澳大利亚政府符合 PSPF 的敏感度标签组和站点配置
本文提供有关使用 Microsoft Purview 组和网站配置为 SharePoint 网站和 Microsoft Teams 启用敏感度标签的指导。 其宗旨是帮助澳大利亚政府组织提高保护这些服务中安全机密信息的能力,同时遵守 《保护性安全策略框架》 (PSPF) 和 信息安全手册 (ISM) 中所述的要求。
配置标签范围时,可以为敏感度标签启用组和网站设置。 这些设置允许将敏感度标签应用于 SharePoint 网站 Teams 等位置,Microsoft 365 个组。
组和站点配置允许我们一致地对应用标签的位置应用以下控件:
- 位置视觉对象标记
- 位置隐私设置
- 位置来宾成员身份权限
- 位置共享选项
- 位置条件访问要求 (基于设备管理或完整的条件访问策略)
- 将敏感度较高的标记项移动到较低敏感度位置时触发的位置数据不就位警报
启用组和网站标签配置后,将配置标签策略选项用于任何新创建的 SharePoint 网站或 Teams。 如果用户在需要为这些项目强制标记的标签策略范围内,则每次用户创建新的 SharePoint 网站或Microsoft 365 组时,都需要用户选择敏感度标签。
这些设置与 保护安全策略框架 (PSPF) 策略 8 核心要求 C 一致,因为策略的配置与位置的敏感度成比例。
| 要求 | 详情 |
|---|---|
| PSPF Policy 8 核心要求 C (v2018.6) | 为这些信息持有与其价值、重要性和敏感度成正比的操作控制。 |
这些设置还符合 PSPF 策略 8 核心要求 A 和支持要求 1,因为它们将用户标识文件和电子邮件的要求扩展到 SharePoint 网站和 Teams 等位置。
| 要求 | 详情 |
|---|---|
| 核心要求 A 和支持要求 1:标识 v2018.6 () | 发起方必须确定所生成的信息是否是 (用作官方记录) 的官方信息,以及该信息是否属于安全性分类。 |
这些设置也符合支持要求 4,因为该功能将标记要求从文件和电子邮件扩展到 SharePoint 网站、Teams 和 Microsoft 365 个组。
| 要求 | 详情 |
|---|---|
| PSPF 策略 8 支持要求 4 - 标记 (v2018.6) | 发起方必须使用适用的保护标记清楚地识别敏感和安全机密信息,包括电子邮件。 |
注意
若要自动将所选标签应用于在某个位置内创建的任何项目,请使用 “SharePoint 的默认标签 ”选项。
SharePoint 位置和项敏感度
将敏感度标签应用于 SharePoint 位置时,网站顶部提供的视觉标记会向用户提供位置敏感度的指示。 此信息可用于确定站点中的信息是否适合分发。
应用于 SharePoint 网站的标签由网站所有者或 SharePoint 管理员修改。
提示
可以修改 SharePoint 文档库中的视图以显示应用于项目的敏感度标签。 此功能可用于识别位置中的项目,这些项可能不就位。
SharePoint 目录中的文件图标可以自定义为受共享限制或配置了策略提示的已标记项显示图标标记。 这两种配置与官方安全分类一致:敏感和受保护安全分类,为在文档库中工作的用户提供不同的标记方法。 例如:
有关限制共享选项的详细信息,请参阅 阻止共享安全机密信息。
Teams 位置和项目敏感度
与 SharePoint 一样,在标记策略范围内的用户创建的新 Teams 也受该策略的要求的约束,这可能需要他们选择标签。
应用于 Teams 的标签由团队所有者、Teams 管理员或Microsoft Entra ID管理员通过团队的基础Microsoft 365 组进行修改。
与 SharePoint 一样,可以修改 Teams 文件视图,以便用户可以清楚地指示项目敏感度。
Microsoft 365 组敏感度
组和站点配置强制实施应用于 365 个组Microsoft的策略标签。 Microsoft 365 个组用作 Teams 和 SharePoint 团队网站的成员资格服务。 此功能在 Microsoft 365 环境中具有其他用途。 例如,它用作组邮箱后面的成员资格服务。 这是传统 Exchange 分发Lists的一个进步,它允许用户自行管理,并能够订阅或取消订阅直接传递到邮箱的组邮件。
将标签应用于组邮箱可以清楚地指示应存在的内容的敏感度,或者可以安全地与组成员共享的内容。 还可以将其他控件配置为限制更高敏感度的内容的分发。
需要组和站点配置的标签
组和站点配置可能不适用于所有标签,需要定制。 例如, (IMM) 的信息管理标记与单个项相比位置更相关。 一个类比是,应用于位置的标签类似于应用于可锁定的柜或保险箱的容器类。 容器附带一组控件来保护包含的信息,但我们不一定需要每个标签的容器。 标有标签的各种组合 (例如,官方敏感和所有相关的 IMM 和其他子标签) ,可能驻留在同一容器中,并应用了相同级别的保护。 容器内的各个项可以应用任何变体的标签,包括容器的标签。
以这种方式处理组和站点配置时,我们可能仅要求每个类别一个标签适用于组和网站。 这可能是未应用 IMM 的标签。 由于组和网站设置仅对某些标签启用,因此只有这些标签可用于这些位置的应用程序。 下表是澳大利亚政府上下文中的一个示例。
| 敏感度标签 | 组和站点配置 | 可用于 SharePoint 和 Teams 应用程序 |
|---|---|---|
| 非官方 | 打开 | 选择 |
| 官方 | 打开 | 选择 |
| 官方敏感 | 关闭 | |
| - 官方敏感 | 打开 | 选择 |
| - 官方敏感个人隐私 | 关闭 | |
| - 官方敏感法律特权 | 关闭 | |
| - 官方敏感立法保密 | 关闭 | |
| - 官方敏感国家内阁 | 关闭 |
在此配置中,标记为 “官方敏感 ”的位置应包含 官方:敏感信息 ,包括与个人隐私、法律特权和立法保密的 IMM 相关的信息。
在某些情况下,需要备用配置,需要完成适当的业务分析来确定这一点。 例如,要求将不同控件应用于 PROTECTED 法律特权位置的政府组织可能希望为此标签启用组和站点配置。 可能还需要记录更改这些项的标签更改理由。 在这种情况下,PROTECTED Legal Privilege 标签需要是完整标签,而不是子标签。 还需要将它置于其他 PROTECTED 类别的上方,以便将标签从 PROTECTED Legal Privilege 更改为 PROTECTED 可识别为敏感度降低。 下表是澳大利亚政府上下文中的一个示例。
| 敏感度标签 | 组和站点配置 | 可用于 SharePoint 和 Teams 应用程序 |
|---|---|---|
| 保护 | 关闭 | |
| -保护 | 打开 | 选择 |
| - 受保护的个人隐私 | 关闭 | |
| - 受保护的立法保密 | 关闭 | |
| - 受保护的内阁 | 关闭 | |
| 受保护的法律特权 | 打开 | 选择 |
启用组和站点集成
若要将组和网站设置应用于标签,必须为组织启用 选项。 此过程涉及使用安全性 & 合规性 PowerShell。 有关此过程的详细信息,请参阅将敏感度标签分配给组 - Microsoft Entra |Microsoft Learn。
通过 PowerShell 成功启用组和站点设置后,用于选择此配置的选项将在标签配置中可用。
标签隐私设置
通过组和站点配置提供的第一个选项是隐私。 此设置允许组织对任何Microsoft 365 个组强制实施隐私设置, (包括组邮箱) 、Teams 和 SharePoint 网站。 隐私可以设置为公共、专用或无。
隐私设置与 PSPF 策略 9 要求 2 相关,该要求与 需要了解 原则相关:
| 要求 | 详情 |
|---|---|
| PSPF 策略 9 要求 2 - 限制对敏感和机密信息和资源的访问 (v2018.6) | 为了降低未经授权的披露风险,实体必须确保仅向需要知道的人员提供对敏感和安全机密信息或资源的访问。 |
公共隐私设置允许组织中的任何人加入组和/或访问组内容。 此设置可能适用于 UNOFFICIAL 标签。
将标签的隐私设置为 “无 ”可让组所有者灵活地决定适当的隐私设置。
对于官方内容,PSPF 策略 8 指出,建议使用需要知道原则,但不是强制要求。 官方标签可能会应用于许多用于分发的项目。 因此,使官方组的所有者能够灵活地决定隐私。
| 要求 | 详情 |
|---|---|
| PSPF 策略 8 附件 A - 官方信息的最低保护和处理要求 (v2018.6) | 对于官方信息,建议使用需要知道原则。 |
对于官方:敏感信息和受保护信息,需要知道的原则适用。 隐私选项应设置为 专用。 这有助于防止任何包含的信息被那些不需要知道的人访问,并使组所有者对所有成员身份添加负责。
| 要求 | 详情 |
|---|---|
| PSPF 策略 8 附件 A - 官方的最低保护和处理要求:敏感信息 (v2018.6) | 需要知道的原则适用于所有官方:敏感信息。 |
| PSPF 策略 8 附件 A - 受保护信息的最低保护和处理要求 (v2018.6) | 需要知道的原则适用于所有 PROTECTED 信息。 |
来宾访问配置
用于通过敏感度标签控制来宾访问的可用选项是简单的配置,但所需方法因组织的配置及其更广泛的外部协作要求而异。 因此,对于要求高度外部协作控制的组织与控制需求较低的组织,有具体的建议。
高外部协作控制
具有高度外部协作控制的组织需要严格的配置,以严格控制对其Microsoft 365 环境的外部访问。 此类组织已配置:
- 限制来宾对目录对象的访问。
- 限制用户邀请来宾的能力,但被授予“来宾邀请者”权限的用户除外。
- 限制将来宾邀请限制为仅预先批准的域。
- 要求使用多重身份验证的条件访问策略 (MFA) 并同意来宾访问的使用条款。
- 来宾审批工作流,可能包括来宾安全许可检查和“需要知道”的确认。
- 正在进行的来宾管理过程利用访问评审来审核来宾帐户,并在不再需要访问时从环境中删除来宾。
组织还将与外部组织签订协议,其中概述了伙伴关系双方的行政义务。
以下要求与高外部协作控制相关:
| 要求 | 详情 |
|---|---|
| PSPF Policy 8 核心要求 C (v2018.6) | 为这些信息持有与其价值、重要性和敏感度成正比的操作控制。 |
| PSPF 策略 8 附件 A - 受保护信息的最低保护和处理要求 (v2018.6) | 持续访问 PROTECTED 信息需要基线安全许可 (最低) 。 |
| PSPF 策略 9 要求 1 - (v2018.6) 共享信息和资源的正式协议 | 向政府外部的个人或组织披露安全机密信息或资源时,实体必须制定协议或安排(如合同或契约),以管理信息的使用和保护方式。 |
| PSPF 策略 9 要求 3a - 持续访问安全机密信息和资源 (v2018.6) | 实体必须确保需要持续访问安全机密信息或资源的人员被安全清除到适当的级别。 |
实施上述控制列表的组织能够针对所有标签启用来宾访问和外部协作,包括 PROTECTED (前提是在适当级别获取并维护来宾许可) 。
低外部协作控制
具有低外部协作控件且尚未实现上一个控件列表的组织应注意以下事项:
- 不要仅对已批准的组织进行受限的来宾邀请。
- 没有来宾审批工作流,其中包括来宾安全许可检查。
- 没有正在进行的来宾管理(包括 使用访问评审)的过程。
对于此类组织,启用对 PROTECTED 内容的来宾访问是不合适的,因为操作控制和流程可确保未启用适当的安全许可。
标记外部用户访问设置
“外部用户访问”设置控制来宾是否可以添加到Microsoft 365 个组 (其中包括应用了标签的 Teams) 。
具有高度外部协作控制的组织可以在所有标签上启用此设置,以允许来宾全面协作。
控制较低的用户可能希望仅对 UNOFFICIAL 和官方网站、Teams 和组启用此选项。
不在其租户中使用来宾协作的组织应关闭此设置,此外,在 Entra 中禁用来宾访问设置。
重要
Entra 中配置的来宾租户设置始终优先于任何基于标签的配置。
如果未在 Entra 中为环境启用来宾,则标签中的外部用户访问设置不相关,并将被忽略。
根据 PSPF 策略 8 核心要求 C) , 示例组和站点设置 中提供的外部访问设置演示了与位置敏感度 (成正比的操作控制。
标签共享配置
标签组和网站设置基于应用于位置的标签启用一致的配置共享设置。
从配置的 SharePoint 共享设置中获取组织的默认 (其允许的最低设置) 。 然后,管理员可以在站点上单独配置更严格的设置,或者根据站点应用的敏感度标签进行配置。
基于敏感度标签的配置的优点是,通过基于标签的配置保护敏感位置免受不当共享,而不是继承组织的默认值。
以下选项可用于基于标签的共享控件:
- 任何人 都允许从标记的位置共享项目,并由接收链接的用户访问,而无需任何身份验证或授权。 确保未启用此链接类型的“需要知道”。
- 新的和现有的来宾 要求来宾在访问链接之前进行身份验证,并且还可用于在访问时创建来宾帐户。 对于寻求高度外部协作控制的组织,不建议使用此选项。
- 现有来宾 允许使用组织目录中已存在的来宾帐户共享标记位置的项目。 此选项非常适合许多情况,因为它提供身份验证和授权。 对于寻求 高度外部协作控制的组织,建议使用此选项。
- 只有组织中的人员 将共享限制为内部用户。
典型的部署从为低敏感度位置选择的“新来宾和现有来宾”选项开始,并针对高敏感度(例如 PROTECTED 位置)进展为“仅组织中的人员”。 具有高度外部协作控制的组织在所有标签上使用“现有来宾”选项。
与外部访问设置一样, 示例组和站点设置 中提供的示例配置旨在根据 PSPF Policy 8 核心要求 C) 演示与位置敏感度成正比的操作控制 (。
如果组织希望进一步限制来自已标记位置的共享,可以通过 PowerShell 启用高级功能,以控制提供给网站或团队成员的共享选项。 此配置可以应用于 PROTECTED 标签,以符合 PSPF 策略 9 要求 2:
| 要求 | 详情 |
|---|---|
| PSPF 策略 9 要求 2 - 限制对敏感和机密信息和资源的访问 (v2018.6) | 为了降低未经授权的披露风险,实体必须确保仅向需要知道的人员提供对敏感和安全机密信息或资源的访问。 |
此选项可确保团队所有者能够控制用户对受保护位置中存储的内容的访问权限,因为他们需要代表成员完成所有共享活动,或者通过扩展其成员身份来提供对网站或团队包含信息的访问权限。
可以通过以下 PowerShell 配置这些功能:
Set-Label -Identity <Label_GUID> -AdvancedSettings @{MembersCanShare="MemberShareNone"}
有关 MembersCanShare 选项的详细信息,请参阅将敏感度标签用于 Microsoft Teams、Microsoft 365 组 和 SharePoint 网站。
条件访问
Microsoft Entra ID中的条件访问策略提供控制,以控制对使用 Entra 身份验证和访问控制的服务的访问。 条件访问策略评估特定条件,以确定是否允许访问特定服务,例如 SharePoint、Teams 或 Microsoft 365。 条件访问策略的默认功能不允许对特定组或站点级别的访问进行更精细的控制。
敏感度标签条件访问配置允许应用于位置的标签 (网站或团队) 与用户访问要求保持一致。 这提供了比通过标准条件访问实现的更精细的控制级别,在大多数情况下,在登录或服务连接时会检查标准条件访问。
除任何条件访问登录要求外,还应用特定于敏感度标签的条件访问要求。 例如,如果条件访问策略要求:
- 用户进行身份验证。
- 用户通过多重身份验证 (MFA) 验证其身份。
- 用户必须位于托管设备上。
如果这些条件均为 true,则还需要托管设备的基于标签的策略提供的价值不大,因为登录时触发的条件访问策略满足此要求。
但是,可能允许用户通过非托管设备对某些位置进行身份验证和访问 (,例如,UNOFFICIAL 或官方) 。 如果他们随后尝试访问更高敏感度的位置 (例如,官方:敏感) (配置为需要托管设备),则阻止其访问。 这些功能可用于通过个人移动设备或家庭计算机启用一定程度的访问,从而允许远程工作,而不会使组织面临此类设备用于访问高度敏感位置的风险。
与许多组和站点配置选项一样,这些控制措施可以绑定到 PSPF Policy 8 核心要求 C,因为它们允许基于位置的敏感度应用访问限制:
| 要求 | 详情 |
|---|---|
| PSPF Policy 8 核心要求 C (v2018.6) | 为这些信息持有与其价值、重要性和敏感度成正比的操作控制。 |
此外,由于这组控制措施涉及限制对信息的访问并帮助确保需要知道,因此 PSPF 策略 9 要求 2 也适用:
| 要求 | 详情 |
|---|---|
| PSPF 策略 9 要求 2 - 限制对敏感和机密信息和资源的访问 (v2018.6) | 为了降低未经授权的披露风险,实体必须确保仅向需要知道的人员提供对敏感和安全机密信息或资源的访问。 |
组和站点设置提供了两个条件访问配置类别,即:
- 非托管设备限制
- 身份验证上下文
非托管设备限制
非托管设备是未注册到Intune设备管理平台或未加入Microsoft Entra ID的设备。 识别非托管设备有助于确保连接到环境的设备已知、用户已使用组织帐户进行身份验证,以及一组基本的设备要求已到位。 不符合这些要求的设备可以被视为比满足这些要求的设备更高的风险。
有关已加入Microsoft Entra ID设备的详细信息,请参阅什么是已加入 Azure AD 的设备?
在敏感度标签上配置非托管设备选项允许已标记的 SharePoint 网站或 Teams 链接到面向非托管设备的条件访问策略,并强制执行“应用强制实施的限制”。
有三个可用的配置选项:
- 允许从桌面应用、移动应用和 Web 进行完全访问:此选项允许非托管设备不受任何限制地访问标记的位置。 这允许用户将文件从这些位置下载到其非托管设备,这可能会导致数据丢失,而没有其他控制措施。 因此,某些组织可能会选择仅针对较低敏感度位置启用此功能。
- 允许有限的仅限 Web 的访问:此选项允许非托管设备仅通过 Web 浏览器访问标记的位置。 这些仅限 Web 的会话还可以删除下载或打印文件的功能,从而防止敏感信息被下载和存储在攻击者容易访问或意外查看的位置,从而帮助确保需要知道。
- 阻止访问:此选项可用于阻止非托管设备访问应用了标签的位置。
身份验证上下文
在某些情况下,组织可能需要将比纯粹基于设备管理状态的控件更精细地应用于已标记的位置。 身份验证上下文 允许将功能齐全的条件访问策略与标记的位置保持一致。
身份验证上下文实质上是一个“对象”,用于将条件访问策略与敏感度标签链接。 尝试访问已标记的站点会触发链接的条件访问策略并应用其要求。
身份验证上下文的优点包括:
- 它允许基于位置敏感度一致地应用完整的条件访问策略。
- 完全条件访问策略的精细控制使我们能够满足更多利基方案,例如基于用户或组的排除、位置或基于 IP 的限制。
需要在 Microsoft Entra ID 中创建身份验证上下文及其关联的条件访问策略,然后才能将其链接到标签。
与最小处理保护保持一致
PSPF政策8附件A包括一份管制清单,应在政府设施外使用和存储信息。
这些附件包括托管 (安全状态) 和非托管 (不安全状态) 设备的定义,以及有关使用授权非政府设备的声明,是复杂的。 有关这些附件的详细信息,请参阅 保护性安全策略框架 (PSPF) 。
关于使用属于“所有其他移动设备”类别的非授权非政府设备:
| 要求 | 详情 |
|---|---|
| PSPF 策略 8 附件 B - 政府颁发的移动设备的最低保护和处理要求 (v2018.6) | 所有其他移动设备 - 实体未拥有、颁发或授权的设备。 这些设备不得有权访问、处理、存储或传达政府官员:敏感信息或更高信息。 |
下面是如何根据 PSPF Policy 8 核心要求 C 配置基于标签的条件访问策略的示例, (控制与敏感度) 成比例。 该示例进一步演示了一般条件访问策略,在用户通过身份验证上下文应用于标记位置的任何基于位置的控件之前,在对服务进行身份验证/访问时触发:
| 标签 | 条件访问设置 |
|---|---|
| 非官方 | 允许完全访问。 |
| 官方 | 允许完全访问。 |
| 官方:敏感 | 阻止所有非托管设备上的访问。 |
| 保护 | 链接到身份验证上下文,该上下文: - 需要托管设备, - 需要一组授权用户的成员身份,并且 - 需要从受信任位置进行访问。 |
数据不就位警报
通过组和站点配置将标签应用到某个位置可实现数据不就位警报。
当管理员将标签应用于某个位置时,他们会确定该位置是否适合存储到应用标签(包括应用标签)的项。 如果某个位置配置为“OFFICIAL: Sensitive”,则它可以包含所有标签的项,包括“OFFICIAL: Sensitive”以及同一分组中可能存在的任何子标签。
如果将受保护的项移动到“官方:敏感”位置,则这是数据泄漏,需要修正,这是不就位警报很重要的地方。
发生此类事件时:
- 操作未被阻止,这一点很重要,因为它可能是由于重新分类或其他必需的业务流程造成的。
- 检测到的敏感度标签不兼容的警报将发送给用户,该警报会尝试告知他们问题,提供指向项目、项目和位置的链接,并可以将他们定向到 URL 以获取进一步的帮助。
- 向 SharePoint 网站的管理员发送警报,告知他们有关该事件的信息。 如有必要,可以实施邮件流规则或类似配置,以将这些警报定向到安全团队。
- 将生成“检测到的文档敏感度不匹配”审核日志事件。
下面是警报的示例,该警报在发生此类操作时发送给用户:
提示
可以通过以下方式配置这些通知中提供的 HelpLink URL:
Set-SPOTenant –LabelMismatchEmailHelpLink “URL”
数据不就位警报应受到密切监视,如下所示:
- 当 PROTECTED 或 OFFICIAL 时,需要知道的原则可能难以遵守:敏感项被移动到敏感度较低的容器,例如,这些容器可能具有更宽松的隐私配置。
- 在低敏感度位置,条件访问等控制措施可能会更宽松,这可能会导致数据外泄或移动到非托管设备。
政府组织可以使用 Microsoft Purview 分层方法,降低数据不就地外泄的风险。 这包括:
- 用于监视数据不就地警报的方法。
- 包括 数据丢失防护层 (DLP) 保护,这些保护评估应用标签 (以外的项中包含的内容,如 限制敏感信息) 的分发 中所述。
- 通过 内部风险管理 和 自适应保护等工具识别严重违反策略之前的风险用户行为。
监视数据不就位警报
默认情况下,敏感度不匹配警报在审核日志中、站点管理员邮箱中可见,并显示在活动资源管理器中。 Microsoft政府组织的 Purview 实现应包括处理敏感度不匹配警报的策略和流程。 该策略还应包括优先级,以确保更关键的警报优先于优先级较低的不匹配项。
例如,移动到标记为 UNOFFICIAL 的 SharePoint 位置的官方信息比移动到标记为 UNOFFICIAL 的 SharePoint 位置的 PROTECTED 信息具有较小的后果,并且优先级应按排名顺序给出。
以下示例优先级矩阵演示了组织可以确定哪些事件优先处理数据的位置修正的方法:
| 项标签 | UNOFFICIAL 位置 | 官方位置 | 官方敏感位置 | 受保护的位置 |
|---|---|---|---|---|
| UNOFFICIAL 项目 | - | - | - | - |
| 官方项目 | 优先级较低 | - | - | - |
| 官方敏感项目 | 中等优先级 | 中等优先级 | - | - |
| 受保护的项 | 最高优先级 | 高优先级 | 高优先级 | - |
对于监视和操作这些事件,应利用安全信息和事件管理 (SIEM) 解决方案(例如Microsoft Sentinel)来引入审核日志,并根据位置的敏感度和项的敏感度筛选事件。 然后,我们将触发警报或修正活动来解决这种情况。
对于不使用 SIEM 功能的组织,可以通过邮件流规则提供精细警报,该规则检查发送给违规用户的警报电子邮件正文,并将电子邮件定向到其他位置采取行动。 例如:
可以将此类规则配置为检查电子邮件正文以获取文件和站点敏感度详细信息,然后触发相应的警报,例如,向安全团队发出通知。
Power Automate 提供其他报告或警报选项。 例如,可以创建一个流,以处理发送到数据不就位的项目,警报邮箱、从Microsoft Entra ID获取违规用户“经理”字段,并向经理发送事件报告,以便他们能够与下属一起处理这种情况。
提示
最佳方法是制定与其他业务流程一致的警报/报告策略。 使用 Microsoft Sentinel 作为 SIEM 是最佳选择,因为它的构建和设计旨在与 Microsoft Purview 协同工作。
示例组和站点配置
下面旨在提供一个示例,说明如何根据应用的敏感度标签将精细控件应用于位置。 这符合 PSPF Policy 8 核心要求 C,并提供与项的价值、重要性和敏感度成正比的操作控制。
| 敏感度标签 | 组 &网站 | 隐私设置 | 外部访问 | 外部共享 | 条件访问 |
|---|---|---|---|---|---|
| 非官方 | 打开 | 关闭或无 (用户决定) |
允许来宾 | 允许现有来宾 | 关闭或允许从非托管设备进行完全访问 |
| 官方 | 打开 | 关闭或无 (用户决定) |
允许来宾 | 允许现有来宾 | 关闭或允许从非托管设备进行完全访问 |
| 官方敏感 (类别) | 关闭 | 不适用 | 不适用 | 不适用 | 不适用 |
| 官方敏感 | 打开 | 私人 | 允许来宾 | 允许现有来宾 | 阻止非托管设备上的访问 |
| 官方敏感个人隐私 | 关闭 | 不适用 | 不适用 | 不适用 | 不适用 |
| 官方敏感法律特权 | 关闭 | 不适用 | 不适用 | 不适用 | 不适用 |
| 官方敏感立法保密 | 关闭 | 不适用 | 不适用 | 不适用 | 不适用 |
| 官方敏感国家内阁 | 关闭 | 不适用 | 不适用 | 不适用 | 不适用 |
| 受保护的 (类别) | 关闭 | 不适用 | 不适用 | 不适用 | 不适用 |
| 保护 | 打开 | 私人 | 不允许来宾 | 仅限所在组织中的人员 | 身份验证上下文: - 需要 MFA, - 托管设备;和 - 受信任位置。 |
| PROTECTED - 个人隐私 | 关闭 | 不适用 | 不适用 | 不适用 | 不适用 |
| PROTECTED - 法律特权 | 关闭 | 不适用 | 不适用 | 不适用 | 不适用 |
| PROTECTED - 立法保密 | 关闭 | 不适用 | 不适用 | 不适用 | 不适用 |
| 受保护的 CABINET | 打开 | 私人 | 不允许来宾 | 仅限所在组织中的人员 | 身份验证上下文: - 需要 MFA, - 托管设备;和 - 受信任位置。 |
| 受保护的国家内阁 | 打开 | 私人 | 不允许来宾 | 仅限所在组织中的人员 | 身份验证上下文: - 需要 MFA, - 托管设备;和 - 受信任位置。 |
SharePoint 的默认标记
默认标签是一项功能,允许在 SharePoint 文档库中创建的项目自动继承敏感度标签。 继承的标签将应用于任何新的或未标记的项目,以及现有标签顺序低于默认标签的项。 默认标签可用于帮助将网站的敏感度与其中存储的文件的敏感度相匹配。
政府组织可能会担心默认标签选项与禁止使用自动分类的要求之间明显接近,例如:
| 要求 | 详情 |
|---|---|
| PSPF 策略 8、要求 2a (核心要求) :评估 v2018.6 (敏感和安全机密信息) | 若要决定应用哪种安全分类,发起方必须: i. 评估官方信息的价值、重要性或敏感性,方法是考虑如果信息的机密性受到损害,政府、国家利益、组织或个人可能受到损害。和 ii. 将安全分类设置为最低合理级别。 |
在系统生成项的情况下,澳大利亚政府环境中的默认标记非常有用。 例如,如果有一个应用程序用作业务流程的一部分,该应用程序 (Power Automate 流(例如) )批量创建项。 生成项的位置可以应用默认标签。 这可确保进程生成的所有项都应用了一致的标签。
只有新创建的项以及应用默认设置后修改或移动到位置的项才会继承标签。 标签不能应用于位置中的现有静态文件。
对于使用标签加密的组织,应使用默认标签注意以下几点:
- 如果不像 ) 标签加密约束中所述对启用 (加密内容进行共同创作,则当用户选择“文件另存为”>选项时,为文档库应用默认敏感度标签可能会稍有延迟。
- 与 Web Office 365的敏感度标签一样,SharePoint 不支持某些应用加密的标签配置。 例如:
- 允许用户分配权限 加密选项需要用户交互,不适合默认标记。
- 有关用户访问过期和双密钥加密的选项也可能受到影响。
有关默认标签的信息,请参阅 为 SharePoint 文档库配置默认敏感度标签。