為團隊設定高敏感性資料保護
本文中的某些功能需要 Microsoft -SharePoint 進階管理
在本文中,我們將說明如何為團隊設定敏感度層級的保護。 在按照本文所述的步驟操作之前,請確定您已完成為團隊部署基本保護中的步驟。 敏感性層級可提供基準層所未提供的下列額外保護:
- 適用於團隊的敏感度標籤可讓您開啟或關閉來賓共用,並將未受管理裝置的 SharePoint 內容存取權限制為僅限網頁。 此標籤也會作為檔案的預設標籤。
- 限制更多的預設共用連結類型
- 只有小組擁有者可以建立私人頻道。
影片示範
請觀看這段影片,以取得本文所述程序的逐步解說。
來賓共用
視貴公司的業務性質而定,您不一定會想要為包含敏感性資料的團隊啟用來賓共用。 如果您打算在團隊內與組織外的人員共同作業,建議您啟用來賓共用。 Microsoft 365 有各種安全性與合規性功能可協助您安全地共用敏感內容。 一般來說,這個選項的安全性高過直接用電子郵件將內容傳送給組織外的人員。
如需如何安全地與來賓共用的詳細資訊,請參閱下列資源:
為了允許或封鎖來賓共用,我們會使用敏感度標籤 (適用於小組) 和網站層級共用控制 (適用於相關聯的 SharePoint 網站) 的組合,後面會有這兩種機制的討論。
敏感度標籤
針對敏感性保護層級,我們會使用敏感度標籤來分類小組。 我們也會使用此標籤來分類小組中的個別檔案。 (它也可以用於其他檔案位置的檔案,例如 SharePoint 或 OneDrive.)
首先,您必須為 Teams 啟用敏感度標籤。 如需詳細資訊,請參閱 使用敏感度標籤保護 Microsoft Teams、Microsoft 365 群組和 SharePoint 網站中的內容 。
如果組織已部署敏感度標籤,請考慮這個標籤與整體標籤策略的配合程度。 您可以視需要變更名稱或設定,以符合組織的需求。
在為 Teams 啟用敏感度標籤後,下一步是建立標籤。
建立敏感度標籤
- 開啟 Microsoft Purview 合規性入口網站。
- 在 [ 方案] 底下,展開 [信息保護]。
- 選取 [建立標籤]。
- 為標籤命名。 我們建議命名為敏感度,但如果該名稱已在使用中,則可以選擇不同名稱。
- 新增顯示名稱和描述,然後選取 [ 下一步]。
- 在 [ 定義此標籤的範圍] 頁面上,選取 [專案]、[ 檔案]、[ 電子郵件] 和 [群組 & 網站] 。 清除 [ 會議] 複選框。
- 選取 [下一步]。
- 在 [ 選擇已標記項目的保護設定 ] 頁面上,選取 [ 下一步]。
- 在 [ 自動標記檔案和電子郵件 ] 頁面上,選取 [ 下一步]。
- 在 [ 定義群組和網站的保護設定 ] 頁面上,選取 [ 隱私權和外部使用者存取 權] 和 [ 外部共用] 和 [條件式存取] ,然後選取 [ 下一步]。
- 在 [定義隱私權和外部使用者存取權設定] 頁面上,於 [隱私權] 底下選取 [私人] 選項。
- 如果您想要允許來賓存取,請在 [外部使用者存取權] 底下,選取 [讓 Microsoft 365 群組擁有者將貴組織外部人員新增到群組做為來賓] 群組。
- 選取 [下一步]。
- 在 [ 定義外部共用和條件式存取設定 ] 頁面上, 選取 [從標示的 SharePoint 網站控制外部共用]。
- 如果您要允許來賓存取,在 [內容可以與誰共用] 底下,選擇 [新的及現有的來賓],或如果您不要允許來賓存取,則選擇 [僅限組織中的人員]。
- 選 取 [使用Microsoft環境條件式存取] 來保護標記的 SharePoint 網站。
- 選擇 [ 判斷使用者是否可以從非受控裝置存取 SharePoint 網站 ] 選項,然後選擇 [ 允許受限的僅限 Web 存取]。
- 選取 [下一步]。
- 在 [ 架構化數據資產的自動 套用卷標] 頁面上,選取 [ 下一步]。
- 選 取 [建立卷標],然後選取 [ 完成]。
在建立好標籤後,您必須將標籤發佈給將使用該標籤的使用者。 為了提供敏感性保護,我們會將標籤提供給所有使用者。 您可以在 Microsoft Purview 合規性入口網站的 [捲標原則] 頁面上,於 [信息保護] 底下發佈標籤。 如果您有適用於所有使用者的現有原則,請將這個標籤新增至該原則。 如果您需要建立新原則,請參閱建立標籤原則來發佈敏感度標籤。
Teams 設定
敏感性案例的進一步設定是在小組本身和與小組相關聯的 SharePoint 網站中完成,因此下一個步驟是建立小組。
我們將在 Teams 系統管理中心建立小組。
為敏感資訊建立小組
- 在 Teams 系統管理中心中,展開 [Teams] ,然後選取 [ 管理團隊]。
- 選取 新增。
- 輸入小組的名稱和描述。
- 為小組新增一或多個擁有者。 (保持擁有者身分,讓您可以 選擇檔案的默認敏感度標籤 ,並設定下列 網站共用設定 。)
- 從 [敏感度] 下拉式清單中,選擇您為敏感性資訊建立 的敏感度 標籤。
- 選取 [套用]。
私人頻道設定
在這一層中,我們會限制只有團隊擁有者能夠建立私人頻道。
限制私人頻道的建立
- 在 Teams 系統管理中心中,選取您建立的小組,然後選取 [ 編輯]。
- 展開 [訊息許可權]。
- 將 [新增和編輯私人頻道] 設定為 [關閉]。
- 選取 [套用]。
共用頻道設定
共用頻道 不具備小組層級設定。 您在 Teams 系統管理中心和 Microsoft Entra 系統管理中心設定的共用頻道設定適用於個別使用者。
SharePoint 設定
每次您使用敏感性標籤建立新的小組時,在 SharePoint 中有三個步驟需要執行:
- 在 SharePoint 系統管理中心更新網站的來賓共用設定,以將預設共用連結更新為特定人員。
- 更新網站本身的網站共用設定以防止成員共用網站。
- 為與小組連線的文件庫選擇預設敏感度標籤。
網站共用設定和默認敏感度標籤必須在網站本身設定,而且無法從 SharePoint 系統管理中心或透過 PowerShell 進行設定。
網站預設的共用連結設定
若要更新網站預設的共用連結設定
- 開啟 SharePoint 系統管理中心,選取 [網站] 下的 [使用中的網站]。
- 選取與小組相關聯的網站。
- 在 [ 設定] 索引標籤的 [ 外部檔案分享] 底下,選取 [ 更多共用設定]。
- 在 [預設的共用連結類型] 底下,清除 [與組織層級設定相同] 核取方塊,然後選取 [特定人員 (只有使用者指定的人)]。
- 選取 [儲存]。
如果您想要將此編寫為團隊建立程序的一部分,則可以使用 Set-SPOSite 並搭配下列 -DefaultSharingLinkType Direct 參數以變更 特定人員 的預設共用連結。
請注意,如果您將私人頻道或共用頻道新增至小組,則每個頻道都會使用預設的共用設定來建立新的 SharePoint 網站。 您可以透過選取與小組相關聯的網站,在 SharePoint 系統管理中心更新它們。
網站共用設定
為了協助確保 SharePoint 網站不會與非小組成員的人員共用,我們會將這類共用限制為擁有者。 這僅對於使用小組建立的 SharePoint 網站來說是必要的。 建立為私人或共用頻道之一部分的其他網站無法在小組或頻道外部共用。
您必須是小組擁有者才能執行這項工作。
設定僅限擁有者使用的網站共用功能
- 在 Teams 中,瀏覽至所要更新團隊的 [一般] 索引標籤。
- 在小組的工具列中,選取 [ 檔案]。
- 選取省略號,然後選取 [ 在 SharePoint 中開啟]。
- 在基礎 SharePoint 網站的工具列中,選取設定圖示,然後選取 [ 網站許可權]。
- 在 [ 網站許可權 ] 窗格的 [ 網站共用] 底下,選取 [ 變更成員可以共用的方式]。
- 在 [ 共享許可權] 下,選擇 [網站擁有者和成員],以及具有 [編輯] 許可權的人員可以共用檔案和資料夾,但只有網站擁有者可以共享網站,然後選取 [ 儲存]。
選擇檔案的預設敏感度標籤
我們將使用我們建立的敏感度標籤,作為連線到Teams之網站文檔庫的默認敏感度標籤。 這會自動將高敏感度標籤套用至上傳至連結庫的任何新標籤檔案。 (這需要 Microsoft Syntex - SharePoint Advanced Management license.)
您必須是小組擁有者才能執行這項工作。
設定文檔庫的預設敏感度標籤
在 Teams 中,流覽至您想要更新之小組的 [ 一般 ] 頻道。
在小組的工具列中,選取 [ 檔案]。
選取 [在 SharePoint 中開啟]。
在 SharePoint 網站中,開啟 [ 設定] ,然後選擇 [鏈接 庫設定]。
從 [鏈接 庫設定] 飛出視窗窗格中,選取 [ 預設敏感度卷標],然後從下拉式方塊中選取敏感度標籤。
如需默認文檔庫標籤運作方式的詳細資訊,請參閱設定 SharePoint 文件庫的預設敏感度標籤 和 將敏感度標籤新增至 SharePoint 文件庫。