此方案演示如何通过阻止共享美国敏感 PII 数据,将现有 Microsoft Purview DLP 策略从监视转换为强制实施。 策略已更新为使用 带替代的块,从而防止高风险操作,同时仍允许用户在合理时继续操作。
此方法通过降低数据外泄的风险来加强数据保护,同时通过受控的用户替代和通过活动资源管理器持续了解用户活动来保持业务连续性。
此方案适用于修改完整目录策略的不受限制的管理员。
先决条件和假设条件
本文使用在设计数据丢失防护策略中学到的过程,演示如何创建Microsoft Purview 数据丢失防护 (DLP) 策略。 在测试环境中完成这些方案,以熟悉策略创建 UI。
重要
本文介绍一个具有假设值的假设方案。 它仅用于说明目的。 替换你自己的敏感信息类型、敏感度标签、通讯组和用户。
部署策略的方式与策略设计一样重要。 本文 介绍如何使用部署选项,以便策略实现你的意图,同时避免代价高昂的业务中断。
此方案使用 机密 敏感度标签,因此需要创建和发布敏感度标签。 若要了解详细信息,请参阅:
此过程使用假设的通讯组 Human Resources 和 Contoso.com 的安全团队的通讯组。
此过程使用警报,请参阅: 数据丢失防护警报入门
策略意向语句和映射
Contoso 已部署并优化了一个策略,该策略可在终结点设备上检测美国个人身份信息 (PII) ,并提供可见性和警报。 验证策略行为后,我们现在希望通过阻止用户在组织外部共享敏感信息来转向强制实施。
为此,我们将修改现有策略,以便在涉及服务域或浏览器的用户操作中检测到 PII 时,将阻止该操作。 但是,为了保持业务灵活性,将允许用户使用理由替代块。 这可确保强大的数据保护,同时仍使用户能够在必要时继续处理合法的业务方案。
| 语句 | 配置问题解答和配置映射 |
|---|---|
| “我们希望从监视过渡到强制保护终结点设备上的美国 PII...”。 | - 管理范围:完整目录 (未更改) - 监视位置:设备 (不变) - 重复使用并更新了现有策略以执行 |
| “我们希望阻止用户在组织外部共享敏感数据...”。 | - 操作:审核或限制 Windows 设备上的活动 - 活动类型:服务域和浏览器活动 |
| “我们希望阻止涉及敏感数据的高风险操作...” | - 操作配置:为服务域和浏览器活动启用替代后阻止 |
| “我们希望允许用户在合法情况下继续追究责任...” | - 重写行为:允许重写并捕获用户理由 - 用户交互:阻止操作时终结点上显示的提示 |
| “我们希望在不同的敏感度级别上实现一致...”。 | - 规则覆盖范围:将具有替代设置的相同块应用于小批量和高容量检测规则 |
| “我们希望保持对强制事件和用户行为的可见性...” | - 监视:活动资源管理器日志被阻止和重写的事件 - 警报/事件:捕获以供调查和审核 |
| “我们希望通过测试来验证强制行为...” | - 测试:使用包含 PII 数据的测试文件触发策略,并尝试外部共享 - 预期结果:用户收到包含替代选项的块提示 |
创建策略的步骤
登录到 Microsoft Purview 门户>数据丢失防护>策略。
选择在方案 1 中创建 的“美国个人身份信息 (PII) 数据 ”策略。
选择 “编辑策略”。
转到 “自定义高级 DLP 规则 ”页,编辑“ 检测到的少量内容”方案,即“增强型 PII 数据”。
向下滚动到 “操作>审核或限制 Windows 设备上的活动 ”部分,并将 “服务域”和“浏览器活动 ”下的两个选项都设置为 “使用替代阻止”。
选择“保存”。
针对检测到大量内容的情况重复步骤 4-6 美国 PII 数据增强方案。
在向导的其余部分选择“ 下一步 ”,然后 提交 策略更改,以保留以前的所有设置。
尝试与组织外部的人员共享包含将触发美国个人身份信息 (PII) 数据条件的内容的测试项目。 这应该会触发策略。
客户端设备上会显示如下所示的弹出窗口:
检查事件的活动资源管理器。