教程：从Microsoft Purview 信息保护自动应用敏感度标签

在完美的世界中，所有员工都了解信息保护的重要性，并在策略范围内工作。 但在现实世界中，使用会计的合作伙伴可能会以错误的权限将文档上传到OneDrive for Business存储库。 一周后，你意识到企业的机密信息已泄露给竞争对手。 Microsoft Defender for Cloud Apps有助于在此类灾难发生之前防止此类灾难发生。 此功能适用于 Box、SharePoint 和 OneDrive for Business。 应用敏感度标签是可用 治理操作的长列表之一。

本教程介绍如何确定在云存储中保存的文档上设置了哪些公共权限，以便在发生违规时收到警报。 此外，还可以自动应用Microsoft Purview 信息保护机密敏感度标签，为文件提供额外的加密。

• 设置数据保护
• 验证策略

增强的数据级加密保护

Defender for Cloud Apps与 Microsoft Purview 信息保护 集成，通过自动加密文件，可以增加保护级别。 当Microsoft Purview 信息保护加密文件时，支持Microsoft Purview 信息保护（如 Microsoft 365）的应用程序知道如何打开文件并遵循敏感度标签中设置的权限。 使用标签应用特定的保护规则。 例如，设置可打开但不能共享、打印、转发或编辑的文件。

此强保护级别随文件一起传播。 如果发送文件、复制文件或将其存储在联机存储应用中，该文件仍会受到保护。 如果其中一名员工丢失了带有该文件的拇指驱动器，该文件将被锁定。 如果有人尝试打开该文件，文件所有者将收到警报。 使用Defender for Cloud Apps，可以自动应用保护。 例如，设置具有信用卡编号或财务部门上传且在外部共享的所有文件，以使用敏感度标签自动保护。

威胁

组织中的用户将机密客户信息文件保存到OneDrive for Business，并将其设置为与组织中的每个人共享。 用户没有意识到，不仅他们的直接团队，而且整个支持人员都有权访问该OneDrive for Business帐户。 此访问权限包括供应商、合作伙伴和偶尔停下来进入办公室的访问者。 有权访问组织的OneDrive for Business帐户的任何人现在都有权访问该信息。 这种访问不仅可能对组织造成危险，而且可能违反许多国家/地区的个人信息法规，从而导致潜在的法律问题。

解决方案

将Defender for Cloud Apps与Microsoft Purview 信息保护配合使用，以嵌入分类和保护信息，以便持续保护你的数据，以便无论数据存储在何处或与谁共享数据，它都始终受到保护。 利用此保护，可以安全地与同事、客户和合作伙伴共享数据。 定义谁可以访问数据，以及他们可以对数据执行哪些操作。 例如，允许用户查看和编辑文件，但不能打印或转发。 还可以将Defender for Cloud Apps支持的其他治理操作添加到文件，例如删除协作者和删除共享功能。

先决条件

• 为租户启用Defender for Cloud Apps和Microsoft Purview 信息保护。

设置数据保护

让我们设置一个策略，用于在存储在OneDrive for Business帐户的文件中查找信用卡编号。 找到文件时，自动应用敏感度标签，并控制所有具有该标签的文件发生的情况。

1. 通过设置将加密存储在特定OneDrive for Business文件夹中的任何敏感数据的策略，开始保护存储在 OneDrive for Business 中的数据：

   1. 在Microsoft Defender门户中的“云应用”下，选择“策略->策略管理”。

   2. 选择 “创建策略>文件策略”。

   3. 在“创建文件策略”页上的“策略名称”框中输入“OneDrive 数据保护”。

   4. 在 匹配以下所有内容的文件 区域中，创建一个筛选器，以你的专有数据和敏感数据为目标。 例如：

      1. 选择“ 添加筛选器 ”，然后选择“ 选择筛选器” 选项 >“”父文件夹>“等于>”选择文件夹”。
      2. 在“选择文件夹”对话框中，选择要watch的文件夹（如“销售西部”），然后选择“完成”。
      3. 再次选择“添加筛选器”，然后选择“协作者>组>财务>”

   5. 定义检查方法以查找包含信用卡信息的文件：

      1. 从 “检查方法 ”下拉列表中，选择“ 数据分类服务”。
      2. 选择 “选择检查类型>敏感信息”类型>“”信用卡号>完成”。 选择敏感信息类型时，请在“搜索”框中输入信用额度，然后按 Enter 筛选列出的类型。

   6. 在“治理操作”区域中，展开“Microsoft OneDrive for Business”下拉列表，然后选择“应用敏感度标签”。 选择要应用的标签，例如 “机密 - 财务”。

      Defender for Cloud Apps与 Microsoft Purview 信息保护 集成，这使你可以从现有敏感度标签列表中进行选择，以用于保护数据。

   7. 选择“创建”。

调查匹配项

设置策略以watch所选文件夹中的信用卡信息后，执行以下操作以调查找到的任何匹配项：

1. 在“Microsoft Defender XDR云应用”导航菜单中，选择“策略>策略管理”。
2. 选择 之前 创建的策略，然后选择“ 查看策略匹配项”。
3. 查看为策略触发的匹配项。 选择要展开的任何特定文件以获取更多详细信息，包括所选文件匹配的任何其他策略。

验证策略

1. 若要模拟警报，请在策略中定义的OneDrive for Business文件夹中创建一个具有模拟信用卡编号的文件。
2. 转到策略报告，其中不久会显示新的匹配项。
3. 可以选择匹配项以查看哪些文件受到保护。 匹配项本身将被屏蔽，以保护敏感数据。

注意

• Defender for Cloud Apps目前支持在 Box、GSuite、SharePoint 和 OneDrive for Business 上自动应用敏感度标签。
• 通过Defender for Cloud Apps标记文档时，不会应用视觉标记，例如页眉、页脚或水印。 有关详细信息，请参阅 了解敏感度标签。

后续步骤

保护组织的最佳做法

如果你遇到任何问题，我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持，请 开具支持票证。