应用对象
SharePoint Server 订阅版 SharePoint Server 2019 SharePoint Server 2016

组织需要保护敏感信息,例如财务数据和个人身份信息, (PII) ,并防止其无意泄露。 通过 SharePoint Server 2016 或 2019 中的数据丢失防护 (DLP) 查询,您可以在组织的网站集中找到与常见行业法规相关的敏感信息。

使用 DLP 查询,可以预览搜索结果、微调查询,以及导出和下载结果。 使用 DLP 查询,可以查看敏感信息存在的内容和位置,更好地了解风险,并确定 DLP 策略需要帮助保护的内容和位置。

开始之前

可以在电子数据展示中心(一个网站集)中创建 DLP 查询,可在其中使用权限来控制谁可以查看敏感信息。 DLP 查询的工作方式与电子数据展示查询相同,并且需要相同的权限。

首先,需要创建电子数据展示中心网站集,将用户添加到网站集,并将用户添加到需要查询和查看敏感信息的任何网站集。

建议为合规性团队创建安全组,然后将相应的用户添加到安全组。 然后,可以向安全组授予权限,而不是向单个用户授予权限。

步骤 1:创建电子数据展示中心

具有管理中心权限的管理员需要创建电子数据展示中心网站集。

  1. 在管理中心 > 应用程序管理 > 创建网站集

  2. “创建网站集 ”页上,填写表单,包括以下选项:

    • “模板选择 > 企业 ”选项卡下,> 选择 电子数据展示中心 模板。

      “企业”选项卡上的网站集模板

    • 输入网站集主管理员和辅助网站集管理员。 这些人可以将用户添加到合规性策略中心网站集,如下所述。

步骤 2:向电子数据展示中心授予权限

网站集管理员需要将用户添加到电子数据展示中心网站集的“所有者”组。

  1. 转到电子数据展示中心网站集,> 在右上角选择 “设置 (齿轮图标) > 网站设置”。

  2. “网站设置” 页上,> “用户和权限” 下 > “网站权限”。

  3. 在功能区上选择 “电子数据展示中心所有者” 组 >,选择“ 授予权限” > 输入安全组或用户 > 共享

    “所有者”组的“授予权限”选项

步骤 3:向可能包含敏感信息的每个网站集授予权限

创建 DLP 查询人员还需要对需要查询的每个网站集拥有所有者权限。 这与 DLP 策略不同,因为创建和分配策略不需要你有权查看或下载所有内容。

有两个选项:在 Web 应用程序级别授予权限,或单独向每个网站集授予权限。

在 Web 应用程序级别授予权限

Web 应用程序是一个 Internet Information Services (IIS) 网站,充当你创建的网站集的容器。 对于包含网站集的每个 Web 应用程序(其中包含需要查询的敏感信息),可以创建一个用户策略,授予对包含合规性团队的安全组的“完全控制”访问权限。

  1. 在管理中心 > 管理 Web 应用程序

  2. 选择功能区上的 Web 应用程序 >,选择 “用户策略 ”> “添加用户”。

  3. “区域 ”保留为 “ (”所有区域) > “下一 > ”用户“下,输入安全组 > 选择” 完全控制 权限“> 完成”。

    “Web 应用程序策略”对话框

在网站集级别授予权限

将安全组添加到包含需要查询的敏感信息的每个网站集的所有者组。 对于每个网站集,请执行以下操作:

  1. 转到网站集中的顶级网站 > 在右上角选择“设置” (齿轮图标) >“网站设置”。

  2. “网站设置” 页上,> “用户和权限” 下 > “网站权限”。

  3. 在功能区上选择 “所有者 ”组 >,选择“ 授予权限” > 输入安全组或用户 > 共享

    “所有者”组的“授予权限”选项

创建 DLP 查询

创建电子数据展示中心并设置权限后,即可创建 DLP 查询。 如果您熟悉电子数据展示查询,DLP 查询的工作方式相同,只是您可以预配置查询以查找不同类型的敏感信息的最小实例数 -例如,查找具有至少一个信用卡号的所有 SharePoint 内容。

  1. 转到电子数据展示中心网站集 > 创建 DLP 查询

    “创建 DLP 查询”按钮

  2. “数据丢失防护查询” 下 > 新项

  3. “新建 DLP 查询 ”下,> 执行以下操作:

    1. 选择 与需要保护敏感信息的常见法规要求相对应的模板。 每个 DLP 模板标识并帮助保护特定类型的敏感信息-例如,名为“美国财务数据”的模板标识包含 ABA 路由号码、信用卡号或美国银行帐号的内容。

    2. 输入一个数字 ,该数字确定在自动采取保护操作之前必须出现在文档中的特定类型敏感信息的最小实例数, (发送事件报告、显示策略提示、阻止访问) 。

      例如,如果选择“美国财务数据”模板并在此处输入 10,则不会执行任何操作,除非文档包含至少 10 个 ABA 路由号码、10 个信用卡号码或 10 个美国银行帐号。 每种类型的敏感信息的最小计数不是全部的总数。

      具有最小计数选项的 DLP 策略模板

  4. 完成后,选择“ 下一步”。

  5. 在下面的搜索页上,可以执行以下任一操作:

    1. 选择 “搜索 ”以运行查询。

    2. 选择 “修改查询范围 ”,然后输入特定网站的 URL 以将查询缩小到这些站点。 在运行搜索之前,需要添加位置。

    3. 手动修改查询。 默认情况下,查询使用在上一页上选择的敏感信息类型和最小计数进行配置。 可以手动更改其中任何一项。 DLP 查询支持 (KQL) 关键字 (keyword) 查询语言。

      有关 DLP 查询语法的详细信息,请参阅 形成查询以查找存储在网站上的敏感数据

      有关使用关键字、运算符和通配符的详细信息,请参阅 在电子数据展示中搜索和使用关键字 - 本主题也适用于 DLP 查询。

    4. 选择开始日期和结束日期,将结果缩小到此日期范围内的内容。

    5. 输入特定名称以按特定作者筛选查询内容。

    6. 选择特定的 SharePoint 属性以筛选查询。

    7. 如果要在 Excel 中下载和分析结果,请选择 “导出 ”。 请参见下一部分了解详细信息。

    8. 如果要稍后再次运行查询,请选择 “保存 ”。

    9. 选择 “关闭” 退出查询,而不保存搜索或结果。

    “新建查询”页

导出 DLP 查询的结果

创建或编辑 DLP 查询时,可以导出查询结果,如上一部分所示。 您可以下载结果 (内容本身) 或包含搜索结果列表的报表。 报表采用 .csv 格式,因此您可以使用 Excel 对其进行筛选和排序。

首次导出内容或创建报表时,将安装电子数据展示下载管理器,它将 SharePoint 内容和报表下载到您的计算机。 下载电子数据展示报表时,用户必须使用在其客户端计算机上登录的同一帐户登录到 SharePoint。 如果收到询问是否运行下载管理器的警告,请选择 “运行 并继续”。

电子数据展示下载管理器的安全警告

用于导出内容的计算机必须满足以下系统要求:

  • 32 位或 64 位版本的 Windows 7 和更高版本

  • Microsoft.NET Framework 4.5

  • 以下支持的浏览器之一:

    • Internet Explorer 10 和更高版本

    • 安装有 ClickOnce 外接程序的 Mozilla Firefox 或 Google Chrome

将在计算机上创建名为 SharePoint Results.csv、Exchange Results.csv、导出 Errors.csv、搜索结果 SharePoint 索引 Errors.csv 和 Exchange 索引 Errors.csv 的报表。

查看或编辑 DLP 查询

在电子数据展示中心,选择左侧导航栏中的 “数据丢失防护查询 ”以查看现有的 DLP 查询,并查看任何导出的状态。 若要编辑 DLP 查询,只需选择查询名称即可。

“数据丢失防护查询”选项

更多信息

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

Microsoft 365 订阅权益

Microsoft 365 培训

Microsoft 安全性

辅助功能中心