Ускорение окончательного удаления конфиденциальной информации из почтовых ящиков
Руководство по лицензированию Microsoft 365 для обеспечения безопасности и соответствия требованиям.
Примечание.
Очистка приоритета развертывается в предварительной версии и может быть изменена.
Используйте функцию очистки приоритета в разделе Управление жизненным циклом данных в Microsoft Purview, если необходимо ускорить окончательное удаление конфиденциального содержимого из почтовых ящиков Exchange, переопределив все существующие параметры хранения или удержания обнаружения электронных данных. Этот процесс может быть реализован для обеспечения безопасности или конфиденциальности в ответ на инцидент или для соответствия нормативным требованиям.
Поскольку удаление является необратимым и может переопределить существующие удержания, процесс требует нескольких утверждений, определенных ролей и аудита. После рассмотрения этих мер безопасности, если у вашей организации по-прежнему есть опасения по поводу этой возможности, вы можете просто продолжать использовать политики хранения и метки хранения , чтобы обеспечить удаление содержимого в соответствии с требованиями, а не использовать очистку приоритета.
В рамках очистки приоритета используются метки хранения с политиками автоматического применения. Однако вы не взаимодействуете с этими метками и политиками вручную, и они заменяют принципы хранения , чтобы добиться необходимого ускоренного удаления.
Примечание.
Если элемент подлежит очистке с несколькими приоритетами, приоритет имеет новейший.
Важные исключения для очистки приоритета:
Вы не можете использовать очистку приоритета для элементов, помеченных как запись или нормативная запись.
Если элемент, определенный для очистки приоритета, имеет метку хранения, требуется утверждение от администратора управления хранением в дополнение к указанному администратору очистки приоритета.
Если элементы, утвержденные для окончательного удаления, входят в набор проверки обнаружения электронных данных, они не будут удалены до тех пор, пока дело об обнаружении электронных данных не будет закрыто.
Как и при автоматическом применении меток хранения, очистка приоритета поддерживает имитацию, поэтому вы можете проверка возвращаемые примеры в случае, если конфигурация политики нуждается в какой-либо тонкой настройке.
Совет
Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас в центре пробных версий Microsoft Purview. Сведения о регистрации и условиях пробной версии.
Предварительные требования для очистки приоритета
Убедитесь, что вы можете выполнить предварительные требования, которые должны быть выполнены, прежде чем использовать приоритетную очистку для ускорения окончательного удаления конфиденциальных данных. К этим требованиям относятся разрешения и утверждающие лица.
Из-за встроенных мер безопасности сама функция включена по умолчанию на уровне клиента. Однако очистку приоритета можно отключить на странице параметров очистки свойств. Если вы не можете создать новые политики очистки приоритета, см. инструкции по отключению функции, чтобы проверка состояние и отменить конфигурацию.
Примечание.
Почтовый ящик должен содержать не менее 10 МБ данных для поддержки очистки приоритета.
Разрешения для очистки приоритета
Для успешного доступа к очистке приоритета и управления ею в Портал соответствия требованиям Microsoft Purview пользователи должны иметь роль Администратор приоритетной очистки. Эта роль необходима для создания политик очистки приоритета и управления ими, включения или отключения функции или утверждения элементов на начальном этапе утверждения. Эта роль автоматически добавляется в группу ролей "Управление организацией", но ее необходимо добавить вручную в любую другую группу ролей.
Кроме того, роль "Средство просмотра очистки приоритета " обеспечивает только видимость политик и параметров очистки приоритета без возможности внесения изменений или создания новых политик.
Роли просмотра содержимого Обозреватель списка и Обозреватель просмотра содержимого необходимы для просмотра содержимого элементов и сведений в режиме имитации и на этапах утверждения.
Необходимые разрешения для рецензентов
Проверяющий на каждом этапе процесса проверки должен иметь правильные разрешения, назначенные до создания политики. Если рецензент на каком-либо этапе не имеет правильных разрешений, создание политики завершится ошибкой.
Reviewer | Необходимые разрешения |
---|---|
Рецензент по очистке приоритета | — Администратор очистки приоритета — Средство просмотра содержимого классификации данных — Средство просмотра списка классификации данных — роль управления ликвидацией |
Рецензент удержания хранения | — удержание — управление хранением — Средство просмотра содержимого классификации данных — Средство просмотра списка классификации данных — роль управления ликвидацией |
Рецензент удержания обнаружения электронных данных | — Средство просмотра содержимого классификации данных — Средство просмотра списка классификации данных — роль управления ликвидацией — Поиск и очистка -Держать -Обзор |
Инструкции по добавлению пользователей в роли по умолчанию или созданию собственных групп ролей см. в следующих рекомендациях:
Как и в случае с управлением записями, каждый пользователь, обращающийся к странице Очистка приоритета>в ожидании очистки , видит только элементы, которые ему назначены для утверждения. Чтобы отслеживать комплексный процесс очистки приоритета, используйте аудит и идентификатор очистки приоритета в качестве условия поиска.
Утверждающих
В качестве защиты от случайного или вредоносного удаления каждый элемент, подлежащий очистке приоритета, всегда требует, чтобы по крайней мере еще один человек одобрил постоянное удаление в дополнение к пользователю, создавшему политику очистки приоритета. Утверждающие должны быть отдельными пользователями. Группы безопасности с поддержкой почты в настоящее время не поддерживаются.
Перед созданием политики всем рецензентам должны быть назначены следующие роли:
- Средство просмотра содержимого классификации данных
- Средство просмотра списка классификации данных
- Управление ликвидацией
Дополнительные роли, которые могут потребоваться для каждого этапа:
- Рецензент на первом этапе также требует Администратор роль "Очистка приоритета" для проверки ликвидации для очистки приоритета.
- Если к элементу также применяются параметры хранения из метки хранения или политик хранения, утверждение также требуется от администратора с ролью RetentionManagement .
- Если элемент также подлежит одному или нескольким удержаниям обнаружения электронных данных, утверждение также требуется от администратора, у которого есть роли "Проверка", "Удержание" и "Поиск" (SearchAndPurge ). Требуются все три роли.
Хотя для каждого этапа можно указать несколько утверждающих лиц (очистка приоритета, хранение, обнаружение электронных данных), для утверждения их этапа требуется только один человек из каждого этапа.
Включить аудит
Убедитесь, что аудит включен по крайней мере за один день до политики очистки первого приоритета. Дополнительные сведения см. в разделе Поиск в журнале аудита.
Ограничения очистки приоритета
Применимо только к элементам в почтовых ящиках Exchange пользователей и групп. Элементы, хранящиеся в SharePoint или OneDrive, в настоящее время не поддерживаются.
Для запроса KQL некоторые свойства и условия, поддерживаемые обнаружением электронных данных, не поддерживаются при очистке приоритета. К ним относятся SenderAuthor, SubjectTitle (c:c) и (c:s).
В режиме имитации политика очистки приоритета может неправильно отображать элементы электронной почты, помеченные как записи и нормативные записи. Эти элементы фактически не находятся в область для принудительного применения политики вне режима моделирования.
В отличие от проверки ликвидации меток хранения:
- Вы не можете настроить уведомление по электронной почте
- Утверждающие не могут назначить дополнительных утверждающих лиц
- Автоматическое утверждение по истечении указанного периода времени не выполняется.
Если утверждающий не согласен на окончательное удаление идентифицированного элемента, он должен назначить ему существующую метку хранения (любую конфигурацию). Убедитесь, что утверждающие знают, какие метки хранения подходят для этого действия.
Хотя вы можете удалить политику очистки приоритета, если процесс утверждения для нее завершен, элементы по-прежнему могут быть удалены без возможности восстановления.
Создание политики очистки приоритета
Перейдите в раздел Очистка приоритета:
В Портал соответствия требованиям Microsoft Purview: войдите в Портал соответствия требованиям Microsoft Purview Выберите Управление жизненным> циклом данныхОчистка> приоритета+ Создание очистки приоритета.
На новом портале Microsoft Purview войдите в управление жизненным циклом данных. Выберите Очистка приоритета, а затем выберите + Создать очистку приоритета.
Введите имя и описание политики очистки приоритета, а затем нажмите кнопку Далее. Имя будет видны конечным пользователям, но необязательное описание отображается только администраторам очистки приоритета и указанным утверждателям политики. Это ограничение означает, что любые введенные сведения могут быть информативными и конкретными, не беспокоясь о том, что эти сведения видят несанкционированные пользователи.
Для параметра Выбрать, где применить политику, выберите один из доступных вариантов:
- Все расположения: самый безопасный вариант, если вы не знаете, где может находиться содержимое. Этот выбор, вероятно, увеличит время, необходимое для завершения политики, но этот недостаток является приемлемым компромиссом, если содержимое могло быть перенаправлено в неопознанные почтовые ящики.
- Конкретные почтовые ящики Exchange, определенные атрибутами или свойствами. Для более целевого и динамического приложения можно определить характеристики почтовых ящиков, в которых находится содержимое. Например, ограничивается определенным регионом или отделом. Вам будет предложено выбрать существующий адаптивный область. Не используйте этот параметр, если адаптивный область может включать более 1 000 000 почтовых ящиков.
- Отдельные или несколько почтовых ящиков Exchange. Если вы включаете только несколько почтовых ящиков, это самое быстрое применение политики, но вы должны быть уверены, что только выбранные почтовые ящики содержат содержимое, необходимое для очистки. Вы также можете использовать этот параметр, чтобы исключить определенные почтовые ящики, которые, как вы знаете, не будут содержать содержимое, в результате чего политика будет применяться быстрее, чем все расположения. Не указывайте более 100 почтовых ящиков.
Для страницы Выберите, где применить приоритет очистки: в настоящее время поддерживается только Exchange Online.
На странице Расскажите нам, что вы ищете , введите текст в поле редактора KQL, чтобы создать запрос с помощью свойств электронной почты Exchange. Запрос можно уточнить с помощью операторов поиска, таких как AND, OR и NOT.
Например, чтобы найти все содержимое, отправленное после 2 февраля 2024 г., с вложением с именем ContosoEmployeeSalaries.xlsx: AttachmentNames:ContosoEmployeeSalaries.xlsx AND sent>=2024-02-02
Дополнительные сведения о синтаксисе языка запросов по ключевым словам (KQL) см. в статье Справочник по синтаксису языка запросов по ключевым словам (KQL).
Эта политика на основе запросов использует тот же индекс поиска, что и поиск контента обнаружения электронных данных для идентификации содержимого. Дополнительные сведения о свойствах, доступных для поиска, которые можно использовать для электронной почты, см. в разделе Поиск содержимого в Exchange Online.
На странице Выберите, когда следует удалять содержимое , укажите, следует ли окончательно удалить соответствующие элементы как можно скорее или сохранить их в течение определенного периода, а затем удалить их. В большинстве случаев вы выбираете первый вариант, чтобы удалить элемент как можно скорее. Используйте альтернативный вариант только в том случае, если элементы должны храниться по соображениям соответствия требованиям и вы не можете использовать метку хранения для этой цели. Например, к элементу уже применена метка хранения с более длительным сроком хранения.
Примечание.
Политика очистки приоритета переопределяет принципы хранения , которые обычно определяют, когда элемент должен быть сохранен или окончательно удален.
На странице Назначение того, кто будет утверждать, что будет удаляться , необходимо указать другого утверждающего приоритета, утверждающего, если к идентифицированным элементам применены параметры хранения (например, политика хранения, метка хранения или политика удержания в судебном порядке), и утверждающий для тех случаев, когда к определенному элементу применено одно или несколько удержаний eDiscovery.
- Администраторы очистки приоритета. Необходимо назначить роль "Очистка приоритета" Администратор и является утверждающей на первом этапе для всех приоритетных очистки для этой политики. Это должен быть другой пользователь, который создал политику очистки приоритета, но не применяется.
- Диспетчеры хранения. Должна быть назначена роль управления хранением. Утверждение от указанных пользователей требуется, если на идентифицированное содержимое распространяется одна или несколько политик хранения или судебных удержаний.
- Администраторы обнаружения электронных данных. Необходимо назначить роль администратора обнаружения электронных данных. Утверждение от указанных пользователей требуется, если идентифицированное содержимое подлежит одному или нескольким удержаниям обнаружения электронных данных.
На странице Выбор режима политики укажите, следует ли сначала запустить политику в режиме имитации или включить ее, или пока нет.
Выполнение политики в режиме имитации обязательно задержит окончательное удаление. Однако в режиме имитации вы сможете проверка, которые соответствуют вашему запросу, на случай, если необходимо настроить запрос до этапов утверждения. Это также означает, что вы можете проверка запрос и примеры результатов с кем-либо, кроме другого указанного утверждающего.
Для очистки приоритета необходимо подтвердить, установив флажок, который вы понимаете, как эта политика может переопределить удержания обнаружения электронных данных и другие примененные параметры хранения.
На странице Политика очистки приоритета создана , вы увидите идентификатор очистки , который используется для отслеживания и мониторинга этой политики. Используйте функцию Copy или скопируйте ее позже из сведений о политике, чтобы отслеживать ход выполнения этой политики из сведений аудита.
Если вы решили запустить политику в режиме имитации:
- В зависимости от количества почтовых ящиков для поиска может потребоваться несколько часов.
- Политику можно включить на срок до семи дней. Через семь дней имитация должна быть перезапущена.
Если включить политику, как и в случае с политиками автоматического применения меток хранения, может потребоваться до семи дней, чтобы применить политику к элементам и запустить процесс утверждения.
Процесс утверждения политики очистки приоритета
Если политика очистки приоритета включена и элементы определяются, утверждающие политику получают уведомления по электронной почте с напоминанием раз в неделю. Они могут щелкнуть ссылку в уведомлениях и напоминаниях по электронной почте, чтобы перейти непосредственно на страницу Очисткаприоритета> управления >жизненным циклом данныхв ожидании очистки на портале, чтобы просмотреть содержимое для утверждения. Кроме того, утверждающие могут вручную перейти на эту страницу на портале.
Чтобы реализовать элемент управления безопасностью, использующий правило из двух пользователей, для каждой очистки приоритета всегда требуется другой администратор очистки приоритета, утверждающий окончательное удаление идентифицированных элементов. Затем, если к элементам применены параметры хранения, администраторы хранения должны утвердить их на следующем этапе. И, наконец, если элементы включены в удержание eDiscovery, они также требуют другого утверждения от администратора обнаружения электронных данных. После завершения всех необходимых утверждений элементы удаляются безвозвратно и не могут быть восстановлены пользователями, администраторами или корпорацией Майкрософт.
На странице Ожидающие очистки элементы, определяемые политикой очистки приоритета, отображаются с состоянием Ожидание ликвидации и предполагаемым количеством идентифицированных элементов. Это могут быть разные элементы или один и тот же элемент в нескольких почтовых ящиках.
Когда утверждающий выбирает один из элементов списка, на следующей странице отображаются отдельные элементы с именами элементов, расположениями и отправителями. При выборе элемента в области предварительного просмотра отображаются его тема, источник, сведения и журнал. В журнале отображаются все утверждения очистки приоритета на дату для этого элемента с комментариями утверждающего, если они доступны.
После просмотра всех элементов утверждающий может по отдельности или несколько выбрать их и выбрать Утвердить удаление. Затем они должны подтвердить действие с необязательным комментарием и выбрать Применить.
Кроме того, если элемент не должен быть удален окончательно как можно скорее, утверждающий должен выбрать Relabel и выбрать существующую метку хранения.
Элементы, утвержденные или повторно помеченные, перемещаются на вкладку Удаленные элементы . До семи дней для окончательного удаления элементов.
Экспорт представлений
Утверждающий может использовать параметр Экспорт на страницах Ожидающие очистки и Удаленные элементы для экспорта сведений об элементах в любом из представлений в виде .csv файла, который затем можно сортировать и управлять с помощью Excel.
Мониторинг очистки приоритета
Состояние очистки приоритета для каждой политики можно отслеживать из раздела Очистка приоритета управления жизненным> циклом данных. Например, состояние отображается В моделировании или Включено (ожидание), которое меняется на Включено (успешно).
Используйте сведения о политике, чтобы определить ее идентификатор очистки и вставьте этот номер как строку поиска ключевое слово из решения аудита. Чтобы использовать диапазон дат, не забудьте указать даты в формате UTC.
Результаты аудита:
Создание, изменение и удаление политики очистки приоритета
Когда элемент определен для очистки приоритета, и если это привело к удалению существующей метки хранения
Действие утверждения или повторной маркировки каждым утверждаемым
Окончательное удаление элемента по приоритету очистки
Взаимодействие с конечным пользователем для очистки приоритета
Так как при очистке приоритета не используется процесс обратимого удаления, пользователи видят панель сообщений Хранение: в своих сообщениях электронной почты в Outlook, когда они определены для очистки приоритета. Они также видят имя политики очистки приоритета, затем (–1 день), чтобы указать, что она должна быть удалена как можно скорее, и предполагаемый день и время окончания срока действия на основе этого –1 дня.
Например, если политика очистки приоритета называется "Тест политики очистки":
Срок хранения: проверка политики очистки (-1 день) истекает: 02.02.02.02.
Совет
Если вы предпочитаете, чтобы конечные пользователи не видели сообщение о хранении, это можно сделать, сначала выполнив поиск и очистку электронных данных, чтобы обратимо удалить элементы. По завершении примените политику очистки приоритета, чтобы окончательно удалить обратимо удаленные элементы.
После окончательного утверждения очистки приоритета элемент автоматически исчезает из Outlook.
Отключение очистки приоритета для клиента
После рассмотрения мер безопасности дополнительных разрешений и нескольких утверждений, если у вашей организации по-прежнему есть опасения по поводу этой возможности, вы можете отключить возможность создания приоритетных политик очистки:
Перейдите в раздел Очистка приоритета:
В Портал соответствия требованиям Microsoft Purview: войдите в Портал соответствия требованиям Microsoft Purview очисткуприоритета управления> жизненным циклом данных.
На новом портале Microsoft Purview войдите в управление жизненным циклом данных. Выберите Очистка приоритета.
В правом верхнем углу выберите Параметры очистки приоритета.
На странице Конфигурация отключите элемент управления для очистки приоритета и нажмите кнопку Сохранить.
Новые политики очистки приоритета нельзя создать, пока вы не включите элемент управления и снова нажмите кнопку Сохранить .
Если политики очистки приоритета уже созданы при отключении элемента управления:
Существующие политики очистки приоритета продолжают функционировать
Существующие политики очистки приоритета можно удалить
Существующие политики очистки приоритета не могут быть изменены