使用数据丢失防护 (DLP) 策略保护 Office 365 敏感数据

在当今世界，由于数据泄露可能造成灾难性后果，保护敏感数据已成为组织的首要任务！对于需要遵守严格数据法规的组织来说尤其如此。这就是 Office 365 中的数据丢失防护发挥作用的地方！ ?️

幸运的是，Microsoft 365 DLP 提供了全面的数据保护解决方案，使你能够监视和保护敏感数据的共享。通过数据丢失防护策略 (DLP)，您可以建立规则来确保 Office 365 环境中敏感数据的安全。

内容概要：

• 什么是数据丢失防护策略？
• 数据丢失防护策略的许可证要求。
• 如何允许用户访问数据丢失防护策略？
• 如何从默认模板创建 DLP 策略？
• 如何创建自定义 DLP 策略？
• 如何使用 PowerShell 创建 DLP 策略？
• 如何在 Microsoft 365 中查看 DLP 策略？
• 如何查看 DLP 报告？

Office 365 中的数据丢失防护 (DLP) 是什么？

为了防止敏感信息落入猎物手中，数据丢失防护被纳入 Microsoft 信息保护 (MIP) 的一部分。它有助于识别并防止未经授权的消息被共享、更改或利用。

数据丢失防护规则可确定共享的数据是否包含任何可能导致安全漏洞的敏感信息（例如信用卡号、IP 地址等）。如果它检测到任何此类数据，则会强制执行配置的策略并阻止共享。

您可以使用 DLP 政策做什么？

Office 365 具有多种敏感信息类型，这些类型因国家/地区而异。此类信息可能包括护照号码、社会安全号码、信用卡号码等等。 Microsoft 提供了敏感信息类型的完整指南以及如何通过特定关键字、内部函数、正则表达式或模式匹配来识别它们。

例如：当用户尝试邮寄敏感信息（例如 IP 地址）时，DLP 政策将识别该操作并提醒用户或立即阻止该操作。

数据丢失防护政策的许可要求

在探索 DLP 许可证要求之前，了解可用选项非常重要，这有助于您选择最适合您需求的选项。目前，有两种 DLP 许可证类型和一个独立选项。

• 防止数据丢失
• Microsoft Teams 的数据丢失防护

数据丢失防护许可

Also, it protects a few aspects of Teams because Teams uses SharePoint to store files.
• Microsoft 365 business premium
• Microsoft 365 E3

Microsoft Teams 的 DLP 策略重点关注Teams 聊天、频道消息和私人频道消息。

• Office 365 E5/A5/G5
• Microsoft 365 E5/A5/G5
• Microsoft 365 E5/A5/G5 信息保护和治理
• Microsoft 365 E5/A5/G5/F5 合规性和 F5 安全与合规性

记住要点：

自2023 年 6 月 30 日起，Teams DLP 策略涵盖的 Microsoft 365 E3/G3/F3/A3 许可用户将不会对其 Teams 消息进行扫描以防止数据丢失。要继续使用 Teams DLP，组织需要拥有 Microsoft 365 E5/A5/G5/F5 许可证。有关限制的更多详细信息，请参阅新闻：MC546441。

如何允许用户访问数据丢失防护策略？

DLP 政策的目的是指导用户如何保证敏感数据的安全。通常，全局管理员负责创建、编辑和删除 DLP 策略，并且他们可以将访问权限分配给需要访问权限的其他人。因此，请按照以下步骤分配访问 DLP 策略的权限。

1. 导航至 Microsoft Purview → 角色和范围 → Microsoft Purview 解决方案 → 角色。
2. 然后，创建一个角色组。
3. 在选择角色中，选择DLP 合规管理。 在这里，您可以选择DLP合规性管理 或根据您的偏好仅查看 DLP 合规性管理。
4. 接下来，您可以通过在“选择用户”部分中选择所需的用户来分配对 DLP 策略的访问权限。
5. 答对了！！结束了。此后，添加的成员可以创建、修改和删除 DLP 策略。

如何从默认模板创建 DLP 策略？

默认情况下，所有团队都将遵守默认策略，该策略作为团队的基线指南。在这里，Teams 的默认 DLP 策略的工作原理如下！

• 每当通过 Teams 聊天共享信用卡号时，此政策都会自动向管理员发送通知。管理员可以根据我们的偏好更改检测的响应操作。

从默认 DLP 模板创建策略的步骤：

1. 要从默认模板创建 DLP 策略，请导航到 Microsoft 365 合规性页面 → 数据丢失防护。

2. 点击创建策略后，会出现很多默认的DLP策略模板可供启动。这些默认设置涵盖了合规性的基本原则。

40 多个内置策略模板可满足常见行业法规和合规性需求。

3. 从“类别”选项卡中选择符合您要求的类别和模板。

4. 默认情况下，服务名称、描述和位置是预先设置的，但可以编辑。

5. 要将策略限制为特定用户或组，您需要分配在 Azure AD 中创建的管理单位。如果您希望该策略应用于组织中的所有用户和组，则可以继续执行下一步。

注意：此功能目前处于预览阶段并且需要E5 许可证进行配置。

6. 完成所有这些后，将进入策略设置，您可以选择选择默认规则或创建自定义规则。在这里，我们考虑模板中的默认设置。
⇒使用默认模板时，您还可以编辑要保护的敏感数据。

7. 然后，保护操作将为策略设置规则。您可以选择默认规则或创建自定义规则。 （在这里，我们考虑模板中的默认设置。）

8. 完成所有步骤后，系统将提示您在开启策略之前对其进行测试，以避免影响用户工作效率并确保合规性。

如何创建自定义 DLP 政策？

您可以选择创建您自己的整个自定义 DLP 策略，而不是设置默认策略！通过访问相应的管理中心或合规中心，您可以为所有 Office 365 服务配置 DLP 策略，包括 SharePoint 和 OneDrive Business 中的电子邮件和文件。 （确保所有 DLP 策略均在租户范围内配置。）

要创建自定义 DLP 策略，

1. 导航至Microsoft 365 合规性→数据丢失防护。

2. 在“类别”选项卡中，单击自定义选项以创建自定义策略。

3. 创建后，为 DLP 策略指定名称和描述。

4. 要将策略限制为特定用户或组，您需要分配在 Azure AD 中创建的管理单位。如果您希望该策略应用于组织中的所有用户和组，则可以继续执行下一步。

注意：此功能目前处于预览阶段并且需要E5 许可证进行配置。

4. 接下来，您必须确定必须执行您的政策的服务位置。此外，您可以通过包含或排除任何组、站点、工作区等进行自定义...

5. 策略设置确定要应用于您的策略的规则。在这里，管理员需要使用“创建或自定义高级 DLP 规则”，“创建或自定义高级 DLP 规则”，在配置规则和执行操作方面具有丰富的灵活性。

• 在 100 多种敏感信息类型中，添加您想要阻止共享的敏感信息类型。

为敏感信息类型分配置信度级别时，请确保将置信度级别保持在中等置信度。有时，高置信度会导致误报。

• 实例计数表示电子邮件或文档中怀疑敏感信息被阻止的次数。

应将其设置为 1，因为它不应允许任何机密数据离开组织。

6、接下来就是规则的设置了。它由多个条件和操作组成，用于控制您的用户如何利用您的敏感数据。 您可以根据自己的喜好进行选择。

• 监控 - 如果您只想审核内容行为但仍允许用户访问它。
• 阻止 - 完全限制进程。
• 覆盖 - 限制活动，同时允许用户在满足指定条件时覆盖。在这里，用户将在附上此类数据的同时收到策略提示。

7. 使用适当的条件和操作保存规则后，规则的状态将打开。在我们的示例中，当用户尝试在您的外部共享内容时Microsoft 365 组织，DLP 规则执行以下操作：

8. 创建 DLP 策略既简单又有效！检查您的设置，并在开启之前通过测试采取明智的方法，以获得安全数据共享的好处。

如何使用 PowerShell 创建 DLP 策略？

尽管 UI 模式提供了流畅的界面，但它无法自动执行批量操作！这就是 PowerShell 发挥作用的地方，它可以帮助我们快速创建 DLP 策略。?

首先连接到安全与合规中心 PowerShell，以确保您拥有有效的 DLP 策略创建过程所需的工具和访问权限。

Connect-IPPSSession

启用 MFA 的帐户和非 MFA 帐户都可以使用此 cmdlet 进行管理。连接合规中心后，继续执行以下步骤，使用 PowerShell 创建 DLP 策略。

1。 New-DlpCompliancePolicy - 用于在 Microsoft Purview 门户中创建 DLP 策略。

• -Mode 参数 表示 DLP 策略的操作和通知级别。
• 接下来，确定强制执行的位置。 -All 参数跨 Exchange Online、SharePoint 和 OneDrive 强制执行策略。此外，您还可以指定 SharePoint 站点 URL 以进行精细实施！

New-DlpCompliancePolicy -Name USFinancialPolicy
                        -Mode Enable
                        -ExchangeLocation All
                        -SharePointLocation All

2. Set-DlpCompliancePolicy - 用于修改 Microsoft Purview 合规性门户中的数据丢失防护 (DLP) 策略。

此 cmdlet 提供一系列参数，例如 ExceptIfOneDriveBy、ExchangeSenderMemberOf 和 OneDriveSharedByMemberOf，允许您添加强制执行位置。这使您能够在默认的“全部”选项之外进一步自定义 DLP 策略。

Set-DlpCompliancePolicy -Identity USFinancialPolicy`
                        -Comment "Primary policy applied to SharePoint Online, Onedrive, and Exchange Online locations."

3. 到目前为止，我们已经创建了 DLP 策略并定义了它的适用位置。现在，是时候创建 DLP 规则来确定应保护哪些类型的敏感信息以及匹配规则时应采取哪些操作。您可以使用“New-DlpComplianceRule”PowerShell cmdlet 来创建此规则。

New-DlpComplianceRule - 用于在 Microsoft Purview 合规性门户中创建数据丢失防护 (DLP) 规则。

New-DlpComplianceRule -Name SecurityRule `                       
                      -Policy USFinancialPolicy `                       
                      -ContentContainsSensitiveInformation @{Name="U.S. Social Security Number (SSN) ";minCount="1"} `                       
                      -BlockAccess $True

4. 就是这样，DLP 策略现已完全配备并准备好接管！正确设置后，DLP 策略将显示在 UI 中并阻止任何共享美国社会安全号码的租户用户。

如何在 Microsoft 365 中查看 DLP 策略？

通过查看 DLP 策略，您可以验证设置并确保其配置正确以保护敏感数据。它还使您能够对策略进行任何必要的更改，以确保最大程度的安全性，同时还可以深入了解其功能以及对组织数据保护工作的影响。

因此，请导航到合规中心的数据丢失防护，然后从下拉列表中选择“策略”部分。

如何查看 DLP 报告？

配置后，您需要监控政策的 DLP 报告。查看 DLP 报告可提供有关事件、策略违规以及 DLP 策略整体有效性的宝贵信息。它可以帮助您识别需要改进的领域、评估风险级别并采取必要的措施来缓解风险。 DLP 报告还有助于合规性审计并展示对保护敏感数据的尽职调查。

因此，要查看 DLP 策略的效果，请转到 Microsoft Purview 页面中的报告部分以获取详细的可视化表示。

通过 DLP 策略报告，您可以快速查看

• 规则匹配数
• 发生误报和覆盖的数量。

您可以通过定义特定的策略、规则或操作以及时间范围和位置来进一步缩小结果范围。

保护您的敏感数据：Microsoft 365 DLP 来救援！

随着云不断扩展并提供更多的数据访问途径，数据丢失和未经授权的泄露的风险也在增加！幸运的是，有了 DLP 策略，管理员可以确保合规性并防止敏感信息落入坏人之手，而不会影响用户的工作效率。 ? 另外，最近增强的 Test-Message cmdlet 使 DLP 策略问题的故障排除变得更加简单微风！

不要让对数据丢失的恐惧阻碍您 - 立即实施 Microsoft 365 DLP 并确保您的数据安全！