本文提供有關設定的指引,以降低透過 Microsoft 365 服務不當洩漏安全性分類信息的風險。 其目的是協助組織改善其資訊安全性狀態。 本文中的指導方針符合保護安全策略架構 (PSPF) 和 資訊安全性手冊 (ISM) 中 所述的需求。
本文所討論的原則設定需要瞭解 Microsoft Purview 資料外洩防護 (DLP) 。 如需 Microsoft Purview DLP 的簡介指引,請參閱 了解數據外洩防護。
限制機密信息的電子郵件發佈
保護分類專案的 DLP 原則主要會利用 專案包含敏感度標籤的 DLP 原則條件。 設定 標籤繼承 和 以客戶端為基礎的自動套用標籤 有助於確保標籤正確性,並改善數據安全性。
為了在 DLP 條件和動作方面獲得最高層級的彈性,套用至電子郵件的原則應該 僅以 Exchange 服務為目標。 這可確保可選取原則條件,例如 收件者網域。
套用至敏感度標籤的 DLP 原則需要使用 自訂原則範本。
限制將機密信息的電子郵件散發給未經授權的組織
PSPF 2024 需求 77 指出在分類資訊與外部使用者或組織共用之前,應先備妥合約:
| 需求 | 詳細資料 |
|---|---|
| PSPF 版本 2024 - 12。 信息共用 - 需求 77 | 在安全性分類資訊或資源公開或與政府外部的人員或組織共用之前,已備妥合約或安排,例如合約或 Deed,以建立處理需求和保護。 |
為了符合此 PSPF 需求,政府組織應考慮:
- 商務程式,用來識別、建立及檢閱與其共用安全性分類資訊之實體的合約。
- 組態修改的技術變更程式,允許或防止使用者將安全性分類資訊傳送給外部組織。
組織預期每個安全性分類或子集 (有不同的資訊安全性需求,例如資訊管理標記 (IMM) 或警告) 。 應建立個別的原則或規則,以解決每個分類或子集的需求。
若要建立 DLP 規則,以防止以電子郵件為基礎的安全性分類資訊散發給未核准的組織:
- 選取內容的條件 會從Microsoft 365與組織外部人員共用。
- 選取 內容包含的第二個條件、 敏感度標籤 ,以及選取的適當卷標 (例如 PROTECTED 標籤和相關聯的子捲標) 。
- 選取透過 AND 作數連結的第二個條件群組。
- 第二個群組設定為 NOT。
- 第二個群組包含 收件者網域的條件, 以及 已核准 接收所選安全性分類的網域清單。
- 選取動作,以封鎖或重新導向電子郵件給不是來自其中一個已設定收件者網域的收件者。
範例 DLP 規則:封鎖未核准組織的受保護電子郵件
下列規則會限制將 PROTECTED 電子郵件傳送給未列為核准接收信息的組織。 當使用者正在草擬已套用 PROTECTED 標籤的電子郵件時,如果使用者從未經核准的組織新增收件者,則會出現 DLP 原則提示來警告使用者。 如果使用者忽略原則提示並嘗試傳送電子郵件,則電子郵件會遭到封鎖。
| 條件 | 動作 |
|---|---|
| 內容會從 Microsoft 365 共用, 與組織外部的人員 和 內容包含敏感度標籤: - 所有受保護的標籤 和群組 NOT 收件者網域為: - 已核准接收受保護電子郵件的網域清單 |
限制存取或加密Microsoft 365 個位置中的內容: - 封鎖使用者接收電子郵件或存取 - 封鎖所有人 設定下列原則提示: 「此電子郵件的收件者來自未獲授權接收受保護信息的組織。 除非從 [到] 字段移除未經授權的收件者,否則會封鎖此電子郵件。 如果不正確,請連絡支持人員以討論您的需求。」 設定適當的事件嚴重性和通知選項。 |
提示
澳大利亞政府組織應該考慮設定 DLP 規則,將電子郵件限製為未核准的組織,以用於 PROTECTED 和 OFFICIAL:敏感性安全性分類。
您可以在 ASD 在數據外洩防護原則下的安全雲端藍圖中找到封鎖電子郵件給未核准組織的 DLP 原則進一步 範例。
先前的 DLP 原則範例僅適用於 已加上標籤 的電子郵件。 如果使用者從收件匣回復舊版專案,系統會要求他們選取要套用的標籤。 用戶端型自動套用標籤 可藉由檢查電子郵件上的現有標記來確保標籤標正確無誤。 以服務為基礎的自動套用標籤 可確保套用的標籤與任何現有的主旨標記一致。 這兩項功能可一起運作,以確保標籤正確性,以及相關的 DLP 套用至專案。
允許將分類資訊的電子郵件散發給授權的來賓
基於需要瞭解的需求,政府組織應該根據套用的標籤和來賓群組或網域,整合網域型方法與來賓存取,以及多個層級的來賓存取。
授權來賓許可權可透過下列任一方式來達成:
建立手動維護的群組 (例如 ,受保護的來賓) ,其中包含來自已核准外部組織且已檢查其許可狀態的來賓;或
建立設定為包含來自指定網域之來賓帳戶的動態群組。 這可以透過使用動態查詢來評估使用者的用戶主體名稱 (UPN) 來達成。 例如:
(user.userPrincipalName -match "#EXT#") and (user.userPrincipalName -match "microsoft.com")
如需動態群組成員資格的詳細資訊,請參閱 Microsoft Entra ID 中群組的動態成員資格規則。
下列以電子郵件為基礎的案例示範將受保護資訊接收到網域和來賓帳戶子集的能力所帶來的優點。
| 來賓案例 | 僅限網域型控件 | 網域和客體型控件 |
|---|---|---|
| 來自未核准網域的來賓 |
風險降低 無法接收安全性分類資訊1 |
風險降低 無法接收安全性分類資訊1 |
| 已核准安全性分類資訊的網域來賓 |
風險存在 不論需要知道,所有網域用戶都能夠接收安全性分類資訊 |
風險降低 無法接收安全性分類資訊2 |
| 來自未核准網域的來賓 |
風險降低 無法接收安全性分類資訊1 |
風險降低 無法接收安全性分類資訊2 |
| 來自核准網域的來賓 |
風險存在 不論需要知道,所有網域用戶都能夠接收安全性分類資訊 |
風險降低 無法接收安全性分類資訊2 |
| 來自已核准網域的 來賓和受保護來賓 群組的一部分 |
風險存在 不論需要知道,所有網域用戶都能夠接收安全性分類資訊 |
風險降低 只有新增為 受保護來賓 的網域使用者才能接收安全性分類資訊 |
使用這類設定的組織需要商務程式來支援客體群組成員資格的維護。 任何 受保護的來賓 或對等群組也都必須包含為限制機密電子郵件散發的 DLP 規則例外狀況。
若要建立 DLP 規則,以防止以電子郵件為基礎的安全性分類資訊散發給授權的來賓:
- 選取內容的條件 會從Microsoft 365與組織外部人員共用。
- 選取 內容包含的第二個條件、 敏感度標籤 ,以及選取的適當卷標 (例如 PROTECTED 標籤和相關聯的子捲標) 。
- 選取第二個條件群組,其會透過 AND 作數連結。
- 第二個群組設定為 NOT。
- 它包含的收件者條件是受保護來賓的成員。
- 選取動作,此動作會封鎖電子郵件,或將電子郵件重新導向至不屬於所選群組的收件者。
範例 DLP 規則:封鎖未核准來賓的受保護電子郵件
下列規則是以先前提供的範例為基礎,允許將 PROTECTED 電子郵件傳送給來自已核准網域 的使用者,以及 包含在 受保護來賓 群組中的使用者。
| 條件 | 動作 |
|---|---|
| 內容會從 Microsoft 365 共用: 與組織外部的人員 和 內容包含敏感度標籤: - 所有受保護的標籤 和群組 NOT 收件者網域為: - 已核准接收受保護電子郵件的網域清單 和群組 NOT 收件者是下列成員: - 受保護的來賓 |
限制存取或加密Microsoft 365 個位置中的內容: - 封鎖使用者接收電子郵件或存取 - 封鎖所有人 設定適當的原則提示: 「此電子郵件的收件者未獲得接收 PROTECTED 資訊的授權。 除非從 [到] 字段移除未經授權的收件者,否則會封鎖此電子郵件。 如果不正確,請連絡支持人員以討論您的需求。」 設定適當的事件嚴重性和通知選項。 |
防止將分類資訊的電子郵件散發給未經授權的使用者
PSPF 2024 需求 75 與存取安全性分類資訊所需的清除等級有關:
| 需求 | 詳細資料 |
|---|---|
| PSPF 版本 2024 - 12。 信息共用 - 需求 75 | 安全性分類資訊或資源的存取權只會提供給具有適當安全性許可 (需要) 和需要知道的實體外部人員,並根據最低保護和處理需求進行傳輸。 |
在具有混合安全性許可使用者類型的政府組織中,某些使用者將不會擁有存取組織所保留資訊類型的必要許可權。 這類組織需要控制,以防止不應存取安全性分類資訊的使用者透過電子郵件接收資訊。
將電子郵件限制為不清楚使用者的 DLP 規則需要判斷哪些內部使用者可以接收分類資訊的方法。 如同上一個範例,群組可用於此 (例如, 受保護的使用者 群組) 。 這類群組可以動態,並根據與每個人員安全性許可一致的屬性來維護成員資格。 這可以來自 HR 或身分識別系統。 或者,您可以在 DLP 原則中設定 收件者 AD 屬性比對模式 的條件。
符合這些需求的 DLP 原則設定需要:
- 內容的條件會從Microsoft 365與組織內的人員共用。
- 內容的條件包含其中任何一個敏感度標籤,其中包含相關標籤 (例如,所有受保護的標籤) 選取。
- 條件群組,透過 AND 作數連結。 第二個設定為 NOT 且包含 收件者條件的群組是 受保護用戶的成員。
- 規則需要一個動作來封鎖電子郵件,或將電子郵件重新導向至不屬於已設定群組的收件者。
範例 DLP 規則:封鎖對非明確內部使用者的受保護電子郵件
此規則會封鎖不屬於 受保護使用者群組的使用者 接收已套用 PROTECTED 標籤的電子郵件。
| 條件 | 動作 |
|---|---|
| 內容會從 Microsoft 365 共用 只與組織內的人員搭配使用 和 內容包含敏感度標籤: - 所有受保護的標籤 和群組 NOT 收件者是下列成員: - 受保護的使用者 |
限制存取或加密Microsoft 365 個位置中的內容: - 封鎖使用者接收電子郵件或存取 - 封鎖所有人 設定適當的原則提示,例如: 「您指定的使用者未獲核准存取 PROTECTED 專案。」 設定適當的事件嚴重性和通知選項。 |
上述規則的效果是,提供自動套用標籤已與 電子郵件型自動套用標籤設定範例一起設定,從外部組織收到的標示電子郵件會在回條時標示。 加上標籤之後,如果收件者不屬於受保護的 使用者 群組,則會封鎖收到受保護的電子郵件。
新增保護標記的考慮
下列規則會藉由檢查透過 x-protected-marking x 標頭或主體標記套用的 PROTECTED 標記,來擴充上述範例。 如果收件者不是 受保護使用者 群組的一部分,則此規則會封鎖電子郵件。
| 條件 | 動作 |
|---|---|
| 內容會從 Microsoft 365 共用: 只有組織內的人員 和群組 NOT 收件者是下列成員: - 受保護的使用者 AND GROUP 標頭符合模式: X-Protective-Marking : SEC=PROTECTED OR 主體比對模式: \[SEC=PROTECTED |
限制存取或加密Microsoft 365 個位置中的內容: - 封鎖使用者接收電子郵件或存取 - 封鎖所有人 設定適當的原則提示,例如: 「您指定的使用者未獲核准存取 PROTECTED 專案。」 設定適當的事件嚴重性和通知選項。 |
防止未經授權的用戶傳送機密資訊的電子郵件
防止未經授權的使用者接收已在租使用者內的機密資訊非常重要。 不過,請考慮使用者可透過本機記憶體、USB 或其他以無郵件為基礎的方法存取 PROTECTED 項目的情況。 用戶接著會將專案附加至電子郵件,並將其傳送給其他未核發的使用者。 檢查使用者是否獲授權傳 送 安全性分類資訊,有助於降低數據外泄的風險。
DLP 規則,可檢查使用者是否有權存取分類資訊,然後才能傳送需要:
- 內容的條件包含其中任何一個敏感度標籤,其中包含相關標籤 (例如,所有受保護的標籤) 選取。
- 條件群組,透過 AND 作數連結。 第二個設定為 NOT 且包含 收件者條件的群組是 受保護用戶的成員。
- 包含傳送者的條件是受保護用戶的成員。
- 規則將需要一個動作來封鎖電子郵件,或將電子郵件重新導向至不屬於已設定群組的收件者。
若要確保內部和外部傳送都受到保護,規則應該與內容條件重複,因為內容會從設定為 [僅與組織內的人員共用] Microsoft 365 共用,以及回溯與組織外部人員共用。
限制未經授權用戶散佈安全性分類電子郵件的 DLP 規則範例
下列 DLP 規則可確保只有獲得受保護資訊存取權的使用者才能傳送它。 這些規則可確保在安全性事件中 (例如,意外或惡意過度共用、不當的許可權或安全性設定) 、無法辨清可存取已分類專案的使用者無法進一步散發安全性分類資訊來破壞數據外洩。
| 規則 | 條件 | 動作 |
|---|---|---|
| 限制受保護電子郵件的內部傳送 | 內容會從 Microsoft 365 共用: 只與組織內的人員搭配使用 和 內容包含敏感度標籤: - 所有受保護的標籤 和群組 NOT 寄件者是下列成員: - 受保護的使用者 |
限制存取或加密Microsoft 365 個位置中的內容: - 封鎖使用者接收電子郵件或存取 - 封鎖所有人 視需要設定原則提示。 設定適當的事件嚴重性和警示 |
| 限制外部傳送 PROTECTED 電子郵件 | 內容會從 Microsoft 365 共用: 只與組織外部的人員搭配使用 和 內容包含敏感度標籤: - 所有受保護的標籤 和群組 NOT 寄件者是下列成員: 受保護的使用者 |
限制存取或加密Microsoft 365 個位置中的內容: - 封鎖使用者接收電子郵件或存取 - 封鎖所有人 視需要設定原則提示。 設定適當的事件嚴重性和警示 |
防止共用安全性分類資訊
注意事項
ASD 的安全雲端藍圖 包含 SharePoint 共用設定的指引。 ASD 建議將所有共享連結限制為僅限組織中的人員。 將所有共用設定為僅限內部,對於在 PROTECTED 層級運作的組織而言,是良好的 默認 狀態。
某些組織需要調整其共享組態,以符合進階使用案例,例如與其他組織的安全共同作業。 已遵循高 外部共同作業控制 和 ASD 安全雲 端藍圖的其他相關區段中所包含的指引,因此,這可在低風險層級下完成,而且可以輕鬆地產生比傳統電子郵件處理檔案附件方法更適合資訊安全性的設定。
每個組織都有預設的共享設定,透過 SharePoint 共用設定進行設定。 這可讓您設定已核准接收共享連結的網域清單。 這類設定與 PSPF 2024 需求 77 一致。
| 需求 | 詳細資料 |
|---|---|
| PSPF 版本 2024 - 12。 信息共用 - 需求 77 | 在安全性分類資訊或資源公開或與政府外部的人員或組織共用之前,已備妥合約或安排,例如合約或 Deed,以建立處理需求和保護。 |
卷標群組和網站設定可以進一步限制從標籤位置共享專案,如 標籤共用設定中所述。 設定之後,安全性分類專案,例如 PROTECTED 檔,在受保護的位置時,共用選項有限。 範 例群組和網站組態中的組態,僅限從這類位置共用給內部收件者。 如果 PROTECTED 專案移出受保護的位置,將會套用 數據就地警示 。
除了以位置為基礎的共用限制之外,組織還應實作 DLP 原則來封鎖或警告和停用使用者外部共用不適合外部散發的專案。 下列範例原則適用於 PROTECTED 檔,以防止它們與外部用戶共用:
| 條件 | 動作 |
|---|---|
| 內容會從 Microsoft 365 共用: 只與組織外部的人員搭配使用 和 內容包含敏感度標籤: - 所有受保護的標籤 |
限制存取或加密Microsoft 365 個位置中的內容: - 封鎖使用者接收電子郵件或存取 - 僅封鎖組織外部的人員 設定適當的原則提示,例如: 「PROTECTED 項目不適合與外部收件者共用。」 設定適當的事件嚴重性和警示 |
提示
由於 SharePoint 型 DLP 原則是位置而非使用者型原則,因此不會針對每個使用者或每個群組套用例外狀況。 不過,套用至 OneDrive 的原則可以限定於特定使用者。
您可以設定 DLP 原則提示,為使用者提供有用的意見反應。 與儲存在 SharePoint 位置內的原則提示相符的檔案,可受益於文檔庫內的圖示標記。 因為先前的範例 DLP 原則包含原則提示,而原則會強制存取限制,所以在文檔庫中會顯示含有連字元的圓形圖示,提醒使用者該專案受限於限制:
當使用者忽略原則提示,並嘗試在外部共用 PROTECTED 專案時,原則提示會顯示在共用對話框中:
例如,如果使用者嘗試略過 DLP 原則,以電子郵件傳送更寬鬆的連結類型給外部使用者,例如 任何人連結,DLP 原則仍會觸發、產生報告,如果已設定,則傳送 DLP 通知給使用者。
防止透過Teams聊天散布安全性分類專案
如需使用 Microsoft Purview DLP 來保護 Microsoft Teams 的相關信息,請參閱 Microsoft Teams。
Teams 中的檔案共用活動可透過共用連結運作,並可透過 防止共用安全性分類資訊中討論的 DLP 原則設定來保護。
Teams 聊天不能套用敏感度標籤。 因此,分類型 DLP 原則不適用。 不過,透過 DLP 限制外部聊天時,會討論偵測敏感性資訊和安全性標記的原則。
其他共用案例
本節將討論政府組織認為適用的其他共用案例。
如果安全位置的成員,例如 PROTECTED 小組,不適當地共用專案,該怎麼辦?
Microsoft 信任但驗證 方法可讓小組內的所有用戶根據位置的共用原則共享內容。 如果需要進一步的限制,選項包括:
敏感度標籤和網站設定 可用來強制執行已標記位置 的條件式存取 原則。 驗證內容 也會先檢查使用者是否為授權使用者群組的一部分,然後才允許存取標示位置中的內容。
卷標的位置可以進一步受到限制。 使用 PowerShell 設定標籤的組態,讓
MemberShareNone網站或小組擁有者控制套用標籤之位置的信息發佈。 如需成員共用限制的詳細資訊,請參閱 成員共用。資訊屏障隱含 Microsoft 365 群組控件可用來封鎖與非小組成員共享專案。 這項功能適用於需要防止使用者群組之間的通訊和共同作業的情況。
如果使用者將 PROTECTED 專案移至共用較為寬鬆的另一個位置,該怎麼辦?
如果使用者嘗試藉由將 PROTECTED 專案移至較低的敏感度位置來略過共用和訪問控制,例如另一個共用較為寬鬆的小組,則:
- 系統會觸發數據就地警示,警告使用者採取動作。
- 安全性小組可以透過設定就 地監視數據警示來發出警示。
SharePoint 共用設定可用來設定允許使用者共用的網域清單。 設定之後,使用者就無法在已核准的組織外部共享專案。
OneDrive 位置的共享原則可能比套用至已標記位置的更寬鬆。 若要降低與使用者從 OneDrive 共用以略過位置型控件相關的風險,可以設定 DLP 原則來限制從 OneDrive 共用具有特定卷標的專案。 原則也可以透過群組套用,允許已核准的使用者與其 OneDrive 位置中的標籤專案與來賓共享,同時限制未核准的使用者。
重要事項
獲授權存取 PROTECTED 專案的使用者可以從其 OneDrive 共用這類專案,以符合組織全域 OneDrive 共用設定以及套用至其帳戶的 OneDrive 共用設定。
如果惡意測試人員重複嘗試外泄安全性分類資訊,該怎麼辦?
惡意測試人員可能會多次嘗試規避本文所述的數據安全性控制件。 Microsoft的 測試人員風險管理 功能可用來根據用戶的活動來判斷其風險層級。 內部風險管理可讓安全性小組監視可疑的活動順序,例如:
- 從 Microsoft 365 位置下載資訊,然後將它們複製到 USB。
- 降低或移除套用至專案的敏感度標籤,然後與外部用戶共用。
- 混淆已識別為敏感性的資訊,然後透過雲端服務將其外洩。
如需與澳大利亞政府組織相關的測試人員風險管理設定建議,請參閱 管理內部風險。
注意事項
防止 不當散佈敏感性資訊,涵蓋透過敏感性資訊類型 (SIT) 而非敏感度標籤識別及保護安全性分類專案的其他方法。
防止將安全性分類項目上傳至 Unmanaged 位置
Defender for Cloud Apps 是Microsoft解決方案,可讓您檢視及控制以 SaaS 為基礎的應用程式。 它透過 DLP 和數據共用控制項提供與 Microsoft Purview 的整合。
Defender for Cloud Apps 原則是在 Microsoft 365 Defender 控制台的 [雲端應用程式原則>] 功能表下設定。 系統管理員可以建立以具有 PROTECTED 標籤的檔案為目標的原則,並防止它們與未經核准的網域共用。 此設定與 PSPF 2024 需求 77 一致,其指出安全性分類項目應該只與正式核准的組織共用:
| 需求 | 詳細資料 |
|---|---|
| PSPF 2024 版 - 第 12 節:信息共用 - 需求 77 | 在安全性分類資訊或資源公開或與政府外部的人員或組織共用之前,已備妥合約或安排,例如合約或 Deed,以建立處理需求和保護。 |
如需 Defender for Cloud Apps 與 Microsoft Purview 資訊保護 之間整合的詳細資訊,請參閱 Microsoft Purview 資訊保護 整合。
防止複製或列印安全性分類專案
政府組織應該考慮不是因特網服務的數據遺失媒介,例如可透過使用者裝置達成的數據遺失媒介。 例如,發生下列情況:
- 使用者將 PROTECTED 專案複製到未加密的 USB 磁碟驅動器,然後遺失或遭竊。
- PROTECTED 專案會複製到內部部署網路共用或位置,這不適合儲存 PROTECTED 專案。
- PROTECTED 專案中包含的資訊會複製並貼到未套用相同控件的新專案中,允許資訊外流。
- 系統會列印安全性分類專案,然後硬式複本會遺失或遭竊。
端點數據外洩防護 (端點 DLP) 允許 DLP 原則套用至已註冊端點上的用戶動作。 如需端點 DLP 上線程式的相關信息,請參閱 端點 DLP 用戶入門。
作為有效 EndPoint DLP 控制件的必要條件,政府組織應該將網頁瀏覽器限制為僅限Microsoft 365 DLP 感知的網頁瀏覽器。 Chromium 是 DLP 感知,而且 Google Chrome 和 Firefox 都可以透過瀏覽器載入巨集讓 DLP 感知。 如需 Microsoft Purview Chrome 擴充功能的詳細資訊,請參 閱開始使用 Microsoft Purview Chrome 擴充功能。
若要以具有端點 DLP 的裝置為目標,請建立範圍設為 [ 裝置 ] 位置的 DLP 原則。
如同其他 DLP 範例,您可以使用 內容包含、 敏感度標籤 做為條件來設定原則。 在原則動作下,您可以選擇 [ 稽核]、 [以覆寫方式封鎖] 或 [ 封鎖 下列動作]:
- 將專案上傳至受限制的雲端服務網域 (例如,Google 雲端硬碟) (常見於政府組織中的 封鎖)
- 從專案複製到剪貼簿
- 將專案複製到可移除的USB (在政府組織中使用 覆寫進行封鎖)
- 複製到網路共用
- 使用不允許的藍牙應用程式進行複製或移動 (在政府 組織中封鎖)
- 使用遠端桌面通訊協議進行複製或移動 (在政府 組織中封鎖)
注意事項
EndPoint DLP 可讓組織設定一系列的選項,包括應用程式、路徑排除、允許的瀏覽器、允許的印表機,以及允許的 USB 裝置。 這些設定可以與原則搭配使用,以定義允許使用標記項目的情況。