與 Microsoft Purview 整合以進行信息保護
Microsoft Defender for Cloud Apps 可讓您自動套用 Purview Microsoft敏感度標籤。 這些標籤會套用至檔案做為檔案原則控管動作,而且根據標籤設定,可以套用加密來進行其他保護。 您也可以藉由篩選 Defender for Cloud Apps 入口網站內套用的敏感度標籤來調查檔案。 使用標籤可讓您更深入地檢視和控制雲端中的敏感數據。 將 Microsoft Purview 與 Defender for Cloud Apps 整合就像選取單一複選框一樣簡單。
藉由將 Microsoft Purview 整合到 Defender for Cloud Apps,您可以使用雲端中服務和安全檔案的完整功能,包括:
- 能夠將敏感度標籤作為控管動作套用至符合特定原則的檔案
- 在中央位置檢視所有分類檔案的能力
- 能夠根據分類層級進行調查,並量化在雲端應用程式上公開敏感數據的能力
- 建立原則以確保正確處理已分類檔案的能力
先決條件
注意事項
若要啟用這項功能,您需要 Defender for Cloud Apps 授權和 Microsoft Purview 的授權。 一旦兩個授權都已就緒,Defender for Cloud Apps 從 Microsoft Purview 同步處理組織的標籤。
- 若要使用 Microsoft Purview 整合,您必須啟用 Microsoft 365 的應用程式連接器。
若要 Defender for Cloud Apps 套用敏感度標籤,必須將其發佈為 Microsoft Purview 中敏感度標籤原則的一部分。
Defender for Cloud Apps 目前支援針對下列檔類型,從 Microsoft Purview 套用敏感度標籤:
- Word:d ocm、docx、dotm、dotx
- Excel:xlam、xlsm、xlsx、xltx
- PowerPoint:potm、potx、ppsx、ppsm、pptm、pptx
- PDF
注意事項
針對 PDF,您必須使用統一標籤。
此功能目前適用於儲存在 Box、Google Workspace、SharePoint Online 和 OneDrive 中的檔案。 未來版本將支援更多雲端應用程式。
運作方式
您可以在 Defender for Cloud Apps 中看到來自 Microsoft Purview 的敏感度標籤。 一旦您將 Defender for Cloud Apps 與 Microsoft Purview 整合,Defender for Cloud Apps 掃描檔案,如下所示:
Defender for Cloud Apps 會擷取租使用者中使用的所有敏感度標籤清單。 此動作會每小時執行一次,讓清單保持在最新狀態。
Defender for Cloud Apps 然後掃描檔案中的敏感度標籤,如下所示:
- 如果您啟用自動掃描,所有新的或修改過的檔案都會新增至掃描佇列,並掃描所有現有的檔案和存放庫。
- 如果您設定檔案原則來搜尋敏感度標籤,這些檔案會新增至敏感度標籤的掃描佇列。
如前所述,這些掃描適用於在初始掃描中探索到的敏感度標籤,Defender for Cloud Apps 查看租使用者中使用的敏感度標籤。 外部標籤、租使用者外部人員所設定的分類標籤會新增至分類標籤清單。 如果您不想掃描這些專案,請從此租用戶選取 [僅掃描檔案Microsoft 資訊保護 敏感度標籤和內容檢查警告] 複選框。
在 Defender for Cloud Apps 上啟用 Microsoft Purview 之後,所有新增至連線雲端應用程式的新檔案都會掃描敏感度標籤。
您可以在自動套用敏感度標籤的 Defender for Cloud Apps 內建立新的原則。
整合限制
搭配使用 Microsoft Purview 標籤與 Defender for Cloud Apps 時,請注意下列限制。
| 限制 | 描述 |
|---|---|
| 在 Defender for Cloud Apps 外套用標籤或保護的檔案 | Defender for Cloud Apps 可以覆寫 Defender for Cloud Apps 外部套用的未受保護標籤,但無法移除。
Defender for Cloud Apps 無法從 Defender for Cloud Apps 外部標記的檔案中移除具有保護的標籤。 若要掃描在適用於雲端的 Defender 應用程式外部套用保護的檔案, 請授與檢查受保護檔案內容的許可權。 |
| 以 Defender for Cloud Apps標示的檔案 | Defender for Cloud Apps 不會覆寫已由 Defender for Cloud Apps標記之檔案上的標籤。 |
| 受密碼保護的檔案 | Defender for Cloud Apps 無法讀取受密碼保護檔案的標籤。 |
| 空白檔案 | 空白檔案不會以 Defender for Cloud Apps標示。 |
| 需要簽出的連結庫 | Defender for Cloud Apps 無法標記位於已設定為需要簽出之連結庫中的檔案。 |
| 範圍需求 | 為了讓 Defender for Cloud Apps 辨識敏感度標籤,Purview 中的標籤範圍至少必須設定為 [檔案] 和 [電子郵件]。 |
注意事項
Microsoft Purview 是Microsoft標籤服務的主要解決方案。 如需詳細資訊,請 參閱 Microsoft Purview 檔。
如何整合 Microsoft Purview 與 Defender for Cloud Apps
啟用 Microsoft Purview
若要將 Purview 與 Microsoft 整合,您只需要選取單一複選框 Defender for Cloud Apps。 藉由啟用自動掃描,您可以在Microsoft 365 檔案上從 Microsoft Purview 搜尋敏感度標籤,而不需要建立原則。 啟用之後,如果您的雲端環境中有檔案標示為來自 Microsoft Purview 的敏感度標籤,您會在 Defender for Cloud Apps 中看到這些檔案。
若要啟用 Defender for Cloud Apps 掃描已啟用敏感度標籤內容檢查的檔案:
在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [雲端應用程式]。 然後移至 資訊保護 ->Microsoft 資訊保護。
在 [Microsoft 資訊保護 設定] 下,選取 [自動掃描新檔案中的敏感度卷標],Microsoft 資訊保護 和內容檢查警告。
啟用 Microsoft Purview 之後,您將能夠看到具有敏感度標籤的檔案,並在 Defender for Cloud Apps 中依每個標籤進行篩選。 Defender for Cloud Apps 連線到雲端應用程式之後,您將能夠使用 Microsoft Purview 整合功能,在 Defender for Cloud Apps 中不含加密) 的情況下,從 Microsoft Purview (套用敏感度卷標 Defender for Cloud Apps入口網站,將它們直接新增至檔案,或設定檔案原則以自動套用敏感度標籤作為治理動作。
注意事項
自動掃描不會掃描現有的檔案,直到再次修改為止。 若要從 Microsoft Purview 掃描現有檔案的敏感度標籤,您必須至少有一個包含內容檢查的 檔案 原則。 如果您沒有,請建立新的 檔案原則,刪除所有默認篩選,在 [ 檢查方法 ] 底下選取 [內建 DLP]。 在 [ 內容檢查] 欄位中,選取 [ 包含符合預設表達 式的檔案],然後選取任何預先定義的值,然後儲存原則。 這會啟用內容檢查,這會自動偵測來自 Purview Microsoft敏感度標籤。
設定內部和外部標籤
根據預設,Defender for Cloud Apps 會掃描組織中定義的敏感度標籤和其他組織所定義的外部標籤。
若要忽略組織外部設定的敏感度標籤,請移至 Microsoft Defender 入口網站,然後選取 [設定]。 然後選擇 [雲端應用程式]。 在 [資訊保護] 底下,選取 [Microsoft 資訊保護]。 然後選取 [僅掃描檔案Microsoft 資訊保護 來自此租使用者的敏感度標籤和內容檢查警告。
直接將標籤套用至檔案
在 Microsoft Defender 入口網站的 [Cloud Apps] 底下,選擇 [檔案]。 然後選取您要保護的檔案。 選取檔案數據列結尾的三個點,然後選擇 [ 套用敏感度卷標]。
注意事項
Defender for Cloud Apps 可以將 Microsoft Purview 套用至最高 30 MB 的檔案。
選擇要套用至檔案的其中一個組織敏感度標籤,然後選取 [ 套用]。
選擇敏感度標籤並選取 [套用] 之後,Defender for Cloud Apps 會將敏感度標籤套用至原始檔案。
您也可以選擇 [移除敏感度標籤] 選項來 移除敏感度標籤 。
如需 Defender for Cloud Apps 和 Microsoft Purview 如何一起運作的詳細資訊,請參閱從 Microsoft Purview 自動套用敏感度標籤。
自動為檔案加上標籤
您可以建立檔案原則,並將 [套用 敏感度 標籤] 設定為治理動作,自動將敏感度標籤套用至檔案。
請遵循下列指示來建立檔案原則:
建立檔案原則。
設定原則以包含您想要偵測的檔類型。 例如,選 取 [存取層級 ] 不等於 [內部 ] 且 [擁有者 OU ] 等於財務小組的所有檔案。
在相關應用程式的治理動作下,選取 [ 套用敏感度標籤 ],然後選取標籤類型。
注意事項
- 套用敏感度標籤的能力是一項強大的功能。 為了防止客戶誤將標籤套用至大量檔案,為了安全起見,每個租使用者的每個應用程式每日限製為100個 套用標籤 動作。 達到每日限制之後,套用標籤動作會暫時暫停,並在 UTC) 12:00 之後的第二天自動繼續 (。
- 停用原則時,該原則的所有擱置卷標工作都會暫停。
- 在標籤設定中,必須將許可權指派給任何已驗證的使用者或組織中的所有使用者,Defender for Cloud Apps 才能讀取標籤資訊。
控制檔案曝光
例如,假設您使用 Microsoft Purview 敏感度標籤示下列檔:
您可以在 [檔案] 頁面中篩選 Microsoft Purview 的敏感度標籤,以在 Defender for Cloud Apps 中看到這份檔。
您可以在檔案隱藏式選取器中取得這些檔案及其敏感度標籤的詳細資訊。 只要在 [ 檔案 ] 頁面中選取相關檔案,並檢查它是否有敏感度標籤即可。
然後,您可以在 Defender for Cloud Apps 中建立檔案原則,以控制不當共用的檔案,並尋找標記為最近修改的檔案。
- 您可以建立會自動將敏感度標籤套用至特定檔案的原則。
- 您也可以針對與檔案分類相關的活動觸發警示。
注意事項
當檔案上的敏感度標籤停用時,停用的標籤在 Defender for Cloud Apps 中會顯示為停用。 不會顯示已刪除的標籤。
範例原則 - 在 Box 上外部共用的機密數據:
建立檔案原則。
設定原則的名稱、嚴重性和類別。
新增下列篩選條件,以尋找 Box 上外部共用的所有機密數據:
範例原則 - 最近在 SharePoint 客戶資料資料夾外部修改的限制資料:
建立檔案原則。
設定原則的名稱、嚴重性和類別。
新增下列篩選,以尋找所有最近修改的限制檔案,同時在資料夾選取選項中排除 [客戶數據] 資料夾:
您也可以選擇設定警示、使用者通知,或立即針對這些原則採取動作。 深入瞭解 治理動作。
深入瞭解 purview Microsoft。
後續步驟
如果您遇到任何問題,我們在這裡提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證。