申请/专利权人：微软技术许可有限责任公司

申请日：2015-10-15

公开（公告）日：2020-12-22

公开（公告）号：CN107111702B

主分类号：G06F21/31(20130101)

分类号：G06F21/31(20130101);G06F21/44(20130101);G06F21/62(20130101);G06Q10/10(20120101);G06F40/103(20200101)

优先权：["20141026 US 62/068,728","20141026 US 62/068,744","20150224 US 14/630,435"]

专利状态码：有效-授权

法律状态：2020.12.22#授权;2017.09.22#实质审查的生效;2017.08.29#公开

摘要：数据丢失防护DLP系统可以结合协同服务一起实现，所述协同服务可以与生产力服务集成在一起或者与其协调工作。管理员被使能在协同服务中配置DLP策略以减轻它们的组织的信息公开风险，并且检测和修复敏感信息。访问阻止可以是DLP系统的一个特性，其中，对访问阻止的提供可以包括确定与由协同服务所处理的内容相关联的动作是否与由DLP策略规则所定义的访问阻止标准相匹配。响应于确定所述动作与由DLP策略规则所定义的至少一个访问阻止标准相匹配，可以激活与所述内容相关联的访问阻止标签、可以忽略或改变先前定义的与所述内容相关联的许可、并且对所述内容的访问可以限于多个预先定义的用户。

主权项：1.一种用于在协同服务环境内作为数据丢失防护，DLP，的一部分来提供访问阻止的计算设备，所述计算设备包括：被配置为存储指令的存储器；耦合至所述存储器的处理器；其中，所述处理器被配置为执行以下操作，包括：检测与由协同服务所处理的内容相关联的动作；确定所述动作是否与由一个或多个DLP策略规则所定义的访问阻止标准相匹配；响应于确定所述动作与由所述一个或多个DLP策略规则所定义的至少一个访问阻止标准相匹配，而激活与所述内容相关联的阻止访问标签、忽略先前定义的与所述内容相关联的许可、并且将对所述内容的访问限于多个预先定义的用户，响应于确定所述动作与所述访问阻止标准中的至少一个不匹配，通过所述协同服务的用户体验来向所述预先定义的用户提供通知，其中，所述通知包括以下中的一个或多个：到包括所述一个或多个DLP策略规则的DLP策略文件的链接、到所述内容的位置的链接、以及与一个或多个动作相关联的控制元素；以及使得所述用户中的一个或多个执行所述控制元素中的一个或多个，以去激活所述阻止访问标签、恢复先前定义的与所述内容相关联的许可、以及撤销对所述内容的受限访问。

全文数据：协同环境中针对数据丢失防护的访问阻止背景技术[0001]数据丢失防护DLP是帮助组织能够通过深度内容分析来识别、监测、和保护敏感信息的特征集。例如，DLP可以结合协同服务一起实现，所述协同服务可以与提供文字处理、电子表格、演示、通信、笔记记录、和类似的功能的生产力服务集成在一起或者与其协调工作。近年来，遵循标准化要求已经变成很多组织的热点话题，并且进而其也成为了生产力服务内的关键商业目标。针对遵循的驱动力使DLP成为用户需要的重要特征集。发明内容[0002]提供该摘要以用简化的形式引入在下文的具体实施方式中将进一步描述的这些概念的选择。该摘要不旨在排他地标识所要求保护的主题的关键特性或重要特性，也不旨在帮助确定所要求保护的主题的范围。[0003]实施例针对在协同服务环境内作为数据丢失防护DLP的一部分来提供访问阻止。可以检测与由协同服务所处理的内容相关联的动作，并且对动作是否与由一个或多个DLP策略规则所定义的访问阻止标准相匹配进行确定。响应于确定该动作与由该DLP策略规则所定义的至少一个访问阻止标准相匹配，可以激活与所述内容相关联的阻止访问标签、可以忽略与所述内容相关联的先前定义的许可、并且对所述内容的访问可以限制于多个预先定义的用户。[0004]这些和其他特性和优势将从对以下的详细描述的阅读和对相关联的图的回顾中变得显而易见。应当理解的是，前述一般性描述和以下的详细描述两者都是解释性的，而且不限制所要求保护的方面。附图说明[0005]图1包括示例网络环境，其中，访问阻止在服务器侧可以作为协同服务环境内的数据丢失防护DLP的一部分来提供；[0006]图2示出了另一示例网络环境，其中，访问阻止在客户端侧可以作为协同服务环境内的DLP的一部分来提供；[0007]图3示出了被实现为协同服务环境内的DLP的一部分的示例访问阻止过程；[0008]图4A和4B示出了与访问阻止相关联的示例用户体验；[0009]图5A-C示出了与访问阻止的用户覆盖相关联的示例用户体验；[0010]图6A-C示出了与内容移除之后的访问阻止的用户重新分类相关联的示例用户体验；[0011]图7示出了与用户共享具有访问阻止的内容相关联的示例用户体验；[0012]图8是示例通用计算设备的框图，其可以用于将访问阻止提供为协同服务环境内的DLP的一部分；以及[0013]图9示出根据实施例的用于在协同服务环境内作为DLP的一部分来提供访问阻止的方法的过程的逻辑流程图。具体实施方式[0014]如在上文中所简述的，数据丢失防护DLP系统可以结合协同服务一起实现，所述协同服务可以与提供文字处理、电子表格、演示、通信、笔记记录、和类似的功能的生产力服务集成在一起或者与其协调工作。可以将DLP服务实现在静止数据DAR或传输数据DIT的场景中，并且允许管理员在协同服务中配置DLP策略以帮助减轻他们的组织的信息公开风险，并且进行敏感信息的检测和修复。加密、内容分类、策略管理、用户通知、事件报告生成、和访问阻止可以是结合协同服务一起实现的综合DLP系统的特征中的一些特性。访问阻止的提供，例如可以包括确定检测到的与由协同服务所处理的内容相关联的动作是否与由一个或多个DLP策略规则所定义的访问阻止标准相匹配。响应于确定该动作与由一个或多个DLP策略规则所定义的至少一个访问阻止标准相匹配，可以激活与所述内容相关联的阻止访问标签、可以忽略先前定义的与所述内容相关联的许可或者可以对所述许可应用额外的限制、并且对所述内容的访问可以限于多个预先定义的用户。[0015]在以下的详细描述中，可以对形成了其一部分的附图进行参考，并且其中作为示图、具体实施例、或示例而进行示出。可以组合这些方面、可以利用其他方面、并且可以做出结构改变而不脱离本公开的精神或范围。因此，以下的具体实施方式将不被看作是限制性意义，并且本发明的范围是由所附权利要求及其等同物所限定的。[0016]尽管将在结合在计算设备上的操作系统上运行的应用程序而执行的程序模块的一般上下文中描述一些实施例，但本领域的技术人员将理解的是，也可以结合其他程序模块来实现这些方面。[0017]通常而言，程序模块包括例程、程序、组件、数据结构、以及执行特定的任务或实现特定的抽象数据类型的其他类型的结构。此外，本领域技术人员将理解的是，可以利用包括手持设备、多处理器系统、基于微处理器的或可编程的消费性电子产品、微型计算机、大型计算机、以及类似的计算设备在内的其他计算机系统配置来实践实施例。还可以在其中由通过通信网络所链接的远程处理设备来执行任务的分布式计算环境中实现实施例。在分布式计算环境中，程序模块既可以位于本地的存储器存储设备中，也可以位于远程的存储器存储设备中。[0018]可以将一些实施例实现为计算机实现的过程方法）、计算系统、或者诸如计算机程序产品或计算机可读介质之类的制品。计算机程序产品可以是这样一种计算机存储介质，其能够由计算机系统读取并且对包括用于使得计算机或计算机系统执行示例过程的指令的计算机程序进行编码。所述计算机可读存储介质是计算机可读存储器设备。计算机可读存储器设备可以例如是经由以下中的一个或多个来实现的：易失性计算机存储器、非易失性存储器、硬盘驱动器、闪速存储器、软盘、或者压缩盘、以及类似的硬件介质。[0019]在该说明书通篇中，术语“平台”可以是用于将访问阻止提供为协同服务环境中的DLP实现的一部分的软件和硬件组件的组合。平台的示例包括但不限于:在多个服务器上执行的托管服务、在单个^算设备上执行的应用、以及类似的系统。术语“服务器，，通常是指通常在网络化环境中执行一个或多个软件程序的计算设备。然而，服务器还可以被实现为在被视为是网络上的服务器的一个或多个计算设备上执行的虚拟服务器软件程序）。在下文中提供了关于这些技术和示例操作的更多的细节。[0020]图1包括示例网络环境，其中，访问阻止在服务器侧可以作为协同服务环境内的DLP的一部分来提供。[0021]在一个示例配置中，如示意图100中所示的，一个或多个服务器可以向多个客户端或租户提供协同服务120。每个租户可以向它们的用户提供对在由协同服务120所提供的基础结构内执行的多个应用的访问。所述应用可以包括任何应用，例如文字处理应用、电子表格应用、演示应用、通信应用、图像应用、音频视频处理应用、图形处理应用、和类似的应用。[0022]如在图1中所示，所述协同服务环境可以是经托管的环境。然而，所述协同服务环境不限于该具体的示例。可替代地，所述协同服务环境可以包括一个或多个应用，或者用户能够通过其创建、编辑、预览、和或共享内容的类似的环境。所述协同服务环境也可以是其中用户能够交换内容的任何类型的环境等。[0023]在用户侧，用户112可以在它们的计算设备102的操作系统104内执行瘦例如，网络浏览器或厚例如，本地安装的客户端应用）的应用106,并且通过诸如网络130之类的一个或多个网络来访问由协同服务120所提供的服务及其相关联的应用。所述计算设备102可以包括台式计算机、膝上型计算机、平板计算机、车载计算机、智能电话、或可穿戴计算设备、以及其他类似设备。用户112可以是租户110下的示例用户。如上所讨论的，任何租户的基础结构内的任何数量的用户可以访问协同服务120的服务。用户112可以存储与在协同服务120的保护下所提供的一个或多个应用相关联的内容和文件，所述一个或多个应用是在本地存储108处本地地提供的、或者是在由协同服务120所管理的数据存储处远程地提供的、或者是由第三方服务所提供的。[0024]协同服务120可以包括被配置为管理并实施DLP策略的DLP模块122等。例如，响应于由系统服务120所处理的内容通过应用中的一个应用和或在预先确定的时间间隔的结束处被打开、保存、删除、编辑、拷贝、移动、上传、下载、打印和或共享，可以相对于由租户管理员所创建的一个或多个DLP策略规则来评估所述内容。在一些实施例中，可以检测与由所述协同服务所处理的内容相关联的动作，并且确定该动作是否与由DLP策略规则所定义的访问阻止标准相匹配。所述动作可以包括向所述内容中插入诸如信用卡号和社会保险号之类的敏感信息。在一些实施例中，所述内容的整体可以包括敏感信息，例如专利文档或设计规范。在其他实施例中，所述内容的一部分可以包括敏感数据，例如包括信用卡号的支出报告。[0025]响应于确定所述动作与由DLP策略规则所定义的至少一个访问阻止标准相匹配，可以激活与所述内容相关联的阻止访问标签、可以忽略先前定义的与所述内容相关联的许可、和或可以应用对所述许可的额外约束，并且对所述内容的访问可以限于多个个预先定义的用户。所述预先定义的用户可以包括所述内容的所有者例如，用户112、管理员、和最后修改者，并且受限的访问可以包括例如读取许可、编辑许可、和共享许可。所述预先定义的用户还可以包括属于被定义以管理具有受限访问的内容的角色的一个或多个用户。在一些示例中，可以访问受限内容的预先定义的用户可以随着安全分组中预先定义的用户的成员身份的改变而改变。例如，所述一个或多个用户可以获得或失去作为管理员的状态，或者获得或失去向受限内容授权访问的一些其他角色中的成员身份。在其他实施例中，对所述内容的访问可以基于由DLP策略规则所定义的匹配的访问阻止标准而限于一个或多个用户。例如，DLP策略规则可以定义只有组织的内部雇员可以查看机密文档。如果内部雇员尝试将机密文档与其他内部雇员连同该组织的外部雇员分享，则与该机密文档相关联的访问阻止标准与所述尝试的与外部雇员的分享可以是匹配的。由此，对所共享的机密文档的访问可以限于其他内部雇员，而对所共享的机密文档的访问将针对外部雇员而被阻止。[0026]在一些实施例中，可以通过协同服务120的用户体验向用户112提供通知以指示对所述内容的受限的访问。该通知可以包括到包括DLP策略规则的DLP策略文档的链接、到所述内容的位置的链接、以及各种控制元素，所述各种控制元素与用户112出于以下目的要实现的一个或多个动作相关联:为了去激活与所述内容相关联的阻止访问标签、恢复先前定义的与所述内容相关联的许可、和或撤销对所述内容的受限的访问。用户112被使能通过以下中的一个或多个来与协同服务120的用户体验进行交互:触摸输入、手势输入、语音命令、眼睛跟踪、陀螺仪输入、笔输入、鼠标输入、和或键盘输入。例如，用户112被使能覆盖对所述内容的受限的访问、报告与对应于至少一个访问阻止标准的信息相关联的误报falsepositive、和或响应于通知而请求策略检查或重新分类以提示利用DLP策略规则对内容的另一次评估的通知。[0027]额外地，用户112被使能从所述内容中移除与至少一个访问阻止标准相对应的信息。例如，用户112可以从所述内容中移除该敏感信息。此外，用户112被使能移除具有对内容的访问的违规用户。在一个示例中，如果用户112正在与包括违规用户在内的多个用户共享受限内容时，所述用户可以将该违规用户从要分享的列表中移除。在另一个示例中，如果用户112已经将受限内容保存到违规用户能够访问该受限内容的位置处，则用户112可以将该受限内容保存到新的位置，以使得该违规用户不再能够访问。[0028]在一些实施例中，所述匹配、对所述内容受限访问、覆盖、以及所报告的误报可以被记录在与该协同服务相关联的日志或报告中。此外，与所述内容相关联的阻止访问标签可以被保存到该协同服务的索引中，以使得当不能够访问所述内容的外部用户在搜索该协同服务时，对所述内容的访问保持受限。例如，所述内容不会被显示在针对由不能够访问所述内容外部用户中的一个或多个外部用户发出的查询的结果中。额外地，可以在审计日志中生成条目以出于审计和报告的目的而指示所述内容何时是受限制的、所述内容何时是不受限制的、以及与所述内容相关联的限制是否被覆盖利用额外的商业理由）、或者与至少一个访问阻止标准相关联的信息是否由预先定义的用户报告为误报。该审计日志中的条目还可以指示哪些DLP策略与对应的DLP策略规则被违反以调用对所述内容的受限访问。[0029]在其他实施例中，访向受限内容可以包括各种版本，其中，所述版本可以遵循相似模式以就地保留。例如，可以将所述版本暂时地移动至站内的安全存档位置并且可以在那里保存预先确定数量的天数，其中，所述存档位置可以是仅能够由站点集合管理员或者属于针对管理这样的内容的目的而定义的角色的另一个用户访问。然而，所有者、管理员（例如，站点集合管理员）、和或所述内容的最后修改者等可以在版本已经被存档时被通知。当一个或多个预先定义的用户将与访问阻止标准相对应的信息从所述内容中移除和或移除违规访问所述内容的用户时，版本的存档可以发生。所有其他动作例如，用于对所述内容的受限访问的覆盖和或对与对应于访问阻止标准的信息相关联的误报的报告）可以不受多版本的影响，这是因为与至少一个访问阻止标准相对应的信息例如，敏感信息仍然在文档内。[0030]如先前所讨论的，DLP是使得组织能够通过深度内容分析来识别、监测、和保护敏感信息的特征集，其中，DLP可以结合协同服务而被实现。将访问阻止作为DLP的一部分来提供可以通过限制对包括敏感信息的内容的访问来提高处理安全性，并且通过创建自动化任务来检测敏感内容和阻止对所述内容的访问来降低网络带宽。额外地，使得用户112能够与协同服务120的用户体验进行交互以执行与被阻止的访问相关联的一个或多个动作可以提高用户效率，并且提高用户交互性能。此外，使得用户112能够查看利用通过协同服务120的用户体验的通知所提供的链接可以关于组织来教育用户112,例如他们的工作地点、与该组织相关联的DLP策略、以及用户动作如何影响该组织。[0031]图2示出了另一示例网络环境，其中，访问阻止在客户端侧可以作为协同服务环境内的DLP的一部分来提供。[0032]如先前所讨论的，租户可以向它们的用户提供对在由协同服务所提供的基础结构内执行的多个应用的访问。所述应用可以包括任何应用，例如文字处理应用、电子表格应用、演示应用、通信应用、图像应用、音频视频处理应用、图形处理应用、和类似的应用。[0033]在示例场景中，如在图200中所示，租户管理员202可以通过与合规控制台complianceconsole206相关联的策略管理用户界面来创建一个或多个DLP策略规则204。例如，DLP策略规则204可以在文档包含信用卡信息时阻止已经对外分享的任何文档的访问。DLP策略可以从DLP策略规则204被配置208,并且存储在策略存储210中以用于随后分配212至与所述租户相关联的一个或多个服务器214。与所述租户相关联的服务器214可以接着进一步将DLP策略216分配至与所述租户下的用户220相关联的客户端218。[0034]客户端218包括分类引擎222和策略引擎228,其被配置为响应于文档224通过应用中的一个应用和或在预先确定的时间间隔结束之后被打开、保存、删除、编辑、拷贝、移动、上传、下载、打印和或共享，可以针对由租户管理员202所创建的DLP策略规则204来评估文档224。例如，在从与所述租户相关联的服务器214接收到DLP策略之后，客户端218可以被配置为将DLP策略规则204发送至策略引擎228。同时，分类引擎222可以被配置为分析文档224以检测与文档224相关联的动作，例如向该文档内插入敏感信息。可以将检测到的动作，连同与文档224相关联的上下文数据226发送至策略引擎228,以确定所述动作是否与由DLP策略规则2〇4所定义的访问阻止标准相匹配。响应于确定动作匹配230,则可以激活与文档224相关联的阻止访问标签、可以忽略先前定义的与文档224相关联的许可、或者可以对所述许可应用额外的约束、并且对文档224的访问可以限于多个预先定义的用户。在其他实施例中，对文档224的访问可以基于由DLP策略规则所定义的匹配的访问阻止标准而限于一个或多个用户。此外，包括通知的用户体验可以通过指示对文档224的受限访问的客户端218而被显示2：32给用户220。一旦已经阻止了对文档224的访问，只有上传文档224的作者用户、文档224的修改者、以及管理员和其他所标识的预先定义的用户可以继续访问文档224。[0035]在一些示例中，通知可以包括到包括DLP策略规则204的DLP策略文档的链接、到文档224的位置的链接、以及各种控制元素，所述各种控制元素与用户220出于以下目的要实现的一个或多个动作相关联:为了去激活与文档224相关联的阻止访问标签、恢复先前定义的与文档224相关联的许可、和或撤销对文档的受限的访问。用户220被使能通过以下中的一个或多个来与用户体验进行交互:触摸输入、手势输入、语音命令、眼睛跟踪、陀螺仪输入、笔输入、鼠标输入、和或键盘输入。[0036]例如，用户22〇可以每天对具有信用卡信息的文档（例如，文档224进行工作。同时，用户22〇可以在文档224上与团队中的一个或多个成员协作，所述一个或多个成员也可以访问信用卡信息。用户220可以保存文档2¾，以使得其被上传到协同服务站以与团队共早，而没有意识到外部用户也能够访问该位置。响应于所述保存，文档224可以针对由租户管理员202所创建的DLP策略规则2〇4而被评估。用户220可以通过与所述协同服务相关联的用户体验来接收通知，所述通知指示文档224的上传已经被阻止，因为其可能包含信用卡信息，这与DLP策略规则2〇4的访问阻止标准相匹配，并且此外，文档224向其上传的位置能够由外部用户（例如，所述策略的违规用户访问。根据实施例，与所述协同服务相关联的用户体验可以是同步或异步的。在一个示例中，与所述协同服务相关联的用户体验可以是同步的，并且因此当文档224的上传被阻止时可以向用户220实时地显示通知。可替代地，与所述协同服务相关联的用户体验可以是异步的，并且因此，其可以仅仅周期性地被更新或者根据需要被更新，这引起对用户220的关于指示文档224的上传已经被阻止的通知的显示出现潜在的延迟。例如，为了防止用户220可用的带宽量的减少，所述用户体验可以在与低数据传输相关联的安静时段例如，午夜）内被更新。[0037]作为响应，用户220被使能致动通知内的链接，其可以将用户220重新定向至所述协同服务中文档224的位置。可以在所述协同用户体验中采用文本方案、图形方案、音频方案、动画方案、着色方案、突出显示方案、和阴影方案以指示文档224已经被限制访问。例如，可以在协同服务中邻接着文档224和或在文档224上显示图标，以提供文档现在被锁定的可视化指示。在其他示例中，用户220可以被使能制动通知内的链接，其可以将用户220重新定向至DLP策略文档，所述DLP策略文档包括DLP策略规则204以及用户220可以实现以执行以下操作的一个或多个动作:去激活与文档224相关联的阻止访问标签、恢复先前定义的与文档224相关联的许可、并且撤销对文档224的受限访问。例如，用户220可以从文档224移除与至少一个访问阻止标准相对应的信息、移除对文档224违规访问的用户、覆盖对所述内容的受限访问、报告与对应于至少一个访问阻止标准的信息相关联的误报、并且请求策略检查或重新分类中的一个。[0038]在第一示例中，用户220可以从文档224移除与至少一个访问阻止标准相对应的信息。由此，该用户可以通过选择选项以在协同服务用户体验内“编辑”来编辑文档224以移除信用卡号。一旦该信用卡号被移除，文档224就不再违反该DLP策略例如，该动作不再与DLP策略规则204所定义的访问阻止标准相匹配），并且在下一次策略评估时可以去激活或移除该阻止访问标签、恢复先前定义的与文档224相关联的许可、并且撤销对文档224的受限访问。在一些实施例中，许可的恢复可以基于许可的当前状态。例如，如果与文档224相关联的一个或多个许可在对文档224的访问受限时改变和或被更新，则在撤销该限制之后，经改变和或经更新的许可将会起作用。可以响应于文档224的打开、保存、删除、编辑、拷贝、移动、发布、上传、下载、打印、和或共享，和或在预先定义间隔超时之后而进行下一次策略评估。可替代地，用户220可以在通过协同用户体验移除了信用卡号之后请求策略检查或重新分类以提示下一次策略评估。[0039]在第二示例中，用户220可以选择通过移除到文档224的任何访客链接来移除能够访问文档224的违规用户。用户220可以通过协同服务用户体验来选择查看文档224的属性并且随后去激活或移除至外部用户的链接。由此，具有访客链接的外部用户不再能够查看或编辑文档224。在下一次策略评估时，可以去激活或移除与文档224相关联的阻止访问标签、可以恢复先前定义的与文档224相关联的许可、并且可以撤销对文档224的受限访问，这是因为文档224不再违反DLP策略例如，该动作不再与由DLP策略规则204所定义的访问阻止标准相匹配）。如先前在第一示例中所讨论的，用户22〇可以在通过协同用户体验移除了能够访问文档224的违规用户之后请求策略检查或重新分类以提示下一次策略评估。[0040]在第三示例中，用户220可以选择覆盖对所述内容的受限访问。例如，可以存在用于访问文档224的针对外部供应商的证据justification，这是因为它们需要数据。该用户可以通过在协同服务用户体验中所显示的“覆盖”控制元素来选择选项以覆盖对文档224的受限访问，并且随后通过经过协同服务用户体验所显示的用户体验实现例如，弹出菜单或提示来提供证据。用户220可以被通知覆盖将会被审计并且租户管理员202将能够查看所述证据。作为响应，可以去激活与文档224相关联的阻止访问标签、可以恢复先前定义的与文档224相关联的许可、并且可以撤销对文档224的受限访问。在一些示例中，为了审查和或报告的目的，可以在审查和或服务器日志内生成条目以指示何时对文档224的访问是受限制的、何时撤销对文档224的访问的限制、以及对所述内容的访问的限制的覆盖。在下一次策略评估时，策略引擎228可以感知到在文档224上存在阻止访问覆盖并且跳过额外的策略应用。然而，如果DLP策略规则204中的一个或多个DLP策略规则被改变，则覆盖和证据将被忽略或丢弃，并且对文档224的访问将再次受限。[0041]在第四示例中，用户220可以选择报告与对应于至少一个访问阻止标准的信息相关联的误报。例如，在文档224中所检测到的与访问阻止标准相对应的敏感信息可以由于号码结构而似乎是信用卡号，然而，所述号码可以仅仅是与任何个人信息无关的随机标识码。该用户可以通过经过协同服务用户体验所显示的“报告”控制元素来选择选项报告误报、并且可以去激活或移除与文档224相关联的阻止访问标签、可以恢复先前定义的与文档224相关联的许可、并且可以撤销对文档224的受限访问。用户220可以被通知所述敏感信息己经被报告为误报，并且将被追踪以用于审查和或报告的目的。在一些示例中，可以在审查和或服务器日志内生成条目以指示何时对文档224的访问是受限制的、何时撤销对文档224的访问的限制、以及与所述敏感信息相关联的误报的报告。在下一次策略评估时，策略引擎228可以感知到文档224上存在所报告的误报并且跳过额外的策略应用。但是，如果一个或多个DLP策略规则204被改变，则所报告的误报将被忽略，并且对文档224的访问将再次受限。[0042]图3示出了在协同服务环境内作为DLP的一部分来实现的示例访问阻止过程。租户可以向一个或多个用户提供在由协同服务所提供的基础结构内执行的多个应用的访问。所述应用可以包括任何应用，例如文字处理应用、电子表格应用、演示应用、通信应用、图像应用、音频视频处理应用、图形处理应用、和类似的应用。所述应用可以使得用户能够打开、创建、编辑、保存、删除、移动、上传、下载、发布、打印、和共享诸如文档302之类的内容。此夕卜，租户管理员可以被使能在协同服务中配置DLP策略以减轻他们的组织的信息公开风险，并且检测并修复敏感信息。[0043]如在图300中所示出的，文档302可以由用户保存并上传至存储304的位置。接着，文档302可以针对由租户管理员所创建的DLP策略而被评估306,其中，该DLP策略包括一个或多个DLP策略规则。例如，在该评估中，可以检测与文档302相关联的动作，并且可以确定该动作是否与由DLP策略规则308所定义的访问阻止标准相匹配。响应于确定该动作与任何访问阻止标准310不匹配，可以终止访问阻止过程。响应于确定该动作与至少一个访问阻止标准312相匹配，可以激活与文档3〇2相关联的访问阻止标签、可以忽略先前定义的与文档3〇2相关联的许可或者可以应用对所述许的额外的约束、并且对文档302的访问可以限于314多个预先定义的用户。所述预先定义的用户可以包括例如上传了文档3〇2所有者用户、对文档302的最后修改者、管理员等。所述预先定义的用户还可以包括属于用于管理受限内容而定义的角色的其他用户。在其他实施例中，对所述内容的访问可以基于由DLP策略规则所定义的匹配的访问阻止标准而限于一个或多个用户。[0044]此外，可以通过协同服务用户体验而向用户316提供通知，以指示对文档302的受限访问。该通知可以包括到包括DLP策略规则的DLP策略文档的链接、到文档302的位置的链接、以及与用户决策318的一个或多个动作相关联的各种控制元素，其可以被实现以便去激活与文档302,关联的阻止访问标签、恢复先前定义的与文档3〇2相关联的许可、和或撤销对文档3〇2的受限访问。在一些实施例中，所述许可的恢复可以基于所述许可的当前状态。例如，如果与文档302相关联的一个或多个许可在对文档302的访问受限时改变和或被更新，则在撤销该限制之后，经改变和或经更新的许可将起作用。所述动作可以包括:从文档302移除与至少一个访问阻止标准相对应的信息（例如，敏感信息320、移除能够访问文档302的违规访问用户322、以及覆盖对文档302的受限访问或者报告与对应于至少一个访问阻止标准324的信息相关联的误报。额外地或可替代的，用户可以选择对文档302什么都不做以使对文档302的受限访问持续、删除文档302、移动文档302、或者共享文档302等其他动作。[0045]在下一次评估306时，可以确定所述动作是否与由DLP策略规则308所定义的访问阻止标准相匹配。如果所述动作不与访问阻止标准310相匹配，则可以去激活阻止访问标签、恢复先前定义的与文档302相关联的许可、和或撤销对文档302的受限访问。在一些示例中，为了提示下一次评估306,用户可以在所述用户动作被执行之后立即通过协同服务用户体验来请求策略检查或重新分类。[0046]在一些示例中，可以在协同服务中启用与文档302相关联的阻止访问标签，并且可以忽略所有先前的文档许可。此外，与所述内容相关联的阻止访问标签可以被保存到该协同服务的索引中，以使得当不能够访问所述内容的外部用户在搜索该协同服务时，对所述内容的访问保持受限。用户所报告的覆盖或误报可以使得所有先前的文档许再次可应用。[0047]图4A和4B示出与访问阻止相关联的示例用户体验。如先前所讨论的，租户可以向他们的用户提供对在由协同服务所提供的基础结构内执行的多个应用的访问，其中，所述应用可以是例如电子表格应用402。此外，租户管理员可以被使能在协同服务中配置DLP策略以减轻他们的组织的信息公开风险，并且检测并修复敏感信息。[0048]如在图4A，图400A中所示，电子表格应用402可以使得用户能够通过与通过工具栏404所提供的一个或多个控制元素的交互来将数据输入到一个或多个列和行中，以使得该用户可以在电子表格文档406内以表格形式组织、分析、和存储数据。例如，用户可以将与健康保险理赔相关联的数据408输入到电子表格文档406中，其中，列分别表示日期、类型、和理赔金额，而行可以表示每个日期及其对应的类型和理赔金额。用户还可以将与理赔相关联的保险人员的个人健康信息PHI例如，成员号码、出生日期、以及社会保险号码410，输入到电子表格文档406中。[0049]响应于电子表格文档406向存储位置的隐含或显式保存，电子表格文档406可以针对由租户管理员所创建的一个或多个DLP策略规则而被评估。例如，在该评估中，可以在数据408内检测社会保险号码410的插入，并且可以对社会保险号码410的插入是否与由DLP策略规则所定义的访问阻止标准相匹配进行确定。在该场景中，社会保险号码410的插入可以被视为是敏感信息的插入，并且因此可以确定与由DLP策略规则所定义的至少一个访问阻止标准的匹配。响应于确定所述匹配，可以激活与电子表格文档406相关联的阻止访问标签、可以忽略先前定义的与电子表格文档406相关联的许可或者可以应用额外的限制、并且对电子表格文档406的访问可以限于多个预先定义的用户。[00S0]可以通过电子表格应用402的用户体验向用户提供通知412,以指示对电子表格文档406的受限访问。例如，可以向用户提供策略小提示，其指示该电子表格文档406似乎包含敏感信息。所述通知可以包括“忽略”控制元素414,如果用户希望关于对电子表格文档406的受限访问什么都不做则可以选择该控制元素。所述通知还包括链接416，用户可以选择418该链接以了解关于受限访问或者相关联的DLP策略或DLP策略规则的更多信息。[0051]响应于对链接416的用户选择418,可以通过电子表格应用402的用户体验向用户呈现包括策略小提示菜单422的另一个视图，如在图4B，图400B，配置420中所示出的。尽管未示出，但是所述视图除了策略小提示菜单422之外还可以包括与电子表格应用402的其他能力相关联的各种其他菜单。策略小提示菜单422可以包括描述相匹配的至少一个访问阻止标准例如，敏感数据）的文本424,以及电子表格文档406内与其对应的信息，例如，个人健康信息和社会保险号码。策略小提示菜单似2还可以包括“策略小提示”控制元素426,以及链接428，其中当由用户430选择时，所述链接428可以将用户重新引导至包括该DLP策略规则的DLP策略文档。[0052]用户还可以被使能将鼠标悬停在“策略小提示”控制元素426上和或选择434“策略小提示”控制元素4况，如在图4B，图400B，配置432中所示出的。在选择了“策略小提示，’控制元素426之后，呈现包括针对用户动作的一个或多个选项的下拉菜单436。例如，所述用户动作可以包括忽略通知438、报告所发现的敏感信息是误报440、以及当检测到敏感信息（例如，社会保险号码时管理针对未来的实例的通知442。[0053]图5A-C示出了与访问阻止的用户覆盖相关联的示例用户体验。租户可以向它们的用户提供对在由协同服务所提供的基础结构内执行的多个应用的访问，其中，所述应用可以是例如演示应用502。此外，租户管理员可以被使能在协同服务中配置DLP策略以减轻他们的组织的信息公开风险，并且检测并修复敏感信息。[0054]如在图5A，图5〇OA中所示出的，演示应用5〇2可以使得用户能够通过与由演示应用5〇2的用户体验上的工具栏504所提供的一个或多个控制元素的交互来创建、保存、编辑、和或与其他用户分享内容。例如，用户可以创建包括多个幻灯片507的文档506,每个幻灯片与年度财务报告中的月度旅行花费相关联。文档5〇6中的数据508可以分别包括日期、类型、和旅行花费的金额。用户还可以在文档5〇6内包括与旅行花费相关联的信用卡信息，例如信用卡号510、过期日期、和安全码。[0055]在文档5〇6的打开、保存、删除、编辑、拷贝、移动、发布、上传、下载、打印、和或共享中的一个或多个之后的预先定义时间间隔超时的情况下，文档506可以针对由租户管理员所创建的一个或多个DLP策略而被评估。例如，可以在数据508内检测社会保险号码510的插入，并且可以对社会保险号码510的插入是否与由DLP策略规则所定义的访问阻止标准相匹配进行确定。在该场景中，社会保险号码510的插入可以被视为是敏感信息的插入，并且因此可以确定与由DLP策略规则所定义的至少一个访问阻止标准的匹配。响应于确定所述匹配，可以激活与文档5〇6相关联的阻止访问标签、可以忽略先前定义的与文档5〇6相关联的许可、并且对文档5〇6的访问可以限于多个预先定义的用户。所述预先定义的用户可以包括文档506的所有者例如，该示例中的用户）、文档506的最后修改者、和或诸如租户管理员之类的管理员等。[0056]可以通过演示应用502的用户体验向用户提供通知512，以指示对文档506的受限访问。例如，可以向该用户提供指示文档506包含敏感信息的策略小提示。通知512可以包括“覆盖”控制元素514,其中如果用户希望覆盖对文档5〇6的受限访问则可以选择该控制元素。所述通知还包括链接516，其中用户可以选择518该链接以了解关于受限访问的更多信肩、。[0057]响应于对链接516的用户选择518,可以通过演示应用5〇2的用户体验向用户呈现包括策略小提示菜单522的另一个视图，如在图5B，图500B，配置520中所示出的。尽管未示出，但是所述视图除了策略小提示菜单522之外还可以包括与演示应用502的其他能力相关联的各种其他菜单。策略小提不菜单522可以包括描述相匹配的至少一个访问阻止标准例如，敏感数据）的文本524,以及与其对应的信息，例如，信用卡号码。策略小提示菜单522还可以包括“策略小提示”控制元素526，以及链接528，其中当由用户选择时，所述链接528可以将用户重新引导至包括该DLP策略规则的DLP策略文档。所述用户可以被使能悬停在“策略小提示”控制元素526上和或选择530“策略小提示”控制元素526。[0058]在选择了“策略小提示”控制元素526之后，可以呈现包括针对用户动作的一个或多个选项的下拉菜单543,如在图5B，图500B，配置532中所示出的。例如，所述用户动作可以包括覆盖536对文档506的受限访问、请求策略检查538以确认所发现的敏感信息、报告所发现的敏感信息为误报540、以及在检测到敏感信息例如，信用卡号时管理针对未来的实例的通知542。[0059]响应于用于覆盖536对文档506的受限访问的用户选择544,可以通过演示应用502的用户体验来显示对话框546,如在图5C，图500C中所示出的。如果用户已经在先前的图5A中所描述的通知512内选择了“覆盖”控制元素514,则可以向该用户呈现类似的对话框。对话框546可以包括文本548提示用户证明该用户为什么想要覆盖该限制，并且指示所述证据受到例如该租户管理员的审阅。如果用户有针对覆盖的证据，则该用户可以选择选项550、在所提供的文本框552中输入该证据、并且选择确认556。接着，用户可以被通知覆盖将会被审计并被上报。如果用户相信文档506不包括敏感信息，并且因此想要报告误报，则用户可以选择选项554并选择确定556。接着，该用户可以被通知该报告将会被审计。如果该用户不再希望覆盖文档506或者报告误报，则该用户可以选择取消508。[0060]图6A-C示出与在移除了内容之后的访问阻止的用户重新分类相关联的示例用户体验。租户可以向他们的用户提供对在由协同服务所提供的基础结构内执行的多个应用的访问，其中，所述应用可以是例如电子表格应用602。此外，租户管理员可以被使能在协同服务中配置DLP策略以减轻他们的组织的信息公开风险，并且检测并修复敏感信息。[0061]如在图6A，图600A中所不出的，电子表格应用602可以使得用户能够通过与通过工具栏604所提供的一个或多个控制元素的交互而将数据输入到一个或多个列和行中，以使得所述用户可以在电子表格文档606中以表格形式组织、分析、和存储数据。例如，用户可以将与近期员工雇佣相关联的数据608输入到电子表格文档606中，其中，列表示雇佣日期、被雇佣的员工的标识符、和被雇佣员工的社会保险号码610,而行可以表示员工的每个雇佣日期以及在该日期被雇佣的员工的对应的标识符和社会保险号码。[0062]响应于用户打开电子表格文档606以查看和或编辑文档，电子表格文档606可以针对由租户管理员所创建的一个或多个DLP策略规则而被评估。例如，可以检测在数据6〇8内的社会保险号码610的包括、并且确定社会保险号码610的包括是否与由DLP策略规则所定义的访问阻止标准相匹配。在该场景中，社会保险号码61〇的包括可以被视为是敏感信息的插入，并且因此可以确定与由DLP策略规则所定义的至少一个访问阻止标准的匹配。响应于确定所述匹配，可以激活与电子表格文档6〇6相关联的阻止访问标签、可以忽略先前定义的与电子表格文档606相关联的许可、并且对电子表格文档606的访问可以限于多个预先定义的用户。所述预先定义的用户可以包括电子表格文档606的所有者例如，该示例中的用户）、电子表格文档606的最后修改者、和或诸如租户管理员之类的管理员等。[0063]可以通过电子表格应用602的用户体验来向用户提供通知612，以指示对电子表格文档606的受限访问。例如，可以向用户提供指示电子表格文档606包含敏感信息的策略小提示。所述通知还可以包括链接614，其中用户可以选择该链接以了解关于受限访问的更多信息。在接收到通知612之后，用户可以选择从数据608中移除敏感数据，以使得可以去激活或移除与电子表格文档606相关联的阻止访问标签、可以恢复先前定义的与电子表格文档606相关联的许可、和或可以撤销对电子表格文档606的受限访问。因此，用户可以选择616社会保险号码610并且将它们从电子表格文档606中移除。[00M]在从电子表格文档606中移除了社会保险号码610之后，新的数据618可以表示每个雇佣日期以及在每个日期所雇佣的员工的对应的标识符，如在图6B，图600B中所示出的。用户现在可以等待直到对电子表格文档606执行下一次策略评估为止，以用于去激活或移除与电子表格文档606相关联的阻止访向标签、恢复先前定义的与电子表格文档606相关联的许可、和或撤销对电子表格文档606的受限访问。下一次策略评估可以是对保存电子表格文档606，共享电子表格文档606，预先定义的时间间隔超时，和或改变电子表格文档606的内容、位置、和状态的多种其他动作的响应。可替代地，用户可以选择620链接614以提示下一次策略评估。[0065]响应于对链接614的用户选择620,可以通过电子表格应用602的用户体验向用户呈现包括策略小提示菜单624的另一个视图，如在图6B，图600C，配置622中所示出的。尽管未示出，但是所述视图除了策略小提示菜单624之外还可以包括与电子表格应用602的其他能力相关联的各种其他菜单。策略小提示菜单624可以包括描述相匹配的至少一个访问阻止标准例如，敏感数据的文本424,以及与其对应的信息，例如，社会保险号码。策略小提示菜单624还可以包括“策略小提示”控制元素630，以及链接628，其中当由用户选择时，所述链接628可以将用户重新引导至包括该DLP策略规则的DLP策略文档。所述用户可以被使能悬停在“策略小提示”控制元素630上和或选择632“策略小提示”控制元素630。[0066]在选择了“策略小提示”控制元素630之后，可以呈现包括针对用户动作的一个或多个选项的下拉菜单636,如在配置634中所示出的。例如，所述用户动作可以包括重新分类638以针对敏感信息而重新检查所述文档、报告所发现的敏感信息为误报640、以及在检测到敏感信息例如，社会保险号时管理针对未来的实例的通知642。[0067]响应于对重新分类638的用户选择M4,可以执行另一个策略评估以针对DLP策略来评估电子表格文档606以确定是否存在与由DLP策略规则所定义的访问阻止标准的任何匹配。由于由用户移除了敏感信息，可以没有所确定的匹配，并且在重新分类之后，可以去激活或移除与电子表格文档606相关联的阻止访问标签、可以恢复先前定义的与电子表格文档606相关联的许可、和或可以撤销对电子表格文档606的受限访问。[0068]图7示出了与用户共享具有访问阻止的内容相关联的示例用户体验。租户可以向他们的用户提供对在由协同服务所提供的基础结构内执行的多个应用的访问，其中，所述应用可以是例如文字处理应用702。此外，租户管理员可以被使能在协同服务中配置DLP策略以减轻他们的组织的信息公开风险，并且检测并修复敏感信息。[0069]如图700所示，文字处理应用702可以使得用户能够邀请704—个或多个其他用户708基于由所述用户设置的一个或多个许可716来查看和或编辑在文字处理应用702内所创建的文档。向应用所述用户尝试与被邀请来查看和或编辑所述文档的其他用户708共享706所述文档，所述文档可以针对由租户管理员所创建的一个或多个DLP策略而被评估。例如，可以检测所述文档内的敏感信息，并且确定所述文档内的敏感信息是否与由DLP策略规则所定义的访问阻止标准相匹配。在该场景中，敏感信息的包括可以是与由DLP策略规则所定义的至少一个访问阻止标准的匹配。响应于确定所述匹配，可以激活与所述文档相关联的阻止访问标签、可以忽略先前定义的与所述文档相关联的许可，并且对所述文档的访问可以限于多个预先定义的用户。所述预先定义的用户可以包括所述文档的所有者例如，该示例中的用户）、所述文档的最后修改者、和或管理员等。[0070]可以通过文字处理应用702的用户体验向用户提供通知710,以指示对所述文档的受限访问。例如，可以向该用户提供指示所述文档包含敏感信息的策略小提示。通知710可以包括“覆盖”控制元素712,其中如果用户希望覆盖对所述文档的受限访问而不用从所述文档中移除敏感信息，则可以选择该控制元素。所述通知还包括链接714,其用于了解关于受限访问的更多信息。[0071]已经使用具体的网络环境、服务、应用、和用户体验描述了图1到7的示例以用于在协同服务环境内作为DLP的一部分来提供访问阻止。用于在协同服务环境内作为DLP的一部分来提供访问阻止的实施例不仅限于根据这些示例的具体的网络环境、服务、应用、和用户体验。[0072]DLP是使得组织能够通过深度内容分析来识别、监测、和保护敏感信息的特征集，其中，DLP可以结合协同服务而被实现。将访问阻止作为DLP的一部分来提供可以通过限制对包括敏感信息的内容的访问来提高处理安全性。访问阻止的提供还可以通过创建将内容针对由组织的租户管理员所创建的一个或多个DLP策略来评估的自动化任务来降低网络带宽。例如，响应于对所述内容的打开、保存、删除、编辑、拷贝、移动、发布、上传、下载、打印、和或共享、和或在预先定义的时间间隔超时的情况下，可以评估所述内容、可以在内容内检测敏感信息、并且对所述内容的访问可以受限。[0073]额外地，使得预先定义的用户能够与协同服务的用户体验进行交互以执行与所阻止的访问相关联的一个或多个动作可以有利地改进用户效率，并且提高用户交互性能。此夕卜，使得用户能够致动并查看利用通过协同服务的用户体验的通知所提供的链接可以关于组织而对用户进行教育，例如他们的办公地点、与该组织相关联的DLP策略、以及用户动作可以如何影响该组织。[0074]图8和相关联的讨论旨在提供对通用计算设备的简要的、一般性的描述，其可以用于在协同服务环境内作为DLP的一部分来提供访问阻止。[0075]例如，计算设备800可以用作为服务器、台式机计算机、便携式计算机、智能电话、专用计算机、或类似的设备。在示例基本配置802中，计算设备800可以包括一个或多个处理器804和系统存储器806。存储器总线808可以用于在处理器804与系统存储器806之间进行通信。在图8中由内部虚线内的那些组件示出了基本配置802。[0076]根据期望的配置，处理器804可以具有任何类型，包括但不限于:微处理器yp、微控制器UC、数字信号处理器①SP、或其任何组合。处理器804可以包括一个以上层级的高速缓存，例如层级高速缓存存储器812、一个或多个处理器核心814、和寄存器816。示例处理器核心814可以（每个包括算术逻辑单元ALU、浮点单元FPU、数字信号处理核心DSP核心）、或其任何组合。示例存储器控制器SIS还可以与处理器804—起使用，或者在一些实现中，存储器控制器818可以是处理器804的内部部件。[0077]根据期望的配置，系统存储器8〇6可以具有任何类型，包括但不限于：易失性存储器例如，RAM、非易失性存储器例如，R0M、闪速存储器等）、或其任何组合。系统存储器806可以包括操作系统820、通信应用822、和程序数据824。协同服务822可以包括DLP模块826和阻止访问模块827,其可以是协同服务822的集成模块或者是独立的应用。DLP模块826和阻止访问模块827可以执行与在本文中所描述的在协同环境中作为DLP的一部分来提供访问阻止相关联的任务。程序数据824可以包括与如在本文中所描述的受限内容相关的过程数据828等。[0078]计算设备800可以具有额外的特征或功能，以及用于促进基本配置8〇2与任何所期望设备和接口之间的通信的额外的接口。例如，总线接口控制器830可用于促进基本配置802与一个或多个数据存储设备S32之间经由存储接口总线834的通信。数据存储设备832可以是一个或多个可移动存储设备836、一个或多个不可移动存储设备838、或其组合。可移动存储设备和不可移动存储设备的示例可以包括:磁盘设备例如，软盘驱动器和硬盘驱动器HDD、光盘驱动器（例如，压缩盘（CD驱动器或数字通用盘（DVD驱动器）、固态驱动器SSD、以及磁带驱动器等。示例计算机存储介质可以包括以用于存储诸如计算机可读指令、数据结构、程序模块、或其他数据之类的信息的任何方法或技术来实现的易失性和非易失性、可移动和不可移动介质。[0079]一系统存储器8〇6、可移动存储设备83e、和不可移动存储设备838可以是计算机存储介质的示例。计算机存储介质可以包括但不限于:RAM、ROM、EEPR0M、闪速存储器或其他存储器技术、CD-R0M、数字通用盘DVD、固态驱动器、或其他光存储、盒式磁带、磁带、磁盘存储设备或其他磁存储设备、或者可用于存储期望的信息并且可以由计算设备8〇〇来访问的任何其他介质。任何这样的计算机存储介质可以是计算设备8〇〇的一部分。[0080]计算设备800还可以包括用于促进经由总线接口控制器83〇从各种接口设备（例如，一个或多个输出设备842、一个或多个外围接口S44、以及一个或多个通信设备846到基斗K直的逋彳目的接口总线84〇。示例输出设备842中的一些输出设备可以包括图形处理单元848和音频处理单元850,它们可以被配置为经由一个或多个Av端口852而与诸如显示器或扬声器之类的各种外部设备进行通信。一个或多个示例外围接口844可以包括串行接口控制器854或并行接口控制器邪6，它们可以被配置为经由一个或多个1〇端口858而与诸如输入设备例如，键盘，鼠标、笔、语音输入设备、触摸输入设备等或其他外围设备例如，打印机、扫描仪等之类的外围设备进行通信。示例通信设备846可以包括网络控制器860，其可以被设置为促进经由一个或多个通信端口864在网络通信链路上与一个或多个其他计算设备862的通信。一个或多个其他计算设备862可以包括服务器、客户端装置、和类似设备。[0081]网络通信链路可以是通信介质的一个示例。通信介质可以由计算机可读指令、数据结构、程序模块、或经调制的数据信号例如载波或其他传输机制）中的其他数据来实施，并且可以包括任何信息传递介质。“经调制的数据信号”可以是具有经调制的数据信号的特征集f中的一个或多个特征，或者以关于将信息在信号中进行编码的方式而改变的信号。作为示例而非限制，通信介质可以包括有线介质（例如，有线网络或直接有线连接和无线介质例如，声学、射频RF、微波、红外（IR和其他无线介质）。如在本文中所使用的术语计算机可读介质可以包括存储介质和通信介质两者。[0082]计算设备8〇〇可以被实现为通用或专用服务器、大型计算机、或包括任何上述功能的类似计算机的一部分。计算设备800还可以被实现为包括膝上型计算机和非膝上型计算机配置两者的个人计算机。[0083]示例实施例还可以包括用于在协同服务环境内作为DLP的一部分来提供访问阻止的方法。可以以包括在本文中所描述的结构的任何数量的方式来实现这些方法。一种这样的方式可以是通过使用在本公开中所描述的类型的设备的机器操作。另一种可选的方式可以是针对方法的独立操作中的一个或多个操作而结合执行一些操作的一个或多个人类操作者来执行，而其它操作由机器执行。这些人类操作者无需彼此处于同一位置，但每个操作者可以与执行程序的一部分的机器在一起。在其他实施例中，人类交互可以例如通过可以是机器自动化的预先选择的标准而是自动化的。[0084]图9示出根据实施例的用于在协同服务环境内作为DLP的一部分来提供访问阻止的方法的过程900的逻辑流程图。处理900可以实现在服务器或其他系统上。[0085]处理900开始于操作910,其中，检测与由协同服务所处理的内容相关联的动作。所述动作可以包括内容内的敏感信息的插入，例如信用卡号、社会保险号码、或者其他形式的敏感信息。[0086]在操作920处，确定所述动作是否与由一个或多个DLP策略规则所定义的访问阻止标准相匹配。所述检测和确定可以由与服务器侧的环境中的协同服务相关联的DLP模块中的一个模块来进行，或者由分别与客户端侧的环境中的客户端相关联的分类引擎和策略引擎来进行。[0087]在操作930处，响应于确定所述动作与由DLP策略规则所定义的至少一个访问阻止标准相匹配，可以激活与所述内容相关联的阻止访问标签、可以忽略先前定义的与所述内容相关联的许可或者对所述许可应用额外的限制，并且对所述内容的访问可以限于多个预先定义的用户。所述预先定义的用户可以包括所有者、管理员、和最后修改者，并且对所述内容的受限访问可以包括读取、编辑、和共享许可。所述预先定义的用户还可以包括属于用于管理具有受限访问的内容的角色的一个或多个用户，或者在其他实施例中，对所述内容的访问可以基于由DLP策略规则所定义的匹配的访问阻止标准而限于一个或多个用户。可以向所述预先定义的用户中的一个或多个用户提供通知以指示对所述内容的受限访问，所述通知可以包括到包括一个或多个DLP策略规则的DLP策略文档的链接、到所述内容的位置的链接、检测到的敏感内容的具体细节、以及与与预先定义的用户要实现以便从限制中释放所述内容的一个或多个动作相关联的各种控制元素。[0088]过程900中所包括的操作是出于解释说明的目的的。在协同服务环境内作为DLP的一部分来提供访问阻止可以通过具有更少或额外步骤的类似过程来实现，以及与使用在本文中所描述的原理的操作以不同顺序来实现。[0089]用于在协同服务环境内作为DLP的一部分来提供访问阻止的单元可以包括这样的单元，其用于检测与由协同服务所处理的内容相关联的动作，确定所述动作是否与由一个或多个DLP策略规则所定义的访问阻止标准相匹配，以及响应于对确定所述动作与由所述一个或多个DLP策略规则所定义的至少一个访问阻止标准相匹配而:激活与所述内容相关联的阻止访问标签、忽略先前定义的与所述内容相关联的许可、并且将对所述内容的访问限于多个个预先定义的用户。[0090]根据一些示例，描述了一种用于在协同服务环境内作为数据丢失防护DLP的一部分来提供访问阻止的计算设备。示例计算设备包括被配置为存储指令的存储器和耦合至所述存储器的处理器。所述处理器被配置为执行以下动作，包括:检测与由协同服务所处理的内容相关联的动作;确定所述动作是否与由一个或多个DLP策略规则所定义的访问阻止标准相匹配；以及响应于确定所述动作与由所述一个或多个DLP策略规则所定义的至少一个访问阻止标准相匹配，而激活与所述内容相关联的阻止访问标签、忽略先前定义的与所述内容相关联的许可、并且将对所述内容的访问限于多个预先定义的用户。[0091]在其他示例中，所述预先定义的用户包括所有者、管理员、和最后修改者。对所述内容的受限访问可以包括读取、编辑、和共享许可。检测到的动作可以包括将敏感信息插入到所述内容中。所述动作被检测为响应于以下中的一个而对所述内容的评估的一部分:所述内容的打开、所述内容的编辑、所述内容的共享、所述内容的拷贝、所述内容的移动、所述内容的发布、所述内容的保存、所述内容的打印、所述内容的上传、所述内容的下载、以及预先定义的时间间隔的超时。[0092]在其他示例中，通过所述协同服务的用户体验来向所述预先定义的用户提供通知以指示对所述内容的所述受限访问，所述通知包括到包括所述一个或多个DLP策略规则的DLP策略文件的链接、到所述内容的位置的链接、以及与由所述预先定义的用户实现的一个或多个动作相关联的各种控制元素，其中实现所述一个或多个动作是为了去激活或移除与所述内容相关联的所述阻止访问标签、恢复先前定义的与所述内容相关联的许可、以及撤销对所述内容的所述受限访问。所述计算设备与客户端相关联，并且所述处理器被配置为执行分类引擎和策略引擎中的一个或多个以执行所述一个或多个动作。[0093]根据一些实施例，描述了一种用于在协同服务环境内作为数据丢失防护DLP的一部分来提供访问阻止的系统。示例系统包括:第一计算设备，其被配置为在所述协同服务内提供对一个或多个应用的访问；以及第二计算设备，其被配置为在所述协同服务内管理所述DLP。所述第二计算设备被配置为执行访问阻止模块，所述访问阻止模块配置为:检测与由所述协同服务所处理的内容相关联的动作;确定所述动作是否与由一个或多个DLP策略规则所定义的访问阻止标准相匹配；以及响应于确定所述动作与由所述一个或多个DLP策略规则所定义的至少一个访问阻止标准相匹配，而激活与所述内容相关联的阻止访问标签、忽略先前定义的与所述内容相关联的许可、并且将对所述内容的访问限于多个预先定义的用户。[0094]在其他实施例中，所述第二计算设备还可以被配置为使得所述预先定义的用户能够:从所述内容中移除与所述至少一个访问阻止标准相对应的信息，移除能够访问所述内容的违规用户，覆盖对所述内容的受限访问并且提供针对所述覆盖的商业证据，报告与对应于来自所述内容的所述至少一个访问阻止标准的所述信息的误报关联，以及通过协同服务用户体验来请求策略检查和重新分类中的一个。所述第二计算设备还被配置为响应于以下中的一个或多个而去激活与所述内容相关联的所述阻止访问标签、恢复先前定义的与所述内容相关联的许可、和撤销对所述内容的所述受限访问：检测到从所述内容中移除了与所述至少一个访问阻止标准相对应的信息、检测到移除了能够访问所述内容的违规用户、以及检测到由所述预先定义的用户对所述内容的所述受限访问的覆盖和由所述预先定义的用户所报告的与所述敏感信息相关联的误报中的一个。[0095]根据一些示例，提供了一种用于在协同服务环境内作为数据丢失防护DLP的一部分来提供访问阻止的方法。示例方法可以包括:在由所述协同服务所处理的内容内检测敏感信息;确定所述敏感信息是否与由一个或多个DLP策略规则所定义的访问阻止标准相匹配;响应于确定所述敏感信息与由所述一个或多个DLP策略规则所定义的至少一个访问阻止标准相匹配，而激活与所述内容相关联的阻止访问标签、忽略先前定义的与所述内容相关联的许可、并且将对所述内容的访问限于多个预先定义的用户。所述方法还包括通过协同服务用户体验向所述预先定义的用户提供通知以指示对所述内容的受限访问。[0096]在其他示例中，所述预先定义的用户可以被使能通过所述协同服务用户体验来覆盖对所述内容的受限访问。所述预先定义的用户可以被使能通过所述协同服务用户体验来报告与所述敏感信息相关联的误报。所述预先定义的用户可以被使能通过所述协同服务用户体验来共享所述内容。所述方法还包括:检测所述信息的移除、检测能够访问所述内容的违规用户的移除、和或检测由所述预先定义的用户对所述内容的所述受限访问的覆盖和由所述预先定义的用户所报告的与所述敏感信息相关联的误报；以及去激活与所述内容相关联的所述阻止访问标签、恢复先前定义的与所述内容相关联的许可、和撤销对所述内容的所述受限访问。[0097]在其他示例中，可以将来自文本方案、图形方案、音频方案、动画方案、着色方案、突出显示方案、和阴影方案的集合中的至少一种方案应用在所述协同服务用户体验中以指示具有受限访问的所述内容。可以将与所述内容相关联的所述阻止访问标签保存至所述协同服务的索引。[0098]可以将匹配、对所述内容的所述受限访问、对所述内容的所述受限访问的覆盖、和所报告的与所述敏感信息相关联的误报中的一个或多个记录在与所述协同服务相关联的日志内。可以在审计日志和或服务器日志内生成条目以指示所述内容何时是受限制的、对所述内容的所述受限访问何时被撤销、和或对所述内容受限访问是否由所述预先定义的用户覆盖或者敏感信息是否由所述预先定义的用户报告为误报。_^[0099]以上的说明书、示例、和数据提供对实施例的组成的制造和使用的完整描述。尽管己经用特定于结构特性和或方法动作的语言描述了本主题，但应当理解的是，在所附权利要求中定义的主题不一定限于在上文中所描述的具体特征或动作。相反，在上文中所描述的具体特性和动作是作为实现权利要求和实施例的示例形式而公开的。

权利要求：1.一种用于在协同服务环境内作为数据丢失防护DLP的一部分来提供访问阻止的计算设备，所述计算设备包括：被配置为存储指令的存储器；耦合至所述存储器的处理器;其中，所述处理器被配置为执行以下操作，包括：检测与由协同服务所处理的内容相关联的动作；确定所述动作是否与由一个或多个DLP策略规则所定义的访问阻止标准相匹配；以及响应于确定所述动作与由所述一个或多个DLP策略规则所定义的至少一个访问阻止标准相匹配，而激活与所述内容相关联的阻止访问标签、忽略先前定义的与所述内容相关联的许可、并且将对所述内容的访问限于多个预先定义的用户。2.根据权利要求1所述的计算设备，其中，所述预先定义的用户包括所有者、管理员、和最后修改者中的一个或多个。3.根据权利要求1所述的计算设备，其中，对所述内容的受限访问包括读取、编辑、和共享许可中的一个或多个。4.根据权利要求1所述的计算设备，其中，所检测的动作包括将敏感信息插入到所述内容中。5.根据权利要求1所述的计算设备，其中，所述动作被检测为响应于以下中的一个而对所述内容的评估的一部分:所述内容的打开、所述内容的编辑、所述内容的共享、所述内容的拷贝、所述内容的移动、所述内容的发布、所述内容的保存、所述内容的打印、所述内容的上传、所述内容的下载、以及预先定义的时间间隔的超时。6.根据权利要求1所述的计算设备，其中，通过所述协同服务的用户体验来向所述预先定义的用户提供通知以指示对所述内容的所述受限访问，所述通知包括以下中的一个或多个:到包括所述一个或多个DLP策略规则的DLP策略文件的链接、到所述内容的位置的链接、以及与所述预先定义的用户实现的一个或多个动作相关联的各种控制元素，其中实现所述一个或多个动作是为了去激活或移除与所述内容相关联的所述阻止访问标签、恢复先前定义的与所述内容相关联的许可、以及撤销对所述内容的所述受限访问。7.根据权利要求1所述的计算设备，其中，所述计算设备与客户端相关联，并且所述处理器被配置为执行分类引擎和策略引擎中的一个或多个以执行所述一个或多个动作。8.—种用于在协同服务环境内作为数据丢失防护DLP的一部分来提供访问阻止的系统，所述系统包括：第一计算设备，其被配置为在所述协同服务内提供对一个或多个应用的访问；以及第二计算设备，其被配置为在所述协同服务内管理所述DLP，其中，所述第二计算设备被配置为执行访问阻止模块，所述访问阻止模块配置为：检测与由所述协同服务所处理的内容相关联的动作；确定所述动作是否与由一个或多个DLP策略规则所定义的访问阻止标准相匹配；以及响应于确定所述动作与由所述一个或多个DLP策略规则所定义的至少一个访问阻止标准相匹配，而激活与所述内容相关联的阻止访问标签、忽略先前定义的与所述内容相关联的许可、并且将对所述内容的访问限于多个预先定义的用户。9.根据权利要求8所述的系统，其中，所述第二计算设备还被配置为使得所述预先定义的用户能够进行以下操作中的一个或多个操作：从所述内容中移除与所述至少一个访问阻止标准相对应的信息，移除能够访问所述内容的违规用户，覆盖对所述内容的受限访问并且提供针对所述覆盖的商业证据，报告与对应于来自所述内容的所述至少一个访问阻止标准的所述信息相关联的误报，以及通过协同服务用户体验来请求策略检查和重新分类中的一个。10.—种用于在协同服务环境内作为数据丢失防护DLP的一部分来提供访问阻止的方法，所述方法包括：在由所述协同服务所处理的内容内检测敏感信息；确定所述敏感信息是否与由一个或多个DLP策略规则所定义的访问阻止标准相匹配；响应于确定所述敏感信息与由所述一个或多个DLP策略规则所定义的至少一个访问阻止标准相匹配，而激活与所述内容相关联的阻止访问标签、忽略先前定义的与所述内容相关联的许可、并且将对所述内容的访问限于多个预先定义的用户；以及通过协同服务用户体验向所述预先定义的用户提供通知以指示对所述内容的受限访问。11.根据权利要求10所述的方法，还包括：使得所述预先定义的用户能够通过所述协同服务用户体验来共享所述内容。12.根据权利要求10所述的方法，还包括：以下中的一个或多个:检测所述信息的移除、检测能够访问所述内容的违规用户的移除、以及检测由所述预先定义的用户对所述内容的所述受限访问的覆盖和由所述预先定义的用户所报告的与所述敏感信息相关联的误报中的一个;以及以下中的一个或多个:去激活与所述内容相关联的所述阻止访问标签、恢复先前定义的与所述内容相关联的许可、和撤销对所述内容的所述受限访问。13.根据权利要求10所述的方法，还包括：将来自文本方案、图形方案、音频方案、动画方案、着色方案、突出显示方案、和阴影方案的集合中的至少一种方案应用在所述协同服务用户体验中以指示具有受限访问的内容。14.根据权利要求10所述的方法，还包括：将与所述内容相关联的所述阻止访问标签保存至所述协同服务的索引。15.根据权利要求10所述的方法，还包括：将匹配、对所述内容的所述受限访问、对所述内容的所述受限访问的覆盖、和所报告的与所述敏感信息相关联的误报中的一个或多个记录在与所述协同服务相关联的日志内。

百度查询： 微软技术许可有限责任公司 协同环境中针对数据丢失防护的访问阻止

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD