共用方式為

Contoso Corporation 的資訊保護

  • 發行項

Contoso 很重視其資訊安全性。 描述其產品設計和專屬製造技術的智慧財產權外泄或毀損,會使其在競爭上處於缺點。

將敏感性數字資產移至雲端之前,Contoso 確定其內部部署資訊分類和保護需求受到企業Microsoft 365 的雲端式服務支援。

Contoso 資料安全性分類

Contoso 執行其數據的分析,並判斷下列分類層級。

第 1 級:基準 第 2 級:敏感性 第 3 級:高管制
資料經過加密並且僅提供給已驗證的使用者。

針對儲存在內部部署和雲端式記憶體和工作負載中的所有數據提供。 數據在服務中且在服務與用戶端裝置之間傳輸時會加密。

第 1 級的範例:一般業務通訊 (電子郵件) 和用於行政、銷售和支援員工的檔案之資料。		 第 1 級再加上增強式驗證及資料遺失保護。

強身份驗證包括 Microsoft Entra 多重要素驗證 (使用SMS驗證的 MFA) 。 Microsoft Purview 資料外洩防護 確保敏感性或重要資訊不會在Microsoft雲端外移動。

第 2 級的範例:財務和法務資訊以及新產品的研發資料。		 第 2 級再加上最高層級的加密、驗證及稽核。

對靜態資料和雲端資料的最高層級資料加密,遵循地區法規,結合 MFA 與智慧卡以及細微稽核與警示。

層級 3 數據的範例包括客戶和合作夥伴個人資訊、產品工程規格,以及專屬製造技術。

Contoso 信息原則

下表列出 Contoso 信息原則。

Access 資料保留 資訊保護
低商業價值 (第 1 級:基準) 允許存取全部。 6 個月 使用加密。
中等商業價值 (第 2 級:敏感性) 允許存取 Contoso 員工、轉包商和合作夥伴。

使用 MFA、傳輸層安全性 (TLS) 和行動裝置應用程式管理 (MAM)。		 2 年 使用雜湊值以確保資料完整。
高商業價值 (第 3 級:高管制) 允許高階主管以及工程部和製造部的主管存取。

版權管理系統 (RMS),只有受控網路裝置。		 7 年 使用數位簽章以提供不可否認性。

企業版 365 Microsoft資訊保護的 Contoso 路徑

Contoso 遵循下列步驟來準備企業Microsoft 365,以符合其資訊保護需求:

  1. 識別要保護的資訊

    Contoso 對其位於內部部署 SharePoint 網站和檔案共用上的現有數位資產進行了廣泛的檢閱,並分類了每個資產。

  2. 決定數據層級的存取、保留和資訊保護原則

    Contoso 根據資料層級決定原則需求,這些原則需求是用來在移至雲端時保護現有的數位資產。

  3. 針對不同層級的資訊建立敏感度標籤及其設定

    Contoso 針對其資料層級建立了敏感度標籤,以及包括加密、權限和浮水印等高管制標籤。

  4. 將數據從內部部署 SharePoint 網站和檔案共用移至新的 SharePoint 網站

    遷移至新 SharePoint 網站的檔案,會繼承指派給網站的預設保留標籤。

  5. 訓練員工如何針對新檔使用敏感度標籤、如何在建立新的 SharePoint 網站時與 Contoso IT 互動,以及一律將數位資產儲存在 SharePoint 網站上

    變更不正確的背景工作資訊儲存習慣通常會被視為雲端資訊保護轉換中最困難的部分。 Contoso IT 和管理需要讓員工一律將其數位資產標記並儲存在雲端、避免使用內部部署檔案共用,以及不使用第三方雲端記憶體服務或 USB 磁碟驅動器。

資訊保護的條件式存取原則

在推出 Exchange Online 和 SharePoint 時,Contoso 設定了下列一組條件式存取原則,並將其套用至適當的群組:

以下是一組用於信息保護的 Contoso 原則。

裝置、Exchange Online和 SharePoint 條件式存取原則。

注意事項

Contoso 也會為身分識別和登入設定額外的條件式存取原則。 請參閱 Contoso Corporation 的身分識別

這些原則會確保:

  • 應用程式保護原則會定義允許的應用程式,以及可對組織數據採取的動作。
  • 電腦和行動裝置都必須符合規範。
  • Exchange Online 會針對 Exchange Online 使用 Office 365 訊息加密 (OME) 。
  • SharePoint 使用應用程式強制執行的限制。
  • SharePoint 會針對僅限瀏覽器存取使用存取控制原則,並封鎖未受控裝置的存取。

將企業功能Microsoft 365 對應至 Contoso 數據層級

下表將 Contoso 數據層級對應至企業版 Microsoft 365 中的資訊保護功能。

層級 Microsoft 365 雲端服務 Windows 11和 Microsoft 365 Apps 企業版 安全性與合規性
第 1 級:基準 SharePoint 和 Exchange Online 條件式存取原則
SharePoint 網站的權限		 敏感度標籤
BitLocker
Windows 資訊保護		 裝置條件式存取原則和行動裝置應用程式管理原則
第 2 級:敏感性 第 1 級增強版:

敏感度標籤
SharePoint 網站上的 Microsoft 365 保留標籤
SharePoint 和 Exchange Online 的資料外洩防護
隔離的 SharePoint 網站		 第 1 級增強版:

數位資產上的敏感度標籤		 第 1 級
第 3 級:高管制 第 2 級增強版:

將您自己的金鑰 (BYOK) 加密和保護以取得商業秘密資訊
Azure 金鑰保存庫 適用於與 Microsoft 365 服務互動的企業營運應用程式		 第 2 級 第 1 級

以下是產生的 Contoso 資訊保護組態。

Contoso 產生的信息保護組態。

下一步

瞭解 Contoso 如何使用 Microsoft 365 企業版的安全性功能來 進行身分識別和存取管理、威脅防護、資訊保護和安全性管理。

另請參閱

適用於 Office 365 的 Microsoft Defender

Microsoft 365 企業版概觀