本指南分為四個階段:
- 簡介
- 階段 1:基礎 – 從預設標籤開始
- 階段 2:受控 — 此頁面 (具有最高敏感度的位址檔案)
- 階段 3:優化 – 將保護擴展到整個 Microsoft 365 數據資產
- 第 4 階段:策略 – 營運、將保護擴展到 M365 之外,並對現有內容採取追溯行動
此藍圖也可供下載: PDF、 PowerPoint。
在第一階段,我們解釋瞭如何保護新內容和更新內容。 在此階段,我們將探索如何保護現有資料,從最敏感的資料開始。
階段 2:受控 - 具有最高敏感度的位址檔案
從以下位置確定您的優先站點:
- 知名網站,包括領導團隊的網站
- 具有大量敏感性文件的內容總管
- 報告
- 圖形 API 適用於具有大量敏感性資訊的網站
注意事項
如果您選擇將檔案預設為 Confidential\All 員工,建議您將焦點放在具有較高優先順序標籤的網站。
手動設定優先順序網站預設文件庫標籤
目前,設定需要兩個不同的步驟:
- 將敏感度標籤新增至 SharePoint 網站。
- 將敏感度標籤定義為 SharePoint 文件庫中檔案的預設值。
網站擁有者可以在 SharePoint 網站上設定敏感度標籤,並在文件庫中設定預設文件庫標籤。 SharePoint 系統管理員可以在 SharePoint 系統管理員入口網站中設定網站敏感度標籤。 稍後我們將介紹如何使用 PowerShell 在網站和文件庫上設定敏感度標籤。
認證和內容條件的自動標記
Purview 提供用戶端和服務端自動套用標籤。
用戶端自動標記提供最終使用者意識和決策靈活性。 預設為保護時,用戶端標籤最有助於為敏感性資訊閾值較低的收件者建議較高敏感度標籤。 然後,使用者可以決定接受或不接受建議,並在標籤建議不合適時報告。
服務端標籤會套用至 OneDrive 和 SharePoint 中的現有檔案,以及電子郵件傳輸中的檔案,並提供更多條件,例如下列內容的內容條件:
- 檔案類型
- 檔案大小
- 文件屬性
在預設安全指南的內容中,我們會先依網站內容進行保護,而不僅僅是依敏感資訊類型進行保護。 因此,我們可以在這些網站的所有 Office/.pdf 檔案副檔名上使用內容條件,例如將 標籤設定為機密\所有員工 ,並快速解決現有的優先順序網站。 我們在第 3 階段大規模涵蓋更多選項。
重要事項
建議您在敏感性資訊的所有 認證 上設定自動標記原則,因為此資訊最受對手重視。 針對用戶端自動套用標籤,請將標籤設定為高度機密\特定人員。 針對服務端自動套用標籤,請將標籤設定為 [高度機密\所有員工]。
為未標記的內容開啟資料外洩防護
在這個階段,基礎已經到位,默認值是安全的,我們開始處理現有數據。 啟用資料外洩防護 (DLP) 規則,以使用未標記的 (在端點和 Exchange 上) 的內容未標記 條件,可加速使用者對內容的標籤,並防止共用未標記的內容。
建議您針對具有 Office/PDF 檔案類型的端點 DLP,以及上傳至雲端等相關限制性動作,開啟此 DLP 規則條件。 使用者必須先開啟並標記其檔案,然後才能將檔案上傳到網站上。
開啟調適型防護和資料外洩行為規則
內部風險管理 (IRM) 會根據使用者行為提供一層分析和控制。 在使用敏感度標籤的預設安全內容中,IRM 可以在使用者降級標籤或下載、模糊化和/或外洩該內容時識別並發出警示。
管理員可以控制觸發程式和臨界值。 此外,您現在可以使用調適型保護,根據使用者的風險來強化 DLP 規則。 例如,DLP 規則預設可以在共用標籤為 「一般」的檔案時進行稽核。 可以防止識別為高風險的使用者共用相同的檔案。
提示
建議您開啟並測試具有調適型保護的預設原則,並在現有的 DLP 規則中進行適用的逐一查看。
IRM 提供更多功能、組態和控制項。 檢閱下列參考和未來的 Purview 部署藍圖,以更詳細地涵蓋測試人員風險管理。
第二階段:總結
- 搭配 Microsoft Teams、群組和 SharePoint 網站使用敏感度標籤
- 將敏感度標籤新增至 SharePoint 文件庫
- 設定 SharePoint 文件庫的預設敏感度標籤
- 自動將敏感性標籤套用到 Microsoft 365 中的內容