識別和保護敏感性商務資料
作為 零信任 採用指引的一部分,本文說明保護您最重要的數據資產的商務案例。 此案例著重於如何識別及保護機密商務數據。
數字轉型已導致組織處理不斷增加的數據量。 不過,合作夥伴、廠商和客戶等外部共同作業者會存取公司網路外部的大部分共享數據。 此轉變已建立複雜的數據環境,特別是當您考慮混合式員工和雲端移轉的激增、網路威脅不斷增加、安全性不斷演進,以及變更數據控管和保護方式的法規需求時。
使用混合式工作模型時,公司資產和數據正在移動中。 您的組織必須控制資料在裝置、應用程式和合作夥伴之間的儲存和傳輸位置。 不過,針對現代安全性,您無法再依賴傳統的網路保護控制。
| 使用網路控制的傳統數據保護 | 使用 零信任 的新式數據保護 |
|---|---|
| 在傳統網路中,網路周邊控制會控管重要的數據存取,而不是數據敏感度。 您通常會手動將標籤套用到敏感數據上,這可能會導致數據分類不一致。 | 零信任 模型會將強身份驗證套用至數據存取要求、使用原則來驗證每個身分識別,並確保身分識別能夠存取應用程式和數據。 零信任 模型牽涉到識別敏感數據並套用分類和保護,包括數據外洩防護(DLP)。 零信任 包含保護數據的防禦,即使在數據離開受控制的環境之後也是如此。 它也包含調適型保護,以減少內部風險。 除了這些保護之外,零信任 還包含持續監視和威脅防護,以防止和限制數據外泄的範圍。 |
下圖說明從傳統保護與左側網路控制(從有限的已知位置)轉移到使用右側 零信任 的新式保護(到未知位置),無論使用者和裝置位於何處,都會套用保護。
本文中的指引會逐步解說如何開始使用並進度您的策略,以識別和保護敏感數據。 如果您的組織受限於保護數據的法規,請使用 本系列中的符合法規和合規性需求 一文,瞭解如何套用您在本文中學到的內容來保護受監管的數據。
企業領導者如何考慮保護敏感數據
開始任何技術工作之前,請務必瞭解投資保護商務數據的不同動機,因為這些動機有助於通知策略、目標和成功措施。
下表提供為何整個組織的企業領導者應該投資 零信任 型數據保護。
| 角色 | 為何保護敏感數據很重要 |
|---|---|
| 首席執行官(首席執行官) | 智慧財產權是許多組織商業模式的骨幹。 防止其外泄,同時允許與授權合作對象順暢地共同作業,對企業而言至關重要。 在處理客戶個人標識信息的組織(PII)中,洩漏的風險不僅會導致財務處罰,而且損害公司的聲譽。 最後,敏感的業務對話(如合併和收購、業務重組、策略和法律事項)如果洩露,可能會嚴重損害組織。 |
| 首席行銷官(CMO) | 產品規劃、傳訊、品牌和即將推出的產品公告必須在正確的時間發佈,並以正確的方式將影響最大化。 不及時的洩漏可以減少投資報酬率,並讓競爭對手放棄即將到來的計劃。 |
| 資訊長(CIO) | 雖然保護資訊的傳統方法依賴限制其存取權,但使用新式技術適當地保護敏感數據,可視需要與外部合作物件更有彈性地共同作業,而不會增加風險。 您的 IT 部門可以履行其授權,以確保生產力,同時將風險降至最低。 |
| 資訊安全長(CISO) | 作為此角色的主要功能,保護機密商務數據是資訊安全不可或缺的一部分。 此結果直接影響到組織較大的網路安全性策略。 進階安全性技術和工具提供監視數據並防止外洩和遺失的能力。 |
| 首席技術官(CTO) | 智慧財產權可以區分成功的業務與失敗的業務。 保護此數據免於過度共享、未經授權的存取和竊取,是確保組織未來成長的關鍵。 |
| 首席運營官(COO) | 作業數據、程序和生產計劃是組織的重要策略優勢。 這些計劃也可以顯示競爭對手可以利用的戰略弱點。 保護此數據免於竊取、過度分享和濫用,對於企業持續成功至關重要。 |
| 首席財務官(CFO) | 公開交易的公司在公開之前,有責任保護特定的財務數據。 其他財務數據可以揭示計劃和戰略優勢或弱點。 此數據必須全部受到保護,以確保符合現有法規並維持策略性優勢。 |
| 首席合規官(CCO) | 世界各地的法規會強制保護客戶或員工和其他敏感數據的 PII。 CCO 負責確保組織遵守此類規定。 全面的信息保護策略是實現這一目標的關鍵。 |
| 首席隱私官(CPO) | CPO 通常負責確保個人資料的保護。 在處理大量客戶個人資料的組織,以及以嚴格的隱私權法規在區域中運作的組織,若無法保護敏感數據,可能會導致大幅罰款。 這些組織也會因此而失去客戶信任的風險。 CPO 也必須防止個人資料被濫用的方式違反客戶合約或法律,其中包括在組織內與合作夥伴內不當共享數據。 |
保護重要商務數據的採用週期
本文會逐步解說此商務案例,使用與 Azure 雲端採用架構 相同的生命週期階段—定義策略、規劃、就緒、採用及控管和管理,但已針對 零信任 進行調整。
下表是圖例的可存取版本。
| 定義策略 | 計畫 | 就緒 | 採用 | 治理和管理 |
|---|---|---|---|---|
| 結果 組織對齊 戰略目標 |
項目關係人小組 技術計劃 技能整備程度 |
評價 測試 試驗 |
以累加方式在您的數字資產中實作 | 追蹤和測量 監視和偵測 反覆運算成熟度 |
在 零信任 採用架構概觀中深入瞭解 零信任 採用週期。
定義策略階段
定義 策略 階段對於定義和正式化我們的工作至關重要,它會正式化「原因」? 此案例的 。 在此階段中,您會透過商務、IT、營運和策略觀點來瞭解案例。 您可以定義在案例中測量成功的結果,瞭解安全性是累加式和反覆的旅程。
本文建議與許多組織相關的動機和結果。 使用這些建議來根據您獨特的需求來磨練組織的策略。
數據保護動機
識別及保護機密商務數據的動機很簡單,但貴組織的不同部分對於執行這項工作有不同的獎勵。 下表摘要說明其中一些動機。
| 區域 | 動機 |
|---|---|
| 商務需求 | 若要保護機密商務數據,特別是在與合作夥伴共享時。 |
| IT 需求 | 可在整個數字資產中一致套用的標準化數據分類架構。 |
| 作業需求 | 盡可能使用自動化,以一致且標準的方式實作數據保護。 |
| 策略需求 | 減少內部人員可能會造成(故意或無意)或由獲得環境存取權的不良動作專案造成的損害。 |
請注意,符合法規需求可能是某些組織的主要推動動機。 如果這是事實,請繼續將此內容新增至您的組織策略,並將此商務案例與本系列中的符合法規和合規性需求一文一起使用。
數據保護結果
將 零信任的整體目標套用至「永不信任、永遠驗證」,為您的數據增添了重要的保護層。 請務必清楚您預期要達成的結果,以便針對所有相關小組,包括您的使用者,達到適當的保護和可用性平衡。 下表提供建議的目標和結果。
| 目標 | 結果 |
|---|---|
| 生產力 | 用戶可以輕鬆地共同作業以建立商務數據,或使用商務數據執行其作業功能。 |
| 保管庫 存取 | 數據與應用程式的存取會在適當的層級受到保護。 高度敏感數據需要更嚴格的保護,但這些保護不應讓預期參與或使用此數據的用戶負擔。 機密商務數據僅限於需要使用它的人員,而且您已設定控件,以限制或勸阻使用者共用或復寫預期使用群組以外的此數據。 |
| 支援終端使用者 | 保護數據的控制項已整合到整體 零信任 架構中。 這些控件包括單一登錄、多重要素驗證 (MFA) 和 Microsoft Entra 條件式存取,讓使用者不會持續受到驗證和授權要求的挑戰。 使用者會收到如何安全地分類和共享數據的訓練。 用戶能夠控制其重要數據、允許他們視需要撤銷存取權,或在共用后追蹤資訊的使用方式。 數據保護原則會在可能的情況下自動化,以減輕用戶的負擔。 |
| 提高安全性 | 在數字資產中新增數據保護可保護這些重要的商務資產,並協助減少數據外泄的潛在損害。 數據保護包括保護措施,以防止目前或前員工和合作夥伴故意、無意或疏忽數據外洩。 |
| 賦予IT能力 | 您的 IT 小組能夠清楚瞭解哪些資格為機密商務數據。 他們有一個有充分理由的架構,可與技術工具和功能一致,以實作計劃和監視狀態和成功。 |
計劃階段
採用計劃會將 零信任 策略的原則轉換為可採取動作的計劃。 您的集體小組可以使用採用計劃來引導其技術工作,並配合貴組織的商務策略。
您定義動機和成果,以及業務領導者和團隊,支援「為什麼?」 為您的組織,成為您策略的北星。 接下來是實現目標的技術規劃。
識別及保護機密商務數據的技術採用涉及:
- 探索及識別數字資產中的敏感數據。
- 策劃分類和保護架構,包括 DLP。
- 在數字資產中推出架構,從 Microsoft 365 中的數據開始,並將保護延伸至內部部署存放庫中的所有 SaaS 應用程式、雲端基礎結構和數據。 SaaS 應用程式是 Microsoft 365 訂用帳戶以外的應用程式,但已與您的 Microsoft Entra 租使用者整合。
保護您的機密商務數據也涉及一些相關活動,包括:
- 加密網路通訊。
- 管理共用敏感數據的Teams和專案的外部存取權。
- 針對包含高度機密商務數據的專案,在 Microsoft Teams 中設定及使用專用且隔離的小組,這應該很罕見。 大部分的組織不需要此層級的數據安全性和隔離。
下表摘要說明許多組織可以針對這些部署目標採取四個階段的方法。
| 階段 1 | 階段 2 | 階段 3 | 階段 4 |
|---|---|---|---|
| 探索和識別機密商務數據 探索未經批准的 SaaS 應用程式 加密網路通訊 |
開發和測試分類架構 將標籤套用至 Microsoft 365 中的數據 介紹基本 DLP 原則 設定安全的 Microsoft Teams,以便與商務合作夥伴在內部和外部共用數據 |
將保護新增至特定標籤 (加密和其他保護設定) 在 Office 應用程式 和服務中引進自動和建議的標籤 跨 Microsoft 365 服務擴充 DLP 原則 實作重要的測試人員風險管理原則 |
將標籤和保護延伸至 SaaS 應用程式中的數據,包括 DLP 將自動化分類延伸至所有服務 將標籤和保護延伸至內部部署存放庫中待用的數據 保護雲端基礎結構中的組織數據 |
如果這個分段方法適用於您的組織,您可以使用:
這個 可下載的PowerPoint投影片組 ,可讓您透過這些階段和目標,呈現及追蹤商務領導者和其他專案關係人進度。 以下是此商務案例的投影片。
此 Excel 活頁簿 可指派擁有者,並追蹤這些階段、目標和其工作的進度。 以下是此商務案例的工作表。
瞭解您的組織
這個適用於技術實作的建議分段方法有助於提供內容,讓您了解組織。 每個組織保護機密商務數據的需求,以及數據的組成和數量都不同。
每個商務案例 零信任 採用生命週期中的基本步驟包括清查。 在此商務案例中,您會清查組織的數據。
下列動作適用:
清查您的數據。
首先,請盤點所有數據所在的位置,這可以像使用您的數據列出應用程式和存放庫一樣簡單。 部署敏感度標籤等技術之後,您可能會探索儲存敏感數據的其他位置。 這些位置有時稱為深色或灰色IT。
評估您計劃清查的數據量(磁碟區)也很有説明。 在整個建議的技術程式中,您可以使用工具集來探索和識別商務數據。 您將瞭解您擁有的數據種類,以及此數據位於服務與雲端應用程式的位置,讓您能夠將數據的敏感度與其存在位置的曝光程度相互關聯。
例如,適用於雲端的 Microsoft Defender 應用程式可協助您識別您可能不知道的 SaaS 應用程式。 探索敏感數據所在位置的工作會在技術實作的第 1 階段開始,並透過這四個階段進行串聯。
根據優先順序記錄增量採用的目標和計劃。
建議的四個階段代表增量採用方案。 根據貴組織的優先順序和數位資產組合來調整此計劃。 請務必考慮完成這項工作的任何時程表里程碑或義務。
清查任何需要分隔保護的數據集或專用專案(例如,帳篷或特殊專案)。
並非每個組織都需要分割保護。
組織規劃和對齊
保護敏感數據的技術工作跨越數個重疊的區域和角色:
- 資料
- 應用程式
- 端點
- 網路
- 身分識別
下表摘要說明建置贊助計劃和專案管理階層時建議的角色,以判斷並推動結果。
| 計劃領導者和技術擁有者 | 當責 |
|---|---|
| CISO、CIO 或數據安全性主管 | 執行贊助 |
| 資料安全性的計劃負責人 | 推動結果和跨小組共同作業 |
| 安全性架構師 | 建議設定和標準,特別是關於加密、密鑰管理和其他基本技術 |
| 合規性人員 | 將合規性需求和風險對應至特定控件和可用技術 |
| Microsoft 365 系統管理 | 為 OneDrive 和受保護的資料夾實作 Microsoft 365 租使用者的變更 |
| 應用程式擁有者 | 識別重要的商務資產,並確保應用程式與已標記、受保護和加密的數據相容 |
| 數據安全性 管理員 | 實作設定變更 |
| IT 系統管理員 | 更新標準和原則文件 |
| 安全性治理和/或IT管理員 | 監視以確保合規性 |
| 使用者教育小組 | 確保使用者的指導方針反映原則更新,並提供使用者接受標籤分類法的見解 |
此採用內容的PowerPoint檔組包含下列投影片,其中包含專案關係人檢視,您可以為自己的組織自定義。
技術規劃和技能整備
開始技術工作之前,Microsoft 建議您先了解這些功能、共同運作方式,以及處理這項工作的最佳做法。 下表包含數個資源,可協助小組獲得技能。
| 資源 | 描述 |
|---|---|
| 部署加速指南-資訊保護 和數據外泄防護 | 瞭解 Microsoft Customer Engagement 小組的最佳做法。 本指引會引導組織透過編目、逐步執行、執行模型來成熟,其符合此採用指引中建議的階段。 |
RaMP 檢查清單: 資料保護  |
列出建議工作並排定優先順序的另一個資源,包括項目關係人。 |
| Microsoft Purview 資料外洩防護 簡介(初學者) | 在此資源中,您會瞭解 Microsoft Purview 資訊保護 中的 DLP。 |
瞭解 Microsoft Purview Microsoft Learn 課程模組中資訊保護和數據生命週期管理簡介課程模組圖示。(中繼) |
瞭解 Microsoft 365 資訊保護和數據生命週期管理解決方案如何協助您在整個生命週期中保護及控管數據,無論數據位於何處及移動。 |
Microsoft 認證的認證圖示:資訊保護 管理員 istrator 關聯認證 |
建議的學習路徑,以成為認證的 資訊保護 管理員 istrator 關聯。 |
階段 1
階段 1 部署目標包括擷取數據的清查程式。 這包括識別組織用來儲存、處理及共享數據的未批准 SaaS 應用程式。 您可以將這些未經批准的應用程式帶入應用程式管理程式並套用保護,或防止商務數據與這些應用程式搭配使用。
探索和識別機密商務數據
從 Microsoft 365 開始,您用來識別需要保護的敏感資訊的一些主要工具是敏感性資訊類型 (SIT) 和其他分類器,包括可訓練分類器和指紋。 這些標識元有助於尋找常見的敏感數據類型,例如信用卡號碼或政府標識符,以及使用機器學習和其他方法來識別敏感性文件和電子郵件。 您也可以建立自定義 SIT 來識別環境特有的數據,包括使用確切的數據比對來區分與特定人員相關的數據,例如,需要特殊保護的客戶 PII。
將數據新增至 Microsoft 365 環境或修改之後,系統會自動使用租使用者中目前定義的任何 SIT 來分析敏感性內容。
您可以使用 Microsoft Purview 合規性入口網站 中的內容總管查看環境中偵測到的任何敏感數據。 結果可讓您知道是否需要為環境自定義或調整 SIT,以取得更高的精確度。 結果也會提供您資料庫存和資訊保護狀態的第一張圖片。 例如,如果您收到太多 SIT 誤判,或找不到已知數據,您可以建立標準 SIT 的自定義複本,並加以修改,使其更適合您的環境。 您也可以使用確切的數據比對來精簡這些專案。
此外,您可以使用內建可訓練分類器來識別屬於特定類別的檔,例如合約或貨運檔。 如果您有特定類別的檔,您必須識別並可能保護,您可以使用 Microsoft Purview 合規性入口網站 中的範例來定型您自己的分類器。 這些範例可用來探索具有類似內容模式的其他檔是否存在。
除了內容總管之外,組織還能夠存取內容搜尋功能,以在環境中產生數據的自定義搜尋,包括使用進階搜尋準則和自定義篩選。
下表列出探索機密商務數據的資源。
| 資源 | 描述 |
|---|---|
| 使用 Microsoft 365 Purview 部署資訊保護解決方案 | 介紹可用來完成資訊保護特定商務目標的架構、程式和功能。 |
| 敏感性資訊類型 | 從這裡開始開始使用敏感性信息類型。 此連結庫包含許多用於實驗和優化 SIT 的文章。 |
| 內容總管 | 掃描您的 Microsoft 365 環境中是否有出現 STS,並在內容總管工具中檢視結果。 |
| 可訓練的分類器 | 可訓練分類器可讓您攜帶您想要探索之內容類型的範例(植入),然後讓機器學習引擎瞭解如何探索更多此數據。 您可以藉由驗證結果來參與分類器訓練,直到精確度獲得改善為止。 |
| 精確數據比對 | 精確數據比對可讓您尋找符合現有記錄的敏感數據,例如客戶在企業營運應用程式中記錄的 PII,這可讓您使用資訊保護原則精確鎖定這類數據,幾乎消除誤判。 |
| 內容搜尋 | 使用內容搜尋進行進階搜尋,包括自定義篩選。 您可以使用關鍵詞和布爾搜尋運算子。 您也可以使用關鍵字查詢語言 (KQL) 來建置搜尋查詢。 |
| RaMP 檢查清單: 資料保護:瞭解您的資料 | 步驟擁有者和文件連結的實作步驟檢查清單。 |
探索未經批准的 SaaS 應用程式
您的組織可能會訂閱許多 SaaS 應用程式,例如 Salesforce 或您產業專屬的應用程式。 您瞭解和管理的 SaaS 應用程式會被視為獲批准。 在後續階段中,您會擴充使用 Microsoft 365 建立的數據保護架構和 DLP 原則,以保護這些獲批准的 SaaS 應用程式中的數據。
不過,在這個階段,請務必探索貴組織正在使用的非制裁 SaaS 應用程式。 這可讓您監視來自這些應用程式的流量,以判斷貴組織的商務數據是否要共用至這些應用程式。 若是如此,您可以將這些應用程式帶入管理,並將保護套用至此數據,從啟用 Microsoft Entra ID 的單一登錄開始。
探索貴組織所使用的 SaaS 應用程式的工具是 適用於雲端的 Microsoft Defender 應用程式。
| 資源 | 描述 |
|---|---|
| 整合適用於 零信任 的 SaaS 應用程式與 Microsoft 365 | 此解決方案指南會逐步解說使用 零信任 原則保護 SaaS 應用程式的程式。 此解決方案的第一個步驟包括將您的 SaaS 應用程式新增至 Microsoft Entra ID 和原則範圍。 這應該是優先順序。 |
| 評估 適用於雲端的 Microsoft Defender 應用程式 | 本指南可協助您儘快啟動並執行 適用於雲端的 Microsoft Defender 應用程式。 您可以盡早在試用和試驗階段探索未經批准的 SaaS 應用程式。 |
加密網路通訊
此目標是檢查以確定您的網路流量已加密。 請洽詢您的網路小組,以確定已滿足這些建議。
| 資源 | 描述 |
|---|---|
| 使用 零信任-Objective 3 保護網路:使用者對應用程式內部流量已加密 | 確定使用者對應用程式內部流量已加密:
|
| 使用 零信任-Objective 6 保護網路:所有流量都會加密 | 加密虛擬網路之間的應用程式後端流量。 加密內部部署與雲端之間的流量。 |
| 網路功能 (到雲端)-一位架構師的觀點 | 對於網路架構設計人員,本文有助於將建議的網路概念納入觀點。 Microsoft 的安全性與合規性架構師 Ed Fisher 描述如何藉由避免最常見的陷阱,優化您的網路以進行雲端連線。 |
階段 2
在您擷取清查並探索敏感數據所在的位置之後,請移至第 2 階段,以開發分類架構並開始使用您的組織數據進行測試。 此階段也包含識別數據或專案需要增加保護的位置。
開發分類架構時,建立許多類別和層級很誘人。 不過,最成功的組織會將分類層數目限制為少數,例如 3-5。 越少越好。
將組織的分類架構轉譯為標籤,並將保護新增至標籤之前,最好先思考大局。 在跨組織,特別是大型數字資產套用任何類型的保護時,最好盡可能一致。 這也適用於數據。
因此,例如,許多組織都受到跨數據、裝置和身分識別的三層保護模型所妥善服務。 在此模型中,大部分的數據都可以在基準層級受到保護。 較小的數據量可能需要增加保護。 某些組織有非常少量的數據,需要更高層級的保護。 範例包括由於數據或專案非常敏感而受到高度管制的貿易秘密數據或數據。
如果組織有三層保護工作,這有助於簡化您將它轉譯為標籤的方式,以及套用至標籤的保護。
在此階段中,開發您的敏感度標籤,並開始在 Microsoft 365 中跨數據使用這些標籤。 別擔心將保護新增至標籤,最好是在稍後階段完成,一旦使用者熟悉標籤,並一直在套用這些標籤,而不必擔心其條件約束一段時間。 將保護新增至標籤會包含在下一個階段中。 不過,建議您也開始使用基本 DLP 原則。 最後,在此階段中,您會將特定保護套用至需要高度敏感保護的專案或數據集。
開發和測試分類架構
| 資源 | 描述 |
|---|---|
| 敏感度標籤 | 瞭解敏感度標籤並開始使用。 此階段最重要的考慮是確保標籤既反映商務需求,又反映使用者使用的語言需求。 如果標籤的名稱不會直覺地與用戶產生共鳴,或其意義不一致地對應到其預定用途,則採用標籤最終可能會受到影響,而且標籤應用程式的精確度可能會受到影響。 |
將標籤套用至 Microsoft 365 中的數據
| 資源 | 描述 |
|---|---|
| 在 SharePoint 和 OneDrive 中啟用 Office 檔案的敏感度標籤 | 為 SharePoint 和 OneDrive 中支援的 Office 檔案啟用內建標籤,讓使用者可以在 Office 網頁版 中套用敏感度標籤。 |
| 管理 Office 應用程式 中的敏感度標籤 | 接下來,開始將標籤介紹給使用者,讓他們可以看到並套用標籤。 當您從 Microsoft Purview 合規性入口網站 發佈敏感度標籤時,它們會開始出現在 Office 應用程式 中,讓使用者在建立或編輯數據時分類和保護數據。 |
| 將標籤套用至 Microsoft Teams 和 Microsoft 365 群組 | 當您準備好時,請將 Microsoft Teams 和 Microsoft 365 群組納入標籤部署的範圍。 |
介紹基本 DLP 原則
| 資源 | 描述 |
|---|---|
| 防止數據遺失 | 開始使用 DLP 原則。 建議從「軟式」DLP 原則開始,其會提供警告,但不會封鎖動作,或大部分封鎖動作,同時允許使用者覆寫原則。 這可讓您評估這些原則的影響,而不會損害生產力。 您可以微調原則,使其變得更嚴格,因為您有信心其精確度和與業務需求的相容性。 |
設定安全小組,以便與商務合作夥伴在內部和外部共享數據
如果您識別出需要高度敏感保護的專案或數據,這些資源會描述如何在 Microsoft Teams 中設定此專案。 如果數據儲存在 SharePoint 中,但沒有相關聯的小組,請使用這些資源中的指示進行 SharePoint 設定。
| 資源 | 描述 |
|---|---|
| 設定具有高度敏感數據保護的小組 | 提供使用高度敏感數據保護項目的規範性建議,包括保護和管理來賓存取權(您的合作夥伴可能與您共同處理這些專案)。 |
階段 3
在這個階段中,您會繼續推出您精簡的數據分類架構。 您也會套用您規劃的保護。
將保護新增至標籤後(例如加密和版權管理):
- 新收到標籤的所有檔都包含保護。
- 任何儲存在 SharePoint Online 或 OneDrive 中,在新增保護之前收到標籤的文件,都會在開啟或下載檔時套用保護。
服務中的待用檔案或位於用戶電腦上的檔案不會在收到標籤之後新增至標籤的保護。 換句話說,如果檔案先前已加上標籤,然後您稍後將保護新增至標籤,則保護不會套用至這些檔案。
將保護新增至標籤
| 資源 | 描述 |
|---|---|
| 深入了解敏感度標籤 | 如需設定特定標籤以套用保護的許多方式,請參閱這篇文章。 建議您從電子郵件的「僅限加密」和「所有員工 – 完全控制」等基本原則開始。 這些原則提供強大的保護層級,同時在用戶發現引進加密會導致相容性問題或與業務需求衝突的情況時,為使用者提供簡單的出路。 您可以稍後以累加方式收緊限制,因為使用者需要取用敏感數據的方式獲得信心和瞭解。 |
| 敏感度標籤的常見案例 | 請參閱敏感度標籤所支援的案例清單。 |
在 Office 應用程式 中引進自動套用標籤
| 資源 | 描述 |
|---|---|
| 自動將敏感度標籤套用至內容 | 當標籤符合您指定的條件時,自動將標籤指派給檔案和電子郵件。 建議您一開始設定標籤,為使用者提供互動式標籤建議。 確認這些一般接受之後,請將其切換為自動套用標籤。 |
跨 Microsoft 365 擴充 DLP 原則
| 資源 | 描述 |
|---|---|
| 防止數據遺失 | 請繼續使用這些步驟,在 Microsoft 365 環境中套用 DLP、將原則擴充至更多位置和服務,並藉由移除不必要的例外狀況來強化規則動作。 |
實作基本內部風險管理原則
| 資源 | 描述 |
|---|---|
| 測試人員風險管理 | 開始使用建議的動作。 您可以從使用原則範本來快速開始使用,包括離開的使用者竊取數據。 |
階段 4
在此階段中,您會將您在 Microsoft 365 中開發的保護延伸至 SaaS 應用程式中的數據。 您也會盡可能轉換至數據分類和控管的自動化。
將標籤和保護延伸至 SaaS 應用程式中的數據,包括 DLP
| 資源 | 描述 |
|---|---|
| 部署 SaaS 應用程式的信息保護 | 使用 適用於雲端的 Microsoft Defender Apps,您可以擴充您使用 Microsoft 365 功能開發的分類架構,以保護 SaaS 應用程式中的數據。 |
擴充自動化分類
| 資源 | 描述 |
|---|---|
| 自動將敏感度標籤套用至內容 | 繼續推出將標籤套用至數據的自動化方法。 將它們延伸至 SharePoint、OneDrive 和 Teams 中的待用檔,以及用戶傳送或接收的電子郵件。 |
將標籤和保護延伸至內部部署存放庫中的數據
| 資源 | 描述 |
|---|---|
| Microsoft 365 Purview 資訊保護 掃描器 | 掃描內部部署存放庫中的數據,包括 Microsoft Windows 檔案共用和 SharePoint Server。 資訊保護掃描器可以檢查 Windows 可編製索引的任何檔案。 如果您已將敏感度標籤設定為套用自動分類,掃描器可以標記探索到的檔案以套用該分類,並選擇性地套用或移除保護。 |
保護雲端基礎結構中的組織數據
| 資源 | 描述 |
|---|---|
| Microsoft Purview 數據控管文件 | 瞭解如何使用 Microsoft Purview 治理入口網站,讓您的組織能夠尋找、瞭解、控管及取用數據源。 教學課程、REST API 參考和其他文件會示範如何規劃和設定數據存放庫,您可以在其中探索可用的數據源及管理許可權使用。 |
雲端採用方案
採用方案是成功採用雲端的重要需求。 成功採用計劃來保護資料的主要屬性包括:
- 策略和規劃一致: 當您在數字資產中制定測試、試驗及推出數據分類和保護功能的計劃時,請務必重新流覽您的策略和目標,以確保您的計劃一致。 這包括數據集的優先順序、數據保護的目標,以及目標里程碑。
- 方案是反覆的: 當您開始推出方案時,您將瞭解您的環境和您使用的功能。 在推出的每個階段,重新瀏覽結果與目標比較,並微調計劃。 這包括重新流覽先前的工作來微調原則,例如。
- 訓練您的員工和使用者是精心規劃的: 從您的系統管理人員到技術服務人員,以及您的使用者,每個人都會接受訓練,以成功履行其數據識別和保護責任。
如需 Azure 雲端採用架構 的詳細資訊,請參閱規劃雲端採用。
就緒階段
![已醒目提示 [就緒] 階段的單一目標或一組目標的採用程序圖表。](../media/adoption-guide/ready-phase.png#lightbox)
使用先前列出的資源來排定規劃的優先順序,以識別和保護敏感數據。 保護敏感數據的工作代表多層式 零信任 部署策略中的其中一個層級。
本文中建議的分段方法包括以有條不紊的方式跨數字資產來串連工作。 在這個就緒階段,請重新瀏覽計劃的這些元素,以確定一切已準備就緒:
- 對貴組織敏感的數據已妥善定義。 當您搜尋數據並分析結果時,可能會調整這些定義。
- 您有一個清楚的地圖,要從哪個數據集和應用程式開始,並優先規劃增加工作範圍,直到它包含整個數字資產為止。
- 已識別並記載適合貴組織和環境的指定技術指引調整。
此清單摘要說明執行這項工作的高階方法程式:
- 了解機密資訊類型、可訓練分類器、敏感度標籤和 DLP 原則等數據分類功能。
- 開始使用這些功能搭配 Microsoft 365 服務中的數據。 此體驗可協助您精簡架構。
- 將分類引入 Office 應用程式。
- 嘗試並推出端點 DLP,以繼續保護裝置上的數據。
- 使用 適用於雲端的 Defender Apps,將您在 Microsoft 365 資產內精簡的功能擴充至雲端應用程式中的數據。
- 使用 Microsoft Purview 資訊保護 掃描器探索並套用保護至內部部署數據
- 使用 Microsoft Purview 數據控管來探索和保護雲端數據記憶體服務中的數據,包括 Azure Blob、Cosmos DB、SQL 資料庫和 Amazon Web Services S3 存放庫。
下圖顯示此程序。
數據探索和保護的優先順序可能會有所不同。
請注意下列其他商務案例的相依性:
- 將資訊保護延伸至端點裝置需要與 Intune 協調(包含在安全遠端和混合式工作一文中)。
- 將資訊保護延伸至 SaaS 應用程式中的數據需要 適用於雲端的 Microsoft Defender 應用程式。 試驗和部署 適用於雲端的 Defender 應用程式包含在防止或減少違反商務案例的業務損失中。
當您完成採用計劃時,請務必重新流覽 資訊保護 和數據外洩防護部署加速指南,以檢閱建議並微調您的策略。
採用階段
Microsoft 建議使用串聯、反覆的方法來探索及保護敏感數據。 這可讓您在調整策略和原則時提高結果的正確性。 例如,當您探索及識別敏感數據時,開始處理分類和保護架構。 您探索的數據會通知架構和架構,可協助您改善用來探索敏感數據的工具和方法。 同樣地,當您測試和試驗架構時,結果可協助您改善稍早建立的保護原則。 在開始下一個階段之前,不需要等到一個階段完成。 如果您一路反覆運算,您的結果會更有效率。
控管和管理階段
組織數據的治理是反覆的程式。 透過深思熟慮地建立分類架構,並在整個數字資產中推出,您就建立了基礎。 使用下列練習可協助您開始為此基礎建置初始治理計劃:
- 建立您的方法: 建立檢閱架構的基本方法、如何套用整個數字資產,以及結果的成功。 決定您將如何監視和評估資訊保護通訊協定的成功,包括您目前的狀態和未來狀態。
- 建立初始治理基礎: 使用一組小型且容易實作的治理工具,開始治理旅程。 這個初始治理基礎稱為最低可行產品(MVP)。
- 改善初始治理基礎: 反覆新增治理控件,以在進入結束狀態時解決有形的風險。
Microsoft Purview 提供數個功能來協助您控管您的數據,包括:
- 保留原則
- 信箱保留和封存功能
- 記錄管理,以取得更複雜的保留和刪除原則和排程
請參閱 使用 Microsoft Purview 控管您的數據。 此外, 活動總 管可讓您查看已探索和標記的內容,以及該內容的位置。 針對 SaaS 應用程式,適用於雲端的 Microsoft Defender Apps 針對要移入和移出 SaaS 應用程式的敏感數據提供豐富的報告。 請參閱 適用於雲端的 Microsoft Defender Apps 內容庫中的許多教學課程。
後續步驟
進度追蹤資源
針對任何 零信任 商務案例,您可以使用下列進度追蹤資源。
| 進度追蹤資源 | 這有助於您... | 設計用途 |
|---|---|---|
採用案例方案階段方格可 下載的 Visio 檔案 或 PDF 
|
輕鬆瞭解每個商務案例的安全性增強功能,以及規劃階段階段和目標的工作層級。 | 商務案例項目負責人、商務領導者和其他項目關係人。 |
零信任 採用追蹤器可下載的PowerPoint投影片組 
|
透過計畫階段和目標追蹤進度。 | 商務案例項目負責人、商務領導者和其他項目關係人。 |
商務案例目標和工作可下載的 Excel 活頁簿 
|
指派擁有權並追蹤進度,並完成計劃階段的階段、目標和工作。 | 商務案例專案潛在客戶、IT 潛在客戶和IT實作者。 |
如需其他資源,請參閱 零信任 評量和進度追蹤資源。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應