Udostępnij za pośrednictwem

Integracja z usługą Microsoft Purview w celu ochrony informacji

  • Artykuł

Microsoft Defender dla Chmury Apps umożliwia automatyczne stosowanie etykiet poufności z usługi Microsoft Purview. Etykiety te są stosowane do plików jako akcji ładu zasad plików, a w zależności od konfiguracji etykiety można zastosować szyfrowanie w celu zapewnienia dodatkowej ochrony. Możesz również zbadać pliki, filtrując pod kątem zastosowanej etykiety poufności w portalu Defender dla Chmury Apps. Używanie etykiet umożliwia większą widoczność i kontrolę nad poufnymi danymi w chmurze. Integrowanie usługi Microsoft Purview z aplikacjami Defender dla Chmury jest tak proste, jak wybranie pojedynczego pola wyboru.

Integrując usługę Microsoft Purview z aplikacjami Defender dla Chmury, możesz użyć pełnej możliwości zarówno usług, jak i bezpiecznych plików w chmurze, w tym:

  • Możliwość stosowania etykiet poufności jako akcji ładu do plików pasujących do określonych zasad
  • Możliwość wyświetlania wszystkich plików sklasyfikowanych w lokalizacji centralnej
  • Możliwość badania według poziomu klasyfikacji i kwantyfikacji ujawnienia poufnych danych w aplikacjach w chmurze
  • Możliwość tworzenia zasad w celu zapewnienia prawidłowej obsługi sklasyfikowanych plików

Wymagania wstępne

Uwaga

Aby włączyć tę funkcję, potrzebujesz licencji Defender dla Chmury Apps i licencji usługi Microsoft Purview. Gdy tylko obie licencje zostaną wprowadzone, usługa Defender dla Chmury Apps synchronizuje etykiety organizacji z usługi Microsoft Purview.

Aby aplikacje Defender dla Chmury miały zastosowanie etykiet poufności, muszą być publikowane w ramach zasad etykiet poufności w usłudze Microsoft Purview.

usługa Defender dla Chmury Apps obsługuje obecnie stosowanie etykiet poufności z usługi Microsoft Purview dla następujących typów plików:

  • Word: docm, docx, dotm, dotx
  • Excel: xlam, xlsm, xlsx, xltx
  • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
  • PDF

    Uwaga

    W przypadku formatu PDF należy używać ujednoliconych etykiet.

Ta funkcja jest obecnie dostępna dla plików przechowywanych w usługach Box, Google Workspace, SharePoint Online i OneDrive. Więcej aplikacji w chmurze będzie obsługiwanych w przyszłych wersjach.

Jak to działa

Etykiety poufności można wyświetlić w usłudze Microsoft Purview w usłudze Defender dla Chmury Apps. Po zintegrowaniu usługi Defender dla Chmury Apps z usługą Microsoft Purview usługa Defender dla Chmury Apps skanuje pliki w następujący sposób:

  1. Defender dla Chmury Apps pobiera listę wszystkich etykiet poufności używanych w dzierżawie. Ta akcja jest wykonywana co godzinę, aby zachować aktualność listy.

  2. Defender dla Chmury Apps następnie skanuje pliki pod kątem etykiet poufności w następujący sposób:

    • Jeśli włączono automatyczne skanowanie, wszystkie nowe lub zmodyfikowane pliki zostaną dodane do kolejki skanowania, a wszystkie istniejące pliki i repozytoria zostaną zeskanowane.
    • Jeśli ustawisz zasady plików, aby wyszukiwać etykiety poufności, te pliki zostaną dodane do kolejki skanowania pod kątem etykiet poufności.

  3. Jak wspomniano, te skanowania dotyczą etykiet poufności odnalezionych w początkowym skanowaniu Defender dla Chmury Apps, aby sprawdzić, które etykiety poufności są używane w dzierżawie. Etykiety zewnętrzne — etykiety klasyfikacji ustawione przez użytkownika zewnętrznego względem dzierżawy — są dodawane do listy etykiet klasyfikacji. Jeśli nie chcesz ich skanować, zaznacz pole wyboru Tylko skanuj pliki etykiet poufności usługi Microsoft Information Protection i ostrzeżenia inspekcji zawartości z tej dzierżawy .

  4. Po włączeniu usługi Microsoft Purview w usłudze Defender dla Chmury Apps wszystkie nowe pliki dodawane do połączonych aplikacji w chmurze będą skanowane pod kątem etykiet poufności.

  5. Nowe zasady można tworzyć w aplikacjach Defender dla Chmury, które automatycznie stosują etykiety poufności.

Limity integracji

Podczas korzystania z etykiet usługi Microsoft Purview z aplikacjami Defender dla Chmury Należy pamiętać o następujących limitach.

Limit opis
Pliki z etykietami lub ochroną stosowane poza aplikacjami Defender dla Chmury Niechronione etykiety stosowane poza Defender dla Chmury Apps mogą być zastępowane przez aplikacje Defender dla Chmury, ale nie można ich usunąć.

Defender dla Chmury Aplikacje nie mogą usuwać etykiet z ochroną przed plikami oznaczonymi poza aplikacjami Defender dla Chmury.

Aby skanować pliki z ochroną zastosowaną poza aplikacjami Defender dla Chmury, przyznaj uprawnienia do inspekcji zawartości chronionych plików.
Pliki oznaczone etykietą Defender dla Chmury Apps Defender dla Chmury Apps nie zastępuje etykiet na plikach, które zostały już oznaczone przez usługę Defender dla Chmury Apps.
Pliki chronione hasłem Defender dla Chmury Aplikacje nie mogą odczytywać etykiet w plikach chronionych hasłem.
Puste pliki Puste pliki nie są oznaczone etykietą Defender dla Chmury Apps.
Biblioteki wymagające wyewidencjonowania Defender dla Chmury Aplikacje nie mogą oznaczać plików znajdujących się w bibliotekach skonfigurowanych do wymagania wyewidencjonowania.
Wymagania dotyczące zakresu Aby aplikacje Defender dla Chmury rozpoznawały etykietę poufności, zakres etykiety w usłudze Purview musi być skonfigurowany dla co najmniej plików i wiadomości e-mail.

Uwaga

Microsoft Purview to główne rozwiązanie firmy Microsoft do etykietowania usług. Aby uzyskać więcej informacji, zobacz dokumentację usługi Microsoft Purview.

Jak zintegrować usługę Microsoft Purview z aplikacjami Defender dla Chmury

Włączanie usługi Microsoft Purview

Wszystko, co musisz zrobić, aby zintegrować usługę Microsoft Purview z aplikacjami Defender dla Chmury, to zaznaczyć jedno pole wyboru. Włączenie automatycznego skanowania umożliwia wyszukiwanie etykiet poufności z usługi Microsoft Purview w plikach platformy Microsoft 365 bez konieczności tworzenia zasad. Po jej włączeniu, jeśli masz pliki w środowisku chmury, które są oznaczone etykietami poufności z usługi Microsoft Purview, zobaczysz je w aplikacji Defender dla Chmury.

Aby umożliwić Defender dla Chmury Apps skanowanie plików za pomocą inspekcji zawartości włączonej dla etykiet poufności:

W witrynie Microsoft Defender Portal wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze. Następnie przejdź do pozycji Information Protection —> Microsoft Information Protection.

  1. W obszarze Ustawienia usługi Microsoft Information Protection wybierz pozycję Automatycznie skanuj nowe pliki pod kątem etykiet poufności z ostrzeżeń dotyczących usługi Microsoft Information Protection i inspekcji zawartości.

    Zrzut ekranu przedstawiający włączanie usługi Microsoft Purview.

Po włączeniu usługi Microsoft Purview będzie można wyświetlać pliki, które mają etykiety poufności i filtrować je na etykietę w usłudze Defender dla Chmury Apps. Po połączeniu aplikacji Defender dla Chmury z aplikacją w chmurze będzie można używać funkcji integracji usługi Microsoft Purview do stosowania etykiet poufności z usługi Microsoft Purview (z szyfrowaniem lub bez szyfrowania) w portalu Defender dla Chmury Apps przez dodanie ich bezpośrednio do plików lub skonfigurowanie zasad dotyczących plików w celu automatycznego stosowania etykiet poufności jako akcji ładu.

Uwaga

Automatyczne skanowanie nie skanuje istniejących plików, dopóki nie zostaną ponownie zmodyfikowane. Aby skanować istniejące pliki pod kątem etykiet poufności z usługi Microsoft Purview, musisz mieć co najmniej jedną zasadę dotyczącą plików, która obejmuje inspekcję zawartości. Jeśli nie masz żadnych, utwórz nowe zasady plików, usuń wszystkie filtry wstępne, w obszarze Metoda inspekcji wybierz pozycję Wbudowana funkcja DLP. W polu Inspekcja zawartości wybierz pozycję Uwzględnij pliki zgodne z wyrażeniem wstępnym i wybierz dowolną wstępnie zdefiniowaną wartość, a następnie zapisz zasady. Umożliwia to inspekcję zawartości, która automatycznie wykrywa etykiety poufności z usługi Microsoft Purview.

Ustawianie etykiet wewnętrznych i zewnętrznych

Domyślnie usługa Defender dla Chmury Apps skanuje etykiety poufności zdefiniowane w organizacji i zewnętrzne zdefiniowane przez inne organizacje.

Aby zignorować etykiety poufności ustawione poza organizacją, przejdź do witryny Microsoft Defender Portal i wybierz pozycję Ustawienia. Następnie wybierz pozycję Aplikacje w chmurze. W obszarze Ochrona informacji wybierz pozycję Microsoft Information Protection. Następnie wybierz pozycję Skanuj tylko pliki etykiet poufności usługi Microsoft Information Protection i ostrzeżenia inspekcji zawartości z tej dzierżawy.

Ignoruj etykiety.

Stosowanie etykiet bezpośrednio do plików

  1. W portalu Microsoft Defender w obszarze Aplikacje w chmurze wybierz pozycję Pliki. Następnie wybierz plik, który chcesz chronić. Wybierz trzy kropki na końcu wiersza pliku, a następnie wybierz pozycję Zastosuj etykietę poufności.

    Zastosuj etykietę poufności.

    Uwaga

    Defender dla Chmury Apps można zastosować usługę Microsoft Purview na plikach, które są do 30 MB.

  2. Wybierz jedną z etykiet poufności organizacji, które mają być stosowane do pliku, a następnie wybierz pozycję Zastosuj.

    Etykieta poufności ochrony.

  3. Po wybraniu etykiety poufności i wybraniu pozycji Zastosuj Defender dla Chmury Aplikacje zastosuje etykietę poufności do oryginalnego pliku.

  4. Możesz również usunąć etykiety poufności, wybierając opcję Usuń etykietę poufności.

Aby uzyskać więcej informacji na temat współdziałania usług Defender dla Chmury Apps i Microsoft Purview, zobacz Automatyczne stosowanie etykiet poufności z usługi Microsoft Purview.

Automatyczne etykietowanie plików

Etykiety poufności można automatycznie stosować do plików, tworząc zasady plików i ustawiając ustawienie Zastosuj etykietę poufności jako akcję ładu.

Postępuj zgodnie z tymi instrukcjami, aby utworzyć zasady dotyczące plików:

  1. Utwórz zasady dotyczące plików.

  2. Ustaw zasady, aby uwzględnić typ pliku, który chcesz wykryć. Na przykład wybierz wszystkie pliki, w których poziom dostępu nie jest równy Wewnętrzny i gdzie jednostka organizacyjna właściciela jest równa zespołowi finansowemu.

  3. W obszarze Akcje nadzoru dla odpowiedniej aplikacji wybierz pozycję Zastosuj etykietę poufności, a następnie wybierz typ etykiety.

    Zastosuj etykietę.

Uwaga

  • Możliwość zastosowania etykiety poufności jest zaawansowaną funkcją. Aby chronić klientów przed błędnym zastosowaniem etykiety do dużej liczby plików, ponieważ istnieje dzienny limit 100 akcji Zastosuj etykiety na aplikację dla każdej dzierżawy. Po osiągnięciu dziennego limitu akcja zastosuj etykietę jest tymczasowo wstrzymana i będzie kontynuowana automatycznie następnego dnia (po godzinie 12:00 UTC).
  • Gdy zasady są wyłączone, wszystkie oczekujące zadania etykietowania dla tych zasad są zawieszone.
  • W konfiguracji etykiety uprawnienia muszą być przypisane do dowolnego uwierzytelnionego użytkownika lub wszystkich użytkowników w organizacji, aby aplikacje Defender dla Chmury odczytywały informacje o etykiecie.

Kontrola stopnia jawności pliku

  1. Załóżmy na przykład, że oznaczono następujący dokument etykietą poufności usługi Microsoft Purview:

    Przykładowy ekran usługi Microsoft Purview.

  2. Ten dokument można wyświetlić w Defender dla Chmury Apps, filtrując etykietę poufności dla usługi Microsoft Purview na stronie Pliki.

    Defender dla Chmury Apps w porównaniu z usługą Microsoft Purview.

  3. Więcej informacji o tych plikach i ich etykietach poufności można uzyskać w szufladzie plików. Wystarczy wybrać odpowiedni plik na stronie Pliki i sprawdzić, czy ma etykietę poufności.

    Szuflada plików.

  4. Następnie możesz utworzyć zasady plików w usłudze Defender dla Chmury Apps, aby kontrolować pliki, które są udostępniane niewłaściwie i znajdować pliki oznaczone etykietą i zostały ostatnio zmodyfikowane.

  • Możesz utworzyć zasady, które automatycznie stosują etykietę poufności do określonych plików.
  • Możesz również wyzwalać alerty dotyczące działań związanych z klasyfikacją plików.

Uwaga

Gdy etykiety poufności są wyłączone w pliku, wyłączone etykiety są wyświetlane jako wyłączone w usłudze Defender dla Chmury Apps. Usunięte etykiety nie są wyświetlane.

Przykładowe zasady — poufne dane udostępniane zewnętrznie na urządzeniu Box:

  1. Utwórz zasady dotyczące plików.

  2. Ustaw nazwę, ważność i kategorię zasad.

  3. Dodaj następujące filtry, aby znaleźć wszystkie poufne dane, które są udostępniane zewnętrznie w usłudze Box:

    Zasady poufności.

Przykładowe zasady — dane z ograniczeniami, które zostały ostatnio zmodyfikowane poza folderem Dane klienta w programie SharePoint:

  1. Utwórz zasady dotyczące plików.

  2. Ustaw nazwę, ważność i kategorię zasad.

  3. Dodaj następujące filtry, aby znaleźć wszystkie ostatnio zmodyfikowane pliki z ograniczeniami z wyłączeniem folderu Dane klienta w opcji wyboru folderu:

    Zasady danych z ograniczeniami.

Możesz również ustawić alerty i powiadomienia użytkowników lub natychmiast podejmować akcję dla tych zasad. Dowiedz się więcej o akcjach ładu.

Dowiedz się więcej o usłudze Microsoft Purview.

Następne kroki

Kontrola aplikacji w chmurze za pomocą zasad

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.