Udostępnij za pośrednictwem

Integracja z usługą Microsoft Purview w celu ochrony informacji

  • Artykuł

Microsoft Defender for Cloud Apps umożliwia automatyczne stosowanie etykiet poufności z usługi Microsoft Purview. Etykiety te są stosowane do plików jako akcja ładu zasad plików i w zależności od konfiguracji etykiety mogą stosować szyfrowanie w celu dodatkowej ochrony. Pliki można również zbadać, filtrując pod kątem zastosowanej etykiety poufności w portalu Defender for Cloud Apps. Użycie etykiet zapewnia większą widoczność i kontrolę nad poufnymi danymi w chmurze. Zintegrowanie usługi Microsoft Purview z Defender for Cloud Apps jest tak proste, jak wybranie jednego pola wyboru.

Integrując usługę Microsoft Purview z Defender for Cloud Apps, możesz korzystać z pełnej mocy usług i bezpiecznych plików w chmurze, w tym:

  • Możliwość stosowania etykiet poufności jako akcji ładu do plików zgodnych z określonymi zasadami
  • Możliwość wyświetlania wszystkich sklasyfikowanych plików w centralnej lokalizacji
  • Możliwość badania zgodnie z poziomem klasyfikacji i kwantyfikowania narażenia poufnych danych na aplikacje w chmurze
  • Możliwość tworzenia zasad w celu upewnienia się, że sklasyfikowane pliki są prawidłowo obsługiwane

Wymagania wstępne

Uwaga

Aby włączyć tę funkcję, potrzebna jest zarówno licencja Defender for Cloud Apps, jak i licencja usługi Microsoft Purview. Gdy tylko obie licencje zostaną wprowadzone, Defender for Cloud Apps synchronizuje etykiety organizacji z usługi Microsoft Purview.

Aby Defender for Cloud Apps stosować etykiety poufności, muszą zostać opublikowane w ramach zasad etykiet poufności w usłudze Microsoft Purview.

Defender for Cloud Apps obecnie obsługuje stosowanie etykiet poufności z usługi Microsoft Purview dla następujących typów plików:

  • Word: docm, docx, dotm, dotx
  • Excel: xlam, xlsm, xlsx, xltx
  • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
  • PDF

    Uwaga

    W przypadku formatu PDF należy użyć ujednoliconych etykiet.

Ta funkcja jest obecnie dostępna dla plików przechowywanych w usługach Box, Google Workspace, SharePoint Online i OneDrive. Więcej aplikacji w chmurze będzie obsługiwanych w przyszłych wersjach.

Jak to działa

Etykiety poufności z usługi Microsoft Purview można wyświetlić w Defender for Cloud Apps. Po zintegrowaniu Defender for Cloud Apps z usługą Microsoft Purview Defender for Cloud Apps skanuje pliki w następujący sposób:

  1. Defender for Cloud Apps pobiera listę wszystkich etykiet poufności używanych w dzierżawie. Ta akcja jest wykonywana co godzinę, aby lista była aktualna.

  2. Defender for Cloud Apps następnie skanuje pliki pod kątem etykiet poufności w następujący sposób:

    • Jeśli włączono automatyczne skanowanie, wszystkie nowe lub zmodyfikowane pliki zostaną dodane do kolejki skanowania, a wszystkie istniejące pliki i repozytoria zostaną zeskanowane.
    • Jeśli ustawisz zasady plików w celu wyszukiwania etykiet poufności, te pliki zostaną dodane do kolejki skanowania w poszukiwaniu etykiet poufności.

  3. Jak wspomniano, te skany są przeznaczone dla etykiet poufności odnalezionych w początkowym skanowaniu, Defender for Cloud Apps sprawdza, które etykiety poufności są używane w dzierżawie. Etykiety zewnętrzne, etykiety klasyfikacji ustawione przez kogoś zewnętrznego do dzierżawy, są dodawane do listy etykiet klasyfikacji. Jeśli nie chcesz ich skanować, zaznacz pole wyboru Tylko skanuj pliki pod kątem etykiet poufności firmy Microsoft Information Protection i ostrzeżeń inspekcji zawartości z tej dzierżawy.

  4. Po włączeniu usługi Microsoft Purview na Defender for Cloud Apps wszystkie nowe pliki dodane do połączonych aplikacji w chmurze zostaną przeskanowane pod kątem etykiet poufności.

  5. W ramach Defender for Cloud Apps można tworzyć nowe zasady, które automatycznie stosują etykiety poufności.

Limity integracji

Zwróć uwagę na następujące limity w przypadku korzystania z etykiet usługi Microsoft Purview z Defender for Cloud Apps.

Ograniczać Opis
Pliki z etykietami lub ochroną zastosowanymi poza Defender for Cloud Apps Niechronione etykiety zastosowane poza Defender for Cloud Apps można zastąpić Defender for Cloud Apps, ale nie można ich usunąć.

Defender for Cloud Apps nie można usunąć etykiet z ochroną plików, które zostały oznaczone poza Defender for Cloud Apps.

Aby skanować pliki z ochroną stosowaną poza aplikacjami usługi Defender for Cloud, przyznaj uprawnienia do inspekcji zawartości pod kątem chronionych plików.
Pliki oznaczone etykietą Defender for Cloud Apps Defender for Cloud Apps nie zastępuje etykiet plików, które zostały już oznaczone etykietami Defender for Cloud Apps.
Pliki chronione hasłem Defender for Cloud Apps nie może odczytywać etykiet w plikach chronionych hasłem.
Puste pliki Puste pliki nie są oznaczone etykietami Defender for Cloud Apps.
Biblioteki wymagające wyewidencjonowania Defender for Cloud Apps nie mogą oznaczać plików znajdujących się w bibliotekach skonfigurowanych pod kątem konieczności wyewidencjonowania.
Wymagania dotyczące zakresu Aby Defender for Cloud Apps rozpoznawać etykietę poufności, zakres etykiet w usłudze Purview musi być skonfigurowany dla co najmniej plików i wiadomości e-mail.

Uwaga

Microsoft Purview to główne rozwiązanie firmy Microsoft do obsługi usług etykietowania. Aby uzyskać więcej informacji, zobacz dokumentację usługi Microsoft Purview.

Jak zintegrować usługę Microsoft Purview z usługą Defender for Cloud Apps

Włączanie usługi Microsoft Purview

Wszystko, co musisz zrobić, aby zintegrować usługę Microsoft Purview z Defender for Cloud Apps, to zaznacz jedno pole wyboru. Włączenie automatycznego skanowania powoduje włączenie wyszukiwania etykiet poufności w usłudze Microsoft Purview w plikach platformy Microsoft 365 bez konieczności tworzenia zasad. Jeśli po jej włączeniu w środowisku chmury znajdują się pliki oznaczone etykietami poufności z usługi Microsoft Purview, zobaczysz je w Defender for Cloud Apps.

Aby umożliwić Defender for Cloud Apps skanowanie plików z włączoną inspekcją zawartości pod kątem etykiet poufności:

W portalu Microsoft Defender wybierz pozycję Ustawienia. Następnie wybierz pozycję Cloud Apps. Następnie przejdź do Information Protection —>Microsoft Information Protection.

  1. W obszarze Ustawienia Information Protection firmy Microsoft wybierz pozycję Automatycznie skanuj nowe pliki pod kątem etykiet poufności w witrynie Microsoft Information Protection i ostrzeżenia dotyczące inspekcji zawartości.

    Zrzut ekranu przedstawiający włączanie usługi Microsoft Purview.

Po włączeniu usługi Microsoft Purview będzie można wyświetlać pliki z etykietami poufności i filtrować je według etykiet w Defender for Cloud Apps. Po nawiązaniu połączenia Defender for Cloud Apps z aplikacją w chmurze będzie można używać funkcji integracji usługi Microsoft Purview do stosowania etykiet poufności z usługi Microsoft Purview (z szyfrowaniem lub bez) w Defender for Cloud Apps portal, dodając je bezpośrednio do plików lub konfigurując zasady plików w celu automatycznego stosowania etykiet poufności jako akcji ładu.

Uwaga

Automatyczne skanowanie nie skanuje istniejących plików, dopóki nie zostaną ponownie zmodyfikowane. Aby skanować istniejące pliki pod kątem etykiet poufności z usługi Microsoft Purview, musisz mieć co najmniej jedną zasadę plików obejmującą inspekcję zawartości. Jeśli nie masz żadnych, utwórz nowe zasady plików, usuń wszystkie wstępnie ustawione filtry w obszarze Metoda inspekcji wybierz pozycję Wbudowane DLP. W polu Inspekcja zawartości wybierz pozycję Dołącz pliki zgodne z wstępnie ustawionym wyrażeniem , wybierz dowolną wstępnie zdefiniowaną wartość, a następnie zapisz zasady. Umożliwia to inspekcję zawartości, która automatycznie wykrywa etykiety poufności z usługi Microsoft Purview.

Ustawianie etykiet wewnętrznych i zewnętrznych

Domyślnie Defender for Cloud Apps skanuje etykiety poufności zdefiniowane w organizacji i zewnętrzne zdefiniowane przez inne organizacje.

Aby zignorować etykiety poufności ustawione na zewnątrz organizacji, przejdź do portalu Microsoft Defender i wybierz pozycję Ustawienia. Następnie wybierz pozycję Cloud Apps. W obszarze Information Protection wybierz pozycję Microsoft Information Protection. Następnie wybierz pozycję Skanuj tylko pliki dla etykiet poufności firmy Microsoft Information Protection i ostrzeżeń inspekcji zawartości z tej dzierżawy.

Ignoruj etykiety.

Stosowanie etykiet bezpośrednio do plików

  1. W portalu Microsoft Defender w obszarze Aplikacje w chmurze wybierz pozycję Pliki. Następnie wybierz plik, który chcesz chronić. Wybierz trzy kropki na końcu wiersza pliku, a następnie wybierz pozycję Zastosuj etykietę poufności.

    Zastosuj etykietę poufności.

    Uwaga

    Defender for Cloud Apps można zastosować usługę Microsoft Purview do plików o rozmiarze do 30 MB.

  2. Wybierz jedną z etykiet poufności organizacji, która ma zostać zastosowana do pliku, a następnie wybierz pozycję Zastosuj.

    Etykieta poufności ochrony.

  3. Po wybraniu etykiety poufności i wybraniu pozycji Zastosuj Defender for Cloud Apps zastosuje etykietę poufności do oryginalnego pliku.

  4. Etykiety poufności można również usunąć, wybierając opcję Usuń etykietę poufności .

Aby uzyskać więcej informacji o tym, jak Defender for Cloud Apps i Microsoft Purview współpracują ze sobą, zobacz Automatyczne stosowanie etykiet poufności w usłudze Microsoft Purview.

Automatyczne etykietowanie plików

Etykiety poufności można automatycznie stosować do plików, tworząc zasady plików i ustawiając ustawienie Zastosuj etykietę poufności jako akcję ładu.

Postępuj zgodnie z tymi instrukcjami, aby utworzyć zasady dotyczące plików:

  1. Utwórz zasady plików.

  2. Ustaw zasady tak, aby zawierały typ pliku, który chcesz wykryć. Na przykład wybierz wszystkie pliki, w których poziom dostępu nie jest równy wewnętrzne i gdzie jednostka organizacyjna właściciela jest równa twojej drużynie finansowej.

  3. W obszarze Akcje ładu dla odpowiedniej aplikacji wybierz pozycję Zastosuj etykietę poufności , a następnie wybierz typ etykiety.

    Zastosuj etykietę.

Uwaga

  • Możliwość zastosowania etykiety poufności jest zaawansowaną możliwością. Aby chronić klientów przed błędnym stosowaniem etykiety do dużej liczby plików, jako środek ostrożności istnieje dzienny limit 100 akcji Zastosuj etykietę na aplikację na dzierżawę. Po osiągnięciu dziennego limitu akcja zastosuj etykietę zostanie tymczasowo wstrzymana i będzie kontynuowana automatycznie następnego dnia (po godzinie 12:00 CZASU UTC).
  • Po wyłączeniu zasad wszystkie oczekujące zadania etykietowania dla tych zasad są zawieszone.
  • W konfiguracji etykiety uprawnienia muszą być przypisane do każdego uwierzytelnionego użytkownika lub wszystkich użytkowników w organizacji, aby Defender for Cloud Apps odczytywać informacje o etykietach.

Kontrola ekspozycji pliku

  1. Załóżmy na przykład, że następujący dokument został oznaczony etykietą poufności usługi Microsoft Purview:

    Przykładowy ekran usługi Microsoft Purview.

  2. Ten dokument można zobaczyć w Defender for Cloud Apps, filtrując etykietę poufności dla usługi Microsoft Purview na stronie Pliki.

    Defender for Cloud Apps w porównaniu z usługą Microsoft Purview.

  3. Więcej informacji na temat tych plików i ich etykiet poufności można uzyskać w szufladzie plików. Wystarczy wybrać odpowiedni plik na stronie Pliki i sprawdzić, czy ma etykietę poufności.

    Szuflada pliku.

  4. Następnie możesz utworzyć zasady plików w Defender for Cloud Apps, aby kontrolować pliki, które są niewłaściwie udostępniane, oraz znajdować pliki oznaczone etykietami i ostatnio zmodyfikowane.

  • Można utworzyć zasady, które automatycznie stosują etykietę poufności do określonych plików.
  • Można również wyzwalać alerty dotyczące działań związanych z klasyfikacją plików.

Uwaga

Gdy etykiety poufności są wyłączone w pliku, etykiety wyłączone są wyświetlane jako wyłączone w Defender for Cloud Apps. Usunięte etykiety nie są wyświetlane.

Przykładowe zasady — poufne dane udostępniane zewnętrznie w usłudze Box:

  1. Utwórz zasady plików.

  2. Ustaw nazwę, ważność i kategorię zasad.

  3. Dodaj następujące filtry, aby znaleźć wszystkie poufne dane udostępniane zewnętrznie w usłudze Box:

    Zasady poufności.

Przykładowe zasady — ograniczone dane, które zostały ostatnio zmodyfikowane poza folderem Dane klienta w programie SharePoint:

  1. Utwórz zasady plików.

  2. Ustaw nazwę, ważność i kategorię zasad.

  3. Dodaj następujące filtry, aby znaleźć wszystkie ostatnio zmodyfikowane pliki z ograniczeniami, z wyłączeniem folderu Dane klienta w opcji wyboru folderu:

    Zasady danych z ograniczeniami.

Możesz również ustawić alerty, powiadomienia użytkownika lub podjąć natychmiastowe działania dla tych zasad. Dowiedz się więcej o akcjach ładu.

Dowiedz się więcej o usłudze Microsoft Purview.

Następne kroki

Kontrolowanie aplikacji w chmurze za pomocą zasad

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.