Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Сведения о том, что такое метки конфиденциальности и как они могут защитить данные организации, см. в статье Сведения о метках конфиденциальности.
Если вы готовы приступить к защите данных своей организации с помощью меток конфиденциальности, выполните следующие действия.
Создание меток. Создайте и назовите метки конфиденциальности согласно таксономии классификации вашей организации для разных уровней конфиденциальности контента. Следует использовать общие имена или термины, которые понятны пользователям. Если у вас еще не создана таксономия, рекомендуется начать с таких имен меток, как "Личное", "Общедоступное", "Общее", "Конфиденциально" и "Строго конфиденциально". С помощью подчиненных меток можно затем сгруппировать похожие метки по категории.
Для каждой метки укажите подсказку, чтобы помочь пользователям выбрать соответствующую метку и рассмотреть возможность включения конкретных примеров. Однако не делайте подсказку так долго, чтобы пользователи не читали ее, и помните, что некоторые приложения могут усечь длинные подсказки.
Примечание.
Некоторые рекомендуемые примеры см. в описании имен меток и описаний меток конфиденциальности по умолчанию. Дополнительные рекомендации по определению таксономии классификации см. в разделе Классификация данных & таксономия меток конфиденциальности.
Всегда проверяйте и настраивайте имена меток конфиденциальности и подсказки с пользователями, которым нужно их применить.
Определение возможностей каждой метки. Настройте параметры защиты, связанные с каждой меткой. Например, для содержимого низкого уровня конфиденциальности (например, метка "Общее") рекомендуется просто применять верхний или нижний колонтитул, а для содержимого высокого уровня конфиденциальности (например, метка "Конфиденциально") следует применять водяной знак и шифрование.
Публикация меток. После настройки меток конфиденциальности опубликуйте их с помощью политики меток. Определите, какие пользователи и группы должны иметь доступ к меткам и какие параметры политики использовать. Одну метку можно использовать несколько раз — вы определяете ее один раз, после чего можете включить ее в несколько политик меток, назначенных разным пользователям. Например, вы можете осуществить пилотное развертывание меток конфиденциальности, назначив политику меток лишь нескольким пользователям. Когда вы будете готовы к развертыванию меток во всей организации, вы можете создать новую политику меток и указать в ней всех пользователей.
Совет
У вас может быть право на автоматическое создание стандартных меток, а также политики меток по умолчанию, которая автоматически выполняет шаги с 1 по 3. Подробнее см. в разделе Метки и политики по умолчанию для Microsoft Purview Information Protection.
Базовый поток для развертывания и применения меток конфиденциальности приведен на следующей схеме. Он определяет роли и действия администраторов, конечных пользователей, а затем Office или сторонних приложений или служб, которые соответственно создают метки, применяют их и применяют параметры меток.
Требования к лицензированию и выставлению счетов для меток конфиденциальности
Ряд различных подписок для каждого пользователя поддерживают метки конфиденциальности для приложений и служб Microsoft 365, а требования к лицензированию для пользователей зависят от используемых функций. Администраторам также требуется лицензия для управления метками конфиденциальности.
Сведения о том, как лицензировать пользователей для использования функций Microsoft Purview, см. в описании службы Microsoft Purview. Сведения о метках конфиденциальности см. в разделе Защита информации Microsoft Purview меток конфиденциальности и связанном pdf-файле, чтобы узнать о требованиях к лицензированию на уровне компонентов.
Для источников данных, отличных от Microsoft 365, применение меток конфиденциальности в схеме данных и использование политик защиты требует настройки выставления счетов с оплатой по мере использования в вашей организации.
Совет
Так как функции для этих решений используют выставление счетов с оплатой по мере использования или лицензирование на пользователя для Microsoft Purview, может оказаться полезным использовать Центр использования , чтобы понять использование и управлять ими. Дополнительные сведения см. в статье Управление использованием лицензий с оплатой по мере использования и лицензированием на пользователя.
Разрешения, необходимые для создания меток конфиденциальности и управления ими
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Минимизация числа пользователей с ролью глобального администратора помогает повысить безопасность организации. Дополнительные сведения о ролях и разрешениях Microsoft Purview.
Членам вашей команды соответствия требованиям, которые будут создавать метки конфиденциальности и требуются разрешения на портал Microsoft Purview. Можно использовать следующие группы ролей:
- Защита информации
- Администраторы Information Protection
- Аналитики Information Protection
- Исследователи Information Protection
- Читатели Information Protection
Чтобы объяснить каждую из них и содержащиеся в них роли, выберите группу ролей на портале Microsoft Purview, а затем просмотрите описание во всплывающей области. Или см. статью Группы ролей в Microsoft Defender для соответствия требованиям Office 365 и Microsoft Purview.
Вместо использования групп ролей по умолчанию можно создать новую группу ролей и добавить в нее роль администратора меток конфиденциальности . Чтобы применить роль только для чтения, используйте вариант Читатель меток конфиденциальности.
Другой вариант — добавить пользователей в группу ролей "Администратор данных соответствия требованиям", "Администратор соответствия требованиям" или "Администратор безопасности ".
Инструкции по настройке см . в разделе Разрешения на портале Microsoft Purview.
Эти разрешения необходимы только для создания и настройки меток конфиденциальности и соответствующих политик меток. Они не требуются для применения меток в приложениях или службах. Если для определенных конфигураций, связанных с метками конфиденциальности, требуются дополнительные разрешения, эти разрешения будут указаны в соответствующих инструкциях.
Поддержка административных единиц
Метки конфиденциальности поддерживают административные единицы, настроенные в Microsoft Entra ID:
Вы можете назначить административные единицы членам групп ролей, которые используются с Защита информации Microsoft Purview. Измените эти группы ролей и выберите отдельных участников, а затем выберите параметр Назначить единицы администрирования, чтобы выбрать административные единицы из Microsoft Entra ID. Теперь эти администраторы могут управлять только пользователями в этих административных единицах.
Вы можете определить начальную область политик меток конфиденциальности и политик автоматической маркировки при создании или изменении этих политик. При выборе административных единиц для Exchange и OneDrive только пользователи из этих административных единиц будут иметь право на использование политики. При выборе административных единиц для SharePoint политика будет применяться только к сайтам в этих административных единицах.
Политики защиты не поддерживают административные единицы.
Конфигурация административных единиц и точность их членства являются Microsoft Entra ID зависимостью. Хотя основная цель административных единиц — обеспечить соблюдение рекомендаций по обеспечению безопасности с минимальными привилегиями, использование административных единиц для политик маркировки может упростить их настройку и обслуживание.
Например, ваша организация настроила административные единицы для определенных стран, и вам нужно опубликовать новую метку конфиденциальности только для пользователей во Франции и назначить определенные параметры политики этим пользователям:
Вы входите на портал Microsoft Purview. Ваша учетная запись входит в группу ролей Information Protection Администраторы, и вашей учетной записи в этой группе ролей назначены административные единицы для Франции, Германии и Испании.
При создании политики меток конфиденциальности вы увидите только три административные единицы и выберите одну для Франции, сохраняя значение по умолчанию для всех пользователей и групп.
Эта конфигурация автоматически ограничивает политику всеми пользователями во Франции. Вам не нужно беспокоиться о том, какие группы выбрать или вручную выбрать пользователей. Вам также не нужно беспокоиться об изменении политики при наличии новых пользователей во Франции, так как это изменение обрабатывается административной единицей в Microsoft Entra.
Дополнительные сведения о том, как Microsoft Purview поддерживает административные единицы, см. в разделе Административные единицы.
Стратегия развертывания для меток конфиденциальности
Успешная стратегия развертывания меток конфиденциальности в организации заключается в создании рабочей виртуальной команды, которая определяет деловые и технические требования, испытания концепции, внутренние контрольные точки и утверждения, окончательное развертывание в рабочей среде, а также управляет этими компонентами.
С помощью таблицы в следующем разделе мы рекомендуем определить основные один-два сценария, соответствующие наиболее важным бизнес-требованиям. После развертывания этих сценариев вернитесь к списку, чтобы определить следующие один или два приоритета для развертывания.
Совет
Чтобы ускорить развертывание, используйте страницу Обзор из Information Protectionна портале Microsoft Purview, чтобы просмотреть рекомендации по маркировке и отчеты, относящиеся к вашей организации, и многое другое.
Обычные сценарии использования меток конфиденциальности
Для всех сценариев требуется создать и настроить метки конфиденциальности и соответствующие политики.
| Я хочу… | Документация |
|---|---|
| Управлять метками конфиденциальности в приложениях Office для их применения к содержимому при его создании — включая поддержку присвоения меток вручную на всех платформах | Управление метками конфиденциальности в приложениях Office |
| Расширение меток в Windows проводник и PowerShell | Расширение меток конфиденциальности в Windows |
| Шифровать документы и сообщения электронной почты с помощью меток конфиденциальности, а также ограничить доступ к этому содержимому и его использование | Ограничение доступа к содержимому при использовании меток конфиденциальности для шифрования |
| Убедитесь, что документы с сайтов SharePoint сохраняют свои текущие разрешения при скачивании файлов, и защитите их от перемещения и копирования | Настройка SharePoint с меткой конфиденциальности для расширения разрешений на скачанные документы |
| Защита собраний Teams от приглашений и ответов на собрания до защиты самого собрания и связанного чата | Использование меток конфиденциальности для защиты элементов календаря, собраний Teams и чата |
| Защита сообщений голосовой почты Teams | Включение защищенной голосовой почты в организации |
| Включение меток конфиденциальности для Office для Интернета с поддержкой совместного редактирования, обнаружения электронных данных, защиты от потери данных, поиска, даже если документы зашифрованы | Включение меток конфиденциальности для файлов в SharePoint и OneDrive |
| Использование меток конфиденциальности с Microsoft Loop для защиты содержимого Loop | Использование меток конфиденциальности с Microsoft Loop |
| Автоматически помечать файлы в SharePoint с помощью метки конфиденциальности по умолчанию | Настройка метки конфиденциальности по умолчанию для библиотеки документов SharePoint |
| Использовать совместное редактирование и автоматическое сохранение в классических приложениях Office, когда документы зашифрованы | Включение совместного редактирования для файлов, зашифрованных с помощью меток конфиденциальности |
| Автоматически применять метки конфиденциальности документам и сообщениям электронной почты | Автоматическое применение метки конфиденциальности к данным Microsoft 365 |
| Использование меток конфиденциальности для защиты содержимого в Teams и SharePoint | Использование меток конфиденциальности в Microsoft Teams, в группах Microsoft 365 и на сайтах SharePoint |
| Использовать метки конфиденциальности для настройки типа ссылки для общего доступа по умолчанию для сайтов и отдельных документов в SharePoint и OneDrive | Использование меток конфиденциальности для настройки ссылки общего доступа по умолчанию для сайтов и документов в SharePoint и OneDrive |
| Применить метку конфиденциальности к модели осмысления документации, чтобы идентифицированные документы в библиотеке SharePoint классифицировались и защищались автоматически | Применение метки конфиденциальности к модели в Microsoft Syntex |
| Запрещать или предупреждать пользователей о предоставлении общего доступа к файлам и сообщениям с определенными метками конфиденциальности | Использование меток конфиденциальности в качестве условия в политиках защиты от потери данных |
| Применять метку конфиденциальности к файлу при получении оповещения о том, что к содержимому с персональными данными предоставляется общий доступ и что ему требуется защита | Исследование и исправление оповещений в управлении рисками конфиденциальности |
| Применение метки хранения для сохранения или удаления файлов и электронных писем с определенной меткой конфиденциальности | Автоматическое применение метки хранения для сохранения или удаления контента |
| Обнаруживать, применять метки и защищать файлы, хранящиеся в локальных хранилищах данных | Развертывание сканера защиты информации для автоматической классификации и защиты файлов |
| Обнаруживать, применять метки и защищать файлы, хранящиеся в облачных хранилищах данных | Обнаружение, классификация, применение меток и защита регламентированных и конфиденциальных данных, хранящихся в облаке |
| Пометьте столбцы базы данных SQL, используя те же метки конфиденциальности, что и для файлов и электронных писем, чтобы у организации было единое решение для маркировки, которое может по-прежнему защищать эти структурированные данные при их экспорте. |
Обнаружение и классификация данных для базы данных SQL Azure, Управляемого экземпляра Azure SQL и Azure Synapse Analytics Обнаружение и классификация данных SQL для локального SQL Server |
| Применение и просмотр меток в Power BI и защита данных при сохранении за пределами службы | Метки конфиденциальности в Power BI |
| Пометка элементов в Microsoft Fabric для ограничения доступа и предоставления пользователям разрешений только для чтения или полного доступа | Создание политик защиты для Fabric и управление ими |
| Отслеживать и понимать использования меток конфиденциальности в организации |
Обзор отчетов Кроме того, просмотрите отчеты о защите информации на портале Microsoft Purview. |
| Аудит меток конфиденциальности в моей организации | Действия журнала аудита — действия меток конфиденциальности |
| Определение содержимого для случаев обнаружения электронных данных на основе примененных меток конфиденциальности, таких как конфиденциальные и строго конфиденциальные | Создание поисковых запросов в eDiscovery с помощью построителя условий |
| Расширить применение меток конфиденциальности на сторонние приложения и службы | Пакет SDK для Microsoft Information Protection |
| Расширьте метки конфиденциальности для контента в ресурсах карты данных Microsoft Purview, таких как хранилище BLOB-объектов Azure, файлы Azure, хранилище озера данных Azure и многооблачные источники данных. | Маркировка в карте данных Microsoft Purview |
Документация по меткам конфиденциальности для пользователей
Наиболее полезной документацией для пользователей будет настроенное руководство и инструкции, предоставленные в отношении имен меток и выбранных вами конфигураций. Для указания внутренних ссылок на эту документацию можно использовать параметр политики меток Предоставлять пользователям ссылки на специально созданную страницу справки.
В приложениях Office пользователи могут легко получить доступ к вашей настраиваемой справке с помощью кнопки Конфиденциальность в меню Подробнее . Если не указать ссылку в параметре политики, пользователи не увидят этот пункт меню в своих приложениях.
Из Защита информации Microsoft Purview файлового лаблера в Windows проводник пользователи могут получить доступ к той же настраиваемой справке из справки и отзывов>Сообщите больше в диалоговом окне средства метки файлов.
Для получения основных инструкций можно использовать следующие ресурсы:
Если метки конфиденциальности применяют шифрование к PDF-документам, то эти документы можно открыть с помощью Microsoft Edge в Windows или Mac. Дополнительные сведения см. в разделе Просмотр защищенных PDF-файлов с помощью Microsoft Edge в Windows или Mac.