Перенос политик файлов в Microsoft Purview

Important

Поддержка политик файлов в Defender for Cloud Apps прекращается 6 января 2027 г.. Воссоздайте политики для файлов в виде политик Microsoft Purview для защиты от потери данных (DLP) или политик автоматического применения меток до этой даты.

Defender for Cloud Apps продолжает предоставлять обнаружение приложений SaaS, управление состоянием и обнаружение угроз. Защита данных на основе файлов перемещается в Microsoft Purview.

Prerequisites

Прежде чем начать, убедитесь, что у вас есть:

  • Роли Microsoft Purview: членство в одной из следующих групп ролей на портале соответствия Microsoft Purview:
    • Администратор соответствия требованиям
    • Администратор данных соответствия требованиям
  • Роли Defender for Cloud Apps: Администратор Cloud App Security для проверки существующих политик в отношении файлов.
  • Лицензия Microsoft 365 E5 или Соответствие требованиям Microsoft 365 E5 (или эквивалентная автономная лицензия Microsoft Purview защиты от потери данных).

Проверка существующих политик файлов

  1. На портале Microsoft Defender перейдите в раздел Облачные приложения>Политики>Управление политиками.
  2. Установите для фильтра Тип значение Политика файлов.
  3. Для каждой политики файлов задокументируйте следующее:
    • Имя и описание политики
    • Целевые приложения (например, SharePoint, OneDrive, Box, Dropbox)
    • Метод проверки содержимого (служба классификации данных, регулярные выражения или другие)
    • Типы или метки конфиденциальной информации, обнаруженные политикой
    • Фильтры контекста (уровень общего доступа, тип файла, группы пользователей)
    • Действия по управлению (карантин, удаление общего доступа, применение метки)
  4. Классифицируйте каждую политику по своей цели:
    • Обнаружение и реагирование DLP: Политики, которые обнаруживают конфиденциальные данные и применяют защитные меры. Перенесите их в политики защиты от потери данных Microsoft Purview.
    • Автоматическая маркировка: политики, которые применяют метки конфиденциальности на основе содержимого. Перенесите их в политики автоматической маркировки Microsoft Purview.

Сравнение функций

В следующей таблице сравниваются возможности политики файлов с их Microsoft Purview эквивалентами. Используйте его для подтверждения того, где защита остается одной и той же, и для планирования альтернативных возможностей, которые не имеют прямого эквивалента.

Функциональность Защитник для облачных приложений (Defender for Cloud Apps) Microsoft Purview. Рекомендуемое действие
Архитектура Сканирование существующих файлов на основе API На основе API для облачных приложений, а также проактивное сканирование для Exchange, Teams и конечных точек Никаких действий не требуется; защита эквивалентна или лучше
Структура политики Одна политика с одним набором фильтров и действий Одна политика с несколькими правилами, каждая из которых имеет собственные условия и действия Воссоздайте каждую политику для файлов в Defender for Cloud Apps в виде одного или нескольких правил DLP Microsoft Purview
Присвоение меток конфиденциальности Действие управления в рамках политики файлов Отдельная политика автоматической маркировки в Information Protection Создайте политику Purview для автоматического применения меток для каждой политики маркировки файлов
Предоставление общего доступа к исправлению Удаление определенных участников совместной работы, изменение доступа по ссылке, удаление общедоступного доступа Блокировка только дальнейшего доступа; не изменяет существующий общий доступ Использование действий ограничения доступа; использование Power Automate для удаления существующего общего доступа
Карантин пользователя Выделенная папка карантина пользователя Нет прямого эквивалента Используйте DLP для ограничения доступа и поток Power Automate для перемещения файлов в карантинную папку
Карантин администратора Административный карантин с процессом проверки Карантин администратора Полная четность
Режим имитации Недоступно Полный режим моделирования перед применением Запуск политик в режиме имитации перед включением принудительного применения
Ограничение политики 50 политик файлов для каждого клиента 10 000 политик защиты информации и управления; 600 правил защиты от потери данных для каждого клиента Никаких действий не требуется
Область действия папки Поддерживаемый фильтр родительской папки Только в пределах уровня сайта Применяйте политики к определенным сайтам SharePoint в качестве наиболее близкого эквивалента
Проверка содержимого с помощью регулярных выражений Встроенный обработчик регулярных выражений Пользовательские типы конфиденциальной информации с регулярными выражениями Повторное создание шаблонов регулярных выражений в виде пользовательских типов конфиденциальной информации в Purview
Фильтры метаданных файлов (более 20 фильтров) Фильтрация на основе собственных метаданных, например папка, идентификатор файла и состояние карантина Условия на основе содержимого, метки, области общего доступа и расширения файлов Используйте доступные условия Purview в качестве близких эквивалентов; неподдерживаемые фильтры не имеют прямого эквивалента

Сопоставление условий политики файлов

В следующей таблице определенные условия политик файлов в Defender for Cloud Apps сопоставлены с соответствующими эквивалентами в Purview.

условие для Defender for Cloud Apps Эквивалент Purview Эквивалентная поддержка Notes
Уровень доступа: внешний или общедоступный Контент предоставляется из Microsoft 365 пользователям за пределами моей организации Эквивалент
Уровень доступа: внутренний Контент из Microsoft 365 предоставляется только пользователям в моей организации Эквивалент
Сотрудники (вся организация) Сотрудники (домен) Частичный эквивалент Purview не поддерживает соответствие 1:1. Используйте «Соавторы (домен)», где доменное имя соответствует имени организации.
Выбор групп пользователей Условие групп пользователей Эквивалент
Применить к файлам Применить к файлам Эквивалент
Метка чувствительности Контент содержит > метки конфиденциальности Эквивалент
Проверка содержимого: предварительное выражение или служба классификации данных Содержимое содержит > конфиденциальные типы информации Эквивалент Сопоставляет каждое предварительно заданное выражение с соответствующим типом конфиденциальной информации. Purview DLP использует тот же механизм обнаружения.
Проверка содержимого: настраиваемое регулярное выражение Содержимое содержит > типы конфиденциальной информации (настраиваемые) Эквивалент Сначала создайте настраиваемый тип конфиденциальной информации из шаблона.
Минимальное число нарушений Число экземпляров (минимальное и максимальное) для каждого типа конфиденциальной информации Эквивалент
Имя файла Имя документа содержит слова или фразы Эквивалент
Расширение файла Расширение файла : Эквивалент
Дата создания Дата создания документа Частичный эквивалент только SharePoint и OneDrive.
Дата последнего изменения Дата последнего изменения документа Частичный эквивалент только SharePoint и OneDrive.
Родительская папка Определение области действия на уровне сайта SharePoint Частичный эквивалент Область действия на уровне папки отсутствует. Вместо этого ограничьте область действия сайтом SharePoint.
Идентификатор файла Нет Нет эквивалента Purview не поддерживает идентификатор файла в качестве условия, поэтому это условие невозможно перенести.

поддержка приложений Microsoft

приложение Defender for Cloud Apps Расположение Purview Эквивалентная поддержка Notes
SharePoint Online Сайты SharePoint Эквивалент
OneDrive для бизнеса Учетные записи OneDrive Эквивалент

Important

Политики в Defender for Cloud Apps и Purview не могут сосуществовать. Одновременное применение эквивалентных политик в обоих продуктах приводит к конфликтам применения. Отключите политики Defender for Cloud Apps только после проверки и включения политик Purview.

Перенос политик обнаружения и реагирования DLP в Defender в политики DLP Microsoft Purview

Создайте эквивалентные политики защиты от потери данных в Microsoft Purview для каждой политики файлов, классифицированной как "обнаружение и ответ DLP".

  1. Перейдите на портал Microsoft Purview.

  2. Выберите"Политики> предотвращения >".Создайте политику.

  3. Выберите шаблон политики, который лучше всего соответствует политике файлов, или выберите пользовательскую политику , чтобы определить условия вручную.

  4. Задайте область применения политики для тех же расположений, что и для политики для файлов. Для SharePoint и OneDrive выберите SharePoint сайты и учетные записи OneDrive.

  5. Определите условия содержимого, соответствующие политике файлов:

    • Выберите те же типы конфиденциальной информации в Purview.
    • Если политика файлов использовала DCS (службу классификации данных) для проверки содержимого, Purview DLP использует тот же механизм обнаружения.
    • Если политика файлов использовала шаблоны регулярных выражений, создайте их как настраиваемые типы конфиденциальной информации в Purview.
  6. Настройте защитные действия, соответствующие действиям управления политикой файлов:

    действие управления Defender for Cloud Apps Эквивалент Purview DLP Эквивалентная поддержка Notes
    Уведомление владельца файла Уведомления пользователей: уведомление о последнем изменении Эквивалент
    Уведомление определенных пользователей Уведомления пользователей: уведомление конкретных пользователей Эквивалент
    Отправка оповещений Отчеты об инцидентах: отправка оповещений администраторам Эквивалент
    Удаление общедоступного доступа Ограничение доступа: блокировать всех, кроме владельца Эквивалент
    Удаление внешних пользователей Ограничение доступа: блокировка людей за пределами организации Эквивалент
    Удалить прямую ссылку общего доступа Ограничение доступа: удаление ссылки на общий доступ Эквивалент
    Сделать частным Ограничение доступа: блокировать всех, кроме владельца Эквивалент
    Карантин администратора Карантин администратора Эквивалент
    Применить метку конфиденциальности Применение метки конфиденциальности (политика автоматической маркировки) Эквивалент Purview > Защита информации > Автоматическая маркировка
    Удалить метку конфиденциальности Автоматическая маркировка: политика только удаления меток Эквивалент Purview > Защита информации > Автоматическая маркировка > Удалить метки
    Карантин пользователя Нет прямого эквивалента Нет эквивалента DLP ограничивает доступ, а Power Automate перемещает в папку карантина
    Переместить в корзину или удалить файл Нет прямого эквивалента Нет эквивалента DLP ограничивает доступ и Power Automate (удаление по оповещению)
    Удаление конкретного участника совместной работы Нет прямого эквивалента Нет эквивалента администратор SharePoint или Power Automate
    Срок действия общей ссылки Нет прямого эквивалента Нет эквивалента политики совместного использования SharePoint и Условный доступ Microsoft Entra
    Передача прав владения файлом Нет прямого эквивалента Нет эквивалента Ручной процесс или Power Automate (специально для Google Workspace)
  7. Настройте уведомления пользователей и рекомендации по политике в соответствии с параметрами оповещений политики файлов.

  8. Задайте для политики режим моделирования , чтобы убедиться, что оно обнаруживает то же содержимое, что и политика файлов.

  9. После подтверждения точности результатов включите политику.

Перенос политик автоматической маркировки файлов в Microsoft Purview

Создайте политики автоматической маркировки в Microsoft Purview для каждой политики файлов, классифицированной как автоматическая маркировка.

  1. Перейдите на портал Microsoft Purview.
  2. Выберите Защита информации>Автоматическая маркировка.
  3. Выберите "Создать политику автоматической маркировки".
  4. Выберите типы или условия конфиденциальной информации, соответствующие правилам проверки содержимого политики файлов.
  5. Выберите метку конфиденциальности для применения (используйте ту же метку, что и примененная политика файлов).
  6. Задайте область действия для тех же расположений:
    • Выберите сайты SharePoint и учетные записи OneDrive в соответствии с целевыми приложениями политики файлов.
    • Добавьте конкретные сайты или учетные записи, если действие политики распространялось только на определенные группы или местоположения.
  7. Запустите политику в режиме имитации , чтобы просмотреть соответствующие файлы перед включением автоматической маркировки.
  8. После подтверждения точности результатов включите политику автоматической маркировки.

Note

Политики автоматического применения меток автоматически присваивают метки новым и изменённым файлам в дальнейшем. Чтобы найти и пометить конфиденциальное содержимое в файлах, уже неактивных в SharePoint и OneDrive, выполните проверку классификации по запросу для одинаковых типов конфиденциальной информации.

Примеры миграции

В следующих примерах показано, как распространённые политики для файлов сопоставляются с политиками Purview.

Обнаруживать файлы с внешним общим доступом, содержащие номера кредитных карт

Политика в отношении файлов: обнаруживает файлы в SharePoint и OneDrive, к которым предоставлен общий доступ внешним пользователям и которые содержат номера кредитных карт, уведомляет владельца файла, удаляет внешних пользователей и отправляет предупреждение.

Создайте политику предотвращения потери данных в Microsoft Purview:

  1. Задайте область для SharePoint сайтов и учетных записей OneDrive.
  2. Добавить условия: Содержимое содержит>Типы конфиденциальной информации>Номер кредитной карты, и Содержимое предоставлено из Microsoft 365>пользователям за пределами моей организации.
  3. Добавление действий. Запретить доступ>только пользователям за пределами организации.
  4. Настройте уведомления пользователей, чтобы уведомить пользователя, который последний раз изменил содержимое.
  5. Настройте отчеты об инцидентах, чтобы отправить оповещение группе соответствия требованиям.

Обнаружение и метка файлов в нескольких приложениях

Политика для файлов: применяет метку Конфиденциально — персональные данные, уведомляет владельца и отправляет оповещения о файлах, содержащих номера социального страхования или паспортов в SharePoint и OneDrive.

Эта политика файлов обнаруживает и метки, поэтому повторно создайте ее как две политики Purview:

  • Политика автоматической маркировки, которая применяет метку Конфиденциально — PII при наличии условий для типов конфиденциальной информации «Номер социального страхования» и «Паспортные данные».
  • Политика DLP с теми же условиями, которая уведомляет владельца и отправляет оповещение.

Внедряйте политики Purview поэтапно

Переход к принудительному применению на этапах:

  1. Запустите новые политики в режиме имитации и сравнивайте совпадения с политиками файлов.
  2. Примените для небольшой пилотной группы и подтвердите действия и взаимодействие с пользователем.
  3. Распространите применение на всю организацию, когда пилотный проект стабилизируется.

Проверка миграции

После создания политик Purview убедитесь, что защита завершена:

  1. Сравните количество и область новых политик Purview с инвентаризацией политик файлов.
  2. Убедитесь, что включены все типы и метки конфиденциальной информации.
  3. Запустите политики защиты от потери данных Purview в режиме моделирования и сравнивайте результаты с активными политиками файлов.

Отмена эксплуатации политик файлов

После успешного запуска политик Purview и обеспечения эквивалентной защиты оставьте свои политики файлов:

  1. Экспортируйте или снимите снимки экрана конфигурации каждой политики файлов и сохраняйте их для справки.
  2. На портале Microsoft Defender измените каждую перенесенную политику файлов и установите для нее значение "Отключено". Пока не удаляйте его.
  3. Мониторинг для подтверждения политик Purview обеспечивает эквивалентную защиту.
  4. После проверки с отключенными политиками файлов удалите каждую из них.

Поиск оповещений и действий после миграции

Используйте эти расположения для проверки соответствия политик и действий после миграции:

Данные Расположение
Совпадения политики защиты от потери данных и оповещения Портал Microsoft Purview>Предотвращение потери данных>Предупреждения
История действий Портал Microsoft Purview >Предотвращение потери данных>Обозреватель действий
Совпадения с автоматической маркировкой портал Microsoft Purview >Защита информации>политика автоматической маркировки>>Элементы для проверки
Incidents Портал Microsoft Defender >Инциденты и оповещения

Troubleshooting

Проблема Причина Резолюция
Политика защиты от потери данных не совпадает с ожидаемыми файлами Уровень достоверности определения типа конфиденциальной информации слишком высок, или область поиска указана неверно Снизьте уровень достоверности и подтвердите, что все соответствующие сайты входят в область охвата.
Слишком много ложноположительных результатов Тип конфиденциальной информации слишком широк или отсутствует вспомогательный контекст. Используйте более высокий уровень достоверности и добавьте списки ключевых слов в пользовательские типы конфиденциальной информации.
Автоматическая маркировка не применяет метки Метка не опубликована для пользователей, или симуляция всё ещё выполняется Убедитесь, что метка опубликована, и ознакомьтесь с результатами моделирования автоматической разметки.
Оповещения не создаются Отчеты об инцидентах не включены или получатели оповещений не настроены Включите отчеты об инцидентах в правиле и подтвердите получателей.
Политика соответствует, но действие не применяется Политика по-прежнему находится в режиме тестирования или имитации Включите политику после проверки результатов.