Integrowanie usługi Microsoft Purview Information Protection
Microsoft Defender dla Chmury Apps umożliwia automatyczne stosowanie etykiet poufności z usługi Microsoft Purview Information Protection. Etykiety te są stosowane do plików jako akcji ładu zasad plików, a w zależności od konfiguracji etykiety można zastosować szyfrowanie w celu zapewnienia dodatkowej ochrony. Możesz również zbadać pliki, filtrując pod kątem zastosowanej etykiety poufności w portalu Defender dla Chmury Apps. Używanie etykiet umożliwia większą widoczność i kontrolę nad poufnymi danymi w chmurze. Integrowanie usługi Microsoft Purview Information Protection z aplikacjami Defender dla Chmury jest tak proste, jak wybranie jednego pola wyboru.
Integrując usługę Microsoft Purview Information Protection z aplikacjami Defender dla Chmury, możesz użyć pełnej możliwości zarówno usług, jak i bezpiecznych plików w chmurze, w tym:
- Możliwość stosowania etykiet poufności jako akcji ładu do plików pasujących do określonych zasad
- Możliwość wyświetlania wszystkich plików sklasyfikowanych w lokalizacji centralnej
- Możliwość badania według poziomu klasyfikacji i kwantyfikacji ujawnienia poufnych danych w aplikacjach w chmurze
- Możliwość tworzenia zasad w celu zapewnienia prawidłowej obsługi sklasyfikowanych plików
Wymagania wstępne
Uwaga
Aby włączyć tę funkcję, potrzebujesz licencji Defender dla Chmury Apps i licencji usługi Azure Information Protection Premium P1. Gdy tylko obie licencje zostaną wprowadzone, usługa Defender dla Chmury Apps synchronizuje etykiety organizacji z usługi Azure Information Protection.
- Aby pracować z integracją usługi Microsoft Purview Information Protection, musisz włączyć Łącznik aplikacji dla platformy Microsoft 365.
Aby aplikacje Defender dla Chmury miały zastosowanie etykiet poufności, muszą być publikowane w ramach zasad etykiet poufności w portal zgodności Microsoft Purview.
usługa Defender dla Chmury Apps obsługuje obecnie stosowanie etykiet poufności z usługi Microsoft Purview Information Protection dla następujących typów plików:
- Word: docm, docx, dotm, dotx
- Excel: xlam, xlsm, xlsx, xltx
- PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
- PDF
Uwaga
W przypadku formatu PDF należy używać ujednoliconych etykiet.
Ta funkcja jest obecnie dostępna dla plików przechowywanych w usługach Box, Google Workspace, SharePoint Online i OneDrive dla Firm. Więcej aplikacji w chmurze będzie obsługiwanych w przyszłych wersjach.
Jak to działa
Etykiety poufności można wyświetlić w usłudze Microsoft Purview Information Protection w usłudze Defender dla Chmury Apps. Po zintegrowaniu usługi Defender dla Chmury Apps z usługą Microsoft Purview Information Protection usługa Defender dla Chmury Apps skanuje pliki w następujący sposób:
Defender dla Chmury Apps pobiera listę wszystkich etykiet poufności używanych w dzierżawie. Ta akcja jest wykonywana co godzinę, aby zachować aktualność listy.
Defender dla Chmury Apps następnie skanuje pliki pod kątem etykiet poufności w następujący sposób:
- Jeśli włączono automatyczne skanowanie, wszystkie nowe lub zmodyfikowane pliki zostaną dodane do kolejki skanowania, a wszystkie istniejące pliki i repozytoria zostaną zeskanowane.
- Jeśli ustawisz zasady plików, aby wyszukiwać etykiety poufności, te pliki zostaną dodane do kolejki skanowania pod kątem etykiet poufności.
Jak wspomniano, te skanowania dotyczą etykiet poufności odnalezionych w początkowym skanowaniu Defender dla Chmury Apps, aby sprawdzić, które etykiety poufności są używane w dzierżawie. Etykiety zewnętrzne — etykiety klasyfikacji ustawione przez użytkownika zewnętrznego względem dzierżawy — są dodawane do listy etykiet klasyfikacji. Jeśli nie chcesz ich skanować, zaznacz pole wyboru Tylko skanuj pliki pod kątem etykiet poufności w usłudze Microsoft Purview Information Protection i ostrzeżenia inspekcji zawartości z tej dzierżawy .
Po włączeniu usługi Microsoft Purview Information Protection w aplikacjach Defender dla Chmury wszystkie nowe pliki dodawane do połączonych aplikacji w chmurze będą skanowane pod kątem etykiet poufności.
Nowe zasady można tworzyć w aplikacjach Defender dla Chmury, które automatycznie stosują etykiety poufności.
Limity integracji
Podczas korzystania z etykiet usługi Microsoft Purview z aplikacjami Defender dla Chmury Należy pamiętać o następujących limitach.
| Limit | opis |
|---|---|
| Pliki z etykietami lub ochroną stosowane poza aplikacjami Defender dla Chmury | Niechronione etykiety stosowane poza Defender dla Chmury Apps mogą być zastępowane przez aplikacje Defender dla Chmury, ale nie można ich usunąć. Defender dla Chmury Aplikacje nie mogą usuwać etykiet z ochroną przed plikami oznaczonymi poza aplikacjami Defender dla Chmury. Aby skanować pliki z ochroną zastosowaną poza aplikacjami Defender dla Chmury, przyznaj uprawnienia do inspekcji zawartości chronionych plików. |
| Pliki oznaczone etykietą Defender dla Chmury Apps | Defender dla Chmury Apps nie zastępuje etykiet na plikach, które zostały już oznaczone przez usługę Defender dla Chmury Apps. |
| Pliki chronione hasłem | Defender dla Chmury Aplikacje nie mogą odczytywać etykiet w plikach chronionych hasłem. |
| Puste pliki | Puste pliki nie są oznaczone etykietą Defender dla Chmury Apps. |
| Biblioteki wymagające wyewidencjonowania | Defender dla Chmury Aplikacje nie mogą oznaczać plików znajdujących się w bibliotekach skonfigurowanych do wymagania wyewidencjonowania. |
| Wymagania dotyczące zakresu | Aby aplikacje Defender dla Chmury rozpoznawały etykietę poufności, zakres etykiety w usłudze Purview musi być skonfigurowany dla co najmniej plików i wiadomości e-mail. |
Uwaga
Microsoft Purview to główne rozwiązanie firmy Microsoft do etykietowania usług. Aby uzyskać więcej informacji, zobacz dokumentację usługi Microsoft Purview.
Jak zintegrować usługę Microsoft Purview Information Protection z aplikacjami Defender dla Chmury
Włączanie usługi Microsoft Purview Information Protection
Aby zintegrować usługę Microsoft Purview Information Protection z aplikacjami Defender dla Chmury, zaznacz jedno pole wyboru. Włączenie automatycznego skanowania umożliwia wyszukiwanie etykiet poufności z usługi Microsoft Purview Information Protection w plikach platformy Microsoft 365 bez konieczności tworzenia zasad. Po jej włączeniu, jeśli masz pliki w środowisku chmury, które są oznaczone etykietami poufności z usługi Microsoft Purview Information Protection, zobaczysz je w usłudze Defender dla Chmury Apps.
Aby umożliwić Defender dla Chmury Apps skanowanie plików za pomocą inspekcji zawartości włączonej dla etykiet poufności:
W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze. Następnie przejdź do pozycji Information Protection —> Microsoft Information Protection.
W obszarze Ustawienia usługi Microsoft Information Protection wybierz pozycję Automatycznie skanuj nowe pliki pod kątem etykiet poufności z poziomu ostrzeżeń dotyczących usługi Microsoft Purview Information Protection i inspekcji zawartości.
Po włączeniu usługi Microsoft Purview Information Protection będzie można wyświetlać pliki z etykietami poufności i filtrować je na etykietę w usłudze Defender dla Chmury Apps. Po połączeniu aplikacji Defender dla Chmury z aplikacją w chmurze będzie można użyć funkcji integracji usługi Microsoft Purview Information Protection w celu zastosowania etykiet poufności z usługi Microsoft Purview Information Protection (z szyfrowaniem lub bez niego) w Defender dla Chmury Portal aplikacji przez dodanie ich bezpośrednio do plików lub skonfigurowanie zasad dotyczących plików w celu automatycznego stosowania etykiet poufności jako akcji ładu.
Uwaga
Automatyczne skanowanie nie skanuje istniejących plików, dopóki nie zostaną ponownie zmodyfikowane. Aby skanować istniejące pliki pod kątem etykiet poufności z usługi Microsoft Purview Information Protection, musisz mieć co najmniej jedną zasadę dotyczącą plików, która obejmuje inspekcję zawartości. Jeśli nie masz żadnych, utwórz nowe zasady plików, usuń wszystkie filtry wstępne, w obszarze Metoda inspekcji wybierz pozycję Wbudowana funkcja DLP. W polu Inspekcjazawartości wybierz pozycję Uwzględnij pliki zgodne z wyrażeniem wstępnym i wybierz dowolną wstępnie zdefiniowaną wartość, a następnie zapisz zasady. Umożliwia to inspekcję zawartości, która automatycznie wykrywa etykiety poufności z usługi Microsoft Purview Information Protection.
Ustawianie etykiet wewnętrznych i zewnętrznych
Domyślnie usługa Defender dla Chmury Apps skanuje etykiety poufności zdefiniowane w organizacji i zewnętrzne zdefiniowane przez inne organizacje.
Aby zignorować etykiety poufności ustawione poza organizacją, przejdź do portalu Usługi Microsoft Defender i wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze. W obszarze Information Protection wybierz pozycję Microsoft Purview Information Protection. Następnie wybierz pozycję Skanuj tylko pliki pod kątem etykiet poufności w usłudze Microsoft Purview Information Protection i ostrzeżenia inspekcji zawartości z tej dzierżawy.
Stosowanie etykiet bezpośrednio do plików
W portalu Microsoft Defender w obszarze Aplikacje w chmurze wybierz pozycję Pliki. Następnie wybierz plik, który chcesz chronić. Wybierz trzy kropki na końcu wiersza pliku, a następnie wybierz pozycję Zastosuj etykietę poufności.
Uwaga
Defender dla Chmury Apps można zastosować usługę Microsoft Purview Information Protection w plikach, które mają maksymalnie 30 MB.
Wybierz jedną z etykiet poufności organizacji, które mają być stosowane do pliku, a następnie wybierz pozycję Zastosuj.
Po wybraniu etykiety poufności i wybraniu pozycji Zastosuj Defender dla Chmury Aplikacje zastosuje etykietę poufności do oryginalnego pliku.
Możesz również usunąć etykiety poufności, wybierając opcję Usuń etykietę poufności.
Aby uzyskać więcej informacji na temat współpracy usług Defender dla Chmury Apps i Microsoft Purview Information Protection, zobacz Automatyczne stosowanie etykiet poufności z usługi Microsoft Purview Information Protection.
Automatyczne etykietowanie plików
Etykiety poufności można automatycznie stosować do plików, tworząc zasady plików i ustawiając ustawienie Zastosuj etykietę poufności jako akcję ładu.
Postępuj zgodnie z tymi instrukcjami, aby utworzyć zasady dotyczące plików:
Utwórz zasady dotyczące plików.
Ustaw zasady, aby uwzględnić typ pliku, który chcesz wykryć. Na przykład wybierz wszystkie pliki, w których poziom dostępu nie jest równy Wewnętrzny i gdzie jednostka organizacyjna właściciela jest równa zespołowi finansowemu.
W obszarze Akcje nadzoru dla odpowiedniej aplikacji wybierz pozycję Zastosuj etykietę poufności, a następnie wybierz typ etykiety.
Uwaga
- Możliwość zastosowania etykiety poufności jest zaawansowaną funkcją. Aby chronić klientów przed błędnym zastosowaniem etykiety do dużej liczby plików, ponieważ istnieje dzienny limit 100 akcji Zastosuj etykiety na aplikację dla każdej dzierżawy. Po osiągnięciu dziennego limitu akcja zastosuj etykietę jest tymczasowo wstrzymana i będzie kontynuowana automatycznie następnego dnia (po godzinie 12:00 UTC).
- Gdy zasady są wyłączone, wszystkie oczekujące zadania etykietowania dla tych zasad są zawieszone.
- W konfiguracji etykiety uprawnienia muszą być przypisane do dowolnego uwierzytelnionego użytkownika lub wszystkich użytkowników w organizacji, aby aplikacje Defender dla Chmury odczytywały informacje o etykiecie.
Kontrola stopnia jawności pliku
Załóżmy na przykład, że oznaczono następujący dokument etykietą poufności usługi Microsoft Purview Information Protection:
Ten dokument można wyświetlić w usłudze Defender dla Chmury Apps, filtrując etykietę poufności dla usługi Microsoft Purview Information Protection na stronie Pliki.
Więcej informacji o tych plikach i ich etykietach poufności można uzyskać w szufladzie plików. Wystarczy wybrać odpowiedni plik na stronie Pliki i sprawdzić, czy ma etykietę poufności.
Następnie możesz utworzyć zasady plików w usłudze Defender dla Chmury Apps, aby kontrolować pliki, które są udostępniane niewłaściwie i znajdować pliki oznaczone etykietą i zostały ostatnio zmodyfikowane.
- Możesz utworzyć zasady, które automatycznie stosują etykietę poufności do określonych plików.
- Możesz również wyzwalać alerty dotyczące działań związanych z klasyfikacją plików.
Uwaga
Gdy etykiety poufności są wyłączone w pliku, wyłączone etykiety są wyświetlane jako wyłączone w usłudze Defender dla Chmury Apps. Usunięte etykiety nie są wyświetlane.
Przykładowe zasady — poufne dane udostępniane zewnętrznie na urządzeniu Box:
Utwórz zasady dotyczące plików.
Ustaw nazwę, ważność i kategorię zasad.
Dodaj następujące filtry, aby znaleźć wszystkie poufne dane, które są udostępniane zewnętrznie w usłudze Box:
Przykładowe zasady — dane z ograniczeniami, które zostały ostatnio zmodyfikowane poza folderem Dane klienta w programie SharePoint:
Utwórz zasady dotyczące plików.
Ustaw nazwę, ważność i kategorię zasad.
Dodaj następujące filtry, aby znaleźć wszystkie ostatnio zmodyfikowane pliki z ograniczeniami z wyłączeniem folderu Dane klienta w opcji wyboru folderu:
Możesz również ustawić alerty i powiadomienia użytkowników lub natychmiast podejmować akcję dla tych zasad. Dowiedz się więcej o akcjach ładu.
Dowiedz się więcej o usłudze Microsoft Purview Information Protection.
Następne kroki
Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.