步驟 3:部署 SaaS 應用程式的資訊保護
雖然保護對應用程式和會話活動的存取很重要,但 SaaS 應用程式所包含的數據可能是要保護的最重要資源之一。 部署 SaaS 應用程式的資訊保護是防止不小心或惡意暴露敏感性資訊的關鍵步驟。
Microsoft Purview 資訊保護 原生整合在 Microsoft 365 應用程式和服務中,例如 SharePoint、OneDrive、Teams 和 Exchange。 對於其他 SaaS 應用程式,您可能想要將它們與 Microsoft Purview 整合,以確保敏感數據在何處受到保護。 有各種方式可將資訊保護與您使用的其他應用程式整合。 您可以使用 適用於雲端的 Microsoft Defender Apps 來整合標籤與應用程式,或讓應用程式開發人員直接使用 SDK 進行整合。 如需詳細資訊,請參閱關於 Microsoft 資訊保護 SDK。
此步驟以使用 Microsoft Purview 解決方案部署資訊保護為基礎,並引導您如何使用 適用於雲端的 Defender Apps 將資訊保護延伸至 SaaS 應用程式中的數據。 您可能想要檢閱指引,以進一步了解整體工作流程。
本文的範圍著重於保護 SaaS 應用程式內的 Microsoft Office 和 PDF 檔案和檔案存放庫。
信息保護的重要概念包括瞭解您的數據、保護您的數據,以及防止數據遺失。 下圖顯示如何使用 Purview 合規性入口網站和 適用於雲端的 Defender Apps 入口網站來執行這些主要功能。
在此圖表中:
若要保護 SaaS 應用程式中的數據,您必須先判斷組織中敏感性的資訊。 執行此動作之後,請檢查是否有任何敏感性資訊類型 (SIT) 對應至所決定的敏感性資訊。 如果沒有任何 SIT 符合您的需求,您可以使用 Microsoft Purview 合規性入口網站 來修改或建立自訂 SIT。
使用定義的 SIT,您可以探索在 SaaS 應用程式中包含敏感數據的專案。
提示
若要瞭解 Microsoft Purview 資訊保護 支援應用程式的完整清單,請參閱 資訊保護
探索包含敏感數據的項目之後,您可以將標籤延伸至 SaaS 應用程式,然後加以套用。
若要防止數據遺失,您可以定義並延伸數據外泄防護 (DLP) 原則。 使用 DLP 原則,您可以識別、監視及自動保護服務之間的敏感性專案。 DLP 原則的保護動作範例是在用戶嘗試不適當地共用敏感性專案時,向用戶顯示快顯原則提示。 另一個範例是封鎖敏感性項目的共用。
使用下列步驟,為您的 SaaS 應用程式套用資訊保護功能。
探索 SaaS 應用程式中的敏感性資訊
若要探索 SaaS 應用程式中所包含的敏感性資訊,您必須:
- 啟用與 適用於雲端的 Defender Apps 的 Microsoft Purview 資訊保護 整合。
- 建立原則以識別檔案中的敏感性資訊。
Microsoft Purview 資訊保護 是包含 適用於雲端的 Defender Apps 的架構。 在 Microsoft Purview 中整合 適用於雲端的 Defender Apps 可協助您更妥善地保護組織中的敏感性資訊。 如需詳細資訊,請參閱如何整合 Microsoft Purview 資訊保護 與 適用於雲端的 Defender Apps。
一旦您知道想要保護的資訊類型,您就會建立原則來偵測它們。 您可以為下列專案建立原則:
- 檔案: 檔案原則會透過 API 掃描儲存在已連線雲端應用程式中的檔案內容,以取得支援的應用程式。
- 會話: 會話原則會在存取時實時掃描和保護檔案,以防止數據外泄、保護下載時的檔案,以及防止上傳未標記的檔案。
如需詳細資訊,請參閱 Microsoft 數據分類服務整合。
套用敏感度標籤來保護數據
探索和排序敏感性信息之後,您可以套用敏感度標籤。 將敏感度標籤套用至檔時,該標籤的任何已設定保護設定都會在內容上強制執行。 例如,標示為「機密」的檔案可能會加密,並限制其存取權。 存取限制可以包含個別用戶帳戶或群組。
適用於雲端的 Defender 應用程式原生與 Microsoft Purview 資訊保護 整合,而且在這兩項服務中都提供相同的敏感度類型和標籤。 當您想要定義敏感性資訊時,請使用 Microsoft Purview 合規性入口網站 來建立它們,而且它們可在 適用於雲端的 Defender Apps 中使用。
適用於雲端的 Defender Apps 可讓您從 Microsoft Purview 資訊保護 自動套用敏感度標籤。 這些標籤會套用至檔案作為檔案原則控管動作,而且根據標籤,可以套用加密以套用另一層保護。
如需詳細資訊,請參閱自動套用 Microsoft Purview 資訊保護 標籤。
將 DLP 原則延伸至 SaaS 應用程式
視您在環境中擁有的 SaaS 應用程式而定,有各種選項可供選擇以部署 DLP 解決方案。 使用下表來引導您進行決策程式。
案例 | 工具 |
---|---|
您的環境有下列產品: - Exchange Online 電子郵件 - SharePoint Online 網站 - OneDrive 帳戶 - Teams 聊天和頻道訊息 - 適用於雲端的 Microsoft Defender 應用程式 - Windows 10、Windows 11 和 macOS (Catalina 10.15 及更新版本) 裝置 - 內部部署存放庫 - Power BI 網站 |
使用 Microsoft Purview。 如需詳細資訊,請參閱 瞭解 DLP。 |
您的組織使用 Microsoft Purview 未涵蓋的其他應用程式,但可透過 API 連線到 適用於雲端的 Microsoft Defender 應用程式,例如: - Atlassian -蔚藍 -Aws -箱 - DocuSign - Egnyte - GitHub - Google 工作區 -Gcp - NetDocuments - Office 365 - Okta - OneLogin - Salesforce - ServiceNow -鬆弛 - Smartsheet - Webex -工作日 - Zendesk |
使用 適用於雲端的 Defender Apps。 若要使用限定為特定非 Microsoft 雲端應用程式的 DLP 原則,應用程式必須連線到 適用於雲端的 Defender Apps。 如需詳細資訊,請參閱 連線 應用程式。 |
貴組織使用的應用程式尚未透過 API 適用於雲端的 Defender 應用程式支援,但可以使用應用程式連接器新增,而且您可以使用會話原則即時套用 DLP 原則。 | 使用 適用於雲端的 Defender Apps。 如需詳細資訊,請參閱 連線 應用程式和針對非 Microsoft 雲端應用程式使用數據外洩防護原則。 |
如需授權的指引,請參閱 Microsoft 365 安全性與合規性指引。
監視您的資料
現在您的原則已就緒,您會想要檢查 Microsoft Defender 入口網站,以監視原則的效果並補救事件。 Microsoft Defender 全面偵測回應 可讓您在單一玻璃窗格中查看來自 Microsoft Purview 和 適用於雲端的 Defender 應用程式的 DLP 警示和事件。
您的安全性分析師可以有效地排定警示的優先順序、瞭解缺口的完整範圍,並採取回應動作來補救威脅。
如需詳細資訊,請參閱 Microsoft Defender 入口網站。