加快永久删除邮箱中的敏感信息

Microsoft 365 安全性与合规性许可指南

注意

优先级清理以预览版推出,可能会有所更改。

如果需要加快从 Exchange 邮箱永久删除敏感内容,覆盖任何现有保留设置或电子数据展示保留,请使用 Microsoft Purview 中的数据生命周期管理下的“优先级清理”功能。 为了响应事件或符合法规要求,可能会出于安全性或隐私性而实施此过程。

由于删除是不可逆的,并且可以覆盖现有保留,因此该过程需要多个审批和特定角色,并经过审核。 考虑这些安全措施后,如果你的组织仍然担心此功能,你可以继续使用 保留策略和保留标签 ,以确保删除内容符合要求,而不是使用优先级清理。

在保护下,优先级清理使用带有自动应用策略的保留标签。 但是,你不会手动与这些标签和策略交互,它们会取代 保留原则 以实现所需的快速删除。

注意

如果某个项受到多个优先级清理的约束,则最新项具有优先级。

优先级清理的重要异常:

  • 不能对标记为 记录或法规记录的项目使用优先级清理。

  • 如果为优先级清理标识的项应用了保留标签,则除了指定的优先级清理管理员外,还需要保留管理管理员的批准。

  • 如果批准永久删除的项目是电子数据展示评审集的一部分,则在电子数据展示案例关闭之前,不会删除它们。

与自动应用保留标签类似,优先级清理支持模拟,因此可以在策略配置需要任何微调的情况下检查返回的示例。

提示

如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即在 Microsoft Purview 试用中心开始。 了解有关 注册和试用条款的详细信息。

优先级清理的先决条件

在可以使用优先级清理来加速永久删除敏感数据之前,请确保满足必须满足的先决条件。 这些要求包括权限和审批者。

由于内置安全措施,此功能本身默认在租户级别启用。 但是,可以在基元清理设置页上关闭优先级清理。 如果无法创建新的优先级清理策略,请参阅有关关闭该功能的说明,以检查状态并撤消配置。

注意

邮箱必须至少有 10 MB 的数据才能支持优先级清理。

优先级清理权限

若要在Microsoft Purview 合规门户中成功访问和管理优先级清理,用户必须具有优先级清理管理员角色。 此角色是创建和管理优先级清理策略、启用或禁用该功能或在初始审批阶段批准项目所必需的。 此角色会自动添加到组织管理角色组,但必须手动添加到任何其他角色组。

或者, “优先级清理查看者 ”角色仅允许查看优先级清理策略和设置,而无法进行更改或创建新策略。

需要内容资源管理器列表查看者和内容资源管理器内容查看器角色才能在模拟模式和审批阶段查看项目内容和详细信息。

审阅者所需的权限

评审过程的每个阶段的审阅者必须分配正确的权限,然后才能创建策略。 如果任何阶段的审阅者没有正确的权限,则策略创建将失败并出现错误。

Reviewer 所需权限
优先级清理审阅者 - 优先级清理管理员
- 数据分类内容查看器
- 数据分类列表查看器
- 处置管理角色
保留保留审阅者 - 保留保留
- 保留管理
- 数据分类内容查看器
- 数据分类列表查看器
- 处置管理角色
电子数据展示保留审阅者 - 数据分类内容查看器
- 数据分类列表查看器
- 处置管理角色
- 搜索和清除
-拿
-回顾

有关将用户添加到默认角色或创建自己的角色组的说明,请使用以下指南:

记录管理处置类似,访问 “优先级清理>挂起的清理 ”页的每个人都只能看到分配给他们审批的项目。 若要监视优先级清理的端到端过程,请使用审核和优先级清理 ID 作为搜索词。

审批者

为了防止意外或恶意删除,除创建优先级清理策略的人员外,每个受优先级清理限制的项目始终要求至少一个人批准永久删除。 审批者必须是单个用户。 当前不支持启用邮件的安全组。

在创建策略之前,所有审阅者都必须分配以下角色:

  • 数据分类内容查看器
  • 数据分类列表查看器
  • 处置管理

每个阶段可能需要的其他角色:

  • 第一阶段审阅者还需要优先级清理管理员角色来查看优先级清理的处置。
  • 如果项目还受保留标签或保留策略的保留设置的约束,则还需要具有 RetentionManagement 角色的管理员的批准。
  • 如果某个项目还受一个或多个电子数据展示保留的约束,则还需要具有 “审阅”、“ 保留”和 “SearchAndPurge ”角色的管理员的批准。 这三个角色都是必需的。

虽然可以为每个阶段指定多个审批者 (优先级清理、保留、电子数据展示) ,但每个阶段只需一个人批准其阶段。

启用审核

确保至少在第一优先级清理策略前一天启用审核。 有关详细信息,请参阅 搜索审核日志

优先级清理的限制

  • 仅适用于用户和组 Exchange 邮箱中的项目。 目前不支持存储在 SharePoint 或 OneDrive 中的项。

  • 对于 KQL 查询,优先级清理不支持电子数据展示支持的某些属性和条件。 其中包括 SenderAuthor、SubjectTitle、 (c:c) 和 (c:s) 。

  • 在模拟模式下,优先级清理策略可能会错误地显示标记为记录和法规记录的电子邮件项目。 这些项实际上不在模拟模式之外的策略强制实施范围内。

  • 保留标签的处置评审不同:

    • 无法自定义电子邮件通知
    • 审批者无法提名其他审批者
    • 指定时间段后不会自动批准
  • 如果审批者不同意永久删除已标识的项目,则必须 (项目的任何配置) 分配现有保留标签。 确保审批者知道哪些保留标签适合此作。

  • 虽然可以删除优先级清理策略,但如果该策略的审批过程已完成,则仍可能永久删除项目。

创建优先级清理策略

  1. 导航到“优先级清理”:

  2. 输入此优先级清理策略的名称和说明,然后选择“ 下一步”。 该名称对 最终用户可见,但可选说明仅对优先级清理管理员和策略的指定审批者可见。 此限制意味着输入的任何详细信息都可以提供信息并具体化,而不必担心未经授权的人员看到这些详细信息。

  3. 对于 “选择应用策略的位置”,选择一个可用选项:

    • 所有位置:如果不确定内容可能位于何处,则为最安全选项。 此选择可能会增加策略完成所需的时间,但如果内容可能已转发到身份不明的邮箱,则此缺点是可接受的权衡。
    • 由属性或属性定义的特定 Exchange 邮箱:如果可以识别内容所在的邮箱的特征,则对于更具针对性和动态的应用程序。 例如,仅限于特定区域或部门。 系统会要求你选择现有的 自适应范围。 如果自适应范围可能包含超过 1,000,000 个邮箱,请不要使用此选项。
    • 单个或多个 Exchange 邮箱:如果只包含几个邮箱,这是策略的最快应用,但必须确信只有所选邮箱包含需要清理的内容。 或者,可以使用此选项排除你知道不会包含内容的特定邮箱,因此策略的应用速度比所有位置都快。 不要指定超过 100 个邮箱。
  4. 对于“选择应用优先级的位置”页:目前仅支持Exchange Online。

  5. 对于 “告诉我们你要查找的内容” 页,请在 KQL 编辑器框中输入文本,以使用 Exchange 电子邮件属性构造查询。 可以使用搜索运算符(如 AND、OR 和 NOT)优化查询。

    例如,若要查找 2024 年 2 月 2 日之后发送的所有内容,请使用名为 ContosoEmployeeSalaries.xlsx 的附件: AttachmentNames:ContosoEmployeeSalaries.xlsx AND sent>=2024-02-02

    有关使用关键字查询语言 (KQL) 的详细信息,请参阅关键字查询语言 (KQL) 语法参考

    此基于查询的策略使用与电子数据展示内容搜索相同的搜索索引来标识内容。 有关可用于电子邮件的可搜索属性的详细信息,请参阅在 Exchange Online 中查找内容

  6. 对于 “选择何时删除内容 ”页,选择是尽快永久删除匹配项,还是将其保留一段时间,然后删除它们。 大多数情况下,你会选择第一个选项,以便可以尽快删除该项目。 仅当出于符合性原因应保留项目且不能使用保留标签实现此目的时,才使用备用选项。 例如,该项已应用了保留期较长的保留标签。

    注意

    优先级清理策略覆盖通常确定何时应保留或永久删除项的 保留原则

  7. 对于 “分配将批准已删除内容的人员 ”页,需要指定另一个优先级清理审批者,指定一个审批者,用于确定的项目何时应用了保留设置 ((如保留策略、保留标签或诉讼保留策略) ),以及用于标识项应用一个或多个电子数据展示保留时的审批者。

    • 优先级清理管理员:必须分配优先级清理管理员角色,并且是此策略的所有优先级清理的第一阶段审批者。 这应该与创建优先级清理策略的用户不同,但未强制实施。
    • 保留管理员:必须分配保留管理角色。 如果标识的内容受一个或多个保留策略或诉讼保留的约束,则需要指定用户的批准。
    • 电子数据展示管理员:必须分配电子数据展示管理员角色。 如果标识的内容受一个或多个电子数据展示保留的约束,则需要指定用户的批准。
  8. 对于 “选择策略模式 ”页,选择是先在模拟模式下运行策略,还是暂时不启用该策略。

    在模拟模式下运行策略必然会延迟永久删除。 但是,如果需要在审批阶段之前微调查询,则模拟模式会添加检查样本与查询匹配的预防性步骤。 这也意味着,你可以向其他指定审批者以外的人检查查询和示例结果。

  9. 特定于优先级清理,必须通过选中一个复选框进行确认,了解此策略如何覆盖电子数据展示保留和其他应用的保留设置。

  10. “已创建优先级清理策略 ”页上,可以看到用于跟踪和监视此策略的 清理 ID 。 使用 Copy 函数,或稍后从策略详细信息复制它,以便你可以从 审核详细信息中监视此策略的进度。

如果选择在模拟模式下运行策略:

  • 可能需要等待几个小时才能获得结果,具体取决于要搜索的邮箱数。
  • 最多可以启用策略 7 天。 七天后,必须重启模拟。

如果启用策略,与自动应用保留标签策略一样, 最长可能需要 7 天时间才能将策略应用到项目 并触发审批过程。

优先级清理策略的审批过程

启用优先级清理策略并标识项目后,将通过电子邮件通知策略的审批者,并每周提醒一次。 他们可以单击通知和提醒电子邮件中的链接,直接转到门户中 的“数据生命周期管理>优先级清理>挂起的清理 ”页,以查看要批准的内容。 或者,审批者可以在门户中手动导航到此页面。

若要实现使用 两人规则的安全控制,每个优先级清理始终需要另一个优先级清理管理员来批准永久删除标识的项。 然后,如果项目应用了保留设置,则需要保留管理员批准下一阶段。 最后,如果项包含在电子数据展示保留中,它们还需要电子数据展示管理员进行另一次批准。完成所有必需的审批后,项目将永久删除,并且无法由用户、管理员或Microsoft还原。

“挂起的清理 ”页上,列出由优先级清理策略标识的项目,状态为 “挂起处置” ,并列出已识别的项数的估计计数。 这些可能是不同的项目,也可能是多个邮箱中的同一项。

当审批者选择其中一个列表项时,下一页会向他们显示具有项目名称、位置和发件人的各个项目。 选择项目后,预览窗格将显示项目的主题、源、详细信息和历史记录。 历史记录显示该项目迄今为止的所有优先级清理审批,以及审批者注释(如果可用)。

查看所有项目后,审批者可以单独或多选项目,然后选择 “批准处置”。 然后,他们必须使用可选注释确认作,然后选择“ 应用”。

或者,如果不应尽快永久删除该项目,审批者必须选择 “重新标记”,并选择现有的保留标签。

然后,已批准或重新标记的项目将移动到“ 已释放的项目 ”选项卡。最多允许 7 天才能永久删除项目。

导出视图

审批者可以使用“挂起的清理”和“已释放项目”页面中的“导出”选项,将任一视图中的项目的相关信息导出为 .csv 文件,然后他们可以使用 Excel 对其进行排序和管理。

如何监视优先级清理

可以从数据生命周期管理>优先级清理中监视每个策略的优先级清理状态。 例如,状态显示“ 在模拟中”或 “已启用 (挂起) ,) 更改为 ”已启用 (成功 ”。

使用策略的详细信息标识其清理 ID,并将此数字粘贴为审核解决方案中的关键字 (keyword) 搜索字符串。 若要使用日期范围,请记得以 UTC 格式指定日期。

审核结果包括:

  • 创建、编辑和删除优先级清理策略

  • 当某个项被标识为优先级清理时,以及这是否导致删除现有的保留标签

  • 每个审批者的审批或重新标记作

  • 按优先级清理永久删除项

优先级清理的最终用户体验

由于优先级清理不使用软删除过程,因此用户在确定优先级清理时,在 Outlook 中的电子邮件上会显示 “保留: ”消息栏。 他们还会看到优先级清理策略的名称,然后 (-1 天) 指示应尽快删除该策略,以及基于该 -1 天的估计到期日期和时间。

例如,如果优先级清理策略名为“清理策略测试”:

保留期:清理策略测试 (-1 天) 过期:周四 2/62024 AM

提示

如果希望最终用户看不到保留消息,可以先使用 电子数据展示搜索并清除 软删除项来实现此目的。 完成此作后,应用优先级清理策略以永久删除软删除的项。

在最终优先级清理审批后,该项目将从 Outlook 中静默消失。

关闭租户的优先级清理

考虑了其他权限和多个审批的安全措施后,如果组织仍担心此功能,可以关闭创建优先级清理策略的功能:

  1. 导航到“优先级清理”:

  2. 从右上角选择“ 优先级清理设置”。

  3. “配置 ”页中,关闭优先级清理控件,然后选择“ 保存”。

在打开控件并再次选择“ 保存 ”之前,无法创建新的优先级清理策略。

如果在关闭控件时已创建优先级清理策略:

  • 现有优先级清理策略继续运行

  • 可以删除现有的优先级清理策略

  • 无法修改现有的优先级清理策略