创建 DLP 策略来保护具有 FCI 或其他属性的文档

重要:  本文是由机器翻译的,请参阅免责声明。请在 此处 中查找本文的英文版本以便参考。

在 Office 365 中,您可以使用数据丢失防护 (DLP) 策略来识别、监视和保护敏感信息。许多组织已拥有一个使用 Windows Server 文件分类基础结构 (FCI)、SharePoint 中的文档属性或由第三方系统应用的文档属性识别和分类敏感信息的流程。如果您的组织就是这样,则可以在 Office 365 中创建一个 DLP 策略,来识别已由 Windows Server FCI 或其他系统应用到文档的属性,从而在带有特定 FCI 或其他属性值的 Office 文档上强制应用该 DLP 策略。

显示 Office 365 和外部分类系统的图表

例如,您的组织可能会使用 Windows Server FCI 来识别包含个人身份信息 (PII) 的文档(如社会保险号),然后通过基于文档中找到的 PII 的类型和出现次数将“个人身份信息”属性设置为“高”、“中等”、“低”、“公开”或“非 PII”来对文档进行分类。在 Office 365 中,您可以创建 DLP 策略,来标识将该属性设置为特定值(如“高”和“中等”)的文档,然后对这些文件执行操作,如阻止访问。如果将属性设置为“低”,则同一个策略可以使用其他规则来执行不同的操作,如发送电子邮件通知。通过这种方式,Office 365 中的 DLP 可与 Windows Server FCI 集成,并且可以帮助保护从基于 Windows Server 的文件服务器上载到或共享到 Office 365 的 Office 文档。

DLP 策略只需查找特定的属性名称/值对。可以使用任何文档属性,只要该属性具有 SharePoint 搜索的相应托管属性。例如,SharePoint 网站集可能使用名为“行程报告”的内容类型,包含名为“客户”的必填字段。只要有人创建行程报告,就必须输入客户名称。此属性名称/值对还可在 DLP 策略中使用 — 例如,当“客户”字段包含“Contoso”时,您希望有一个规则可以阻止外部用户访问此文档。

请注意,是否您想要将 DLP 策略应用于与特定的 Office 365 标签的内容,您应遵循的步骤操作。相反,了解如何使用标签为 DLP 策略中的条件

在创建 DLP 策略之前

您需要在 SharePoint 管理中心中创建托管属性,才能在 DLP 策略中使用 Windows Server FCI 属性或其他属性。原因如下。

示例

这很重要,因为 Office 365 中的 DLP 使用搜索爬网程序来识别网站上的敏感信息,并对其进行分类,然后将该敏感信息存储在搜索索引的一个安全部分。当您将文档上载到 Office 365 时,SharePoint 会自动创建基于文档属性的已爬网属性。但是,要在 DLP 策略中使用 FCI 或其他属性,该已爬网属性需要映射到托管属性,以便将包含该属性的内容保留在索引中。

有关搜索和托管属性的详细信息,请参阅在 SharePoint Online 中管理搜索架构

步骤 1:将包含所需属性的文档上载到 Office 365

首先需要上载包含要在您的 DLP 策略中引用的属性的文档。Office 365 将检测此属性,并从该属性自动创建已爬网属性。在下一步骤中,您将创建托管属性,然后将托管属性映射到此已爬网属性。

步骤 2:创建托管属性

  1. 登录 Office 365 管理中心。

  2. 在左侧导航栏中,选择“管理中心”>“SharePoint”。现在您位于 SharePoint 管理中心。

  3. 在左侧导航中,选择“搜索管理”页面>“管理搜索架构”上的“搜索”。

    SharePoint 管理中心内的搜索管理页面

  4. 在“托管属性”页面>“新建托管属性”上。

    突出显示“新建托管属性”按钮的“托管属性”页面

  5. 输入属性的名称和说明。此名称将显示在您的 DLP 策略中。

  6. 对于“类型”,选择“文本”。

  7. 在“主要特征”下,选择“可查询”和“可检索”。

  8. 在“到已爬网属性的映射”>“添加映射”。

  9. 在“已爬网属性选择”对话框中,查找并选择对应于您要用于 DLP 策略的 Windows Server FCI 属性或其他属性的已爬网属性,然后单击“确定”。

    已爬网属性选择对话框

  10. 在页面底部单击“确定”。

创建使用 FCI 属性或其他属性的 DLP 策略

在此示例中,组织使用的 FCI 它基于 Windows Server 的文件的服务器;具体而言,他们正在使用的可能值的中等公共的和不 PII命名个人身份信息FCI 分类属性。现在,他们想要利用其 DLP 策略在 Office 365 中在其现有 FCI 分类。

首先,它们按照上述步骤在 SharePoint Online 中创建托管属性,该属性映射到从 FCI 属性自动创建的已爬网属性。

接下来,他们将具有两个规则都使用文档属性包含这些值的任何条件创建 DLP 策略:

  • FCI PII 内容-盘高、 中等 第一条规则限制访问文档如果 FCI 分类属性个人身份信息等于中等和与组织外部的人员共享文档。

  • FCI PII 内容-盘低 第二条规则将发送到文档的所有者如果 FCI 分类属性个人身份信息等于和文档的通知,与组织外部的人员共享。

使用 PowerShell 模板创建 DLP 策略

注意,文档属性包含这些值的任何条件暂时在中不可用的用户界面的安全与合规中心,但您仍然可以使用 PowerShell 使用这种情况。您可以使用New\Set\Get-DlpCompliancePolicy cmdlet 处理 DLP 策略,并使用ContentPropertyContainsWords参数与New\Set\Get-DlpComplianceRule cmdlet 添加文档属性包含这些值的任何条件。

有关使用这些 cmdlet 的详细信息,请参阅Office 365 安全和合规性中心 cmdlet

  1. 使用远程 PowerShell 连接到 Office 365 安全与合规中心

  2. 通过使用New-DlpCompliancePolicy创建策略。

    下面是创建 DLP 策略应用于所有位置 PowerShell 示例。

    New-DlpCompliancePolicy -Name FCI_PII_policy -ExchangeLocation All -SharePointLocation All -OneDriveLocation All -Mode Enable
  3. 创建使用New-DlpComplianceRule,其中一个规则是值,,另一条规则是为中等值上述两个规则。

    下面是创建以下两个规则的 PowerShell 示例。请注意,属性名称中的值对括在引号中,并且属性名称可能指定不带空格,如"<Property1>:<Value1>,<Value2>","<Property2>:<Value3>,<Value4>"....逗号分隔的多个值

    New-DlpComplianceRule -Name FCI_PII_content-High,Moderate -Policy FCI_PII_policy -AccessScope NotInOrganization -BlockAccess $true -ContentPropertyContainsWords "Personally Identifiable Information:High,Moderate" -Disabled $false

    New-DlpComplianceRule -Name FCI_PII_content-Low -Policy FCI_PII_policy -AccessScope NotInOrganization -BlockAccess $false -ContentPropertyContainsWords "Personally Identifiable Information:Low" -Disabled $false -NotifyUser Owner

    请注意 Windows Server FCI 包括许多内置的属性,包括个人身份信息在此示例中使用。每个属性的可能值可以为每个组织不同。盘高中等值,此处使用是仅示例。为您的组织,您可以在基于 Windows Server 的文件服务器上的文件服务器资源管理器中查看可能值的 Windows Server FCI 分类的属性。有关详细信息,请参阅创建分类属性

完成后,您的策略应该有两个都使用文档属性包含这些值的任何条件的新规则。请注意,这种情况不会显示在用户界面,但其他条件、 操作和设置将出现。

一个规则禁止访问内容个人身份信息属性等于中等的位置。第二个规则发送有关内容通知个人身份信息属性等于的位置。

显示刚创建的两条规则的“新建 DLP 策略”对话框

创建 DLP 策略之后

执行上述各节中的步骤将创建一个 DLP 策略,可快速检测到包含该属性的内容,但仅限于该内容为新上载内容(以便为内容编制索引),或如果内容为旧内容但刚刚经过编辑(以便为内容重新编制索引)。

要检测与无处不在该属性的内容,您可能需要手动请求,您的库、 网站或网站集,可以重新编制索引,以便 DLP 策略知道与该属性的所有内容。在SharePoint Online,内容将自动爬网基于定义爬网计划。爬网程序选取自上次爬网后发生更改,并更新索引的内容。如果您需要您 DLP 策略来保护内容的下一个计划爬网之前,您可以执行这些步骤。

警告: 重新编制网站的索引可能会导致搜索系统上的负荷大量增加。除非您的方案绝对需要这样做,否则请勿重新编制网站的索引。

有关详细信息,请参阅手动为网站、库或列表请求爬网和重新编制索引

重新编制网站的索引(可选)

  1. 在网站上,选择“设置”(右上角的齿轮图标)>“网站设置”。

  2. 在“搜索”下方,选择“搜索和脱机可用性”>“重新编制网站的索引”。

更多信息

注意: 机器翻译免责声明:本文是由无人工介入的计算机系统翻译的。Microsoft 提供机器翻译是为了帮助非英语国家/地区用户方便阅读有关 Microsoft 产品、服务和技术的内容。由于机器翻译的原因,本文可能包含词汇、语法或文法方面的错误。

扩展你的技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×