此方案演示如何在 Microsoft Purview DLP 中使用基于网络的条件,根据用户访问敏感数据的位置应用不同的保护。 通过定义 VPN 连接和配置 网络异常,该策略根据网络上下文调整操作(例如审核或阻止剪贴板活动),从而更精确地控制混合工作环境,而无需统一限制用户活动。
此方案适用于创建完整目录策略的不受限制的管理员。
先决条件和假设条件
此方案要求你已将设备载入并报告到活动资源管理器中。 如果尚未载入设备,请参阅终结点数据丢失防护入门。
在此方案中,我们定义了混合辅助角色用于访问组织资源的 VPN 列表。
本文使用在设计数据丢失防护策略中学到的过程,演示如何创建Microsoft Purview 数据丢失防护 (DLP) 策略。 在测试环境中完成这些方案,以熟悉策略创建 UI。
重要
本文介绍一个具有假设值的假设方案。 它仅用于说明目的。 替换你自己的敏感信息类型、敏感度标签、通讯组和用户。
部署策略的方式与策略设计一样重要。 本文 介绍如何使用部署选项,以便策略实现你的意图,同时避免代价高昂的业务中断。
此方案使用 机密 敏感度标签,因此需要创建和发布敏感度标签。 若要了解详细信息,请参阅:
此过程使用假设的通讯组 Human Resources 和 Contoso.com 的安全团队的通讯组。
此过程使用警报,请参阅: 数据丢失防护警报入门
策略意向语句和映射
Contoso 希望根据用户操作的网络上下文控制敏感法律内容的处理方式。 具体而言,我们希望根据用户是通过受信任的公司网络还是混合辅助角色使用的 VPN 连接来应用不同级别的限制。
为此,我们将定义已知的 VPN 连接,并在 DLP 策略 中的网络异常规则 中使用它们。 这允许我们在用户通过特定 VPN 连接时强制实施更严格的控制(例如使用替代阻止剪贴板活动),同时在其他上下文中保持限制性较低的 (仅审核) 行为。 此方法可实现上下文数据保护,以适应用户访问敏感数据的方式和位置。
| 语句 | 配置问题解答和配置映射 |
|---|---|
| “我们希望根据用户连接的网络应用不同的数据保护控制。 | - 管理范围:完整目录 - 监视位置:仅设备 - 策略范围:所有用户/设备或目标用户 |
| “我们希望确定混合辅助角色使用的 VPN 连接...” | - 终结点设置:使用服务器地址或网络地址配置 VPN 设置 - 通过 PowerShell 命令收集的数据 (Get-VpnConnection、Get-NetConnectionProfile) |
| “我们希望检测终结点上处理的敏感法律内容...” | - 条件: 内容包含 = 可训练分类器、 法律事务 |
| “我们希望控制涉及敏感内容的特定用户活动...” | - 操作: 审核或限制设备上的活动 - 活动类型: 所有应用上的文件活动 - 特定活动: 复制到剪贴板 (可扩展到其他人,例如打印或 USB 复制) |
| “我们希望在正常条件下减少监视限制...” | - 默认活动操作: 仅审核 复制到剪贴板 |
| “我们希望在用户通过定义的 VPN 网络连接时进行更严格的控制...” | - 网络异常:选择“VPN”并将操作设置为“使用替代阻止” - 优先级:必须在网络异常配置中将 VPN 设置为最高优先级 |
| “我们希望在保持问责制的同时支持用户的工作效率...” | - 替代功能:在 VPN 条件下被阻止时,用户可以继续提供理由 |
| “我们希望确保基于网络的规则的正确优先级...” | - 配置行为:正确排序时 VPN 规则优先于公司网络设置 - 警告:“应用于所有活动”可能会覆盖其他特定于活动的配置 |
| “我们希望在完全实施之前安全地测试策略行为...” | - 策略模式: 在模拟模式下运行 - 用户体验: 在模拟模式下显示策略提示 |
| “我们希望通过监视和测试来验证策略行为...” | - 监视:使用 活动资源管理器 查看策略匹配项 - 测试:在不同网络条件下执行剪贴板复制操作 (VPN 与非 VPN) |
创建策略的步骤
创建和使用网络异常
网络异常使你能够基于用户从中访问文件的网络对文件活动配置“允许”、“仅审核”、“使用替代阻止”和“阻止操作”。 可以从已定义的 VPN 设置 列表中选择,并使用 “公司网络 ”选项。 操作可以单独或共同应用于以下用户活动:
- 复制到剪贴板
- 复制到 USB 可移动设备
- 复制到网络共享
- 打印
- 使用未经允许的蓝牙应用复制或移动
- 使用 RDP 复制或移动
获取服务器地址或网络地址
在受 DLP 监视的 Windows 设备上,以管理员身份打开Windows PowerShell窗口。
运行此 cmdlet:
Get-VpnConnection运行此 cmdlet 将返回多个字段和值。
找到 “ServerAddress ”字段并记录该值。 在 VPN 列表中创建 VPN 条目时,将使用此项。
找到 “名称” 字段并记录该值。 在 VPN 列表中创建 VPN 条目时 ,“名称” 字段映射到“ 网络地址 ”字段。
确定设备是否通过公司网络连接
在受 DLP 监视的 Windows 设备上,以管理员身份打开Windows PowerShell窗口。
运行此 cmdlet:
Get-NetConnectionProfile如果 NetworkCategory 字段为 DomainAuthenticated,则设备已连接到公司网络。 如果还有其他任何内容,则设备的连接不是通过公司网络。
添加 VPN
登录到 Microsoft Purview 门户。
打开 “设置>数据丢失防护>终结点设置>VPN 设置”。
选择 “添加或编辑 VPN 地址”。
提供运行 Get-VpnConnection 的服务器 地址 或 网络地址 。
选择“保存”。
关闭项目。
配置策略操作
登录到 Microsoft Purview 门户。
打开 数据丢失防护>策略。
选择 “创建策略”
存储在连接的源中的数据。
从“类别”中选择“自定义”,然后选择“法规”中的“自定义”策略模板。
为新策略命名并提供说明。
选择“管理员单位”下的“完整目录”。
将位置范围限定为 “仅设备 ”。
创建规则,其中:
- 内容包含 = 可训练分类器、 法律事务
- 行动 = 审核或限制设备上的活动
- 然后 ,在所有应用上选择“文件活动”
- 选择“ 将限制应用于特定活动”
- 选择要为其配置 网络异常 的操作。
选择“ 复制到剪贴板 ”和“ 仅审核 ”操作
选择 “选择不同的复制到剪贴板限制”。
选择“ VPN ”,并将操作设置为“ 使用替代阻止”。
重要
如果要在用户通过 VPN 进行连接时控制其活动, 则必须 选择 VPN,并使该 VPN 成为 网络异常 配置中的最高优先级。 否则,如果选择了 “公司网络 ”选项,则将强制实施为 “公司”网络 条目定义的操作。
警告
“ 应用于所有活动” 选项将复制此处定义的网络异常,并将其应用于所有其他配置的特定活动,例如 “打印”和 “复制到网络共享”。 这将覆盖其他活动的网络异常 上次保存的配置获胜。
保存。
接受默认的“ 在模拟模式下运行策略” 值,然后选择“ 在模拟模式下显示策略提示”。 选择“下一步”。
查看设置,然后选择 “提交” ,然后选择“ 完成”。
新的 DLP 策略将显示在策略列表中。