Verschlüsselung von Vertraulichkeitsbezeichnungen für die Einhaltung von PSPF durch die australische Regierung
Dieser Artikel enthält Anleitungen für Organisationen der australischen Regierung zur Verwendung der Verschlüsselung von Vertraulichkeitsbezeichnungen. Das Unternehmen soll organisationen der australischen Regierung dabei helfen, ihre Ansätze zur Datensicherheit zu stärken. Die Empfehlungen in diesem Leitfaden stimmen eng mit den Anforderungen überein, die im Schutzsicherheitsrichtlinien-Framework (PSPF) und im Handbuch zur Informationssicherheit (Information Security Security Manual, ISM) beschrieben sind.
Microsoft Purview bietet die Möglichkeit, Elemente mit einer Vertraulichkeitsbezeichnung zu verschlüsseln, die über Azure Rights Management angewendet wird. Azure Rights Management wird verwendet, um sowohl die Authentifizierung als auch die Autorisierung zu bestätigen. Damit ein Benutzer auf ein verschlüsseltes Element zugreifen kann, muss er sich beim Microsoft 365-Dienst authentifizieren und die Berechtigung für den Zugriff auf das Element erhalten. Azure Rights Management wird verwendet, um Nutzungseinschränkungen auf Elemente anzuwenden. Diese Einschränkungen verhindern, dass Benutzer Aktionen wie das Bearbeiten von Inhalten, das Speichern von Elementen, das Drucken, Kopieren von Inhalten oder das Weiterleiten an andere Benutzer ausführen.
Verschlüsselungsanforderungen für Bezeichnungen
Regierungsorganisationen müssen die Bezeichnungsverschlüsselung im Einklang mit dem Zugriff und den Übertragungsanforderungen verwenden, die in den Verschlüsselungsanforderungen zusammengefasst sind. Diese Anforderungen geben an, dass die Verschlüsselung für die Übertragung von OFFICIAL: Vertraulichen oder GESCHÜTZTen Informationen über öffentliche oder nicht geschützte Netzwerke erforderlich ist.
Tipp
Organisationen, die häufig bei OFFICIAL und höher mit externen Organisationen und Entitäten kommunizieren, müssen diesen Status möglicherweise basierend auf ihren geschäftlichen Anforderungen bewerten. Weitere Informationen finden Sie unter Übersicht über die Verschlüsselung.
Aktivieren der bezeichnungsbasierten Verschlüsselung für OFFICIAL: Vertrauliche und GESCHÜTZTE Elemente stärken die Fähigkeit von Government organization, die Anforderungen für die Verschlüsselung während der Übertragung zu erfüllen, und stellt sicher, dass gekennzeichnete Elemente verschlüsselt werden, wenn:
- In USB-Speicher kopiert.
- Wird in Nicht-Microsoft-Clouddienste hochgeladen, einschließlich Cloudspeicherdiensten.
- Gespeichert auf potenziell unsicheren Geräten (z. B. Geräten ohne BitLocker-Verschlüsselung).
- Wird per E-Mail an externe Empfänger gesendet, die durch die weitere Verteilung der Informationen gegen das "Need-to-Know"-Problem verstoßen können.
Organisationen der australischen Regierung implementieren in der Regel zusätzliche Strategien und Lösungen, um diese Risikovektoren zu beheben. Beispiele hierfür sind verschlüsselte USB-Laufwerke, CASB-Lösungen (Cloud Access Security Broker) und Geräteverwaltungsplattformen. Die bezeichnungsbasierte Verschlüsselung soll diese Lösungen nicht ersetzen. Es wird jedoch verwendet, um diese Lösungen zu ergänzen, indem zusätzlicher Schutz vor versehentlichem Missbrauch und böswilligen Insidern bereitgestellt wird.
Überlegungen zur Bezeichnungsverschlüsselung
Informationen zu den Standardüberlegungen und möglichen Auswirkungen der Aktivierung der Verschlüsselung von Vertraulichkeitsbezeichnungen finden Sie unter Überlegungen zu verschlüsselten Inhalten.
Es gibt andere Überlegungen, die speziell für australische Regierungsorganisationen gelten. Dazu gehören Änderungen an Dokumentmetadaten und Anforderungen in Bezug auf die Gemeinsame Nutzung von Informationen.
Verschlüsselte Änderungen an der gemeinsamen Dokumenterstellung
Microsoft 365 unterstützt die gemeinsame Dokumenterstellung für verschlüsselte Dokumente.
Durch die Aktivierung der verschlüsselten gemeinsamen Dokumenterstellung werden Änderungen an der Anwendung von Vertraulichkeitsbezeichnungsmetadaten auf Office-Dokumente und die Verwendung von MSIP_labels Dokumenteigenschaften eingeführt. Nach dem Aktivieren der verschlüsselten gemeinsamen Dokumenterstellung werden Metadaten für verschlüsselte Elemente vom herkömmlichen Speicherort der Dokumenteigenschaft in die interne XML-Datei eines Dokuments verschoben. Weitere Informationen finden Sie unter Metadatenänderungen für Vertraulichkeitsbezeichnungen.
Organisationen der australischen Regierung, die Regeln auf E-Mail-Gateways anwenden, die über Dokumenteigenschaften auf Anlagenklassifizierung prüfen, müssen sich über Metadatenänderungen bewusst sein, damit ihre Konfigurationen angepasst werden. Microsoft Exchange-Administratoren sollten:
- Lesen und Verstehen von 2.6.3 LabelInfo im Vergleich zu benutzerdefinierten Dokumenteigenschaften.
- Bewerten Sie die Data Loss Prevention (DLP), die Nachrichtenflussregel oder die Transportregelsyntax ihrer Organisationen auf Nicht-Microsoft-E-Mail-Gateways auf potenzielle Probleme.
Ein Beispiel dafür, warum dies wichtig ist, ist ein Nachrichtenfluss oder eine Transportregel, die über die Bezeichnungs-GUID in einer Dokumenteigenschaft auf PROTECTED-Anlagen überprüft, die nicht ordnungsgemäß funktionieren, sobald Dokumentmetadaten von der Dokumenteigenschaft an den LabelInfo-Speicherort verschoben werden.
Als Alternativen zu den dokumenteigenschaftsbasierten Ansätzen:
-
ClassificationContentMarkingHeaderTextundClassificationContentMarkingFooterTextdokumenteigenschaften werden verwendet. Diese Eigenschaften werden nach der Aktivierung der verschlüsselten gemeinsamen Dokumenterstellung angezeigt und mit dem visuellen Markierungstext aufgefüllt, der auf Office-Dokumente angewendet wird. - Nachrichtenflussmethoden werden auf einen neueren DLP-basierten Ansatz umgestellt, bei dem Vertraulichkeitsbezeichnungen nativ als Teil einer DLP-Richtlinie abgefragt werden können.
Zugriff externer Benutzer auf verschlüsselte Elemente
Australische Regierungsorganisationen, die bezeichnungsbasierte Verschlüsselung verwenden, tun dies im Einklang mit dem Schutzsicherheitsrichtlinien-Framework (PSPF).
| Anforderung | Detail |
|---|---|
| PSPF-Richtlinie 9 Anforderung 1 : Formalisierte Vereinbarungen zum Freigeben von Informationen und Ressourcen | Bei der Offenlegung von sicherheitsrelevanten Informationen oder Ressourcen an eine Person oder organization außerhalb der Regierung müssen Entitäten über eine Vereinbarung oder Vereinbarung verfügen, z. B. einen Vertrag oder eine Urkunde, die regelt, wie die Informationen verwendet und geschützt werden. |
Um sicherzustellen, dass nur Benutzer aus autorisierten externen Organisationen auf verschlüsselte Elemente zugreifen können, können die folgenden Ansätze verwendet werden:
- Listen genehmigter externer Domänen werden den Azure Rights Management-Berechtigungen hinzugefügt, ähnlich den DLP-Ansätzen, die unter Verhindern der E-Mail-Verteilung von klassifizierten Informationen an nicht autorisierte Organisationen beschrieben werden.
- Gruppen, die Gastkonten enthalten, werden verwendet, um berechtigungen nur für autorisierte Benutzer aus genehmigten externen Domänen zu erteilen. Dieser Ansatz ähnelt der E-Mail-Verteilung von klassifizierten Informationen an autorisierte Gäste.
Tipp
Wenn Sie den Ansatz Ihrer organization für DLP mit dem Ansatz für die Bezeichnungsverschlüsselung für klassifizierte Informationen abstimmen, vereinfacht die Verwaltung. Das Ergebnis ist ein robuster und konsistenter Ansatz für den Umgang mit klassifizierten Informationen, bei dem nur autorisierten Benutzern sowohl klassifizierte Informationen gesendet werden können als auch Zugriff darauf haben.
Aktivieren der Bezeichnungsverschlüsselung
Informationen zu den Voraussetzungen und Schritten, die zum Aktivieren der Verschlüsselung von Vertraulichkeitsbezeichnungen erforderlich sind, finden Sie unter Einschränken des Zugriffs auf Inhalte mithilfe von Vertraulichkeitsbezeichnungen zum Anwenden der Verschlüsselung.
Die folgenden Verschlüsselungskonfigurationen für Bezeichnungen haben besondere Relevanz für die Anforderungen der australischen Regierung und werden ausführlich erläutert.
Berechtigungen sofort zuweisen
Berechtigungen jetzt zuweisen bietet eine konsistente Steuerung des Zugriffs auf bezeichnete Elemente in einer gesamten Umgebung. Wenn bei dieser Konfiguration eine Bezeichnung mit Verschlüsselungseinstellungen auf ein Element angewendet wird, wird die Verschlüsselung des Inhalts sofort ausgelöst.
Wenn die Option Berechtigungen jetzt zuweisen ausgewählt ist, müssen Administratoren Berechtigungen konfigurieren, die auf bezeichnete Elemente angewendet werden. Folgende Optionen sind verfügbar:
Alle Benutzer und Gruppen in Ihrem organization: Mit dieser Option wird die Berechtigung für alle Benutzer in der Umgebung mit Ausnahme von Gastkonten hinzugefügt. Dies ist ein guter Einführungspunkt für Organisationen, die den Zugriff auf bezeichnete Elemente nur auf interne Benutzer beschränken möchten.
Dies ist eine gute Option für Organisationen, die "OFFICIAL: Vertraulich"-Informationen verschlüsseln und sicherstellen möchten, dass sie von der gesamten organization geöffnet werden können.
Jeder authentifizierte Benutzer: Diese Option ermöglicht den Zugriff auf jeden Benutzer, der über ein Konto wie ein Microsoft 365-Konto, einen Verbundanbieter für soziale Netzwerke oder eine externe E-Mail-Adresse, die als Microsoft-Konto (MSA) registriert ist, bei Microsoft 365 authentifiziert ist. Diese Option stellt sicher, dass Elemente im verschlüsselten Format gesendet und gespeichert werden, ist aber in Bezug auf den Zugriff auf Elemente am offensten. Diese Option eignet sich nicht für die Sicherstellung von "Need-to-Know" und pspf-Ausrichtung in der australischen Regierung.
Wichtig
Aufgrund der offenen Natur der angewendeten Berechtigungen ist jeder authentifizierte Benutzer für australische Behörden keine gute Option für die Anwendung auf sicherheitsklassifizierte Elemente.
Benutzer oder Gruppen hinzufügen: Mit dieser Option können einzelne Benutzer (z. B. einzelne Organisationsbenutzer oder Gäste) angegeben werden. Sie ermöglicht die Zuordnung von Berechtigungen zu Gruppen.
Es gibt mehrere Verwendungsmöglichkeiten dieser Option für Regierungsorganisationen. Zum Beispiel:
- Diese Option wird verwendet, um die Notwendigkeit der Kenntnis sicherzustellen, indem der Zugriff auf bezeichnete Inhalte auf eine Teilmenge interner Benutzer beschränkt wird, die eine Anforderung erfüllen. Autorisierte Benutzer mit Baselinefreigabe werden beispielsweise in einer geschützten Benutzergruppe gruppiert, die Berechtigungen für GESCHÜTZTE Inhalte erteilt. Benutzer außerhalb der Gruppe werden am Zugriff auf GESCHÜTZTE Elemente gehindert.
- Für Organisationen mit hoher externer Zusammenarbeitssteuerung (wie in hoher externer Zusammenarbeitssteuerung erläutert) wird eine dynamische Gruppe erstellt, die alle Gastkonten enthält. Dieser Gruppe könnten Berechtigungen für verschlüsselte Elemente erteilt werden, sodass Elemente extern verteilt werden können, wobei das Risiko des Zugriffs durch Entitäten außerhalb der Gruppe verringert wird. Eine solche Konfiguration muss auch mit DLP-Steuerelementen übereinstimmen, die erläutert werden, um die E-Mail-Verteilung von klassifizierten Informationen an autorisierte Gäste zuzulassen.
- Für Organisationen mit einer relativ geringen externen Zusammenarbeitssteuerung (wie in niedriger Kontrolle für die externe Zusammenarbeit erläutert) wird eine Sicherheitsgruppe mit Gästen verwaltet, die für den Zugriff auf verschlüsselte Inhalte autorisiert sind.
- Für Organisationen, die Gastzugriff auf Inhalte gewähren möchten, ohne die Inhalte einer Bezeichnung für eine gesamte Domäne zugänglich zu machen, wird eine dynamische Gruppe erstellt, um Gästen Zugriff von einem organization zu gewähren, z. B. "Abteilungsgäste". Dieser Ansatz wird bei der E-Mail-Verteilung von klassifizierten Informationen an autorisierte Gäste erläutert.
Hinzufügen bestimmter E-Mail-Adressen oder Domänen Diese Option ermöglicht es, dass den einzelnen E-Mail-Adressen externer Benutzer, die ein Gast sein können oder nicht, Berechtigungen erteilt werden. Es kann auch verwendet werden, um einer gesamten Domäne Berechtigungen zu erteilen. Beispiel: "Contoso.com". Organisationen, die komplexe Anforderungen an die Zusammenarbeit und Verteilung von Informationen haben oder official: Vertrauliche oder GESCHÜTZTE Informationen an andere Regierungsorganisationen verteilen müssen, können erwägen, eine Liste der Domänen aller Organisationen hinzuzufügen, an die diese Informationen verteilt werden. Eine solche Liste sollte sich an Domänen orientieren, mit denen Ihr organization formalisierte Vereinbarungen zum Freigeben von Informationen und Ressourcen hat, wie in PSPF-Richtlinie 9 Anforderung 1 definiert.
Der Konfiguration einer Bezeichnung werden mehrere Berechtigungssätze hinzugefügt, um das gewünschte Ergebnis zu erzielen. Beispielsweise können Alle Benutzer und Gruppen in Kombination mit einer Gruppe dynamischer Gruppen verwendet werden, die Gäste aus anderen Organisationen enthalten, sowie einer Liste autorisierter Abteilungsdomänen, mit denen Ihr organization regelmäßig zusammenarbeitet.
Zuweisen von Berechtigungen zu Benutzern, Gruppen oder Domänen
Für jeden Benutzer, jede Benutzergruppe oder Domäne, der Zugriff gewährt wird, müssen auch bestimmte Berechtigungen ausgewählt werden. Diese Berechtigungen werden in typischen Gruppen gruppiert, z. B . Mitbesitzer, Mitautor oder Prüfer. Benutzerdefinierte Berechtigungssätze können ebenfalls definiert werden.
Verschlüsselungsberechtigungen sind präzise, sodass Organisationen ihre eigene Geschäftsanalyse und Risikobewertungen durchführen müssen, um den am besten gültigen Ansatz zu ermitteln. Es folgt ein Beispielansatz.
| Benutzerkategorie | Enthält | Berechtigungen |
|---|---|---|
| Alle Benutzer und Gruppen | Alle internen Benutzer | Co-Owner (Gewährt alle Berechtigungen) |
| Gäste aus anderen Abteilungen mit Anforderungen an die Zusammenarbeit | Dynamische Microsoft 365-Gruppen: - Gäste aus Abteilung 1 - Gäste aus Abteilung 2 - Gäste aus Abteilung 3 |
Co-Author (Schränkt das Bearbeiten, Exportieren von Inhalten und Ändern von Berechtigungen ein) |
| Gelöschte Gäste aus Partnerorganisationen | Sicherheits-Gruppen: – Gäste von Partner 1 – Gäste von Partner 2 – Gäste von Partner 3 |
Prüfer (Schränkt die Berechtigungen zum Drucken, Kopieren und Extrahieren, Exportieren von Inhalten und Ändern ein) |
Benutzern die Entscheidung überlassen
Bei der Verschlüsselung können Benutzer auswählen, welche Berechtigungen angewendet werden sollen, wenn sie eine Bezeichnung auswählen.
Das Verhalten von Elementen, die mit dieser Methode bezeichnet werden, variiert je nach Anwendung. Für Outlook stehen folgende Optionen zur Verfügung:
Nicht weiterleiten: Wenn diese Option ausgewählt ist, werden E-Mails verschlüsselt. Die Verschlüsselung wendet Zugriffsbeschränkungen an, sodass Empfänger auf die E-Mail antworten können, aber keine Optionen zum Weiterleiten, Drucken oder Kopieren von Informationen verfügbar sind. Azure Rights Management-Berechtigungen werden auf alle ungeschützten Office-Dokumente angewendet, die an die E-Mail angefügt sind. Mit dieser Option wird sichergestellt, dass sie wissen muss, indem verhindert wird, dass E-Mail-Empfänger Elemente an diejenigen weiterleiten, die in der ursprünglichen E-Mail nicht angegeben wurden.
Nur verschlüsseln: Diese Option verschlüsselt Elemente und gewährt Empfängern alle Nutzungsrechte mit Ausnahme von Speichern unter, Exportieren und Vollzugriff. Es ist nützlich, um die Anforderungen an die verschlüsselte Übertragung zu erfüllen, wendet jedoch keine Zugriffseinschränkungen an (das Ergebnis ist, dass keine Steuerelemente angewendet werden, die benötigt werden).
Diese Optionen bieten eine große Granularität. Da Berechtigungen jedoch auf Elementebene angewendet werden, können diese Optionen zu einer inkonsistenten Konfiguration führen, da die von verschiedenen Benutzern ausgewählten Optionen variieren.
Durch die Bereitstellung von "Nicht weiterleiten" oder "Nur verschlüsseln"-Optionen für Benutzer als Unterbezeichnungen kann ein organization Benutzern eine Methode zum Schutz der Kommunikation bereitstellen, wenn dies für notwendig erachtet wird. Zum Beispiel:
- INOFFIZIELL
- AMTLICH
- OFFICIAL Sensitive (Kategorie)
- OFFICIAL Vertraulich
- Nur sensible Empfänger von OFFICIAL
Bezeichnungen, auf die diese Konfigurationen angewendet wurden, sollten nur für Benutzer veröffentlicht werden, die solche Funktionen benötigen.
Microsoft Purview ist in der Lage, pspf mit der Anforderung abzugleichen, Information Management Marker (IMMs) und Vorbehalte sowie das Hinzufügen von Untergeordneten Bezeichnungen, um bestimmte Organisationsanforderungen zu erfüllen. Beispielsweise kann für eine Gruppe von Benutzern, die informationen zu "OFFICIAL: Sensitive Personal Privacy" mit externen Benutzern kommunizieren müssen, die Bezeichnung "OFFICIAL: Sensitive Personal Privacy ENCRYPT-ONLY" veröffentlicht werden.
Ablauf des Inhaltszugriffs
Inhaltsablaufoptionen ermöglichen, dass die Berechtigung zum Zugriff auf verschlüsselte Elemente mit der angewendeten Bezeichnung entweder an einem Datum oder nach einem bestimmten Zeitraum verweigert wird. Diese Funktion wird verwendet, um sicherzustellen, dass elemente von einem Bestimmten Zeitpunkt an nicht mehr zugänglich sind, unabhängig davon, wo sie sich befinden oder welche Berechtigungen auf sie angewendet wurden.
Diese Option ist nützlich, um Anforderungen für den zeitgebundenen Zugriff auf Informationen zu erfüllen, bei denen Regierungsorganisationen vorübergehenden Zugriff auf Informationen oder Ressourcen bereitstellen müssen. Diese Situationen werden unter PSPF-Richtlinie 9 behandelt:
| Anforderung | Detail |
|---|---|
| PSPF-Richtlinie 9 Anforderung 4: Temporärer Zugriff auf klassifizierte Informationen und Ressourcen | Entitäten können einer Person vorübergehenden Zugriff auf sicherheitsrelevante Informationen oder Ressourcen auf der Grundlage einer Risikobewertung für jeden Fall gewähren. In solchen Fällen müssen Entitäten: a. Beschränken Sie die Dauer des Zugriffs auf sicherheits klassifizierte Informationen oder Ressourcen: i. Bis zum Zeitraum, in dem ein Antrag auf Sicherheitsfreigabe für die jeweilige Person bearbeitet wird, oder ii. Maximal drei Monate in einem Zeitraum von 12 Monaten b. Durchführung empfohlener Überprüfungen der Beschäftigung (siehe PSPF-Richtlinie: Eignung und Eignung des Personals) c. Beaufsichtigen aller vorübergehenden Zugriffe d. Stellen Sie für den Zugriff auf TOP SECRET-Informationen sicher, dass die Person über eine sicherheitsrelevante Sicherheitsfreigabe vom Typ "Negative Vetting 1" verfügt, und e. Verweigern Des vorübergehenden Zugriffs auf klassifizierte Informationen (außer unter außergewöhnlichen Umständen und nur mit Zustimmung des Vorbehaltsbesitzers). |
Dieser Ansatz stellt die Notwendigkeit der Überwachung des temporären Zugriffs sicher und stellt sicher, dass der temporäre Benutzer nur zugriff auf das, was erlaubt wurde, und nur für die erforderliche Zeit.
Die azure Rights Management-Verschlüsselung, die über Bezeichnungen und mit Zugriffsablaufkonfiguration angewendet wird, ermöglicht die Freigabe vertraulicher Elemente für Einzelpersonen oder Organisationen, ohne dass vollständige Konten erstellt werden müssen.
Ein Beispiel hierfür ist ein Government organization über eine Reihe von Entwurfsdokumenten verfügt, die einem fiktiven Government-Organization namens Contoso zur Verfügung gestellt werden müssen. Eine Bezeichnung mit dem Namen "OFFICIAL Sensitive – Contoso Temp Access" wird erstellt und mit Berechtigungen veröffentlicht, die Zugriff auf eine genehmigte Liste von Contoso-E-Mail-Adressen gewähren. Auf eine Kopie der Entwurfsdokumente wird dann diese Bezeichnung angewendet, die einen 30-tägigen Zugriffszeitgeber startet. Die Dokumente werden dann für Contoso freigegeben, die auf die Elemente auf ihren eigenen Systemen zugreifen können, bis der Timer abläuft und der Zugriff widerrufen wird, unabhängig davon, wo sich die Elemente befinden.
Da der Inhaltsablauf auf eine Bezeichnung und nicht auf Berechtigungen angewendet wird, sind dedizierte Bezeichnungen erforderlich, um dies zu erreichen. Dies und andere Szenarien für den Ablauf des Zugriffs sind Nischen und gelten in den meisten Regierungsorganisationen nicht. Dieses Beispiel baut auf und erweitert die grundlegende PSPF-Microsoft Purview Information Protection Konfiguration, die wie in diesem Leitfaden empfohlen angewendet wird.
Offlinezugriff
Offlinezugriffsoptionen ermöglichen die Konfiguration eines Zeitraums, in dem Benutzer auf Elemente zugreifen können, ohne ihre Azure Rights Management-Berechtigungen erneut authentifizieren oder erneut authentifizieren zu müssen. Der Offlinezugriff ist nützlich, um sicherzustellen, dass beispielsweise bei einem Netzwerk- oder Dienstausfall auf Offlinedateien zugegriffen werden kann. Wenn diese Option konfiguriert ist, werden Elemente weiterhin verschlüsselt, und ihre Berechtigungen werden auf Clientgeräten zwischengespeichert.
Regierungsorganisationen, die Verschlüsselung bereitstellen, entscheiden sich in der Regel für einen Offlinezugriffszeitraum von drei bis sieben Tagen, um sicherzustellen, dass Benutzer offline und als Notfallmaßnahme arbeiten können.
Eine Risikobewertung des zwischengespeicherten Zugriffs auf Elemente im Vergleich zu den Auswirkungen des keinen Zugriffs auf die Benutzerfreundlichkeit, wenn Benutzer ohne Netzwerkzugriff durch eine regierungsbehördenspezifische organization arbeiten, sollte bei diesem Ansatz abgeschlossen werden.
Beispiel für die Verschlüsselung von Bezeichnungen
Hinweis
In diesen Beispielen soll die Konfiguration der Bezeichnungsverschlüsselung mit betriebsbedingten Kontrollen veranschaulicht werden, die proportional zum Wert der Informationen sind, der mit der PSPF-Richtlinie 8 Anforderung 1 übereinstimmt. Regierungsorganisationen müssen ihre eigene Geschäftsanalyse, Risikobewertung und Tests durchführen, bevor sie eine solche Konfiguration aktivieren.
| Vertraulichkeitsbezeichnung | Verschlüsselung | Berechtigungen |
|---|---|---|
| INOFFIZIELL | - | - |
| AMTLICH | - | - |
| OFFICIAL Sensitive (Kategorie) | - | - |
| OFFICIAL Vertraulich | Berechtigung jetzt zuweisen |
Alle Benutzer und Gruppen in Ihrem organization: Co-Owner Fügen Sie bestimmte E-Mail-Adressen oder Domänen hinzu: Liste der externen Domänen, die für den Zugriff - genehmigt wurdenGemeinsame Dokumenterstellung |
| PROTECTED (Kategorie) | - | - |
| GESCHÜTZT | Berechtigung jetzt zuweisen |
Hinzufügen von Benutzern oder Gruppen: Gruppe "Geschützte Benutzer" - Mitbesitzer Geschützte Gästegruppe - Gemeinsame Dokumenterstellung |
Microsoft Purview-Nachrichtenverschlüsselung
Microsoft Purview-Nachrichtenverschlüsselung ist eine Microsoft 365-Verschlüsselungsfunktion, die auf Azure Rights Management basiert. Wie bei der bezeichnungsbasierten Azure Rights Management-Verschlüsselung bestätigt Microsoft Purview-Nachrichtenverschlüsselung die Identität durch Authentifizierung und die Autorisierung durch Anwendung der Berechtigung für Elemente.
Informationen zu Microsoft Purview-Nachrichtenverschlüsselung finden Sie unter Funktionsweise der Nachrichtenverschlüsselung.
Ein hauptvorteil von Microsoft Purview-Nachrichtenverschlüsselung besteht darin, dass sowohl Absender- als auch Empfängerpostfächer in Exchange Online gehostet werden, wobei Clients, die Microsoft Purview-Nachrichtenverschlüsselung unterstützen (einschließlich Microsoft 365 Apps, mobile und webbasierte Clients) ist der Verschlüsselungsprozess einschließlich des Empfängerzugriffs auf die empfangenen E-Mails nahtlos. Der Empfänger kann die Nachricht wie jede unverschlüsselte E-Mail empfangen und anzeigen. Wenn der Empfänger jedoch nicht Exchange Online und/oder einen Microsoft Purview-Nachrichtenverschlüsselung fähigen E-Mail-Client verwendet, anstatt eine vollständige E-Mail-Nachricht zu empfangen, erhält er einen *Wrapper, der den Empfang einer geschützten E-Mail informiert. und leitet sie an ein Microsoft-Portal weiter, wo sie sich authentifizieren können, um auf sichere Weise auf die Informationen zuzugreifen. Diese Wrappernachrichten können vollständig angepasst werden, sodass sie an Ihre organization angepasst werden können.
Die Authentifizierung für Microsoft Purview-Nachrichtenverschlüsselung wird anders behandelt als bei bezeichnungsbasiertem Azure Rights Management, da Berechtigungen für eine Bezeichnung nicht definiert werden müssen. Dies ermöglicht eine größere Flexibilität in Bezug darauf, wer möglicherweise verschlüsselte Korrespondenz empfangen kann, was für einige Anwendungsfälle wünschenswert sein kann.
Es gibt drei Authentifizierungskategorien, die für Microsoft Purview-Nachrichtenverschlüsselung Nachrichtenempfänger relevant sind:
- Wenn Empfänger Microsoft 365-Identitäten über Exchange Online verwenden, können ihre vorhandenen Anmeldeinformationen und/oder Token, die für ihre aktuelle Sitzung verwendet werden, für die Authentifizierung und Autorisierung verwendet werden.
- Wenn Empfänger unterstützte externe Identitäten verwenden, z. B. die von Gmail oder Yahoo bereitgestellten, müssen sie sich über diese Anmeldeinformationen authentifizieren, um auf die Wrapper-E-Mail zuzugreifen und eine Verbindung mit dem von Microsoft 365 bereitgestellten Portal herzustellen, um auf die Nachricht zuzugreifen.
- Wenn Empfänger eine nicht unterstützte Identität verwenden, erhalten sie die Wrapper-E-Mail und können den Link auswählen, um auf das von Microsoft 365 bereitgestellte Portal zuzugreifen. Zu diesem Zeitpunkt werden sie aufgefordert, ihre E-Mail-Adresse als Microsoft-Konto (MSA) einzurichten. Dieses Microsoft-Konto verknüpft ein Kennwort und andere Informationen mit der E-Mail-Adresse des Benutzers, die für die zukünftige Authentifizierung verwendet wird.
Microsoft Purview-Nachrichtenverschlüsselung wird auch verwendet, um die Vertraulichkeit zu gewährleisten und den Empfängern die Sicherheit zu geben, dass ihre Informationen sicher behandelt werden. Hr-Teams können beispielsweise Microsoft Purview-Nachrichtenverschlüsselung nutzen, wenn sie eine mögliche Beschäftigung mit einem Bewerber besprechen. Microsoft Purview-Nachrichtenverschlüsselung ist nützlich, wenn sensible Finanzfragen mit einem Mitglied der Öffentlichkeit diskutiert werden. Universitäten und andere Bildungsanbieter können Microsoft Purview-Nachrichtenverschlüsselung nutzen, wenn sie mit Studierenden in akademischen Angelegenheiten übereinstimmen.
Im Folgenden werden Anwendungsfälle für Microsoft Purview-Nachrichtenverschlüsselung aufgeführt, die für organisationen der australischen Regierung relevant sind:
- Anwendung von Microsoft Purview-Nachrichtenverschlüsselung auf alle E-Mails mit einer Bezeichnung (z. B. OFFICIAL Sensitive), die an eine Liste externer Organisationen gesendet werden. Diese Liste enthält andere Regierungsorganisationen, mit denen der organization formalisierte Vereinbarungen hat (gemäß PSPF-Richtlinie 9, Anforderung 1).
- Anwendung von Microsoft Purview-Nachrichtenverschlüsselung auf E-Mails mit vertraulichen Informationen (identifiziert über SIT), die an eine Liste anderer Nicht-Regierungsorganisationen gesendet werden, in denen eine Beziehung besteht. Da diese Organisationen nicht unbedingt die Sicherheitsanforderungen der australischen Regierung erfüllen müssen, ist die status dieser Umgebung unbekannt.
Weitere Informationen zu Microsoft Purview-Nachrichtenverschlüsselung Funktionen und möglichen Verwendungsmöglichkeiten finden Sie unter Einrichten von Microsoft Purview-Nachrichtenverschlüsselung
Die Konfiguration zum Anwenden Microsoft Purview-Nachrichtenverschlüsselung auf E-Mails kann über Exchange-Nachrichtenflussregeln angewendet werden. Alle Nachrichten, die einer Vertraulichkeitsbezeichnung entsprechen, lösen eine Regel aus, die eine Microsoft Purview-Nachrichtenverschlüsselung Vorlage auf die E-Mail anwendet. Diese Regeln erfordern eine GUID-basierte Methode zum Identifizieren von bezeichneten E-Mails.