Konfigurowanie zespołów z ochroną danych wysoce poufnych

Niektóre funkcje w tym artykule wymagają programu Microsoft Syntex — SharePoint Advanced Management

W tym artykule przyjrzymy się konfigurowaniu zespołu pod kątem wysoce wrażliwego poziomu ochrony. Przed wykonaniem kroków opisanych w tym artykule upewnij się, że wykonano kroki opisane w temacie Wdrażanie zespołów z ochroną punktu odniesienia .

Dla tej warstwy ochrony tworzymy etykietę poufności, która może być używana w całej organizacji dla wysoce poufnych zespołów i plików.

Warstwa wysoce wrażliwa oferuje następujące dodatkowe zabezpieczenia w warstwie odniesienia:

• Etykieta poufności dla zespołu, która umożliwia włączanie lub wyłączanie udostępniania gości oraz wymuszanie zasad dostępu warunkowego w celu uzyskania dostępu do witryny programu SharePoint.
• Etykieta jest również używana jako etykieta domyślna dla plików i szyfruje pliki, do których jest stosowana. Tylko członkowie określonej organizacji i goście będą mogli odszyfrować pliki korzystające z tej etykiety.
• Tylko właściciele zespołów mogą tworzyć kanały prywatne.
• Dostęp do witryny jest ograniczony do członków zespołu.

Pokaz wideo

Obejrzyj ten film wideo, aby zapoznać się z procedurami opisanymi w tym artykule.

Udostępnianie gościa

W zależności od charakteru firmy możesz lub nie chcesz włączać udostępniania gości dla zespołów, które zawierają wysoce poufne dane. Jeśli planujesz współpracę z osobami spoza organizacji w zespole, zalecamy włączenie udostępniania gości. Platforma Microsoft 365 oferuje różne funkcje zabezpieczeń i zgodności, które ułatwiają bezpieczne udostępnianie poufnych zawartości. Jest to zazwyczaj bezpieczniejsza opcja niż wysyłanie zawartości pocztą e-mail bezpośrednio do osób spoza organizacji.

Aby uzyskać szczegółowe informacje na temat bezpiecznego udostępniania gościom, zobacz następujące zasoby:

• Ograniczanie przypadkowego narażenia na pliki podczas udostępniania osobom spoza organizacji
• Tworzenie bezpiecznego środowiska udostępniania gościa

Aby zezwolić na udostępnianie gościa lub zablokować go, używamy kontrolek dostępnych w etykietach poufności.

Kontekst uwierzytelniania

Użyjemy kontekstu uwierzytelniania Microsoft Entra , aby wymusić bardziej rygorystyczne warunki dostępu, gdy użytkownicy uzyskują dostęp do witryn programu SharePoint.

Najpierw dodaj kontekst uwierzytelniania w identyfikatorze Microsoft Entra.

Aby dodać kontekst uwierzytelniania

1. W obszarze Microsoft Entra Conditional Access (Dostęp warunkowy w usłudze Microsoft Entra) w obszarze Zarządzanie wybierz pozycję Konteksty uwierzytelniania.

2. Wybierz pozycję Nowy kontekst uwierzytelniania.

3. Wpisz nazwę i opis, a następnie zaznacz pole wyboru Publikuj w aplikacjach .

   

4. Wybierz Zapisz.

Następnie utwórz zasady dostępu warunkowego, które mają zastosowanie do tego kontekstu uwierzytelniania i które wymagają, aby goście korzystali z uwierzytelniania wieloskładnikowego podczas uzyskiwania dostępu do programu SharePoint.

Aby utworzyć zasady dostępu warunkowego

1. W obszarze Dostęp warunkowy w usłudze Microsoft Entra wybierz pozycję Utwórz nowe zasady.

2. Wpisz nazwę zasad.

3. Na karcie Użytkownicy wybierz opcję Wybierz użytkowników i grupy , a następnie zaznacz pole wyboru Gość lub użytkownicy zewnętrzni .

4. Z listy rozwijanej wybierz pozycję Użytkownicy-goście współpracy B2B .

5. Na karcie Zasoby docelowe w obszarze Wybierz, do czego mają zastosowanie te zasady, wybierz pozycję Kontekst uwierzytelniania i zaznacz pole wyboru dla utworzonego kontekstu uwierzytelniania.

   

6. Na karcie Udzielanie wybierz pozycję Wymagaj uwierzytelniania wieloskładnikowego, a następnie wybierz pozycję Wybierz.

7. Wybierz, czy chcesz włączyć zasady, a następnie wybierz pozycję Utwórz.

Wskażemy kontekst uwierzytelniania w etykiecie poufności.

Etykiety wrażliwości

W przypadku wysoce wrażliwego poziomu ochrony używamy etykiety poufności do klasyfikowania zespołu. Ta etykieta służy również do klasyfikowania i szyfrowania poszczególnych plików w zespole. (Może być również używana w plikach w innych lokalizacjach plików, takich jak SharePoint lub OneDrive).

W pierwszym kroku należy włączyć etykiety poufności dla usługi Teams. Aby uzyskać szczegółowe informacje , zobacz Używanie etykiet poufności w celu ochrony zawartości w aplikacjach Microsoft Teams, grupach platformy Microsoft 365 i witrynach programu SharePoint .

Jeśli masz już etykiety poufności wdrożone w organizacji, zastanów się, jak ta etykieta pasuje do ogólnej strategii etykiet. W razie potrzeby możesz zmienić nazwę lub ustawienia, aby spełnić potrzeby organizacji.

Po włączeniu etykiet poufności dla usługi Teams następnym krokiem jest utworzenie etykiety.

Aby utworzyć etykietę poufności

1. Otwórz portal zgodności usługi Microsoft Purview.
2. W obszarze Rozwiązania rozwiń węzeł Ochrona informacji.
3. Wybierz pozycję Utwórz etykietę.
4. Nadaj etykiecie nazwę. Sugerujemy wysoce wrażliwe, ale możesz wybrać inną nazwę, jeśli ta jest już używana.
5. Dodaj nazwę wyświetlaną i opis, a następnie wybierz pozycję Dalej.
6. Na stronie Definiowanie zakresu dla tej etykiety wybierz pozycję Elementy, Pliki, Wiadomości e-mail i Grupy & witrynach. Wyczyść pole wyboru Spotkania .
7. Wybierz pozycję Dalej.
8. Na stronie Wybieranie ustawień ochrony plików i wiadomości e-mail wybierz pozycję Zastosuj lub usuń szyfrowanie, a następnie wybierz pozycję Dalej.
9. Na stronie Szyfrowanie wybierz pozycję Konfiguruj ustawienia szyfrowania.
10. W obszarze Przypisywanie uprawnień do określonych użytkowników i grup wybierz pozycję Przypisz uprawnienia.
11. Wybierz pozycję Dodaj wszystkich użytkowników i grupy w organizacji.
12. Jeśli są goście, którzy powinni mieć uprawnienia do odszyfrowywania plików, wybierz pozycję Dodaj użytkowników lub grupy i dodaj je.
13. Wybierz pozycję Zapisz, a następnie wybierz pozycję Dalej.
14. Na stronie Automatyczne etykietowanie plików i wiadomości e-mail wybierz pozycję Dalej.
15. Na stronie Definiowanie ustawień ochrony dla grup i witryn wybierz pozycję Prywatność i dostęp użytkowników zewnętrznych oraz Udostępnianie zewnętrzne i Dostęp warunkowy , a następnie wybierz pozycję Dalej.
16. Na stronie Definiowanie ustawień prywatności i dostępu użytkowników zewnętrznych w obszarze Prywatność wybierz opcję Prywatny .
17. Jeśli chcesz zezwolić na dostęp gościa, w obszarze Dostęp użytkowników zewnętrznych wybierz pozycję Zezwalaj właścicielom grupy platformy Microsoft 365 na dodawanie osób spoza organizacji do grupy jako gości.
18. Wybierz pozycję Dalej.
19. Na stronie Definiowanie ustawień udostępniania zewnętrznego i dostępu warunkowego wybierz pozycję Kontroluj udostępnianie zewnętrzne z witryn programu SharePoint z etykietą.
20. W obszarze Zawartość można udostępniać, wybierz pozycję Nowi i istniejący goście , jeśli zezwalasz na dostęp gościa lub tylko osoby w organizacji, jeśli nie.
21. Wybierz pozycję Użyj dostępu warunkowego w usłudze Microsoft Entra, aby chronić witryny programu SharePoint z etykietą.
22. Wybierz opcję Wybierz istniejący kontekst uwierzytelniania , a następnie wybierz kontekst uwierzytelniania utworzony z listy rozwijanej.
23. Wybierz pozycję Dalej.
24. Na stronie Automatyczne etykietowanie elementów zawartości danych schematyzowanych wybierz pozycję Dalej.
25. Wybierz pozycję Utwórz etykietę, a następnie wybierz pozycję Gotowe.

Po utworzeniu etykiety musisz opublikować ją dla użytkowników, którzy będą z niej korzystać. W celu ochrony poufnej udostępniamy etykietę wszystkim użytkownikom. Etykietę można opublikować w portalu zgodności usługi Microsoft Purview na stronie Zasady etykiet w obszarze Ochrona informacji. Jeśli masz istniejące zasady, które mają zastosowanie do wszystkich użytkowników, dodaj tę etykietę do tych zasad. Jeśli musisz utworzyć nowe zasady, zobacz Publikowanie etykiet poufności przez utworzenie zasad etykiet.

Ustawienia usługi Teams

Dalsza konfiguracja wysoce wrażliwego scenariusza odbywa się w samym zespole i w witrynie programu SharePoint skojarzonej z zespołem, więc następnym krokiem jest utworzenie zespołu.

Utworzymy zespół w centrum administracyjnym usługi Teams.

Aby utworzyć zespół na potrzeby wysoce poufnych informacji

1. W centrum administracyjnym usługi Teams rozwiń węzeł Teams i wybierz pozycję Zarządzaj zespołami.
2. Wybierz opcję Dodaj.
3. Wpisz nazwę i opis zespołu.
4. Dodaj co najmniej jednego właściciela dla zespołu. (Zachowaj siebie jako właściciela, aby można było wybrać domyślną etykietę poufności dla plików poniżej).
5. Wybierz etykietę poufności utworzoną dla wysoce poufnych informacji z listy rozwijanej Poufność .
6. Wybierz pozycję Zastosuj.

Ustawienia kanału prywatnego

W tej warstwie ograniczamy tworzenie kanałów prywatnych do właścicieli zespołów.

Aby ograniczyć tworzenie kanału prywatnego

1. W centrum administracyjnym usługi Teams wybierz utworzony zespół, a następnie wybierz pozycję Edytuj.
2. Rozwiń węzeł Uprawnienia komunikatu.
3. Ustaw opcję Dodaj i edytuj kanały prywatne na wartość Wyłączone.
4. Wybierz pozycję Zastosuj.

Ustawienia kanału udostępnionego

Kanały udostępnione nie mają ustawień na poziomie zespołu. Ustawienia kanału udostępnionego skonfigurowane w centrum administracyjnym usługi Teams i centrum administracyjnym usługi Microsoft Entra dotyczą poszczególnych użytkowników.

Ustawienia programu SharePoint

Za każdym razem, gdy tworzysz nowy zespół z wysoce wrażliwą etykietą, w programie SharePoint należy wykonać dwa kroki:

• Ograniczanie dostępu do witryny tylko członkom zespołu
• Wybierz domyślną etykietę poufności dla biblioteki dokumentów połączonej z zespołem.

Domyślna etykieta poufności musi być skonfigurowana w samej witrynie i nie można jej skonfigurować z poziomu centrum administracyjnego programu SharePoint ani programu PowerShell.

Ograniczanie dostępu witryny do członków zespołu

Za każdym razem, gdy tworzysz nowy zespół z wysoce wrażliwą etykietą, musisz włączyć ograniczenie dostępu do witryny w skojarzonej witrynie programu SharePoint. Uniemożliwia to użytkownikom spoza zespołu dostęp do witryny lub jej zawartości. (Wymaga to licencji Microsoft Syntex — SharePoint Advanced Management ).

Jeśli wcześniej nie było używane ograniczenie dostępu do witryny, musisz włączyć je dla swojej organizacji.

1. W centrum administracyjnym programu SharePoint rozwiń węzeł Zasady i wybierz pozycję Kontrola dostępu.
2. Wybierz pozycję Ograniczenie dostępu do witryny.
3. Wybierz pozycję Zezwalaj na ograniczenie dostępu , a następnie wybierz pozycję Zapisz

Może to potrwać do godziny, aby to wejść w życie.

Aby włączyć ograniczenie dostępu do witryny dla witryny

1. W centrum administracyjnym programu SharePoint rozwiń węzeł Witryny i wybierz pozycję Aktywne witryny.
2. Wybierz witrynę, którą chcesz zarządzać.
3. Na karcie Ustawienia wybierz pozycję Edytuj w sekcji Ograniczony dostęp do witryny .
4. Wybierz pole Ogranicz dostęp do tej witryny i wybierz pozycję Zapisz.

Wybieranie domyślnej etykiety poufności dla plików

Użyjemy etykiety poufności utworzonej jako domyślnej etykiety poufności dla biblioteki dokumentów witryny połączonej z usługą Teams. Spowoduje to automatyczne zastosowanie etykiety wysoce wrażliwej do wszystkich nowych plików zgodnych z etykietami, które są przekazywane do biblioteki, szyfrując je. (Wymaga to licencji Microsoft Syntex — SharePoint Advanced Management ).

Aby wykonać to zadanie, musisz być właścicielem zespołu.

Aby ustawić domyślną etykietę poufności dla biblioteki dokumentów

1. W usłudze Teams przejdź do kanału Ogólne zespołu, który chcesz zaktualizować.

2. Na pasku narzędzi dla zespołu wybierz pozycję Pliki.

3. Wybierz pozycję Otwórz w programie SharePoint.

4. W witrynie programu SharePoint otwórz pozycję Ustawienia , a następnie wybierz pozycję Ustawienia biblioteki.

5. W okienku wysuwanym Ustawienia biblioteki wybierz pozycję Domyślne etykiety poufności, a następnie wybierz etykietę wysoce wrażliwą z listy rozwijanej.

Aby uzyskać więcej informacji na temat działania domyślnych etykiet bibliotek, zobacz Konfigurowanie domyślnej etykiety poufności dla biblioteki dokumentów programu SharePoint i Dodawanie etykiety poufności do biblioteki dokumentów programu SharePoint.

Zobacz też

Tworzenie i konfigurowanie etykiet poufności i ich zasad