使用自适应保护 (预览) 帮助动态降低风险

  • 项目

重要

Microsoft Purview 内部风险管理关联各种信号,以识别潜在的恶意或无意内部风险,例如 IP 盗窃、数据泄露和安全违规。 内部风险管理使客户能够创建策略来管理安全性和合规性。 根据设计而构建的隐私,默认情况下,用户将化名化,并且基于角色的访问控制和审核日志已到位,以帮助确保用户级别的隐私。

Microsoft Purview 中的自适应保护使用机器学习来识别最关键的风险,并主动和动态地从以下方面应用保护控制措施:

与 DLP 和条件访问的集成可帮助组织自动响应内部风险,并减少识别和修正潜在威胁所需的时间。 通过利用这三种解决方案的功能,组织可以创建一个更全面的安全框架,以解决内部和外部威胁。

自适应保护通过以下方法帮助缓解潜在风险:

  • 上下文感知检测。 通过 ML 驱动的内容和用户活动分析来帮助识别最关键的风险。
  • 动态控件。 帮助对高风险用户强制实施有效控制,而其他人则保持工作效率。
  • 自动缓解。 有助于将潜在数据安全事件的影响降到最低,并降低管理开销。

自适应保护根据内部风险管理中的机器学习模型定义和分析的风险级别,向用户动态分配适当的 Microsoft Purview DLP 和Microsoft Entra条件访问策略。 策略根据用户上下文进行自适应,确保最有效的策略(例如通过 DLP 阻止数据共享或通过条件访问阻止应用程序访问)仅应用于高风险用户,而低风险用户保持工作效率。 DLP 和条件访问策略控制不断调整,因此当用户的风险级别更改时,会动态应用相应的策略来匹配新的风险级别。

重要

内部风险管理目前在托管在 Azure 服务依赖项支持的地理区域和国家/地区的租户中可用。 若要验证组织是否支持内部风险管理解决方案,请参阅 按国家/地区提供的 Azure 依赖项可用性。 内部风险管理可用于商业云,但目前不适用于美国政府云计划。

观看以下视频,了解自适应保护如何帮助识别和缓解组织中最关键的风险:

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

风险级别和预防性控制

借助自适应保护,管理员可以根据组织的需求为可自定义的风险级别配置风险因素或活动。 自适应保护的风险级别会根据用户的风险因素和见解持续自动更新,因此,当用户的数据安全风险增加或降低时,会相应地调整其风险级别。 根据风险级别,DLP 策略和条件访问策略会自动应用管理员配置的适当级别的预防性控制 (,例如 阻止替代阻止或 警告) 。

根据自适应保护中分配的内部风险管理策略,使用不同的条件 (用户、组、指标、阈值等 ) 来确定适用的风险级别。 风险级别基于用户见解,而不仅仅是基于特定用户活动的实例数。 见解是活动的聚合数量和这些活动的严重性级别的计算。

例如,执行潜在风险活动超过三次的用户 A 不会确定用户 A 的风险级别。 用户 A 的风险级别将由活动总数的见解确定,风险分数将根据所选策略中配置的阈值分配给活动。

风险级别

自适应保护中的风险级别定义用户活动的风险程度,并且可以基于以下条件:他们执行的外泄活动数,或者他们的活动是否生成了高严重性内部风险警报。 这些风险级别具有内置的风险级别定义,但可以根据需要自定义这些定义:

  • 风险级别提升:这是最高风险级别。 它包括具有高严重性警报的用户的内置定义、具有至少三个序列见解的用户,每个序列见解针对特定风险活动具有高严重性警报,或一个或多个已确认的高严重性警报。
  • 中等风险级别:中等风险级别包括针对具有中等严重性警报的用户或具有至少两个具有高严重性分数的数据外泄活动的用户的内置定义。
  • 次要风险级别:最低风险级别包括具有低严重性警报的用户或具有至少一个数据外泄活动且严重性分数较高的用户的内置定义。

若要将风险级别分配给用户,分配给活动的见解数和严重性需要与风险级别的定义相匹配。 见解的活动数可以是单个活动,也可以是单个见解累积的多个活动。 针对风险级别定义评估见解数,而不是见解中包含的活动数。

例如,假设分配给自适应保护的内部风险管理策略中的条件限定为标识从组织中的 SharePoint 网站下载。 如果策略检测到用户在一天内从 SharePoint 网站下载了 10 个文件,这些文件被确定为高严重性,则这将计为包含 10 个活动事件的单个见解。 为了使此活动有资格向用户分配 提升的风险级别 ,用户需要两个具有高严重性) 的附加见解 (。 其他见解可能包含也可能不包含一个或多个活动。

内部风险管理自适应保护风险级别。

自定义风险级别

自定义风险级别允许你根据组织的需求创建风险级别。 可以自定义风险级别所基于的条件,然后定义条件以控制何时将风险级别分配给用户。

请考虑将自适应保护与 DLP 和条件访问策略结合使用的以下示例。

  • DLP 策略
    • 允许具有 次要中等 风险级别的用户接收有关处理敏感数据的最佳做法的策略提示和教育。 通过这种方式,可以影响一段时间内的积极行为更改,并降低组织数据风险。
    • 阻止具有 提升 风险级别的用户保存或共享敏感数据,以尽量减少潜在数据事件的影响。
  • 条件访问策略
    • 要求 次要 风险级别用户在使用应用程序之前确认使用条款。
    • 阻止 中等 风险级别的用户访问某些应用程序
    • 完全阻止 提升 的风险级别用户使用 任何 应用程序。 详细了解常用条件访问策略

风险级别条件和条件

风险级别标准和条件自定义可以基于以下方面:

  • 为用户生成或确认的警报:此选项允许你根据针对所选内部风险管理策略的用户生成或确认的 警报的严重性级别 选择条件。 警报的条件不会累加,如果满足其中一个条件,则会向用户分配风险级别。
  • 特定用户活动:此选项允许你选择要检测的活动的条件、其严重性以及 过去活动检测 窗口中的每日发生次数 (可选) 。 用户活动的条件是累加的,仅当满足所有条件时,风险级别才会分配给用户。

过去活动检测

此风险级别设置确定回退自适应保护检查天数,以检测用户是否满足由任何风险级别定义的条件。 默认设置为 7 天,但可以选择 5 到 30 天以前的活动来应用风险级别条件。 此设置仅适用于基于用户日常活动的风险级别,并排除基于警报的风险级别。

以下示例演示过去活动检测设置和风险级别如何交互,以确定用户过去的活动是否在范围内:

  • 提升的风险级别 设置:用户至少执行三个序列,每个序列的严重性风险分数 (67 到 100)
  • 过去的活动检测 设置:3 天
用户活动 风险级别范围内的活动
用户每天在 T-3、T-2、T-1 上具有 1 个高严重性序列
用户在第 3 天 T-3 具有 3 个高严重性序列
用户在第 4 天具有 1 个高严重性序列,在第 3 天具有 2 个高严重性序列

风险级别时间范围

此风险级别设置确定在自动重置之前将风险级别分配给用户的时间长度。 默认设置为 7 天,但你可以在重置用户的风险级别之前选择 5 到 30 天。

在出现时,也会重置用户的风险级别:

  • 用户的关联警报已消除
  • 已解决用户的关联案例
  • 风险级别结束日期已手动过期

注意

如果用户当前分配了风险级别,并且该用户再次满足该风险级别的条件,则风险级别时间范围将延长为该用户定义的天数。

自适应保护的权限

根据使用内部风险管理内置角色组和角色组进行 DLP 或条件访问的方式,可能需要更新组织中管理员、分析师和调查人员 的权限

下表描述了特定自适应保护任务所需的权限。

任务 所需角色组
配置自适应保护和更新设置 内部风险管理内部风险管理管理员
使用自适应保护条件创建和管理 DLP 策略 以下其中一项: 合规性管理员合规性数据管理员DLP 合规性管理全局管理员
创建和管理具有自适应保护条件的条件访问策略 以下选项之一:全局管理员条件访问管理员安全管理员
查看有关用户分配的风险级别的详细信息 内部风险管理内部风险管理分析师内部风险管理调查员

重要

四类角色组对应于“自适应保护”页上的以下选项卡: 自适应保护的风险级别用户分配的风险级别DLP 策略条件访问策略。 如果未分配到相应的角色组,则“自适应保护”页上不会显示该选项卡。

详细了解 Microsoft Defender for Office 365 和 Microsoft Purview 合规性中的角色组

配置自适应保护

根据组织的需求,或者你当前配置了内部风险管理、DLP 和条件访问的位置,可以使用两个选项开始使用自适应保护:

  • 快速设置
  • 自定义设置

快速设置

快速设置选项是开始使用自适应保护的最快方法。 使用此选项时,无需任何预先存在的内部风险管理、DLP 或条件访问策略,也无需预先配置任何设置或功能。 如果你的组织没有支持内部风险管理或 DLP 的当前订阅或许可证,请在开始快速设置过程之前注册 Microsoft Purview 风险和合规性解决方案试用版 。 还可以注册Microsoft Entra试用版

首先,可以从 Microsoft Purview 门户主页或 DLP 概述页上的自适应保护卡片中选择 “启用 自适应保护”。 还可以转到预览体验成员风险管理>自适应保护>仪表板>快速设置,开始快速设置过程。

注意

如果你已经是 Microsoft Purview 的范围 管理员 ,则无法启用快速设置。

下面是使用快速设置过程进行自适应保护时所配置的内容:

区域 配置
如果尚未配置内部风险设置, () - 隐私:显示用户名的匿名版本。 注意: 用户名不会在条件访问或 DLP 中匿名
- 策略时间范围:默认值
- 策略指示器:可以在内部风险管理设置中查看 (Office 指标的子集)
- 风险分数提升器:全部
- 智能检测:警报卷 = 默认卷
- 分析:打开
- 管理员通知:在生成第一个警报时向所有人发送通知电子邮件
如果已配置) ,则 (内部风险设置 - 策略指示器:尚未配置 Office 指示器, (可以在内部风险管理设置) 查看。
- 以前配置的所有其他设置不会更新或更改。
- 分析:在 (阈值上触发策略中的事件是 Analytics 建议确定的默认设置。)
新的内部风险策略 - 策略模板: 数据泄漏
- 策略名称:内部风险管理的自适应保护策略
- 用户和组的策略范围:所有用户和组
- 优先级内容:无
- 触发事件:可以在内部风险管理设置) 查看所选的外泄事件 (
- 策略指示器:可以在内部风险管理设置中查看 (Office 指标的子集)
- 风险分数提升器:活动高于当天用户通常的活动
自适应保护风险级别 - 提升 的风险级别:用户必须至少有三个高严重性外泄序列
- 中等 风险级别:用户必须至少有两个高严重性活动, (排除某些类型的下载)
- 次要 风险级别:用户必须至少有一个高严重性活动 (排除某些类型的下载)
两个新的 DLP 策略 终结点 DLP 的自适应保护策略

- 提升 的风险级别规则:已阻止
- 温和/次要 风险级别规则:审核
- 策略在测试模式下启动, (仅审核)

适用于 Teams 和 Exchange DLP 的自适应保护策略

- 提升 的风险级别规则:已阻止
- 温和/次要 风险级别规则:审核
- 策略在测试模式下启动, (仅审核)
新的条件访问策略 (在仅报表模式下创建,因此用户不会被阻止) 1-阻止具有预览体验成员风险的用户 (预览版)

- 包含的用户:所有用户
- 排除的来宾或外部用户:B2bDirectConnect 用户;OtherExternalUser;ServiceProvider
- 云应用:所有应用
- 内部风险级别:提升
- 阻止访问:已选择

启动快速设置过程后,最多可能需要 72 小时才能完成分析,创建关联的内部风险管理、DLP 和条件访问策略,并且你可以看到应用于适用用户活动的自适应保护风险级别、DLP 和条件访问操作。 完成快速设置过程后,管理员会收到通知电子邮件。

自定义设置

使用自定义设置选项,可以自定义内部风险管理策略、风险级别以及为自适应保护配置的 DLP 和条件访问策略。 此选项还允许在内部风险管理和 DLP 之间实际启用自适应保护连接之前配置这些项目。 在大多数情况下,此选项应由已有内部风险管理和/或 DLP 策略的组织使用。

完成以下步骤,使用自定义设置配置自适应保护:

步骤 1:创建内部风险管理策略

当在自适应保护中分配的策略检测到用户活动或生成与下一步中定义的风险级别条件匹配的警报时,风险级别将分配给用户。 如果不想使用在步骤 2) 中选择的现有内部风险管理策略 (,则必须创建新的内部风险管理策略。 自适应保护的内部风险管理策略应包括:

  • 要检测其活动的用户。 这可以是组织中的所有用户和组,也可以只是特定风险缓解方案或测试目的的子集。
  • 你认为有风险的活动以及影响活动风险评分的自定义阈值。 风险活动可能包括向组织外部的人员发送电子邮件或将文件复制到 USB 设备。

选择“ 创建内部风险策略 ”以启动新策略向导。 向导中会自动选择 “数据泄漏 ”策略模板,但如果需要,可以选择任何策略模板。

重要

根据所选的策略模板,可能需要为策略配置 其他设置 ,以正确检测潜在风险活动并创建适用的警报

步骤 2:配置风险级别设置

选择 “自适应保护的风险级别 ”选项卡。首先选择要用于自适应保护的内部风险管理策略。 这可以是在步骤 1 中创建的新策略,也可以是已配置的现有策略。

接下来,接受适用的内置风险级别条件或创建自己的风险级别条件。 根据所选策略的类型,风险级别条件将反映与策略中配置的指标和活动关联的适用条件。

例如,如果已基于 数据泄漏 策略模板选择了策略,则内置风险级别条件选项适用于该策略中可用的指标和活动。 如果已基于 安全策略冲突 策略模板选择了策略,则内置风险级别条件将自动限定为该策略中可用的指示器和活动。

自定义策略的风险级别

为正在使用的门户选择相应的选项卡。 若要了解有关 Microsoft Purview 门户的详细信息,请参阅 Microsoft Purview 门户。 若要了解有关合规性门户的详细信息,请参阅 Microsoft Purview 合规门户

  1. 使用 Microsoft 365 组织中的管理员帐户的凭据登录到 Microsoft Purview 门户

  2. 转到 预览体验成员风险管理 解决方案。

  3. 在左侧导航栏中选择“ 自适应保护 (预览) ”,然后选择“ 风险级别”。

  4. “自适应保护的风险级别 ”页上,选择“ 编辑 ”以获取要自定义的风险级别 (“提升”、“ 中等”或“ 次要) ”。

  5. “自定义风险级别 ”窗格中, 选择“风险级别基于 ”部分的选项:

    • 为用户生成或确认警报
    • 特定用户活动

  6. 如果已为 用户选择了“生成或确认警报 ”选项,则为应使用此风险级别的用户生成或确认的警报选择严重性级别。 可以保留已生成警报的严重性和已确认警报条件的严重性,如果只想使用其中一个条件,可以删除这些条件之一。 如果需要重新添加其中一个条件,请选择 “添加条件 ”,然后选择该条件。 对于每个条件,请选择应对条件应用的严重性级别 (“高”、“ 中”或“ ”) 。 如果满足 任何 条件,则会向用户分配风险级别。

  7. 如果选择了 “特定用户活动 ”选项,请选择要检测的活动、其严重性和过去活动检测窗口中的每日发生次数。 必须为此风险级别配置“ 活动”、“ 活动严重性”和“ 在检测窗口期间发生的活动 次数”。

    对于 “活动” 条件,可以根据使用关联策略中配置的指示器定义的活动类型自动更新可从中选择的选项。 如果需要,请选中“ 将此风险级别分配给已确认未来警报的任何用户,即使不符合上述条件 也是如此”复选框。 如果满足 所有 条件,则会向用户分配风险级别。

    对于 “活动严重性 ”条件,请指定每日活动见解中包含的活动的严重性级别。 选项有 “高”、“ 中”“低”,并且基于风险分数范围。

    对于 “检测窗口期间的活动事件” 条件,你将指定在指定的 “过去 ”活动检测期限内必须检测所选活动的次数。 此数字与活动可能发生的事件数无关。 例如,如果策略检测到用户在一天内从 SharePoint 下载了 20 个文件,则计为包含 20 个事件的每日活动见解。

  8. 选择 “确认 ”以应用自定义风险级别条件,或 选择“取消” 放弃所做的更改。

如果用户在多个策略范围内,如何分配风险级别

如果用户在多个策略的范围内,如果用户收到不同严重级别的警报,则默认情况下,将向用户分配收到的最高严重级别。 例如,请考虑在用户收到高严重性警报时分配 提升 风险级别的策略。 如果用户收到来自策略 1 的低严重性警报、来自策略 2 的中等严重性警报和来自策略 3 的高严重性警报,则会为该用户分配“ 提升 ”风险级别,即收到的最高警报严重性级别。

请注意,风险级别条件必须存在于要检测的所选策略中。 例如,如果选择“ 复制到 USB ”活动以分配 “中等 风险级别”,但仅在三个所选策略中选择了该活动,则只有该策略中的活动将为该活动分配 “中等 ”风险级别。

步骤 3:创建或编辑 DLP 策略

接下来,) 现有 DLP 策略创建 (或编辑,以限制与自适应保护中的风险级别条件匹配的用户的操作。 对 DLP 策略配置使用以下准则:

  • 必须在 DLP 策略中包含 自适应保护条件的用户风险级别 。 此 DLP 策略可以根据需要包括其他条件。
  • 尽管可以在 DLP 策略中包含其他位置,但自适应保护目前仅支持 Exchange、Microsoft Teams 和设备。

选择“ 创建 DLP 策略 ”以启动 DLP 策略向导并创建新的 DLP 策略。 如果想要为自适应保护配置现有的 DLP 策略,请转到合规性门户中的 数据丢失防护>策略 ,然后选择要更新的 DLP 策略进行自适应保护。 有关如何配置新的 DLP 策略或更新现有 DLP 策略以进行自适应保护的指导,请参阅 了解数据丢失防护中的自适应保护:手动配置

提示

建议使用策略提示) 测试 DLP 策略 (,以便在启用 AP 之前查看 DLP 警报,验证策略是否按预期工作。

步骤 4:创建或编辑条件访问策略

接下来,) 现有条件访问策略创建 (或编辑,以限制在自适应保护中与风险级别条件匹配的用户的操作。 对条件访问策略配置使用以下准则:

  • 在“条件访问”页上,根据条件的信号控制访问权限,将 “预览体验成员风险 条件”设置为 “是”,然后选择风险级别 (“提升”、“ 中等”或“ 次要) ”。 这是用户为强制实施策略而必须具有的风险级别。

选择“ 创建条件访问策略 ”以启动条件访问策略向导并创建新的条件访问策略。 如果要为自适应保护配置现有的条件访问策略,请转到Microsoft Entra 管理中心中的“保护>条件访问”,然后选择要更新的自适应保护条件访问策略。 有关如何配置新的条件访问策略或更新现有条件访问策略以进行自适应保护的指导,请参阅 通用条件访问策略:基于内部风险的策略

步骤 5:启用自适应保护

完成上述所有步骤后,即可启用自适应保护。 启用自适应保护时:

  • 内部风险管理策略开始查找与风险级别条件匹配的用户活动。 如果检测到,则会将风险级别分配给用户。
  • 分配了风险级别的用户显示在自适应保护的“ 作用域中的用户 ”选项卡上。
  • DLP 策略对分配给 DLP 策略中包含的风险级别的任何用户应用保护操作。 DLP 策略将添加到自适应保护中的 DLP 策略 选项卡 , (预览版) 。 可以从仪表板查看 DLP 策略的详细信息并编辑策略条件。
  • 条件访问策略对分配给条件访问策略中包含的风险级别的任何用户应用保护操作。 条件访问策略将添加到自适应保护 (预览版) 中的“条件访问策略”选项卡。 可以从仪表板查看有关条件访问策略和编辑策略条件的详细信息。

若要启用自适应保护,请选择“ 自适应保护设置 ”选项卡,然后将 “启用自适应保护” 切换为 “开”。 最长可能需要 36 小时才能看到自适应保护风险级别以及应用于适用用户活动的 DLP 和条件访问操作。

观看 Microsoft 机制通道上的以下视频, 了解自适应保护如何根据用户计算的数据安全风险级别自动调整数据保护的强度

管理自适应保护

启用自适应保护并配置内部风险管理、DLP 和条件访问策略后,你将有权访问有关策略指标、当前范围内用户和当前范围内的风险级别的信息。

仪表板

完成“快速”或“自定义”设置过程后,自适应保护 (预览版中的“仪表板”选项卡) 显示小组件,以获取有关用户风险级别、条件访问策略和 DLP 策略的摘要信息。

  • 用户分配的风险级别:显示每个风险级别的用户数, (提升的风险中等风险次要风险) 。
  • 使用风险级别的策略:显示策略的状态 (未 启动完成) 、 (条件访问数据丢失防护) 的策略类型,以及每种类型的策略配置的策略数。 如果尚未配置策略类型,可以选择“ 快速设置 ”按钮来配置策略。

内部风险管理自适应保护仪表板。

用户分配的风险级别

已在自适应保护中分配风险级别的用户显示在“ 用户分配的风险级别 ”选项卡上。可以查看每个用户的以下信息:

  • 用户:Lists用户名。 对于 DLP 策略,如果在内部风险管理设置中选择了 “显示用户名的匿名版本 ”选项,你将看到匿名用户名。 对于条件访问策略,即使选择了 “显示用户名的匿名版本 ”设置,也不会匿名用户名。

    重要

    为了保持引用完整性,如果启用 () ,则不会保留用户名的匿名化,如果用户具有警报或活动出现在内部风险管理之外,则不会保留其自适应保护。 实际用户名将显示在相关 DLP 警报和活动资源管理器中。

  • 风险级别:分配给用户的当前风险级别。

  • 分配给用户:自为用户分配风险级别以来经过的天数或月份数。

  • 风险级别重置:用户自动重置风险级别之前的天数。

    若要手动重置用户的风险级别,请选择该用户,然后选择“ 过期”。 将不再为此用户分配风险级别。 不会删除此用户的现有警报或案例。 如果此用户包含在所选的内部风险管理策略中,则会在检测到触发事件时再次分配风险级别。

  • 活动警报:用户的当前内部风险管理警报数。

  • 已确认为冲突的案例:用户的已确认案例数。

  • Case:事例的名称。

如果需要,可以按 风险级别筛选用户。

内部风险管理自适应保护用户。

若要查看特定用户的详细内部风险和自适应保护信息,请选择该用户以打开用户详细信息窗格。 详细信息窗格包含三个选项卡:“用户配置文件”、“用户活动”“自适应保护摘要”。 有关 “用户配置文件 ”和“ 用户活动 ”选项卡的信息,请参阅 查看用户详细信息

“自适应保护摘要”选项卡聚合四个部分的信息:

  • 自适应保护:本部分显示有关用户当前 风险级别风险级别分配风险级别重置 的信息。
  • 作用域中的 DLP 策略 (动态) :本部分显示用户当前范围内的所有 DLP 策略以及策略的开始和结束日期。 这基于用户的风险级别和风险级别的 DLP 策略配置。 例如,如果用户的活动已定义为内部风险管理策略的风险级别 提升 ,并且两个 DLP 策略配置了 提升 的风险级别条件,则会在此处为用户显示这两个 DLP 策略。
  • 范围中的条件访问策略 (动态) :本部分显示当前在用户范围内的所有条件访问策略以及策略的开始和结束日期。 这基于用户的风险级别和风险级别的条件访问策略配置。 例如,如果用户的活动已定义为内部风险管理策略的风险级别 提升 ,并且条件访问策略配置了 提升 的风险级别条件,则会在此处为该用户显示条件访问策略。
  • 自适应保护的预览体验成员风险策略:本部分显示用户当前处于范围内的任何内部风险管理策略。

内部风险管理自适应保护用户详细信息。

条件访问策略

条件访问策略 ”页显示使用 预览体验成员风险 条件的所有条件访问策略。 可以查看每个策略的以下信息:

  • 策略名称:条件访问策略的名称。
  • 策略状态:策略的当前状态。 值为“活动”“非活动”。
  • 风险级别包括:使用 Insider Risk 条件的条件访问策略中包含的 风险 级别。 选项包括“提升”、“中等”“次要风险级别”。
  • 策略状态:条件访问策略的当前状态。 选项为 “打开 ”或 “测试并显示通知”。
  • 创建日期:创建条件访问策略的日期。
  • 上次修改时间:上次编辑条件策略的日期。

内部风险管理自适应保护条件访问策略。

DLP 策略

DLP 策略页显示所有使用用户风险级别的自适应保护为条件的 DLP 策略。 可以查看每个策略的以下信息:

  • 策略名称:DLP 策略的名称。
  • 策略状态:策略的当前状态。 值为“活动”“非活动”。
  • 策略位置:DLP 策略中包含的 位置 。 目前,自适应保护仅支持 Exchange、Teams 和设备。
  • 风险级别包括:DLP 策略中包含的风险级别使用 自适应保护的用户风险级别为 条件。 选项包括“提升”、“中等”“次要风险级别”。
  • 策略状态:DLP 策略的当前状态。 选项为 “打开 ”或 “测试并显示通知”。
  • 创建日期:DLP 策略的创建日期。
  • 上次修改时间:上次编辑 DLP 策略的日期。

内部风险管理自适应保护 DLP 策略。

优化风险级别设置

在查看具有风险级别的用户后,你可能会发现分配了风险级别的用户太多或太少。 可以使用两种方法来优化策略配置,以减少或增加分配的风险级别的用户数:

  • 修改内部风险级别设置。 可以调整阈值以向用户分配风险级别:
    • 增加或降低分配风险级别所需的活动的严重性。 例如,如果看到具有风险级别的用户太少,则可以降低活动或警报严重性。
    • 如果风险级别基于特定的用户活动,请在检测窗口中增加或减少活动发生次数。 例如,如果看到具有风险级别的用户太少,则可以减少活动发生次数。
    • 更改风险级别所基于的内容。 例如,如果看到具有风险级别的用户过多,为了减少用户数量,则只能在确认警报时分配风险级别。
  • 修改策略阈值。 由于风险级别是根据策略检测分配的,因此还可以修改策略,这反过来又会更改分配风险级别的要求。 可以通过增加或降低导致高/中/低严重性活动和警报的策略阈值来修改策略。

禁用自适应保护

在某些情况下,可能需要暂时禁用自适应保护。 若要禁用自适应保护,请选择“ 自适应保护设置 ”选项卡,并将 “启用自适应保护” 切换为 “关闭”。

如果在启用和激活后关闭自适应保护,则风险级别将停止分配给用户并与 DLP 和条件访问共享,并且将重置用户的所有现有风险级别。 关闭自适应保护后,最多可能需要 6 小时才能停止为用户活动分配风险级别并重置所有风险级别。 不会自动删除内部风险管理、DLP 和条件访问策略。

启用内部风险管理自适应保护。