此方案演示如何使用 Microsoft Purview DLP 将敏感信息的意外共享限制为未经批准的云应用程序和服务。 通过定义敏感服务域并通过支持的浏览器强制实施控制,组织可以监视和指导上传或访问敏感数据的方式。
注意
支持以下 Web 浏览器:
- Microsoft Edge (Win/macOS)
- Chrome (Win/macOS) - 仅适用于 Chrome Windows 的 Microsoft Purview 扩展
- 仅限 Firefox Windows 的 Firefox (Win/macOS) - Microsoft Purview 扩展
- 仅 safari (macOS)
为 “设备” 位置配置策略时,将阻止不受支持的浏览器访问敏感内容,并将用户重定向到 Microsoft Edge,DLP 控件可以根据策略条件阻止或限制操作。 这种浏览器感知强制措施有助于降低数据外泄的风险,同时保持一致的引导式用户体验。
若要实现此方法,需要定义受限制的目标 (域、服务或 IP) ,指定不受支持的浏览器,并配置 DLP 规则来检测敏感内容并应用“ 上传到云服务 ”和 “从未启用的浏览器访问”等控件。
此配置使组织能够审核用户行为、优化策略,并根据需要逐步实施更严格的控制,同时尽量减少对合法业务活动的中断。
先决条件和假设条件
本文使用在设计数据丢失防护策略中学到的过程,演示如何创建Microsoft Purview 数据丢失防护 (DLP) 策略。 在测试环境中完成这些方案,以熟悉策略创建 UI。
重要
本文介绍一个具有假设值的假设方案。 它仅用于说明目的。 替换你自己的敏感信息类型、敏感度标签、通讯组和用户。
部署策略的方式与策略设计一样重要。 本文 介绍如何使用部署选项,以便策略实现你的意图,同时避免代价高昂的业务中断。
此方案使用 机密 敏感度标签,因此需要创建和发布敏感度标签。 若要了解详细信息,请参阅:
此过程使用假设的通讯组 Human Resources 和 Contoso.com 的安全团队的通讯组。
此过程使用警报,请参阅: 数据丢失防护警报入门
策略意向语句和映射
Contoso 希望防止用户无意中从终结点设备将敏感信息共享到未经批准的云应用程序和服务。 同时,我们希望确保用户可以在没有不必要的限制的情况下继续访问和使用非敏感数据。 为此,我们将定义一组 受限的云服务域, 并在用户活动中检测到敏感信息时强制实施控制。 当用户尝试将敏感内容上传到这些未经批准的服务时,或通过不支持的浏览器访问此类内容时,我们将审核活动,并引导用户 (支持、合规的工作流,例如使用 Microsoft Edge) 。 此方法允许我们逐步实施控制,方法是先审核用户行为、了解风险模式并优化策略,然后再根据需要进行更严格的强制实施。
| 语句 | 配置问题解答和配置映射 |
|---|---|
| “我们希望防止用户将敏感信息共享到未经批准的云应用和服务...”。 | - 管理范围:完整目录 - 监视位置:仅设备 - 策略范围:所有用户/设备 (或目标用户用于测试) |
| “我们希望定义哪些云服务被视为无法敏感数据共享...”。 | - 终结点设置:创建 敏感服务域组 - 使用 URL/IP/IP 范围 (通配符支持的域) - 在策略规则中重复使用的组 |
| “我们希望检测共享到这些服务的敏感内容...” | - 条件:内容包含选定的 敏感信息类型 - 检测逻辑:内置或自定义敏感信息类型 |
| “我们希望监视上传敏感内容或通过不受支持的浏览器访问敏感内容的尝试...”。 | - 操作: 上传到受限的云服务域或从未启用的浏览器进行访问 - 与终结点 DLP 集成的浏览器控件 |
| “我们希望在最初观察用户行为时不会阻止业务流程...”。 | - 操作模式: 仅审核 服务域和浏览器活动 - 此阶段未强制实施阻止或替代 |
| “我们希望将用户重定向到受支持的策略感知浏览器...”。 | - 终结点行为:阻止未启用的浏览器访问敏感内容 - 用户体验:重定向到强制实施 DLP 控件的 Microsoft Edge |
| “我们希望保持灵活性,以随着时间的推移扩展保护...” | - 设计功能:根据需要添加更多域组、应用和策略 - 策略扩展性:支持将来转换为使用替代阻止或阻止 |
| “我们希望监视并选择性地跨应用控制其他文件活动...” | - 其他操作:根据需要为所有应用配置文件活动 - 对终结点行为的精细监视或限制 |
| “我们希望此策略立即处于活动状态,以便进行评估...” | - 策略模式: 立即将其打开 - 部署:在审核模式下立即强制实施 |
创建策略的步骤
登录到 Microsoft Purview 门户> 左上角的数据丢失防护>设置 (齿轮图标) >数据丢失防护>终结点 DLP 设置>浏览器和域限制敏感数据>敏感服务域组。
选择“ 创建敏感服务域组”。
为组命名。
输入组的 敏感服务域 。 可以将多个网站添加到一个组,并使用通配符覆盖子域。 例如,
www.contoso.com仅对于顶级网站,或者:*.contoso.com 表示 corp.contoso.com、hr.contoso.com fin.contoso.com。选择所需的 匹配类型。 可以从“URL”、“IP 地址”、“IP 地址范围”中进行选择。
选择“保存”。
在左侧导航窗格中,选择“ 数据丢失防护>策略”。
存储在连接的源中的数据。
创建并限定仅应用于 “设备 ”位置的策略。 有关如何创建策略的详细信息,请参阅 创建和部署数据丢失防护策略。 请确保将管理员单位范围限定为 Full 目录。
在 “定义策略设置” 页上,选择“ 创建或自定义高级 DLP 规则 ”,然后选择“ 下一步”。
创建规则,如下所示:
- 在“ 条件”下,选择“ + 添加条件 ”,然后从下拉菜单中选择“ 内容包含 ”。
- 为组命名。
- 选择 “添加 ”,然后选择“ 敏感信息类型”。
- 从浮出控件窗格中选择 敏感信息类型 ,然后选择 “添加”。
- 添加“ 审核或限制设备上的活动”操作。
- 在 “服务域和浏览器活动”下,选择“ 上传到受限的云服务域或从未启用的浏览器进行访问 ”,并将操作设置为“ 仅审核”。
- 选择“ + 为敏感服务域选择不同的限制”, 然后选择“ 添加组”。
- 在“选择敏感服务域组”浮出控件上,选择所需的敏感服务域组 () ,选择“添加”,然后选择“保存”。
- 在 “所有应用的文件活动”下,选择要监视或限制的用户活动,以及 DLP 为响应这些活动而要执行的操作。
- 完成规则创建,然后选择 “保存” ,然后选择“ 下一步”。
- 在确认页上,选择 “完成”。
- 在 “策略模式 ”页上,选择“ 立即将其打开”。 选择 “下一步 ”,然后选择 “提交”。