在 Microsoft Purview 中開始使用合規性的快速工作

  • 發行項

如果您不熟悉 Microsoft Purview 並想知道要從何處著手,本文會提供基本概念的指引,並排定重要合規性工作的優先順序。 本文將協助您快速開始管理和監視數據、保護資訊,以及將內部風險降至最低。

如果您想瞭解如何以最佳方式管理風險、保護您的數據,以及與新遠端員工保持符合法規和標準,本文也很有説明。 員工現在正以新的方式彼此共同作業和連線,而這項變更表示您現有的合規性程式和控件可能需要調整。 在組織內識別和管理這些新的合規性風險,對於保護您的數據並將威脅和風險降至最低至關重要。

完成這些基本合規性工作之後,請考慮實作其他 Microsoft Purview 解決方案,以擴充組織的合規性涵蓋範圍。

提示

如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

工作 1:設定合規性許可權

請務必管理組織中可存取 Microsoft Purview 合規性入口網站 的人員,以檢視內容並執行管理工作。 Microsoft 365 提供合規性特定的系統管理角色,以及使用 Microsoft Purview 合規性入口網站 中包含的工具。

首先,將合規性許可權指派給組織中的人員,讓他們可以執行這些工作,並防止未經授權的人員存取其職責以外的區域。 在開始設定及實作 Microsoft 365 隨附的合規性解決方案之前,您會想要確定已將適當的人員指派給 合規性數據管理員合規性系統管理員 角色。 您也必須將使用者指派給 Microsoft Entra 全域讀者角色,以在合規性管理員中檢視數據。

如需設定許可權並將人員指派給系統管理員角色的逐步指引,請參閱 Microsoft Purview 合規性入口網站 中的許可權

工作 2:瞭解您的合規性狀態

如果您不知道自己位於何處,則很難知道該前往何處。 符合您的合規性需求包括瞭解您目前的風險層級,以及在這些不斷變更的時間可能需要哪些更新。 無論貴組織不熟悉合規性需求,還是具備治理您產業之標準和法規的深度經驗,您若要改善合規性,最棒的一件事就是瞭解貴組織在何處。

Microsoft Purview 合規性管理員 可協助您了解組織的合規性狀態,並強調可能需要改進的領域。 合規性管理員會使用集中式儀錶板來計算風險型分數,測量您完成動作的進度,以協助降低數據保護和法規標準的風險。 您也可以使用合規性管理員作為追蹤所有風險評估的工具。 它提供工作流程功能,可透過一般工具協助您有效率地完成風險評估。

如需開始使用合規性管理員的逐步指引,請參閱 開始使用合規性管理員

重要事項

安全性與合規性已與大部分組織緊密整合。 組織必須解決基本安全性、威脅防護、身分識別和存取管理領域,以協助提供安全性與合規性的深層防禦方法。

Microsoft Defender 入口網站中檢查您的 Microsoft 365 安全分數,並完成下列文章中所述的工作:

工作 3:為您的組織啟用稽核

既然您已判斷組織的目前狀態,以及誰可以管理合規性功能,下一個步驟是確定您有數據可進行合規性調查,並針對組織中的網路和用戶活動產生報告。 啟用稽核也是本文稍後所述合規性解決方案的重要必要條件。

稽核記錄所提供的深入解析是一個實用的工具,可協助您將合規性需求與解決方案相符,以協助您管理和監視需要改進的合規性領域。 您必須先啟用稽核記錄,再記錄活動,然後才能搜尋稽核記錄。 啟用時,組織的使用者和系統管理員活動會記錄在稽核記錄中,並保留90天,並根據指派給用戶的授權,最多保留一年。

如需開啟稽核的逐步指示,請參閱開啟或關閉稽核記錄搜尋

工作 4:建立原則以警示您潛在的合規性問題

Microsoft 提供數個內建警示原則,可協助識別系統管理員許可權濫用、惡意代碼活動、潛在的外部和內部威脅,以及數據生命週期管理風險。 默認會開啟這些原則,但您可能需要設定自定義警示,以協助管理組織的特定合規性需求。

使用警示原則和警示儀錶板工具來建立自定義警示原則,並檢視當使用者執行符合原則條件的活動時所產生的警示。 其中一些範例可能是使用警示原則來追蹤影響組織中合規性需求、許可權和數據遺失事件的使用者和系統管理員活動。

如需建立自定義警示原則的逐步指引,請參閱 Microsoft 365 中的警示原則

工作 5:分類及保護敏感數據

為了完成工作,組織中的人員會與組織內外的其他人共同作業。 這表示內容不再停留在防火牆後方,它可以在裝置、應用程式和服務的任何地方漫遊。 而當漫遊時,您想要它以符合貴組織商務與合規性原則的安全、受保護方式來執行此動作。

敏感度標籤 可讓您分類及保護組織的數據,同時確保用戶生產力及其共同作業能力不會受到阻礙。 使用敏感度標籤強制執行加密和使用限制會套用視覺標記,並保護平臺和裝置、內部部署和雲端中的資訊。

如需設定和使用敏感度標籤的逐步指引,請參閱 開始使用敏感度標籤

工作 6:設定保留原則

保留原則可讓您主動決定是否要保留內容、刪除內容,或同時保留內容,然後在指定的保留期間結束時刪除內容。 可能需要採取這些動作,才能遵守業界法規和內部原則,並在發生訴訟或安全性缺口時降低風險。

當內容受限於保留原則時,用戶可以繼續編輯和使用內容,就像沒有任何變更一樣。 內容會就地保留在其原始位置。 但是,如果有人編輯或刪除受限於保留原則的內容,原始內容的複本會儲存到安全的位置,在該內容的保留原則生效時,該內容會保留到該位置。

您可以在 Microsoft 365 環境中為多個服務快速設定保留原則,包括 Teams 和 Viva Engage 訊息、Exchange 郵件、SharePoint 網站和 OneDrive 帳戶。 保留原則可以自動包含的使用者、信箱或網站數目沒有任何限制。 但是,如果您需要取得更多選擇性,您可以設定以查詢為基礎的調適型範圍,以動態鎖定特定實例,或是指定要一律包含或一律排除之特定實例的靜態範圍。

如需設定保留原則的逐步指引,請參閱 建立和設定保留原則。 由於保留原則是 Microsoft 365 應用程式和服務數據生命週期管理策略的基石,因此也請參閱 開始使用數據生命週期管理

工作 7:設定敏感性資訊和不適當的語言原則

保護敏感性資訊,以及偵測和處理工作場所的騷擾事件,是遵守內部原則和標準的重要部分。 Microsoft Purview 中的通訊合規性可協助您快速偵測、擷取電子郵件和 Microsoft Teams 通訊,並採取補救動作,以協助將這些風險降至最低。 這些包括不適當的通訊,其中包含在組織內外共用敏感性資訊的粗話、威脅、攻擊和通訊。

預先定義的 [偵測不適當的文字 原則] 範本可讓您檢查內部和外部通訊中是否有原則相符專案,以便指定的檢閱者檢查它們。 檢閱者可以調查貴組織中的電子郵件、Microsoft Teams、Viva Engage 或第三方通訊,並採取適當的補救動作,以確保其符合貴組織的標準。

預先定義的 偵測敏感性資訊 原則範本可協助您快速建立原則,以檢查包含已定義敏感性資訊類型或關鍵詞的電子郵件和 Microsoft Teams 通訊,以協助確保重要數據不會與不應具有存取權的人員共用。 這些活動可能包括有關機密專案未經授權的通訊,或有關內部交易或其他交易活動之產業特定規則的通訊。

如需規劃和設定通訊合規性的逐步指引,請參閱 規劃通訊合規性開始使用通訊合規性。 如需通訊合規性授權資訊,請參閱 安全性 & 合規性的 Microsoft 365 授權指導方針

工作 8:查看敏感性項目的情況

敏感度標籤、敏感性資訊類型、保留標籤和原則,以及可訓練分類器可用來分類及標記 Exchange、SharePoint 和 OneDrive 之間的敏感性專案,如您在先前工作中所見。 快速工作旅程的最後一個步驟是查看哪些專案已加上標籤,以及您的使用者對這些敏感性專案採取的動作。 內容總管活動總管 提供此可見度。

內容總管

內容總管可讓您以原生格式檢視所有已分類為敏感性資訊類型或由可訓練分類器屬於特定分類的專案,以及已套用敏感度或保留卷標的所有專案。

如需使用內容總管的逐步指引,請 參閱瞭解您的數據 - 數據分類概觀開始使用內容總管

活動總管

活動總管可協助您監視在下列專案上使用已分類和已加上標籤的敏感性專案所執行的作業:

  • SharePoint
  • Exchange
  • OneDrive

有超過 30 個不同的篩選可使用,其中包括:

  • 日期範圍
  • 活動類型
  • 位置
  • 使用者
  • 敏感度標籤
  • 保留標籤
  • 檔案路徑
  • DLP 原則

如需使用活動總管的逐步指引,請參閱 開始使用活動總管

後續步驟

既然您已為組織設定合規性管理的基本概念,請考慮 Microsoft Purview 中的下列合規性解決方案,以協助您保護敏感性資訊,並偵測並處理其他內部風險。

設定保留標籤

保留原則會自動套用至容器層級的所有專案 (例如 SharePoint 網站、使用者信箱等) , 保留標籤 會套用至個別專案,例如 SharePoint 檔或電子郵件訊息。 您可以手動或自動套用這些標籤。

保留標籤可用來作為數據控管策略的一部分,以保留您需要的內容,並刪除您不需要的內容。 當特定檔或電子郵件需要不同的保留或刪除設定時,當您需要保留原則的例外狀況時,請使用這些標籤。 例如,您的 SharePoint 原則會保留所有檔三年,但特定商務文件必須保留五年。 如需詳細資訊,請 參閱建立保留原則例外狀況的保留標籤

不過,保留標籤搭配 記錄管理使用時,會提供更多管理選項,以支援專案層級的文件和電子郵件。 此層級的數據管理非常適合商務、法律或法規記錄保存需求的高價值專案。 如需詳細資訊, 請參閱開始使用記錄管理

識別和定義敏感性信息類型

根據組織數據中資訊中包含的模式來定義敏感性信息類型。 使用 內建敏感性資訊類型 可協助識別及保護信用卡號碼、銀行帳戶號碼、護照號碼等等。 或者,建立組織專屬的 自定義敏感性信息類型

如需定義自定義敏感性資訊類型的逐步指引,請參閱 建立自定義敏感性信息類型

防止資料遺失

Microsoft Purview 資料外洩防護 (DLP) 原則可讓您識別、監視及自動保護整個 Microsoft 365 組織的敏感性資訊。 使用 DLP 原則來識別跨 Microsoft 服務的敏感性專案、防止意外共用敏感性專案,並協助用戶瞭解如何保持相容,而不會中斷其工作流程。

如需設定 DLP 原則的逐步指引,請 參閱建立和部署數據外洩防護原則。 如需數據遺失管理授權資訊,請參閱 安全性 & 合規性的 Microsoft 365 授權指導方針

偵測內部風險並採取行動

愈來愈多,員工可以增加跨各種平台和服務建立、管理及共用數據的存取權。 在大部分情況下,組織具有有限的資源和工具,可識別和降低整個組織的風險,同時也符合合規性需求和員工隱私權標準。 這些風險可能包括離職員工竊取數據,以及意外過度共用或惡意意圖造成組織外部信息的數據外洩。

測試人員風險管理 會使用完整的服務和第三方指標,協助您快速識別、分級及處理有風險的用戶活動。 透過使用 Microsoft 365 和 Microsoft Graph 中的記錄,內部風險管理可讓您定義用於識別風險指標的特定原則,並且採取動作以緩解這些風險。

如需規劃和設定內部風險管理原則的逐步指引,請參閱 規劃內部風險管理開始使用內部風險管理。 如需內部風險管理授權資訊,請參閱 安全性 & 合規性的 Microsoft 365 授權指導方針