Informasjonsbeskyttelse for Contoso Corporation
Contoso mener alvor med informasjonssikkerheten. Lekkasje eller ødeleggelse av immaterielle rettigheter som beskriver deres produktdesign og proprietære produksjonsteknikker ville plassere dem på en konkurransedyktig ulempe.
Før de flyttet sine sensitive digitale ressurser til skyen, sørget Contoso for at deres lokale informasjonsklassifisering og beskyttelseskrav ble støttet av de skybaserte tjenestene til Microsoft 365 for bedrifter.
Klassifisering av Contoso-datasikkerhet
Contoso utførte en analyse av dataene og fastslo følgende klassifiseringsnivåer.
Nivå 1: Opprinnelig plan | Nivå 2: Sensitive | Nivå 3: Svært regulert |
---|---|---|
Data krypteres og er bare tilgjengelig for godkjente brukere. Leveres for alle data som er lagret lokalt og i skybasert lagring og arbeidsbelastninger. Data krypteres mens de befinner seg i tjenesten og i transitt mellom tjenesten og klientenhetene. Eksempler på data på nivå 1 er vanlig forretningskommunikasjon (e-post) og filer for administrative, salg og støttearbeidere. |
Nivå 1 pluss sterk godkjenning og beskyttelse mot tap av data. Sterk godkjenning inkluderer Microsoft Entra godkjenning med flere faktorer (MFA) med SMS-validering. Microsoft Purview hindring av datatap sikrer at sensitiv eller kritisk informasjon ikke reiser utenfor Microsoft-skyen. Eksempler på data på nivå 2 er økonomisk og juridisk informasjon og forsknings- og utviklingsdata for nye produkter. |
Nivå 2 pluss de høyeste nivåene av kryptering, godkjenning og overvåking. De høyeste krypteringsnivåene for inaktive data og i skyen, i samsvar med regionale forskrifter, kombinert med MFA med smartkort og detaljert overvåking og varsling. Eksempler på data på nivå 3 er personlige opplysninger om kunder og partnere, spesifikasjoner for produktteknikker og proprietære produksjonsteknikker. |
Informasjonspolicyer for Contoso
Tabellen nedenfor viser informasjonspolicyene for Contoso.
Verdi | Access | Dataoppbevaring | Informasjonsbeskyttelse |
---|---|---|---|
Lav forretningsverdi (nivå 1: Opprinnelig plan) | Tillat tilgang til alle. | 6 måneder | Bruk kryptering. |
Middels forretningsverdi (nivå 2: Sensitiv) | Gi tilgang til Contoso-ansatte, underleverandører og partnere. Bruk MFA, Transport Layer Security (TLS) og Administrasjon av mobilprogrammer (MAM). |
2 år | Bruk hash-verdier for dataintegritet. |
Høy forretningsverdi (nivå 3: Svært regulert) | Gi tilgang til ledere og ledere innen ingeniørarbeid og produksjon. Rights Management System (RMS) bare med administrerte nettverksenheter. |
7 år | Bruk digitale signaturer til ikke-avvisning. |
Contoso-banen til informasjonsbeskyttelse med Microsoft 365 for bedrifter
Contoso fulgte disse trinnene for å klargjøre Microsoft 365 for virksomheter for deres krav til informasjonsbeskyttelse:
Identifiser hvilken informasjon som skal beskyttes
Contoso gjorde en omfattende gjennomgang av de eksisterende digitale ressursene på lokale SharePoint-nettsteder og fildelinger og klassifiserte hver ressurs.
Fastslå policyer for tilgang, oppbevaring og informasjonsbeskyttelse for datanivåer
Basert på datanivåene bestemte Contoso detaljerte policykrav, som ble brukt til å beskytte eksisterende digitale ressurser etter hvert som de ble flyttet til skyen.
Opprette følsomhetsetiketter og tilhørende innstillinger for de ulike informasjonsnivåene
Contoso opprettet følsomhetsetiketter for datanivåene, med den svært regulerte etiketten som inkluderer kryptering, tillatelser og vannmerker.
Flytte data fra lokale SharePoint-områder og delte filressurser til de nye SharePoint-områdene
Filene som ble overført til de nye SharePoint-områdene, arvet standard oppbevaringsetiketter som er tilordnet området.
Lær opp ansatte hvordan de bruker følsomhetsetiketter for nye dokumenter, hvordan de samhandler med Contoso IT når de oppretter nye SharePoint-nettsteder, og til alltid å lagre digitale ressurser på SharePoint-nettsteder
Endring av dårlige vaner for informasjonslagring for arbeidere regnes ofte som den vanskeligste delen av informasjonsbeskyttelsesovergangen for skyen. Contoso IT og administrasjon måtte få ansatte til alltid å merke og lagre sine digitale ressurser i skyen, avstå fra å bruke lokale filressurser og ikke bruke tredjeparts skylagringstjenester eller USB-stasjoner.
Policyer for betinget tilgang for informasjonsbeskyttelse
Som en del av utrullingen av Exchange Online og SharePoint konfigurerte Contoso følgende sett med policyer for betinget tilgang og brukte dem på de aktuelle gruppene:
- Administrert og uadministrert programtilgang på enhetspolicyer
- Exchange Online tilgangspolicyer
- SharePoint-tilgangspolicyer
Her er et resultatsett med Contoso-policyer for informasjonsbeskyttelse.
Obs!
Contoso konfigurerte også flere policyer for betinget tilgang for identitet og pålogging. Se identitet for Contoso Corporation.
Disse policyene sikrer at:
- Apper som er tillatt og handlingene de kan utføre med organisasjonens data, defineres av policyer for appbeskyttelse.
- PC-er og mobile enheter må være kompatible.
- Exchange Online bruker Office 365 meldingskryptering (OME) for Exchange Online.
- SharePoint bruker app-håndhevede begrensninger.
- SharePoint bruker tilgangskontrollpolicyer for bare nettlesertilgang og til å blokkere tilgang for ikke-administrerte enheter.
Tilordne Microsoft 365 for enterprise-funksjoner til Contoso-datanivåer
Tabellen nedenfor tilordner Contoso-datanivåer til funksjoner for informasjonsbeskyttelse i Microsoft 365 for virksomheter.
Nivå | Microsoft 365-skytjenester | Windows 10 og Microsoft 365 Apps for enterprise | Sikkerhet og samsvar |
---|---|---|---|
Nivå 1: Opprinnelig plan | Policyer for betinget tilgang for SharePoint og Exchange Online Tillatelser på SharePoint-områder |
Følsomhetsetiketter Bitlocker Windows Information Protection |
Policyer for betinget tilgang for enhet og administrasjonspolicyer for mobilprogrammer |
Nivå 2: Sensitive | Nivå 1 pluss: Følsomhetsetiketter Microsoft 365-oppbevaringsetiketter på SharePoint-områder Hindring av datatap for SharePoint og Exchange Online Isolerte SharePoint-områder |
Nivå 1 pluss: Følsomhetsetiketter på digitale ressurser |
Nivå 1 |
Nivå 3: Svært regulert | Nivå 2 pluss: Ta med din egen nøkkelkryptering (BYOK) og beskyttelse for forretningshemmelighetsinformasjon Azure Key Vault for bransjespesifikke programmer som samhandler med Microsoft 365-tjenester |
Nivå 2 | Nivå 1 |
Her er den resulterende konfigurasjonen av contoso-informasjonsbeskyttelse.
Neste trinn:
Finn ut hvordan Contoso bruker sikkerhetsfunksjonene på tvers av Microsoft 365 for virksomheter for identitets- og tilgangsadministrasjon, trusselbeskyttelse, informasjonsbeskyttelse og sikkerhetsadministrasjon.
Se også
Microsoft Defender for Office 365