為小組設定高敏感度資料保護

發行項
01/10/2024

信息圖示 本文中的某些功能需要 Microsoft Syntex - SharePoint 進階管理

在本文中，我們將說明如何為小組設定高敏感度層級的保護。在按照本文所述的步驟操作之前，請確定您已完成為小組部署基準保護中的步驟。

為了獲得這一層保護，我們會建立敏感度標籤以供整個組織用於高敏感度的小組和檔案。

高敏感度層可提供基準層所未提供的下列額外保護：

小組的敏感度標籤，可讓您開啟或關閉來賓共用，並強制執行條件式存取原則以存取 SharePoint 網站。
卷標也會作為檔案的默認標籤，並加密套用的檔案。只有貴組織的成員和您指定的來賓能夠解密使用了這個標籤的檔案。
只有小組擁有者可以建立私人頻道。
網站存取僅限於小組成員。

影片示範

請觀看這段影片，以取得本文所述程序的逐步解說。

視貴公司的性質而定，您不一定會想要為包含高敏感度資料的小組啟用來賓共用。如果您打算與小組內的非組織內部人員共同作業，建議您啟用來賓共用。 Microsoft 365 有各種安全性與合規性功能可協助您安全地共用敏感內容。一般來說，這個選項的安全性高過直接用電子郵件將內容傳送給組織外的人員。

如需如何安全地與來賓共用的詳細資訊，請參閱下列資源：

為了允許或封鎖來賓共享，我們使用敏感度標籤中可用的控制件。

驗證內容

我們會使用 Microsoft Entra 驗證內容，在使用者存取 SharePoint 網站時強制執行更嚴格的存取條件。

首先，在 Microsoft Entra 標識符中新增驗證內容。

若要新增驗證內容

在 [Microsoft Entra 條件式存取] 的 [管理] 底下，選取 [驗證內容]。
選 取 [新增驗證內容]。
輸入名稱和描述，然後選取 [ 發佈至應用程式] 複選框。
選取 [儲存]。

接下來，建立適用於該驗證內容的條件式存取原則，並要求來賓在存取 SharePoint 時使用多重要素驗證。

若要建立條件式存取原則

在 [Microsoft Entra 條件式存取] 中，選取 [建立新原則]。
輸入原則的名稱。
在 [ 使用者] 索引標籤上，選擇 [ 選取使用者和群組] 選項，然後選取 [ 來賓或外部使用者] 複選框。
從下拉式清單中選擇 [B2B 共同作業來賓使用者 ]。
在 [ 目標資源] 索引 標籤的 [ 選取此原則適用的內容] 下，選擇 [ 驗證內容]，然後選取您所建立之驗證內容的複選框。
在 [ 授與] 索引 標籤上，選取 [ 需要多重要素驗證]，然後選擇 [ 選取]。
選擇是否要啟用原則，然後選取 [ 建立]。

我們將指向敏感度標籤中的驗證內容。

敏感度標籤

針對高敏感性保護層級，我們會使用敏感度標籤來分類小組。我們也會使用此標籤來分類和加密小組中的個別檔案。 (它也可以用於其他檔案位置的檔案，例如 SharePoint 或 OneDrive.)

首先，您必須為 Teams 啟用敏感度標籤。如需詳細資訊，請參閱使用敏感度標籤保護 Microsoft Teams、Microsoft 365 群組和 SharePoint 網站中的內容。

如果組織已部署敏感度標籤，請考慮這個標籤與整體標籤策略的配合程度。您可以視需要變更名稱或設定，以符合組織的需求。

在為 Teams 啟用敏感度標籤後，下一步是建立標籤。

建立敏感度標籤

開啟 Microsoft Purview 合規性入口網站。
在 [ 方案] 底下，展開 [信息保護]。
選取 [建立標籤]。
為標籤命名。我們建議命名為高敏感度，但如果有已經使用的名稱，則可以選擇不同名稱。
新增顯示名稱和描述，然後選取 [ 下一步]。
在 [ 定義此標籤的範圍] 頁面上，選取 [專案]、[ 檔案]、[ 電子郵件] 和 [群組 & 網站] 。清除 [ 會議] 複選框。
選取 [下一步]。
在 [ 選擇檔案和電子郵件的保護設定 ] 頁面上，選取 [ 套用或移除加密]，然後選取 [ 下一步]。
在 [加密] 頁面上，選擇 [設定加密設定]。
在 [指派許可權給特定使用者和群組] 下，選取 [ 指派許可權]。
選 取 [新增您組織中的所有使用者和群組]。
如果有應具有解密檔案許可權的來賓，請選取 [ 新增使用者或群組 ] 並加以新增。
選取 [儲存]，然後選取 [下一步]。
在 [ 自動標記檔案和電子郵件 ] 頁面上，選取 [ 下一步]。
在 [ 定義群組和網站的保護設定 ] 頁面上，選取 [ 隱私權和外部使用者存取 權] 和 [ 外部共用] 和 [條件式存取] ，然後選取 [ 下一步]。
在 [定義隱私權和外部使用者存取權設定] 頁面上，於 [隱私權] 底下選取 [私人] 選項。
如果您想要允許來賓存取，請在 [外部使用者存取權] 底下，選取 [讓 Microsoft 365 群組擁有者將貴組織外部人員新增到群組做為來賓] 群組。
選取 [下一步]。
在 [ 定義外部共用和條件式存取設定 ] 頁面上， 選取 [從標示的 SharePoint 網站控制外部共用]。
如果您要允許來賓存取，在 [內容可以與誰共用] 底下，選擇 [新的及現有的來賓]，或如果您不要允許來賓存取，則選擇 [僅限組織中的人員]。
選取 [使用 Microsoft Entra 條件式存取] 來保護標記的 SharePoint 網站。
選取 [ 選擇現有的驗證內容 ] 選項，然後從下拉式清單中選取您建立的驗證內容。
選取 [下一步]。
在 [ 架構化數據資產的自動 套用卷標] 頁面上，選取 [ 下一步]。
選 取 [建立卷標]，然後選取 [ 完成]。

在建立好標籤後，您必須將標籤發佈給將使用該標籤的使用者。為了提供敏感性保護，我們會將標籤提供給所有使用者。您可以在 [信息保護] 下的 [卷標原則] 頁面上，於 Microsoft Purview 合規性入口網站中發佈標籤。如果您有適用於所有使用者的現有原則，請將這個標籤新增至該原則。如果您需要建立新原則，請參閱建立標籤原則來發佈敏感度標籤。

Teams 設定

高敏感性案例的進一步設定是在小組本身和與小組相關聯的 SharePoint 網站中完成，因此下一個步驟是建立小組。

我們將在 Teams 系統管理中心建立小組。

為高敏感度資訊建立小組

在 Teams 系統管理中心中，展開 [Teams] ，然後選取 [ 管理團隊]。
選取新增。
輸入小組的名稱和描述。
為小組新增一或多個擁有者。 (保持擁有者身分，讓您可以選擇下列檔案的默認敏感度標籤。)
從 [敏感度] 下拉式清單中，選擇您為高敏感性資訊建立 的敏感度 標籤。
選取 [套用]。

私人頻道設定

在這一層中，我們會限制只有團隊擁有者能夠建立私人頻道。

限制私人頻道的建立

在 Teams 系統管理中心中，選取您建立的小組，然後選取 [ 編輯]。
展開 [訊息許可權]。
將 [新增和編輯私人頻道] 設定為 [關閉]。
選取 [套用]。

共用頻道設定

共用頻道不具備小組層級設定。您在 Teams 系統管理中心和 Microsoft Entra 系統管理中心設定的共用頻道設定適用於個別使用者。

SharePoint 設定

每次使用高敏感度標籤建立新的小組時，都要在 SharePoint 中進行兩個步驟：

將網站的存取限制為僅限小組成員
為與小組連線的文件庫選擇預設敏感度標籤。

默認敏感度標籤必須在網站本身設定，而且無法從 SharePoint 系統管理中心或透過 PowerShell 設定。

限制小組成員的網站存取

每次您建立具有高敏感度標籤的新小組時，都必須在相關聯的 SharePoint 網站上開啟網站存取限制。這可防止小組外部人員存取網站或其內容。 (這需要 Microsoft Syntex - SharePoint 進階管理授權.)

如果您之前未使用過網站存取限制，則必須為您的組織開啟它。

在 SharePoint 系統管理中心，展開 [原則]，然後選取 [存取控制]。
選 取 [網站存取限制]。
選 取 [允許存取限制 ]，然後選取 [ 儲存]

這可能需要一小時才會生效。

開啟網站的網站存取限制

在 SharePoint 系統管理中心中，展開 [ 網站 ]，然後選取 [ 使用中網站]。
選取您要管理的網站。
在 [設定] 索引標籤上，選取 [限制網站存取] 區段中的 [編輯]。
選取 [ 限制存取此網站] 方塊，然後選取 [ 儲存]。

選擇檔案的預設敏感度標籤

我們將使用我們建立的敏感度標籤，作為連線到Teams之網站文檔庫的默認敏感度標籤。這會自動將高敏感度標籤套用至任何已上傳至連結庫的新標籤檔案，並加密這些檔案。 (這需要 Microsoft Syntex - SharePoint 進階管理授權.)

您必須是小組擁有者才能執行這項工作。

設定文檔庫的預設敏感度標籤

在 Teams 中，流覽至您想要更新之小組的 [ 一般 ] 頻道。
在小組的工具列中，選取 [ 檔案]。
選取 [在 SharePoint 中開啟]。
在 SharePoint 網站中，開啟 [ 設定] ，然後選擇 [鏈接 庫設定]。
從 [鏈接 庫設定] 飛出視窗窗格中，選取 [ 預設敏感度卷標]，然後從下拉式方塊中選取高度敏感度標籤。

如需默認文檔庫標籤運作方式的詳細資訊，請參閱設定 SharePoint 文件庫的預設敏感度標籤和將敏感度標籤新增至 SharePoint 文件庫。

另請參閱

建立及設定敏感度標籤及其原則