Поделиться через

Безопасность и соответствие требованиям

  • Статья

Microsoft SharePoint Embedded предоставляет более быстрый способ создания безопасных и соответствующих требованиям документов, хранящихся в различных приложениях. SharePoint Embedded использует комплексные решения корпорации Майкрософт по обеспечению соответствия требованиям и управлению данными, чтобы помочь организациям управлять рисками, защищать и управлять конфиденциальными данными, а также реагировать на нормативные требования. Решения для обеспечения безопасности и соответствия требованиям работают на платформе SharePoint Embedded так же, как и в настоящее время на платформе Microsoft 365 (Microsoft 365), поэтому данные хранятся в безопасном и защищенном виде, который соответствует бизнес-политикам клиентов и политикам соответствия требованиям, а администраторы SharePoint и администраторы SharePoint легко применяют критические политики безопасности и соответствия к содержимому.

В этой статье описаны политики безопасности и соответствия требованиям, поддерживаемые сегодня для содержимого, размещенного на платформе SharePoint Embedded, а также их возможности и ограничения.

Так как SharePoint Embedded по умолчанию не имеет пользовательского интерфейса, некоторые сценарии соответствия требованиям, требующие взаимодействия с пользователем, изначально не поддерживаются. Собственное приложение, которое управляет контейнером, может выбрать поддержку этих сценариев и обеспечить оптимальный интерфейс для конечных пользователей с помощью существующей API Graph Майкрософт.

Политики соответствия требованиям с помощью Microsoft Purview

В настоящее время SharePoint Embedded поддерживает следующие функции соответствия требованиям в Microsoft Purview. Чтобы получить сведения о контейнере, к которому необходимо применить политику, можно выполнить следующие действия.

  1. Просмотрите список зарегистрированных приложений SharePoint Embedded, зарегистрированных в указанном клиенте:

    Get-SPOApplication

  2. Получение списка контейнеров в приложении SharePoint Embedded путем предоставления идентификатора приложения, возвращенного на шаге 1.

    Get-SPOContainer -OwningApplicationId <OwningApplicationID>

  3. Получите сведения о контейнере, включая ContainerSiteURL, указав Идентификатор контейнера, возвращенный на шаге 2.

    Get-SPOContainer -OwningApplicationId <ApplicationID> -Identity<ContainerID>

Сведения о том, как получить ContainerSiteURL , чтобы задать различные политики соответствия, описанные в этой статье, на уровне контейнера, см. в разделе Get-SPOContainer.

Аудит

Возможности аудита, предоставляемые SharePoint Embedded, зеркало существующие функции аудита, поддерживаемые в настоящее время в SharePoint. Все операции пользователей и администраторов, выполняемые в различных приложениях, размещенных в SharePoint Embedded, записываются, записываются и сохраняются в едином журнале аудита вашей организации. Дополнительные сведения об аудите см. в статье Решения аудита в Microsoft Purview.

В дополнение к существующим свойствам файла события аудита, связанные с SharePoint Embedded, регистрируются со следующими дополнительными данными, чтобы отфильтровать результаты поиска по аудиту, чтобы изолировать соответствующее содержимое SharePoint Embedded:

  • ContainerInstanceId
  • ContainerTypeId

События аудита

Обнаружение электронных данных

Администраторы соответствия требованиям могут использовать средства обнаружения электронных данных в Microsoft Purview для поиска, хранения и экспорта содержимого, размещенного на платформе SharePoint Embedded. Дополнительные сведения об обнаружении электронных данных см. в разделе решения Microsoft Purview eDiscovery.

Чтобы выполнить поиск eDiscovery для всего содержимого SharePoint Embedded, администраторы должны выбрать "Все" Сайты SharePoint при настройке поиска eDiscovery в Microsoft Purview. Это позволяет выполнять поиск содержимого, хранящегося на всех сайтах SharePoint и во всех контейнерах SharePoint Embedded.

Поиск eDiscovery

Чтобы ограничить поиск электронных данных одним или несколькими контейнерами SharePoint Embedded, администраторы могут "Выбрать сайты" в рабочей нагрузке "Сайты SharePoint" и указать нужный URL-адрес контейнера.

Выбор сайтов в поиске eDiscovery

Управление жизненным циклом данных (DLM)

SharePoint Embedded поддерживает хранение и удерживает политики для содержимого, хранящегося в своих приложениях, с помощью Портал соответствия требованиям Microsoft Purview. Дополнительные сведения о DLM см. в статье Сведения о Управление жизненным циклом данных Microsoft Purview.

Существующая политика хранения применяется ко всем контейнерам SharePoint Embedded, если политика настроена для "Все сайты". Аналогичным образом при создании новой политики хранения и удержания для рабочей нагрузки "Все сайты SharePoint" политика автоматически применяется ко всем сайтам SharePoint и всем контейнерам в SharePoint Embedded.

политика хранения

Чтобы выборочно применить политику к одному или нескольким контейнерам SharePoint Embedded, скопируйте URL-адрес контейнера и настройте политику так, чтобы она применялась выборочно только для этих контейнеров.

принудительное применение политики хранения

Так как SharePoint Embedded не имеет встроенного пользовательского интерфейса, сценарии DLM, требующие взаимодействия с пользователем, изначально не поддерживаются. Например, если пользователь пытается применить метку хранения к контейнеру с помощью приложения SharePoint Embedded, приложение, управляющее доступом к контейнеру, должно предоставить эту функцию. В таких случаях можно использовать API Graph для функций DLM.

Защита от потери данных (DLP)

С помощью Microsoft Purview администраторы могут определять, отслеживать и автоматически защищать конфиденциальные элементы, хранящиеся в приложениях, с помощью SharePoint Embedded. Подробная информация приведена в статье Сведения о защите от потери данных.

Как и политики хранения, политики защиты от потери данных можно применить ко всем сайтам SharePoint и контейнерам SharePoint Embedded, выбрав настройку политики на всех сайтах.

Политика защиты от потери данных

Администраторы также могут ограничить применение политики защиты от потери данных определенными контейнерами SharePoint Embedded, указав соответствующие URL-адреса контейнеров во время настройки политики.

Настройка политики защиты от потери данных

В некоторых сценариях, поддерживаемых защитой от потери данных, требуется взаимодействие с пользователем, которое изначально не поддерживается SharePoint Embedded. Например, в зависимости от конфигурации политика защиты от потери данных, которая предотвращает внешний общий доступ, может позволить конечным пользователям предоставить бизнес-обоснование для переопределения политики. Клиентское приложение, которое отображает этот элемент файла с флагом DLP, должно поддерживать такое взаимодействие с пользователем.

Советы по политикам отображаются сегодня для файлов, размещенных в SharePoint, чтобы пользователи были проинформированы об элементах файлов, помеченных защитой от потери данных, и соответствующих ограничениях. Аналогичным образом, чтобы советы по политикам отображались для файлов, размещенных в SharePoint Embedded, клиентское приложение может предоставить дополнительную поддержку, используя для этой цели существующие API Graph.

Функции безопасности

Метки конфиденциальности в контейнерах

Глобальные администраторы и администраторы SharePoint могут устанавливать и удалять метки конфиденциальности в контейнере SharePoint Embedded с помощью только что созданного командлета SharePoint PowerShell:

Set-SPOContainer -Identity <ContainerID/ContainerSiteURL> -SensitivityLabel <SensitivityLabelGUID>

Дополнительные сведения о настройке меток конфиденциальности см. в статье Сведения о метках конфиденциальности.

Политика блокировки скачивания

Политика блокировки загрузки позволяет администратору SharePoint или глобальному администратору блокировать скачивание файлов из контейнеров SharePoint Embedded с помощью следующего командлета SharePoint PowerShell.

Set-SPOSite -Identity <ContainerSiteURL> -BlockDownloadPolicy $true

Для применения этой политики требуется лицензия SharePoint Advanced Management (SAM). Ознакомьтесь с полной документацией по расширенным возможностям в статье Блокировать политику скачивания для сайтов SharePoint и OneDrive.

Политика условного доступа

SharePoint Embedded поддерживает базовые конфигурации политики условного доступа, такие как:

  • AllowFullAccess: предоставляет полный доступ из классических приложений, мобильных приложений и Интернета.
  • AllowLimitedAccess: разрешен ограниченный доступ только через Интернет.
  • BlockAccess: блокирует доступ.

Эти параметры доступны с помощью следующего командлета PowerShell. Также AuthorizationContext будет поддерживаться в ближайшее время.

Set-SPOContainer -Identity <ContainerSiteURL> -ConditionalAccessPolicy <SPOConditionalAccessPolicyType>

Дополнительные сведения о политике условного доступа см. в статье Управление доступом с неуправляемых устройств.