建立 DLP 原則來保護具有 FCI 或其他內容的文件

重要:  本文係由機器翻譯而成,請參閱免責聲明。本文的英文版本請見這裡,以供參考。

在 Office 365 中,您可以使用資料外洩防護 (DLP) 原則來識別、監視和保護敏感資訊。許多組織都已有其程序,可使用 Windows Server 檔案分類基礎結構 (FCI) 中的分類屬性、SharePoint 中的文件屬性或協力廠商系統所套用的文件屬性,來識別和分類敏感資訊。如果您的組織也是如此,您可以在 Office 365 中建立 DLP 原則來辨識由 Windows Server FCI 或其他系統已套用至文件的屬性,讓 DLP 原則可以強制執行於使用特定 FCI 或其他屬性值的 Office 文件上。

圖表顯示 Office 365 及外部的分類系統

例如,您的組織可能會使用 Windows Server FCI 來識別含有個人識別資訊 (PII) (如身分證字號) 的文件,然後根據在文件中找到的 PII 類型和出現次數,將 [個人識別資訊] 屬性設定為 [高]、[中]、[低]、[公用] 或 [非 PII],藉以進行文件分類。在 Office 365 中,您可以建立 DLP 原則來識別將該屬性設為 [高] 和 [中] 等特定值的文件,然後採取某些動作,例如封鎖對這些檔案的存取。相同的原則可以有另一個在屬性設為 [低] 時採取其他動作的規則,例如傳送電子郵件通知。如此,Office 365 中的 DLP 即可與 Windows Server FCI 整合,並且有助於保護從 Windows Server 型檔案伺服器上傳到或共用於 Office 365 的 Office 文件。

DLP 原則只會尋找特定的屬性名稱/值配對。任何文件屬性皆可使用,只要該屬性具有 SharePoint 搜尋的對應 Managed 屬性即可。例如,SharePoint 網站集合可能會使用名為 [旅遊報告] 的內容類型,且其中具有名為 [客戶] 的必要欄位。每個人在建立旅遊報告時,都必須輸入客戶名稱。此屬性名稱/值配對也可用於 DLP 原則 — 例如,如果您想要使用規則在 [客戶] 欄位包含 Contoso 時封鎖外部使用者對文件的存取。

建立 DLP 原則之前

您必須先在 SharePoint 系統管理中心裡建立 Managed 屬性,才可在 DLP 原則中使用 Windows Server FCI 屬性或其他屬性。原因如下。

範例

這是很重要的,因為 Office 365 中的 DLP 會使用搜尋編目程式來識別和分類網站上的敏感資訊,然後將此敏感資訊儲存在搜尋索引的安全區域。當您將文件上傳至 Office 365 時,SharePoint 會根據文件屬性自動建立編目屬性。但若要在 DLP 原則中使用 FCI 或其他屬性,該編目屬性必須對應至 Managed 屬性,使具有該屬性的內容保留在索引中。

如需關於搜尋和 Managed 屬性的詳細資訊,請參閱在 SharePoint Online 中管理搜尋結構描述

步驟 1:將具有所需屬性的文件上傳至 Office 365

您必須先上傳您要在 DLP 原則中參考其屬性的文件。Office 365 會偵測該屬性,並從中自動建立編目屬性。在下一個步驟中,您會建立 Managed 屬性,然後將 Managed 屬性對應至此編目屬性。

步驟 2:建立 Managed 屬性

  1. 登入 Office 365 系統管理中心。

  2. 在左方導覽中,選擇 [系統管理中心] > [SharePoint]。現在您已位於 SharePoint 系統管理中心。

  3. 在左側導覽中,選擇 [搜尋] > 在 [搜尋管理] 頁面上 > [管理搜尋結構描述]。

    SharePoint 系統管理中心的搜尋管理頁面

  4. 在 [Managed 屬性] 頁面上 > [新增 Managed 屬性]。

    受管理屬性頁面上有以反白顯示的新增受管理的屬性按鈕

  5. 輸入屬性的名稱和描述。此名稱將會出現在您的 DLP 原則中。

  6. 針對 [類型],選擇 [文字]。

  7. 在 [主要特性] 下,選取 [可查詢] 和 [可擷取]。

  8. 在 [對應至編目屬性] 下 > [新增對應]。

  9. 在 [編目屬性選項] 對話方塊中 > 尋找並選取對應至 Windows Server FCI 屬性或您要在 DLP 原則中使用之其他屬性的編目屬性 > [確定]。

    選取編目屬性對話方塊

  10. 在頁面底部 > [確定]。

建立使用 FCI 屬性或其他屬性的 DLP 原則

在此範例中,組織使用的 FCI 其 Windows 伺服器為基礎在檔案伺服器上。具體來說,他們所使用的最高公用,以及不 PII可能值以命名個人識別資訊FCI 分類屬性。現在要運用在 Office 365 中其 DLP 原則其現有 FCI 分類。

首先,他們可以依照前述步驟在 SharePoint Online 中建立 Managed 屬性,而此屬性會對應至自動從 FCI 屬性建立的編目屬性。

接下來,這些範本建立 DLP 原則的同時使用文件摘要資訊包含這些值的條件的兩個規則:

  • FCI PII 內容-最高、 中等 如果 FCI 分類屬性個人識別資訊等於] 或 [中等,與組織外部人員共用文件的第一個規則限制存取文件。

  • FCI PII 內容-低 第二個規則傳送給組織外的人員共用文件擁有者,如果 FCI 分類屬性個人識別資訊等於和文件的通知。

使用 PowerShell 來建立 DLP 原則

請注意文件摘要資訊包含這些值的條件不暫時用於安全性與合規性中心的 UI,但您還是可以使用 PowerShell 來使用這種情況。您可以使用New\Set\Get-DlpCompliancePolicy cmdlet 處理 DLP 原則,並使用New\Set\Get-DlpComplianceRule cmdlet 和ContentPropertyContainsWords參數,若要新增文件摘要資訊包含這些值的條件。

如需有關這些 cmdlet 的詳細資訊,請參閱Office 365 的安全性與規範中心 cmdlet

  1. 使用遠端 PowerShell 連線至 Office 365 安全性與合規性中心

  2. 使用New-DlpCompliancePolicy建立原則。

    以下是建立 DLP 原則套用至所有位置的 PowerShell 範例。

    New-DlpCompliancePolicy -Name FCI_PII_policy -ExchangeLocation All -SharePointLocation All -OneDriveLocation All -Mode Enable
  3. 建立使用New-DlpComplianceRule,其中一個規則是最低值,而另一個規則適用於 [高度] 和 [中等值上述兩個規則。

    以下是 PowerShell 範例會建立下列兩個規則。請注意,屬性名稱/值組用引號括住,而且屬性名稱可能會指定多個值,並以逗號分隔不加空格,例如"<Property1>:<Value1>,<Value2>","<Property2>:<Value3>,<Value4>"....

    New-DlpComplianceRule -Name FCI_PII_content-High,Moderate -Policy FCI_PII_policy -AccessScope NotInOrganization -BlockAccess $true -ContentPropertyContainsWords "Personally Identifiable Information:High,Moderate" -Disabled $false

    New-DlpComplianceRule -Name FCI_PII_content-Low -Policy FCI_PII_policy -AccessScope NotInOrganization -BlockAccess $false -ContentPropertyContainsWords "Personally Identifiable Information:Low" -Disabled $false -NotifyUser Owner

    請注意 Windows Server FCI 包含許多內建的內容,包括在此範例中所使用的個人識別資訊。每個屬性的可能值可能不同的每個組織。最高中度,以及使用以下的最低值是只範例。為您的組織,您可以檢視其可能值的 Windows Server FCI 分類屬性在檔案伺服器資源管理員 Windows 伺服器為基礎的檔案伺服器上。如需詳細資訊,請參閱建立分類屬性

完成後,您的原則必須同時使用文件摘要資訊包含這些值」 條件的兩個新規則。請注意,這種情況不會出現在使用者介面,但是其他條件動作],將會出現設定。

一個規則區塊存取內容的個人識別資訊屬性等於] 或 [中等的位置。第二個規則,會將內容的相關通知傳送個人識別資訊屬性等於的位置。

新的 DLP 原則對話方塊顯示剛才建立的兩個規則

建立 DLP 原則之後

執行以上各節中的步驟所建立的 DLP 原則,將會快速偵測具有該屬性的內容,但前提是,內容必須是新上傳的 (這時會編製內容的索引),或內容雖舊、但是剛剛編輯的 (這時會重新編製內容的索引)。

偵測到的所有位置的屬性的內容,您可能要手動要求,您的文件庫、 網站或網站集合重新建立索引,以便 DLP 原則會使用該屬性的所有內容的注意。在SharePoint Online,會自動編目內容根據定義的編目排程。編目程式挑選變更的最後一個編目及更新索引的內容。如果您需要 DLP 原則以保護之前的下一個排程編目內容時,您可以採取下列步驟執行。

警告: 為網站重新編製索引,可能會為搜尋系統造成大量負載。除非絕對需要,否則請不要為網站重新編製索引。

如需詳細資訊,請參閱手動要求網站、文件庫或清單的編目和重新編製索引

為網站重新編製索引 (選用)

  1. 在網站上選擇 [設定] (右上方的齒輪圖示) > [網站設定]。

  2. 在 [搜尋] 下選擇 [搜尋與離線可用性] > [重新編製網站的索引]。

其他資訊

附註: 機器翻譯免責聲明︰本文係以電腦系統翻譯而成,未經人為介入。Microsoft 提供此等機器翻譯旨在協助非英語系使用者輕鬆閱讀 Microsoft 產品、服務及技術相關內容。基於本文乃由機器翻譯而成,因此文中可能出現詞辭、語法、文法上之錯誤。

擴展您的技能
探索訓練
優先取得新功能
加入 Office 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與其中一位 Office 支援專員連絡以深入了解您的意見。

×