管理 Office 365 DLP（数据丢失防护）

数据丢失防护 (DLP) 是一项智能服务，是 Microsoft 365 中的 Microsoft 信息保护 (MIP) 的一部分。它会查找包含敏感信息的消息、文件和其他文档，并应用您配置的关于可以执行哪些操作和不能执行哪些操作的策略与该数据。组织希望 DLP 查找的最常见敏感信息类型包括信用卡号、社会保障或保险号以及其他个人身份信息 (PII)。 DLP 包括数十种内置敏感信息类型，如果出于安全原因或满足合规性法规需要识别和保护特定内容，您还可以创建自己的自定义类型。

该服务使用 DLP 规则和策略来确定文本是否可能是敏感信息。当用户尝试与该数据交互时，该服务将应用您配置的策略。例如，当用户尝试将关键文件附加到电子邮件时，它可能会显示一条警告，实际上是“嘿，这看起来很敏感 - 您确定要共享它吗？”，或者阻止该文件行动彻底。

设置 Office 365 DLP 策略

在 Office 365 设置中，最好配置租户范围的 DLP 策略，不仅考虑电子邮件，还考虑 SharePoint 和 OneDrive for Business 网站及其他服务中的文件和文本。如果您在 Exchange 管理中心配置 DLP，则它仅适用于电子邮件，但如果您在正确的位置设置 DLP 政策，您就可以获得跨多种服务的保护，而无需支付额外费用。要设置租户范围的 DLP 策略，请执行以下简单步骤：

1. 转到管理门户中的安全与合规中心：https://protection.office.com/?rfr=AdminCenter#/homepage。
2. 点击左侧的数据丢失防护，然后在右侧窗格中点击创建新政策。

图 1. 启动新的 DLP 策略

Office 365 提供了许多预先填充的 DLP 策略模板。例如，对于美国组织，有用于检测以下内容的模板：

• 数据受 Gramm-Leach-Bliley 法案 (GLBA) 约束
• 数据须遵守支付卡行业数据安全标准 (PCI-DSS)
• 美国个人身份信息 (U.S. PII)
• 数据受 1996 年健康保险流通和责任法案 (HIPAA) 约束

3. 为了我们的目的，我们点击财务，然后点击财务数据。点击下一步。

4.为策略指定名称和描述。点击下一步。

5.在“选择位置”页面上，选择将在 Office 365 服务的哪些部分强制执行此特定数据丢失防护策略。在本演练中，我们选择 全部位置。然后点击下一步。

6.在下一个屏幕上，您可以自定义此策略将应用的信息类型。在大多数情况下，您需要接受默认值，至少在最初是这样。在这种情况下，我们正在寻找信用卡号、美国银行帐号和路由号码等财务信息，并且我们想知道何时有人试图与我们公司外部的人员共享此内容。点击下一步。

图 2. 指定要使用 DLP 策略保护的内容类型

7.接下来，系统会询问您要使用什么执行方法。您可以选择仅向用户显示策略提示，这只会通知用户他们正在处理敏感信息。或者，您可以选择通知某些人或阻止操作。出于我们的目的，让我们将所需的实例数量更改为 1（如今，即使泄露一张信用卡号码也太多了），并选择阻止人们共享内容。 （如果您的业务模型需要共享此类敏感数据，您可以使用 DLP 策略在发送数据之前自动对其进行加密；您只需选中此页面上的最后一个框即可。）点击 下一步。

图 3. 配置触发 DLP 策略时的操作

8.在下一页上，您可以选择阻止某些人访问 SharePoint 和 OneDrive for Business 内容，以及用户是否以及如何覆盖 DLP 策略。

图 4. 自定义访问和覆盖权限

9.最后，您可以选择是在测试模式下运行策略还是立即开始强制执行。我建议使用一段时间的测试模式，以确保不会对用户工作流程产生不利影响。测试模式会标记策略匹配，但实际上不会阻止发送任何内容 - 它就像“假设”模式，向您显示哪些内容会触发策略。您还可以指示 Office 在测试模式下在 Outlook 中显示提示，以启发用户。

图 5. 激活策略

10. 检查您的设置并关闭向导。

查看 DLP 报告

要了解 DLP 如何影响您的组织，您应该查看用户尝试发送与 DLP 策略匹配的内容的频率。 Office 365 安全与合规中心提供的报告显示一段时间内策略匹配的频率以及误报和覆盖的数量。您可以筛选 Exchange Online、OneDrive for Business 和 SharePoint Online 中命中的策略匹配项，还可以筛选严重性、潜在违规者是谁以及采取了什么操作。

图 6. DLP 策略匹配报告

Netwrix 解决方案如何提供帮助

DLP 计划的有效性在很大程度上取决于准确的数据分类和全面的数据生命周期管理。尽管 Microsoft 提供了一些数据分类功能，但这些功能具有多种限制；特别是，它们在调整方面缺乏灵活性，分类原因不透明，并且支持的文件格式有限。因此，使用它们可能会导致大量误报和漏报，从而导致敏感数据不受保护，而琐碎数据受到过度限制。因此，安全性和合规性可能会受到影响，业务流程可能会中断和延迟。出于这些原因，许多公司选择使用 Office 365 分类作为基础，并添加第三方解决方案以提供更高级别的准确性。

Netwrix 数据分类提供与 Microsoft 信息保护集成的高度准确的分类。 Netwrix解决方案执行统计分析，对内容进行分析和分类，并应用相应的MIP标签。分配给标签的任何安全策略都会自动应用于内容。这些标签可用作 Microsoft DLP 策略中的条件：

• 交换在线电子邮件信息
• 在线SharePoint
• OneDrive for Business 网站
• Windows 10 设备

通过大幅减少与本机分类相关的漏报和误报，Netwrix 数据分类大大降低了敏感文件被外部共享或被恶意行为者访问的风险。它还有助于最大限度地减少业务中断，因为非敏感文件不会被不必要地阻止。

结论

当您的组织将内容移至云端时，准确分类和保护存储在云端的所有敏感信息至关重要。 Office 365 DLP 可能是有价值的第一步。随着您的信息治理计划的成熟，请考虑使用提供更准确和自动化分类功能的第三方解决方案来增强 DLP 的有效性。