您可以設定 Sensitive Data Protection,偵測內容中的特定中繼資料標籤。系統會從支援的檔案類型自動擷取中繼資料,或由應用程式在檢查要求中提供。如果 Sensitive Data Protection 找到符合中繼資料條件的內容,就會產生發現項目。
如要掃描中繼資料標籤,請建立自訂中繼資料標籤 infoType。然後,設定檢查或探索掃描作業,搜尋該 infoType。
優點及用途
這項功能可讓您使用現有的分類分類法進行檢查和強制執行政策。如果您使用自訂或第三方分類系統,為文件套用中繼資料標籤,可以設定 Sensitive Data Protection,在檢查或探索作業期間偵測這些中繼資料標籤。
使用範例如下:
- 掃描檔案,找出含有特定鍵/值組合的 Microsoft 敏感度標籤。
- 結合中繼資料標籤偵測與標準 infoType 偵測,採取多層式做法。
- 掃描應用程式連同內容傳遞的中繼資料,即使中繼資料未嵌入檔案中也沒關係。
- 根據特定中繼資料標籤,使用 Model Armor 清除文件。如要搭配使用這項功能和 Model Armor,或是使用 Model Armor 的服務 (例如 Gemini Enterprise),您必須在 Model Armor 中建立進階的 Sensitive Data Protection 設定,並參照這個自訂中繼資料標籤偵測器。
支援的檔案類型
- DOCX
- PPTX
- XLSX
支援的中繼資料格式
這項功能可偵測 Microsoft Purview 資訊保護中繼資料和用戶端提供的中繼資料。
Microsoft Purview 資訊保護中繼資料
這項功能可偵測名稱格式如下的 Microsoft Purview 資訊保護中繼資料:
MSIP_Label_GUID_ATTRIBUTE
更改下列內容:
GUID:中繼資料的全球專屬 ID。ATTRIBUTE:中繼資料的 Microsoft 資訊保護屬性。接受的值:ActionIdContentBitsEnabledMethodNameSetDateSiteId
客戶提供的中繼資料
您可以直接在 InspectContent 要求中提供自訂中繼資料。用戶端提供中繼資料是鍵/值組合清單,會傳遞至 ContentItem 的 ContentMetadata 欄位。
限制
下列項目不支援類型為 MetadataKeyValueExpression 的自訂 infoType:
建立中繼資料標籤自訂 infoType 偵測工具
如要建立中繼資料標籤自訂 infoType 偵測工具,請在 InspectConfig 物件中定義 CustomInfoType,類型為 MetadataKeyValueExpression。CustomInfoType 物件具有下列屬性:
{
"inspect_config": {
"custom_info_types": [
{
"info_type": {
"name": "CUSTOM_METADATA_LABEL_NAME"
},
"likelihood": "LIKELIHOOD",
"sensitivityScore":{
"score": "SENSITIVITY_SCORE"
},
"metadata_key_value_expression": {
"key_regex": "KEY_REGULAR_EXPRESSION",
"value_regex": "VALUE_REGULAR_EXPRESSION"
}
}
]
}
}
更改下列內容:
CUSTOM_METADATA_LABEL_NAME:要指派給自訂 infoType 偵測工具的名稱。LIKELIHOOD:(選用) 要指派給所有符合這個自訂 infoType 的結果的Likelihood值。如果省略這個欄位,預設可能性層級為VERY_LIKELY。SENSITIVITY_SCORE:(選用) 要指派給所有符合這個自訂 infoType 的發現項目。SensitivityScore如果省略這個欄位,預設的敏感度分數為HIGH。敏感度分數會用於資料剖析。在剖析資料時,Sensitive Data Protection 會使用 infoType 的機密程度分數計算機密程度。
KEY_REGULAR_EXPRESSION:用於搜尋中繼資料標籤鍵的規則運算式。VALUE_REGULAR_EXPRESSION:要在中繼資料標籤值中搜尋的規則運算式。
Microsoft 機密程度標籤的偵測工具範例
這個 inspect_config 範例會定義名為 CUSTOM_MIP_HIGHLY_CONFIDENTIAL 的自訂 infoType。這個自訂 infoType 會偵測包含 GUID 12345678-9012-3456-7890-123456789012 且已啟用的 Microsoft Purview 資訊保護標籤:
{
"inspect_config": {
"custom_info_types": [
{
"info_type": {
"name": "CUSTOM_MIP_HIGHLY_CONFIDENTIAL"
},
"likelihood": "VERY_LIKELY",
"metadata_key_value_expression": {
"key_regex": "MSIP_Label_12345678-9012-3456-7890-123456789012_Enabled",
"value_regex": "true"
}
}
],
"min_likelihood": "POSSIBLE"
}
}
在檢查作業中使用這項設定時,如果 Sensitive Data Protection 發現中繼資料鍵 MSIP_Label_12345678-9012-3456-7890-123456789012_Enabled 的值為 true 的內容,就會產生 CUSTOM_MIP_HIGHLY_CONFIDENTIAL 發現項目。
掃描用戶端提供的中繼資料
如要掃描用戶端提供的中繼資料標籤,請按照下列步驟操作:
- 建立自訂中繼資料標籤 infoType 偵測工具。
- 在
ContentMetadata的ContentItem欄位中,加入要掃描的中繼資料。
掃描用戶端提供中繼資料的要求範例
以下範例顯示 InspectContent 要求,其中包含 PDF 檔案和客戶提供的中繼資料。這項要求會使用名為 CUSTOM_MIP_CONFIDENTIAL_INTERNAL_USE 的自訂 infoType,掃描檔案和提供的中繼資料,找出標示為「機密」或「內部使用」的檔案。
{
"inspect_config": {
"custom_info_types": [
{
"info_type": {
"name": "CUSTOM_MIP_CONFIDENTIAL_INTERNAL_USE"
},
"likelihood": "VERY_LIKELY",
"metadata_key_value_expression": {
"key_regex": "MSIP_Label_.*_Name",
"value_regex": "Confidential|Internal Use"
}
}
]
},
"item": {
"byte_item": {
"type": "PDF",
"data": "BASE64_ENCODED_PDF"
},
"content_metadata": {
"properties": [
{
"key": "MSIP_Label_174b6716-c2ea-4041-b631-5633733fbe46_Name",
"value": "Confidential"
}
]
}
}
}
將 BASE64_ENCODED_PDF 替換為要掃描的 Base64 編碼檔案。
如果 Sensitive Data Protection 在用戶端提供的中繼資料中找到相符項目,該發現項目的 MetadataType MetadataLocation 會是 CLIENT_PROVIDED_METADATA。如果相符項目位於檔案擷取的中繼資料中 (例如 MSIP 標籤),則值為 CONTENT_METADATA。
系統會根據比對結果是否位於檔案擷取或用戶端提供的中繼資料中,填入 MetadataType 的 MetadataLocation。
後續步驟
- 在 Model Armor 中建立進階的 Sensitive Data Protection 設定。