微软今日正式停用 Defender 端点敏感数据告警：全面迁移至 Microsoft Purview DLP

2026 年 3 月 23 日，微软正式执行了一项关键的安全策略变更：在 Microsoft Defender 门户中彻底停用“端点敏感数据活动”的告警功能。

从今日起，所有组织若需继续监控端点上的敏感数据泄露风险、接收相关告警并进行调查，必须切换至 Microsoft Purview 数据丢失防护 (DLP) 解决方案。原有的 Defender 告警策略将不再生成任何告警，安全团队若未及时迁移，将面临监控盲区。（PS：普通用户无需担心）

变更核心内容

• 功能停用：Microsoft Defender XDR 门户中，针对端点敏感数据活动（如复制敏感文件、上传至未授权云存储等）的告警策略创建功能已被移除，现有策略今日起停止运行。
• 统一平台：微软将端点 DLP 的检测、告警和执行能力完全统一到 Microsoft Purview 平台下，以提供跨 Microsoft 365、Azure 和本地环境的一致体验。
• 高级能力解锁：迁移至 Purview 后，组织可在 Defender XDR 中利用更高级的自动化调查与响应 (AIR) 功能，实现更深层的威胁猎捕。

时间线回顾

• 2026 年 2 月 16 日：微软已在 Defender 门户中移除了创建新敏感数据活动策略的选项（“软停用”）。
• 2026 年 3 月 23 日（今日）：**“硬停用”**生效。所有现有的基于 Defender 的敏感数据告警策略彻底失效，不再产生任何警报。

受影响范围

以下组织将直接受到此次变更的影响：

• 正在使用 Microsoft Defender XDR 告警策略来监控端点敏感数据活动的企业。
• 在 Microsoft Defender 门户 中创建或管理 DLP 告警策略的安全管理员。
• 依赖这些告警进行日常安全运营 (SOC) 和事件响应的团队。

注意：此变更不影响 Microsoft Purview DLP 策略本身的功能。如果你已经在使用 Purview 配置 DLP 策略，则无需额外操作。受影响的主要是那些仅依赖旧版 Defender 告警策略的用户。

紧急行动指南

为避免安全监控中断，管理员需立即执行以下步骤：

1. 审计现有策略：
   • 登录 Microsoft Defender 门户。
   • 检查所有现有的告警策略，识别出哪些策略使用了“敏感数据活动”作为触发条件。
2. 迁移至 Purview：
   • 登录 Microsoft Purview 合规门户。
   • 使用 DLP 策略 重新创建所需的监控规则。Purview 提供了更细粒度的控制（如按用户、组、设备、位置定义策略）。
3. 验证与测试：
   • 在新建的 Purview 策略中模拟敏感数据操作，确认告警能正常生成并推送到 Defender XDR 队列。
4. 内部沟通与文档更新：
   • 通知 SOC 团队 和 帮助台 关于告警源的变化，更新事件响应流程 (Playbook)。
   • 更新内部安全文档，将引用旧 Defender 策略的部分替换为 Purview DLP 策略指引。

官方说明

微软在公告 (消息 ID: MC1217649) 中强调：

“此变更将端点数据丢失防护检测和告警统一到 Microsoft Purview DLP 下，为组织提供更一致的体验，并允许在 Microsoft Defender XDR 中访问高级执行和调查功能。”

对于安全团队而言，这不仅是平台的切换，更是提升数据防护能力的契机。Purview DLP 提供了更强大的策略引擎和跨云协作能力。然而，今日的截止日期不容拖延，请务必立即检查您的环境，确保敏感数据监控无缝衔接，不留安全真空期！