Del via


Informasjonsbeskyttelse for Contoso Corporation

Contoso mener alvor med informasjonssikkerheten. Lekkasje eller ødeleggelse av immaterielle rettigheter som beskriver deres produktdesign og proprietære produksjonsteknikker ville plassere dem på en konkurransedyktig ulempe.

Før de flyttet sine sensitive digitale ressurser til skyen, sørget Contoso for at deres lokale informasjonsklassifisering og beskyttelseskrav ble støttet av de skybaserte tjenestene til Microsoft 365 for bedrifter.

Klassifisering av Contoso-datasikkerhet

Contoso utførte en analyse av dataene og fastslo følgende klassifiseringsnivåer.

Nivå 1: Opprinnelig plan Nivå 2: Sensitive Nivå 3: Svært regulert
Data krypteres og er bare tilgjengelig for godkjente brukere.

Leveres for alle data som er lagret lokalt og i skybasert lagring og arbeidsbelastninger. Data krypteres mens de befinner seg i tjenesten og i transitt mellom tjenesten og klientenhetene.

Eksempler på data på nivå 1 er vanlig forretningskommunikasjon (e-post) og filer for administrative, salg og støttearbeidere.
Nivå 1 pluss sterk godkjenning og beskyttelse mot tap av data.

Sterk godkjenning inkluderer Microsoft Entra godkjenning med flere faktorer (MFA) med SMS-validering. Microsoft Purview hindring av datatap sikrer at sensitiv eller kritisk informasjon ikke reiser utenfor Microsoft-skyen.

Eksempler på data på nivå 2 er økonomisk og juridisk informasjon og forsknings- og utviklingsdata for nye produkter.
Nivå 2 pluss de høyeste nivåene av kryptering, godkjenning og overvåking.

De høyeste krypteringsnivåene for inaktive data og i skyen, i samsvar med regionale forskrifter, kombinert med MFA med smartkort og detaljert overvåking og varsling.

Eksempler på data på nivå 3 er personlige opplysninger om kunder og partnere, spesifikasjoner for produktteknikker og proprietære produksjonsteknikker.

Informasjonspolicyer for Contoso

Tabellen nedenfor viser informasjonspolicyene for Contoso.

Verdi Access Dataoppbevaring Informasjonsbeskyttelse
Lav forretningsverdi (nivå 1: Opprinnelig plan) Tillat tilgang til alle. 6 måneder Bruk kryptering.
Middels forretningsverdi (nivå 2: Sensitiv) Gi tilgang til Contoso-ansatte, underleverandører og partnere.

Bruk MFA, Transport Layer Security (TLS) og Administrasjon av mobilprogrammer (MAM).
2 år Bruk hash-verdier for dataintegritet.
Høy forretningsverdi (nivå 3: Svært regulert) Gi tilgang til ledere og ledere innen ingeniørarbeid og produksjon.

Rights Management System (RMS) bare med administrerte nettverksenheter.
7 år Bruk digitale signaturer til ikke-avvisning.

Contoso-banen til informasjonsbeskyttelse med Microsoft 365 for bedrifter

Contoso fulgte disse trinnene for å klargjøre Microsoft 365 for virksomheter for deres krav til informasjonsbeskyttelse:

  1. Identifiser hvilken informasjon som skal beskyttes

    Contoso gjorde en omfattende gjennomgang av de eksisterende digitale ressursene på lokale SharePoint-nettsteder og fildelinger og klassifiserte hver ressurs.

  2. Fastslå policyer for tilgang, oppbevaring og informasjonsbeskyttelse for datanivåer

    Basert på datanivåene bestemte Contoso detaljerte policykrav, som ble brukt til å beskytte eksisterende digitale ressurser etter hvert som de ble flyttet til skyen.

  3. Opprette følsomhetsetiketter og tilhørende innstillinger for de ulike informasjonsnivåene

    Contoso opprettet følsomhetsetiketter for datanivåene, med den svært regulerte etiketten som inkluderer kryptering, tillatelser og vannmerker.

  4. Flytte data fra lokale SharePoint-områder og delte filressurser til de nye SharePoint-områdene

    Filene som ble overført til de nye SharePoint-områdene, arvet standard oppbevaringsetiketter som er tilordnet området.

  5. Lær opp ansatte hvordan de bruker følsomhetsetiketter for nye dokumenter, hvordan de samhandler med Contoso IT når de oppretter nye SharePoint-nettsteder, og til alltid å lagre digitale ressurser på SharePoint-nettsteder

    Endring av dårlige vaner for informasjonslagring for arbeidere regnes ofte som den vanskeligste delen av informasjonsbeskyttelsesovergangen for skyen. Contoso IT og administrasjon måtte få ansatte til alltid å merke og lagre sine digitale ressurser i skyen, avstå fra å bruke lokale filressurser og ikke bruke tredjeparts skylagringstjenester eller USB-stasjoner.

Policyer for betinget tilgang for informasjonsbeskyttelse

Som en del av utrullingen av Exchange Online og SharePoint konfigurerte Contoso følgende sett med policyer for betinget tilgang og brukte dem på de aktuelle gruppene:

Her er et resultatsett med Contoso-policyer for informasjonsbeskyttelse.

Policyer for betinget tilgang for enhet, Exchange Online og SharePoint.

Obs!

Contoso konfigurerte også flere policyer for betinget tilgang for identitet og pålogging. Se identitet for Contoso Corporation.

Disse policyene sikrer at:

  • Apper som er tillatt og handlingene de kan utføre med organisasjonens data, defineres av policyer for appbeskyttelse.
  • PC-er og mobile enheter må være kompatible.
  • Exchange Online bruker Office 365 meldingskryptering (OME) for Exchange Online.
  • SharePoint bruker app-håndhevede begrensninger.
  • SharePoint bruker tilgangskontrollpolicyer for bare nettlesertilgang og til å blokkere tilgang for ikke-administrerte enheter.

Tilordne Microsoft 365 for enterprise-funksjoner til Contoso-datanivåer

Tabellen nedenfor tilordner Contoso-datanivåer til funksjoner for informasjonsbeskyttelse i Microsoft 365 for virksomheter.

Nivå Microsoft 365-skytjenester Windows 10 og Microsoft 365 Apps for enterprise Sikkerhet og samsvar
Nivå 1: Opprinnelig plan Policyer for betinget tilgang for SharePoint og Exchange Online
Tillatelser på SharePoint-områder
Følsomhetsetiketter
Bitlocker
Windows Information Protection
Policyer for betinget tilgang for enhet og administrasjonspolicyer for mobilprogrammer
Nivå 2: Sensitive Nivå 1 pluss:

Følsomhetsetiketter
Microsoft 365-oppbevaringsetiketter på SharePoint-områder
Hindring av datatap for SharePoint og Exchange Online
Isolerte SharePoint-områder
Nivå 1 pluss:

Følsomhetsetiketter på digitale ressurser
Nivå 1
Nivå 3: Svært regulert Nivå 2 pluss:

Ta med din egen nøkkelkryptering (BYOK) og beskyttelse for forretningshemmelighetsinformasjon
Azure Key Vault for bransjespesifikke programmer som samhandler med Microsoft 365-tjenester
Nivå 2 Nivå 1

Her er den resulterende konfigurasjonen av contoso-informasjonsbeskyttelse.

Contosos resulterende konfigurasjon av informasjonsbeskyttelse.

Neste trinn:

Finn ut hvordan Contoso bruker sikkerhetsfunksjonene på tvers av Microsoft 365 for virksomheter for identitets- og tilgangsadministrasjon, trusselbeskyttelse, informasjonsbeskyttelse og sikkerhetsadministrasjon.

Se også

Microsoft Defender for Office 365

Oversikt over Microsoft 365 for enterprise

Testlab-veiledninger