默認使用 Microsoft Purview 保護並防止過度共享 - 階段 3

本指南分為四個階段：

• 簡介
• 階段 1：基礎 – 從預設標籤開始
• 階段 2：Managed – 敏感度最高的地址檔案
• 階段 3：優化 – 展開至此頁面 (整個Microsoft 365 數據資產)
• 階段 4：策略性 – 操作、展開和追溯動作

在上一個階段中，我們已配置安全性基礎，並討論優先順序網站。 我們涵蓋了客戶端和服務端自動套用標籤功能。 如需比較數據表，請參閱： 在 Microsoft 365 中自動套用敏感度標籤。

階段 3：優化 - 擴充至整個Microsoft 365 數據資產

在此階段中，我們會說明可協助您反覆處理所有Microsoft 365 數據資產的選項。

之前，我們建議您先使用初始原則來熟悉使用者。 在此階段中，我們已準備好在案例中逐漸使用它們。 自動套用標籤最適合您需要比預設標籤更高敏感度的案例。

我們也會討論如何追溯標記現有的網站，並設定默認連結庫標籤。

用戶端上的自動套用標籤敏感性檔案 (低閾值)

用戶端自動套用標籤可讓用戶決定套用建議的標籤，或報告誤判。 您可以使用 300 種以上的敏感性資訊類型 (SIT) 可用且 可訓練的分類器來完成。

概括而言，我們建議使用下列方法。 閾值僅提供為範例。

• 識別您產業的相關 SIT。
• 建議具有較低 SIT 閾值的標籤 (1-9) 。
• 自動套用閾值較高的標籤 (10 個以上) 和/或可訓練分類器。

您的客戶端預設標籤會影響您的自動套用標籤策略。 雖然本指南建議您將此設定為 [機密]\[所有員工]，但我們也會在 Office 用戶端預設為 [一般] 時提供替代方案，然後在 SharePoint 中儲存時提供 [ 機密\所有員工 ] 的替代方案。

隨著您識別更多商務案例，您可以隨著時間逐漸使用更多 SIT/可訓練分類器來部署此專案。 使用預設值和客戶端自動套用標籤，您現在會處理所有新的和更新的內容。

模擬自動標記待用敏感性檔案

服務端自動標記 SharePoint 和 OneDrive 中的待用標籤檔案，並提供更多條件。 我們目前支援在您的組織中每天自動標記最多 10 萬個檔案。

雖然客戶端自動套用標籤僅限於敏感性內容，但服務端自動套用標籤會新增對內容相關條件的支援，例如：

• 共用內容
• 擴展名為
• 檔名稱包含單字或片語
• 文件屬性為
• 檔大小等於或大於
• 建立的檔

這些條件結合選取特定網站和/或使用者的 OneDrive，可讓您的組織優先設定要標示哪些內容的優先順序。

例如，如果您的組織使用具有文件屬性或文件名稱前置詞的範本，您可以在所有 SharePoint 網站和 OneDrive 上執行原則。 您也可以根據領導團隊所建立的檔案大小或檔來排定優先順序。

您可以在 SharePoint 網站的批次中使用 Office/PDF 擴展 名來完成所有文件的標籤，並設定為符合其個別網站的標籤，從較高的敏感度網站開始，逐漸攔截 一般 網站。

最後，您可以針對 高度機密 內容實作更多服務端自動套用標籤，通常具有高於客戶端自動套用標籤的閾值，以減少潛在的誤判。

使用進階分類器減少誤判

在本節中，我們將討論進階分類器的基礎，以及使用這些分類器的時機。

在此預設安全藍圖的內容中，我們著重於針對高度機密內容使用具有自動標籤的分類器，其中進階分類器僅限於可訓練分類器。 在大部分情況下，敏感性資訊類型 (SIT) 是模式和關鍵詞的混合。 像是受保護的健康情況資訊 (PHI) 和個人標識資訊 (PII) 等範本可能會傳回許多誤判，因為它們無法判斷內容，或可能是您組織的誤判。

Purview 系統管理員可以透過下列方式減少誤判：

• 增加必要的信賴度和/或閾值計數。
• 尋找具有 AND 而非 OR 運算子的多個 SIT。
• 將 SIT 複製到自訂 SIT 中，並微調需求。
• 使用多個 Regex 運算式，而不是單一但範圍廣泛的表達式。
• 強制文字比對。
• 使用 可訓練分類器、 完全符合EDM (EDM) ，以及 文件指紋。

可訓練分類器會使用機器學習來識別檔模式。 Microsoft Purview 提供數個預先定型的分類器，例如法律檔、策略性商務文件和財務資訊。 您也可以從 SharePoint 文件庫建立和定型自定義分類器。

藉由同時使用 SIT 和可訓練分類器，您可以縮小範圍，例如 包含信用卡 SIT 和財務資訊可訓練分類器。

確切的數據比對和文件指紋目前無法自動套用標籤，但應在整體 Microsoft Purview 資料外洩防護 (DLP) 策略中加以考慮。 類似於可訓練分類器，它們都有助於減少誤判。 例如，使用 EDM，您可以尋找包含現成 SSN 的 SIT，然後針對您的 EDM SIT 進行驗證，以確認它是來自您客戶或員工的 SSN。 EDM 可讓您安全地儲存要尋找的資訊哈希。

檔指紋的運作方式與可訓練分類器不同，方法是識別文件範本，並在 DLP 原則中使用它們。 如果您的組織有標準化的範本，這會非常有用。 您可以使用這些範本來建立精確的指紋。

自動化和改善歷程記錄和使用中數據Microsoft 365 保護

在此階段的最後一個步驟中，我們會檢閱在現有 SharePoint 網站上追溯套用標籤，並據以套用預設連結庫卷標的選項。

此時，我們已在整個環境中設定預設值，並停止未標記網站和檔的激增。 我們已開始以手動方式在優先順序網站上處理標籤網站和文檔庫，我們正考慮在整個完整的Microsoft 365內容資產中調整此功能。

有幾個策略需要考慮：

• 使用網站擁有者 – 與網站擁有者溝通，他們必須在其網站和預設文檔庫上設定標籤。 如果您想要使用 #2，請提及它會在目標日期自動收到新的預設值。
• 在其餘未標記的網站上執行自動化腳本 – 使用 圖形 API 來識別未標記的網站，並將容器卷標和默認連結庫標籤設定為 “Confidential\All employees”
• 選擇性地避免只共用未標記的檔案 – 使用先前的量值，例如未標記內容的 DLP 和檔案自動套用標籤，您可以選擇讓網站在所有網站的腳本追溯動作上自然過期。
• 擷取未標記網站的時間軸 – 如果您打算根據容器卷標對所有歷程記錄數據使用服務端自動套用標籤標，請在新增容器卷標時擷取，並在自動套用標籤標原則中逐漸新增新標記的網站。

您的 風險狀態 會定義如何在所有策略之間以最佳方式進行，或可能逐漸使用這些策略。 雖然我們建議保護所有數據資產，但視其大小而定，這可能是一項複雜的工作。 從小規模開始，並經常逐一查看。

您可以使用 'Set-PnPTenantSite' 和 'SensitivityLabel' 參數來編寫 SharePoint 網站敏感度卷標的腳本。

針對默認連結庫標籤，它需要在連結庫上使用 REST API 來設定 'DefaultSensitivityLabelForLibrary' 參數。 本文提供範例。

階段 3 - 摘要

• 自動將敏感性標籤套用到 Microsoft 365 中的內容
• Microsoft 365 Apps 中敏感度標籤的最低版本
• 在 Office 應用程式中使用敏感度標籤
• 自動將敏感性標籤套用到 Microsoft 365 中的內容
• 在 MIP 和 DLP 中將精確度最大化並減少誤判偵測的秘訣和訣竅

另請參閱

• 劇本 - 服務端自動套用標籤
• 自訂內建的敏感性資訊類型
• 了解可訓練分類器
• 深入了解資料完全相符的敏感資訊類型
• 關於文件指紋
• 可訓練分類器定義
• 敏感資訊類型實體定義
• 敏感資訊類型限制
• Set-PnPTenantSite |PnP PowerShell
• 文件庫的「預設」標籤 - 腳本範例
• 設定 SharePoint 文件庫的預設敏感度標籤

繼續進行 階段 4：策略性 – 操作、展開和追溯動作