实验室:探讨 Microsoft Purview 内部风险管理

此实验室与下列 Learn 内容保持一致:

  • 学习路径:介绍 Microsoft Priva 和 Microsoft Purview 的功能
  • 模块:介绍 Microsoft Purview 的数据安全解决方案
  • 单元:介绍 Microsoft Purview 内部风险管理

实验室方案

在本实验室中,你将完成设置内部风险策略,以及配置和使用内部风险管理策略的基本先决条件。 注意:本实验室将仅展示设置内部风险管理所需的内容以及与创建策略相关的选项。 本实验室不包括触发策略任务,因为触发策略需要发生的事件数量和所需的时间超出了本练习的范围。

估计时间:60 分钟

任务 1

在此任务中,作为全局管理员,您将启用内部风险管理的权限。 具体而言,你需要向内部风险管理角色组添加用户,以确保指定用户可以访问和管理内部风险管理功能。 角色组权限应用到整个组织的用户可能需要 30 分钟。

  1. 打开 Microsoft Purview 主页的浏览器选项卡。 如果你之前关闭了它,请打开一个浏览器选项卡,然后输入https://admin.microsoft.com。 使用授权实验室托管者 (ALH) 提供的 Microsoft 365 租户的管理员凭据登录。 如果以前以管理员身份登录过,系统会提示你完成辅助身份验证,作为 MFA 的一部分。 如果之前未以管理员身份登录过,系统会提示你完成 MFA 注册过程。按照屏幕上的提示设置 MFA。

  2. 从 Microsoft 365 管理中心的左侧导航窗格,选择“全部显示”,然后选择“合规性”。 打开一个新的浏览器页,进入 Microsoft Purview 门户的欢迎页。

  3. 在左侧导航面板中,选择“设置”,展开“角色和范围”,然后选择“角色组”。

  4. 在页面右上角的搜索字段中,输入“内部风险”,然后按键盘上的 Enter 键。 请注意显示的众多角色。 每种权限都有不同的访问级别。 选择“内部风险管理”并查看说明。 向下滚动到显示成员的位置,并注意已列出 MOD 管理员和 Megan Bowen。 选择窗口右上角的 X 关闭窗口。

  5. 在左侧导航面板中,选择“主页”以返回 Microsoft Purview 门户页面。

  6. 将此浏览器选项卡保持在打开状态,因为在后续任务中将回到此页面。

任务 2

在此任务中,你将完成与内部风险管理解决方案相关的设置。 内部风险管理设置适用于所有内部风险管理策略,与创建策略时选择的模板无关。

  1. 你应该位于 Microsoft Purview 门户的主页。 如果没有,请打开浏览器选项卡主页 - Microsoft 365 合规性

  2. 在开始设置策略之前,管理员应熟悉一些设置,并根据其组织的需要进行配置。 在左侧导航窗格中,选择“设置”,然后选择“内部风险管理”。 在这里,你将了解一些可用的设置。
    1. 选择“隐私”:对于执行内部风险政策匹配活动的用户,此设置将决定是显示其真实姓名还是使用匿名版本来掩盖其身份。 对于本演练,可以保留默认设置。
    2. 选择“策略指示器”。 一旦发生策略触发事件,与所选指标相对应的活动将用于确定用户的风险评分。 此处选择的政策指标包含在内部风险政策模板中。 滚动查看所有可用指标和任何相关信息。
    3. 选择“策略时间范围”。 在此处选择的时间范围将在用户触发内部风险政策的匹配时生效。 激活窗口决定策略主动侦测用户活动的时间,当用户执行第一项与策略匹配的活动时触发。 过去活动检测 决定策略检测用户活动的时间,当用户执行第一项与策略匹配的活动时触发。 保留默认值。
    4. 选择“智能检测” 在此查看选项。 注意域设置及其与指标的关系。
    5. 浏览设置中列出的其他项,并注意,其中许多项都处于预览阶段。

  3. 在左侧导航窗格中,选择“解决方案”,然后选择“内部风险管理”。

  4. 请将此浏览器选项卡保持在打开状态,在下一个任务中将用到它。

任务 3

在此任务中,你将演练用于创建策略的设置。 目的只是了解与创建策略相关的各种选项和灵活性。

  1. 你应该进入内部风险管理概述页面。 如果还未进入,请从左侧导航窗格中选择“解决方案”,然后选择“内部风险管理”。

  2. 从“内部风险管理概述”页中,选择“策略”选项卡,然后选择“+ 创建策略”。 配置以下每个策略选项卡。

    1. 策略模板:在“数据泄漏”类别下,选择“数据泄漏”**。 阅读与此模板关联的详细信息。 在先决条件下,DLP 策略显示有一个绿色圆圈的复选标记,指示满足先决条件。 已为此实验室租户预配置了一个 DLP 策略。 选择下一步**。
    2. 名称和说明:输入名称“SC900-InsiderRiskPolicy”,然后选择“下一步”。
    3. 用户和组:查看信息框。 保留默认设置包括所有用户和组。 选择下一步
    4. 排除用户和组(可选)(预览版):可在此处列出要排除的用户和组。 请勿更改任何内容。 选择下一步
    5. 优先考虑的内容:根据说明,包含优先级内容的任何活动的风险评分都会增加,这反过来又会增加生成高严重性警报的可能性。 为简单起见,请选择“我暂时不想确定内容的优先级”,然后选择“下一步”****。
    6. 触发器:触发事件确定策略何时开始为用户活动指定风险评分。 可以从现有 DLP 策略中进行选择,也可以选择用户是否执行外泄活动。 选择“用户与数据丢失防护(DLP)策略匹配”,然后从下拉列表中选择“美国财务数据”。 选择下一步
    7. 指示器:记下所选指示器。 请勿更改任何内容。 选择下一步
    8. 在“检测选项”页上,保留所有默认设置,但请阅读与各种选项关联的说明,并将鼠标悬停在信息图标上以获取有关特定设置的更多详细信息。 选择下一步
    9. 在“决定是使用默认阈值还是客户指标阈值”页上,保留默认设置“应用 Microsoft 提供的阈值”,然后选择“下一步”。****
    10. 完成:查看设置,选择提交
    11. 查看下一步的说明,然后选择完成

  3. 随即返回到“内部风险管理”页的“策略”选项卡。 创建的策略将被列出。 如果没有看到,请选择“刷新”图标。

  4. 作为管理员,可以立即开始根据所选策略检测到的活动向用户分配风险评分。 这无需先检测到触发事件(如 DLP 策略匹配)。 为此,管理员会选择策略名称旁边的空圆圈以选择策略,然后选择“开始为用户活动评分”,这会显示在策略表上方。 此时会打开一个新窗口,要求管理员填充可用字段。 将字段留空,因为你不会配置此选项,但有关管理员为何要执行此操作的详细信息,请选择“我为什么要这样做?”。 通过选择窗口右上角的“X”退出窗口。

  5. 在左侧导航面板中,选择“主页”以返回到 Microsoft Purview 合规性门户的登陆页面。

  6. 保持浏览器选项卡的打开状态。

审阅

在本实验室中,你完成设置内部风险策略,以及配置和使用内部风险管理策略的基本先决条件。