本指南分為四個階段:
- 簡介
- 階段 1:基礎 – 從預設標籤開始
- 階段 2:受控 – 以最高敏感度的檔案位址
- 階段 3:最佳化 – 將保護擴展到整個 Microsoft 365 數據資產, (此頁面)
- 第 4 階段:策略 – 營運、將保護擴展到 M365 之外,並對現有內容採取追溯行動
此藍圖也可供下載: PDF、 PowerPoint。
在前幾個階段,我們鋪設了安全基礎,並討論了優先地點。 我們涵蓋了客戶端和服務端自動標記功能。 如需比較資料表,請參閱:在 Microsoft 365 中自動套用敏感度標籤。
階段 3:最佳化 - 擴充至整個 Microsoft 365 資料資產
在此階段中,我們會說明選項,以協助反覆處理所有 Microsoft 365 數據資產。
之前,我們建議使用初始政策來熟悉使用者。 在此階段,我們已準備好在案例中逐步使用它們。 自動套用標籤最適合您需要比預設標籤更高的敏感度的案例。
我們也會討論如何追溯標記現有網站,並設定預設的程式庫標籤。
在用戶端上自動標記敏感性檔案 (低閾值)
用戶端自動標籤可讓使用者決定套用建議的標籤,或報告誤報。 您可以使用 300+ 敏感性資訊類型 (SIT) 可用的 SIT 和 可訓練的分類器來完成。
在高層次上,我們建議採用下列方法。 臨界值僅作為範例提供。
- 確定您所在行業的相關 SIT。
- 建議使用 SIT 閾值較低的標籤 (1-9) 。
- 自動套用具有較高閾值 (10+) 和/或可訓練分類器的標籤。
您的客戶預設標籤會影響您的自動標籤策略。 雖然本指南建議將此設定為 [機密\所有員工],但當 Office 用戶端預設為 [一般],然後在儲存在 SharePoint 中時設定為 [機密\所有員工 ]時,我們也會提供替代方案。
提示
如果您的預設值設定為 [機密\所有員工],則您的自動套用標籤策略會較不複雜,且會著重於 高度機密 標籤。
當您識別更多商務案例時,您可以隨著時間逐步部署更多 SIT/可訓練的分類器。 透過預設值和用戶端自動標記,您現在可以處理所有新的和更新的內容。
模擬靜態自動標記敏感檔案
服務端自動套用標籤會標記 SharePoint 和 OneDrive 中的待用檔案,並提供更多條件。 我們目前支援在您的組織中每天自動標記最多 100k 個檔案。
雖然用戶端自動標記僅限於敏感內容,但服務端自動標記新增了對內容條件的支援,例如:
- 內容被共享
- 檔案副檔名是
- 文件名稱包含單字或片語
- 文件屬性為
- 文件大小等於或大於
- 建立者的文件
這些條件,結合選取特定網站和/或使用者的 OneDrive,可讓您的組織排定要先標記哪些內容的優先順序。
例如,如果您的組織使用具有文件屬性或文件名稱前置詞的範本,您可以在所有 SharePoint 網站和 OneDrive 上執行原則。 您也可以根據領導團隊建立的檔案大小或文件來確定優先順序。
您可以在批次的 SharePoint 網站中使用 Office/PDF 副檔名 來完成所有文件的標籤,並設定為符合其個別網站的標籤,從較高敏感度的網站開始,逐步擷取 一般 網站。
最後,您可以為 高度機密 內容實作更多的服務端自動標籤,通常具有比用戶端自動標籤中使用的更高閾值,以減少潛在的誤判。
使用進階分類器減少誤報
在本節中,我們將介紹進階分類器的基礎以及何時使用它們。
在此預設安全的藍圖背景下,我們專注於對高度機密內容使用具有自動標記的分類器,其中進階分類器僅限於可訓練的分類器。 在大部分情況下,敏感性資訊類型 (SIT) 是模式和關鍵詞的混合。 受保護的健康資訊 (PHI) 和個人識別資訊 (PII) 等範本可能會傳回許多誤判,因為它們無法判斷內容,或可能是組織的誤判。
Purview 系統管理員可以透過下列方式減少誤判:
- 增加所需的信賴度和/或臨界值計數。
- 尋找具有 AND 而不是 OR 運算子的多個 SIT。
- 將 SIT 複製到自訂 SIT 中,並微調需求。
- 使用多個 Regex 表達式,而不是單一但範圍廣泛的表達式。
- 強制單字比對。
- 使用 可訓練的分類器、 (EDM) 的精確資料比對 ,以及 文件指紋識別。
可訓練的分類器使用機器學習來識別文件模式。 Microsoft Purview 提供數個預先定型的分類器,例如法律檔、策略商務檔和財務資訊。 也可以從 SharePoint 文件庫建立和定型自訂分類器。
藉由同時使用 SIT 和可訓練的分類器,您可以縮小範圍,例如, 包含信用卡 SIT 和財務資訊可訓練分類器。
精確資料比對和文件指紋辨識目前無法自動標記,但應在整體 Microsoft Purview 資料外洩防護 (DLP) 策略中考慮。 與可訓練的分類器類似,它們都可以幫助減少誤報。 例如,使用 EDM,您可以尋找包含現成可用的 SSN,然後針對您的 EDM SIT 進行驗證,以確認它是來自其中一位客戶或員工的 SSN。 EDM 允許您安全地存儲要查找的信息哈希值。
文件指紋的運作方式與可訓練分類器不同,方法是識別文件範本並在 DLP 原則中使用它們。 如果您的組織有標準化範本,這最有用。 您可以使用這些範本來建立精確的指紋識別。
自動化並改善 Microsoft 365 對歷程記錄和使用中資料的保護
在此階段的最後一個步驟中,我們會檢閱在現有 SharePoint 網站上追溯套用標籤的選項,並據以套用預設文件庫標籤。
此時,我們已在整個環境中設定預設值,並停止未標記網站和文件的擴散。 我們開始在優先級網站上手動解決標記網站和文件庫問題,並且我們正在考慮在您的整個 Microsoft 365 內容資產中擴展此內容。
有幾種策略需要考慮:
- 使用網站擁有者 – 與網站擁有者溝通,他們必須在其網站和預設文件庫上設定標籤。 如果您打算使用 #2,請提及它將在目標日期自動收到新的預設值。
- 在剩餘的未標記站台上執行自動化腳本 – 使用圖形 API 來識別未標記的站點,並將容器標籤和預設程式庫標籤設定為「機密\所有員工」
- 或者,僅防止共用未標記的檔案 – 使用先前的措施,例如未標記內容的 DLP 和檔案自動標記,您可以選擇讓網站自然過期,而不是為所有網站編寫追溯動作指令碼。
- 擷取未標記網站的時間軸 — 如果您計劃根據容器標籤對所有歷史資料使用服務端自動標記,請擷取新增容器標籤的時間,並在自動標籤政策中逐步新增新標記的網站。
您的 風險態勢 定義了如何在所有策略之間進行最佳處理,或者可能逐步使用它們。 雖然我們建議保護您的所有資料資產,但根據其大小,這可能是一項複雜的任務。 從小處著手,並經常迭代。
您可以使用 'Set-PnPTenantSite' 和 'SensitivityLabel' 參數來完成 SharePoint 網站的敏感度標籤腳本。
針對預設程式庫標籤,它需要在程式庫上使用 REST API 設定 'DefaultSensitivityLabelForLibrary' 參數。 本文提供範例。
第 3 階段:總結
- 自動將敏感性標籤套用到 Microsoft 365 中的內容
- Microsoft 365 Apps 中敏感度標籤的最低版本
- 在 Office 應用程式中使用敏感度標籤
- 自動將敏感性標籤套用到 Microsoft 365 中的內容