教程：自动应用来自 Microsoft Purview 信息保护的敏感度标签

理想情况下，所有员工都了解信息保护的重要性并按策略工作。 但在实际情况中，从事会计的合作伙伴可能会使用不当权限将文档上传到 OneDrive for Business 存储库。 一周后，你会发现企业机密信息已经泄露给了竞争对手。 Microsoft Defender for Cloud Apps 可帮助防止这种灾难发生。 此功能可用于 Box、SharePoint 和 OneDrive for Business。 应用敏感度标签是众多可用治理操作中的一种。

在本教程中，你将学习如何识别对保存在云存储中的文档设置的公共权限，以便在出现安全违规时收到警报。 此外，你还可以自动应用 Microsoft Purview 信息保护机密敏感度标签，为文件提供额外加密。

• 设置数据保护
• 验证策略

增强型数据级别的加密保护

Defender for Cloud Apps 与 Microsoft Purview 信息保护集成，通过自动加密文件，实现更高水平的保护。 当 Microsoft Purview 信息保护加密文件时，支持 Microsoft Purview 信息保护的应用程序（例如 Microsoft 365）就会知道如何打开文件，并遵守敏感度标签中设置的权限。 可使用标签来应用特定的保护规则。 例如，可以设置一个文件，使其能够被打开但无法共享、打印、转发或编辑。

这种高强度的保护会一直伴随该文件。 在发送文件、复制文件或将其存储在联机存储应用中时，文件仍然受到保护。 如果某位员工丢失了存有该文件的 U 盘，该文件将被锁定。 如果有人尝试打开该文件，文件所有者会收到警报。 使用 Defender for Cloud Apps，可自动应用保护。 例如，所有含信用卡号码或由财务部门上传以及在外部共享的文件，都设置为使用敏感度标签自动保护。

威胁

组织中的用户将机密客户信息文件保存到 Box 中，并将其设置为与组织中的所有人共享。 用户没有意识到，除自己的直属团队以外，所有支持人员也能访问该 OneDrive for Business 帐户。 此访问包括供应商、合作伙伴和偶尔进入办公室的访客。 有权访问组织的 OneDrive for Business 帐户的任何人现在均有权访问该信息。 这样的访问不仅会对组织造成危险，还可能违反许多国家/地区的个人信息管理规定，导致潜在的法律问题。

解决方案

配合使用 Defender for Cloud Apps 和 Microsoft Purview 信息保护，嵌入分类和保护信息以获得永久保护，这样可确保数据一直受到保护，而无论数据存储在何处或与谁共享。 这种保护还让你可以与同事、客户和合作伙伴安全地共享数据。 定义可以访问信息的人以及他们可以对数据执行的操作。 例如，允许用户查看和编辑文件，但不能打印或转发文件。 还可为文件添加受 Defender for Cloud Apps 支持的其他治理操作，例如删除协作者和删除共享功能。

先决条件

• 为租户启用 Defender for Cloud Apps 和 Microsoft Purview 信息保护。

设置数据保护

我们来设置一个策略，该策略查找存储在 OneDrive for Business 帐户的文件中的信用卡号码。 找到文件后，自动应用敏感度标签，然后控制具有该标签的所有文件的各个方面。

1. 通过设置策略对存储在 OneDrive for Business 中的所有敏感数据进行加密来开始保护存储在 OneDrive for Business 中的数据：

   1. 在 Microsoft Defender 门户的“云应用”下，选择“策略”->“策略管理”。

   2. 选择“创建策略”>“文件策略”。

   3. 在 Microsoft Defender 门户的“云应用”下，“策略”-“策略管理”。

   4. 在与以下所有区域匹配的文件中，创建一个筛选器以面向专有和敏感数据。 例如：

      1. 选择“添加筛选器”，然后选择“选择筛选器”选项>“父文件夹>等于>”选择文件夹”。
      2. 在 “选择文件夹 ”对话框中，选择要监视的文件夹，例如 Sales West，然后选择“ 完成”。
      3. 再次选择“添加筛选器”，然后选择“协作者>组>包含财务”>

   5. 定义检查方法以查找包含信用卡信息的文件：

      1. 在“检查方法”下拉菜单中，选择“数据分类服务”。
      2. 选择“选择检查类型>敏感信息类型>”信用卡号>完成”。 选择敏感信息类型时，在“搜索”框中输入信用额度，然后按 Enter 筛选列出的类型。

   6. 在 “治理操作 ”区域中，展开 “Microsoft OneDrive for Business ”下拉列表，然后选择“ 应用敏感度标签”。 选择要应用的标签，例如 机密 - 财务。

      Defender for Cloud Apps 与 Microsoft Purview 信息保护集成，使你可以从现有敏感度标签列表中选择，以保护数据。

   7. 选择创建。

调查匹配项

设置策略以监视所选文件夹中的信用卡信息后，执行以下操作以调查找到的任何匹配项：

1. 在 Microsoft Defender XDR 云应用导航菜单中，选择“策略>策略管理”。
2. 选择之前创建的策略，然后选择“查看策略匹配”。
3. 查看策略触发的匹配项。 选择要展开的任何特定文件以获取更多详细信息，包括所选文件匹配的任何其他策略。

验证策略

1. 要模拟警报，请在策略中定义的 OneDrive for Business 文件夹中创建包含模拟信用额度卡编号的文件。
2. 转到策略报告，其中应很快显示新的匹配项。
3. 可以选择该匹配项，以查看哪些文件受到保护。 匹配项本身将被屏蔽以保护敏感数据。

注意

• Defender for Cloud Apps 当前支持在 Box、GSuite、SharePoint 和 OneDrive for Business 上自动应用敏感度标签。
• 当 Defender for Cloud Apps 标记文档时，不会应用视觉标记（如页眉、页脚或水印）。 有关详细信息，请参阅了解敏感度标签。

后续步骤

保护组织的最佳做法

如果遇到任何问题，我们可以提供帮助。 要获取产品问题的帮助或支持，请开立支持票证。