Auf Englisch lesen

Freigeben über


Technische Voraussetzungen für die Verwendung von Microsoft Purview Information Protection für die Einhaltung von PSPF durch die australische Regierung

Dieser Artikel enthält Anleitungen für australische Regierungsorganisationen zu den Diensten und Komponenten, die in einem organization bereitgestellt werden sollten, um die Vertraulichkeitsbezeichnungen und andere Microsoft Purview-Funktionen optimal zu nutzen. Ihr Zweck ist es, Organisationen zu helfen, die Voraussetzungen für die Bereitstellung von Microsoft Purview Information Protection zu verstehen, um die Anforderungen zu erfüllen, die im Schutzsicherheitsrichtlinien-Framework (PSPF) und im Handbuch zur Informationssicherheit (IsM) beschrieben sind.

Um die in diesem Leitfaden beschriebenen Konfigurationen optimal nutzen zu können, sollten Organisationen den folgenden Kernsatz von Microsoft 365-Diensten implementieren:

  • Exchange Online:
  • Microsoft Office Online- oder Microsoft 365 Apps Office-Clients
  • SharePoint Online
  • Microsoft Teams

Die in diesem Leitfaden erläuterten Konfigurationen beziehen sich auf Kennzeichnungen und Klassifizierungen bis einschließlich PROTECTED. Organisationen sollten auch PROTECTED-Umgebungsanforderungen verwenden, die über den Rahmen dieses Leitfadens hinausgehen.

Hinweis

Die Implementierung einer PROTECTED-Bezeichnung bedeutet nicht automatisch, dass die Umgebung für protected-Daten geeignet ist. Regierungsorganisationen müssen über zugrunde liegende Kontrollen gemäß dem Informations Security Manual (ISM) und der Blueprint for Secure Cloud des ASD verfügen.

Microsoft Office-Clientsupport

Clientunterstützung ist der Schlüssel zur erfolgreichen Implementierung von Microsoft Purview Information Protection Funktionen. Die Clients, die von Benutzern für die Interaktion mit Office-Dateien, E-Mails und anderen Diensten verwendet werden, müssen bezeichnungsfähig sein, um die Anwendung von Bezeichnungen zu erleichtern. In diesem Abschnitt werden Microsoft Office-Clientversionen erläutert, die für diese Integration geeignet sind, und es wird versucht, alle erforderlichen Aufgaben zu identifizieren, die vor der Purview-Bereitstellung erforderlich sind.

Microsoft 365 Apps for Enterprise

Microsoft 365 Apps für Unternehmen ist eine Version von Microsoft Office, die die Integration in die Microsoft 365-Dienstsuite ermöglicht. Da Microsoft 365 ein cloudbasierter Dienst ist, der sich ständig weiterentwickelt, erhält die Microsoft 365 Apps Version des Office-Clients eine hohe Anzahl von Updates, um mit der Cloudplattform Schritt zu halten. Diese Integration zwischen dem Office-Client und Microsoft 365-Clouddiensten ermöglicht es, benutzern einen breiteren Funktionsumfang zur Verfügung zu stellen, als dies über eigenständige Office-Clients möglich ist. Herkömmliche Clients bieten einen statischen Featuresatz und erhalten Sicherheitsupdates, erhalten aber in der Regel keinen Zugriff auf neu veröffentlichte Funktionen oder cloudorientierte Funktionen.

Weitere Informationen zu Updatekanälen, die für Microsoft 365-Apps verfügbar sind, finden Sie unter Übersicht über Updatekanäle für Microsoft 365 Apps.

Microsoft Purview Information Protection Client

Zuvor haben Organisationen, die herkömmliche Office-Clients ausführen, azure Information Protection (AIP) Unified Labeling Client verwendet, um die Bezeichnungsauswahl auf Nicht-Microsoft 365 Apps-Clients zu aktivieren. AIP wurde durch die In-Build-Microsoft 365 Apps Clientfunktionen ersetzt.

Microsoft Purview Information Protection Clientfeatures, die von AIP weiterhin relevant sind, werden weiterhin unterstützt. Dazu gehören Windows-Shellerweiterungen, Information Protection-Überprüfung und Information Protection-Dateibeschriftung und Information Protection-Viewer. Weitere Informationen zu diesen Funktionen finden Sie unter Erweitern der Vertraulichkeitsbezeichnung unter Windows.

Mac-, iOS- und Android-Clientunterstützung

Neue Purview-Features werden in der Regel zuerst für die Windows-basierte Microsoft 365 Apps Version von Office und dann für andere Office-Versionen verfügbar gemacht. Informationen zum status von Clientversionen finden Sie unter Mindestversionen für Vertraulichkeitsbezeichnungen in verschiedenen Clients. Organisationen, die Microsoft 365 bereitstellen, sollten diese Informationen bewerten, um sicherzustellen, dass alle gewünschten Funktionen für die versionen verfügbar sind, die vom organization verwendet werden.

Microsoft 365-Webclients

In den Mindestversionen für Vertraulichkeitsbezeichnungen in Microsoft 365 Apps Tabellen sind viele Purview-Features für die Webversion von Office-Clients als "Ja – anmelden" aufgeführt. Dieser Wortlaut soll formulieren, dass die Features verfügbar sind, aber für bestimmte Szenarien aktiviert werden müssen. Beispielsweise ist die Möglichkeit, eine Bezeichnung auf eine Datei oder E-Mail anzuwenden, standardmäßig für webbasierte Office- und Outlook-Clients aktiviert, muss jedoch aktiviert werden, bevor Bezeichnungen auf SharePoint-Websites angewendet werden können. Daher wird Web als "opt-in" für dieses Feature aufgeführt. Features, die als "überprüft" aufgeführt sind, sind in der Regel neu und befinden sich noch in der Entwicklung für die webbasierte Plattform.

Es ist auch erwähnenswert, dass einige Webbrowser wie Microsoft Edge Chromium, Chrome und Firefox über Microsoft Purview Data Loss Prevention Funktionen verfügen, die in das Produkt integriert oder per Add-In verfügbar sind. Diese DLP-Funktionen verhindern den Verlust von sicherheitsklassifizieren oder anderweitig vertraulichen Elementen. Daher sollten sie bei der Bereitstellung in Betracht gezogen werden.

Tipp

Im Rahmen der DLP-Einrichtung sollten Organisationen einen DLP-fähigen Client verwenden. Informationen zum Implementieren dieser Inline mit Essential 8 finden Sie unter Bedingter Zugriff .

Anforderungen für das Mandatieren von Clients

Der Großteil der PsPF-Richtlinienanforderungen (Protection Security Policy Framework, PSPF), einschließlich der drei Kernanforderungen, betrifft entweder die Identifizierung vertraulicher Informationen oder Kontrollen, die davon abhängen, dass zuerst vertrauliche Informationen identifiziert werden. Clientanwendungen, die die Anforderung eines Benutzers zum Anwenden von Markierungen auf Elemente verstehen, können uns helfen, Anforderungen zu erfüllen, indem sie Benutzer zwingen, markierungen zum Zeitpunkt der Elementerstellung anzuwenden. Nach dem Markieren können operative Steuerungen zum Schutz der eingeschlossenen Inhalte eines Elements erzwungen werden. In diesem Artikel wird eine solche Konfiguration als "Obligatorische Bezeichnung" bezeichnet. In Microsoft 365 wird dies in erster Linie über eine Bezeichnungsrichtlinienoption erreicht, die in der obligatorischen Bezeichnung erläutert wird.

Als Beispiel für die Bedeutung der obligatorischen Kennzeichnung betrachten Sie eine E-Mail, die gesendet wurde, aber ohne dass zuerst eine Schutzkennzeichnung angewendet wird. Dies kann aufgrund fehlender Clientunterstützung auftreten. In solchen Situationen müssen wir davon ausgehen, dass der Benutzer keine Möglichkeit hatte, die Vertraulichkeit der eingeschlossenen Informationen (gemäß PSPF-Richtlinie 8 Core Anforderung 2) zu bewerten. Da das Element ein hohes Risiko in Bezug auf Datenschutzverletzungen darstellt, sollten ISM-Kontrollen wie ISM-0565 gelten:

Anforderung Detail
ISM-0565 (Juni 2024) Email Server sind so konfiguriert, dass E-Mails mit unangemessenen Schutzmarkierungen blockiert, protokolliert und gemeldet werden.

Die Anwendung einer Schutzkennzeichnung oder Vertraulichkeitsbezeichnung bietet die Sicherheit, dass die Vertraulichkeit des Elements vom Besitzer oder Ersteller des Inhalts bewertet wurde, und ermöglicht geeignete Kontrollen für die enthaltenen Informationen.

Optionen zum Erzwingen obligatorischer Bezeichnungen können nur von Clients angewendet werden, die die Microsoft Purview-Bezeichnungsrichtlinien eines organization kennen. Daher sollten wir sicherstellen, dass Benutzer nur über Zugriffsdienste über Clients verfügen, die Microsoft Purview-Bezeichnungsrichtlinien unterstützen. Um dies zu erreichen, sollte eine Richtlinie für bedingten Zugriff implementiert werden.

Informationen zum Anwenden des bedingten Zugriffs unter Essential 8 finden Sie unter Anwendungssteuerung und bedingter Zugriff.

Die obligatorische Bezeichnung stellt sicher, dass ein Benutzer keine E-Mails ohne Bezeichnung senden kann. Es gibt jedoch weiterhin Szenarien, in denen nicht bezeichnete E-Mails von einem organization generiert werden, einschließlich der von Anwendungen oder Multifunktionsgeräten und Scannern generierten. Um eine Konfiguration zu erzwingen, bei der alle E-Mails beschriftet werden müssen, können Organisationen Steuerelemente implementieren, die die Übertragung von vom Benutzer generierten E-Mails blockieren, die nicht über eine entsprechende Kennzeichnung verfügen. Informationen zum Implementieren dieser Steuerelemente finden Sie unter Blockieren der Übertragung von nicht bezeichneten E-Mails.

PDF-Integration

Windows-basierte Microsoft 365 Apps-Clients bieten die Möglichkeit, Bezeichnungen zu verwalten, die auf Office-Dokumente angewendet werden, wenn diese exportiert oder als PDF-Dateien gespeichert werden. Diese PDFs verwalten Schutzeinstellungen für ihre Office-Quelldateien, einschließlich Verschlüsselung.

Geschützte PDF-Dokumente können in beschriftungsfähigen PDF-Readern gelesen werden, einschließlich Microsoft Edge, Chrome, Foxit Reader und Adobe Reader (mit installiertem Information Protection-Plug-In für Acrobat und Acrobat Reader).

Behördenorganisationen sollten bezeichnungsfähige PDF-Clients oder Client-Plug-Ins bereitstellen und verwenden. Solche Clients tragen dazu bei, die eindeutige Identifizierung vertraulicher Informationen und die Anwendung von Steuerelementen zu gewährleisten, wenn Elemente in PDF-Dateien exportiert werden.

Weitere Informationen zu diesen Funktionen finden Sie unter den folgenden Links:

Erforderliche Lizenzierung

Die grundlegende Verwendung von Purview Information Protection-Funktionen erfordert mindestens eine E3-Lizenz. Die meisten Behörden müssen jedoch Microsoft 365 E5 (oder gleichwertige E5-Compliance-Add-Ons) verwenden, um die Purview-Funktionen ausgereift zu nutzen.

Die folgende Tabelle enthält eine Teilmenge der allgemeinen Anwendungsfälle für Behörden und deren erforderliche Mindestlizenz für die Durchführung dieses Anwendungsfalls.

Anwendungsfall Lizenz
Manuelles Anwenden einer Vertraulichkeitsbezeichnung auf Elemente. E3
Verhindern Sie die Verteilung von bezeichneten Elementen an nicht autorisierte Benutzer. E3
Wenden Sie Betreffmarkierungen auf beschriftete Elemente an, um die Vertraulichkeit von Elementen anzugeben. E3
Automatisches Anwenden von Vertraulichkeitsbezeichnungen basierend auf Markierungen, die von anderen Organisationen angewendet wurden. E5
Überwachen und Erstellen von Berichten zur Verwendung von Bezeichnungen in der gesamten Umgebung. E5
Wenden Sie Bezeichnungen auf Besprechungen und Kalenderelemente an. E5
Empfehlen Sie die Anwendung einer Vertraulichkeitsbezeichnung basierend auf der Erkennung vertraulicher Inhalte. E5
Überwachen und Steuern der Verwendung von bezeichneten Elementen auf Geräten. E5
Identifizieren Sie böswillige Benutzer basierend auf Aktivitäten mit bezeichneten oder anderweitig vertraulichen Elementen. E5
Erkennen sie vertrauliche Inhalte und steuert deren Verteilung über den Teams-Chat. E5
Suchen Sie dort, wo sich beschriftete und sonst vertrauliche Inhalte in einer Umgebung befinden. E5

Wie aus der obigen Tabelle hervorgehen sollte, können Regierungsorganisationen mit E3-Lizenzierung Purview auf einer grundlegenden Ebene implementieren und Ad-hoc- oder Entwicklungsstufen des PSPF-Reifemodells erreichen. Um jedoch sicherzustellen, dass Elemente über Steuerelemente geschützt werden, die für ihre Vertraulichkeit relevant sind, sind funktionen erforderlich, die in E5 oder einer gleichwertigen Lizenzierung enthalten sind. Organisationen können mithilfe von E5 die Stufe "Verwalten " oder " Eingebettet " der PSPF-Reife erreichen.

Ein wichtiger Faktor, um einen höheren Grad an Compliancereife zu erreichen, ist die Verwendung der automatischen Vertraulichkeitsbezeichnung. Die automatische Bezeichnung ermöglicht es Behördenorganisationen, Klassifizierungen zu berücksichtigen, die extern angewendet wurden. Wenn eine E-Mail von einer Entität klassifiziert und markiert wird, wird das Element beim Senden an eine zweite Entität weiterhin markiert, aber standardmäßig nicht bezeichnet. Da keine Bezeichnung vorhanden ist, liegt sie außerhalb des Bereichs einer Reihe von bezeichnungsbasierten Datensicherheitskontrollen, z. B. Dlp-Richtlinien (Data Loss Prevention). Die automatische Kennzeichnung ermöglicht die Auslegung von Schutzkennzeichnungen (wie in PSPF-Richtlinie 8 Anhang F: Australian Government Email Protective Marking Standard definiert) während des Erhalts per E-Mail. Nach der Interpretation wird während der Übertragung eine übereinstimmende Bezeichnung angewendet, um sicherzustellen, dass alle relevanten Steuerelemente auf die eingeschlossenen Informationen angewendet werden, wenn sie vom Benutzer empfangen werden.