Microsoft 365 DLP (Data Loss Prevention, w języku polskim: zapobieganie utracie danych) to wbudowany mechanizm platformy Microsoft Purview, który automatycznie identyfikuje, monitoruje i blokuje nieautoryzowane udostępnianie danych wrażliwych — numerów PESEL, kart kredytowych, dokumentacji medycznej czy tajemnic handlowych — w aplikacjach Microsoft 365, na urządzeniach końcowych i w ruchu sieciowym. W tym artykule pokażę Ci konfigurację DLP krok po kroku: od wymagań licencyjnych, przez wybór szablonu i utworzenie reguł, aż po testowanie w trybie symulacji i pełne wdrożenie produkcyjne.
W skrócie
- DLP analizuje treść głęboko — nie tylko skanuje słowa kluczowe, ale używa wyrażeń regularnych, walidacji wewnętrznej i uczenia maszynowego
- Obejmuje Exchange Online, SharePoint, OneDrive, Teams, urządzenia z Windows 10/11 i macOS oraz aplikacje Office (Word, Excel, PowerPoint)
- Od 2025 roku DLP chroni również ruch do zewnętrznych aplikacji AI (ChatGPT, Google Gemini, DeepSeek) przez Edge for Business i sieć
- Dostępny w planach Microsoft 365 E3, E5, Business Premium oraz jako dodatek Compliance
- Kluczowa zasada: zawsze zaczynaj od trybu symulacji, nigdy nie włączaj blokad od razu
- Polityki synchronizują się do lokalizacji docelowych w ciągu około godziny od aktywacji
Czym dokładnie jest Microsoft 365 DLP i jak działa pod maską
Data Loss Prevention w ekosystemie Microsoft 365 to nie prosty filtr słów kluczowych. Mechanizm analizy treści działa wielowarstwowo:
- Dopasowanie podstawowe — skanowanie pod kątem słów kluczowych (np. "PESEL", "karta kredytowa", "poufne")
- Ewaluacja wyrażeń regularnych — wykrywanie wzorców, np. 11 cyfr w formacie numeru PESEL, 16 cyfr karty kredytowej z sumą kontrolną Luhna
- Walidacja wewnętrzna — sprawdzenie, czy wykryty ciąg przechodzi testy poprawności (np. cyfra kontrolna, zakres daty urodzenia w PESEL)
- Dopasowanie wtórne w bliskości — wyszukiwanie słów potwierdzających kontekst (np. "numer PESEL:" tuż przed ciągiem cyfr)
- Uczenie maszynowe — klasyfikatory treningowe wykrywające wzorce trudne do ujęcia w sztywne reguły
DLP działa w trzech stanach danych:
| Stan danych | Co obejmuje | Przykład zdarzenia |
|---|---|---|
| Dane w spoczynku (data at rest) | Pliki w SharePoint, OneDrive, repozytoriach on-premises | Skanowanie istniejących dokumentów pod kątem numerów kart |
| Dane w użyciu (data in use) | Aplikacje Office, pulpity urządzeń | Kopiowanie danych wrażliwych na pendrive'a USB |
| Dane w ruchu (data in motion) | E-maile Exchange, czaty Teams, ruch sieciowy do chmury | Wysłanie maila z listą PESEL-i na zewnątrz organizacji |
Wymagania licencyjne — który plan Microsoft 365 zawiera DLP
Nie każdy abonament Microsoft 365 daje dostęp do pełnego DLP. Oto aktualny stan na 2026 rok:
| Plan Microsoft 365 | DLP dla Exchange/SharePoint/OneDrive | DLP dla Teams | Endpoint DLP (urządzenia) | DLP dla aplikacji chmurowych i AI |
|---|---|---|---|---|
| Business Basic | ❌ | ❌ | ❌ | ❌ |
| Business Standard | ❌ | ❌ | ❌ | ❌ |
| Business Premium | ✅ Podstawowy | ✅ | ❌ | ❌ |
| E3 | ✅ | ✅ | ❌ | ❌ |
| E5 | ✅ Pełny | ✅ | ✅ | ✅ |
| E5 Compliance (dodatek) | ✅ Pełny | ✅ | ✅ | ✅ |
Wniosek praktyczny: jeśli potrzebujesz wyłącznie ochrony poczty, SharePoint i OneDrive, Microsoft 365 Business Premium lub E3 w zupełności wystarczą. Jeśli jednak chcesz blokować wycieki przez urządzenia końcowe (pendrive'y, schowek, drukowanie) i monitorować ruch do ChatGPT czy Gemini — potrzebujesz E5 lub dodatku E5 Compliance. Koszt dodatku to ok. 45–55 zł/użytkownika/miesięcznie przy rozliczeniu rocznym.
Konfiguracja DLP krok po kroku
Poniższa procedura zakłada, że masz już konto z przypisaną rolą Compliance Administrator, Compliance Data Administrator lub Information Protection Admin w portalu Microsoft Purview (https://purview.microsoft.com).
Krok 1: Wejdź do portalu Microsoft Purview i przejdź do DLP
- Zaloguj się na
https://purview.microsoft.com. - W lewym menu wybierz Rozwiązania > Zapobieganie utracie danych (Data Loss Prevention).
- Kliknij Zasady (Policies), a następnie + Utwórz zasadę.
Krok 2: Wybierz szablon lub utwórz niestandardową politykę
Microsoft dostarcza kilkadziesiąt gotowych szablonów pogrupowanych w kategorie:
- Finansowe — dane kart kredytowych, SWIFT, IBAN, dane podatkowe (w tym polski NIP, REGON)
- Medyczne i zdrowotne — dane pacjentów, karty zdrowia, recepty
- Prywatność — PESEL, dowody osobiste, paszporty (dla Polski i innych krajów UE)
- Własne (Custom) — definiujesz własne typy informacji poufnych (SIT)
Dla polskiej firmy najczęściej używa się szablonu "Poland Personally Identifiable Information (PII) Data", który wykrywa numery PESEL, NIP, REGON i dowodu osobistego. Jeśli potrzebujesz czegoś niestandardowego — np. blokowania wewnętrznych kodów projektów — wybierz Custom policy i zdefiniuj własny SIT.
Krok 3: Nazwij politykę i określ zakres administracyjny
- Nadaj polityce czytelną nazwę, np.
Blokada PESEL i dowodów - Exchange i Teams. - Opcjonalnie przypisz jednostkę administracyjną (Administrative Unit) — przydatne w dużych organizacjach, gdzie różni administratorzy zarządzają różnymi działami.
Krok 4: Wybierz lokalizacje do monitorowania
Zaznacz, gdzie DLP ma działać:
| Lokalizacja | Co monitoruje | Typowe zastosowanie |
|---|---|---|
| Exchange email | Wychodzące wiadomości e-mail | Blokada wysyłania danych wrażliwych na zewnątrz |
| SharePoint sites | Biblioteki dokumentów | Skanowanie plików przechowywanych na firmowych witrynach |
| OneDrive accounts | Pliki użytkowników | Ochrona prywatnych repozytoriów chmurowych |
| Teams chat and channel | Wiadomości czatu i kanałów | Blokada wklejania numerów PESEL w Teams |
| Devices (Windows 10/11, macOS) | Pendrive'y, schowek, drukarki, aplikacje | Blokada kopiowania na nośniki zewnętrzne |
| Microsoft 365 Copilot (preview) | Promptowanie i odpowiedzi Copilota | Ochrona przed wyciekiem danych do AI |
Możesz zawęzić zakres za pomocą opcji Include/Exclude — np. wykluczyć dział HR (który legalnie przetwarza PESEL-e) z polityki blokującej.
Krok 5: Zdefiniuj regułę — warunki i akcje
To serce polityki DLP. Każda polityka zawiera jedną lub więcej reguł. Dla każdej reguły określasz:
Warunek (Content contains):
- Wybierz typ informacji poufnych, np. "Poland PESEL Number"
- Określ próg: np. ≥1 wystąpienie (pojedynczy PESEL wyzwala alert) lub ≥5 wystąpień (żeby uniknąć fałszywych alarmów przy pojedynczych trafieniach)
- Możesz dodać dodatkowe warunki: dokument ma etykietę poufności "Poufne", udostępnienie następuje osobom spoza organizacji (external sharing)
Akcja (Action):
- Audit only — tylko rejestruj zdarzenie w dzienniku audytu (najbezpieczniejszy start)
- Block with override — blokuj, ale pozwól użytkownikowi na ręczne odblokowanie z uzasadnieniem (przydatne przy wdrażaniu)
- Block — bezwarunkowo blokuj akcję
- Policy tip — wyświetl użytkownikowi komunikat ostrzegawczy
- Incident report — wyślij alert do administratora
Krok 6: Tryb wdrożenia — symulacja czy pełne wymuszenie?
Nigdy nie włączaj polityki od razu z blokadami. Zgodnie z oficjalnymi zaleceniami Microsoft:
- Faza 1: Tryb symulacji (
Run in simulation mode) — polityka rejestruje zdarzenia w Activity Explorer, ale nie blokuje niczego. Zbieraj dane przez minimum 7–14 dni, obserwując fałszywe trafienia i wolumeny. - Faza 2: Symulacja z poradami (
Simulation + policy tips) — użytkownicy widzą komunikaty ostrzegawcze, ale nadal nic nie jest blokowane. Pilotaż na małej grupie (np. 20–50 użytkowników). - Faza 3: Pełne wymuszenie (
Turn it on right away) — dopiero gdy polityka osiąga założone cele kontrolne, włączasz blokady na całą organizację.
Krok 7: Monitorowanie i dostrajanie
Narzędzia do bieżącego monitoringu:
| Narzędzie | Do czego służy |
|---|---|
| DLP Alerts dashboard | Przeglądanie alertów, segregacja, śledzenie rozwiązania |
| Activity Explorer | Szczegółowy podgląd zdarzeń (ostatnie 30 dni) z kontekstem |
| DLP Overview page | Stan synchronizacji polityk, kondycja urządzeń, top aktywności |
| Microsoft Defender XDR | Koincydencje i zaawansowane śledztwa (zdarzenia DLP widoczne przez 6 miesięcy) |
PowerShell (Get-DlpDetailReport) | Eksport danych do własnych raportów |
Ochrona przed wyciekiem danych do AI — nowość 2025/2026
Od połowy 2025 roku Microsoft Purview DLP rozszerzono o Inline Web Traffic DLP — mechanizm monitorujący i blokujący przesyłanie danych wrażliwych do zewnętrznych aplikacji AI:
- Przez Microsoft Edge for Business — DLP analizuje tekst wklejany do okna ChatGPT, Google Gemini, DeepSeek i Microsoft Copilot (wersja konsumencka) bezpośrednio w przeglądarce
- Przez sieć (Network Data Security, preview) — DLP monitoruje ruch sieciowy do ponad 34 000 aplikacji chmurowych z katalogu Microsoft Defender for Cloud Apps
Jak to skonfigurować: w portalu Purview wybierasz Collection Policies (nie zwykłe DLP Policies), definiujesz docelowe aplikacje AI (np. chatgpt.com, gemini.google.com) i określasz te same typy informacji poufnych co w klasycznym DLP. Polityka działa w przeglądarce Edge for Business na urządzeniach zarządzanych (Windows 10/11) lub na poziomie sieci dla całego ruchu wychodzącego.
Porównanie: DLP w Microsoft 365 vs rozwiązania zewnętrzne
| Cecha | Microsoft Purview DLP | Zewnętrzne DLP (Symantec, Forcepoint, Digital Guardian) |
|---|---|---|
| Integracja z Microsoft 365 | ✅ Natywna, głęboka | ⚠️ Przez API, mniej szczegółowa |
| Ochrona urządzeń (endpoint) | ✅ Wymaga E5 | ✅ Zazwyczaj w pakiecie |
| Wykrywanie AI/ML | ✅ Wbudowane klasyfikatory | ✅ Zaawansowane, często lepsze |
| Ochrona aplikacji spoza Microsoft | ⚠️ Tylko przez MCAS/Edge | ✅ Szerokie pokrycie |
| Krzywa uczenia | Niska (portal Purview) | Wysoka (dedykowane konsole) |
| Koszt | W ramach E3/E5 (brak dodatkowej opłaty) | $40–100+/użytkownika/rok |
| Zgodność z RODO w PL | ✅ Pełna, szablony PL | ✅ Po konfiguracji |
Dla firm w 100% na Microsoft 365 natywny DLP jest najrozsądniejszym wyborem — zero dodatkowych kosztów przy E3/E5 i minimalny czas wdrożenia. Rozwiązania firm trzecich mają sens, gdy organizacja korzysta z różnorodnych aplikacji spoza ekosystemu Microsoft (SAP, Salesforce, własne systemy).
Częste pytania
Czy DLP działa tylko na nowych plikach, czy skanuje też istniejące?
W SharePoint i OneDrive DLP skanuje zarówno istniejące pliki, jak i nowo dodawane — alert generowany jest przy każdym dopasowaniu. W Exchange Online skanowane są tylko nowe wiadomości wychodzące — DLP nie przeszukuje wstecznie skrzynek pocztowych ani archiwów.
Ile czasu zajmuje, zanim polityka DLP zacznie działać?
Po utworzeniu lub zmianie polityki DLP dane są synchronizowane do wszystkich lokalizacji docelowych (Exchange, SharePoint, OneDrive, Teams, urządzenia) w ciągu około godziny. W dużych tenantach (powyżej 10 000 użytkowników) synchronizacja może potrwać do 2 godzin.
Jakich uprawnień potrzebuję, żeby skonfigurować DLP?
Musisz być członkiem jednej z grup ról w Microsoft Purview: Compliance Administrator, Compliance Data Administrator, Information Protection Admin lub Security Administrator. Do samego podglądu alertów wystarczy rola Information Protection Analyst lub Information Protection Reader.
Czy DLP w Microsoft 365 spełnia wymogi RODO w Polsce?
Tak — szablony DLP obejmują polskie typy danych wrażliwych (PESEL, NIP, REGON, numery dowodów osobistych) z wbudowaną walidacją poprawności (cyfra kontrolna PESEL, suma kontrolna NIP). DLP pomaga spełnić wymogi art. 32 RODO (bezpieczeństwo przetwarzania), ale sam w sobie nie zastępuje pełnej dokumentacji zgodności — potrzebujesz jeszcze rejestru czynności przetwarzania, analizy ryzyka i polityk retencji.
Co zrobić, gdy DLP blokuje legalną komunikację (fałszywe trafienia)?
Najczęstsza przyczyna: próg wykrywania ustawiony zbyt nisko (np. ≥1 PESEL zamiast ≥5) lub brak wykluczeń dla działów legalnie przetwarzających dane wrażliwe. Rozwiązania: (1) podnieś próg licznika wystąpień w regule, (2) wyklucz konkretne grupy użytkowników (HR, księgowość) z polityki, (3) użyj akcji Block with override, aby użytkownicy mogli samodzielnie odblokować wiadomość z obowiązkowym uzasadnieniem — te uzasadnienia są najlepszym źródłem informacji do dostrajania polityki.
Czy mogę używać DLP na komputerach z macOS?
Tak — Endpoint DLP (wymaga licencji E5) obsługuje trzy najnowsze wersje macOS. Obejmuje monitorowanie i blokadę: kopiowania na USB, zapisu do schowka, drukowania, udostępniania przez aplikacje sieciowe i przesyłania do chmur. Funkcjonalność na macOS jest zbliżona do Windows 10/11, choć niektóre zaawansowane opcje (np. blokada na poziomie sterownika druku) są dostępne wyłącznie na Windows.
Jaka jest różnica między DLP Policy a Collection Policy?
DLP Policy chroni dane w aplikacjach enterprise (Exchange, SharePoint, Teams, urządzenia). Collection Policy (wprowadzona w 2025) chroni ruch sieciowy i przeglądarkowy do niezarządzanych aplikacji chmurowych i AI — np. blokuje wklejenie numeru karty kredytowej do okna ChatGPT. Collection Policy używa tych samych typów informacji poufnych (SIT) co klasyczne DLP, ale jest konfigurowana w osobnej ścieżce w portalu Purview.
Jeśli planujesz wdrożenie DLP i potrzebujesz odpowiedniej licencji Microsoft 365 — w sklepie KluczeSoft.pl znajdziesz legalne klucze do Microsoft 365 Business Premium i Enterprise E3/E5 w cenach niższych niż oficjalny kanał Microsoft. Każdy klucz objęty jest fakturą VAT i pochodzi z legalnego obrotu wtórnego w UE, zgodnie z wyrokiem TSUE w sprawie UsedSoft (C-128/11).