使用Microsoft Purview 信息保护的技术先决条件,确保澳大利亚政府符合 PSPF
本文为澳大利亚政府组织提供有关应部署到组织的服务和组件的指导,以充分利用敏感度标签和其他Microsoft Purview 功能。 其目的是帮助组织了解部署Microsoft Purview 信息保护的先决条件,以满足保护性安全策略框架 (PSPF) 和信息安全手册 (ISM) 中所述的要求。
为了充分利用本指南中所述的配置,组织应实现以下核心Microsoft 365 服务集:
- Exchange Online
- Microsoft Office Online 或 Microsoft 365 应用版 Office 客户端
- SharePoint Online
- Microsoft Teams
本指南中讨论的配置引用了与 PROTECTED 一起的标记和分类,组织还应使用本指南范围之外的 PROTECTED 环境要求。
注意
实现 PROTECTED 标签并不自动意味着环境适合外壳 PROTECTED 数据。 根据 信息安全手册 (ISM) 和 ASD 的安全云蓝图,政府组织必须制定基础控制措施。
Microsoft Office 客户端支持
客户端支持是成功实现Microsoft Purview 信息保护功能的关键。 用户用来与 Office 文件、电子邮件和其他服务交互的客户端需要具有标签感知功能,以便于标签应用程序。 本部分讨论Microsoft能够进行此集成的 Office 客户端版本,并寻求确定在 Purview 部署之前所需的任何先决条件工作。
Microsoft 365 企业应用版
Microsoft 365 应用版 for Enterprise 是 Microsoft Office 的一个版本,它允许与 Microsoft 365 服务套件集成。 由于 Microsoft 365 是一项基于云的服务,因此 Office 客户端的 Microsoft 365 应用版 版本会接收高频率的更新,以跟上云平台的更新。 Office 客户端与 Microsoft 365 云服务之间的这种集成允许向用户提供比通过独立 Office 客户端实现的功能集更广。 传统客户端提供静态功能集并接收安全更新,但通常无法访问新发布的功能或以云为中心的功能。
有关可用于 Microsoft 365 应用的更新通道的详细信息,请参阅Microsoft 365 应用版更新通道概述。
Microsoft Purview 信息保护客户端
以前,运行传统 Office 客户端的组织使用 Azure 信息保护 (AIP) 统一标记客户端在非Microsoft 365 应用版客户端上启用标签选择。 AIP 已替换为内部Microsoft 365 应用版客户端功能。
Microsoft Purview 信息保护仍与 AIP 相关的客户端功能继续受支持。 其中包括 Windows shell 扩展、信息保护扫描程序、信息保护文件标签器和信息保护查看器。 有关这些功能的详细信息,请参阅 在 Windows 上扩展敏感度标记。
Mac、iOS 和 Android 客户端支持
新的 Purview 功能通常首先提供给基于 Windows 的 Office Microsoft 365 应用版 版本,然后提供给其他 Office 版本。 有关客户端版本功能的状态,请参阅 不同客户端中敏感度标签的最低版本。 部署 Microsoft 365 的组织应评估此信息,以确保所有所需功能都可用于组织使用的版本。
Microsoft 365 个 Web 客户端
在 Microsoft 365 应用版 表中敏感度标签的最低版本中,对于 Web 版 Office 客户端,许多 Purview 功能都列为“是 - 选择加入”。 此措辞旨在阐明这些功能是可用的,但需要为某些方案启用。 例如,默认情况下,对基于 Web 的 Office 和 Outlook 客户端启用将标签应用于文件或电子邮件的功能,但需要启用,然后才能将标签应用于 SharePoint 网站。 因此,Web 被列为此功能的“选择加入”。 列为“正在审查”的功能通常是新增功能,仍在开发基于 Web 的平台。
还值得注意的是,某些 Web 浏览器(如 Microsoft Edge Chromium、Chrome 和 Firefox)具有内置于产品中或通过加载项提供的Microsoft Purview 数据丢失防护功能。 这些 DLP 功能可防止丢失安全分类项或其他敏感项,因此应考虑进行部署。
提示
作为 DLP 设置的一部分,组织应使用 DLP 感知客户端。 请参阅 条件访问 ,了解如何在 Essential 8 中实现此内联。
对客户端要求进行管理
保护性安全策略框架 (PSPF) 策略 8 要求的大部分(包括三个核心要求)都与识别敏感信息或控制有关,后者依赖于首先识别敏感信息。 了解用户对项目应用标记的要求的客户端应用程序可以通过强制用户在创建项目时应用标记来帮助我们满足要求。 标记后,可以强制实施操作控制来保护项的封闭内容。 在本文中,我们将此类配置称为“强制标记”。 在 Microsoft 365 中,这主要通过标签策略选项实现,该选项在 强制标记中进行了讨论。
作为强制标记重要性的示例,请考虑已发送但未首先应用保护性标记的电子邮件。 这可能是由于缺少客户端支持而发生的。 在这种情况下,我们必须假设用户没有机会根据 PSPF 策略 8 核心要求 2) 评估封闭信息 (的敏感性。 由于项目在数据泄露方面存在高风险,因此应应用 ISM-0565 等 ISM 控件:
| 要求 | 详情 |
|---|---|
| ISM-0565 (2024 年 6 月) | Email服务器配置为使用不适当的保护标记阻止、记录和报告电子邮件。 |
应用保护性标记或敏感度标签可确保项目的敏感度已由内容的所有者或创建者评估,并允许对包含的信息进行适当的控制。
强制执行强制标记的选项只能由知道组织Microsoft Purview 标记策略的客户端应用。 因此,我们应考虑确保用户只能通过支持 Purview 标记策略Microsoft客户端访问服务。 为此,应实施条件访问策略。
有关在 Essential 8 下应用条件访问的信息,请参阅应用程序控制和条件访问。
强制标记可确保用户无法发送未标记的电子邮件。 但是,在某些情况下,组织仍会生成未标记的电子邮件,包括由应用程序或多功能设备和扫描仪生成的电子邮件。 为了强制实施要求 标记所有 电子邮件的配置,组织可以实施控制措施,从而阻止传输用户生成的电子邮件,而用户生成的电子邮件没有适当的标记。 有关实现这些控制的信息,请参阅 阻止传输未标记的电子邮件。
PDF 集成
基于 Windows 的Microsoft 365 应用版客户端包括能够在导出或另存为 PDF 文件时维护应用于 Office 文档的标签。 这些 PDF 会维护其源 Office 文件的保护设置,包括加密。
受保护的 PDF 文档可以在标签感知 PDF 阅读器中读取,包括Microsoft Edge、Chrome、Foxit Reader 和 Adobe Reader (,) 安装了 Acrobat 和 Acrobat 阅读器插件的信息保护插件。
政府组织应部署和使用标签感知 PDF 客户端或客户端插件。 当项目导出到 PDF 时,此类客户端有助于保持敏感信息的清晰标识和控件的应用。
可通过以下链接找到有关这些功能的详细信息:
所需许可
Purview 信息保护功能的基本使用至少需要 E3 许可证。 但是,大多数政府组织需要使用 Microsoft 365 E5 (或等效的 E5 合规性加载项) 来成熟使用 Purview 功能。
下表包含常见政府用例的子集及其执行该用例所需的最低许可证。
| 用例 | 许可证 |
|---|---|
| 手动将敏感度标签应用于项目。 | E3 |
| 防止将标记的项目分发给未经授权的用户。 | E3 |
| 将主题标记应用于已标记的项,以指示项目敏感度。 | E3 |
| 根据其他组织应用的标记自动应用敏感度标签。 | E5 |
| 监视和报告整个环境中的标签使用情况。 | E5 |
| 将标签应用于会议和日历项目。 | E5 |
| 建议根据敏感内容检测应用敏感度标签。 | E5 |
| 监视和控制设备上标记项的使用。 | E5 |
| 根据具有标记或其他敏感项的活动识别恶意用户。 | E5 |
| 通过 Teams 聊天检测敏感内容并控制其分发。 | E5 |
| 浏览已标记内容和其他敏感内容跨环境驻留的位置。 | E5 |
如上表所示,拥有 E3 许可的政府组织可以在基本级别实施 Purview,并实现 PSPF 成熟度模型的 临时 或 开发 级别。 但是,若要确保通过与其敏感度相关的控件保护项目,需要 E5 中包含的功能或等效的许可。 组织可以使用 E5 实现 PSPF 成熟度的“管理”或“嵌入”级别。
实现更高级别的合规性成熟度的一个重要因素是使用 敏感度自动标记。 自动标记允许政府组织遵守已在外部应用的分类。 如果电子邮件由一个实体进行分类和标记,则当电子邮件发送到第二个实体时,该项目仍会标记,但默认情况下不会标记。 由于缺少标签,因此它不限于一系列基于标签的数据安全控制措施,例如数据丢失防护 (DLP) 策略。 自动标记允许保护性标记 (,如 PSPF 政策 8 附件 F:澳大利亚政府Email保护性标记标准) 在收到电子邮件时解释。 解释后,会在传输过程中应用匹配标签,确保在用户收到时,所有相关控件都应用于封闭的信息。