Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält Anleitungen für australische Regierungsorganisationen zu den Diensten und Komponenten, die in einem organization bereitgestellt werden sollten, um die Vertraulichkeitsbezeichnungen und andere Microsoft Purview-Funktionen optimal zu nutzen. Ihr Zweck ist es, Organisationen zu helfen, die Voraussetzungen für die Bereitstellung von Microsoft Purview Information Protection zu verstehen, um die Anforderungen zu erfüllen, die im Schutzsicherheitsrichtlinien-Framework (PSPF) und im Handbuch zur Informationssicherheit (IsM) beschrieben sind.
Um die in diesem Leitfaden beschriebenen Konfigurationen optimal nutzen zu können, sollten Organisationen den folgenden Kernsatz von Microsoft 365-Diensten implementieren:
- Exchange Online:
- Microsoft Office Online- oder Microsoft 365 Apps Office-Clients
- SharePoint
- Microsoft Teams
Die in diesem Leitfaden erläuterten Konfigurationen beziehen sich auf Kennzeichnungen und Klassifizierungen bis einschließlich PROTECTED. Organisationen sollten auch PROTECTED-Umgebungsanforderungen verwenden, die über den Rahmen dieses Leitfadens hinausgehen.
Hinweis
Die Implementierung einer PROTECTED-Bezeichnung bedeutet nicht automatisch, dass die Umgebung für protected-Daten geeignet ist. Regierungsorganisationen müssen über zugrunde liegende Kontrollen gemäß dem IsM-Handbuch (Information Security Manual) und der Blueprint for Secure Cloud des ASD verfügen.
Microsoft Office-Clientsupport
Clientunterstützung ist der Schlüssel zur erfolgreichen Implementierung von Microsoft Purview Information Protection Funktionen. Die Clients, die von Benutzern für die Interaktion mit Office-Dateien, E-Mails und anderen Diensten verwendet werden, müssen bezeichnungsfähig sein, um die Anwendung von Bezeichnungen zu erleichtern. In diesem Abschnitt werden Microsoft Office-Clientversionen erläutert, die für diese Integration geeignet sind, und es wird versucht, alle erforderlichen Aufgaben zu identifizieren, die vor der Purview-Bereitstellung erforderlich sind.
Microsoft 365 Apps for Enterprise
Microsoft 365 Apps für Unternehmen ist eine Version von Microsoft Office, die die Integration in die Microsoft 365-Dienstsuite ermöglicht. Da Microsoft 365 ein cloudbasierter Dienst ist, der sich ständig weiterentwickelt, erhält die Microsoft 365 Apps Version des Office-Clients eine hohe Anzahl von Updates, um mit der Cloudplattform Schritt zu halten. Diese Integration zwischen dem Office-Client und Microsoft 365-Clouddiensten ermöglicht es, benutzern einen breiteren Funktionsumfang zur Verfügung zu stellen, als dies über eigenständige Office-Clients möglich ist. Herkömmliche Clients bieten einen statischen Featuresatz und erhalten Sicherheitsupdates, erhalten jedoch in der Regel keine neu veröffentlichten Funktionen oder keinen Zugriff auf cloudorientierte Funktionen.
Weitere Informationen zu Updatekanälen, die für Microsoft 365-Apps verfügbar sind, finden Sie unter Übersicht über Updatekanäle für Microsoft 365 Apps.
Mac-, iOS- und Android-Clientunterstützung
Neue Purview-Features werden in der Regel zuerst für die Windows-basierte Microsoft 365 Apps Version von Office und dann für andere Office-Versionen verfügbar gemacht. Informationen zum status von Clientversionen finden Sie unter Mindestversionen für Vertraulichkeitsbezeichnungen in verschiedenen Clients. Organisationen, die Microsoft 365 bereitstellen, sollten diese Informationen bewerten, um sicherzustellen, dass alle gewünschten Funktionen für die versionen verfügbar sind, die vom organization verwendet werden.
Microsoft 365-Webclients
Mindestversionen für Vertraulichkeitsbezeichnungen in Microsoft 365 Apps enthalten auch Informationen zu Features, die von Microsoft 365-Webclients unterstützt werden. Diese Informationen sollten bewertet werden, um sicherzustellen, dass alle für Ihre organization erforderlichen Vertraulichkeitsbezeichnungsfunktionen für Webclients verfügbar sind.
Es ist auch erwähnenswert, dass Microsoft Edge Chromium Funktionen zur Verhinderung von Datenverlust enthält. Solche Funktionen können über Erweiterungen zu anderen Browsern wie Chrome und Firefox hinzugefügt werden. Beispiel: Microsoft Purview-Erweiterung für Chrome und Microsoft Purview-Erweiterung für Firefox. Diese DLP-Funktionen können dazu beitragen, die Exfiltration von sicherheitsrelevanten oder anderweitig vertraulichen Elementen zu verhindern. Daher sollten sie bei der Bereitstellung in Betracht gezogen werden.
Anforderungen für das Mandatieren von Clients
Clientanwendungen, die die Anforderung eines Benutzers zum Anwenden von Markierungen auf Elemente verstehen, können uns helfen, Anforderungen zu erfüllen, indem sie Benutzer zwingen, markierungen zum Zeitpunkt der Elementerstellung anzuwenden. Nach dem Markieren können operative Steuerungen zum Schutz der eingeschlossenen Inhalte eines Elements erzwungen werden. Eine solche Konfiguration wird häufig als "Obligatorische Bezeichnung" bezeichnet. In Microsoft 365 wird dies in erster Linie über eine Bezeichnungsrichtlinienoption erreicht, die in der obligatorischen Bezeichnung erläutert wird. Die obligatorische Bezeichnung ermöglicht es uns, release 2024 Anforderung 59 zu erfüllen:
| Anforderung | Detail |
|---|---|
| PSPF Release 2024– Anforderung 59 | Der Wert, die Wichtigkeit oder die Vertraulichkeit von amtlichen Informationen (die für die Verwendung als amtliches Protokoll bestimmt sind) wird vom Urheber bewertet, indem der potenzielle Schaden für die Regierung, die nationalen Interessen, Organisationen oder Einzelpersonen berücksichtigt wird, die entstehen würden, wenn die Vertraulichkeit der Informationen kompromittiert würde. |
Um die Bedeutung der obligatorischen Bezeichnung zu demonstrieren, sollten Sie eine E-Mail in Betracht ziehen, die gesendet wurde, ohne dass zuerst eine Schutzmarkierung angewendet wurde. Dies kann aufgrund fehlender Clientunterstützung auftreten. In solchen Situationen müssen wir davon ausgehen, dass der Benutzer keine Möglichkeit hatte, die Vertraulichkeit der eingeschlossenen Informationen zu bewerten. Wir müssen daher davon ausgehen, dass die Verteilung des Artikels ein hohes Risiko darstellt. Optionen zum Erzwingen obligatorischer Bezeichnungen können nur von Clients angewendet werden, die die Microsoft Purview-Konfiguration eines organization kennen. Daher sollten Organisationen sicherstellen, dass Benutzer nur über Clients auf Microsoft 365-Dienste zugreifen können, die eine solche Microsoft Purview-Integration unterstützen, was über Richtlinien für bedingten Zugriff erreicht werden kann.
Informationen zum Anwenden des bedingten Zugriffs unter Essential 8 finden Sie unter Anwendungssteuerung und bedingter Zugriff.
PDF-Integration
Windows-basierte Microsoft 365 Apps-Clients bieten die Möglichkeit, Bezeichnungen zu verwalten, die auf Office-Dokumente angewendet werden, wenn diese exportiert oder als PDF-Dateien gespeichert werden. Diese PDFs verwalten Schutzeinstellungen für ihre Office-Quelldateien, einschließlich Verschlüsselung.
Geschützte PDF-Dokumente können in beschriftungsfähigen PDF-Readern gelesen werden, einschließlich Microsoft Edge, Chrome, Foxit Reader und Adobe Reader (mit installiertem Information Protection-Plug-In für Acrobat und Acrobat Reader).
Behördenorganisationen sollten bezeichnungsfähige PDF-Clients oder Client-Plug-Ins bereitstellen und verwenden. Solche Clients tragen dazu bei, die eindeutige Identifizierung vertraulicher Informationen und die Anwendung von Steuerelementen zu gewährleisten, wenn Elemente in PDF-Dateien exportiert werden.
Weitere Informationen zu diesen Funktionen finden Sie unter den folgenden Links:
- Anwenden von Vertraulichkeitsbezeichnungen auf PDFs, die mit Office-Apps erstellt wurden
- Allgemeine Verfügbarkeit der Integration von Adobe Acrobat Reader mit Microsoft Purview Information Protection
Hinweis
Die optische Zeichenerkennung (Optical Character Recognition, OCR) kann verwendet werden, um den Inhalt von Bildern und bildbasierten PDF-Dateien zu scannen. Nach der Überprüfung können Microsoft Purview-Funktionen wie Data Loss Prevention (DLP) auf sie angewendet werden. Australische Regierungsbehörden könnten die Aktivierung von OCR in Betracht ziehen, um ihre Datensicherheitsanforderungen besser zu unterstützen. Weitere Informationen finden Sie unter Informationen zur optischen Zeichenerkennung in Microsoft Purview.
Erforderliche Lizenzierung
Die Verwendung von Purview Information Protection Funktionen auf Einstiegsebene erfordert eine E3-Lizenz. Die meisten Behörden sollten jedoch die Verwendung Microsoft 365 E5 (oder gleichwertiger E5-Compliance-Add-Ons) in Betracht ziehen, um ihre Datensicherheitsanforderungen besser zu erfüllen.
Die folgende Tabelle enthält eine Teilmenge der allgemeinen Anwendungsfälle für Behörden und deren erforderliche Mindestlizenz für die Durchführung dieses Anwendungsfalls.
| Anwendungsfall | Lizenz |
|---|---|
| Manuelles Anwenden einer Vertraulichkeitsbezeichnung auf Elemente. | E3 |
| Verhindern Sie die Verteilung von bezeichneten Elementen an nicht autorisierte Benutzer. | E3 |
| Wenden Sie Betreffmarkierungen auf beschriftete Elemente an, um die Vertraulichkeit von Elementen anzugeben. | E3 |
| Automatisches Anwenden von Vertraulichkeitsbezeichnungen basierend auf Markierungen, die von anderen Organisationen angewendet wurden. | E5 |
| Überwachen und Erstellen von Berichten zur Verwendung von Bezeichnungen in der gesamten Umgebung. | E5 |
| Wenden Sie Bezeichnungen auf Besprechungen und Kalenderelemente an. | E5 |
| Empfehlen Sie die Anwendung einer Vertraulichkeitsbezeichnung basierend auf der Erkennung vertraulicher Inhalte. | E5 |
| Überwachen und Steuern der Verwendung von bezeichneten Elementen auf Geräten. | E5 |
| Identifizieren Sie böswillige Benutzer basierend auf Aktivitäten mit bezeichneten oder anderweitig vertraulichen Elementen. | E5 |
| Erkennen sie vertrauliche Inhalte und steuert deren Verteilung über den Teams-Chat. | E5 |
| Suchen Sie dort, wo sich beschriftete und sonst vertrauliche Inhalte in einer Umgebung befinden. | E5 |
Regierungsorganisationen mit E3-Lizenzierung können Purview auf einer grundlegenden Ebene implementieren und Ad-hoc- oder Entwicklungsstufen des PSPF-Reifemodells erreichen (enthalten im PsPF-Bewertungsbericht (Protective Security Policy Framework). Um jedoch sicherzustellen, dass Elemente über Steuerelemente geschützt werden, die für ihre Vertraulichkeit relevant sind, sind funktionen erforderlich, die in E5 oder einer gleichwertigen Lizenzierung enthalten sind. Mit der verfügbaren E5-Lizenzierung können Organisationen die Stufe "Verwalten" oder " Eingebettet" der PSPF-Reife erreichen.
Ein wichtiger Faktor, um einen höheren Grad an Compliancereife zu erreichen, ist die Verwendung der automatischen Vertraulichkeitsbezeichnung. Die automatische Bezeichnung ermöglicht es Behördenorganisationen, Klassifizierungen zu berücksichtigen, die extern angewendet wurden. Wenn eine E-Mail von einer Entität klassifiziert und markiert wird, wird das Element beim Senden an eine zweite Entität weiterhin markiert, aber standardmäßig nicht bezeichnet. Da keine Bezeichnung vorhanden ist, liegt sie außerhalb des Bereichs einer Reihe von bezeichnungsbasierten Datensicherheitskontrollen, z. B. DLP-Richtlinien. Durch die automatische Kennzeichnung können Schutzkennzeichnungen (wie in der australischen Regierung Email Schutzkennzeichnung Standard definiert) beim Empfang per E-Mail interpretiert werden. Nach der Interpretation wird während der Übertragung eine übereinstimmende Bezeichnung angewendet, um sicherzustellen, dass alle relevanten Steuerelemente auf die eingeschlossenen Informationen angewendet werden, wenn sie vom Benutzer empfangen werden.