資料外洩防護原則概觀

若要遵守企業標準及業界法規,組織需保護機密資訊的安全,避免遭不當洩漏。您可能會想要防止洩漏到組織外部的機密資訊包括財務資料或個人識別資訊 (PII),例如信用卡號碼、身分證號碼或健康情況記錄。不過,只要在 Office 365 安全性與合規性中心中使用資料外洩防護 (DLP) 原則,就可以識別、監控及自動保護整個 Office 365 中的機密資訊。

採用 DLP 原則,您可以:

  • 識別各個位置中的機密資訊,如 Exchange Online、SharePoint Online、和商務用 OneDrive。

    例如,您可以識別任何含有任何商務用 OneDrive 網站所儲存的信用卡號碼的文件,也可以只監視特定人員的 OneDrive 網站。

  • 防止意外共用機密資訊

    舉例來說,您可以使用文件或電子郵件中的健康記錄識別文件或電子郵件是否與組織外部人員共用,然後自動封鎖該文件的存取權,或是防止電子郵件傳送。

  • 監控及保護桌面版 Excel 2016、PowerPoint 2016 和 Word 2016 中的機密資訊。

    如同在 Exchange Online、SharePoint Online 和商務用 OneDrive 中,這些 Office 2016 桌面程式也包含可識別機密資訊及套用 DLP 原則的相同功能。DLP 可在多人共用這些 Office 2016 程式中的內容時提供持續監視的功能。

  • 協助使用者了解如何符合規範,而不中斷其工作流程。

    您可以讓使用者了解 DLP 原則,以協助他們符合規範,而不會封鎖其工作。例如,如果某個使用者嘗試共用含有機密資訊的文件,DLP 原則可以傳送電子郵件通知給他們,同時在文件庫的內容中顯示原則提示,允許他們因為正當商務理由而覆寫原則。相同的原則提示也會出現在 Outlook 線上版、Outlook 2013 及更新版本、Excel 2016、PowerPoint 2016 和 Word 2016 中。

  • 檢視 DLP 報告以了解有哪些內容符合您的組織的 DLP 原則。

    若要評估貴組織遵守 DLP 原則的情形,您可以查看符合原則或規則的數量。如果 DLP 原則允許使用者覆寫原則提示並回報誤判,您也可以查看使用者回報的內容。

您可以在 Office 365 安全性與合規性中心 的 [資料外洩防護] 頁面上建立及管理 DLP 原則。

Office 365 安全性與合規性中心內的資料外洩防護頁面

內容

DLP 原則的內容

DLP 原則包含一些基本事項:

  • 要保護內容的位置,例如 Exchange Online、SharePoint Online 和商務用 OneDrive 網站。

  • 何時及如何藉由執行強制包含下列要素的規則來保護內容:

    • 條件︰內容必須符合,才會強制執行規則。例如,僅尋找包含身分證號碼並與組織外部人員共用的內容。

    • 您要規則在找到符合條件的內容時自動採取的動作 -- 例如封鎖文件的存取,以及傳送電子郵件通知給使用者和法務人員。

您可以使用規則以符合特定的保護需求,然後使用 DLP 原則將常見保護需求分成一組,例如所有需要遵守特定法規的規則。

例如,您有用於協助偵測是否存在受到健康保險流通與責任法案 (HIPAA) 之資訊的 DLP 原則。此 DLP 原則可尋找任何含有此機密資訊並與組織外部人員共用的文件 (條件),然後封鎖此文件的存取並傳送通知 (動作),進而協助保護所有 SharePoint Online 網站與所有商務用 OneDrive 網站 (位置) 的 HIPAA 資料 (內容)。這些需求會儲存為個別規則並分組為 DLP 原則,以簡化管理和報告。

圖表顯示 DLP 原則包含位置和規則

位置

DLP 原則可尋找並保護整個 Office 365 中的機密資訊,Exchange Online、SharePoint Online 或商務用 OneDrive 中的所有資訊均適用。您可以輕鬆地選擇是要保護所有的 SharePoint 網站或 OneDrive 帳戶,還是只保護特定網站、帳戶或所有信箱。請注意,目前還不能只選取特定使用者的信箱。

DLP 原則可以套用的位置選項

規則

規則可針對組織內容強制執行您的商務需求。一項原則可包含一或多條規則,而每條規則是由條件和動作組成。對於每條規則而言,只要符合條件,就會自動採取動作。規則會循序執行,從每項原則中優先順序最高的規則開始。

規則也會提供通知選項,以通知使用者 (透過原則提示和電子郵件通知) 和系統管理員 (透過電子郵件事件報告) 內容符合規則。

規則的組成元件及個別說明如下。

DLP 規則編輯器的區段

條件

條件很重要,因為它們會決定您要尋找的資訊類型,以及何時採取動作。例如,您可以選擇略過包含護照號碼的內容,除非內容中包含超過 10 個這類號碼,並與組織外部人員共用。

條件不僅著重於文件本身的內容 (例如要尋找的機密資訊類型),也同時著重於文件本身以外的相關環境 (例如文件共用對象)。您可以使用條件來將不同動作指派給不同的風險層級。例如,相較於與組織外部人員共用的機密內容,內部共用的機密內容風險可能較低,所需的動作也較少。

清單會顯示可用的 DLP 條件

目前可用的條件可以判斷:

  • 內容是否包含機密資訊。

  • 內容是否包含標籤。如需詳細資訊,請參閱下節的將標籤做為 DLP 原則的條件

  • 內容是否與組織外部或內部人員共用。

機密資訊類型

DLP 原則有助於保護機密資訊 (已定義為「機密資訊類型」)。Office 365 包含許多不同區域多種常見機密資訊類型可供您使用,例如信用卡號碼、銀行帳戶號碼、身分證號碼和護照號碼。

可用的機密資訊類型清單

DLP 原則在尋找信用卡號碼等機密資訊類型時,並不只是尋找 16 位數的數字。使用下列各項的組合可定義和偵測每種機密資訊類型:

  • 關鍵字

  • 驗證總和檢查碼或結構的內部函數

  • 用以尋找模式相符項目的規則運算式評估

  • 其他內容檢查

這有助於 DLP 偵測達到高度準確性,同時減少可能造成工作中斷的誤判數。

動作

當內容符合規則中的條件時,就可以套用動作以自動保護內容。

可用的 DLP 動作清單

您現在可以採取的動作如下:

  • 限制內容存取:若是網站內容,這表示文件的權限僅開放主要網站集合系統管理員、文件擁有者及上次修改文件的人員存取,其他人員無法存取內容。這些人員可以從文件中移除機密資訊,或採取其他補救措施。當文件符合規範時,將會自動還原原始權限。當文件的存取遭到封鎖時,文件在網站上的文件庫中會顯示一個特殊原則提示圖示。

    顯示文件存取的原則提示被封鎖

    若是電子郵件內容,這個動作會禁止郵件傳送。取決於 DLP 規則的設定,寄件者會看到 NDR 或 (若規則使用通知) 原則提示及/或電子郵件通知。

    未授權收件者必須從郵件中移除的警告

使用者通知和使用者覆寫

您可以利用通知和覆寫功能讓使用者了解 DLP 原則,協助他們符合規範,但不封鎖對方工作。例如,如果某個使用者嘗試共用含有機密資訊的文件,DLP 原則可以傳送電子郵件通知給他們,同時在文件庫的內容中顯示原則提示,允許他們因正當商務理由覆寫原則。

DLP 原則編輯器的使用者通知和使用者覆寫區段

電子郵件可以通知傳送、共用或上次修改內容的人員;若是網站內容,還會另外通知主要網站集合系統管理員和文件擁有者。此外,您可以從電子郵件通知中新增或移除人員。

除了傳送電子郵件通知以外,使用者通知也會顯示原則提示:

  • 在 Outlook 2013 及更新版本和 Outlook 線上版中。

  • 若是 SharePoint Online 或商務用 OneDrive 網站上的文件。

  • 當文件儲存在 DLP 原則所包含的網站上時,則在 Excel 2016、PowerPoint 2016 和 Word 2016 中。

電子郵件通知和原則提示會說明內容與 DLP 原則衝突的原因。經選擇後,電子郵件通知和原則提示將可讓使用者藉由回報為誤判或提供正當業務理由來覆寫規則。這可協助您將 DLP 原則正確的相關資訊傳達給使用者,並強制執行這些原則,而不會妨礙到其正常工作。覆寫及誤判的相關資訊也會記錄並回報 (請參閱以下關於 DLP 報告的資訊),以及納入事件報告中 (下一節),以便法務人員可以定期檢閱此資訊。

以下是商務用 OneDrive 帳戶中的原則提示外觀。

OneDrive 帳戶中的文件原則提示

事件報告

規則相符時,您可以將含有事件詳細資料的事件報告傳送給您的法務人員 (或是您選擇的任何人)。這份報告包含相符項目的相關資訊、符合規則的實際內容,以及上次修改內容的人員名稱。若是電子郵件訊息,報告則會以附件的方式提供與 DLP 原則相符的原始郵件。

設定事件報告的頁面

群組和邏輯運算子

DLP 原則通常都有簡單的需求,例如識別包含美國社會安全號碼的所有內容。不過,在其他情況下,DLP 原則可能需要識別出粗略定義的資料。

例如,若要識別受限於美國健康保險資訊流通及責任法案 (HIPAA) 的內容,您需要尋找:

  • 包含特定類型之機密資訊的內容,例如美國社會安全號碼或藥物管理局 (DEA) 編號。

  • 更難以識別的內容,例如病患的照護通訊或提供的醫療服務描述。要識別此種內容,需要將關鍵字與極大的關鍵字清單比對,例如國際疾病分類 (ICD-9-CM 或 ICD-10-CM)。

您可以使用群組和邏輯運算子 (AND、OR) 輕鬆識別此類粗略定義的資料。您在建立 DLP 原則時可以:

  • 群組機密資訊類型。

  • 選擇群組內機密資訊類型之間和群組本身之間的邏輯運算子。

選擇群組內的運算子

在群組內,您可以選擇是只要滿足群組中的任一條件還是必須滿足所有條件,以便將內容視為符合規則。

顯示群組之內運算子的群組

新增群組

您可以快速新增具有自己本身之條件和運算子的群組。

[新增群組] 按鈕

選擇群組之間的運算子

在群組之間,您可以選擇只要滿足一個群組中的條件,還是必須滿足所有群組的條件,才能將內容視為符合規則。

例如,內建的美國 HIPAA 原則中有一個規則在群組之間使用 AND 運算子,以識別包含以下群組的內容:

  • 來自 [PII 識別碼] 群組 (至少有一個社會安全號碼或 DEA 編號)

    </legacyBold>和

  • 來自 [醫療術語] 群組 (至少有一個 ICD-9-CM 關鍵字或 ICD-10-CM 關鍵字)

顯示群組之間運算子的群組

處理規則的優先順序

當您在原則中建立規則時,每個規則都會根據建立時間指派優先順序,也就是說,第一個建立的規則具有第一優先順序,第二個建立的規則具有第二優先順序,依此類推。除非刪除並重新建立,否則您無法改變已建立規則的優先順序。

依優先順序排列的規則

以規則評估內容時,系統會依優先順序處理規則。如果內容符合多條規則,系統會依優先順序進行處理,並強制執行限制最嚴苛的動作。舉例來說,如果內容符合下列所有規則,系統會強制執行規則 3,因為它是優先順序最高、最嚴格的規則:

  • 規則 1:只通知使用者

  • 規則 2:通知使用者、限制存取且允許使用者覆寫

  • 規則 3:通知使用者、限制存取且不允許使用者覆寫

  • 規則 4:只通知使用者

  • 規則 5:限制存取

  • 規則 6:通知使用者、限制存取且不允許使用者覆寫

請注意,在此範例中雖然只強制執行了最嚴格的那項規則,但所有符合規則的項目都會記錄在稽核記錄中,並顯示於 DLP 報告。

關於原則提示,請注意:

  • 只有最嚴格、最高優先順序規則的原則提示會顯示出來。例如,封鎖內容存取的規則會比僅只傳送通知的規則優先顯示其原則提示。這可避免讓使用者看見太多原則提示。

  • 如果最嚴格規則中的原則提示允許人員覆寫規則,則覆寫此規則也將會覆寫內容符合的任何其他規則。

調整規則以讓它們更容易或更難符合

在建立並開啟 DLP 原則後,有時候會遇到下列問題:

  • 太多非機密資訊的內容符合規則,換句話說就是太多誤判。

  • 太少實際是機密資訊的內容符合規則,也就是說,機密資訊並未強制執行保護措施。

若要解決這些問題,您可以調整規則的執行個體計數及比對精確度,使得內容更難或更易於符合規則。規則中使用的每個機密資訊類型都同時具有執行個體計數及比對精確度。

執行個體計數

執行個體計數指的是特定機密資訊類型必須在內容中出現多少次才能符合規則的次數。舉例來說,如果內容中辨識出 1 到 9 組唯一美國或英國護照號碼的話,就會符合下方所示規則。

請注意,執行個體計數僅包含符合機密資訊類型的不重複關鍵字。例如,如果有一封電子郵件內出現 10 次同一組信用卡號碼,這 10 次只會採計為該信用卡號碼出現一次。

使用執行個體計數來調整規則的指導方針非常簡單:

  • 若要讓規則更容易符合,請減少 [最小] 計數及/或增加 [最大] 計數。您也可以刪除 [最大] 中的數值以將它設定成 [任意]。

  • 若要讓規則更難符合,請增加 [最小] 計數。

一般而言,您會在執行個體計數較低 (例如 1 到 9) 的規則中使用較不具限制性的動作,例如傳送使用者通知。並在執行個體計數較高 (例如 10 到任意) 的規則中使用較多限制的動作,例如限制存取內容且不允許使用者覆寫。

規則編輯器中的執行個體計數

比對精確度

如上所述,機密資訊類型會由不同類型證據所形成的組合來定義與偵測。一般而言,機密資訊類型會由多種這樣的組合 (稱為模式) 所定義。證據需求較低的模式具有較低的比對精確度 (或信賴等級),而證據需求較高的模式,其比對精確度 (或信賴等級) 則較高。若要深入了解各機密資訊類型實際使用的模式及信賴等級,請參閱機密資訊類型尋找的目標為何

例如,名為 [信用卡號碼] 的機密資訊類型是由兩種模式所定義:

  • 一個 65% 信賴度的模式,所需證據為:

    • 一組信用卡號碼形式的數字。

    • 一組通過總和檢查碼的數字。

  • 一個 85% 信賴度的模式,所需證據為:

    • 一組信用卡號碼形式的數字。

    • 一組通過總和檢查碼的數字。

    • 格式正確的關鍵字或到期日。

您可以在自己的規則中使用這些信賴等級 (或比對精確度)。一般而言,您會在比對精確度較低的規則中使用較不具限制性的動作,例如傳送使用者通知。並在比對精確度較高的規則中使用較多限制的動作,例如限制存取內容且不允許使用者覆寫。

請務必記得,當在內容中辨識出特定機密資訊類型 (例如信用卡號碼) 時,系統只會傳回一個信賴等級:

  • 如果所有符合項目都是來自同一個模式,那麼會傳回該模式的信賴等級。

  • 如果符合的模式不只一個 (亦即有兩種不同信賴等級的相符項目),則會傳回單一模式中最大的信賴等級。這部分就有點複雜了。以信用卡為例,如果同時符合了 65% 和 85% 的模式,該機密資訊傳回的信賴等級會大於 90%,因為證據越多代表信賴度越高。

因此,如果您想要為信用卡建立兩個互斥規則,一個比對精確度為 65%,另一個為 85%,那麼比對精確度的範圍會像下面這樣。第一個規則只會挑選與模式 65% 相符的項目。第二個規則至少會挑選 85% 相符的項目,並可能會有其他較低信賴度的相符項目。

兩個比對精確度範圍不同的規則

由於這些原因,建立具有不同比對精確度之規則的指導方針為:

  • 最低信賴等級的 [最小] 和 [最大] 值通常會使用同一個值 (而不是一個範圍)。

  • 最高的信賴等級通常會是一個稍高於最低信賴等級到 100 的範圍。

  • 任何介於中間的信賴等級則通常是一個稍高於最低信賴等級,到稍低於最高信賴等級之間的範圍。

將標籤做為 DLP 原則的條件

您可以建立標籤,然後:

  • 發佈標籤,以便使用者查看並手動將它套用到內容。

  • 自動將它套用到與您所選條件相符的內容。

如需有關標籤的詳細資訊,請參閱標籤概觀

建立標籤後,就可以將標籤做為 DLP 原則的條件。例如,您可能會因為下列理由而執行這個動作:

  • 您已發佈名稱為「機密」的標籤,因此組織的員工可以手動將此標籤套用到含有機密資訊的電子郵件和文件。如果將這個標籤做為 DLP 原則的條件,就可以限制設有「機密」標籤的內容不得與組織外部人員共用。

  • 您已為名稱為「高山房屋」的專案建立同名的標籤,並將該標籤自動套用到包含關鍵字「高山房屋」的內容。如果將這個標籤做為 DLP 原則的條件,就可以在使用者要與組織外部人員共用這項內容時,向使用者顯示原則提示。

  • 您已發佈名稱為「稅務記錄」的標籤,讓記錄管理員可以手動將該標籤套用到必須歸類為記錄的內容。如果將這個標籤做為 DLP 原則的條件,就可以找出設有這個標籤和含有 ITIN 或 SSN 等其他類型機密資訊的內容、針對設有「稅務記錄」標籤的內容執行保護動作,以及從 DLP 報告和稽核記錄資料中取得詳細的 DLP 原則活動報告。

  • 您已將名稱為「主管階層團隊 - 機密」的標籤發佈到一群主管的 Exchange 信箱和 OneDrive 帳戶。如果將這個標籤做為 DLP 原則的條件,就可以針對相同內容和使用者子集來強制執行保留和保護動作。

如果將標籤做為 DLP 規則的條件,就可以針對一組特定的內容、位置或使用者來選擇性強制執行保護動作。

做為條件的標籤

這項功能與其他功能的關係

有多項功能可以套用到含有機密資訊的內容:

  • 自動套用標籤保留原則都能對內容強制執行「保留」動作。

  • DLP 原則可以對內容強制執行「保護」動作。您不僅要為內容設定標籤,還要讓內容滿足其他條件,DLP 原則才能強制執行這些動作。

可對機密資訊執行的功能圖表

請注意,DLP 原則的偵測功能比套用到機密資訊的任何標籤或保留原則來得強大。DLP 原則可以針對含有機密資訊的內容強制執行保護動作。如果機密資訊已從內容中移除,就可以在系統再次掃描內容後復原相關的保護動作。但是,如果保留原則或標籤套用到含有機密資訊的內容,就是一次性動件。之後即使移除機密資訊,也無法復原。

如果將標籤做為 DLP 原則的條件,就可以針對設有該標籤的內容來強制執行保留和保護動作。設有標籤的內容就像是含有機密資訊的內容,標籤和機密資訊類型都是用來分類內容的屬性,您可以藉此針對內容強制執行動作。

將標籤做為條件的 DLP 原則的圖表

簡單設定和進階設定的比較

建立 DLP 原則時,您可選擇簡單或進階設定:

  • 簡單設定可讓您輕鬆建立最常見的 DLP 原則,而不使用規則編輯器來建立或修改規則。

  • 進階設定會使用規則編輯器,提供您 DLP 原則設定的完整控制權。

別擔心,除了設定方式以外,簡單設定與進階設定的運作方式完全相同,皆會強制執行由條件及動作構成的原則,唯一的差別在於使用簡單設定時,您不會看見規則編輯器。最快的方式便是建立 DLP 原則。

簡單設定

目前,最常見的 DLP 情境是建立原則以協助保護含有機密資訊的內容,避免組織外部的人員共用這類內容,並採取自動修正動作,如限制可存取內容的對象、傳送使用者或系統管理員通知,並稽核事件以便日後調查。採用 DLP 的人員可協助避免機密資訊不當外洩。

若要以更簡單的方式達成這個目標,請在建立 DLP 原則時,選擇 [使用簡單設定]。這些設定會提供執行最常見 DLP 原則所需的項目,讓您不必進入規則編輯器。

用於顯示簡易和進階設定的 DLP 選項

進階設定

如果您要建立更多自訂 DLP 原則,您可以選擇 [使用進階設定]。

使用進階設定即可顯示規則編輯器。在編輯器中,您擁有所有選項的完整控制權,包括每個規則的執行個體計數及相符準確度 (信賴層級)。

若要快速移至某個區段,只要按一下規則編輯器頂端瀏覽區中的項目,即可移至下方的該區段。

DLP 規則編輯器的頂端瀏覽功能表

DLP 原則範本

建立 DLP 原則的第一步是選擇要保護的資訊。從 DLP 範本著手,您就無須花時間從頭建立新的規則集,也不必釐清應依預設包含的資訊類型。您可以新增或修改這些需求來微調規則,藉此達到組織的特定需求。

預設 DLP 原則範本可協助您偵測特定的機密資訊類型,例如 HIPAA 資料、PCI-DSS 資料、Gramm-Leach-Bliley 金融服務業現代化法案資料,或甚至特定地區設定的個人識別資訊 (P.I.)。為了讓您輕鬆尋找並保護常見的機密資訊類型,Office 365 中包含的原則範本納入了最常見的機密資訊類型,以便您開始使用。

資料外洩防護原則的範本清單,重點在於針對美國的範本愛國者法案

貴組織也可能設有專屬需求,在這種情況下,您可以選擇 [自訂原則] 選項從頭建立 DLP 原則。自訂原則中不會有任何內容,也不含預先製作的規則。

以測試模式逐漸推出 DLP 原則

建立 DLP 原則時,您應考慮逐漸推出這些原則,以便在完全強制執行之前評估其影響及測試其效果。例如,您不希望新的 DLP 原則不慎封鎖數千份完成工作所需之文件的存取。

如果您正在建立的 DLP 原則可能有重大影響,建議依照下列順序進行:

  1. 以測試模式啟動但不顯示原則提示,然後使用 DLP 報告和任何事件報告來評估影響。您可以使用 DLP 報告來檢視原則相符項目的號碼、位置、類型和嚴重性。根據結果,您可以視需要微調規則。在測試模式中,DLP 原則不會影響您的組織中工作人員的生產力。

  2. 移至測試模式並顯示通知和原則提示,以便您開始教導使用者相關合規性原則及熟悉即將套用的規則。在這個階段,您也可以要求使用者回報誤判,以便您進一步調整規則。

  3. 開始完整強制執行原則,以便套用規則中的動作,並保護內容。繼續監視 DLP 報告以及任何事件報告或通知,確保得到您想要的結果。

使用測試模式和開啟原則的選項

您可以隨時關閉 DLP 原則,這會影響原則中的所有規則。不過,您也可以個別關閉每個規則,方法是在規則編輯器中切換它的狀態。

在原則中關閉規則的選項

DLP 報告

建立並開啟您的 DLP 原則之後,您會想要確認原則是否達到您想要的效果並有助於您符合規範。透過 DLP 報告,您可以快速檢視一段時間內的 DLP 原則和規則相符項目的數目,以及誤判和覆寫的數目。針對每份報告,您可以依據位置、時間範圍篩選這些相符項目,甚至將其範圍縮小到特定原則、規則或動作。

透過 DLP 報告,您將可取得深入的商業資訊,並且:

  • 將重點放在特定時段,以了解尖峰和趨勢的原因。

  • 探索違反貴組織合規性原則的商務程序。

  • 了解 DLP 原則帶來的任何業務影響。

此外,您可以使用 DLP 報告來微調您所執行的 DLP 原則。

安全性與合規性中心中的報表儀表板

DLP 原則的運作方式

DLP 會使用深度內容分析 (不只是簡單的文字掃描) 來偵測機密資訊。此深度內容分析會使用關鍵字比對、字典比對、規則運算式評估、內部函數和其他方法來偵測符合 DLP 原則的內容。可能只有一小部分的資料會被視為機密資訊。DLP 原則可識別、監視和自動保護該項資料,而不會妨礙或影響到使用其餘內容的人員。

原則會同步處理

在安全性與合規性中心中建立 DLP 原則之後,原則會儲存在中央原則存放區中,然後再同步處理至各種內容來源,包括:

  • Exchange Online,並一路延伸至 Outlook 線上版和 Outlook 2013 及更新版本

  • 商務用 OneDrive 網站

  • SharePoint Online 網站

  • Office 2016 桌面程式 (Excel 2016、PowerPoint 2016 和 Word 2016)

原則同步處理至正確的位置之後,會開始評估內容並強制執行動作。

商務用 OneDrive 和 SharePoint Online 中的原則評估

在您所有的 SharePoint Online 網站和商務用 OneDrive 網站上,文件會不斷地建立、編輯、共用等等。這表示文件有可能會違反或符合 DLP 原則。例如,人員可以將不含機密資訊文件上傳到小組網站,之後另一個人可以編輯同一份文件並在其中加入機密資訊。

因此,DLP 原則會頻繁地在背景中檢查文件是否有原則相符項目。您可以將此視為非同步原則評估。

運作方式如下:有人在其網站上新增或變更文件時,搜尋引擎會掃描內容,使您後續可加以搜尋。在執行此動作時,也會掃描內容中的機密資訊,並檢查此資訊是否共用。所發現的任何機密資訊都會安全地儲存在搜尋索引中,只有合規性小組可以存取,一般使用者無法存取。您已開啟的每個 DLP 原則都會在背景中執行 (以非同步方式),頻繁地搜尋任何符合原則的內容,並套用動作以防止該內容不慎外洩。

顯示 DLP 原則如何以非同步的方式評估內容的圖表

最後,文件可能會違反 DLP 原則,但也可能會符合 DLP 原則。例如,如果人員在文件中加入信用卡號碼,有可能會導致 DLP 原則自動封鎖文件的存取。但如果人員稍後移除機密資訊,則會在下次依據原則進行評估時自動復原動作 (在此案例中為封鎖)。

DLP 會評估任何可編製索引的內容。若要深入了解依預設會編目哪些檔案類型,請參閱 SharePoint Server 2013 中的預設編目副檔名和剖析檔案類型

Exchange Online、Outlook 2013 及更新版本和 Outlook 線上版中的原則評估

建立包含 Exchange Online 位置的 DLP 原則時,原則會從 Office 365 安全性與合規性中心同步處理到 Exchange Online,然後再從 Exchange Online 同步處理到 Outlook 線上版和 Outlook 2013 及更新版本中。

在 Outlook 中撰寫郵件時,若使用者撰寫的內容經評估後判定違反 DLP 原則,就會看見原則提示。郵件送出時,系統會在一般郵件流程中進行 DLP 原則評估,此外也會一併執行 Exchange 系統管理中心中建立的 Exchange 傳輸規則和 DLP 原則 (詳情請參閱下節)。DLP 原則會掃描郵件和所有附件。

Office 2016 桌面程式中的原則評估

Excel 2016、PowerPoint 2016 和 Word 2016 都具有與 SharePoint Online 和商務用 OneDrive 相同的功能,可識別機密資訊並套用 DLP 原則。這些 Office 2016 程式會直接從中央原則存放區同步處理其 DLP 原則,並在有人使用從 DLP 原則所包含的網站開啟的文件時,持續根據 DLP 原則來評估內容。

Office 2016 中的 DLP 原則評估依設計並不會影響程式的效能或內容使用者的產能。如果他們正在處理大型文件,或使用者的電腦忙碌中,可能需要幾秒鐘才會顯示原則提示。

權限

您的合規性小組中將建立 DLP 原則的成員必須具備 安全性與合規性中心 的權限。根據預設,租用戶系統管理員將可存取此位置,並且可直接讓法務人員與其他人存取 安全性與合規性中心,而不需要為其提供租用戶系統管理員的所有權限。若要這麼做,我們建議您:

  1. 在 Office 365 中建立群組,並將法務人員新增至此群組。

  2. 在 安全性與合規性中心 的 [權限] 頁面上建立角色群組。

  3. 新增 Office 365 群組到角色群組。

如需詳細資訊,請參閱授與使用者存取 Office 365 合規性中心的權限

需要這些權限才能建立及套用 DLP 原則。原則強制執行不需要內容的存取權。

尋找 DLP Cmdlet

若要為 安全性與合規性中心使用大多數的 Cmdlet,您需要:

  1. 使用遠端 PowerShell 連線到 Office 365 安全性與合規性中心

  2. 使用下列任何 Office 365 安全性與合規性中心 Cmdlet

不過,DLP 報告需要從整個 Office 365 擷取資料,包含 Exchange Online。有鑑於此,DLP 報告的 Cmdlet 可在 Exchange Online PowerShell 中使用,但安全性與合規性中心 PowerShell 則不行。因此,若要為 DLP 報告使用 Cmdlet,您需要︰

  1. 使用遠端 PowerShell 連線到 Exchange Online

  2. 為 DLP 報告使用下列任何 Cmdlet:

其他資訊

擴展您的技能
探索訓練
優先取得新功能
加入 Office 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與其中一位 Office 支援專員連絡以深入了解您的意見。

×