使用 Microsoft Purview 部署信息保护解决方案
你的信息保护策略由业务需求驱动。 许多组织必须遵守法规、法律和业务实践。 此外,组织需要保护专有信息,例如特定项目的数据。
Microsoft Purview 信息保护 (以前Microsoft信息保护) 提供了可用于跨云、应用和设备保护敏感数据的框架、流程和功能。
若要查看运行中的Microsoft Purview 信息保护示例(从最终用户体验到管理员配置),watch以下视频:
提示
如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。
Microsoft Purview 信息保护框架
无论其身在何处或去到哪里,使用 Microsoft Purview 信息保护来帮助发现、分类、保护和管理敏感信息。
有关数据治理,请参阅 使用 Microsoft Purview 部署数据治理解决方案。
授权
Microsoft Purview 信息保护功能包含在 Microsoft Purview 中。 授权要求甚至可能在功能中有所不同,具体取决于配置选项。 若要确定许可要求和选项,请参阅 Microsoft 365 安全性与合规性指南。
了解你的数据
对于许多组织来说,了解敏感数据所在的位置通常是最大的挑战。 Microsoft Purview 信息保护数据分类可帮助发现并准确分类组织创建的不断增加的数据量。 图形表示形式可帮助你深入了解此数据,以便你可以设置和监控策略以保护并管理这些数据。
步骤 | 说明 | 更多信息 |
---|---|---|
1 | 描述要保护的敏感信息的类别。 你已了解哪些类型的信息对组织最有价值,哪些类型没有。 与利益干系人合作,描述这些作为起点的类别。 |
了解敏感信息类型 |
2 | 发现敏感数据并进行分类。 可以使用许多不同的方法查找项目中的敏感数据,这些方法包括默认 DLP 策略、用户手动标记以及使用敏感信息类型或机器学习的自动模式识别。 |
了解数据分类 |
3 | 查看敏感项目。 使用内容资源管理器和活动资源管理器对敏感项目以及用户对这些项目采取的操作进行更深入的分析。 |
内容资源管理器入门 |
保护数据
使用了解敏感数据所在位置的信息来帮助你更有效地保护敏感数据。 但是,无需等待 ,即可通过手动、默认和自动标记的组合立即开始保护数据。 然后,使用上一部分中的内容资源管理器和活动资源管理器确认标记了哪些项以及标签的使用方式。
步骤 | 说明 | 更多信息 |
---|---|---|
1 | 定义将保护组织数据的敏感度标签和策略。 除了标识内容的敏感度外,这些标签还可以应用保护操作,例如内容标记 (页眉、页脚、水印) 、加密和其他访问控制。 敏感度标签示例: 个人 Public 常规 - 任何人 (不受限制) - 所有员工 (无限制) 机密 - 任何人 (不受限制) - 所有员工 - 受信任的人员 高度机密 - 所有员工 - 特定人员 敏感度标签策略示例: 1. 将所有标签发布到租户中的所有用户 2. “常规”\“所有员工”的默认标签 ( 项的无限制) 3. 用户必须提供删除标签或降低其分类的理由 |
开始使用敏感度标签 创建和配置敏感度标签及其策略 通过敏感度标签应用加密,从而限制对内容的访问 |
2 | 标记和保护 Microsoft 365 个应用和服务的数据。 Microsoft 365 Word、Excel、PowerPoint、Outlook、Teams 会议以及包含 SharePoint 和 OneDrive 网站的容器以及Microsoft 365 个组的容器都支持敏感度标签。 结合使用标记方法,如手动标记、自动标记、默认标签和强制标记。 客户端自动标记的示例配置: 1. 建议机密 \ 任何人 (无限制) 如果 1-9 个信用卡数字 2. 建议机密 \ 所有员工如果超过 10 个信用卡数字 -- 典型的最终用户体验,用户选择按钮以显示敏感内容 (Word 仅) 服务端自动标记的示例配置: 应用于 Exchange、SharePoint、OneDrive) (所有位置 1. 应用机密 \ 任何人 (无限制) 如果 1-9 个信用卡数字 2. 如果 10 个以上的信用卡数字,则应用机密 \ 所有员工 3. 应用 机密 \ 任何人 (不受限制) (如果 1-9 个美国个人数据和全名) 4. 应用 机密 \ 所有员工 (如果超过 10 个美国个人数据和全名) |
管理 Office 应用中的敏感度标签 启用 SharePoint 和 OneDrive 中文件的敏感度标签 为使用敏感度标签加密的文件启用共同创作 为 SharePoint 文档库配置默认敏感度标签 自动将敏感度标签应用于Microsoft 365 数据 将敏感度标签与 Microsoft Teams、Microsoft 365 组和 SharePoint 网站配合使用 使用敏感度标签保护日历项目、Teams 会议和聊天 将敏感度标签用于Microsoft Loop 使用敏感度标签设置 SharePoint 和 OneDrive 中网站和文档的默认共享链接 在 Microsoft Syntex 中将敏感度标签应用于模型 如何在 Power BI 中应用敏感度标签 |
3 | 通过将 Microsoft Defender for Cloud Apps 与敏感度标签结合使用,发现、标记和保护驻留在云中的数据存储中的敏感项 (Box、GSuite、SharePoint 和 OneDrive) 。 文件策略的示例配置:在 Box 帐户中存储的文件中查找信用卡数字,然后应用敏感度标签来标识高度机密的信息并对其进行加密。 |
发现、分类、标记和保护存储在云中的管控和敏感数据 |
4 | 通过将 信息保护扫描程序 与敏感度标签一起部署,发现、标记和保护驻留在本地数据存储中的敏感项。 | 配置和安装信息保护扫描程序 |
5 | 使用 Microsoft Purview 数据映射将敏感度标签扩展到 Azure,来为 Azure Blob 存储、Azure 文件、Azure Data Lake Storage Gen1 和 Azure Data Lake Storage Gen12 发现和标记项目。 | Microsoft Purview 数据映射中的标签 |
如果是想要将敏感度标签扩展到业务范围应用或第三方 SaaS 应用的开发人员,请参阅 Microsoft 信息保护 (MIP) SDK 设置和配置。
其他保护功能
Microsoft Purview 包含有助于保护数据的其他功能。 并非每个客户都需要这些功能,而且一些功能可能会被较新版本取代。
有关保护功能的完整列表,请参阅 使用 Microsoft Purview 保护数据 页。
防止数据丢失
部署 Microsoft Purview 数据丢失防护 (DLP)策略,以管理和防止应用和服务之间的不当共享、传输或对敏感数据的使用。 这些策略可帮助用户在使用敏感数据时做出正确的决策并采取正确的操作。
步骤 | 说明 | 更多信息 |
---|---|---|
1 | 了解 DLP。 组织在其控制下拥有敏感信息,例如财务数据、专有数据、信用卡号码、健康记录和社会保险号码。 为了帮助保护此敏感数据并降低风险,他们需要一种方法来防止其用户与不应拥有该数据的人进行不当共享。 这种做法称为数据丢失防护 (DLP)。 |
了解数据丢失防护 |
2 | 规划 DLP 实施。 每个组织都将以不同的方式规划并实施数据丢失防护 (DLP),因为每个组织的业务需求、目标、资源和情况对于他们来说都是独一无二的。 但是,所有成功的 DLP 实施都有一些共同的元素。 |
数据丢失预防计划 |
3 | 设计和创建 DLP 策略。 创建数据丢失防护 (DLP) 策略简单快速,但如果要进行大量优化,则让策略生成预期结果可能非常耗时。 与仅通过试错优化相比,在实施策略之前花费时间设计策略可以更快地获得所需结果,并且意外问题更少。 DLP 策略的示例配置:如果电子邮件包含信用卡号码或电子邮件具有标识高度机密信息的特定敏感度标签,则阻止发送电子邮件。 |
设计 DLP 策略 |
4 | 优化 DLP 策略。 部署 DLP 策略后,你将看到它满足预期目的的程度。 使用该信息调整策略设置以提高性能。 |
创建和部署数据丢失防护策略 |
部署策略
信用卡数字示例通常有助于初始测试和最终用户教育。 即使组织通常不需要保护信用卡数字,用户也很容易理解这些需要保护的敏感项的概念。 许多网站提供的信用卡数字仅适用于测试目的。 还可以搜索提供信用卡数字生成器的网站,以便将数字粘贴到文档和电子邮件中。
准备好将自动标记和 DLP 策略移动到生产环境时,请更改为适合组织使用的数据类型的分类器和配置。 例如,你可能需要对知识产权和特定类型的文档使用可训练的分类器,或者精确匹配 (EDM) 与客户或员工相关的隐私数据的敏感信息类型。
或者,你可能希望首先发现和保护经常成为安全攻击目标的 IT 相关信息。 然后,通过检查和阻止使用电子邮件和 Teams 聊天的 DLP 策略共享密码来补充这一点:
- 使用可训练的分类器 IT 和 IT 基础结构和网络安全文档
- 使用内置敏感信息类型 “常规密码 ”,并为用户使用的不同语言的“password is”创建自定义敏感信息类型
部署信息保护解决方案不是线性部署,而是迭代的,通常为循环部署。 你对数据了解得越多,标签就越准确,并防止数据泄露。 这些应用的标签和策略的结果将流入数据分类仪表板和工具,这反过来又使更敏感的数据可见,以便你进行保护。 或者,如果你已在保护该敏感数据,请考虑它是否需要额外的保护操作。
定义敏感度标签后,即可开始手动标记数据。 用于 DLP 的同一分类器可用于自动查找和标记更多数据。 甚至可以将敏感度标签用作分类器,例如,阻止共享标记为高度机密的项目。
大多数客户已有一些解决方案来保护其数据。 部署策略可能是基于已有的内容进行构建,或者专注于提供最大业务价值或解决高风险领域的差距。
为了帮助你规划独特的部署策略,请参阅 敏感度标签入门 和 数据丢失防护计划。
考虑分阶段部署
你可能更倾向于使用实施逐步限制控制的分阶段部署来部署信息保护。 随着用户对技术的熟悉和信心,此方法逐渐为用户引入新的保护措施。 例如:
- 从默认标签和无加密,到推荐在找到敏感数据时应用加密的标签,然后在找到敏感数据时自动应用标签。
- DLP 策略,从审核过度共享操作,到限制性更高的阻止,并警告用户,然后阻止所有共享。
此类分阶段部署的详细信息可能类似于以下计划,其中敏感度标签和 DLP 策略之间的集成程度更高,以提供比单独使用时更大的数据保护:
敏感度标签配置:
- 常规\所有员工:电子邮件的默认标签。 无加密。 如果应用于电子邮件,则阻止用户过度共享。
- 机密\所有员工:文档的默认标签。 无加密。 如果应用于电子邮件,则阻止用户过度共享。
- 高度机密\所有员工:无加密。 如果应用于电子邮件,则阻止用户过度共享。
DLP 策略 A:
- 如果找到 1-2 个信用卡实例,则阻止外部共享,除非项目标记为 “个人 ”或 “机密”\“任何人” (不受限制) 。 使用日志记录和报告进行分析。
DLP 策略 B:
- 如果找到 3-9 个信用卡实例,请阻止外部共享、云出口和复制到可移动驱动器,除非项目标记为 “机密”\“任何人” (不受限制) 。 使用日志记录和报告进行分析。
DLP 策略 C:
- 如果找到 10 多个信用卡实例,请阻止外部共享、云出口,并复制到可移动驱动器,无例外。 使用日志记录和报告进行分析。
此示例分阶段部署的配置详细信息:
- 父标签的默认子标签
- 数据丢失防护交换条件和操作参考
- 置信度级别和敏感度类型的其他元素
- 在 DLP 策略中使用敏感度标签作为条件
- 允许用户分配权限的加密
- 特定使用权限的加密
- 配置和查看数据丢失防护策略的警报
培训资源
交互式指南:Microsoft Purview 信息保护
面向顾问和管理员的学习模块:
- Microsoft Purview 中的信息保护和数据生命周期管理简介
- 对数据进行分类,以便保护和管理
- Microsoft Purview 中的信息保护
- Microsoft Purview 中的数据丢失防护
若要帮助培训用户应用和使用为其配置的敏感度标签,请参阅 敏感度标签的最终用户文档。
为 Teams 部署数据丢失防护策略时,你可能会发现以下最终用户指南作为此技术的简介非常有用。 它包括用户可能会看到的一些潜在消息: 有关数据丢失防护 (DLP) 和通信合规性策略的 Teams 消息。