События
19 нояб., 23 - 10 янв., 23
Ignite Edition - Microsoft セキュリティ製品のスキルを構築し、1 月 10 日までにデジタル バッジを獲得しましょう。
今すぐ登録Этот браузер больше не поддерживается.
Выполните обновление до Microsoft Edge, чтобы воспользоваться новейшими функциями, обновлениями для системы безопасности и технической поддержкой.
В этой статье содержатся рекомендации по использованию конфигурации групп и сайтов Microsoft Purview для включения меток конфиденциальности для сайтов SharePoint и Microsoft Teams. Его цель заключается в том, чтобы помочь правительственным организациям Австралии повысить их способность защищать конфиденциальную информацию в этих службах при соблюдении требований, изложенных в Рамках политики защиты безопасности (PSPF) и Руководстве по информационной безопасности (ISM).
параметры Группы и сайтов можно включить для метки конфиденциальности при настройке метки область. Эти параметры позволяют применять метки конфиденциальности к таким расположениям, как сайты SharePoint Teams и группы Microsoft 365.
конфигурация Группы и сайтов позволяет нам последовательно применять следующие элементы управления для расположений с примененной меткой:
Включение конфигурации меток групп и сайтов приводит к тому, что настроенные параметры политики меток вступают в игру для всех вновь созданных сайтов SharePoint или Teams. Если пользователь находится в область политики меток, требующей обязательной маркировки для этих элементов, то каждый раз, когда пользователь создает новый сайт SharePoint или группу Microsoft 365, пользователь должен выбирать метку конфиденциальности.
Эти параметры соответствуют политике политики защиты безопасности (PSPF) 8 основных требований C, так как политика настроена пропорционально конфиденциальности расположения.
Требование | Detail (Сведения) |
---|---|
Требование C политики PSPF 8 ядер (версия 2018.6) | Реализуйте операционные элементы управления для этих информационных запасов пропорционально их значению, важности и конфиденциальности. |
Эти параметры также соответствуют требованиям политики PSPF 8 Core A и вспомогательному требованию 1, так как они расширяют требование для пользователей идентифицировать файлы и сообщения электронной почты в таких расположениях, как сайты SharePoint и Teams.
Требование | Detail (Сведения) |
---|---|
Основное требование A и вспомогательное требование 1. Определение запасов информации (версия 2018.6) | Инициатор должен определить, является ли создаваемая информация официальной (предназначенной для использования в качестве официальной записи) и относится ли эта информация к категории безопасности. |
Эти параметры также соответствуют требованию поддержки 4, так как возможность расширяет требования к маркировке файлов и сообщений электронной почты на сайты SharePoint, Teams и группы Microsoft 365.
Требование | Detail (Сведения) |
---|---|
Политика PSPF 8. Вспомогательное требование 4 . Сведения о маркировке (версия 2018.6) | Инициатор должен четко определить конфиденциальную и конфиденциальную информацию, в том числе сообщения электронной почты, используя соответствующую защитную маркировку. |
Примечание
Чтобы автоматически применить выбранную метку к любому элементу, созданному в расположении, используйте параметр Метка по умолчанию для SharePoint .
Когда метка конфиденциальности применяется к расположению SharePoint, визуальная маркировка, которая предоставляется в верхней части сайта, указывает на конфиденциальность расположения для пользователей. Эта информация полезна для определения того, подходит ли информация, расположенная на сайте, для распространения.
Метки, применяемые к сайтам SharePoint, изменяются владельцами сайтов или администраторами SharePoint.
Совет
Представления в библиотеках документов SharePoint можно изменить, чтобы отобразить метку конфиденциальности, применяемую к элементам. Эта функция полезна для идентификации элементов в расположении, которое может быть неуместно.
Значки файлов в каталоге SharePoint можно настроить для отображения маркеров значков для помеченных элементов, на которые распространяются ограничения общего доступа, или элементов с настроенными подсказками политики. Эти две конфигурации согласованы с классификациями безопасности OFFICIAL: Sensitive и PROTECTED, чтобы обеспечить другой подход к маркировке для пользователей, работающих в библиотеках документов. Например:
Дополнительные сведения об ограничении параметров общего доступа см. в разделе Предотвращение совместного использования сведений, классифицированных по безопасности.
Как и SharePoint, новые Команды, созданные пользователями, которые находятся в область политик маркировки, подчиняются требованиям этой политики, которые могут потребовать от них выбора метки.
Метки, применяемые к Teams, изменяются владельцами команд, администраторами Teams или администраторами Microsoft Entra ID с помощью базовой группы Microsoft 365.
Как и в Случае с SharePoint, представления файлов Teams можно изменить, чтобы пользователи имели четкое представление о конфиденциальности элементов.
конфигурация Группы и сайтов применяет метки политики, применяемые к группам Microsoft 365. Группы Microsoft 365 используются в качестве службы членства для Teams и сайтов групп SharePoint. Эта функция используется в других средах Microsoft 365. Например, он используется в качестве службы членства в почтовых ящиках групп. Это прогресс по сравнению с традиционным Списки распространения Exchange, который обеспечивает самостоятельное администрирование пользователей и возможность подписываться или отменять подписку на групповые сообщения, доставляемые непосредственно в почтовый ящик.
Применение меток к почтовым ящикам групп может четко указывать на конфиденциальность содержимого, которое должно существовать или безопасно предоставляться участникам группы. Другие элементы управления также можно настроить для ограничения распространения содержимого с повышенной чувствительностью.
конфигурация Группы и сайтов может быть неприменимой для всех меток и требует адаптации. Например, маркеры управления сведениями (IMM) больше относятся к отдельным элементам, чем к расположениям. Аналогия заключается в том, что метка, применяемая к расположению, аналогична классу контейнера, который применяется к запираемому шкафу или сейфу. Контейнер поставляется с набором элементов управления для защиты содержащейся информации, но для каждой метки может потребоваться контейнер. Элементы, помеченные различными сочетаниями метки (например, OFFICIAL Sensitive и все связанные IMM и другие вложенные метки), потенциально могут находиться в одном контейнере с одинаковым уровнем защиты. Отдельные элементы в контейнере могут иметь любые варианты меток, применяемых к ним, вплоть до метки контейнера.
При обработке конфигурации групп и сайтов таким образом мы можем требовать только одну метку для каждой категории, применяемой к группам и сайтам. Это может быть метка без применения IMM. Если параметры групп и сайтов включены только для определенных меток, только эти метки доступны для приложений в этих расположениях. В следующей таблице приведен пример в контексте австралийского правительства.
Метка конфиденциальности | конфигурация Группы и сайтов | Доступно для приложений в SharePoint и Teams |
---|---|---|
НЕОФИЦИАЛЬНЫЙ | Вкл. | Выбор |
ОФИЦИАЛЬНЫЙ | Вкл. | Выбор |
OFFICIAL Sensitive | Выкл. | |
— официальный конфиденциальный | Вкл. | Выбор |
— ОФИЦИАЛЬНАЯ конфиденциальность личной информации | Выкл. | |
- ОФИЦИАЛЬНЫЕ конфиденциальные юридические привилегии | Выкл. | |
- ОФИЦИАЛЬНАЯ конфиденциальность законодательных секретов | Выкл. | |
- ОФИЦИАЛЬНЫЙ КОНФИДЕНЦИАЛЬНЫЙ НАЦИОНАЛЬНЫЙ КАБИНЕТ | Выкл. |
В этой конфигурации ожидается, что расположение, помеченное как OFFICIAL Sensitive , будет содержать официальную конфиденциальную информацию, включая информацию, связанную с мгновенными сообщениями о личной конфиденциальности, юридических привилегиях и законодательной тайне.
Бывают ситуации, когда требуется альтернативная конфигурация и необходимо выполнить соответствующий бизнес-анализ, чтобы определить это. Например, государственные организации, которым требуется применять различные элементы управления к защищенным юридическим привилегиям, могут захотеть включить конфигурацию групп и сайтов для этой метки. Кроме того, может потребоваться записать обоснования изменения меток для изменений в этих элементах. В таких ситуациях метка PROTECTED Legal Privilege должна быть полной меткой, а не вложенной меткой. Он также должен быть расположен над другой категорией PROTECTED, чтобы изменение метки с PROTECTED Legal Privilege на PROTECTED можно было определить как снижение конфиденциальности. Следующая таблица является примером этого в контексте австралийского правительства.
Метка конфиденциальности | конфигурация Группы и сайтов | Доступно для приложений в SharePoint и Teams |
---|---|---|
ЗАЩИЩЕННЫЙ | Выкл. | |
-ЗАЩИЩЕННЫЙ | Вкл. | Выбор |
— ЗАЩИЩЕННАЯ личная конфиденциальность | Выкл. | |
- ЗАЩИЩЕННАЯ законная тайна | Выкл. | |
- ЗАЩИЩЕННЫЙ ШКАФ | Выкл. | |
Защищенные юридические привилегии | Вкл. | Выбор |
Чтобы применить параметры групп и сайтов к меткам, необходимо включить параметр для организации. Этот процесс включает использование PowerShell для обеспечения безопасности & соответствия требованиям. Дополнительные сведения об этом процессе см. в статье Назначение меток конфиденциальности группам — Microsoft Entra | Microsoft Learn.
После успешного включения параметров групп и сайтов с помощью PowerShell параметр выбора этой конфигурации станет доступен в конфигурации меток.
Первый вариант, доступный в конфигурации групп и сайтов, — конфиденциальность. Этот параметр позволяет организациям применять параметры конфиденциальности к любым группам Microsoft 365 (включая почтовые ящики групп), Teams и сайтам SharePoint. Конфиденциальность может быть общедоступной, частной или нет.
Параметры конфиденциальности относятся к политике PSPF 9, требование 2, которое относится к принципу "необходимо знать ":
Требование | Detail (Сведения) |
---|---|
Требование 2 политики PSPF 9. Ограничение доступа к конфиденциальной и секретной информации и ресурсам (версия 2018.6) | Чтобы снизить риск несанкционированного раскрытия информации, сущности должны обеспечить доступ к конфиденциальной и защищенной информации или ресурсам только людям, которым требуется знать. |
Общедоступный параметр конфиденциальности позволяет любому пользователю в организации присоединиться к группе и (или) получить доступ к содержимому групп. Этот параметр может подходить для метки UNOFFICIAL.
Если для параметра конфиденциальности метки задано значение None , владельцы групп могут гибко выбирать соответствующий параметр конфиденциальности.
Для содержимого OFFICIAL в политике PSPF 8 говорится, что принцип "необходимо знать" рекомендуется, но не требуется. Метка OFFICIAL, скорее всего, будет применяться к многочисленным элементам, предназначенным для распространения. Таким образом, предоставление владельцам официальных групп гибкости при принятии решения о конфиденциальности.
Требование | Detail (Сведения) |
---|---|
Политика PSPF 8. Приложение A. Минимальные требования к защите и обработке официальной информации (версия 2018.6) | Для официальной информации рекомендуется использовать принцип need-to-know. |
Для официальной информации: конфиденциальной и защищенной информации применяется принцип "необходимо знать". Для параметров конфиденциальности должно быть задано значение Закрытое. Это помогает предотвратить доступ к любой содержащейся информации для тех, кто не имеет необходимости знать, и заставляет владельцев групп отвечать за все дополнения к членству.
Требование | Detail (Сведения) |
---|---|
Политика PSPF 8. Приложение A. Минимальные требования к защите и обработке для OFFICIAL: Конфиденциальная информация (версия 2018.6) | Принцип need-to-know применяется ко всем OFFICIAL: Конфиденциальная информация. |
Политика PSPF 8. Приложение A. Минимальные требования к защите и обработке защищенной информации (версия 2018.6) | Принцип "необходимо знать" применяется ко всем защищенным сведениям. |
Доступные варианты управления гостевым доступом с помощью метки конфиденциальности — это простые конфигурации, но желаемый подход зависит от конфигурации организации и ее более широких требований к внешней совместной работе. По этой причине существуют конкретные рекомендации для организаций с требованиями к высокому внешнему управлению совместной работой и организациям с низкими потребностями в управлении.
Организациям с высоким уровнем внешнего контроля совместной работы требуется строгая конфигурация, которая жестко регулирует внешний доступ к среде Microsoft 365. Такие организации настроили:
Организации также будут иметь соглашения с внешними организациями, которые описывают административные обязательства каждой стороны партнерства.
Следующие требования относятся к высокому внешнему управлению совместной работой.
Требование | Detail (Сведения) |
---|---|
Требование C политики PSPF 8 ядер (версия 2018.6) | Реализуйте операционные элементы управления для этих информационных запасов пропорционально их значению, важности и конфиденциальности. |
Политика PSPF 8. Приложение A. Минимальные требования к защите и обработке защищенной информации (версия 2018.6) | Для постоянного доступа к защищенной информации требуется базовый зазор безопасности (минимум). |
Политика PSPF 9. Требование 1. Формализованные соглашения об обмене информацией и ресурсами (версия 2018.6) | При раскрытии секретной информации или ресурсов безопасности лицу или организации за пределами правительства организации должны иметь соглашение или соглашение, например контракт или дело, регулирующее использование и защиту информации. |
Политика PSPF 9. Требование 3a. Текущее обеспечение безопасности доступа к конфиденциальным сведениям и ресурсам (версия 2018.6) | Сущности должны обеспечить, чтобы пользователи, которым требуется постоянный доступ к секретной информации или ресурсам безопасности, были очищены до соответствующего уровня. |
Организации, которые реализовали предыдущий список элементов управления, могут включить гостевой доступ и внешнюю совместную работу для всех меток до включительно PROTECTED (при условии, что разрешение гостя получено и поддерживается на соответствующем уровне).
Организации с низким уровнем внешних элементов управления совместной работой и не реализовали предыдущий список элементов управления, следует отметить следующее:
Для таких организаций включение гостевого доступа к защищенному содержимому не подходит, так как операционные элементы управления и процессы, которые обеспечивают не включенные соответствующие разрешения безопасности.
Параметр "Доступ внешнего пользователя" определяет, могут ли гости добавляться в группы Microsoft 365 (включая Teams) с примененной меткой.
Организации с высоким уровнем внешнего контроля совместной работы могут включить этот параметр для всех меток, чтобы обеспечить совместную работу гостей по всем направлениям.
Пользователи с более низким уровнем управления могут захотеть включить этот параметр только для сайтов OFFICIAL и OFFICIAL, Teams и групп.
Организациям, которые не используют гостевую совместную работу в клиенте, следует отключить этот параметр и, кроме того, отключить параметры гостевого доступа в Entra.
Важно!
Параметры гостевого клиента, настроенные в Entra, всегда имеют приоритет над любой конфигурацией на основе меток.
Если гости не включены для среды в Entra, параметр доступа внешнего пользователя из метки не имеет значения и игнорируется.
Параметры внешнего доступа, предоставляемые в примерах параметров групп и сайтов , демонстрируют, что операционные элементы управления пропорциональны конфиденциальности расположения (согласно политике PSPF 8 основных требований C).
Параметры групп меток и сайтов обеспечивают согласованные параметры общего доступа к конфигурации на основе метки, примененной к расположению.
Значение по умолчанию организации (наименьшее допустимое значение) можно получить из настроенного параметра общего доступа SharePoint. Затем администратор может настроить более строгие параметры по отдельности на сайте или настроить на основе метки конфиденциальности, примененной к сайтам.
Преимущество конфигурации, основанной на метках конфиденциальности, заключается в том, что конфиденциальные расположения защищены от недопустимого общего доступа с помощью конфигурации на основе меток, а не наследование минимального значения организации по умолчанию.
Для элементов управления общим доступом на основе меток доступны следующие параметры:
Обычное развертывание начинается с параметра "новые и существующие гости", выбранного для расположений с низкой конфиденциальностью, и переходит к "только людям в вашей организации" для высокой конфиденциальности, например защищенным расположениям. Организации с высоким уровнем внешнего контроля совместной работы используют параметр "Существующие гости" для всех меток.
Как и в случае с параметрами внешнего доступа, примеры конфигураций, предоставляемые в примерах параметров групп и сайтов , предназначены для демонстрации операционных элементов управления, пропорциональной конфиденциальности расположения (согласно требованиям политики PSPF 8 core C).
Если организация хочет дополнительно ограничить общий доступ из помеченных расположений, с помощью PowerShell можно включить дополнительные возможности, которые управляют параметрами общего доступа, доступными для участников сайта или группы. Эту конфигурацию можно применить к меткам PROTECTED в соответствии с требованием 2 политики PSPF 9:
Требование | Detail (Сведения) |
---|---|
Требование 2 политики PSPF 9. Ограничение доступа к конфиденциальной и секретной информации и ресурсам (версия 2018.6) | Чтобы снизить риск несанкционированного раскрытия информации, сущности должны обеспечить доступ к конфиденциальной и защищенной информации или ресурсам только людям, которым требуется знать. |
Этот параметр гарантирует, что владельцы команд имеют контроль над доступом пользователей к содержимому, хранящееся в защищенных расположениях, так как им нужно либо завершить все действия по совместному использованию от имени участников, либо предоставить доступ к сайту или содержащейся в команде информации, расширив ее членство.
Эти возможности можно настроить с помощью следующего powerShell:
Set-Label -Identity <Label_GUID> -AdvancedSettings @{MembersCanShare="MemberShareNone"}
Дополнительные сведения о параметре MembersCanShare см. в статье Использование меток конфиденциальности с сайтами Microsoft Teams, Группы Microsoft 365 и SharePoint.
Политики условного доступа в Microsoft Entra ID предоставляют элементы управления доступом к службам, которые используют проверку подлинности Entra и управление доступом. Политики условного доступа оценивают определенные условия, чтобы определить, разрешен ли доступ к определенным службам, таким как SharePoint, Teams или Microsoft 365 в целом. Возможности политик условного доступа по умолчанию не позволяют более детально контролировать доступ к определенной группе или уровню сайта.
Конфигурация условного доступа меток конфиденциальности позволяет согласовать метку, применяемую к расположению (сайту или группе), и требования к доступу пользователей. Это обеспечивает более детализированный уровень управления, чем при стандартном условном доступе, который в большинстве случаев проверяется при входе или подключении к службе.
Требования к условному доступу для меток конфиденциальности применяются в дополнение к любым требованиям к условному входу. Например, если политика условного доступа требует следующего:
Если все эти условия выполняются, политика на основе меток, которая также требует управляемого устройства, не дает значения, так как это требование выполняется политикой условного доступа, активирующейся при входе.
Однако пользователям может быть разрешено проходить проверку подлинности и доступ к некоторым расположениям (например, OFFICIAL или OFFICIAL) через неуправляемые устройства. Если затем они попытаются получить доступ к расположению с повышенной конфиденциальности (например, OFFICIAL: Sensitive), которое настроено для использования управляемых устройств, их доступ блокируется. Эти возможности можно использовать для разрешения удаленной работы, предоставляя уровень доступа через личные мобильные устройства или домашние компьютеры, не подвергая организации риску использования таких устройств для доступа к расположениям с высокой степенью конфиденциальности.
Как и во многих вариантах конфигурации групп и сайтов, эти элементы управления можно привязать к политике PSPF 8 Core Requirement C, так как они позволяют применять ограничения доступа на основе конфиденциальности расположения:
Требование | Detail (Сведения) |
---|---|
Требование C политики PSPF 8 ядер (версия 2018.6) | Реализуйте операционные элементы управления для этих информационных запасов пропорционально их значению, важности и конфиденциальности. |
Кроме того, поскольку этот набор элементов управления связан с ограничением доступа к информации и помогает обеспечить необходимые сведения, политика PSPF 9 Требование 2 также применяется:
Требование | Detail (Сведения) |
---|---|
Требование 2 политики PSPF 9. Ограничение доступа к конфиденциальной и секретной информации и ресурсам (версия 2018.6) | Чтобы снизить риск несанкционированного раскрытия информации, сущности должны обеспечить доступ к конфиденциальной и защищенной информации или ресурсам только людям, которым требуется знать. |
Существуют две категории конфигурации условного доступа, доступные с помощью параметров групп и сайтов:
Неуправляемые устройства — это устройства, которые не зарегистрированы в Intune платформе управления устройствами или не присоединены к Microsoft Entra ID. Идентификация неуправляемых устройств помогает убедиться, что устройства, подключающиеся к среде, известны, что пользователи прошли проверку подлинности с помощью учетной записи организации и что базовый набор требований к устройству установлен. Устройства, которые не соответствуют этим требованиям, могут считаться более высокими рисками, чем те, которые это делают.
Дополнительные сведения о устройствах, присоединенных к Microsoft Entra ID, см. в статье Что такое устройство, присоединенное к Azure AD?
Настройка параметров неуправляемого устройства на метках конфиденциальности позволяет связывать помеченные сайты SharePoint или Teams с политиками условного доступа, предназначенными для неуправляемых устройств, и применением "ограничений, применяемых приложением".
Существует три варианта конфигурации:
Существует несколько сценариев, в которых организациям может потребоваться применять более детализированные элементы управления к помеченным расположениям, чем те, которые основаны исключительно на состоянии управления устройствами. Контекст проверки подлинности позволяет согласовать полнофункциональный режим политики условного доступа с помеченными расположениями.
Контекст проверки подлинности по сути является объектом, который используется для связывания политики условного доступа с меткой конфиденциальности. Попытки доступа к сайту с метками активируют связанную политику условного доступа и применяют ее требования.
Преимущества контекста проверки подлинности:
Контекст проверки подлинности и связанные с ним политики условного доступа необходимо создать в Microsoft Entra ID, прежде чем их можно будет связать с меткой.
Приложение А политики PSPF 8 включает список средств контроля, которые должны быть введены для использования и хранения информации за пределами государственных учреждений.
Эти приложения включают определения управляемых (защищенное состояние) и неуправляемых (незащищенных) устройств, а также инструкции об использовании авторизованных неправительственных устройств, что является сложным. Дополнительные сведения об этих приложениях см. в разделе Защита политики безопасности (PSPF).
Что касается использования неавторизованных, неправительственных устройств, которые попадают в категорию "все остальные мобильные устройства":
Требование | Detail (Сведения) |
---|---|
Политика PSPF 8, приложение B. Минимальные требования к защите и обработке для мобильных устройств, выданных правительством (версия 2018.6) | Все остальные мобильные устройства — устройства, которые не принадлежат, не выданы или не авторизованы сущностью. Эти устройства не должны иметь разрешения на доступ, обработку, хранение или передачу правительственных сведений OFFICIAL: Конфиденциальной или более поздней информации. |
Ниже приведен пример настройки политик условного доступа на основе меток в соответствии с требованием C политики PSPF 8 core (элементы управления пропорциональны конфиденциальности). В примере далее показано, что общие политики условного доступа применяются к пользователям при проверке подлинности или доступе к службе перед любыми элементами управления на основе расположения, которые могут применяться к помеченным расположениям через контекст проверки подлинности:
Label | Параметры условного доступа |
---|---|
НЕОФИЦИАЛЬНЫЙ | Разрешить полный доступ. |
ОФИЦИАЛЬНЫЙ | Разрешить полный доступ. |
OFFICIAL: Sensitive | Блокировать доступ на всех неуправляемых устройствах. |
ЗАЩИЩЕННЫЙ | Связывание с контекстом проверки подлинности, который: — требуется управляемое устройство; — требуется членство в группе авторизованных пользователей; — требуется доступ из надежного расположения. |
Применение метки к расположению с помощью конфигурации групп и сайтов позволяет оповещать данные, не на месте.
Когда администратор применяет метку к расположению, он устанавливает, что расположение подходит для хранения элементов до включительно примененной метки. Если расположение настроено как "OFFICIAL: Sensitive", оно может содержать элементы всех меток до и в том числе "OFFICIAL: Sensitive" и любые вложенные метки, которые могут существовать в одной группировке.
Если защищенный элемент перемещается в расположение "OFFICIAL: Sensitive", это разлив данных и требует исправления, где важно оповещение вне места.
При возникновении таких событий:
Ниже приведен пример оповещения, которое отправляется пользователям при выполнении такого действия:
Совет
URL-адрес HelpLink , указанный в этом уведомлении, можно настроить с помощью:
Set-SPOTenant –LabelMismatchEmailHelpLink “URL”
Оповещения о неуместности данных должны тщательно отслеживаться следующим образом:
Государственные организации могут снизить риски кражи данных на месте, используя многоуровневый подход Microsoft Purview. К ним относятся:
По умолчанию оповещения о несоответствии конфиденциальности отображаются в журнале аудита, в почтовых ящиках администратора сайта и отображаются в обозревателе действий. Реализации Microsoft Purview для государственных организаций должны включать стратегию и процессы для устранения оповещений о несоответствии конфиденциальности. Стратегия также должна включать определение приоритетов, чтобы обеспечить приоритет более критических оповещений по сравнению с несоответствием более низкого приоритета.
Например, официальная информация, перемещаемая в расположение SharePoint с меткой "НЕГРАМАЛ", имеет меньше последствий по сравнению с защищенными данными, которые перемещаются в расположение SharePoint с меткой "OFFICIAL", и приоритет должен быть присвоен в порядке ранжирования.
В следующем примере матрицы приоритетов демонстрируются способы, с помощью которых организации могут определить, какие события следует приоритизировать для исправления данных, не на месте.
Метка элемента | Расположение НЕОФИЦИАЛЬНЫХ ДАННЫХ | Официальное расположение | ОФИЦИАЛЬНОЕ конфиденциальное расположение | ЗАЩИЩЕННОЕ расположение |
---|---|---|---|---|
ЭЛЕМЕНТ "НЕОФИЦИАЛЬНЫЙ" | - | - | - | - |
ОФИЦИАЛЬНЫЙ элемент | Более низкий приоритет | - | - | - |
ОФИЦИАЛЬНЫЙ конфиденциальный элемент | Средний приоритет | Средний приоритет | - | - |
ЗАЩИЩЕННЫЙ элемент | Наивысший приоритет | Высокий приоритет | Высокий приоритет | - |
Для мониторинга и выполнения этих событий необходимо использовать решение SIEM, например Microsoft Sentinel для приема журнала аудита, и фильтровать события на основе конфиденциальности расположения и конфиденциальности элемента. Затем мы активируем действия по предупреждению или исправлению для решения ситуации.
Для организаций, не использующих возможность SIEM, детализированное оповещение может быть предоставлено с помощью правила потока обработки почты, которое проверяет текст сообщений электронной почты, отправленных пользователям-оскорбляющимся пользователям, и направляет сообщения электронной почты в другое место для действий. Например:
Такие правила можно настроить для проверка сообщения электронной почты для сведений о конфиденциальности файлов и сайтов, а затем активировать соответствующее оповещение, например уведомление для групп безопасности.
Power Automate предлагает другие варианты создания отчетов или оповещений. Например, можно создать поток для действий с элементами, отправленными в почтовый ящик оповещений о данных, не на месте, получить поле диспетчера пользователей с Microsoft Entra ID и отправить руководителю отчет об инциденте, что позволит ему решить ситуацию с подчиненным.
Совет
Лучший подход — разработать стратегию оповещений и отчетности, которая будет соответствовать другим бизнес-процессам. Использование Microsoft Sentinel в качестве SIEM является лучшим вариантом, так как он создан и предназначен для совместной работы с Microsoft Purview.
Ниже приведен пример применения детализированных элементов управления к расположениям на основе примененной метки конфиденциальности. Это согласуется с основным требованием C политики PSPF 8 и предлагает операционные элементы управления, пропорциональные значению, важности и конфиденциальности элемента.
Метка конфиденциальности | сайты Группы & | Параметры конфиденциальности | Внешний доступ | Внешний обмен | Условный доступ |
---|---|---|---|---|---|
НЕОФИЦИАЛЬНЫЙ | Вкл. | Выкл. или Нет (Пользователь решает) |
Разрешить гостям | Разрешить существующим гостям | Отключение или разрешение полного доступа с неуправляемых устройств |
ОФИЦИАЛЬНЫЙ | Вкл. | Выкл. или Нет (Пользователь решает) |
Разрешить гостям | Разрешить существующим гостям | Отключение или разрешение полного доступа с неуправляемых устройств |
OFFICIAL Sensitive (Category) | Выкл. | Н/Д | Н/Д | Н/Д | Н/Д |
OFFICIAL Sensitive | Вкл. | Частный | Разрешить гостям | Разрешить существующим гостям | Блокировка доступа на неуправляемых устройствах |
ОФИЦИАЛЬНАЯ конфиденциальность конфиденциальности | Выкл. | Н/Д | Н/Д | Н/Д | Н/Д |
ОФИЦИАЛЬНЫЙ конфиденциальный юридический привилегии | Выкл. | Н/Д | Н/Д | Н/Д | Н/Д |
ОФИЦИАЛЬНАЯ конфиденциальность законодательной тайны | Выкл. | Н/Д | Н/Д | Н/Д | Н/Д |
ОФИЦИАЛЬНЫЙ КОНФИДЕНЦИАЛЬНЫЙ НАЦИОНАЛЬНЫЙ КАБИНЕТ | Выкл. | Н/Д | Н/Д | Недоступно | Н/Д |
PROTECTED (Категория) | Выкл. | Н/Д | Н/Д | Н/Д | Н/Д |
ЗАЩИЩЕННЫЙ | Вкл. | Частный | Не разрешать гостей | Только сотрудники вашей организации | Контекст проверки подлинности: — требовать MFA, — Управляемое устройство; и — Надежное расположение. |
ЗАЩИЩЕНО — личная конфиденциальность | Выкл. | Н/Д | Н/Д | Н/Д | Н/Д |
PROTECTED — правовая привилегия | Выкл. | Н/Д | Н/Д | Н/Д | Н/Д |
PROTECTED — законная тайна | Выкл. | Н/Д | Н/Д | Н/Д | Н/Д |
ЗАЩИЩЕННЫЙ ШКАФ | Вкл. | Частный | Не разрешать гостей | Только сотрудники вашей организации | Контекст проверки подлинности: — требовать MFA, — Управляемое устройство; и — Надежное расположение. |
ЗАЩИЩЕННЫЙ НАЦИОНАЛЬНЫЙ КАБИНЕТ | Вкл. | Частный | Не разрешать гостей | Только сотрудники вашей организации | Контекст проверки подлинности: — требовать MFA, — Управляемое устройство; и — Надежное расположение. |
Метка по умолчанию — это возможность, которая позволяет элементам, созданным в библиотеках документов SharePoint, автоматически наследовать метку конфиденциальности. Наследуемые метки применяются ко всем новым или не помеченным элементам, а также к элементам с существующей меткой, которая находится ниже по порядку, чем метка по умолчанию. Метки по умолчанию можно использовать для сопоставления конфиденциальности сайта с хранящимися в нем файлами.
Государственные организации могут быть обеспокоены очевидной близостью между вариантами маркировки по умолчанию и требованиями, запрещающими использование автоматической классификации, например:
Требование | Detail (Сведения) |
---|---|
Политика PSPF 8, требование 2a (основное требование): оценка конфиденциальной и конфиденциальной информации( версия 2018.6) | Чтобы решить, какую классификацию безопасности следует применить, инициатор должен: и. Оцените ценность, важность или конфиденциальность официальной информации, учитывая потенциальный ущерб правительству, национальным интересам, организациям или отдельным лицам, который может возникнуть, если конфиденциальность информации была скомпрометирована... и ii. Установите классификацию безопасности на самом низком разумном уровне. |
Маркировка по умолчанию в среде австралийского правительства может быть полезна в ситуациях, когда элементы создаются системами. Например, если в рамках бизнес-процесса использовалось приложение, которое создает элементы в пакетном режиме (например, поток Power Automate). Расположение, в которое создаются элементы, может применять метку по умолчанию. Это гарантирует, что для всех элементов, созданных процессом, применяются согласованные метки.
Метку наследуют только новые элементы, измененные или перемещенные в расположение после применения параметра по умолчанию. Метки не могут применяться к существующим неактивным файлам в расположении.
Для организаций, использующих шифрование меток, следует отметить следующие моменты с использованием меток по умолчанию:
Сведения о метках по умолчанию см. в статье Настройка метки конфиденциальности по умолчанию для библиотеки документов SharePoint.
События
19 нояб., 23 - 10 янв., 23
Ignite Edition - Microsoft セキュリティ製品のスキルを構築し、1 月 10 日までにデジタル バッジを獲得しましょう。
今すぐ登録