整合 Microsoft Purview 資訊保護

  • 發行項

適用於雲端的 Microsoft Defender Apps 可讓您從 Microsoft Purview 資訊保護 自動套用敏感度標籤。 這些標籤會套用至檔案作為檔案原則控管動作,並視卷標組態而定,可以套用加密以取得額外的保護。 您也可以在 適用於雲端的 Defender Apps 入口網站中篩選套用的敏感度標籤,以調查檔案。 使用標籤可提高雲端中敏感數據的可見度和控制。 Microsoft Purview 資訊保護 與 適用於雲端的 Defender Apps 整合,就像選取單一複選框一樣簡單。

藉由將 Microsoft Purview 資訊保護 整合到 適用於雲端的 Defender Apps 中,您可以使用雲端中服務和安全檔案的完整功能,包括:

  • 將敏感度標籤作為治理動作套用至符合特定原則的檔案的能力
  • 在集中位置檢視所有分類檔案的能力
  • 根據分類層級調查以及量化雲端應用程式上敏感性資料暴露的能力
  • 建立原則以確認正確處理分類檔案的能力

必要條件

注意

若要啟用此功能,您需要 適用於雲端的 Defender Apps 授權和 Azure 資訊保護 進階版 P1 的授權。 一旦兩個授權都就緒,適用於雲端的 Defender Apps 會從 Azure 資訊保護 服務同步組織標籤。

  • 若要使用 Microsoft Purview 資訊保護 整合,您必須啟用 Microsoft 365 的 應用程式連線程式。

若要讓 適用於雲端的 Defender 應用程式套用敏感度標籤,它們必須發佈為 Microsoft Purview 合規性入口網站 中敏感度標籤原則的一部分。

適用於雲端的 Defender Apps 目前支援針對下列檔案類型套用來自 Microsoft Purview 資訊保護 的敏感度標籤:

  • Word:docm、docx、dotm、dotx
  • Excel:xlam、xlsm、xlsx、xltx
  • PowerPoint:potm、potx、ppsx、ppsm、pptm、pptx
  • Pdf

    注意

    針對 PDF,您必須使用統一標籤。

此功能目前適用於儲存在 Box、Google Workspace、SharePoint Online 和 商務用 OneDrive 中的檔案。 未來版本中將支援更多雲端應用程式。

運作方式

您可以在 適用於雲端的 Defender Apps 中看到 Microsoft Purview 資訊保護 的敏感度標籤。 一旦整合 適用於雲端的 Defender Apps 與 Microsoft Purview 資訊保護,適用於雲端的 Defender Apps 會掃描檔案,如下所示:

  1. 適用於雲端的 Defender Apps 會擷取租使用者中使用的所有敏感度標籤清單。 此動作會每小時執行一次,讓清單保持在最新狀態。

  2. 適用於雲端的 Defender 應用程式接著會掃描檔案是否有敏感度標籤,如下所示:

    • 如果您啟用自動掃描,則會將所有新的或修改過的檔案新增至掃描佇列,並掃描所有現有的檔案和存放庫。
    • 如果您設定檔案原則來搜尋敏感度標籤,這些檔案會新增至敏感度標籤的掃描佇列。

  3. 如前所述,這些掃描是針對在初始掃描中探索到的敏感度標籤,適用於雲端的 Defender Apps 會確實查看租使用者中所使用的敏感度標籤。 外部標籤 (租用戶外部人員所設定的分類標籤) 會新增至分類標籤清單。 如果您不想掃描這些標籤,請選取 [僅掃描來自 Microsoft Purview 資訊保護 的敏感度檔案和此租使用者的內容檢查警告] 複選框。

  4. 在 適用於雲端的 Defender Apps 上啟用 Microsoft Purview 資訊保護 之後,系統會掃描新增至已連線雲端應用程式的所有新檔案是否有敏感度標籤。

  5. 您可以在自動套用敏感度標籤的 適用於雲端的 Defender Apps 內建立新的原則。

整合限制

使用 Microsoft Purview 標籤搭配 適用於雲端的 Defender Apps 時,請注意下列限制。

限制 描述
適用於雲端的 Defender Apps 外部套用標籤或保護的檔案 適用於雲端的 Defender Apps 可以覆寫 適用於雲端的 Defender 應用程式外部套用的未受保護的標籤,但無法移除。

適用於雲端的 Defender 應用程式無法從 適用於雲端的 Defender 應用程式外部標籤的檔案移除具有保護的標籤。

若要掃描 適用於雲端的 Defender 應用程式外部所套用保護的檔案,請授與許可權以檢查受保護檔案的內容。
由 適用於雲端的 Defender Apps 標記的檔案 適用於雲端的 Defender Apps 不會覆寫已由 適用於雲端的 Defender Apps 加上標籤的檔案標籤。
受密碼保護的檔案 適用於雲端的 Defender 應用程式無法讀取受密碼保護檔案的標籤。
空白檔案 空白檔案不會由 適用於雲端的 Defender Apps 加上標籤。
需要簽出的連結庫 適用於雲端的 Defender 應用程式無法標記位於設定為需要簽出的連結庫中的檔案。
範圍需求 為了讓 適用於雲端的 Defender 應用程式辨識敏感度標籤,必須至少針對檔案和電子郵件設定 Purview 中的標籤範圍。

注意

Microsoft Purview 是 Microsoft 標籤服務的主要解決方案。 如需詳細資訊,請參閱 Microsoft Purview 檔

如何整合 Microsoft Purview 資訊保護 與 適用於雲端的 Defender Apps

啟用 Microsoft Purview 資訊保護

您只需要將 Microsoft Purview 資訊保護 與 適用於雲端的 Defender Apps 整合即可選取單一複選框。 藉由啟用自動掃描,您可以啟用在 Microsoft 365 檔案上搜尋 Microsoft Purview 資訊保護 的敏感度標籤,而不需要建立原則。 啟用之後,如果您的雲端環境中有具有來自 Microsoft Purview 資訊保護 敏感度標籤的檔案,您會在 適用於雲端的 Defender Apps 中看到這些檔案。

若要讓 適用於雲端的 Defender 應用程式掃描已啟用敏感度標籤內容檢查的檔案:

在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。 然後移至 資訊保護 ->Microsoft 資訊保護

  1. 在 [Microsoft 資訊保護 設定] 底下,選取 [自動掃描新檔案] 以取得來自 Microsoft Purview 資訊保護 和內容檢查警告的敏感度卷標。

    Enable Microsoft Purview Information Protection.

啟用 Microsoft Purview 資訊保護 之後,您將可以看到具有敏感度標籤的檔案,並在 適用於雲端的 Defender Apps 中篩選每個標籤。 適用於雲端的 Defender 應用程式連線到雲端應用程式之後,您將能夠在 適用於雲端的 Defender 中使用 Microsoft Purview 資訊保護 整合功能,從 Microsoft Purview 資訊保護 套用敏感度標籤(含或不加密)應用程式入口網站,方法是將檔案直接新增至檔案,或設定檔案原則以自動將敏感度標籤套用為治理動作。

注意

自動掃描不會掃描現有的檔案,直到這些檔案經過修改為止。 若要從 Microsoft Purview 資訊保護 掃描現有檔案中是否有敏感度標籤,您必須至少有一個檔案原則包含內容檢查。 如果沒有,請建立新的 [檔案原則],刪除所有默認篩選條件,然後在 [檢查方法] 底下選取 [內建 DLP]。 在 [ 內容檢查 ] 欄位中,選取 [包含符合預設表達式 的檔案],然後選取任何預先定義的值,然後儲存原則。 這可啟用內容檢查,其會自動從 Microsoft Purview 資訊保護 偵測敏感度標籤。

設定內部和外部標籤

根據預設,適用於雲端的 Defender 應用程式會掃描組織中定義的敏感度標籤,以及由其他組織定義的外部標籤。

若要忽略組織外部設定的敏感度標籤,請移至 Microsoft Defender 入口網站,然後選取 [設定]。 然後選擇 [ 雲端應用程式]。 在 [資訊保護] 底下,選取 [Microsoft Purview 資訊保護]。 然後,選取 [僅掃描檔案],從 Microsoft Purview 資訊保護 和來自此租使用者的內容檢查警告的敏感度標籤。

Ignore labels.

直接將標籤套用至檔案

  1. 在 Microsoft Defender 入口網站的 [Cloud Apps] 下,選擇 [檔案]。 然後選取您要保護的檔案。 選取檔案數據列結尾的三個點,然後選擇 [ 套用敏感度卷標]。

    Apply sensitivity label.

    注意

    適用於雲端的 Defender 應用程式可以在最多 30 MB 的檔案上套用 Microsoft Purview 資訊保護。

  2. 選擇其中一個組織的敏感度標籤以套用至檔案,然後選取 [ 套用]。

    Protection sensitivity label.

  3. 選擇敏感度標籤並選取 [用] 之後,適用於雲端的 Defender 應用程式會將敏感度標籤套用至源檔。

  4. 您也可以選擇 [移除敏感度標籤] 選項來移除敏感度標籤

如需 適用於雲端的 Defender 應用程式和 Microsoft Purview 資訊保護 如何一起運作的詳細資訊,請參閱從 Microsoft Purview 資訊保護 自動套用敏感度標籤。

自動為檔案貼上標籤

您可以建立檔案原則,並將 [套用敏感度標籤] 設定 為治理動作,自動將敏感度標籤 套用至檔案。

請遵循下列指示建立檔案原則:

  1. 建立檔案原則。

  2. 設定原則以包含您要偵測的檔案類型。 例如,選取 [存取層級不等於內部] 和 [擁有者 OU] 等於財務小組的所有檔案

  3. 在相關應用程式的治理動作下,選取 [ 套用敏感度標籤 ],然後選取標籤類型。

    Apply label.

注意

  • 套用敏感度標籤的能力是功能強大的功能。 為了避免客戶意外地將標籤套用至大量檔案,因此每個租用戶對每個應用程式有 100 個 [套用標籤] 動作的每日限制作為安全預防措施。 達到每日限制之後,套用標籤動作會暫時暫停,並會於隔天 (12:00 UTC 之後) 自動繼續。
  • 停用原則時,該原則的所有暫止卷標工作都會暫停。
  • 在標籤設定中,許可權必須指派給任何已驗證的使用者,或組織中所有使用者,適用於雲端的 Defender 應用程式才能讀取標籤資訊。

控制檔案暴露

  1. 例如,假設您已使用 Microsoft Purview 資訊保護 敏感度標籤標記下列檔:

    Sample Microsoft Purview Information Protection screen.

  2. 您可以在 [檔案] 頁面中篩選 Microsoft Purview 資訊保護 的敏感度標籤,在 適用於雲端的 Defender Apps 中看到此檔。

    Defender for Cloud Apps compared to Microsoft Purview Information Protection.

  3. 您可以在檔案抽屜中取得這些檔案及其敏感度標籤的詳細資訊。 只要在 [檔案] 頁面中選取相關的檔案,並檢查是否有敏感度標籤。

    File drawer.

  4. 然後,您可以在 適用於雲端的 Defender Apps 中建立檔案原則,以控制不適當共用的檔案,並尋找已加上標籤且最近修改過的檔案。

  • 您可以建立自動將敏感度標籤套用至特定檔案的原則。
  • 您也可以對與檔案分類的相關活動觸發警示。

注意

在檔案上停用敏感度標籤時,停用的標籤會在 適用於雲端的 Defender Apps 中顯示為停用。 已刪除的標籤則不會顯示。

原則範例 - 在 Box 上對外共用機密資料:

  1. 建立檔案原則。

  2. 設定原則的名稱、嚴重性和類別。

  3. 新增下列篩選尋找在 Box 上對外共用的所有機密資料:

    Confidentiality policy.

範例原則 - 最近在 SharePoint 的客戶資料夾外修改的受限制資料:

  1. 建立檔案原則。

  2. 設定原則的名稱、嚴重性和類別。

  3. 新增下列篩選來尋找所有最近修改過的受限制檔案,同時排除資料夾選取選項中的 [客戶數據] 資料夾:

    Restricted data policy.

您也可以為這些原則選擇設定警示、使用者通知或立即採取行動。 深入了解管理動作

深入瞭解 Microsoft Purview 資訊保護

下一步

使用原則來控制雲端應用程式

如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證