前面讲到了如何防止即将离职的员工恶意删除邮件的保护措施，今天我们谈论另一个场景：用户Tom是公司财务人员，将集团公司所有人员的工资、银行卡信息泄露给电信诈骗人员给员工造成巨大损失。在传统解决方案中，需要部署类似于Symantec公司的数据防泄漏（DLP）平台【目前Symantec也已经推出云端DLP】以阻止上述行为，那已经将邮件全部迁移到Office 365平台中，该如何防护？在Office 365中，微软提供了数据防泄漏（DLP）技术，使用该技术：

• 在Exchange Online、SharePoint Online和OneDrive for Business中识别敏感信息。例如，可以识别存储在任何OneDrive for Business站点中的包含信用卡号的任何文档，也可以仅监视特定人员的 OneDrive站点。
• 防止意外共享敏感信息。例如，可以识别所有文档或电子邮件包含与您的组织外部的人员共享的运行状况记录，然后自动阻止访问该文档或阻止来自正在发送的电子邮件。
• 在 Excel 2016、PowerPoint 2016 和 Word 2016的桌面版本中监视和保护敏感信息。 就像在Exchange Online、 SharePoint Online和OneDrive for Business，这些Office 2016桌面程序包括相同的功能，以确定敏感信息和应用DLP 策略。DLP提供连续监控时用户共享这些Office 2016程序中的内容。
• 查看显示符合您组织 DLP 策略的内容的 DLP 报告

在使用DLP技术之前，您首先需要查看您订阅的Office365是否包含有该技术，Office 365订阅计划中拥有该技术的版本主要有：Exchange Online Plan 2、SharePoint Online Plan 2、OneDrive for Business Plan 2、Office 365商业高级版、Office 365 E3等，国际版账户还包括E5等。

例如下面的账户就不具有DLP技术

而下面的订阅账户具有DLP技术

下面以如何在Office 365平台内置的DLP技术防止员工银行卡信息泄露为例。

使用具有DLP技术的订阅账户登录到Exchange管理中心。选择“合规性管理”->“数据丢失防护”

点击“+”，此时您可以基于以下三种进行策略配置：根据模板新建DLP策略、从自定义模板新建DLP策略、新建自定义DLP策略

本次基于“根据模板新建DLP策略”进行演示与介绍。根据模板新建DLP策略配置页面，键入一个形象化名称以及相应的描述，然后选择相应的模板

关于更多内置策略，请参考如下链接

https://support.office.com/zh-cn/article/DLP-%E7%AD%96%E7%95%A5%E6%A8%A1%E6%9D%BF%E5%8C%85%E6%8B%AC-c2e588d3-8f4f-4937-a286-8c399f28953a

点击保存之后回到“数据丢失防护”主页面

双击新建的DLP策略，进入策略编辑页面，点击“+”以创建新规则

键入相应的名称，在“在以下情况应用此规则”选择“在主题或正文中包含”

指定词语或短语对话框中，键入相应的词语

“执行以下操作”选择“阻止邮件”->“拒绝邮件并包括说明”

指定拒绝原因

继续添加条件以设置DLP策略对象

指定此规则的优先级顺序

为规则选择执行模式

时间阈值页面，定义策略使用时间。根据使用实际情况定义时间窗口。有一点需要注意的是，起始时间的设置必须早于当前时间，因为此规则是针对于未来要执行的操作。

您还可以根据实际需要选择停用规则或则当某一个策略仍在处理中，选择延迟邮件发送

所有信息确认无误侯点击“保存”

继续点击“保存”以保存此DLP策略

使用一个组织内部的邮箱账户向组织外部人员发送邮件，内容中含有银行卡号的邮件与主题和内容都含有银行卡号相关信息的邮件，测试该DLP策略是否生效。

以员工Tom的身份发送邮件

此时您将会收到一封“拒绝发送”的邮件

此时表明先前创建的“信用卡或借记卡号码保护”DLP策略创建成功并已生效。

本文仅以银行卡号防泄露为例说明Office 365平台如何防护员工信息泄露。由于数据防丢失（DLP）策略千变万化，企业实际应用时还需要与公司合规部门一一商讨以指定符合公司标准的一套DLP策略以保护公司、员工资产信息。

本文固定链接: http://365vcloud.net/2017/03/07/using-data-loss-prevention-dlp-in-office-365/ | 365vCloud的云计算之旅