配置具有高度敏感数据保护的团队
本文中的某些功能需要 Microsoft Syntex - SharePoint 高级管理
在本文中,我们将了解如何针对高度敏感级别的保护设置团队。 在执行本文中的步骤之前,请确保已完成部署具有基线保护的团队中的步骤。
对于这一层级的保护,我们创建了敏感度标签,可在组织中使用此敏感度标签来处理高度敏感的团队和文件。
高度敏感级别提供了以下超出基线层级的额外保护:
- 团队的敏感度标签,允许打开或关闭来宾共享,并强制实施条件访问策略以访问 SharePoint 网站。
- 标签还用作文件的默认标签,并加密应用标签的文件。 只有组织成员和指定来宾才能解密使用此标签的文件。
- 只有团队所有者可以创建专用频道。
- 网站访问权限仅限于团队成员。
视频演示
观看此视频,演练本文中介绍的过程。
来宾共享
根据业务性质,你可能希望也可能不希望为包含高度敏感数据的团队启用来宾共享。 如果确实计划与团队中的组织外部人员进行协作,则建议启用来宾共享。 Microsoft 365 包括许多安全性和合规性功能,可帮助你安全地共享敏感内容。 这通常比直接通过电子邮件向组织外部的人员发送内容更安全。
有关与来宾安全共享的详细信息,请参阅以下资源:
为了允许或阻止来宾共享,我们使用敏感度标签中提供的控件。
身份验证上下文
我们使用 Microsoft Entra 身份验证上下文 在用户访问 SharePoint 网站时强制实施更严格的访问条件。
首先,在 Entra ID Microsoft中添加身份验证上下文。
添加身份验证上下文
在 “Microsoft Entra 条件访问”中的 “管理”下,选择“ 身份验证上下文”。
选择“ 新建身份验证上下文”。
键入名称和说明,然后选中“ 发布到应用 ”复选框。
选择“保存”。
接下来,创建一个条件访问策略,该策略适用于该身份验证上下文,并要求来宾在访问 SharePoint 时使用多重身份验证。
创建条件访问策略
在 “Microsoft Entra 条件访问”中,选择“ 创建新策略”。
键入策略的名称。
在“ 用户 ”选项卡上,选择 “选择用户和组 ”选项,然后选中“ 来宾或外部用户 ”复选框。
从下拉列表中选择 B2B 协作来宾用户 。
在“ 目标资源 ”选项卡上 的“选择此策略应用于的内容”下,选择“ 身份验证上下文”,然后选中所创建的身份验证上下文的复选框。
在“ 授予 ”选项卡上,选择“ 需要多重身份验证”,然后选择“ 选择”。
选择是否要启用策略,然后选择“ 创建”。
我们将指向敏感度标签中的身份验证上下文。
敏感度标签
对于高度敏感的保护级别,我们使用敏感度标签对团队进行分类。 我们还使用此标签对团队中的单个文件进行分类和加密。 (它还可用于其他文件位置(如 SharePoint 或 OneDrive.) )
首先,必须为 Teams 启用敏感度标签。 有关详细信息 ,请参阅使用敏感度标签保护 Microsoft Teams、Microsoft 365 组和 SharePoint 网站中的内容 。
如果已在组织中部署了敏感度标签,请考虑此标签与总体标签策略的匹配情况。 可根据需要更改名称或设置以满足组织的需求。
为 Teams 启用灵敏度标签后,下一步是创建标签。
创建敏感度标签
- 打开 Microsoft Purview 合规性门户。
- 在 “解决方案”下,展开 “信息保护”。
- 选择“创建标签”。
- 为标签命名。 建议使用“高度敏感”,但如果该名称已在使用,则可以选择其他名称。
- 添加显示名称和说明,然后选择“ 下一步”。
- 在 “定义此标签的范围”页上,选择“ 项目、 文件、 电子邮件和 组 & 网站”。 清除“ 会议 ”复选框。
- 选择“下一步”。
- 在 “为文件和电子邮件选择保护设置 ”页上,选择“ 应用或删除加密”,然后选择“ 下一步”。
- 在“加密页面中”页面中,选择“配置加密设置”。
- 在 “向特定用户和组分配权限”下,选择“ 分配权限”。
- 选择 “添加组织中的所有用户和组”。
- 如果有来宾应有权解密文件,请选择 “添加用户或组 ”并添加它们。
- 选择“保存”,然后选择“下一步”。
- 在 “文件和电子邮件的自动标记 ”页上,选择“ 下一步”。
- 在 “定义组和网站的保护设置 ”页上,选择“ 隐私和外部用户访问 ”和“ 外部共享和条件访问 ”,然后选择“ 下一步”。
- 在“定义隐私和外部用户权限设置”页面中,选择“隐私”下的“私人”选项。
- 如果你想允许来宾访问,选择“外部用户权限”下的“让 Microsoft 365 组所有者添加组织外的人员为来宾”。
- 选择“下一步”。
- 在 “定义外部共享和条件访问设置 ”页上,选择“ 控制已标记 SharePoint 网站的外部共享”。
- 如果当前允许来宾访问,在“无法共享的内容”下选择“新的和当前来宾”;如果不允许,则选择“仅组织中的人员”。
- 选择“ 使用Microsoft Entra 条件访问来保护已标记的 SharePoint 网站。
- 选择“ 选择现有身份验证上下文 ”选项,然后从下拉列表中选择创建的身份验证上下文。
- 选择“下一步”。
- 在 “架构化数据资产的自动标记 ”页上,选择“ 下一步”。
- 选择“ 创建标签”,然后选择“ 完成”。
创建标签后,需要将其发布到使用它的用户。 为了进行敏感保护,我们向所有用户提供标签。 可以在 Microsoft Purview 合规性门户中的 “标签策略 ”页上 的信息保护下发布标签。 如果你拥有适用于所有用户的现有策略,请将此标签添加到该策略。 如果需要创建新策略,请参阅通过创建标签策略来发布灵敏度标签。
Teams 设置
高度敏感方案的进一步配置是在团队本身以及与团队关联的 SharePoint 网站中完成的,因此下一步是创建团队。
我们将在 Teams 管理中心创建团队。
创建高度敏感信息团队
- 在 Teams 管理中心中,展开 “Teams ”,然后选择“ 管理团队”。
- 选择“添加”。
- 键入团队的名称和说明。
- 为团队添加一个或多个所有者。 (将自己保留为所有者,以便你可以 为下面的文件选择默认敏感度标签 。)
- 从“敏感度”下拉列表中选择为高度敏感信息创建的 敏感度 标签。
- 选择“应用”。
专用频道设置
在此层级,仅限团队所有者创建专用频道。
限制专用频道创建
- 在 Teams 管理中心,选择你创建的团队,然后选择 “编辑”。
- 展开 “邮件权限”。
- 将 “添加和编辑专用频道” 设置为 “关闭”。
- 选择“应用”。
共享频道设置
共享频道 没有团队级别的设置。 在 Teams 管理中心 和 entra 管理中心Microsoft 配置的共享频道设置适用于单个用户。
SharePoint 设置
每次使用高度敏感标签创建新团队时,都需要在 SharePoint 中执行两步操作:
- 仅限团队成员访问网站
- 为连接到团队的文档库选择默认敏感度标签。
默认敏感度标签必须在网站本身中配置,不能从 SharePoint 管理中心或通过 PowerShell 进行设置。
限制对工作组成员的网站访问
每次创建具有高度敏感标签的新团队时,都需要在关联的 SharePoint 网站上启用网站访问限制。 这可以防止团队外部的人员访问网站或其内容。 (这需要 Microsoft Syntex - SharePoint 高级管理 许可证。)
如果以前未使用过站点访问限制,则需要为组织启用它。
- 在 SharePoint 管理中心中,展开“策略”,然后选择“访问控制”。
- 选择“ 站点访问限制”。
- 选择“允许访问限制”,然后选择“保存”
此操作可能需要长达一小时才能生效。
为站点启用站点访问限制
- 在 SharePoint 管理中心中,展开 “网站” ,然后选择“ 活动网站”。
- 选择要管理的网站。
- 在“设置”选项卡上,选择“受限网站访问”部分中的“编辑”。
- 选择“ 限制对此网站的访问 ”框,然后选择“ 保存”。
为文件选择默认敏感度标签
我们将使用创建的敏感度标签作为连接到 Teams 的网站文档库的默认敏感度标签。 这会自动将高度敏感的标签应用于上传到库的任何新标签兼容文件,并对其进行加密。 (这需要 Microsoft Syntex - SharePoint 高级管理 许可证。)
你需要是团队所有者才能执行此任务。
设置文档库的默认敏感度标签
在 Teams 中,导航到要更新的团队的 “常规” 频道。
在团队的工具栏中,选择“ 文件”。
选择“ 在 SharePoint 中打开”。
在 SharePoint 网站中,打开 “设置” ,然后选择“ 库设置”。
从“ 库设置” 浮出控件窗格中,选择“ 默认敏感度标签”,然后从下拉框中选择高度敏感的标签。
有关默认库标签工作原理的更多详细信息,请参阅 为 SharePoint 文档库配置默认敏感度标签 和 向 SharePoint 文档库添加敏感度标签。