組織必須保護敏感性資訊,例如財務資料和個人識別資訊, (PII) ,並防止不慎洩漏。 使用 SharePoint Server 2016 或 2019 中的資料外 (DLP) 查詢,您可以在貴組織的網站集合中尋找與一般產業法規相關的敏感性資訊。
使用 DLP 查詢,您可以預覽搜尋結果、微調查詢,以及匯出及下載結果。 使用 DLP 查詢,您可以查看敏感性資訊存在的內容和位置、更瞭解您的風險,以及判斷 DLP 政策需要協助保護的內容和位置。
開始之前
您可以在 eDiscovery 中心建立 DLP 查詢,這是一個網站集合,您可以使用許可權來控制誰可以查看敏感性資訊。 DLP 查詢與 eDiscovery 查詢相同,而且需要相同的許可權。
首先,您需要建立 eDiscovery 中心網站集合、將使用者新增到網站集合,以及將使用者新增到任何需要查詢和查看敏感性資訊的網站集合。
我們建議您為合規性小組建立一個安全性群組,然後將適當的使用者新增到安全性群組。 接著,您可以將許可權授予安全性群組,而不是個別使用者。
步驟 1:建立電子資料探索中心
具有管理中心許可權的系統管理員必須建立 eDiscovery 中心網站集合。
-
在管理中心>應用程式管理>建立網站集合。
-
在建立 網站集合 頁面上,填寫表單,包括這些選項:
-
在範本選取> Enterprise下>選取eDiscovery 中心範本。
-
輸入主要和次要網站集合系統管理員。 這些人員可以將使用者新增到合規性政策中心網站集合,如下所述。
-
步驟 2:將許可權授予電子檔探索中心
網站集合系統管理員必須新增使用者至 eDiscovery 中心網站集合的擁有者群組。
-
前往 eDiscovery 中心網站集合>選擇設定 (齒輪圖示) 右上角的 >網站設定。
-
在網站設定頁面>使用者與許可權>許可權。
-
選取功能區上>電子檔探索中心擁有者群組,選擇 >許可權以輸入安全性群組或>共用。
步驟 3:將許可權授予每個可能包含敏感性資訊的網站集合
建立 DLP 查詢的使用者也需要擁有其需要查詢之每個網站集合的擁有者許可權。 這和 DLP 策略不同,因為建立和指派策略不需要您擁有查看或下載所有內容的許可權。
有兩個選項:在 Web 應用程式層級授予許可權,或個別授予每個網站集合的許可權。
在 Web 應用程式層級授予許可權
Web 應用程式是 IIS Internet Information Services (IIS) 網站,做為您建立之網站集合的容器。 針對含有您需要查詢之敏感性資訊的網站集合的每個 Web 應用程式,您可以建立一個使用者策略,讓包含您合規性小組的安全性群組擁有完全控制存取權。
-
在管理中心>管理 Web 應用程式。
-
選取功能區>上的 Web 應用程式,選擇使用者>新增使用者。
-
在使用者 (下) >所有區域>區域,輸入安全性群組>選取完成>許可權。
在網站集合層級授予許可權
針對每一個包含您需要查詢之敏感性資訊的網站集合,新增安全性組至擁有者群組。 針對每個網站集合,請執行下列操作:
-
前往網站集合中的最上層網站>選擇設定 (齒輪圖示) 位於 >網站設定。
-
在網站設定頁面>使用者與許可權>許可權。
-
選取功能區>的擁有者群組,選擇 >共用的安全性群組或>許可權。
建立 DLP 查詢
建立電子檔探索中心並設定許可權之後,就可以建立 DLP 查詢了。 如果您熟悉 eDiscovery 查詢,DLP 查詢會以相同的方式運作,但您可以預先設置查詢,以尋找不同類型的敏感性資訊的最小實例數 ,例如,尋找至少一個信用卡號碼的所有 SharePoint 內容。
-
請前往 eDiscovery 中心網站集合>建立 DLP 查詢。
-
在資料外遺失防護查詢下>新增專案。
-
在 新增 DLP 查詢> 執行下列操作:
-
選擇對應 到您需要保護敏感性資訊的常見法規要求的範本。 每個 DLP 範本都可識別並協助保護特定類型的敏感性資訊,例如,名為美國財務資料的範本會識別包含 ABA 路由號碼、信用卡號碼或美國銀行帳戶號碼的內容。
-
輸入數位,決定在自動採取保護動作之前,必須出現在檔中之特定類型敏感性資訊的最小實例數目 (傳送附隨報告、顯示策略提示、封鎖存取) 。
例如,如果您選取了美國財務資料範本,並在此輸入 10,則除非檔包含至少 10 個 ABA 路由號碼、10 個信用卡號碼或 10 個美國銀行帳戶號碼,否則不會採取任何動作。 最低計數是每種類型的敏感性資訊,而不是全部的總數。
-
-
完成後,選擇下一 步。
-
在下方的搜尋頁面上,您可以執行下列任何一項操作:
-
選擇 搜尋 以執行查詢。
-
選擇 修改查詢範圍 ,然後輸入特定網站的 URL,將查詢範圍縮小到這些網站。 您需要先新增位置,再進行搜尋。
-
手動修改查詢。 根據預設,查詢會以您于上一頁選取的敏感性資訊類型和最小計數來配置。 您可以手動變更任何一個。 DLP 查詢支援關鍵字查詢語言 (KQL) 。
有關 DLP 查詢語法的資訊,請參閱建立查詢以尋找儲存在 網站的敏感性資料。
有關使用關鍵字、運算子和萬用字元的詳細資訊,請參閱在 eDiscovery 中搜尋及使用關鍵字 -本主題也適用于 DLP 查詢。
-
選擇開始日期和結束日期,將結果縮小到此日期範圍中的內容。
-
輸入特定名稱,以根據特定作者篩選查詢的內容。
-
選取特定SharePoint屬性來篩選查詢。
-
如果您想要下載並分析結果,請選擇匯出Excel。 如需詳細資訊,請參閱下一節。
-
如果您想要 稍後 再次執行查詢,請選擇儲存。
-
選擇 關閉 以結束查詢,而不保存搜尋或結果。
-
匯出 DLP 查詢的結果
當您建立或編輯 DLP 查詢時,您可以匯出查詢結果,如上一節所示。 您可以下載 (內容本身) 或包含搜尋結果清單的報表。 報表的格式.csv,因此您可以使用 Excel來篩選及排序報表。
當您第一次匯出內容或建立報表時,會安裝 eDiscovery 下載管理員,SharePoint下載內容與報表至您的電腦。 下載 eDiscovery 報表時,使用者SharePoint登入他們的用戶端電腦上所登入的帳戶。 如果您收到警告,詢問是否要執行下載管理員,請選擇執行 並繼續 。
您用於匯出內容的電腦必須符合下列系統需求:
-
32 或 64 位元版本的 Windows 7 及更新版本
-
Microsoft .NET Framework 4.5
-
下列其中一個支援的瀏覽器:
-
Internet Explorer 10 和更新版本
-
Mozilla Firefox 或 Google Chrome (已安裝 ClickOnce 增益集)
-
您SharePoint Results.csv、Exchange Results.csv、匯出 Errors.csv、搜尋結果 SharePoint 索引Errors.csv及 Exchange 索引Errors.csv報表。
查看或編輯 DLP 查詢
在 eDiscovery 中心,選擇左側流覽中的資料外遺失防護查詢,以查看現有的 DLP 查詢,以及查看任何匯出的狀態。 若要編輯 DLP 查詢,只要選取查詢名稱。