共用方式為


為小組設定高敏感度資料保護

信息圖示 本文中的某些功能需要 Microsoft -SharePoint 進階管理

在本文中,我們將說明如何為小組設定高敏感度層級的保護。 在按照本文所述的步驟操作之前,請確定您已完成為小組部署基準保護中的步驟。

為了獲得這一層保護,我們會建立敏感度標籤以供整個組織用於高敏感度的小組和檔案。

高敏感度層可提供基準層所未提供的下列額外保護:

  • 小組的敏感度標籤,可讓您開啟或關閉來賓共用,並強制執行條件式存取原則以存取 SharePoint 網站。
  • 卷標也會作為檔案的默認標籤,並加密套用的檔案。 只有貴組織的成員和您指定的來賓能夠解密使用了這個標籤的檔案。
  • 只有小組擁有者可以建立私人頻道。
  • 網站存取僅限於小組成員。

影片示範

請觀看這段影片,以取得本文所述程序的逐步解說。

來賓共用

視貴公司的性質而定,您不一定會想要為包含高敏感度資料的小組啟用來賓共用。 如果您打算與小組內的非組織內部人員共同作業,建議您啟用來賓共用。 Microsoft 365 有各種安全性與合規性功能可協助您安全地共用敏感內容。 一般來說,這個選項的安全性高過直接用電子郵件將內容傳送給組織外的人員。

如需如何安全地與來賓共用的詳細資訊,請參閱下列資源:

為了允許或封鎖來賓共享,我們使用敏感度標籤中可用的控制件。

驗證內容

我們使用 Microsoft Entra 驗證內容 ,在使用者存取 SharePoint 網站時強制執行更嚴格的存取條件。

首先,在 Microsoft Entra ID 中新增驗證內容。

若要新增驗證內容

  1. [Microsoft內部條件式存取] 的 [ 管理] 底下,選取 [ 驗證內容]

  2. 取 [新增驗證內容]

  3. 輸入名稱和描述,然後選取 [ 發佈至應用程式] 複選框。

    新增驗證內容UI的螢幕快照。

  4. 選取 [儲存]

接下來,建立適用於該驗證內容的條件式存取原則,並要求來賓在存取 SharePoint 時使用多重要素驗證。

若要建立條件式存取原則

  1. [Microsoft內部條件式存取] 中,選取 [ 建立新原則]

  2. 輸入原則的名稱。

  3. 在 [ 使用者] 索引標籤上,選擇 [ 選取使用者和群組] 選項,然後選取 [ 來賓或外部使用者] 複選框。

  4. 從下拉式清單中選擇 [B2B 共同作業來賓使用者 ]。

  5. 在 [ 目標資源] 索引 標籤的 [ 選取此原則適用的內容] 下,選擇 [ 驗證內容],然後選取您所建立之驗證內容的複選框。

    雲端應用程式中的驗證內容選項螢幕快照,或條件式存取原則的動作設定。

  6. 在 [ 授與] 索引 標籤上,選取 [ 需要多重要素驗證],然後選擇 [ 選取]

  7. 選擇是否要啟用原則,然後選取 [ 建立]

我們將指向敏感度標籤中的驗證內容。

敏感度標籤

針對高敏感性保護層級,我們會使用敏感度標籤來分類小組。 我們也會使用此標籤來分類和加密小組中的個別檔案。 (它也可以用於其他檔案位置的檔案,例如 SharePoint 或 OneDrive.)

首先,您必須為 Teams 啟用敏感度標籤。 如需詳細資訊,請參閱 使用敏感度標籤保護 Microsoft Teams、Microsoft 365 群組和 SharePoint 網站中的內容

如果組織已部署敏感度標籤,請考慮這個標籤與整體標籤策略的配合程度。 您可以視需要變更名稱或設定,以符合組織的需求。

在為 Teams 啟用敏感度標籤後,下一步是建立標籤。

建立敏感度標籤

  1. 開啟 Microsoft Purview 合規性入口網站
  2. 在 [ 方案] 底下,展開 [信息保護]
  3. 選取 [建立標籤]
  4. 為標籤命名。 我們建議命名為高敏感度,但如果有已經使用的名稱,則可以選擇不同名稱。
  5. 新增顯示名稱和描述,然後選取 [ 下一步]
  6. 在 [ 定義此標籤的範圍] 頁面上,選取 [專案]、[ 檔案]、[ 電子郵件] 和 [群組 & 網站] 。 清除 [ 會議] 複選框。
  7. 選取 [下一步]
  8. 在 [ 選擇檔案和電子郵件的保護設定 ] 頁面上,選取 [ 套用或移除加密],然後選取 [ 下一步]
  9. 在 [加密] 頁面上,選擇 [設定加密設定]
  10. [指派許可權給特定使用者和群組] 下,選取 [ 指派許可權]
  11. 取 [新增您組織中的所有使用者和群組]
  12. 如果有應具有解密檔案許可權的來賓,請選取 [ 新增使用者或群組 ] 並加以新增。
  13. 選取 [儲存],然後選取 [下一步]
  14. 在 [ 自動標記檔案和電子郵件 ] 頁面上,選取 [ 下一步]
  15. 在 [ 定義群組和網站的保護設定 ] 頁面上,選取 [ 隱私權和外部使用者存取 權] 和 [ 外部共用] 和 [條件式存取] ,然後選取 [ 下一步]
  16. 在 [定義隱私權和外部使用者存取權設定] 頁面上,於 [隱私權] 底下選取 [私人] 選項。
  17. 如果您想要允許來賓存取,請在 [外部使用者存取權] 底下,選取 [讓 Microsoft 365 群組擁有者將貴組織外部人員新增到群組做為來賓] 群組。
  18. 選取 [下一步]
  19. 在 [ 定義外部共用和條件式存取設定 ] 頁面上, 選取 [從標示的 SharePoint 網站控制外部共用]
  20. 如果您要允許來賓存取,在 [內容可以與誰共用] 底下,選擇 [新的及現有的來賓],或如果您不要允許來賓存取,則選擇 [僅限組織中的人員]
  21. 取 [使用Microsoft環境條件式存取] 來保護標記的 SharePoint 網站
  22. 選取 [ 選擇現有的驗證內容 ] 選項,然後從下拉式清單中選取您建立的驗證內容。
  23. 選取 [下一步]
  24. 在 [ 架構化數據資產的自動 套用卷標] 頁面上,選取 [ 下一步]
  25. 取 [建立卷標],然後選取 [ 完成]

在建立好標籤後,您必須將標籤發佈給將使用該標籤的使用者。 為了提供敏感性保護,我們會將標籤提供給所有使用者。 您可以在 Microsoft Purview 合規性入口網站的 [捲標原則] 頁面上,於 [信息保護] 底下發佈標籤。 如果您有適用於所有使用者的現有原則,請將這個標籤新增至該原則。 如果您需要建立新原則,請參閱建立標籤原則來發佈敏感度標籤

Teams 設定

高敏感性案例的進一步設定是在小組本身和與小組相關聯的 SharePoint 網站中完成,因此下一個步驟是建立小組。

我們將在 Teams 系統管理中心建立小組。

為高敏感度資訊建立小組

  1. 在 Teams 系統管理中心中,展開 [Teams] ,然後選取 [ 管理團隊]
  2. 選取 新增
  3. 輸入小組的名稱和描述。
  4. 為小組新增一或多個擁有者。 (保持擁有者身分,讓您可以選擇下列 檔案的默認敏感度標籤 。)
  5. 從 [敏感度] 下拉式清單中,選擇您為高敏感性資訊建立 的敏感度 標籤。
  6. 選取 [套用]

私人頻道設定

在這一層中,我們會限制只有團隊擁有者能夠建立私人頻道。

限制私人頻道的建立

  1. 在 Teams 系統管理中心中,選取您建立的小組,然後選取 [ 編輯]
  2. 展開 [訊息許可權]
  3. [新增和編輯私人頻道] 設定為 [關閉]
  4. 選取 [套用]

共用頻道設定

共用頻道 不具備小組層級設定。 您在 Teams 系統管理中心和 Microsoft Entra 系統管理中心設定的共用頻道設定適用於個別使用者。

SharePoint 設定

每次使用高敏感度標籤建立新的小組時,都要在 SharePoint 中進行兩個步驟:

  • 將網站的存取限制為僅限小組成員
  • 為與小組連線的文件庫選擇預設敏感度標籤。

默認敏感度標籤必須在網站本身設定,而且無法從 SharePoint 系統管理中心或透過 PowerShell 設定。

限制小組成員的網站存取

每次您建立具有高敏感度標籤的新小組時,都必須在相關聯的 SharePoint 網站上開啟網站存取限制。 這可防止小組外部人員存取網站或其內容。 (這需要 Microsoft Syntex - SharePoint Advanced Management license.)

如果您之前未使用過網站存取限制,則必須為您的組織開啟它。

  1. 在 SharePoint 系統管理中心,展開 [原則],然後選取 [存取控制]
  2. 取 [網站存取限制]
  3. 取 [允許存取限制 ],然後選取 [ 儲存]

這可能需要一小時才會生效。

開啟網站的網站存取限制

  1. 在 SharePoint 系統管理中心中,展開 [ 網站 ],然後選取 [ 使用中網站]
  2. 選取您要管理的網站。
  3. 在 [設定] 索引標籤上,選取 [限制網站存取] 區段中的 [編輯]。
  4. 選取 [ 限制存取此網站] 方塊,然後選取 [ 儲存]

選擇檔案的預設敏感度標籤

我們將使用我們建立的敏感度標籤,作為連線到Teams之網站文檔庫的默認敏感度標籤。 這會自動將高敏感度標籤套用至任何已上傳至連結庫的新標籤檔案,並加密這些檔案。 (這需要 Microsoft Syntex - SharePoint Advanced Management license.)

您必須是小組擁有者才能執行這項工作。

設定文檔庫的預設敏感度標籤

  1. 在 Teams 中,流覽至您想要更新之小組的 [ 一般 ] 頻道。

  2. 在小組的工具列中,選取 [ 檔案]

  3. 選取 [在 SharePoint 中開啟]

  4. 在 SharePoint 網站中,開啟 [ 設定] ,然後選擇 [鏈接 庫設定]

  5. 從 [鏈接 庫設定] 飛出視窗窗格中,選取 [ 預設敏感度卷標],然後從下拉式方塊中選取高度敏感度標籤。

如需默認文檔庫標籤運作方式的詳細資訊,請參閱設定 SharePoint 文件庫的預設敏感度標籤將敏感度標籤新增至 SharePoint 文件庫

另請參閱

建立及設定敏感度標籤及其原則