政策範圍內。 這表示如果使用者在政策範圍內，但裝置不在，該政策將不會被套用。 同樣地，如果裝置在政策範圍內，但使用者不在，該政策不會被套用。

以下是如何針對不同結果設定 DLP 政策範圍的方法。

內容定義的地點支援

DLP 政策透過將敏感項目與敏感資訊類型 (SIT) ，或敏感標籤或保留標籤匹配來偵測。 每個地點都支援不同的敏感內容定義方法。 當你在政策中合併地點時，內容的定義方式會從限制在單一地點時有所不同。

DLP 支援使用可訓練分類器作為偵測敏感資訊的條件。 內容可透過 Exchange 中可訓練的分類器定義，SharePoint網站、OneDrive帳號、Teams聊天與頻道、裝置，以及非管理雲端應用程式。 欲了解更多資訊，請參閱 可訓練分類器。

規則

規則是 DLP 政策的商業邏輯。 它們包括：

• 條件在匹配時會觸發保單

• 決定比賽內容與結果的行動。

• 使用者通知 ，告知用戶何時做出觸發政策的行為，並幫助他們了解組織如何對待敏感資訊

• 使用者覆蓋 由管理員設定時，允許使用者選擇性地覆蓋阻擋動作

• 事件報告，當規則匹配發生時通知管理員及其他關鍵利害關係人

• 額外選項 定義規則評估的優先順序，並可停止進一步的規則與政策處理。

一份保單包含一條或多條規則。 規則會依序執行，從每個原則中最高優先順序的規則開始。

DLP 分類的運作方式

DLP 會在項目被建立、讀取或修改時，評估該項目是否包含敏感資訊。 評估也會透過 按需分類來啟動。 然而，像 DLP 規則匹配 這類事件，只有在使用者嘗試與 DLP 政策相符的活動時，才會出現在稽核日誌或活動總管中。

以下是 DLP 可以監控並採取行動的一些使用者活動清單：

• 透過 Edge 瀏覽器整合功能上傳文字

• 透過 Edge 瀏覽器整合功能上傳檔案

• 透過 Edge 瀏覽器整合功能下載檔案

• 透過 Edge 瀏覽器利用整合功能切割/複製資料

• 透過 Edge 瀏覽器整合功能貼上資料

• 透過 Edge 瀏覽器整合功能列印資料

• 列印其他地點的資料

• 複製到可移除媒體

• 複製到網路分享

• 複製到剪貼簿

• 使用藍牙傳輸

• 檔案已遭不允許的應用程式存取

• 貼到非 Edge 瀏覽器

• 列印資料

• 使用遠端桌面傳輸

• 若條件與使用者活動符合，所建立、讀取或修改的項目將與客戶端的 DLP 規則與政策相匹配。 這會被稽核為檔案活動，例如 FileRead（檔案讀取）或 FileRenamed（檔案重命名）。

• 若達成某項活動，則 DLP 規則匹配事件會在活動總管中以「DLP 規則匹配」事件的形式出現。 同時也會產生描述逃生模式的事件。

• 政策會採取行動，行動與條件不同。 即使沒有執行任何操作，規則仍可在檔案上匹配。

規則評估與適用的優先順序

託管服務地點

對於託管服務地點，如 Exchange、SharePoint 和 OneDrive，每個規則會依照建立順序分配優先順序。 這表示先建立的規則擁有優先權，後產生的規則擁有第二優先權，依此類推。

以規則評估內容時，系統會依優先順序處理規則。 若內容符合多項規則，則執行首條具有 限制 性行為的規則。 例如，若內容符合以下所有 規則，則 會執行規則3，因為它是最高優先權、最嚴格的規則：

• 規則 1：只通知使用者
• 規則 2：通知使用者、限制存取且允許使用者覆寫
• 規則三：通知使用者、限制存取權限，且不允許使用者覆蓋
• 規則四：限制存取

規則1、2和4會被評估，但不會被執行。 在此範例中，所有規則的匹配結果都會記錄在稽核日誌中，並顯示在 DLP 報告中，儘管只套用最嚴格的規則。

您可以使用規則以符合特定的保護需求，然後使用 DLP 原則將常見保護需求分成一組，例如所有需要遵守特定法規的規則。

例如，您的 DLP 原則可能協助您偵測是否存在受到健康保險流通與責任法案 (HIPAA) 的資訊。 這項 DLP 政策可以幫助保護所有 SharePoint 網站和 OneDrive 網站的 HIPAA 資料 (「什麼」) (「哪裡」) 方法是找到任何包含這些敏感資訊、且與組織外人士共享的文件， (條件) ，然後封鎖該文件存取，並發送通知 (行動) 。 這些需求會儲存為個別規則並分組為 DLP 原則，以簡化管理和報告。

對於端點

當項目符合多項 DLP 規則時，DLP 會透過複雜的演算法決定應應用哪些動作。 端點 DLP 會將最嚴格的動作彙總或總和。 DLP在計算時會考慮這些因素。

政策優先順序 當一個項目匹配多個政策且這些政策有相同的動作時，則會套用最高優先權政策的行動。

規則優先順序 當一個項目在政策中匹配多個規則且這些規則有相同的動作時，會套用優先權最高規則的動作。

保單模式 當一個項目匹配多個政策且這些政策有相同的動作時，所有處於「 開啟狀態 」 (強制) 模式的政策行動會優先應用於 「在模擬模式下執行政策並附政策提示 」和「 在模擬模式執行政策 」狀態下的政策。

動作 當一個項目匹配多個政策且這些政策在行動上有所不同時，會套用最嚴格行動的總和。

授權群組 設定 當項目匹配多個政策且這些政策在作用上不同時，會套用最嚴格行動的總和。

覆寫選項 當項目匹配多個政策且覆蓋選項中政策不同時，動作依序執行：

無覆蓋>允許覆寫

以下是說明執行時行為的情境。 在前三種情境中，你會設定三種 DLP 政策如下：

物品包含信用卡號碼

監控裝置上的項目包含信用卡號碼，因此符合政策 ABC 與政策 MNO 的匹配。 ABC 和 MNO 都處於 開啟 模式。

物品包含信用卡號碼及美國社會安全號碼

監控裝置上的項目包含信用卡號碼和美國社會安全號碼，因此該項目符合政策 ABC、政策 MNO 及政策 XYZ。 這三種政策都處於 開啟 模式。

商品包含信用卡號碼，保單狀態不同

監控裝置上的項目包含信用卡號碼，因此符合政策 ABC 和政策 MNO。 政策 ABC 處於 開啟 模式，政策 MNO 則處於 模擬模式執行政策 。

項目包含信用卡號碼、不同的覆寫設定

監控裝置上的項目包含信用卡號碼，因此符合政策 ABC 和政策 MNO。 政策ABC在 《Turn it on state》中，政策 MNO 在 《Turn it on state》中。 它們有不同的 覆蓋 動作設定。

項目包含信用卡號碼、不同的授權群組設定

監控裝置上的項目包含信用卡號碼，因此符合政策 ABC 和政策 MNO。 政策ABC在 《Turn it on state》中，政策 MNO 在 《Turn it on state》中。 它們設定了不同的 授權群組 動作。

條件

條件是指你定義規則要尋找什麼，以及這些項目被使用的情境。 他們告訴你規則：當你發現一個看起來像 這樣 且 被這樣使用的東西時，它就是匹配，政策中的其他措施都應該對它採取。 您可以使用條件對不同的風險層級指派不同的動作。 例如，相較於與組織外部人員共用的敏感性內容，內部共用的敏感性內容風險可能較低，所需的動作也較少。

內容包含以下內容

所有地點均支援 「內容包含 」條件。 你可以選擇每種內容類型的多個實例，並透過使用 這些 (邏輯 OR) 或 All 這些 (邏輯 AND) 運算子進一步精細化條件：

• 敏感性資訊類型
• 敏感度標籤
• 保留標籤
• 可訓練分類器

規則只會檢查你選擇的 敏感度標籤 和 保留標籤 的存在。

SIT有預設的 置信水準 ，必要時可以調整。 欲了解更多資訊，請參閱 「更多關於信心水準」的文章。

Microsoft Purview 中的自適應保護

自適應保護將 Microsoft Purview 內部風險管理的風險檔案整合進 DLP 政策中，使 DLP 能協助防範動態識別的風險行為。 在內部風險管理中設定時，自適應保護的內部風險等級會顯示為 Exchange Online、裝置、Teams 及非管理雲端應用程式位置的條件。 詳情請參閱 《了解資料遺失防止中的自適應保護 》。

適應性防護所支援的條件

• 適應性防護的內部風險等級是......

以下數值：

• 風險等級升高
• 中等風險等級
• 輕微風險等級

條件背景

可用的情境選項會根據你選擇的地點而有所不同。 如果你選擇多個地點，只有這些地點共有的條件會被使用。

條件交換支援

• 內容包含以下內容
• 自適應保護的內部風險等級為
• 內容沒有標註
• 內容來自 Microsoft 365
• 內容接收自
• 寄件者 IP 位址為
• 標頭包含單字或片語
• 發送者 AD 屬性包含單字或片語
• 內容字元集包含詞彙
• 標頭符合模式
• 發送者 AD 屬性匹配模式
• 收件人 AD 屬性包含詞語或片語
• 接收者 AD 屬性與模式相符
• 受獎者為
• 文件屬性為
• 無法掃描任何電子郵件附件的內容
• 文件或附件有密碼保護
• 寄件人是否覆蓋了政策提示
• 發送者是
• 未完成掃描任何電子郵件附件的內容
• 收件者地址包含文字
• 檔案副檔名為
• 收件者網域為
• 收件者為
• 寄件者為
• 寄件者網域為
• 收件者地址符合模式
• 文件名稱包含詞語或片語
• 文件名稱與模式相符
• 主詞包含詞語或片語
• 主題符合模式
• 主詞或主體包含詞語或片語
• 主體或身體匹配模式
• 寄件地址包含單字
• 寄件者地址符合模式
• 文件大小等於或大於
• 文件內容包含詞語或片語
• 文件內容與模式相符
• 訊息大小等於或大於
• 訊息類型為
• 訊息重要性為

Requirements SharePoint 支援

• 內容包含以下內容
• 內容來自 Microsoft 365
• 文件屬性為
• 文件無法掃描
• 文件或附件有密碼保護
• 文件掃描未完成
• 檔案副檔名為
• 文件名稱包含詞語或片語
• 文件大小等於或大於
• 文件建立者

條件 OneDrive 帳號支援

• 內容包含以下內容
• 內容來自 Microsoft 365
• 文件屬性為
• 文件無法掃描
• 文件或附件有密碼保護
• 文件掃描未完成
• 檔案副檔名為
• 文件名稱包含詞語或片語
• 文件大小等於或大於
• 文件建立者
• 文件已被分享

Teams 聊天與通道訊息支援條件

• 內容包含以下內容
• 自適應保護的內部風險等級為
• 內容來自 Microsoft 365
• 收件者網域為
• 收件者為
• 寄件者為
• 寄件者網域為

Conditions 管理雲端應用程式支援

• 內容包含以下內容
• 檔案副檔名為
• 文件大小等於或大於
• 受管理或非受管理裝置 (剪切/複製資料、貼上資料及列印資料活動，僅支援受管理或非受管理裝置條件) 。

條件：非管理雲端應用程式支援

• 內容包含以下內容
• 自適應保護的內部風險等級為

端點所支援的條件

• 內容包括： 指定要偵測的內容。 有關支援檔案類型的詳細資訊，請參閱 「已掃描內容的檔案」。

• 內容未標示： 偵測未套用敏感性標籤的內容。 為了確保只偵測到支援的檔案類型，你應該將此條件搭配 檔案副檔名 is 或 File type 作為 條件。 支援 PDF 與 Office 檔案：

  檔案類型	格式	監控檔案副檔名
  Word 處理	Word、PDF	.doc、.docx、.docm、.dot、dotx、.dotm、.docb、.pdf
  試算表	Excel, CSV, TSV	.xls、.xlsx、.xlt、.xlm、.xlsm、xltx、xltm、xlsb、.xlw、.csv、.tsv
  Presentation	PowerPoint	.ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx

• 文件無法掃描：適用於因以下原因之一無法掃描的檔案：

  • 檔案包含一個或多個暫時性文字擷取錯誤
  • 檔案有密碼保護
  • 檔案大小超過支援的限制 (最大檔案大小：未壓縮檔案為 64 MB;壓縮檔案 256 MB 的)
  • Microsoft分類引擎 (MCE) 超時或失效

• 文件名稱包含以下詞語或片語： 偵測包含您指定任何單字或片語的文件，例如： file、 credit card、 patent、等等。

• 文件名稱與模式相符： 偵測檔名與特定模式相符的文件。 評估會考慮文件的整個路徑，而不僅僅是文件名稱。 該模式會被檢查為字串匹配，意即它可以匹配文件路徑的任何部分。 要定義模式，可以使用萬用牌。 有關正則表達式模式的資訊，請參閱 此處的正則表達式文件。

• 文件或附件設有密碼保護： 只偵測已開啟的受保護檔案。 支援以下檔案：
• 封存檔案 (ZIP、.7z、RAR)
  • 辦公檔案
  • PDF
  • Symantec PGP 加密檔案

• 文件大小等於或大於： 偵測檔案大小等於或大於指定值的文件。 DLP 僅支援小於 64 MB 的檔案內容檢查。

  重要事項

  我們建議將此條件設定為偵測大於 10KB 的項目

• 檔案類型如下： 可偵測以下檔案類型：

  檔案類型	應用程式	監控檔案副檔名
  Word 處理	Word、PDF	doc、.docx、.docm、.dot、dotx、.dotm、.docb、.pdf
  試算表	Excel, CSV, TSV	.xls、.xlsx、.xlt、.xlm、.xlsm、xltx、xltm、xlsb、.xlw、.csv、.tsv
  Presentation	PowerPoint	.ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx
  電子郵件	Outlook	.msg

  重要事項

  檔案 副檔名 和 檔案類型 選項 不能 在同一條規則中作為條件使用。 如果要將它們用作同一原則中的條件，它們必須在不同規則中。

要使用 檔案類型 是 條件，您必須擁有以下其中一個 Windows 版本：

• Windows端 (X64) ：

  • Windows 10 (21H2,22H2)
    • Windows 10 21H2 更新詳情
    • Windows 10 22H2 更新詳情

• Windows 端 (ARM64) ：

  • Windows 11 (21H2,22H2)
    • Windows 11 21H2 更新細節
    • Windows 11 22H2 更新細節

• 檔案副檔名為： 除了偵測與檔案 類型 is 所涵蓋的副檔名相同的檔案敏感資訊外，您還可以使用檔案 副檔名 is 條件來偵測任何您需要監控的檔案副檔名中的敏感資訊。 為此，請在保單規則中加入必要的檔案副檔名，並以逗號分隔。 副 檔名 is 條件僅支援支援檔案 類型為 條件的 Windows 版本。 檔案副檔名不 支援壓縮檔格式。

  警告

  在政策規則中加入以下任一檔案副檔名，可能會大幅增加 CPU 負載：.dll、.exe、.mui、.ost、.pf、.pst。

• 掃描未完成： 當掃描檔案開始，但在掃描完整檔案前停止時，適用此法。 掃描不完整的主要原因是檔案中擷取的文字超過最大允許大小。 (擷取文字的最大大小：未壓縮檔案：前 4 MB 可擷取文字;壓縮檔案：N=1000 / 擷取時間 = 5 分鐘。)

• 文件性質為： 偵測具有自訂屬性與指定值相符的文件。 例如： Department = 'Marketing'， Project = 'Secret'。 若要為自訂屬性指定多個值，請使用雙引號。 例如，「部門：行銷、銷售」。 支援的檔案類型有 Office 和 PDF：

  檔案類型	格式	監控檔案副檔名
  Word 處理	Word、PDF	.doc、.docx、.docm、.dot、dotx、.dotm、.docb、.pdf
  試算表	Excel, CSV, TSV	.xls、.xlsx、.xlt、.xlm、.xlsm、xltx、xltm、xlsb、.xlw、.csv、.tsv
  Presentation	PowerPoint	.ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx

• 該使用者存取了一個來自 Microsoft Edge 的敏感網站： 欲了解更多資訊，請參閱 情境6 監控或限制敏感服務領域的使用者活動 (預覽) 。

• 適應性防護的內部風險等級為： 偵測內部風險等級。

另見： 你可以監控並採取行動的端點活動。

作業系統對五種條件的要求

• 文件無法掃描
• 文件名稱包含詞語或片語
• 文件名稱與模式相符
• 文件大小等於或大於
• 掃描未完成

要使用上述任何條件，您的終端裝置必須運行以下其中一種作業系統：

• Windows 11 23H2：2023年12月4日—KB5032288 (作業系統版本22621.2792與22631.2792) 預覽

• Windows 11 22H2：2023年12月4日—KB5032288 (作業系統版本22621.2792與22631.2792) 預覽 - Microsoft 支援服務

• Windows 11 21H2：2023年12月12日—KB5033369 (OS 建檔 22000.2652) - Microsoft 支援服務

• Windows 10 22H2：2023年11月30日—KB5032278 (作業系統建版19045.3758) 預覽 - Microsoft 支援服務

• Windows 10 21H2：2023年11月30日—KB5032278 (作業系統建版19045.3758) 預覽 - Microsoft 支援服務

• Windows Server 2022/2019：2023年11月14日—KB5032198 (作業系統版本20348.2113) - Microsoft 支援服務 (或更新)

作業系統對條件「文件屬性是」的要求

• Windows 11：2024年2月29日—KB5034848 (作業系統版本22621.3235與22631.3235) 預覽 - Microsoft 支援服務 (或更新版本)

• Windows 10：2024年2月29日—KB5034843 (OS 版本 19045.4123) 預覽 - Microsoft 支援服務 (或更新版本)

條件、實例支援

• 內容包含以下內容
• 內容來自 Microsoft 365

條件：本地儲存庫支援

• 內容包含以下內容
• 檔案副檔名為
• 文件屬性為

條件：Fabric 與 Power BI 支援

• 內容包含以下內容

Microsoft 365 Copilot 支援的條件

此功能目前為預覽階段。

• 內容包含 (敏感度標籤)

條件群組

有時你需要規則來識別單一事物，例如所有包含美國社會安全號碼的內容，而該號碼由單一 SIT 定義。 然而，在許多你想辨識的項目類型較為複雜且難以定義的情況下，定義條件時需要更靈活。

例如，若要識別受限於美國健康保險資訊流通及責任法案 (HIPAA) 的內容，您需要尋找：

• 包含特定類型之機密資訊的內容，例如美國社會安全號碼或藥物管理局 (DEA) 編號。

  AND

• 更難以識別的內容，例如病患的照護通訊或提供的醫療服務描述。 要識別此種內容，需要將關鍵字與大型的關鍵字清單比對，例如國際疾病分類 (ICD-9-CM 或 ICD-10-CM)。

你可以透過將條件分組，並使用邏輯運算子 (AND，或) 來識別這類資料。

根據 美國健康保險法 (HIPAA) ，病症分為如下：

第一組包含識別個人的 SITs，第二組包含識別醫療診斷的 SITs。

條件可以被布林運算子分組並連接起來， (AND， OR， NOT) ，這樣你就能定義規則，說明應該包含什麼，然後在另一個群組中定義排除，並用 NOT 連接。 想了解更多 Purview DLP 如何實作布林值與巢狀群組，請參閱 「複雜規則設計」。

DLP 平台條件限制

動作

任何通過 條件 篩選的項目，都會有規則中所定義的 動作 。 你必須設定所需的選項來支援這個動作。 例如，如果你選擇 Exchange 並選擇「 限制存取」或「在 Microsoft 365 地點加密內容 」動作，你需要從以下選項中選擇：

• 封鎖使用者存取共享的 SharePoint、OneDrive 和 Teams 內容
  • 封鎖所有人。 只有內容擁有者、最後修改者和網站管理員會繼續有權限
  • 只封鎖組織外的人。 組織內的使用者仍可存取。
• 加密電子郵件訊息 (僅適用於 Exchange 中的內容)

規則中可用的動作取決於所選的位置。 各地點可用的行動如下。

支援行動：交換

當 DLP 政策規則在 Exchange 中套用時，可能是 停機、 非停機，或 兩者皆不停機。 Exchange 支援的大多數規則都是非停機的。 非停機動作會在處理後續規則與政策後執行。

DLP 會對政策範圍內的加密郵件進行 DLP 處理，例如封鎖， 但 為了維護加密的機密性，該事件不會出現在活動檔案總管或警示中，且訊息內容也不會對收件人以外的任何人存取。

然而，當 DLP 政策規則觸發 停止動作時 ，Purview 會停止處理後續規則。 例如，當觸發「 限制存取」或「加密 Microsoft 365 地點內容 」動作時，不會再處理其他規則或政策。

若動作 既非 停止也非停止，Purview 會等待動作結果發生後再繼續。 因此，當寄出郵件觸發「 轉發郵件以供核准給寄件 人經理」的操作時，Purview 會等待經理決定是否能發送該郵件。 若管理者批准，該動作即為非停機動作，後續規則會被處理。 相較之下，若經理拒絕發送郵件， 則「轉發郵件以供發送者經理批准 」則會作為暫停動作，阻止郵件發送;之後不會處理任何後續規則或政策。

下表列出 Exchange 支援的行動，並標示它們是停止還是非停止。

關於 Exchange 支援的動作（包括 PowerShell 值）的更多資訊，請參見： 資料遺失防止 Exchange 條件與動作參考。

支援的動作：SharePoint

• 限制存取權限或加密 Microsoft 365 地點的內容

支援動作：OneDrive

• 限制存取權限或加密 Microsoft 365 地點的內容

支援的動作：Teams 聊天與頻道訊息

• 限制存取權限或加密 Microsoft 365 地點的內容

支援的動作：裝置

裝置位置 支援 以下操作：

• 限制存取權限或加密 Microsoft 365 地點的內容
  • 封鎖使用者接收電子郵件，或存取共享的 SharePoint、OneDrive、Teams 檔案和 Power BI 項目
• 當使用者在 Windows 裝置上以 Microsoft Edge 瀏覽器存取敏感網站時，進行稽核或限制活動
  • 敏感場地限制
• 審核或限制裝置上的活動
  • 上傳到受限制的雲端服務網域，或從不允許的瀏覽器登入
  • 貼上到支援的瀏覽器
• 所有應用程式的檔案活動
  • 複製到剪貼簿
  • 複製到可拆卸的 USB 裝置
  • 複製到網路共用
  • 列印
  • 使用不允許的藍牙應用程式複製或移動
  • 使用 RDP 複製或移動
  • 受限應用程式群組中應用程式的檔案活動
  • 應用程式存取限制
    • 透過受限應用程式存取
    • 未包含在受限制應用程式清單中的應用程式存取權限，或規則中新增的受限制應用程式群組
    • 預覽 Copilot+ PC 中 Windows 召回的限制
    • 只對不支援的檔案副檔名施加限制 啟動 Power Automate 流程

你可以讓 DLP 選擇允許、僅審核、用覆寫封鎖，或封鎖這些 Windows 裝置) 操作 (。

你可以讓 DLP 只進行審計、用 覆蓋封鎖，或 (封鎖 這些 macOS 裝置) 操作。

• 封鎖：封鎖用戶相關活動，並啟用稽核功能。 管理員可以選擇性地查看警示。

• 覆寫封鎖：此選項作為標準封鎖，但允許使用者繞過。 使用者只需點擊吐司通知中的「允許」按鈕或 Microsoft Edge 通知中的「確定」按鈕，即可繼續操作。 一旦允許，端點 DLP 會自動恢復執行包括「複製到網路共享」、「複製到可移除 USB 裝置」和「列印」等動作。 其他操作則需在點擊「允許」後重複此程序以繞過政策。

• 審核：不封鎖活動，但啟用審核功能，管理員可選擇性地查看警示。

• 允許：允許活動而不觸發警報，但審計功能仍可啟用。

• 關閉：禁止封鎖或審核活動。

支援的行動：管理式雲端應用程式

你可以讓 DLP 只審核 ，或 (封鎖 Windows 和 macOS 裝置中對使用者活動) 的行動。

支援的動作：非管理雲端應用程式

你可以讓 DLP 只 進行審計 ，或 在 Windows 上封鎖) 使用者活動的行動， (

更多關於支援行動的資訊

你可以在這裡找到更多關於行動的詳細資訊：

• 限制存取或加密 Microsoft 365 地點的內容
• 當使用者在 Windows 裝置上以 Microsoft Edge 瀏覽器存取敏感網站時，進行稽核或限制活動
• 審核或限制裝置上的活動
• 服務領域與瀏覽器活動
• 所有應用程式的檔案活動
• 受限制的應用程式活動
• 受限應用程式群組中應用程式的檔案活動

限制存取或加密 Microsoft 365 地點的內容

利用此功能阻止使用者接收電子郵件，或存取共享的 SharePoint、OneDrive、Teams 檔案及 Power BI 項目。 這個動作可以封鎖所有人，或只封鎖組織外的人。

當使用者在 Windows 裝置上以 Microsoft Edge 瀏覽器存取敏感網站時，進行稽核或限制活動

使用此動作來控制使用者何時嘗試：

審核或限制裝置上的活動

利用此功能限制使用者依服務域與瀏覽器活動、所有應用程式的檔案活動、受限制應用程式活動。 要使用 Audit 或限制裝置上的活動，你必須在 DLP 設定 和你想使用的政策中設定選項。 更多資訊請參閱 「受限制應用程式」和「應用程式群組 」。

DLP 規則中，包含「 審計」或「限制裝置上的活動 」動作，可以設定「 封鎖」並 覆蓋。 當此規則套用於檔案時，任何嘗試執行受限操作的行為都會被阻擋。 會顯示通知，並提供覆蓋限制的選項。 若使用者選擇覆寫，該動作可持續 1 分鐘，在此期間使用者可無限制重試。 例外情況是當敏感檔案被拖放到 Microsoft Edge 時，若規則被覆寫，該檔案會立即附加。

服務領域與瀏覽器活動

當你設定允許/阻擋雲端服務網域和不允許瀏覽器清單， (看到瀏覽器與網域對敏感資料的限制) ，且使用者嘗試將受保護檔案上傳到雲端服務網域或從不允許的瀏覽器存取時，你可以將政策動作設定為 Audit only、 或 Block with overrideBlock 活動。

貼上到瀏覽器的限制

由於規則僅在剪貼簿資料中評估，只有特定規則條件能適用於「貼上到瀏覽器」事件。 「貼到瀏覽器」不會根據文字的複製來源來評估。

適用於貼上到瀏覽器的規則條件：

• 內容包含以下內容
• 內容未標註

補充說明：

• 「貼到瀏覽器」支援 SITs，但不支援敏感度標籤。
• 「貼到瀏覽器」不會不評估小於 30 字元的文字。
• 不支援進階分類。
• 「貼到瀏覽器」事件中不會顯示情境摘要。
• 貼到瀏覽器需要 2 秒評估，然後才允許貼上操作。
• 如果 JIT 設定為在備援時封鎖，它也會阻止貼上。
• 「貼到瀏覽器」只會分類剪貼簿前 4 MB 的文字

所有應用程式的檔案活動

透過「 所有應用程式的檔案活動 」選項，你可以選擇 「不限制檔案活動 」或 「對特定活動套用限制」。 當你選擇 「對特定活動套用限制」時，當使用者存取受 DLP 保護的項目時，你選擇的動作會被套用。

受限制的應用程式活動

先前稱為不允許的 應用程式，受限制的應用程式 活動是指你想要對這些應用程式施加限制。 你可以在端點 DLP 設定中以清單定義這些應用程式。 當使用者嘗試使用列表中的應用程式存取受 DLP 保護的檔案時，你可以選擇 Audit only、 、 Block with override或 Block 是該活動。 若應用程式屬於受限應用程式群組，則在 受限應用程式活動 中定義的 DLP 行動會被覆蓋。 接著會套用受限應用程式群組中定義的動作。

受限應用程式群組中應用程式的檔案活動

你可以在端點 DLP 設定中定義受限制的應用程式群組，並將受限制的應用程式群組加入你的政策中。 當你將受限應用程式群組加入政策時，必須選擇以下選項之一：

• 不要限制檔案活動
• 對所有活動施加限制
• 對特定活動施加限制

當你選擇「 套用限制 」選項任一，且使用者嘗試使用受限制應用群組中的應用程式存取受 DLP 保護的檔案時，你可以選擇 Audit only、 、 Block with override或 Block 依活動方式存取。 你在這裡定義的 DLP 動作會覆蓋所有應用程式中受 限制的應用程式活動 和 檔案活動 中定義的動作。

更多資訊請參閱 受限制應用程式與應用程式群組。

實例動作

• 限制存取權限或加密 Microsoft 365 地點的內容
• 限制第三方應用程式

本地儲存庫動作

• 限制存取權限或移除本地檔案。
  • 封鎖使用者存取儲存在本地儲存庫中的檔案
  • 設定檔案權限 (繼承自父資料夾的權限)
  • 將檔案從儲存的地方移到隔離資料夾

完整細節請參閱 DLP 本地儲存庫操作 。

Fabric 與 Power BI 動作

• 透過電子郵件和原則提示通知使用者
• 發送警報給管理員
• 限制存取

Microsoft 365 Copilot 動作

此功能目前為預覽階段。

• 排除地點內的內容

管理雲端應用程式的動作

• 限制瀏覽器與網路活動

非管理雲端應用程式的動作

• 限制瀏覽器與網路活動

合併地點時可用的動作

如果你選擇 Exchange 及任何其他單一地點來套用該保單，

• 限制存取或加密 Microsoft 365 地點的內容，所有非 Exchange 地點的操作皆可用。

如果您選擇兩個或以上非交易所地點來套用該政策，

• 限制存取或加密 Microsoft 365 地點的內容，所有非 Exchange 地點的操作皆可用。

例如，如果您選擇 Exchange 與 Devices 位置，以下操作可用：

• 限制存取權限或加密 Microsoft 365 地點的內容
• 審核或限制 Windows 裝置上的活動

如果你選擇裝置與實例，以下操作可用：

• 限制存取權限或加密 Microsoft 365 地點的內容
• 審核或限制 Windows 裝置上的活動
• 限制第三方應用程式

某個動作是否生效，取決於你如何設定政策的模式。 你可以選擇「 在模擬模式下執行政策 提示」選項，選擇在模擬模式下執行策略提示。 你可以選擇在保單建立後一小時內立即執行，選擇立即 開啟 選項，或者選擇先儲存，之後再用 「保持關閉 」選項再回來查看。

DLP 平台對動作的限制

使用者通知與政策提示

當使用者在符合規則 (條件的情境中嘗試對敏感項目進行活動時，例如像 OneDrive 網站上包含個人資料 (個人資訊) 的 Excel 工作簿，且與訪客) 分享，您可以透過用戶通知郵件及情境內政策提示彈窗通知他們。 這些通知很有用，因為它們能提升認知並幫助大家了解貴組織的 DLP 政策。

每份文件只會發送一次警示郵件、事件報告郵件和用戶通知。 如果一份文件被重複分享「內容已分享」狀態，仍然只會收到一則通知。

Email 通知依據特定地點提供支援

你也可以讓用戶選擇 覆蓋政策，這樣即使他們有合理的業務需求或政策偵測到誤報，也不會被封鎖。

政策提示與使用者通知設定選項

使用者通知和政策提示的設定選項會依你選擇的監控地點而有所不同。 如果你選擇了：

• Exchange
• SharePoint
• OneDrive
• Teams 聊天與頻道
• 執行個體

你可以啟用或停用各種 Microsoft 應用程式的使用者通知，詳見 資料遺失防護政策提示參考。

你也可以用政策提示開啟或停用通知。

• 發送通知給發送、分享或最後修改內容的使用者，或
• 通知特定人員

此外，您還可以自訂電子郵件文字、主旨及政策提示文字。

欲了解如何自訂終端用戶通知電子郵件的詳細資訊，請參閱 自訂電子郵件通知。

如果你選擇了僅裝置，你會獲得 Exchange、SharePoint、OneDrive、Teams 聊天與頻道，以及實例的所有選項，還有自訂通知標題、內容，以及在 Windows 10/11 裝置上顯示的「取得支援」按鈕中新增超連結的選項。

自訂政策提示通知 字元限制

政策提示通知受以下字元限制：

超連結沒有字元限制，但僅限於整個 DLP 套件中剩餘的空間。 超連結必須是可解析的 URL，並且會被可選的控制項抽象化。 更多資訊連結可在 Microsoft 365 Office 應用程式中找到。

你可以使用以下參數自訂標題和正文。

%%AppliedActions%% 將這些值替換到訊息正文中：

使用這段客製化文字

%%AppliedActions%% 檔案名稱 %%FileName%% 透過 %%ProcessName%% 是你們組織不允許的。 如果你想繞過該政策 %%PolicyName%% ，請選擇「允許」

在自訂通知中產生以下文字：

從剪貼簿貼上檔案名稱：Contoso 文件 1 經由 WINWORD.EXE 是你們組織不允許的。 如果你想繞過 Contoso 高度機密的政策，請選擇「允許」按鈕

你可以使用 Set-DlpComplianceRule -NotifyPolicyTipCustomTextTranslations cmdlet 來在地化你的自訂政策提示。

自訂政策提示顯示的是最嚴格的規則，而不一定是執行限制的規則。

欲了解更多關於用戶通知與政策提示設定與使用，包括如何自訂通知與提示文字，請參閱 「發送電子郵件通知」及「顯示 DLP 政策提示」。

政策提示考量

• 如果敏感度標籤在壓縮檔案中，政策提示就不會產生。
• DLP 在產生加密檔案的政策提示時有困難。

政策提示參考

關於不同應用程式政策提示與通知的支援詳情，請見此處：

• 適用於 Microsoft 365 Outlook 的資料外洩防護原則提示參考
• Outlook 網頁版的資料外洩防護原則提示參考
• 資料遺失政策提示：參考 Microsoft 365 和 OneDrive 中的 SharePoint。 網頁用戶端

在 Exchange 中封鎖使用者

Microsoft 365 和 OneDrive 中 SharePoint 的封鎖與通知

下表顯示了在 Microsoft 365 和 OneDrive 中，針對 SharePoint 的政策，DLP 阻擋與通知行為。 這並非一份詳盡的清單，還有更多設定未涵蓋於本文範圍。

了解更多網址

使用者可能想了解為何他們的活動會被封鎖。 你可以設定一個網站或頁面，詳細說明你的政策。 當您選擇 「為終端使用者提供合規網址以了解您的組織政策 (僅在 Exchange) 上提供 時，使用者在 Outlook Win32 收到政策提示通知， 「了解更多 」連結會指向您提供的網站網址。 此網址優先於以 Set-PolicyConfig -ComplainceURL 設定的全域合規 URL。

使用者覆寫

使用者覆寫的目的是讓使用者有理由繞過 Exchange、SharePoint、OneDrive 或 Teams 中敏感項目上 DLP 政策阻擋行動的方法，讓他們能繼續工作。 使用者覆寫僅在 Office 365 服務中啟用 Notify 用戶並啟用政策提示時啟用，因此用戶覆寫與通知及政策提示並行。

通常，使用者覆寫在組織剛推出政策時非常有用。 你從任何覆寫理由和辨識誤判中獲得的回饋，有助於調整政策。

• 如果最嚴格規則中的原則提示允許人員覆寫規則，則覆寫此規則也將會覆寫內容符合的任何其他規則。

使用者覆蓋行為

當使用者選擇 允許 選項以覆蓋這些活動的封鎖動作時：

• Print
• 複製到可拆卸的 USB 裝置
• 複製到網路共用

在彈出通知後 30 秒內，活動即可繼續。 如果使用者在 30 秒內未選擇 允許 選項，該活動將被封鎖。

對於其他所有活動，使用者必須在選擇 允許 選項後重複該活動才能完成

商業理由 X-Header

當使用者在電子郵件上覆寫一個有覆寫動作的區塊時，覆蓋選項及其提供的文字會儲存在 審核日誌 和電子郵件 X 標頭中。 要查看商業理由覆寫，請在審計日誌ExceptionInfo中搜尋細節價值。 以下是審計日誌數值的範例：

{
    "FalsePositive"; false,
    "Justification"; My manager approved sharing of this content",
    "Reason"; "Override",
    "Rules": [
         "<message guid>"
    ]
}

如果你有一個自動化流程利用商業正當性值，該流程可以在電子郵件 X 標頭資料中以程式化方式存取這些資訊。

事件報告

當規則被匹配時，你可以向合規官 (或你選擇) 的任何人員發送警示電子郵件，包含活動細節，並可在Microsoft Purview 資料外洩防護警示儀表板及Microsoft 365 Defender入口網站查看。 警示包含被匹配的項目資訊、實際符合規則的內容，以及最後修改內容者的姓名。

預覽版管理員警示郵件包含以下細節：

• 警戒的嚴重程度
• 警報發生的時間
• 活動。
• 那些被偵測到的敏感資料。
• 是觸發警報的使用者別名。
• 那份被匹配的保單。
• 警報識別碼
• 如果 裝置 位置在政策範圍內，嘗試執行的端點操作。
• 就是那個被使用的應用程式。
• 如果匹配發生在端點裝置上，則是裝置名稱。

DLP 將事件資訊傳送至其他 Microsoft Purview 資訊保護服務，如內部風險管理。 為了將事件資訊提供給內部風險管理，您必須將 事件報告 嚴重度等級設定為 「高」。

警示類型

每當活動符合規則時，警報就會發出，這可能會造成雜訊。 為了減少雜訊，可以根據匹配數量或項目數量在一定時間內進行彙整。 DLP 政策中可設定兩種警示。

• 單一事件警示 通常用於監控低頻率高度敏感事件的政策，例如一封包含 10 個以上客戶信用卡號碼的電子郵件寄出組織外部。 在預覽中 ，基於使用者的警報彙整 (預覽) 會修改單一事件警報的行為。

• 聚合事件警示 通常用於監控一段時間內大量事件的政策。 例如，當 10 封包含同一客戶信用卡號碼的電子郵件在 48 小時內寄出組織外部時，可能會觸發彙總警示。

其他警示選項

當您選擇 「使用電子郵件事件報告」以通知您保單匹配時 ，您可以選擇包含以下內容：

• 最後修改內容的人名字。
• 符合規定的敏感內容類型。
• 規定的嚴重程度。
• 內容與規則相符，包括周圍的文字。
• 包含符合規則內容的項目。

欲了解更多警示資訊，請參閱：

• DLP 政策中的警示：描述 DLP 政策情境下的警示。
• 開始使用資料遺失警報：涵蓋必要的授權、權限與 DLP 警報與警報參考細節的前提條件。
• 建立並部署資料遺失防護政策：包含在建立 DLP 政策時的警示設定指引。
• 了解資料遺失防護警示的調查：介紹調查 DLP 警示的各種方法。
• 使用 Microsoft Defender 全面偵測回應資料遺失事件：如何在 Microsoft Defender 入口網站調查 DLP 警示。

裝置檔案活動的證據收集

如果你已啟用裝置上的檔案活動「建立證據收集」並新增 Azure 儲存帳號，你可以在端點和你想複製項目的 Azure 儲存帳號上，選擇「收集原始檔案」作為所有選取檔案活動的證據。 你也必須選擇想要複製物品的活動。 例如，如果你選擇列印但不選擇複製到網路共享，那麼只有從監控裝置列印的項目才會被複製到 Azure 儲存帳號。

其他選項

如果你的政策中有多個規則，你可以使用 「附加」選項 來控制後續規則處理，如果有符合的規則，也能設定該規則的評估優先順序。 這只支援 Exchange 和 Teams 的地點

另請參閱

• 深入了解資料外洩防護
• 規劃資料外洩防護 (DLP)
• 建立並部署資料遺失防護政策