Za SPO/ODFB DLP pravila sada su dostupne robusnije vanjske kontrole dijeljenja

04/07/2026

Jedna od stvari koje sam već neko vrijeme imao na svojoj listi obaveza je MC1338823 “veliko ažuriranje” tzv. Blokirajte vanjski domen ili pristup korisnika SharePointu i OneDriveu. Iako samu funkciju nije tako teško pokriti, morali smo čekati njenu implementaciju na nivou cijele usluge (trenutni status je još uvijek pregled), a ja sam bio pomalo zauzet tehničkim pregledom Microsoft 365 za IT profesionalce. Sada kada imam malo više slobodnog vremena, a funkcija je zapravo dostupna mom stanaru, hajde da je isprobamo. Prije nego što zaboravim, možete ga vidjeti i kao stavku puta #557191.

Kao što je gore nagovešteno, samu funkciju je prilično lako pokriti – ona se u osnovi svodi na dve nove opcije dostupne prilikom konfigurisanja akcija za DLP politike u okviru SharePoint Online i/ili OneDrive for Business. Ovaj posljednji dio je ipak važan, jer će roditeljska radnja „Ograničiti pristup ili šifrirati sadržaj na lokacijama Microsoft 365“ prikazati nove kontrole samo kada je DLP pravilo ograničeno na SPO/ODFB. Dakle, da biste testirali funkciju, morat ćete ili kreirati novu DLP politiku s opsegom SPO i/ili ODFB lokacija, ili odabrati postojeću sa sličnim opsegom.

Po potrebi konfigurirajte druge postavke politike. Dok konfigurišete politiku, biće vam predstavljene dve nove akcije kao što je prikazano na slici ispod, tj Blokirajte pristup vanjskim domenama i korisnicima i Blokirajte sve i prebacite fajl u karantin oni:

Obje akcije su trenutno označene sa Pregled ali to bi trebalo nestati nakon što se GA uvođenje završi kasnije ovog mjeseca. Obje radnje zahtijevaju da navedete dodatne detalje prije nego što ih sačuvate. Za Blokirajte pristup vanjskim domenama i korisnicima radnju, morat ćete obezbijediti listu Domains i/ili pojedinca SMTP adrese korisnika sa kojim će se uporediti pravilo. Iako to nije jasno u korisničkom sučelju, možete odrediti više vrijednosti tako što ćete ih odvojiti zarezima, tj. domena1, domena2, domena3. Također možete odabrati da li se navedena lista unosa treba isključiti pomoću Nije stanju, kao što je prikazano u nastavku. Iako možete koristiti kombinovanu listu unosa domena i SMTP adresa, isti operator se mora koristiti za oba tipa.

DLPGranularActions1Za Blokirajte sve i prebacite fajl u karantin morate odabrati postojeću lokaciju u obliku SPO stranice, koja se može konfigurirati kao dio postavki DLP rješenja pod Portal za autorizaciju > Postavke > Postavke sprječavanja gubitka podataka > Karantena datoteka ili direktno putem ovog linka. Ako je lokacija u karantinu već definirana, automatski će se popuniti kada odaberete ovu radnju. Ako nije, prikazat će vam se veza do gore spomenute postavke, gdje je možete konfigurirati. Ista veza se također može koristiti za ažuriranje lokacije ako je potrebno.

Na poleđini, ove nove akcije su samo još jedan skup svojstava za pridruženi objekat DLP pravila. Nakon što je politika kreirana, možemo je koristiti Get-DlpComplianceRule cmdlet da dobijete potrebne informacije:

Get-DlpComplianceRule -Policy SPO | select Quarantine,BlockDomainsOrUsers,BlockDomains,BlockDomainsExcept,BlockUsers,BlockUsersExcept,RestrictAccess,SPMoveToQuarantineLocation,AdvancedRule


Quarantine                 : False
BlockDomainsOrUsers        : True
BlockDomains               : 
BlockDomainsExcept         : coreview.com
BlockUsers                 : 
BlockUsersExcept           : vasil.michev@coreview.com
RestrictAccess             :
SPMoveToQuarantineLocation : False
AdvancedRule               : 
                               "Version": "1.0",
                               "Condition": 
                                 "Operator": "And",
                                 "SubConditions": [
                                   
                                     "ConditionName": "ContentExtensionMatchesWords",
                                     "Value": [
                                       "docx",
                                       "xlsx",
                                       "pptx",
                                       "pdf"
                                     ]
                                   
                                 ]
                               
                             

Kao što možemo vidjeti iz gornjeg izlaza, pravilo će se pokrenuti kada se bilo koja docx, xlsx, pptx ili pdf datoteka podijeli sa bilo kojom domenom ili bilo kojim korisnikom izvan mog posla. Iako će takvo pravilo rijetko imati smisla u praksi, mi smo ga namjerno kreirali na način da što lakše testiramo iskustvo krajnjeg korisnika, o čemu ćemo govoriti u nastavku. Samo da završim na PowerShell tangenti – odmah, New-DlpComplianceRule Cmdlet ne izlaže potrebne parametre za kreiranje pravila s novouvedenim akcijama. Možda će se ovo promijeniti kada funkcija postane GA, ali za sada takvo pravilo možete kreirati samo pomoću korisničkog sučelja.

Pored konfigurisanja politika, administratori će vjerovatno biti uključeni u fazu pregleda incidenta, gdje stižu upozorenja i obavještenja putem e-pošte. Ovdje nema puno novog i možete očekivati ​​isto iskustvo kao sa postojećim politikama i pravilima. Snimke ekrana ispod ilustruju kako izgleda izvještaj o incidentu putem e-pošte i entitet upozorenja:

DLPGranularActions4DLPGranularActions5

Zatim nekoliko riječi o iskustvu krajnjeg korisnika. Kada se pokuša dijeljenje datoteke koja odgovara jednom od pravila u našim novim DLP politikama, unosi koji smetaju bit će uklonjeni. S druge strane, ako se datoteka dijeli sa “dozvoljenim” domenom ili korisnikom, akcija dijeljenja će se nastaviti bez prekida. Jedan važan aspekt iskustva krajnjeg korisnika je da ne možete konfigurirati korisnička obavještenja ili korisnička nadjačavanja za pravila s Blokirajte pristup vanjskim domenama i korisnicima ili Blokirajte sve i prebacite fajl u karantin akcija. Ovo također uključuje konfiguriranje savjeta o politici. Kao takvo, iskustvo krajnjeg korisnika može patiti.

Stvari rade malo drugačije ako ste konfigurirali akciju “karantena”. Kada se takvo pravilo podudara, sav pristup datoteci se uklanja, a sama datoteka se premješta na lokaciju u karantinu, kako je konfigurirano u odgovarajućim postavkama. Na primjer, datoteka podijeljena iz korisničkog ličnog ODFB-a će se kopirati u mapu pod nazivom ličninalazi se ispod zadane biblioteke dokumenata na određenoj lokaciji. Unutar njega će se kreirati podmapa s odgovarajućom putanjom do stranice, kao što je user_domain_comzatim biblioteka u kojoj se datoteka nalazi (obično “Dokumenti”). Evo kako to izgleda:

DLPGranularActions2

Originalnu kopiju datoteke treba zamijeniti txt datotekom, čiji sadržaj odgovara tekstualnom nizu koji smo konfigurirali kao dio početne konfiguracije postavki. U stvari, ovo je isto ponašanje koje koristi Microsoft Defender for Cloud Apps akcija „admin karantena“, detaljno opisana, na primjer, ovdje. Ili je barem takva teorija. U mojim testovima, originalna stavka je ostala na svom mjestu i sve dozvole za dijeljenje su također netaknute. Koristeći karticu “pozovi prijatelja”, uspio sam potvrditi da stvari rade kako se očekivalo u Tonyjevom zakupcu, gdje je originalni dokument ispravno zamijenjen TXT-om:

DLPGranularActions3

Prije zatvaranja članka, treba imati na umu nekoliko upozorenja. Interni korisnici ne mogu biti blokirani novim radnjama, što je manje-više ono što biste očekivali, ali ipak vrijedi spomenuti. Slično, ne možete navesti ODFB stranicu kao lokaciju u karantinu, što se opet očekuje. Također ograničite pristup odabranoj (SPO) stranici na samo nekoliko ljudi koji će biti kvalifikovani za rad sa stavkama u karantinu.

Nove kontrole DLP politike rade nezavisno od SPO kontrola deljenja na nivou stanara i lokacije, koje se, naravno, takođe mogu koristiti za ograničavanje eksternog deljenja po domenu. Prednost koju dodaju nove kontrole je detaljniji pristup stavku po stavku, koji se može koristiti za osiguranje određenih datoteka, a istovremeno omogućava saradnju sa određenim partnerom (domenom). Isto tako, stavke zaštićene oznakama osjetljivosti enkripcije također zadržavaju vlastito ponašanje – čak i ako koristite konfiguraciju “dozvoli” unutar DLP politike, dozvole za samu oznaku moraju uključivati ​​primateljev domen (ili adresu) da bi sadržaj stavke bio dostupan.

Kada je riječ o iskustvu krajnjeg korisnika, nedostatak podrške za savjete i zamjene pravila može dovesti do određene zabune, dok bi uvođenje karantenskih pravila moglo direktno uzrokovati da korisnici “gube” svoje datoteke pozivima za podršku. Drugim riječima, ako planirate iskoristiti nove radnje za svoje DLP politike, svakako posvetite neko vrijeme edukaciji svojih korisnika! Još bolje, dajte Microsoftu malo vremena da izgladi nedostatke u narednim sedmicama i mjesecima.

Na kraju, imajte na umu da je ova funkcionalnost još uvijek u pregledu i da može biti nekih grubih ivica. Na primjer, dok je proces konfiguracije politike DLP-a funkcionisao manje-više onako kako se očekivalo u mom zakupcu, očekivani rezultati su se rijetko ostvarivali. U slučaju pravila „karantine“, stavka se ostavlja „kao što jeste“ na originalnoj lokaciji, nikada se ne zamjenjuje TXT datotekom, dok se u isto vrijeme odgovarajuća kopija marljivo stavlja na lokaciju u karantinu. Da li je to zbog tekućeg uvođenja ove funkcije ili zato što nisam čekao nekoliko dana da se nova pravila konačno sinhronizuju u pozadini, ne mogu reći.

www.oblakznanja.com