与 Microsoft Purview 集成,实现信息保护
Microsoft Defender for Cloud Apps允许从 Microsoft Purview 自动应用敏感度标签。 这些标签作为文件策略治理操作应用于文件,根据标签配置,可以应用加密进行额外的保护。 还可以通过在Defender for Cloud Apps门户中筛选应用的敏感度标签来调查文件。 使用标签可以更好地查看和控制云中的敏感数据。 将 Microsoft Purview 与 Defender for Cloud Apps 集成与选中单个复选框一样简单。
通过将 Microsoft Purview 集成到 Defender for Cloud Apps,可以在云中使用服务和安全文件的全部功能,包括:
- 能够将敏感度标签作为治理操作应用于与特定策略匹配的文件
- 能够在一个中心位置查看所有分类文件
- 能够根据分类级别进行调查,并量化云应用程序上敏感数据的暴露
- 能够创建策略以确保正确处理分类文件
先决条件
注意
若要启用此功能,需要Defender for Cloud Apps许可证和 Microsoft Purview 许可证。 两个许可证都到位后,Defender for Cloud Apps会从 Purview Microsoft 同步组织的标签。
- 若要使用 Microsoft Purview 集成,必须为 Microsoft 365 启用应用连接器。
若要Defender for Cloud Apps应用敏感度标签,必须在 Microsoft Purview 中将其作为敏感度标签策略的一部分发布。
Defender for Cloud Apps当前支持对以下文件类型应用 Microsoft Purview 中的敏感度标签:
- Word:docm、docx、dotm、dotx
- Excel:xlam、xlsm、xlsx、xltx
- PowerPoint:potm、potx、ppsx、ppsm、pptm、pptx
- PDF
注意
对于 PDF,必须使用统一标签。
此功能目前可用于存储在 Box、Google Workspace、SharePoint Online 和 OneDrive 中的文件。 未来版本将支持更多云应用。
运作方式
可以在 Defender for Cloud Apps 中查看 Microsoft Purview 中的敏感度标签。 将 Defender for Cloud Apps 与 Microsoft Purview 集成后,Defender for Cloud Apps扫描文件,如下所示:
Defender for Cloud Apps检索租户中使用的所有敏感度标签的列表。 此操作每小时执行一次,以使列表保持最新。
然后,Defender for Cloud Apps扫描文件中的敏感度标签,如下所示:
- 如果启用了自动扫描,则会将所有新文件或修改的文件添加到扫描队列,并且将扫描所有现有文件和存储库。
- 如果将文件策略设置为搜索敏感度标签,这些文件将添加到敏感度标签的扫描队列中。
如前所述,这些扫描用于初始扫描中发现的敏感度标签,Defender for Cloud Apps检查租户中使用的敏感度标签。 外部标签(租户外部的人员设置的分类标签)将添加到分类标签列表中。 如果不想扫描这些标签,请选中“仅扫描此租户检查Microsoft信息保护敏感度标签和内容检查警告的文件”框。
在 Defender for Cloud Apps 上启用 Microsoft Purview 后,将扫描添加到连接的云应用的所有新文件,以查找敏感度标签。
可以在Defender for Cloud Apps内创建新策略,以自动应用敏感度标签。
集成限制
将 Microsoft Purview 标签与 Defender for Cloud Apps 配合使用时,请注意以下限制。
限制 | 说明 |
---|---|
在 Defender for Cloud Apps 外部应用了标签或保护的文件 | Defender for Cloud Apps外部应用的未受保护的标签可以通过Defender for Cloud Apps重写,但不能删除。
Defender for Cloud Apps无法从Defender for Cloud Apps之外标记的文件中删除具有保护的标签。 若要扫描在 Defender for Cloud 应用之外应用保护的文件, 请授予检查受保护文件的内容的权限。 |
由 Defender for Cloud Apps 标记的文件 | Defender for Cloud Apps不会覆盖已由 Defender for Cloud Apps 标记的文件上的标签。 |
受密码保护的文件 | Defender for Cloud Apps无法读取受密码保护的文件上的标签。 |
空文件 | Defender for Cloud Apps不标记空文件。 |
需要签出的库 | Defender for Cloud Apps无法标记配置为需要签出的库中的文件。 |
范围要求 | 为了使Defender for Cloud Apps识别敏感度标签,必须至少为“文件和电子邮件”配置 Purview 中的标签范围。 |
注意
Microsoft Purview 是Microsoft标记服务的主要解决方案。 有关详细信息,请参阅 Microsoft Purview 文档。
如何将 Microsoft Purview 与 Defender for Cloud Apps 集成
启用 Microsoft Purview
只需选中一个复选框,即可将 Microsoft Purview 与 Defender for Cloud Apps 集成。 通过启用自动扫描,可以在 Microsoft 365 文件上从 Microsoft Purview 搜索敏感度标签,而无需创建策略。 启用它后,如果云环境中的文件标有 Microsoft Purview 中的敏感度标签,则会在 Defender for Cloud Apps 中看到它们。
若要启用Defender for Cloud Apps扫描启用了敏感度标签的内容检查的文件,请执行以下操作:
在Microsoft Defender门户中,选择“设置”。 然后选择“ 云应用”。 然后转到 信息保护 ->Microsoft 信息保护。
在“Microsoft信息保护设置”下,选择“从Microsoft信息保护和内容检查警告中自动扫描新文件的敏感度标签。
启用 Microsoft Purview 后,你将能够看到具有敏感度标签的文件,并在 Defender for Cloud Apps 中按标签筛选它们。 Defender for Cloud Apps连接到云应用后,你将能够使用 Microsoft Purview 集成功能从 Microsoft Purview (应用敏感度标签,无论是否具有加密) Defender for Cloud Apps门户,方法是将敏感度标签直接添加到文件或配置文件策略以自动应用敏感度标签作为治理操作。
注意
在重新修改现有文件之前,自动扫描不会扫描这些文件。 若要从 Microsoft Purview 扫描现有文件中的敏感度标签,必须至少有一个包含内容检查 的文件策略 。 如果没有,请创建新的 文件策略,删除所有预设筛选器,在 “检查方法 ”下选择“ 内置 DLP”。 在 “内容检查 ”字段中,选择“ 包括与预设表达式匹配的文件 ”,然后选择任何预定义值,然后保存策略。 这将启用内容检查,自动检测来自 Purview Microsoft 的敏感度标签。
设置内部和外部标签
默认情况下,Defender for Cloud Apps扫描组织中定义的敏感度标签和其他组织定义的外部标签。
若要忽略组织外部设置的敏感度标签,请转到Microsoft Defender门户并选择“设置”。 然后选择“ 云应用”。 在“信息保护”下,选择“Microsoft信息保护”。 然后选择“仅扫描文件Microsoft信息保护敏感度标签和来自此租户的内容检查警告。
将标签直接应用于文件
在Microsoft Defender门户中的“云应用”下,选择“文件”。 然后选择要保护的文件。 选择文件行末尾的三个点,然后选择 “应用敏感度标签”。
注意
Defender for Cloud Apps可以对最大 30 MB 的文件应用 Microsoft Purview。
选择要应用于文件的组织的敏感度标签之一,然后选择“ 应用”。
选择敏感度标签并选择“应用”后,Defender for Cloud Apps会将敏感度标签应用于原始文件。
还可以通过选择“删除敏感度标签”选项来 删除敏感度标签 。
有关 Defender for Cloud Apps 和 Microsoft Purview 如何协同工作的详细信息,请参阅从 Microsoft Purview 自动应用敏感度标签。
自动标记文件
可以通过创建文件策略并将“应用敏感度标签”设置为治理操作,自动将 敏感度标签 应用于文件。
按照以下说明创建文件策略:
创建文件策略。
将策略设置为包含要检测的文件类型。 例如,选择 访问级别 不等于 “内部 ”且 所有者 OU 等于财务团队的所有文件。
在相关应用的治理操作下,选择“ 应用敏感度标签 ”,然后选择标签类型。
注意
- 应用敏感度标签的功能是一项强大的功能。 为了防止客户错误地将标签应用于大量文件,作为一项安全预防措施,每个租户的每日限制是每个应用 100 个 应用应用标签 操作。 达到每日限制后,应用标签操作将暂时暂停,并在 utc) 12:00 之后的第二天 (自动继续。
- 禁用某个策略后,该策略的所有挂起标记任务都会挂起。
- 在标签配置中,必须向任何经过身份验证的用户或组织中的所有用户分配权限,Defender for Cloud Apps才能读取标签信息。
控制文件公开
例如,假设你使用 Microsoft Purview 敏感度标签标记了以下文档:
通过在“文件”页中筛选 Microsoft Purview 的敏感度标签,可以在 Defender for Cloud Apps 中查看此文档。
可以在文件抽屉中获取有关这些文件及其敏感度标签的详细信息。 只需在“文件”页中选择相关文件,检查它是否具有敏感度标签。
然后,可以在 Defender for Cloud Apps 中创建文件策略,以控制不适当共享的文件,并查找已标记和最近修改的文件。
- 可以创建自动将敏感度标签应用于特定文件的策略。
- 还可以针对与文件分类相关的活动触发警报。
注意
在文件上禁用敏感度标签时,禁用的标签在Defender for Cloud Apps中显示为已禁用。 不会显示已删除的标签。
示例策略 - 在 Box 上外部共享的机密数据:
创建文件策略。
设置策略的名称、严重性和类别。
添加以下筛选器以查找在 Box 上外部共享的所有机密数据:
示例策略 - 最近在 SharePoint 上的“客户数据”文件夹外部修改的受限数据:
创建文件策略。
设置策略的名称、严重性和类别。
添加以下筛选器以查找所有最近修改的受限文件,同时在文件夹选择选项中排除“客户数据”文件夹:
还可以选择为这些策略设置警报、用户通知或立即采取措施。 详细了解 治理操作。
详细了解 Microsoft Purview。
后续步骤
如果你遇到任何问题,我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持,请 开具支持票证。