组织必须保护敏感信息并防止无意泄露。数据保护法规不时变化。数据丢失防护 (DLP) 的目标是确保敏感数据不会丢失、滥用或被未经授权的用户访问。
借助数据丢失防护策略,组织可以识别、监控和自动保护其 Microsoft 365 环境中的敏感信息。 DLP 策略可以帮助您:
- 跨多个位置(Exchange Online、SharePoint、OneDrive 和 Microsoft Teams)识别敏感信息
- 防止意外共享敏感信息
- 监控和保护桌面版 Excel、PowerPoint 和 Word 中的敏感信息
- 查看 DLP 报告(包含与您组织的 DLP 策略相匹配的内容)
Microsoft Teams 的 DLP 策略
如果您的组织具有数据丢失防护 (DLP),您可以定义策略以防止人们在 Microsoft Teams 频道或聊天会话中共享敏感信息。当与具有来宾访问权限或外部访问权限的 Microsoft Teams 用户共享时,Microsoft Teams 的 DLP 会阻止敏感内容。以下是此保护工作原理的一些示例:
- 保护消息中的敏感信息:假设有人试图在 Teams 聊天或频道中与来宾共享敏感信息。如果您定义了 DLP 策略来防止出现这种情况,则发送给来宾的带有敏感信息的消息将被删除。删除会在几秒钟内自动发生,具体取决于您的 DLP 策略的配置方式。
- 保护文档中的敏感信息:假设有人试图在 Microsoft Teams 频道或聊天中与来宾共享文档,并且该文档包含敏感信息。如果您有 DLP 策略 定义为防止这种情况发生,文档将不会为这些用户打开。 您的 DLP 策略必须包括 SharePoint 和 OneDrive,以便保护到位。
示例:在 Teams 聊天和频道消息中保护社会安全号码
作为 Contoso 的 Teams 管理员,你已创建并应用 DLP 策略来保护 Teams 聊天和频道消息中的社会安全号码。
后来,用户尝试在 Microsoft Teams 频道中发送社会安全号码。 该消息已被阻止,并且有一个帮助链接,我该怎么办?。 此链接将打开一个对话框,为发件人提供解决问题的选项。
作为管理员,您可以选择允许用户覆盖组织中的 DLP 策略。配置 DLP 策略时,您可以使用默认策略提示或自定义策略提示。在以下示例中,发件人可以选择覆盖策略或通知管理员查看并解决它。
收件人正在屏幕上查看不同的消息,如下图所示:
您可能会注意到,收件人收到的信息表明该邮件因敏感内容而被阻止,并且该邮件旁边有一个链接:这是什么?这将打开一篇关于 DLP 策略的文章,用户可以在其中找到消息被阻止的解释。
DLP 策略配置概述
您可以灵活地创建和配置 DLP 策略。您可以从预定义的模板开始,只需单击几下即可创建策略,也可以从头开始设计自己的策略。无论您选择哪一种,所有 DLP 策略都需要您提供相同的信息。
1.选择要监视的内容:Microsoft 365 附带了许多预定义的策略模板来帮助您入门,或者您可以创建自定义策略。
- 预定义的策略模板:针对各个国家和地区的财务数据、医疗和健康数据、隐私数据。有关详细信息,请参阅 DLP 策略模板。
- 使用可用敏感信息类型、保留标签和敏感标签的自定义策略。
2.选择要监控的位置:选择一个或多个要 DLP 监控敏感信息的位置。您可以监控:
| 监控位置 | 包含和不包含 |
|---|---|
| Exchange email | distribution groups |
| SharePoint sites | sites |
| OneDrive accounts | accounts or distribution groups |
| Teams chat and channel messages | accounts |
| Windows 10 devices | user or group |
| Microsoft Cloud App Security | instance |
| On-premises repositories | repository file path |
3.选择要应用于项目的策略必须匹配的条件:您可以接受预先配置的条件或定义自定义条件。一些例子是:
- 项目包含在特定上下文中使用的特定类型的敏感信息。例如,将 95 个社会保险号通过电子邮件发送给贵组织外部的收件人。
- 项目具有指定的敏感度标签。
- 包含敏感信息的项目在内部或外部共享。
4.选择满足策略条件时要采取的操作:操作取决于活动发生的位置。一些例子是:
- SharePoint/Exchange/OneDrive – 阻止组织外部的人员访问内容。向用户显示提示并向他们发送电子邮件通知,告知他们正在执行 DLP 策略禁止的操作。
- 团队聊天和频道 – 阻止在聊天或频道中共享敏感信息。
条件和采取的行动是 在称为规则的对象中定义。 创建规则以强制执行特定的保护要求。 DLP 策略用于将常见的保护要求组合在一起。
为Microsoft Teams创建新的DLP 策略
DLP 策略可以在 Microsoft 365 合规中心管理,位于数据丢失防护下方。按照以下步骤为 Teams 位置创建新的 DLP 策略:
1.从 Microsoft 365 合规中心,选择“策略”>“数据丢失防护”。
2.选择策略选项卡,然后选择 + 创建策略以启动向导。
3.在从模板开始或创建自定义策略页面上,您可以从不同的敏感信息类型模板中进行选择,也可以选择创建自定义策略。做出选择并选择下一步。
4.在“命名您的策略”页面上,输入一个有意义的名称和一个说明,以解释此 DLP 策略的用途。选择下一步。
5. 在选择应用策略的位置页面上,选择您希望 DLP 策略保护的位置。 DLP 策略可以同时包含团队和非团队位置。
6.在“定义策略设置”页面上,选择其中一个单选按钮,然后选择“下一步”。
- 查看和自定义模板中的默认设置
- 创建或自定义高级 DLP 规则 根据之前的选择,您将配置策略设置。
7.如果您选择创建或自定义高级 DLP 规则,您将使用以下设置配置新规则:
- Conditions
- Exceptions
- Actions
- User notifications
- User overrides
- Incident reports
- Additional options
配置所需设置后,选择下一步。
8.在测试或打开策略页面上,您可以从不同的设置中进行选择以启用新的 DLP 策略:
- 先测试一下 – 不强制执行策略。您还可以选择在测试模式下显示策略提示。
- 立即打开 – 在创建后立即激活策略。
- 保持关闭 – 停用策略。
选择“下一步”,然后在“查看您的设置”页面上,选择“创建”。
