Exchange Online DLP (Data Loss Prevention) to wbudowany mechanizm Microsoft Purview, który automatycznie wykrywa, monitoruje i blokuje nieautoryzowane przesyłanie danych wrażliwych — numerów PESEL, NIP, kart kredytowych, danych medycznych — w wiadomościach e-mail w chmurze Microsoft 365. Politykę DLP konfiguruje się z poziomu portalu Microsoft Purview, definiując typy informacji poufnych (SIT), warunki wyzwalające regułę oraz akcje — od ostrzeżenia po całkowite zablokowanie wysyłki.
W skrócie
- DLP w Exchange Online skanuje treść i załączniki każdej wychodzącej wiadomości w czasie rzeczywistym
- Wykrywa ponad 300 predefiniowanych typów informacji poufnych, w tym polskie: PESEL, NIP, REGON, numer dowodu osobistego, numer prawa jazdy
- Akcje reguł: ostrzeżenie (policy tip), blokada z możliwością obejścia (override), blokada bez możliwości obejścia, szyfrowanie, przekierowanie do menedżera
- Dostępny od planu Office 365 E3 (podstawowe funkcje) — pełna ochrona Teams i zaawansowane klasyfikatory wymagają E5
- Tryb symulacji (simulation mode) pozwala przetestować politykę bez wpływu na przepływ poczty przed wdrożeniem produkcyjnym
- Zgodność z RODO, PCI DSS, HIPAA — raportowanie incydentów z pełnym audytem
Czym jest DLP w Exchange Online — pełna definicja
Data Loss Prevention w Exchange Online to warstwa ochrony przed wyciekiem danych wbudowana bezpośrednio w infrastrukturę pocztową Microsoft 365. W przeciwieństwie do zewnętrznych bram bezpieczeństwa, DLP działa natywnie na poziomie serwerów Exchange Online — analizuje każdą wiadomość wychodzącą z organizacji (oraz przychodzącą z zewnątrz, jeśli polityka tak stanowi), sprawdzając treść, załączniki, nagłówki i metadane pod kątem obecności zdefiniowanych wzorców danych wrażliwych.
Silnik DLP nie opiera się na prostym skanowaniu słów kluczowych. Microsoft Purview DLP wykorzystuje analizę głębokiej treści (deep content analysis), która łączy:
- Dopasowanie wyrażeń regularnych — np. 11 cyfr w formacie PESEL z cyfrą kontrolną.
- Walidację wewnętrzną (checksum) — algorytm Luhna dla numerów kart kredytowych, suma kontrolna numeru PESEL.
- Dopasowanie wtórne (proximity match) — słowa kluczowe w pobliżu znalezionego wzorca (np. "numer PESEL", "dowód osobisty", "nr karty") zwiększające pewność wykrycia.
- Uczenie maszynowe — klasyfikatory trenowane na wzorcach dokumentów (np. umowy, faktury, dokumentacja medyczna).
- Kontekst udostępniania — czy wiadomość trafia do adresata wewnątrz organizacji, czy na zewnątrz (external sharing).
Każdy typ informacji poufnych (Sensitive Information Type — SIT) ma przypisany poziom pewności (confidence level): niski, średni lub wysoki. Administrator może dostosować ten poziom w polityce, decydując, ile "dopasowań" musi wystąpić, by reguła została wyzwolona (np. minimum 1 numer PESEL, minimum 5 numerów kart kredytowych w jednej wiadomości).
Polskie typy informacji poufnych
Microsoft Purview obsługuje natywnie kilkanaście polskich SIT-ów. Oto najważniejsze z nich:
| Typ SIT | Format | Przykład | Walidacja |
|---|---|---|---|
| PESEL | 11 cyfr (YYYYMMDDXXXX + suma kontrolna) | 92071204567 | Suma kontrolna (mod 10) |
| NIP | 10 cyfr (XXX-XXX-XX-XX lub ciągiem) | 525-000-55-43 | Suma kontrolna (mod 11) |
| REGON | 9 lub 14 cyfr | 140219420 | Suma kontrolna (mod 11) |
| Polski dowód osobisty | 9 znaków (AAA XXXXXX) | ABC 123456 | Wzorzec + słowa kluczowe |
| Polski paszport | 9 znaków (AA XXXXXXX) | AB 1234567 | Wzorzec |
| Polskie prawo jazdy | 9 znaków alfanumerycznych | XYZ123456 | Wzorzec |
Dodatkowo dostępne są uniwersalne typy paneuropejskie: IBAN (polskie numery kont 26-cyfrowe), EU Debit Card Number, SWIFT, jak również wszystkie typy z szablonów RODO/GDPR — od numerów identyfikacyjnych po adresy fizyczne.
Jak działa DLP w Exchange Online — przepływ wiadomości
Gdy użytkownik klika "Wyślij" w Outlooku, OWA lub aplikacji mobilnej, Exchange Online wykonuje następujące kroki:
- Przechwycenie wiadomości przed wysyłką — Exchange Online Transport Rules (ETR) przekazuje wiadomość do silnika DLP.
- Analiza treści i załączników — silnik skanuje treść wiadomości, temat, załączniki (do limitu 2 MB ekstrahowalnego tekstu na plik), nagłówki i metadane. Pliki zaszyfrowane lub chronione hasłem są oznaczane jako "nie do przeskanowania" — można to wykorzystać jako osobny warunek reguły.
- Ocena warunków polityki DLP — jeżeli treść pasuje do SIT-u, a warunki kontekstowe są spełnione (np. odbiorca jest poza organizacją), polityka jest wyzwalana.
- Wykonanie akcji — zgodnie z konfiguracją reguły: wyświetlenie policy tip, blokada wysyłki (z override lub bez), szyfrowanie wiadomości, przekierowanie do moderatora, zgłoszenie alertu.
- Zapis w dzienniku audytu — każde dopasowanie reguły DLP jest rejestrowane w Microsoft 365 Audit Log i trafia do Activity Explorer oraz Dashboard Alertów DLP.
Kluczowa informacja praktyczna: polityki DLP działają tylko na nowych wiadomościach — Exchange Online nie skanuje retrospektywnie istniejących e-maili w skrzynkach ani archiwach.
Konfiguracja DLP w Exchange Online — krok po kroku
Konfigurację DLP przeprowadza się w portalu Microsoft Purview (https://purview.microsoft.com). Do tworzenia i zarządzania politykami wymagane jest przypisanie roli Compliance Administrator, Compliance Data Administrator lub Information Protection Admin.
Krok 1: Wybór szablonu lub utworzenie polityki niestandardowej
Microsoft udostępnia kilkadziesiąt gotowych szablonów DLP pogrupowanych w trzy kategorie:
| Kategoria | Przykładowe szablony | Kluczowe SIT-y |
|---|---|---|
| Dane finansowe | PCI DSS, dane finansowe Polski | Numery kart kredytowych, IBAN, SWIFT |
| Dane medyczne | HIPAA, Ustawa o ochronie zdrowia Australii | ICD-9-CM, ICD-10-CM, numery ubezpieczenia |
| Dane osobowe / prywatność | RODO/GDPR Enhanced, PII Polska | PESEL, NIP, dowód osobisty, paszport |
Dla polskich firm rekomendowane jest rozpoczęcie od szablonu GDPR Enhanced, który obejmuje PESEL, NIP, dowody, paszporty, adresy fizyczne i numery kart płatniczych dla wszystkich krajów UE. Szablon można następnie dostosować, usuwając niepotrzebne typy SIT (np. dane specyficzne dla innych krajów) i dodając nowe.
Alternatywnie można utworzyć politykę niestandardową (Custom Policy), wybierając ręcznie tylko polskie SIT-y — daje to największą kontrolę i mniejszą liczbę fałszywych alarmów.
Krok 2: Wybór lokalizacji — Exchange Online
Na stronie "Choose locations to apply the policy" zaznaczamy Exchange email. DLP pozwala na szczegółowe określenie zasięgu:
- Wszyscy nadawcy (domyślnie) — polityka obejmuje całą organizację.
- Określone grupy dystrybucyjne, grupy zabezpieczeń, grupy Microsoft 365 — do 50 grup w jednej polityce. Polityka działa na wiadomości wysyłane przez członków grupy oraz do członków grupy.
- Administrative Units — dla dużych organizacji z delegowanym zarządzaniem.
Dla Exchange istotne jest zrozumienie logiki zakresu: jeśli użytkownik nie jest objęty polityką (np. jego grupa jest wykluczona), DLP nie skanuje jego wiadomości, nawet jeśli odbiorca jest w zakresie polityki.
Krok 3: Definiowanie reguł — warunki i akcje
Każda polityka DLP zawiera jedną lub więcej reguł. Reguły są przetwarzane sekwencyjnie według priorytetu — reguła o najwyższym priorytecie (najniższy numer) jest sprawdzana jako pierwsza. Dla Exchange Online kluczowe elementy reguły to:
Warunki (Conditions):
| Warunek | Opis |
|---|---|
| Content contains [SIT] | Wykrywa konkretne typy danych wrażliwych (min. 1 do maks. dowolnych instancji) |
| Content is shared from Microsoft 365 | Wyzwala regułę tylko gdy wiadomość trafia do odbiorców zewnętrznych |
| Sender is / Sender domain is | Ogranicza działanie do konkretnych nadawców/domen |
| Recipient is / Recipient domain is | Chroni przed wysyłką do konkretnych odbiorców (np. konkurencja) |
| Subject contains words | Dopasowuje wzorce w tytule wiadomości |
| Message type is | Filtruje po typie (email, calendaring, itp.) |
| Attachment is password protected | Wyzwala regułę dla zaszyfrowanych załączników |
Akcje (Actions):
| Akcja | Opis |
|---|---|
| Restrict access / Block | Blokuje wysyłkę — z możliwością override (użytkownik podaje uzasadnienie) lub bez |
| Notify user (policy tip) | Wyświetla okno dialogowe w Outlook/OWA z ostrzeżeniem i komunikatem edukacyjnym |
| Encrypt message | Wymusza szyfrowanie OME (Office Message Encryption) na wiadomości |
| Forward for approval | Przekierowuje do menedżera lub moderatora przed wysyłką |
| Generate incident report | Tworzy alert DLP i wysyła powiadomienie e-mail do administratora |
Policy tip to kluczowy element edukacyjny DLP. Może być:
- Informacyjny ("Pamiętaj, że wysyłasz dane osobowe poza organizację")
- Blokujący ("Wysyłka zablokowana — wiadomość zawiera numer PESEL")
- Z opcją override ("Możesz wysłać, jeśli masz uzasadnienie biznesowe")
Krok 4: Tryb testowy (simulation mode)
To najważniejszy etap konfiguracji. Tryb symulacji pozwala uruchomić politykę bez wpływu na przepływ poczty:
- Włącz politykę w trybie "Run the policy in simulation mode".
- Przez minimum 7 dni obserwuj dopasowania w Activity Explorer i DLP Alerts Dashboard.
- Analizuj fałszywe alarmy — dostosuj SIT-y, poziomy pewności, zakresy grup.
- Gdy polityka osiągnie akceptowalny poziom precyzji, przełącz na "Turn it on right away".
W trybie symulacji opcja "Show policy tips while in simulation mode" wyświetla użytkownikom końcowym okna ostrzeżeń (bez blokowania wysyłki), co stanowi doskonałe narzędzie do stopniowego wdrażania kultury bezpieczeństwa w organizacji.
Krok 5: Monitorowanie i dostrajanie
Po wdrożeniu produkcyjnym kluczowe jest stałe monitorowanie:
- Activity Explorer — podgląd zdarzeń DLP z ostatnich 30 dni, z filtrami po SIT, akcji, użytkownikach.
- DLP Alerts Dashboard — alerty generowane przez polityki (widoczne przez 30 dni w Purview, 180 dni w Microsoft Defender XDR).
- Raporty PowerShell —
Get-DlpDetailReport,Get-DlpDetectionsReportw Exchange Online PowerShell — dają najwięcej danych analitycznych. - DLP Rule Undo — zdarzenia cofnięcia reguły, gdy użytkownik zmodyfikował treść i wiadomość przestała pasować do polityki.
Porównanie licencjonowania — co w której wersji
| Funkcja DLP | Office 365 E3 / Microsoft 365 E3 | Office 365 E5 / Microsoft 365 E5 Compliance |
|---|---|---|
| DLP dla Exchange Online (e-mail) | ✅ Tak | ✅ Tak |
| DLP dla SharePoint i OneDrive | ✅ Tak | ✅ Tak |
| DLP dla Teams Chat & Channel | ❌ Nie | ✅ Tak |
| DLP dla urządzeń (Endpoint DLP) | ❌ Nie | ✅ Tak |
| Zaawansowane klasyfikatory ML | ❌ Nie | ✅ Tak |
| Adaptive Protection (ryzyko insider) | ❌ Nie | ✅ Tak |
| DLP dla Microsoft 365 Copilot | ❌ Nie | ✅ Tak (preview) |
| DLP dla Microsoft Fabric / Power BI | ❌ Nie | ✅ Tak |
| Alerty DLP z agregacją | Ograniczone | ✅ Tak |
| Administrative Units dla DLP | ❌ Nie | ✅ Tak |
Dla organizacji, które potrzebują ochrony wyłącznie poczty e-mail, plan E3 jest w pełni wystarczający. Przejście na E5 ma sens, gdy ochrona ma objąć komunikatory (Teams), urządzenia końcowe i środowisko AI (Microsoft 365 Copilot).
Najczęstsze błędy przy konfiguracji DLP w Exchange Online
- Zbyt szeroki zakres SIT-ów — włączenie wszystkich 300+ typów z szablonu GDPR Enhanced bez usunięcia nieistotnych (np. francuskie numery ubezpieczenia) generuje zalew fałszywych alarmów.
- Pominięcie trybu symulacji — włączenie polityki w trybie blokującym "od razu" blokuje legalną korespondencję i generuje eskalacje do IT.
- Nieprawidłowy zakres grup — polityka obejmująca wszystkich nadawców przy regule blokującej wysyłkę na zewnątrz sparaliżuje dział sprzedaży, który wysyła faktury z NIP-em.
- Brak warunku "Content is shared outside organization" — bez niego DLP będzie blokować również wewnętrzną komunikację (np. HR wysyłający listę płac do księgowości).
- Brak komunikatu edukacyjnego w policy tip — użytkownicy nie rozumieją, dlaczego wiadomość została zablokowana, i szukają obejść (np. screenshot zamiast tekstu).
Częste pytania
Czy DLP w Exchange Online skanuje załączniki?
Tak, DLP skanuje treść załączników w najpopularniejszych formatach: DOCX, XLSX, PPTX, PDF, TXT, CSV, HTML, XML i wiele innych. Limit skanowania to pierwsze 2 MB ekstrahowalnego tekstu z pliku. Załączniki zaszyfrowane hasłem lub w nieobsługiwanych formatach są oznaczane jako "nie można przeskanować" — można skonfigurować osobną regułę, która blokuje takie wiadomości.
Jak długo trwa, zanim polityka DLP zacznie działać?
Po zapisaniu polityki w portalu Microsoft Purview synchronizacja z infrastrukturą Exchange Online trwa około godziny. W dużych tenantach (powyżej 10 000 użytkowników) może to potrwać do 2 godzin. Dopiero po zakończeniu synchronizacji Exchange Online zaczyna oceniać wiadomości według nowej polityki.
Czy DLP wychwytuje numery PESEL zapisane jako obrazek (screenshot)?
Nie — standardowy silnik DLP w Exchange Online analizuje wyłącznie tekst. Nie posiada wbudowanego OCR (optycznego rozpoznawania znaków). Jeśli użytkownik wklei zdjęcie dowodu osobistego do treści wiadomości, DLP go nie wykryje. Jest to świadome ograniczenie — ochrona przed wyciekiem danych w formie graficznej wymaga dodatkowych narzędzi, np. Microsoft Purview Information Protection z etykietami poufności lub zewnętrznych rozwiązań DLP z OCR.
Czy mogę utworzyć wyjątek dla konkretnego użytkownika, który musi wysyłać dane wrażliwe?
Tak, na dwa sposoby. Po pierwsze — poprzez opcję override w regule: użytkownik widzi komunikat blokujący, klika "Override", podaje uzasadnienie biznesowe (np. "wysyłam własny PESEL do banku") i wiadomość zostaje wysłana. Zdarzenie override jest rejestrowane w audycie. Po drugie — można utworzyć osobną regułę z wyjątkiem (exception) dla konkretnego użytkownika lub grupy, ustawioną z wyższym priorytetem niż reguła blokująca. Wtedy wiadomości od tych użytkowników nie są blokowane, ale nadal są audytowane.
Czy polityki DLP w Exchange Online działają na urządzeniach mobilnych (Outlook iOS/Android)?
Tak — ochrona DLP działa na poziomie serwera Exchange Online, a nie klienta pocztowego. Oznacza to, że wiadomość wysłana z Outlooka na telefonie iPhone lub Androidzie przechodzi przez ten sam potok analizy DLP, co wiadomość z desktopowego Outlooka. Jedynym wyjątkiem są policy tips — wyświetlają się one tylko w Outlook for Windows, Outlook for Mac i Outlook Web App (OWA). W aplikacjach mobilnych komunikat o zablokowaniu wiadomości pojawia się jako powiadomienie systemowe, a nie okno dialogowe.
Jaka jest różnica między DLP w Exchange Online a regułami transportowymi (mail flow rules)?
Reguły transportowe (znane też jako Exchange Transport Rules) to starszy, prostszy mechanizm, który może blokować wiadomości na podstawie słów kluczowych, wzorców regex w nagłówkach czy adresów nadawców — ale nie potrafi wykrywać typów informacji poufnych (PESEL, karta kredytowa) z walidacją sum kontrolnych ani analizować kontekstu. DLP działa na zupełnie innym poziomie — wykorzystuje silnik klasyfikacji Microsoft Purview ze zdefiniowanymi SIT-ami, klasyfikatorami ML i integracją z etykietami poufności. Co więcej, DLP oferuje ujednolicone raportowanie (Activity Explorer, alerty), którego reguły transportowe nie zapewniają. W praktyce reguły transportowe stosuje się do prostych zadań (np. blokada załączników .exe), a DLP — do ochrony danych wrażliwych.
Czy mogę przetestować DLP na jednym dziale przed wdrożeniem na całą firmę?
Tak — zawężając politykę do konkretnej grupy dystrybucyjnej (np. "Dział Finansowy") w ustawieniach zakresu Exchange. Pozostali użytkownicy nie są objęci polityką i nie widzą żadnych policy tips ani blokad. Gdy testy wypadną pomyślnie, rozszerzasz zakres na całą organizację.
Jeśli wdrażasz Microsoft 365 w swojej firmie i potrzebujesz legalnych licencji w najlepszej cenie — sprawdź naszą ofertę Microsoft 365 Business Premium i Office 365 E3/E5 w sklepie KluczeSoft.pl, gdzie znajdziesz w pełni legalne klucze aktywacyjne z natychmiastową dostawą i polską fakturą VAT.