Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это руководство состоит из четырех этапов:
- Введение
- Этап 1. Базовый — начало работы с рекомендуемыми метками (эта страница)
- Этап 2. Управляемый — адрес файлов с наибольшей конфиденциальности
- Этап 3. Оптимизация — расширение защиты для всего пространства данных Microsoft 365
- Этап 4. Стратегический — эксплуатация, расширение защиты за пределы M365 и ретроактивные действия в отношении существующего содержимого
Эта схема также доступна для скачивания: PDF, PowerPoint.
Метки конфиденциальности в Microsoft Purview
Метки конфиденциальности — это теги организации, понятные и интуитивно понятные для конечных пользователей. Они интегрированы и согласованы в решениях Майкрософт и сторонних решений, таких как Adobe Acrobat Reader.
Политики защиты меток зависят от ресурса данных. Например:
- Шифрование и динамическое подложка для поддерживаемых типов файлов
- Элементы управления условным доступом и конфиденциальностью для сайтов SharePoint и Teams
- Управление разрешениями для баз данных Azure SQL, службы хранилища Azure и Amazon Web Services (AWS) S3
Стратегия применения меток часто начинается с ручной маркировки, затем автоматической маркировки на стороне клиента с помощью типов конфиденциальной информации (SIT), а затем автоматической маркировки на стороне службы (неактивных) с помощью SIT и контекстных условий. SharePoint также предлагает контекстную метку по умолчанию для каждой библиотеки, которую мы рассмотрим более подробно в этом руководстве.
Начните с меток по умолчанию и защиты на уровне файла и сайта
Для большинства клиентов рекомендуется начать со следующего определения. Эти рекомендуемые метки можно адаптировать, если у вас есть существующее развертывание, а затем выполнить итерации с дополнительными сценариями.
На верхнем уровне рекомендуется начинать со следующих меток:
- Общедоступные . Общедоступные данные — это неограниченные данные, предназначенные для общественного потребления, такие как общедоступный исходный код и объявленные финансовые данные. Поделитесь им свободно.
- Общие — бизнес-данные, не предназначенные для общественного потребления, например ежедневный рабочий продукт. Данные, которыми можно делиться внутри и с доверенными партнерами.
- Конфиденциально — конфиденциальные бизнес-данные, критически важные для достижения целей организации. Ограниченное распространение.
- Высокий уровень конфиденциальности — наиболее важные данные. Предоставлять доступ только именованным получателям.
Примечание.
Для организаций, которые принимают личное содержимое на управляемых устройствах, рекомендуется определить метку , не относясь к бизнесу или личную , с наименьшим приоритетом и без защиты.
Для конфиденциальных и строго конфиденциальных мы добавим следующие вложенные метки:
- \Все сотрудники — доступ к данным может получить любой пользователь в вашей организации.
- \Specific Люди — доступ к данным могут получить только указанные пользователи.
- \Внутреннее исключение . Доступ к данным может получить любой пользователь изнутри, но запрещается предоставлять общий доступ извне. Используйте эту метку в ситуациях, когда шифрование влияет на ежедневные операции.
Полный список родительских или дочерних меток с рекомендуемыми конфигурациями см. в следующей таблице:
| Имя метки | Описание метки для пользователей | Settings |
|---|---|---|
| Общедоступное | Бизнес-данные, подготовленные и утвержденные для общедоступного использования. |
Область: файлы & других ресурсов данных (file, Email) Маркировка содержимого: нет Автоматическое применение меток: нет Защита от потери данных: нет |
| Общие | Бизнес-данные, которые не предназначены для общедоступного использования. Но их можно предоставлять внешним партнерам при необходимости. | Эта метка выбрана в качестве метки по умолчанию для сообщений электронной почты. Эта метка также выбрана для сайтов, разрешающих внешних партнеров. Область: файлы & другие ресурсы данных (файл, Email, собрания, сайты) Маркировка содержимого: нет Автоматическое применение меток: нет Конфиденциальность сайта: частная или общедоступная Защита от потери данных: блокировка всех пользователей, имеющих ссылку |
| Конфиденциально \ Все сотрудники |
Конфиденциальные данные, требующие защиты. Всем сотрудникам предоставляются все разрешения. Владельцы данных могут отслеживать и отзывать содержимое. | Эта метка выбрана в качестве метки по умолчанию для документов и сайтов. Область: файлы & другие ресурсы данных (файл, Email, собрания, сайты) Шифрование: все пользователи и группы в организации: Co-Author (примечание. Шифрование меток может быть реализовано позже) Маркировка содержимого: нижний колонтитул — классифицировано как конфиденциальные данные Автоматическое применение меток: нет Конфиденциальность сайта: частная или общедоступная Защита от потери данных: блокировать всех пользователей, имеющих ссылку, блокировать внешние |
| Конфиденциально \ Определенные пользователи |
Конфиденциальные данные, которые можно предоставлять доверенным лицам внутри и за пределами организации. Доверенные лица также могут делиться этими данными при необходимости. |
Область: файлы & другие ресурсы данных (файл, Email, собрания, сайты) Шифрование: предоставление пользователям возможности назначать разрешения — Только шифрование для Outlook — Предлагать пользователям в Word, PowerPoint и Excel Маркировка содержимого: нижний колонтитул — классифицировано как конфиденциальные данные Автоматическое применение меток: нет Конфиденциальность сайта: частная или общедоступная Защита от потери данных: блокировка всех пользователей, имеющих ссылку |
| Конфиденциально \ Внутреннее исключение |
Конфиденциальные данные, которые не нужно шифровать. Используйте этот вариант с осторожностью и при соответствующем деловом обосновании. | Эта метка выбрана для конфиденциальной информации, которую не требуется шифровать. Это можно использовать в качестве внутреннего исключения, если шифрование не поддерживается процессом или приложением, использующим эти сведения. Используйте предотвращение потери данных и управление внутренними рисками для управления рисками и отклонениями пользователей. Область: файлы & другие ресурсы данных (файл, Email, собрания, сайты) Маркировка содержимого: нижний колонтитул — классифицировано как конфиденциальные данные Автоматическое присвоение меток:Нет Конфиденциальность сайта: частная или общедоступная Защита от потери данных: блокировать всех пользователей, имеющих ссылку, блокировать внешние |
| Строго конфиденциально \ Все сотрудники |
Строго конфиденциальные данные. Все сотрудники могут просматривать и редактировать эти данные, а также отвечать на них. Владельцы данных могут отслеживать и отзывать содержимое. | Эта метка предназначена для автоматического применения меток на стороне клиента и автоматического применения меток на стороне службы. Область: файлы & другие ресурсы данных (файл, Email, собрания, сайты) Шифрование: все пользователи и группы в организации — совместное редактирование Маркировка содержимого: нижний колонтитул — классифицировано как строго конфиденциальные данные Автоматическое применение меток. Автоматическое применение метки. Рассмотрите возможность автоматического применения для типов конфиденциальной информации "Все учетные данные". Конфиденциальность сайта: частная или общедоступная Защита от потери данных: блокировать всех пользователей, имеющих ссылку, блокировать внешние |
| Строго конфиденциально \ Определенные пользователи |
Строго конфиденциальные данные, требующие защиты. Только определенные пользователи с соответствующим уровнем разрешений могут просматривать эти данные. |
Область: файлы & другие ресурсы данных (файл, Email, собрания, сайты) Шифрование: предоставление пользователям возможности назначать разрешения — Не пересылать для Outlook — Предлагать пользователям в Word, PowerPoint и Excel Маркировка содержимого: нижний колонтитул — классифицировано как строго конфиденциальные данные Автоматическое применение меток: нет Конфиденциальность сайта: частная или общедоступная Защита от потери данных: блокировать всех пользователей, имеющих ссылку, блокировать внешние |
| Строго конфиденциально \ Внутреннее исключение |
Строго конфиденциальные данные, которые не требуется шифровать. Используйте этот вариант с осторожностью и при соответствующем деловом обосновании. | Эта метка выбрана для строго конфиденциальной информации, которую не требуется шифровать. Это можно использовать в качестве внутреннего исключения, если шифрование не поддерживается процессом или приложением, использующим эти сведения. Используйте предотвращение потери данных и управление внутренними рисками для управления рисками и отклонениями пользователей. Область: файлы & другие ресурсы данных (файл, Email, собрания, сайты) Маркировка содержимого: нижний колонтитул — классифицировано как конфиденциальные данные Автоматическое применение меток: нет Конфиденциальность сайта: частная или общедоступная Защита от потери данных: блокировать всех пользователей, имеющих ссылку, блокировать внешние |
Защита по умолчанию
Рекомендуемые метки в этой модели развертывания имеют несколько отличий по сравнению с традиционным подходом обхода, обхода и выполнения или с метками и политиками по умолчанию для защиты данных :
- Установите метку по умолчанию Конфиденциально\Все сотрудники для файлов. Для существующих файлов используйте автоматическую метку на стороне службы с расширением файла контекстного условия для всех PPTX/DOCX/XLSX/PDF-файлов для всех соответствующих сайтов SharePoint.
- Установите для электронной почты метку по умолчанию Общие . Это снижает трудности развертывания с пользователями, которые могут нормально работать, за исключением того, что конфиденциальные файлы, прикрепленные к электронной почте, наследуют метку файла.
- Элементы управления общим доступом по умолчанию и ограничения защиты от потери данных
- Варианты использования автоматической маркировки, сосредоточенные на строго конфиденциальности
- Метка Люди с интуитивно понятным названием и самоописывая
- Внутреннее исключение предназначено для пограничных случаев, когда шифрование препятствует повседневной работе конечных пользователей.
Основные моменты и рекомендации
- Метки должны быть интуитивно именованы.
- Избегайте совместного использования таких терминов, как Конфиденциальный, Ограниченный или Внутренний . Понимание различных значений терминов может оказаться сложной задачей для пользователей.
- По возможности сохраняйте список меток 5x5, то есть до пяти родительских меток и до пяти дочерних меток под родительским элементом.
- При необходимости используйте метки как для файлов, так и для сайтов SharePoint.
- Строго конфиденциальность чаще всего выполняется с помощью автоматической маркировки и контекстных значений по умолчанию и предоставляет больше элементов управления и ограничений.
- Используйте метки, чтобы по умолчанию задать для сайтов SharePoint и конфиденциальности Teams значение Частное .
- Для организаций, широко использующих параметры общедоступной конфиденциальности в SharePoint/Teams, рекомендуется выполнить обновление до частного и использовать ссылки с доступом к компании.
- Частные сайты SharePoint с корпоративными ссылками обеспечивают одинаковую гибкость совместной работы, но снижают риски непреднамеренного обнаружения в поиске и Copilot.
- Для дополнительной защиты задайте для общего доступа по умолчанию значение Определенные люди.
- Создайте цепочку отчетности с владельцами сайтов. Используйте отчеты и API Graph для выявления отклонений использования и поведения.
- Включите защиту от потери данных для содержимого с метками, блокируя всех пользователей со ссылкой и внешних , где это применимо. Существующее общее содержимое, соответствующее этим блокам условий, создаются оповещения защиты от потери данных, а конечным пользователям видны подсказки политик.
- Включите наследование меток электронной почты. Дополнительные сведения см. в разделе Настройка наследования меток из вложений электронной почты.
Включение необходимых компонентов для обеспечения безопасности данных и расширенной аналитики
Microsoft Purview имеет множество возможностей. Чтобы уменьшить влияние на пользователей, некоторые возможности не активируются по умолчанию. Рекомендуется ознакомиться со следующими параметрами:
- Включение возможности обработки содержимого в Office Online: включение меток конфиденциальности для файлов в SharePoint и OneDrive
- Включение меток для Microsoft Teams и сайтов SharePoint: использование меток конфиденциальности с сайтами Microsoft Teams, Группы Microsoft 365 и SharePoint
- Рекомендуется сохранить метку электронной почты с несоответствием метки. Эта функция отправляет владельцу документа и владельцу сайта сообщение электронной почты о документе с более высоким уровнем конфиденциальности, чем метка конфиденциальности сайта. Вы можете убедиться, что он не отключен, убедившись, что для "-BlockSendLabelMismatchEmail" задано значение $False
- Добавление ссылки на справку с помощью "-LabelMismatchEmailHelpLink"
- Включение поддержки PDF-файлов в OneDrive и SharePoint: включение меток конфиденциальности для файлов в SharePoint и OneDrive
- Пометить файлы как конфиденциальные по умолчанию: запретить гостевой доступ к файлам при применении правил защиты от потери данных — SharePoint в Microsoft 365
- Аналитика защиты от потери данных: начало работы с аналитикой защиты от потери данных
- Включение совместного редактирования для файлов с метками конфиденциальности: включение совместного редактирования для зашифрованных документов
- Аналитика IRM: включение аналитики в управлении внутренними рисками
- Включение индикаторов управления внутренними рисками: настройка индикаторов политики в управлении внутренними рисками
- Включение аудита Purview: начало работы с решениями аудита
- Включение интеграции с Microsoft Entra B2B: интеграция SharePoint и OneDrive с Microsoft Entra B2B
Ссылки, доступные для общего доступа к компании, или ссылки для определенных людей
Общий доступ к OneDrive и SharePoint настраивается через ссылки для общего доступа. Дополнительные сведения см. в статье Принцип работы ссылок с возможностью совместного доступа в OneDrive и SharePoint в Microsoft 365.
Для организаций, использующих сайты SharePoint с параметрами конфиденциальности, установленными как общедоступные, рекомендуется перейти на закрытый, а ссылки для общего доступа по умолчанию — Люди в вашей организации. Открытая совместная работа доступна пользователям, но она снижает возможность автоматического обнаружения содержимого в корпоративном поиске и Copilot.
Совет
Чтобы еще больше снизить риски, рекомендуется настроить значение по умолчанию для конкретных пользователей .
Метки конфиденциальности Microsoft Purview позволяют настроить ссылки для общего доступа на основе метки конфиденциальности сайта SharePoint. Например, этот параметр значительно упрощает детализацию конфигураций между общими и конфиденциальными сайтами. Дополнительные сведения см. в статье Использование меток конфиденциальности для настройки типа канала общего доступа по умолчанию.
Обучение пользователей управлению исключениями
При использовании безопасного по умолчанию подхода обучение сосредоточено на следующих направлениях:
- Информирование вашей организации о том, насколько важно защищать информацию по умолчанию.
- Важность маркировки на сайтах SharePoint и влияние меток на защиту файлов и общего доступа.
- Как пользователи могут изменять метки при работе с доверенными внешними партнерами.
- Как пользователи могут изменять метки, если бизнес-приложение или надстройка неправильно работают с шифрованием.
- Следует ли предоставлять общий доступ из OneDrive или SharePoint доверенным внешним партнерам и как выбрать соответствующую метку сайта.
- Обоснование, необходимое при понижении уровня меток.
Наследование меток файлов от меток сайта SharePoint сокращает количество раз, когда пользователям приходится изменять метку. Например:
- Джон предоставляет общий доступ к файлу извне через OneDrive. Затем он проверяет содержимое и определяет, что оно не является конфиденциальным, и меняет метку на Общее. Затем Джон делится извне.
- Джейн работает с партнером и предоставляет доступ к нескольким файлам. Джейн использует SharePoint и помечает сайт как общий. Все файлы на сайте можно совместно использовать. Но если конфиденциальный файл передается на сайт, этот файл защищен, Джейн отправляется уведомление о файле с повышенной конфиденциальности, и она может переместить файл или изменить метку.
- Джек работает в Excel с партнером, используя надстройку, важную для бизнес-операций. Если эта надстройка несовместима с шифрованием, Джек должен изменить метку на Конфиденциально\Внутреннее исключение.
Важно!
Существует важный компромисс, который следует учитывать между приоритетом меток, понижением и обоснованием, а также значениями по умолчанию. Например, если общий имеет более низкий приоритет, чем Конфиденциальные\Все сотрудники, и если для клиента Office по умолчанию используется значение Конфиденциально\Все сотрудники, метка библиотеки SharePoint по умолчанию не будет применяться. Аналогичным образом для конфиденциального и внутреннего исключения , заданного с более высоким приоритетом, не требуется обоснование. Важно пересмотреть приоритеты меток и требования к оправданию.
Включение защиты от потери данных для содержимого с метками
Защита от потери данных Microsoft Purview (DLP) обеспечивает интеграцию с метками конфиденциальности, быстро выполняя требования защиты от потери данных с ограниченными конфигурациями.
Например, если для рекомендуемых меток и по умолчанию задано значение Конфиденциально\Все сотрудники, рекомендуется включить правило защиты от потери данных, чтобы заблокировать общий доступ к внешним пользователям и заблокировать всех пользователей, имеющих ссылку. Подробные сведения о каждой метки см. в таблице рекомендуемых меток и столбце ограничения защиты от потери данных.
Дополнительные сведения об этой функции:
- Использование меток конфиденциальности в качестве условия в политиках защиты от потери данных
- Справочник по политике защиты от потери данных
- Справочник по условиям и действиям Exchange для защиты от потери данных
Этап 1. Сводка
В конце этого этапа в вашей организации будет выполняться следующее:
- Метки, доступные конечным пользователям для использования вручную.
- Метка по умолчанию для всех новых или обновленных документов и сообщений электронной почты.
- Взаимодействие с пользователями и обучение управлению исключениями при совместном использовании или при возникновении проблем с их бизнес-файлами.
- Защита от потери данных предотвращает общий доступ к конфиденциальным файлам.
См. также
- Применить шифрование с помощью меток конфиденциальности
- Управление метками конфиденциальности в приложениях Office
- Узнайте о метках и политиках по умолчанию для защиты ваших данных
Следующий шаг: Этап 2. Управляемое — адрес файлов с наивысшей степенью конфиденциальности