默認使用 Microsoft Purview 保護並防止過度共用 - 階段 2
本指南分為四個階段:
- 簡介
- 階段 1:基礎 – 從預設標籤開始
- 階段 2:Managed – 此頁面 (敏感度最高的檔案)
- 階段 3:優化 – 擴充至整個Microsoft 365 數據資產
- 階段 4:策略性 – 操作、展開和追溯動作
在第一個階段中,我們說明如何保護新的和更新的內容。 在此階段中,我們會探索如何保護您現有的數據,從最敏感的數據開始。
階段 2:Managed - 處理敏感度最高的檔案
從下列位置識別您的優先順序網站:
- 知名網站,包括來自領導團隊的網站
- 具有大量敏感性文件的內容總管
- 報告
- 具有大量敏感性信息的網站 圖形 API
注意事項
如果您選擇將檔案預設給 機密\所有員工,建議您將焦點放在具有較高優先順序標籤的網站。
手動設定優先順序網站默認連結庫標籤
目前,設定需要兩個不同的步驟:
- 將敏感度標籤新增至 SharePoint 網站。
- 將敏感度標籤定義為 SharePoint 文件庫中檔案的預設值。
網站擁有者可以在 SharePoint 網站上設定敏感度標籤,並在文檔庫中設定預設連結庫標籤。 SharePoint 系統管理員可以在 SharePoint 系統管理員入口網站中設定網站敏感度標籤。 稍後我們將討論如何使用PowerShell在網站和文檔庫上設定敏感度標籤。
認證和內容相關條件的自動套用標籤
Purview 同時提供客戶端和服務端自動套用標籤。
用戶端提供使用者認知和決策的彈性。 在默認保護的內容中,用戶端標籤最適合用來為敏感性資訊閾值較低的收件者建議更高的敏感度標籤。 用戶可以決定接受或不接受建議,並報告標籤建議是否不適當。
用戶端自動套用標籤可提供使用者認知和決策制定彈性。 默認保護時,用戶端標籤最適合用於為敏感性資訊閾值較低的收件者建議更高的敏感度標籤。 然後,用戶可以決定接受或不接受建議,並在標籤建議不適當時回報。
服務端標籤標會套用至 OneDrive 和 SharePoint 中的現有檔案,以及用於電子郵件的傳輸中,並提供更多條件,例如下列內容條件:
- 檔案類型
- 檔案大小
- 文件屬性
根據預設,在安全性指南的內容中,我們會先依網站內容進行保護,而不是只透過敏感性資訊類型來保護。 因此,我們可以使用內容相關條件,例如在這些網站的所有 Office/.pdf 擴展名上, 將標籤設定為機密\所有員工 ,並快速處理現有的優先順序網站。 我們會在階段 3 中大規模討論更多選項。
重要事項
建議您針對敏感性資訊的所有 認證 設定自動套用標籤原則,因為此資訊最受敵人重視。 針對客戶端自動套用標籤,請將標籤設定為高度機密\特定 人員。 針對服務端自動套用標籤,請將標籤設定為 [高度機密]\[所有員工]。
針對未標示的內容開啟數據外洩防護
在這個階段,基礎已就緒、預設值是安全的,而且我們已開始處理現有的數據。 啟用數據外洩防護 (DLP) 規則,以 (使用端點上 未標示 內容的條件) ,而 Exchange 可加速用戶標記內容,並防止共用未標記的內容。
建議您針對具有 Office/PDF 檔類型的端點 DLP 開啟此 DLP 規則條件,並針對上傳至雲端等相關限制性動作開啟。 用戶必須在網站上上傳檔案之前,先開啟並標記其檔案。
開啟自適性保護和數據外泄行為規則
測試人員風險管理 (IRM) 根據用戶行為提供一層分析和控制。 在預設使用敏感度標籤的安全內容中,IRM 可以在用戶降級卷標或下載、混淆和/或外洩該內容時識別併發出警示。
系統管理員可以控制觸發程式和閾值。 此外,您現在可以使用調適型保護,根據使用者的風險來強化 DLP 規則。 例如,使用 [一 般] 卷標共用檔案時,DLP 規則預設可以稽核。 識別為高風險的使用者可能會無法共用相同的檔案。
提示
建議您使用 Adaptive Protection 開啟並測試預設原則,並在現有 DLP 規則適用時逐一查看。
IRM 提供更多功能、組態和控件。 請檢閱下列參考和未來涵蓋測試人員風險管理的 Purview 部署藍圖。
階段 2 - 摘要
- 使用敏感度標籤搭配 Microsoft Teams、群組 和 SharePoint 網站
- 將敏感度標籤新增至 SharePoint 文件庫
- 設定 SharePoint 文件庫的預設敏感度標籤
- 自動將敏感性標籤套用到 Microsoft 365 中的內容