Защита данных Microsoft 365 Copilot с помощью инструментов безопасности Microsoft 365

Завершено

Многие организации обеспокоены тем, что их пользователи разглашают внутренние сведения или персональные данные. Для решения этих проблем корпорация Майкрософт предоставляет мощные инструменты безопасности в своих экосистемах Microsoft 365 и Azure. Эти инструменты помогают организациям ужесточить выдачу разрешений и реализовать доступ по принципу "ровно столько, сколько необходимо". Политики и настройки, задаваемые администраторами в этих инструментах, используются для предотвращения чрезмерного раскрытия данных не только в Microsoft 365 и Azure, но и в Microsoft 365 Copilot. Администраторам следует проверить методы обеспечения безопасности своей организации, касающиеся разрешений, применения меток конфиденциальности и доступа к данным, чтобы предотвратить потенциальное чрезмерное распространение частных и конфиденциальных бизнес-данных.

Корпорация Майкрософт рекомендует использовать подход "достаточного доступа" для решения этой проблемы. При таком подходе каждый пользователь может получить доступ только к тем сведениям, которые необходимы для его работы. Этот подход предполагает строгий контроль разрешений, чтобы пользователи не могли получить доступ к документам, сайтам или данным, которые им не следует видеть.

Чтобы предотвратить чрезмерное распространение информации, организациям следует рассмотреть возможность реализации следующих рекомендаций:

• Проведите проверку доступа к сайтам, документам, электронной почте и другому контенту. Определите все ресурсы с чрезмерным доступом. Иметь владельцев данных инвентаризации сайтов SharePoint, библиотек документов, почтовых ящиков электронной почты и других ресурсов данных. Определите области, в которых разрешения пользователей шире, чем необходимо. Например, сайт SharePoint "Преимущества отдела кадров" будет виден всем сотрудникам, а не только группе отдела кадров.
• Ужесточить права доступа к ресурсам с чрезмерным доступом, чтобы доступ был только у авторизованных пользователей.. Используя пример из предыдущего пункта, ограничьте доступ к сайту "Преимущества HR" только для сотрудников отдела кадров. Аналогично, ограничьте доступ к конфиденциальным документам о планах развития продукта только для соответствующих менеджеров по продукту. Чтобы ограничить уязвимость, настройте внешний общий доступ и срок действия доступа к электронной почте и документам.
• Убедитесь, что ограничение доступа не мешает пользователям выполнять свою работу. Проведите опрос пользователей ресурсов с ограниченным доступом, чтобы убедиться, что у них по-прежнему есть доступ ко всем необходимым сведениям для выполнения их функций. Например, убедитесь, что отдел продаж по-прежнему может получить доступ к контактным данным клиента и спецификациям проекта, даже если компания ограничила данные отдела кадров.
• Проверьте функцию поиска, чтобы убедиться, что пользователи могут получить доступ только к сведениям, соответствующим их ролям. Выполняйте поиск по выборке документов, сайтов, электронных писем в рамках различных внутренних ролей. Убедитесь, что финансовый персонал не имеет доступа к данным отдела кадров. Убедитесь, что межведомственные группы сохраняют доступ к общим ресурсам проекта. Настройка разрешений — это итеративный процесс.
• Реализуйте средства расширенного управления Microsoft SharePoint. Как отмечалось в предыдущем обучении, SharePoint Advanced Management (SAM) включает в себя несколько средств, помогающих организациям предотвратить чрезмерное использование, в том числе:
  • Отчеты по управлению доступом к данным. В этих отчетах определяются сайты, содержащие потенциально избыточное или конфиденциальное содержимое. Эти отчеты также содержат аналитические сведения о лучших сайтах с избыточными разрешениями в вашей организации. Когда администраторы используют отчеты по управлению доступом к данным для идентификации этих сайтов, администраторы могут предпринять корректирующие действия, чтобы гарантировать, что конфиденциальные данные не получают доступ к неавторизованным пользователям. Такой упреждающий подход помогает организациям поддерживать безопасную среду данных и предотвращать случайные утечки данных.
  • Управление ограниченным доступом для SharePoint и OneDrive. Вы можете запретить обнаружение сайтов и содержимого на уровне сайта, включив политику Управления ограниченным доступом для сайтов SharePoint. Ограничение доступа к сайту разрешает доступ к содержимому только пользователям из указанной группы безопасности или Группы Microsoft 365. Вы также можете ограничить доступ к общему содержимому OneDrive пользователя только пользователям в группе безопасности с помощью политики Управления ограниченным доступом для OneDrive. После включения политики любой пользователь, который не входит в указанную группу безопасности, не сможет получить доступ к содержимому в этом OneDrive, даже если он ранее был им предоставлен общий доступ.
  • Проверка доступа к сайту. Это средство помогает администраторам регулярно проверять доступ к определенным сайтам SharePoint и управлять ими. Эта функция позволяет ИТ-администраторам делегировать процесс проверки отчетов по управлению доступом к данным владельцам сайтов, которые лучше всего понимают контекст и необходимость общего содержимого. Это средство полезно для решения проблем, связанных с избыточным доступом к данным, выявленным в отчетах по управлению доступом к данным. Если сайт помечен как потенциальный избыточный общий доступ, администраторы могут инициировать проверку доступа к сайту, предлагая владельцам сайтов проверять разрешения доступа и управлять ими.
  • Обнаружение ограниченного содержимого. Эта функция предотвращает обнаружение конфиденциального содержимого неавторизованными пользователями, повышая безопасность данных за счет ограничения видимости на основе разрешений пользователя. Эта функция ограничивает видимость определенного содержимого на основе разрешений пользователей, гарантируя, что только те, кто имеет соответствующие уровни доступа, смогут находить и просматривать конфиденциальную информацию. Обнаружение ограниченного содержимого важно для обеспечения безопасности и соответствия данным, так как помогает контролировать, кто может просматривать конфиденциальные данные и взаимодействовать с ними. Это средство ограничивает возможность обнаружения содержимого, что помогает организациям более безопасно управлять своими данными и предотвращать случайный общий доступ.

Средства Майкрософт для защиты данных

Microsoft 365, Microsoft 365 Copilot и подключенные службы используют политики и настройки, определяемые администраторами для ужесточения выдачи разрешений и реализации доступа по принципу "ровно столько, сколько необходимо". Они делают это с помощью плагинов и соединителей Microsoft Graph, чтобы предотвратить чрезмерное раскрытие данных. В следующем списке представлен краткий обзор некоторых инструментов, которые администраторы могут использовать для определения этих политик и параметров:

• Защита информации Microsoft Purview. Классифицируйте и, при необходимости, шифруйте документы и электронные письма на основе конфиденциальности. Вы можете создавать политики, ограничивающие доступ только авторизованным пользователям. Например, вы можете:

  • Классифицируйте документы или электронные письма, содержащие зарплаты сотрудников, как "строго конфиденциальные" и ограничьте доступ только для отдела кадров.
  • Классифицируйте данные клиента как "Конфиденциальные" и разрешайте доступ к ним только торговым представителям, назначенным этому клиенту.
  • Классифицируйте финансовые отчеты как "Только для внутреннего пользования" и автоматически шифруйте их, чтобы предотвратить передачу третьим лицам.
  • Классифицируйте коммуникации руководителей как "только для внутреннего просмотра" и ограничьте доступ участникам руководящего состава.

• Метки конфиденциальности Microsoft Purview. Классифицируйте и помечайте сайты, документы и электронные письма SharePoint с помощью тегов конфиденциальности, например "Конфиденциально" или "Только для внутреннего пользования". Вы можете создавать политики для ограничения доступа к ресурсам с определенными тегами конфиденциальности. Например, вы можете:

  • Помечайте отзывы о работе сотрудников тегом "Конфиденциально для сотрудников" и ограничьте доступ только для менеджеров по персоналу.
  • Помечайте данные клиентов тегом "Конфиденциальная информация клиента" и настройте политики, чтобы блокировать скачивание, печать или совместное использование элементов с этим тегом.
  • Пометьте данные клиента как "Конфиденциально" и настройте автоматическое шифрование файлов, к которым применена эта метка.
  • Пометьте таблицы бухгалтерского учета как "Финансовая конфиденциальность" и предоставьте доступ только участникам финансовой группы.

• Политики условного доступа Microsoft Entra. Предоставляйте или ограничивайте доступ к сведениям и службам Microsoft 365, включая SharePoint, в зависимости от таких условий, как местоположение пользователя, устройство или сеть. Эти политики полезны для ограничения доступа, когда система обнаруживает риски или когда учетные данные пользователя скомпрометированы. Например, вы можете:

  • Требуйте многофакторную проверку подлинности для доступа к сайтам SharePoint, содержащим финансовые данные, при удаленном подключении.
  • Блокируйте внешний общий доступ к сайтам, содержащим внутренние презентации, если только пользователи не подключаются через управляемые устройства в корпоративной сети.
  • Требуйте от управляемых устройств доступа к сайтам, содержащим собственный исходный код.
  • Блокируйте доступ к сайтам, содержащим пресс-релизы, до даты публичного объявления.
  • Блокируйте доступ или требуйте усиленную проверку подлинности с использованием дополнительного фактора в случаях, когда система обнаруживает невозможность поездки, что часто является признаком кражи учетных данных.

• Управление привилегированными пользователями Microsoft Entra (PIM). Обеспечьте своевременный доступ администратора, соблюдайте принцип минимальных привилегий и ограничивайте постоянные привилегии, предоставляя пользователю только те разрешения, которые ему необходимы, когда это необходимо. Например, вы можете:

  • Предоставляйте привилегированные роли, такие как администратор SharePoint или глобальный администратор, только на утвержденные рабочие часы, чтобы свести к минимуму постоянный доступ.
  • Требуйте многофакторную проверку подлинности и обоснование для активации привилегированного доступа к данным или приложениям.
  • Ограничьте привилегированный доступ, например "Администратор счетов", максимум пятью часами в неделю.
  • Требуйте утверждение для активации доступа к роли глобального администратора Microsoft 365.

• Проверки доступа к сайтам SharePoint Advanced Management (SAM). Это средство SAM требует и автоматизирует проверки доступа владельцев сайтов, участников и запросов на доступ, чтобы отозвать разрешения, которые пользователям не нужны или больше не требуются. Это средство было рассмотрено ранее в этом уроке как средство, помогающее организациям предотвратить чрезмерный доступ к данным. Это также помогает организациям обеспечить доступ к конфиденциальной информации только авторизованным пользователям, что, в свою очередь, снижает риск утечки данных. Проверки доступа к сайту гарантируют, что пользователи сохраняют только доступ, необходимый для своей роли. Например, вы можете:

  • Автоматически отзывайте разрешения для кадровых или финансовых систем через 90 дней, если они не будут рассмотрены и утверждены.
  • Ежеквартально требуйте бизнес-обоснование учетных записей внешних пользователей, чтобы подтвердить постоянную потребность в доступе.
  • Требуйте ежеквартальных проверок доступа пользователей и закрывайте доступ для ушедших сотрудников.
  • Обеспечьте соблюдение политических ограничений по времени для доступа внешних пользователей к сайтам для совместной работы.

• Соединители и плагины Microsoft Graph. Ограничьте доступ к подключенным внешним данным с помощью соединителей или плагинов Microsoft Graph. Например, вы можете:

  • Определите область доступа, необходимую пользователям и группам для доступа к подключенным поставщикам данных.
  • Требуйте проверку подлинности служб на основе учетной записи пользователя для подключенных служб и данных, используемых с подключаемыми модулями Microsoft 365 Copilot.
  • Ограничьте возможности расширенного поиска внешним контентом, индексируемым через соединители Graph, только для тех пользователей, у которых должен быть доступ.

Использование сочетаний этих инструментов для ужесточения доступа и реализации минимальных привилегий позволяет организациям ограничить раскрытие конфиденциальных данных и предотвратить чрезмерный доступ для обеспечения безопасности конфиденциальной информации. Эти инструменты являются мощными механизмами для обеспечения доступа по принципу "ровно столько, сколько необходимо". Предоставляя каждому сотруднику только необходимый доступ для выполнения его работы без чрезмерных привилегий, вы также помогаете Microsoft 365 Copilot сосредотачиваться на соответствующих данных, необходимых для полезных рекомендаций.

Дополнительные сведения. Дополнительные сведения о защите данных и устройств пользователей см. в следующих учебных предложениях:

• Изучите метрики безопасности в Microsoft 365 Defender.
• Реализация защиты конечной точки с помощью Microsoft Defender для конечной точки.
• Управление соответствием требованиям в Microsoft 365.

Проверка знаний

Выберите лучший ответ на каждый из приведенных ниже вопросов.

Проверьте свои знания

1.

Ольга Климова — администратор Microsoft 365 в компании Contoso. Ольга готовится к запуску Microsoft 365 Copilot в Contoso. Ольга пересматривает существующие политики и настройки компании, чтобы предотвратить чрезмерное раскрытие данных в Microsoft 365 Copilot. Ольга хочет обеспечить своевременный доступ администратора и обеспечить соблюдение принципа минимальных привилегий, предоставляя пользователям только те разрешения, которые им необходимы, когда это необходимо. Какой инструмент безопасности, обеспечивающий эти функции безопасности, следует рассмотреть Ольге?

Защита информации Microsoft Purview

Microsoft Entra Privileged Identity Management

Политики условного доступа Microsoft Entra

Вы должны ответить на все вопросы перед проверкой.