日历项和 Teams 会议的敏感度标签,确保澳大利亚政府符合 PSPF

本文为澳大利亚政府组织提供有关将敏感度标签应用于会议和日历项目的指南。 其目的是帮助政府组织提高其安全性和合规性成熟度,同时遵守 保护性安全策略框架 (PSPF) 信息安全手册 (ISM) 中所述的要求。

有两个选项可用于帮助保护会议和会议内容:

  • 具有 E5 或 A5 许可的组织可以将敏感度标签应用于日历项。
  • 具有Teams 高级版加载项许可证的组织可以将这些保护扩展到团队会议。

日历项的标记

具有 E5 或 A5 许可的客户可以使用敏感度标签会议范围选项,并允许将标签发布到 Outlook 或 Teams 日历。 日历项可以受强制标记配置的约束。 如果在标签策略中启用,系统会提示用户在创建日历项目或发送日历邀请之前应用标签。

已标记的日历项接收基于客户端的视觉标记,以指示邀请和/或会议内容的敏感度。 通过电子邮件转发的邀请接收任何配置的基于文本的标头。 例如:

应用于日历项的示例标签。

重要

如果标签应用加密,则会议邀请、日历条目和任何附件将通过标签的 Azure Rights Management 加密设置进行封装,确保只有经过授权的用户能够访问随附的内容。 这包括会议邀请的外部收件人。

若要为日历项启用标记,需要在标签范围内选择“会议”选项。

应考虑哪些标签需要启用会议范围选项。 与组和网站标签一样,仅为没有信息管理标记 (IMM) 的标签启用会议范围是合适的。

以下示例演示此配置:

敏感度标签 会议范围选项
非官方 ON(打开)
官方 ON(打开)
官方敏感 (类别) OFF
• 官方敏感 ON(打开)
• 官方敏感个人隐私 OFF
• 官方敏感法律特权 OFF
• 官方敏感立法保密 OFF
• 官方敏感国家内阁 OFF
受保护的 (类别) OFF
•保护 ON(打开)
• 受保护的个人隐私 OFF
• 受保护的法律特权 OFF
• 受保护的立法保密性 OFF
• 受保护的内阁 ON(打开)

上表中的配置设置演示了任何会议附件 (更有可能包含实际敏感数据) 可以应用 IMM,而不会影响应用于会议的标签,因为自动标记不建议在一组子标签中更改标签。

但是,如果使用较低层标签(如 OFFICIAL)标记会议,然后向会议添加了较高层附件(如 PROTECTED),则标签继承设置将生效。 结果是向会议应用了 PROTECTED 标签,确保会议邀请的内容按照应用于会议邀请的最高标签进行处理。 标签继承不会更改应用于会议邀请的基于文本的标记。 基于标签的数据丢失防护 (DLP) 防止不当分发安全机密信息 时概述的策略,包括那些对电子邮件应用主题标记的策略。

备注

标签继承仅通过项目附件应用。 会议邀请中包含的共享链接不会提升应用于会议的标签。 标签继承当前无法检查应用于 Azure Rights Management 加密附件的标签。 需要 DLP 策略来保护附加到会议邀请的此类内容。

政府组织应考虑会议标签范围选项与 PSPF 策略 8 核心要求之间的相关性:

要求 详情
PSPF 策略 8、核心要求 (v2018.6) 每个实体必须:
i. 标识信息持有,
ii. 评估信息持有的敏感度和安全分类,以及 iii. 为这些信息持有与其价值、重要性和敏感度成正比的操作控制。

启用会议标签后,我们可以将标记功能扩展到 (符合 PSPF 策略 8 要求 4) 的日历项,并允许应用操作控制 (例如,项目加密) 与项目的敏感度相关。

要求 详情
PSPF 策略 8,要求 4:标记信息 (v2018.6) 发起方必须使用适用的保护标记清楚地识别敏感和安全机密信息,包括电子邮件。
PSPF 策略 8、核心要求 C (v2018.6) 为这些信息持有与其价值、重要性和敏感度成正比的操作控制。

有关日历项敏感度标签应用程序的详细信息,请参阅 使用敏感度标签保护日历项目、Teams 会议和聊天

Teams 高级版标签配置

重要

本文假定你已Teams 高级版许可证,并且已启用它们。 如果不应用此许可,则无法启用Teams 高级版标签范围选项。

E5 许可允许启用“会议标签范围”选项,并将敏感度标签应用于会议。 Microsoft Teams 高级版是一个附加许可证,其中包含一系列功能,其中一些功能在当前文章中未涵盖。 但是,它还包括一些可应用于 Teams 会议的增强安全控制。 这些功能分为称为 “受保护的会议”的功能类别,包括:

  • 会议水印
  • 用于控制聊天内容旁路和复制和粘贴等设置的策略和模板
  • 对录制权限的精细控制
  • 联机会议的端到端加密 (包括多参与者会议)

这些控件将标记和上一部分中提到的功能一直扩展到实际的 Teams 会议,其中可视标记可以应用于 Teams 界面,以指示所讨论内容的敏感性。

水印功能可应用于包含已登录用户的用户主体名称 (UPN) 的会议背景。 这些水印旨在帮助劝阻用户不恰当地披露信息。 如果会话录制是通过非 Teams 应用程序或外部设备录制的,则录制内容将标记为与会者的标识。 用户被标识为未经授权的录制的 发起人

会议模板

Teams 高级版引入了 Teams 会议模板,这些模板允许 Teams 管理员在安排会议时预配置用户选择的会议设置。 这些模板允许控制以下设置:

Setting 说明
聊天 控制会议与会者的聊天,包括会议前后是否提供聊天。 还允许控制将聊天内容复制到剪贴板。
端到端加密 控制会议视频和音频的端到端加密。
大堂 控制谁可以绕过大厅并直接加入会议。
管理与会者看到的内容 控制会议组织者是否可以在其他会议参与者看到内容之前预览和批准在屏幕上共享的内容。
与会者的麦克风和摄像头 控制会议与会者的静音和相机使用。
呼叫者加入和离开时发出通知 当用户通过电话呼叫加入或离开会议时播放声音。
问答 控制会议期间使用 Q&A 功能。
回应 控制在会议中使用反应和举手。
录制 控制谁可以录制以及是否自动录制会议。
敏感度标签 指定要用于会议的敏感度标签。
水印 对会议屏幕上共享的相机源和内容应用水印。

可以通过针对特定用户组的模板来向用户提供这些模板。

这些模板可以通过 Teams 管理员配置面向用户,也可以与标签配置保持一致,从而允许根据会议的敏感度控制设置。

下面是基于应用于会议的标签对会议设置进行精细控制的示例:

Setting 官方 官方:敏感 保护
允许照相机 打开 打开 打开
允许麦克风 打开 打开 打开
应用水印 打开
端到端加密 关闭
会议聊天 打开 仅限会议内 仅限会议内

有关这些功能的详细信息,请参阅 Microsoft Teams 中的自定义会议模板概述

会议敏感度标签应用程序

启用“会议标签范围”选项并将Teams 高级版许可应用到环境后,Teams 会议范围选项将在标签配置中可用。

某些选项(如大厅和演示文稿设置)可以通过其他方法(例如通过 Teams 管理中心)进行配置。 通过按标签配置这些选项,可以根据项的敏感度对这些设置进行精细控制。

Teams 会议端到端加密

Microsoft Teams 端到端会议加密 (E2EE) 允许对 Teams 会议进行扩展加密。 如果不启用此功能,Teams 数据仍会加密。 但是,E2EE 通过确保只有会议参与者才能解密会议数据 ,增加了额外的保护层 。 这会阻止所有未指定的参与方访问内容。

通过 E2EE 加密 Teams 会议时,Teams 呼叫屏幕顶部会显示一个挂锁图标。 此挂锁图标类似于在标签加密电子邮件和文档上可见的图标。

满足符合 PSPF 策略 8 附件 A 的加密控制的团队 - 传输要求 (v2018.6) :

安全分类 传输要求
官方敏感 加密官方:通过公用网络基础结构或通过不安全空间 (包括区域 1 安全区域) 传输的敏感信息,除非实体已识别并接受未这样做的剩余安全风险。
保护 加密非受保护网络 (或分类) 网络的任何通信的 PROTECTED 信息。

重要

启用 E2EE 会禁用某些 Teams 服务功能。 出于这些原因,需要仔细考虑 E2EE 的影响。