Управление внешним доступом к ресурсам в идентификаторе Microsoft Entra с помощью меток конфиденциальности

Используйте метки конфиденциальности для управления доступом к содержимому в приложениях Office 365, а также в контейнерах, таких как Microsoft Teams, Группы Microsoft 365 и сайты SharePoint. Они защищают содержимое, не препятствуя совместной работе пользователей. Используйте метки конфиденциальности для отправки содержимого на уровне организации на устройствах, приложениях и службах, а также для защиты данных. Метки конфиденциальности помогают организациям соответствовать политикам соответствия требованиям и безопасности.

См. сведения о метках конфиденциальности

Подготовка к работе

Эта статья является номером 8 в серии из 10 статей. Мы рекомендуем ознакомиться с статьями по порядку. Перейдите к разделу "Дальнейшие действия ", чтобы просмотреть всю серию.

Назначение классификации и применение параметров защиты

Вы можете классифицировать содержимое без добавления параметров защиты. Назначение классификации содержимого остается в содержимом во время его использования и общего доступа. Классификация создает отчеты об использовании с данными о действиях конфиденциального содержимого.

Применять параметры защиты, такие как шифрование, водяные знаки и ограничения доступа. Например, пользователи применяют конфиденциальную метку к документу или электронной почте. Метка может зашифровать содержимое и добавить конфиденциальный водяной знак. Кроме того, можно применить метку конфиденциальности к контейнеру, например сайту SharePoint, и помочь управлять доступом внешних пользователей.

Подробнее:

• Ограничение доступа к содержимому с помощью меток конфиденциальности для применения шифрования
• Использование меток конфиденциальности для защиты содержимого в Microsoft Teams, Группы Microsoft 365 и сайтах SharePoint

Метки конфиденциальности в контейнерах могут ограничивать доступ к контейнеру, но содержимое в контейнере не наследует метку. Например, пользователь принимает содержимое из защищенного сайта, загружает его, а затем предоставляет общий доступ без ограничений, если содержимое не имеет метки конфиденциальности.

Примечание.

Чтобы применить метки конфиденциальности, пользователи войдите в рабочую или учебную учетную запись Майкрософт.

Разрешения для создания уровней конфиденциальности и управления ими

Участникам группы, которым необходимо создать метки конфиденциальности, требуются разрешения:

• Портал Microsoft 365 Defender,
• Портал соответствия требованиям Microsoft Purview или
• Портал соответствия требованиям Microsoft Purview

По умолчанию глобальные администраторы имеют доступ к центрам администрирования и могут предоставлять доступ без предоставления разрешений администратора клиента. Для этого делегированного ограниченного доступа администратора добавьте пользователей в следующие группы ролей:

• Администратор данных соответствия требованиям,
• Администратор соответствия требованиям или
• Администратор безопасности

Стратегия меток конфиденциальности

При планировании управления внешним доступом к содержимому рассмотрите содержимое, контейнеры, электронную почту и многое другое.

Высокий, средний или низкий уровень влияния на бизнес

Чтобы определить высокий уровень влияния на бизнес (HBI), влияние среднего бизнеса (MBI) или низкое влияние на бизнес (LBI) для данных, сайтов и групп, рассмотрите влияние на вашу организацию, если неправильные типы контента являются общими.

• Кредитная карта, паспорт, номера национальных и региональных идентификаторов
  • Автоматическое применение метки конфиденциальности к содержимому
• Содержимое, созданное корпоративными сотрудниками: соответствие, финансы, исполнительный и т. д.
• Стратегические или финансовые данные в библиотеках или сайтах.

Рассмотрим категории контента, к которым внешние пользователи не могут получить доступ, например контейнеры и зашифрованное содержимое. Вы можете использовать метки конфиденциальности, принудительное шифрование или использовать ограничения доступа к контейнерам.

Электронная почта и содержимое

Метки конфиденциальности можно применять автоматически или вручную к содержимому.

См. автоматическое применение метки конфиденциальности к содержимому

Метки конфиденциальности в электронной почте и содержимом

Метка конфиденциальности в документе или электронной почте настраивается, очищает текст и сохраняется.

• Настраиваемый — создание меток для организации и определение результирующего действия
• Чистый текст — включается в метаданные и доступен для чтения приложениями и службами.
• Сохраняемость— гарантирует, что метка и связанные защиты остаются с содержимым и помогают применять политики.

Примечание.

Каждый элемент содержимого может применять одну метку конфиденциальности.

Контейнеры

Определите критерии доступа, если Группы Microsoft 365, Teams или сайты SharePoint ограничены метками конфиденциальности. Содержимое можно пометить в контейнерах или использовать автоматическую метку для файлов в SharePoint, OneDrive и т. д.

Дополнительные сведения. Начало работы с метками конфиденциальности

Метки конфиденциальности в контейнерах

Метки конфиденциальности можно применять к контейнерам, таким как Группы Microsoft 365, сайты Microsoft Teams и SharePoint. Метки конфиденциальности в поддерживаемом контейнере применяют параметры классификации и защиты к подключенном сайту или группе. Метки конфиденциальности в этих контейнерах могут управлять следующими способами:

• Конфиденциальность — выберите пользователей, которые могут видеть сайт

• Доступ к внешним пользователям— определите, могут ли владельцы групп добавлять гостей в группу.

• Доступ с неуправляемых устройств — определите, обращаются ли неуправляемые устройства к содержимому

  

Метки конфиденциальности, применяемые к контейнеру, например сайт SharePoint, не применяются к содержимому в контейнере; они управляют доступом к содержимому в контейнере. Метки можно применять автоматически к содержимому в контейнере. Чтобы пользователи вручную применяли метки к содержимому, включите метки конфиденциальности для файлов Office в SharePoint и OneDrive.

Подробнее:

• Включите метки конфиденциальности для файлов Office в SharePoint и OneDrive.
• Использование меток конфиденциальности для защиты содержимого в Microsoft Teams, Группы Microsoft 365 и сайтах SharePoint
• Назначение меток конфиденциальности группам Microsoft 365 в идентификаторе Microsoft Entra

Реализация меток конфиденциальности

После определения использования меток конфиденциальности ознакомьтесь со следующей документацией по реализации.

• Начало работы с метками конфиденциальности
• Создание и публикация меток конфиденциальности
• Ограничение доступа к содержимому с помощью меток конфиденциальности для применения шифрования

Следующие шаги

Используйте следующую серию статей, чтобы узнать о защите внешнего доступа к ресурсам. Рекомендуется следовать указанному заказу.

1. Определение состояния безопасности для внешнего доступа с помощью идентификатора Microsoft Entra

2. Обнаружение текущего состояния внешней совместной работы в организации

3. Создание плана безопасности для внешнего доступа к ресурсам

4. Безопасный внешний доступ с помощью групп в идентификаторе Microsoft Entra и Microsoft 365

5. Переход к управляемой совместной работе с Microsoft Entra B2B

6. Управление внешним доступом с помощью управления правами Microsoft Entra

7. Управление внешним доступом к ресурсам с помощью политик условного доступа

8. Управление внешним доступом к ресурсам в идентификаторе Microsoft Entra с помощью меток конфиденциальности (здесь)

9. Защита внешнего доступа к Microsoft Teams, SharePoint и OneDrive для бизнеса с помощью идентификатора Microsoft Entra

10. Преобразование локальных гостевых учетных записей в гостевые учетные записи Microsoft Entra B2B