Contoso Corporation 的信息保护
Contoso 非常重视其信息安全。 泄露或破坏描述其产品开发和专有制造技术的知识产权将使它们处于竞争劣势。
在将其敏感数字资产迁移到云之前,Contoso 确保其本地信息分类和保护要求受到 Microsoft 365 企业版的基于云的服务的支持。
Contoso 数据安全分类
Contoso 对其数据进行了分析,并确定以下分类级别。
1 级:基准 | 2 级:敏感 | 3 级:高度管控 |
---|---|---|
数据已加密,并且仅供已通过身份验证的用户使用。 针对本地和基于云的存储和工作负载中存储的所有数据提供。 数据驻留在服务中以及服务与客户端设备之间的传输中时,会对其进行加密。 1 级数据的示例为正常的业务通信(电子邮件)和供管理、销售和支持工作人员使用的文件。 |
1 级再加上强身份验证和数据丢失防护。 强身份验证包括通过短信验证Microsoft Entra多重身份验证 (MFA) 。 Microsoft Purview 数据丢失防护可确保敏感信息或关键信息不会传出Microsoft云。 2 级数据的示例包括财务和法律信息,以及新产品的研发数据。 |
2 级再加上最高级别的加密、身份验证和审核。 对静态和云中的数据采用最高级别的加密,遵循区域法规,并结合具有智能卡以及精细审核和警报的 MFA。 第 3 级数据的示例包括客户和合作伙伴个人信息、产品工程规范和专有制造技术。 |
Contoso 信息策略
下表列出了 Contoso 信息策略。
值 | Access | 数据保留 | 信息保护 |
---|---|---|---|
业务价值较低(1 级:基准) | 允许访问全部。 | 6 个月 | 使用加密。 |
业务价值中等(2 级:敏感) | 允许访问 Contoso 员工、分包商和合作伙伴。 使用 MFA、传输层安全性 (TLS) 和移动应用管理 (MAM)。 |
2 年 | 使用哈希值实现数据完整性。 |
高业务价值(3 级:高度管控) | 允许工程设计和制造中的执行人员和潜在客户访问。 仅限托管网络设备的权限管理系统 (RMS)。 |
7 年 | 使用数字签名实现不可否认性。 |
使用 Microsoft 365 企业版实现信息保护的 Contoso 路径
Contoso 遵循以下步骤,为企业Microsoft 365 准备信息保护要求:
确定要保护的信息
Contoso 对其位于本地 SharePoint 站点和文件共享上的现有数字资产进行了广泛的审查,并对每个资产进行了分类。
确定数据级别的访问、保留和信息保护策略
Contoso 基于数据级别确定了详细的策略要求,这些要求被用于保护现有数字资产,因为它们被转移到了云中。
为不同级别的信息创建敏感度标签及其设置
Contoso 为其数据级别创建了敏感度标签,其中包含加密、权限和水印等高度管控标签。
将数据从本地 SharePoint 网站和文件共享移动到其新 SharePoint 网站
迁移到新的 SharePoint 网站的文件继承了分配给该网站的默认保留标签。
培训员工如何对新文档使用敏感度标签,在创建新的 SharePoint 网站时如何与 Contoso IT 交互,以及如何始终在 SharePoint 网站上存储数字资产
改变不良的辅助角色信息存储习惯通常被认为是云信息保护转换中最困难的部分。 Contoso IT 和管理层需要让员工始终在云中标记和存储其数字资产,避免使用本地文件共享,也不要使用第三方云存储服务或 USB 驱动器。
用于信息保护的条件访问策略
作为推出 Exchange Online 和 SharePoint 的一部分,Contoso 配置了以下条件访问策略集,并将其应用于相应的组:
下面是用于信息保护的 Contoso 策略集。
注意
此外,Contoso 还配置了针对标识和登录的其他条件访问策略。 请参阅 Contoso Corporation 的标识。
这些策略确保:
- 允许的应用及其可以对组织数据执行的操作由应用保护策略定义。
- 电脑和移动设备必须兼容。
- Exchange Online对Exchange Online使用Office 365消息加密 (OME) 。
- SharePoint 使用应用强制实施的限制。
- SharePoint 使用访问控制策略来实现非托管设备的仅浏览器访问或阻止其访问。
将 Microsoft 365 企业功能映射到 Contoso 数据级别
下表将 Contoso 数据级别映射到 Microsoft 365 企业版中的信息保护功能。
级别 | Microsoft 365 云服务 | Windows 11和Microsoft 365 企业应用版 | 安全性和合规性 |
---|---|---|---|
1 级:基准 | SharePoint 和 Exchange Online 条件访问策略 SharePoint 网站上的权限 |
敏感度标签 BitLocker Windows 信息保护 |
设备条件访问策略和移动应用管理策略 |
2 级:敏感 | 1 级再加上: 敏感度标签 SharePoint 网站上的 Microsoft 365 保留标签 用于 SharePoint 和 Exchange Online 的数据丢失防护 独立 SharePoint 网站 |
1 级再加上: 数字资产上的敏感度标签 |
1 级 |
3 级:高度管控 | 2 级再加上: 自带密钥 (BYOK) 商业机密信息的加密和保护 适用于与 Microsoft 365 服务交互的业务线应用程序的 Azure 密钥保管库 |
2 级 | 1 级 |
下面是生成的 Contoso 信息保护配置。
后续步骤
了解 Contoso 如何使用 跨 Microsoft 365 企业 版的安全功能进行标识和访问管理、威胁防护、信息保护和安全管理。