Управление внешним доступом к ресурсам в идентификаторе Microsoft Entra с помощью меток конфиденциальности

Используйте метки конфиденциальности для управления доступом к содержимому в приложениях Office 365, а также в контейнерах, таких как Microsoft Teams, Группы Microsoft 365 и сайты SharePoint. Они защищают содержимое, не препятствуя совместной работе пользователей. Используйте метки конфиденциальности для отправки содержимого на уровне организации на устройствах, приложениях и службах, а также для защиты данных. Метки конфиденциальности помогают организациям соответствовать политикам соответствия требованиям и безопасности.

См. сведения о метках конфиденциальности

Подготовка к работе

Эта статья является номером 8 в серии из 10 статей. Мы рекомендуем ознакомиться с статьями по порядку. Перейдите к разделу "Дальнейшие действия ", чтобы просмотреть всю серию.

Назначение классификации и применение параметров защиты

Вы можете классифицировать содержимое без добавления параметров защиты. Назначение классификации содержимого остается в содержимом во время его использования и общего доступа. Классификация создает отчеты об использовании с данными о действиях конфиденциального содержимого.

Применять параметры защиты, такие как шифрование, водяные знаки и ограничения доступа. Например, пользователи применяют конфиденциальную метку к документу или электронной почте. Метка может зашифровать содержимое и добавить конфиденциальный водяной знак. Кроме того, можно применить метку конфиденциальности к контейнеру, например сайту SharePoint, и помочь управлять доступом внешних пользователей.

Подробнее:

• Ограничение доступа к содержимому с помощью меток конфиденциальности для применения шифрования
• Использование меток конфиденциальности для защиты содержимого в Microsoft Teams, Группы Microsoft 365 и сайтах SharePoint

Метки конфиденциальности в контейнерах могут ограничивать доступ к контейнеру, но содержимое в контейнере не наследует метку. Например, пользователь принимает содержимое из защищенного сайта, загружает его, а затем предоставляет общий доступ без ограничений, если содержимое не имеет метки конфиденциальности.

Примечание.

Чтобы применить метки конфиденциальности, пользователи войдите в рабочую или учебную учетную запись Майкрософт.

Разрешения для создания уровней конфиденциальности и управления ими

Участникам группы, которым необходимо создать метки конфиденциальности, требуются разрешения:

• Портал Microsoft 365 Defender,
• Портал соответствия требованиям Microsoft Purview или
• Портал соответствия требованиям Microsoft Purview

По умолчанию глобальные Администратор istrator имеют доступ к центрам администрирования и могут предоставлять доступ без предоставления Администратор разрешений клиента. Для этого делегированного ограниченного доступа администратора добавьте пользователей в следующие группы ролей:

• Данные соответствия требованиям Администратор istrator,
• Соответствие требованиям Администратор istrator или
• Администратор безопасности

Стратегия меток конфиденциальности

При планировании управления внешним доступом к содержимому рассмотрите содержимое, контейнеры, электронную почту и многое другое.

Высокий, средний или низкий уровень влияния на бизнес

Чтобы определить высокий бизнес-эффект (HBI), влияние среднего бизнеса (МБ I) или низкое влияние на бизнес (LBI) для данных, сайтов и групп, рассмотрите влияние на вашу организацию, если неправильные типы контента являются общими.

• Кредитные карта, паспорт, номера национальных и региональных идентификаторов
  • Автоматическое применение метки конфиденциальности к содержимому
• Содержимое, созданное корпоративными сотрудниками: соответствие, финансы, исполнительный и т. д.
• Стратегические или финансовые данные в библиотеках или сайтах.

Рассмотрим категории контента, к которым внешние пользователи не могут получить доступ, например контейнеры и зашифрованное содержимое. Вы можете использовать метки конфиденциальности, принудительное шифрование или использовать ограничения доступа к контейнерам.

Электронная почта и содержимое

Метки конфиденциальности можно применять автоматически или вручную к содержимому.

См. автоматическое применение метки конфиденциальности к содержимому

Метки конфиденциальности в электронной почте и содержимом

Метка конфиденциальности в документе или электронной почте настраивается, очищает текст и сохраняется.

• Настраиваемый — создание меток для организации и определение результирующего действия
• Чистый текст — включается в метаданные и доступен для чтения приложениями и службами.
• Сохраняемость— гарантирует, что метка и связанные защиты остаются с содержимым и помогают применять политики.

Примечание.

Каждый элемент содержимого может применять одну метку конфиденциальности.

Контейнеры

Определите критерии доступа, если Группы Microsoft 365, Teams или сайты SharePoint ограничены метками конфиденциальности. Содержимое можно пометить в контейнерах или использовать автоматическую метку для файлов в SharePoint, OneDrive и т. д.

Дополнительные сведения. Начало работы с метками конфиденциальности

Метки конфиденциальности в контейнерах

Метки конфиденциальности можно применять к контейнерам, таким как Группы Microsoft 365, сайты Microsoft Teams и SharePoint. Метки конфиденциальности в поддерживаемом контейнере применяют параметры классификации и защиты к подключенном сайту или группе. Метки конфиденциальности в этих контейнерах могут управлять следующими способами:

• Конфиденциальность — выберите пользователей, которые могут видеть сайт

• Доступ к внешним пользователям— определите, могут ли владельцы групп добавлять гостей в группу.

• Доступ с неуправляемых устройств — определите, обращаются ли неуправляемые устройства к содержимому

  

Метки конфиденциальности, применяемые к контейнеру, например сайт SharePoint, не применяются к содержимому в контейнере; они управляют доступом к содержимому в контейнере. Метки можно применять автоматически к содержимому в контейнере. Чтобы пользователи вручную применяли метки к содержимому, включите метки конфиденциальности для файлов Office в SharePoint и OneDrive.

Подробнее:

• Включите метки конфиденциальности для файлов Office в SharePoint и OneDrive.
• Использование меток конфиденциальности для защиты содержимого в Microsoft Teams, Группы Microsoft 365 и сайтах SharePoint
• Назначение меток конфиденциальности группам Microsoft 365 в идентификаторе Microsoft Entra

Реализация меток конфиденциальности

После определения использования меток конфиденциальности ознакомьтесь со следующей документацией по реализации.

• Начало работы с метками конфиденциальности
• Создание и публикация меток конфиденциальности
• Ограничение доступа к содержимому с помощью меток конфиденциальности для применения шифрования

Следующие шаги

Используйте следующую серию статей, чтобы узнать о защите внешнего доступа к ресурсам. Рекомендуется следовать указанному заказу.

1. Определение состояния безопасности для внешнего доступа с помощью идентификатора Microsoft Entra

2. Обнаружение текущего состояния внешней совместной работы в организации

3. Создание плана безопасности для внешнего доступа к ресурсам

4. Безопасный внешний доступ с помощью групп в идентификаторе Microsoft Entra и Microsoft 365

5. Переход к управляемой совместной работе с Microsoft Entra B2B

6. Управление внешним доступом с помощью управления правами Microsoft Entra

7. Управление внешним доступом к ресурсам с помощью политик условного доступа

8. Управление внешним доступом к ресурсам в идентификаторе Microsoft Entra с помощью меток конфиденциальности (здесь)

9. Защита внешнего доступа к Microsoft Teams, SharePoint и OneDrive для бизнеса с помощью идентификатора Microsoft Entra

10. Преобразование локальных гостевых учетных записей в гостевые учетные записи Microsoft Entra B2B