在保护计划中启用高级数据丢失防护

如果为此客户启用了保护服务和高级数据丢失防护包，则高级数据丢失防护功能可以包含在客户租户的任何保护计划中。

Advanced DLP 是数据丢失预防功能组的高级模块。Advanced DLP 功能和设备控制可以独立使用，也可以一起使用（在一个保护计划中，或在两个保护同一工作负载的计划中）。如果一起使用，他们的功能能力将按照以下方式进行协调。

• 设备控制停止控制用户对 Advanced DLP 检查传输数据内容的那些本地通道的访问。然而，如果它们被配置为只读或拒绝访问，则设备控制仍保留对以下设备类型的控制：
  • 可携式
  • 加密的可移动设备
  • 已映射的驱动器

  例如，如果您在单个保护计划中或在保护同一工作负载的两个计划中同时启用了设备控制和 Advanced DLP，并且在设备控制中为 USB 设备配置了只读访问，那么无论 Advanced DLP 模块中的访问设置如何，只读访问将应用于所有 USB 设备（白名单中的设备除外）。如果在设备控制中配置了默认的启用访问，那么将应用 Advanced DLP 中的访问设置。

• 用户对白名单中以下本地通道和外围设备的访问由设备控制强制执行：
  • 光盘驱动器
  • 软盘驱动器
  • MTP 连接的移动设备
  • 蓝牙适配器
  • Windows 剪贴板
  • 屏幕截图捕获
  • USB 设备和设备类型（可移动存储和加密存储除外）

创建使用高级 DLP 的保护计划

1. 导航到管理 > 保护计划。
2. 单击创建计划。
3. 展开数据丢失防护部分，并单击模式行。

   模式对话框将打开。

   • 要开始创建或更新数据流策略，请选择观察模式，然后选择处理数据传输的方式：

     选项	描述
     全部允许	所有来自用户工作负载的敏感数据传输都会被视为业务流程所必需的并且是安全的。将为每个检测到的与策略中已定义规则不匹配的数据流创建一个新规则。
     全部正当	所有来自用户工作负载的敏感数据传输都会被视为业务流程所必需的，但存在风险。因此，对于每一次向组织内外的任何接收者或目的地传输敏感数据但遭拦截的传输（不匹配先前创建的数据流规则），用户都必须提供一次性业务正当理由。提交正当理由时，将会在数据流策略中创建一个新的数据流规则。
     混合	“全部允许”逻辑适用于所有内部传输的敏感数据，而“全部正当”逻辑适用于所有外部传输的敏感数据。 有关内部目的地的定义，请参阅 自动检测目的地

     • 仅当以前没有创建过数据流策略或正在更新策略时，才选择观察模式。在开始更新策略之前，请参阅 数据流策略更新。
     • 在“观察”模式下，无法阻止数据泄露。请参阅《基础指南》中的观察模式。
   • 要强制执行现有数据流策略，请选择执行模式，然后选择强制执行数据流策略规则的严格程度：

     选项	描述
     严格执行	数据流策略会按原样执行，并且不会在检测到以前未观察到的敏感数据流时使用新的允许策略规则进行扩展。请参阅《基础指南》中的严格执行。
     自适应执行(具有学习能力的执行)	强制执行的策略会继续其自动适应在观察期间未执行的业务操作或业务流程的变化。此模式允许强制执行的数据流策略基于在工作负载中检测到的新学习的数据流进行扩展。请参阅《基础指南》中的自适应执行。

     在将公司或部门策略从“观察”模式切换到“执行”模式之前，将每个敏感数据类别的默认规则从“允许”状态调整为“禁止”状态至关重要。在数据流策略视图中，默认规则标有星号 (*)。阅读基础指南中有关策略规则类型的详细信息。
4. 单击完成以关闭“模式”对话框。
5. （可选）要配置光符识别、白名单和更多保护选项，请单击高级设置。

   有关可用选项的信息，请参阅 高级设置。

6. 保存保护计划并将其应用于要保护的工作负载。