將 Exchange 數據外洩防護原則移轉至 Microsoft Purview 合規性入口網站

  • 發行項

Exchange 數據外洩防護 (DLP) 原則已被取代。 Microsoft Purview 合規性入口網站 提供更豐富的 DLP 功能,包括 Exchange DLP。 您可以使用 DLP 原則移轉精靈,協助您將 Exchange DLP 原則帶到您將管理它們的合規性入口網站。

移轉精靈的運作方式是在 Exchange 中讀取 DLP 原則的設定,然後在合規性入口網站中建立重複的原則。 根據預設,精靈會在 模擬模式中執行原則中建立新版本的原則,因此您可以在不強制執行任何動作的情況下,查看它們在您的環境中會產生什麼影響。 準備好完全轉換至合規性入口網站版本之後, 您必須

  1. 停用或刪除 Exchange 管理員 Center (EAC) 中的來源原則。
  2. 編輯原則的合規性入口網站版本,並將其狀態從 [在模擬模式中 執行原則] 變更為 [ 立即開啟] 模式。

警告

如果您在將合規性中心版本設定為 [ 強制 執行這兩組原則] 之前未刪除或停用 EAC 中的來源原則,將會嘗試強制執行動作,而且您會收到重複的事件。 這是不支持的組態。

移轉精靈只會移轉 Exchange DLP 原則和相關聯的郵件流程規則。 不會移轉獨立 Exchange 郵件流程規則。

提示

如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

移轉工作流程

有四個階段可將 DLP 原則從 Exchange 移轉至合規性入口網站中的整合 DLP 管理控制台。

  1. 準備移轉
    1. 評估並比較您的 Exchange Online (EXO) DLP 原則和合規性入口網站 DLP 原則是否有重複的功能。
    2. 決定您想要完全依原樣帶入哪些 EXO DLP 原則,您可以使用精靈來移轉這些原則。
    3. 決定要在 Exchange 系統管理中心合併並合併的 EXO DLP 原則,然後使用移轉精靈將它們帶入合規性入口網站。
  2. 執行移轉 - 使用精靈
  3. 測試和驗證 - 檢查結果
  4. 啟用移轉的原則

開始之前

SKU/訂用帳戶和授權

開始使用 DLP 原則之前,請確認您的 Microsoft 365 訂閱 和任何附加元件。

如需授權的相關信息,請參閱 Microsoft 365、Office 365、Enterprise Mobility + Security 和 Windows 11 訂閱企業版

權限

您用來執行移轉精靈的帳戶必須能夠存取 Exchange 管理員 主控台 DLP 頁面和合規性入口網站中的整合 DLP 控制台。

準備移轉

  1. 如果您不熟悉 DLP、合規性入口網站 DLP 控制台或 Exchange 管理員 中心 DLP 控制台,您應該先熟悉,再嘗試進行原則移轉。
    1. Exchange Online 數據外洩防護 (DLP) 原則
    2. 深入了解端點資料外洩防護
    3. 建立和部署數據外洩防護原則
  2. 請詢問下列問題,以評估您的 Exchange DLP 和合規性入口網站原則:
問題 動作 移轉程式
是否仍需要原則? 如果沒有,請刪除或停用 不要移轉
它是否與任何其他 Exchange 或合規性入口網站 DLP 原則重疊? 如果是,您可以合併重疊的原則嗎? - 如果它與另一個 Exchange 原則重疊,請在 Exchange 管理員 中心手動建立合併的 DLP 原則,然後使用移轉精靈。
- 如果它與現有的合規性入口網站原則重疊,您可以修改現有的合規性入口網站原則以符合,不要移轉 Exchange 版本
Exchange DLP 原則是否嚴格限定範圍,而且是否有定義完善的條件、動作、包含和排除? 如果是,建議您使用精靈進行移轉,請記下原則,以便您記得稍後再回來刪除 使用精靈進行移轉

移轉

在評估所有 Exchange 和合規性入口網站 DLP 原則的需求和相容性之後,您可以使用移轉精靈。

針對您使用的入口網站選取適當的索引標籤。 若要深入瞭解 Microsoft Purview 入口網站,請參閱 Microsoft Purview 入口網站。 若要深入瞭解合規性入口網站,請參閱 Microsoft Purview 合規性入口網站

  1. 登入 Microsoft Purview 入口網站

  2. 如果有可移轉的 Exchange DLP 原則,頁面頂端會顯示橫幅讓您知道。

  3. 選擇橫幅中的 [ 移轉原則 ] 以開啟移轉精靈。 所有 Exchange DLP 原則都會列出。 無法選取先前移轉的原則。

  4. 選取您想要移轉的原則。 您可以使用階段式方法或一次全部移轉,或在群組中個別移轉。 選取 [下一步]

  5. 檢閱飛出視窗窗格中是否有任何警告或訊息。 在繼續之前,請先解決任何問題。

  6. 選取您想要在中建立新合規性入口網站原則的模式、 立即開啟在模擬模式中執行原則,或 將其保持關閉。 預設值是 以模擬模式執行原則。 選取 [下一步]

  7. 您可以建立更多以其他統一 DLP 位置的 Exchange DLP 原則為基礎的原則。 這會為已移轉的 Exchange 原則產生一個新的統一 DLP 原則,併為您在此處選取的任何其他位置產生一個新的統一 DLP 原則。

重要事項

其他 DLP 位置不支援的任何 Exchange DLP 原則條件和動作,例如裝置、SharePoint、OneDrive、內部部署、MCAS 或 Teams 聊天和頻道訊息,都會從其他原則中卸除。 此外,還有必須針對其他位置完成的預先工作。 請參閱:

  1. 檢閱移轉精靈會話設定。 選取 [下一步]
  2. 檢閱移轉報告。 請注意任何涉及 Exchange 郵件流程規則的失敗。 您可以修正它們,並重新遷移相關聯的原則。

移轉的原則現在會出現在合規性入口網站 DLP 控制台的 DLP 原則清單中。

常見錯誤和緩和措施

錯誤訊息 原因 風險降低/建議步驟
(的) 案例中已經存在名稱 <Name of the policy> 的合規性原則 Dlp 此原則移轉可能是稍早完成,然後在相同的會話中重新嘗試。 重新整理會話,以更新可供移轉的原則清單。 所有先前移轉的原則都應該處於 狀態 Already migrated
(的) 案例中已經存在名稱 <Name of the policy> 的合規性原則 Hold 相同租使用者中存在同名的保留原則。 - 將 EAC 中的 DLP 原則重新命名為不同的名稱。
- 重試受影響原則的移轉。
DLP-group@contoso.com 無法作為條件的 Shared By 值,因為它是通訊群組或擁有郵件功能的安全組。 使用 Shared by Member of 述詞來偵測特定群組成員的活動。 傳輸規則允許在條件中使用群組, sender is 但統一 DLP 不允許它。 更新傳輸規則,以從 sender is 條件中移除所有群組電子郵件位址,並在必要時將群組新增至 sender is a member of 條件。 重試受影響原則的移轉
找不到收件者 DLP-group@contoso.com。 如果是新建立的,請在一段時間后重試作業。 如果已刪除或過期,請使用有效的值重設它,然後再試一次。 或條件中sender is a member ofrecipient is a member of使用的群組位址可能已過期或無效。 - 移除/取代 Exchange 系統管理中心傳輸規則中所有無效的群組電子郵件位址。
- 重試受影響原則的移轉。
述詞中 FromMemberOf 指定的值必須是擁有郵件功能的安全組。 傳輸規則允許在條件中 sender is a member of 使用個別使用者;不過,統一 DLP 不允許它。 - 更新傳輸規則,以從 sender is a member of 條件中移除所有個別的使用者電子郵件位址,並在必要時將使用者新增至 sender is 條件。
- 重試受影響原則的移轉。
述詞中 SentToMemberOf 指定的值必須是擁有郵件功能的安全組。 傳輸規則允許在條件下使用個別使用者, recipient is a member of 但統一 DLP 不允許。 - 更新傳輸規則,以從 recipient is a member of 條件中移除所有個別的使用者電子郵件位址,並在必要時將使用者新增至 recipient is 條件。
- 重試受影響原則的移轉。
<Name of condition>只有 Exchange 才支援使用 參數。 請移除此參數,或只開啟 Exchange 位置。 合規性入口網站中可能存在另一個具有相同名稱的原則,以及不支援上述條件的其他位置,例如 SPO/ODB/Teams。 在 Exchange 系統管理中心重新命名 DLP 原則,然後重試移轉。

測試和驗證

測試並檢閱您的原則。

  1. 遵循 開始使用模擬模式測試 DLP 原則 程式中的程式。
  2. 檢閱原則在模擬模式儀錶板中針對原則和 活動總管所建立的事件。

檢閱 Exchange 管理員 Center DLP 與 Microsoft Purview Unified DLP 之間的原則相符專案

若要確保移轉的原則如預期般運作,您可以從兩個系統管理中心匯出報告,並進行原則相符項目的比較。

  1. 連線至 Exchange Online PowerShell

  2. 匯出 EAC DLP 報告。 您可以複製此 Cmdlet 並插入適當的值:

    Get-MailDetailDlpPolicyReport -StartDate <dd/mm/yyyy -EndDate <dd/mm/yyyy> -PageSize 5000 | select Date, MessageId, DlpPolicy, TransportRule -Unique | Export-CSV <"C:\path\filename.csv">

  3. 匯出 整合 DLP 報表。 您可以複製此 Cmdlet 並插入適當的值:

    Get-DlpDetailReport -StartDate <dd/mm/yyyy> -EndDate <dd/mm/yyyy> -PageSize 5000 | select Date, Location, DlpCompliancePolicy, DlpComplianceRule -Unique | Export-CSV <"C:\path\filename.csv">

啟用移轉的原則

一旦您對移轉的原則運作方式感到滿意,您就可以將它們設定為 [強制執行]

  1. 開啟 Exchange 管理員 Center DLP 控制台。
  2. 停用或刪除來源原則。
  3. 啟 Microsoft Purview 合規性入口網站 DLP 控制台,然後選取您想要啟用以進行編輯的原則。
  4. 將狀態變更為 [開啟]