默认情况下,使用 Microsoft Purview 进行保护,并防止过度共享 - 阶段 2
本指南分为四个阶段:
- 简介
- 阶段 1:基础 - 从默认标签开始
- 阶段 2:托管 - (此页面) 对敏感度最高的文件进行寻址
- 阶段 3:优化 - 扩展到整个Microsoft 365 数据资产
- 阶段 4:战略 - 操作、扩展和追溯操作
在第一阶段,我们介绍了如何保护新的和更新的内容。 在此阶段,我们将探讨如何保护现有数据,从最敏感的数据开始。
阶段 2:托管 - 对敏感度最高的文件进行寻址
从以下位置确定你的优先站点:
- 知名网站,包括来自领导团队的网站
- 包含大量敏感文档的内容资源管理器
- Reporting
- 图形 API包含大量敏感信息的网站
注意
如果选择将默认文件设置为 “机密\所有员工”,我们建议关注具有更高优先级标签的网站。
手动配置优先级网站默认库标记
目前,配置需要两个单独的步骤:
- 将敏感度标签添加到 SharePoint 网站。
- 将敏感度标签定义为 SharePoint 库中文件的默认值。
网站所有者可以在 SharePoint 网站上配置敏感度标签,并在库中配置默认库标签。 SharePoint 管理员可以在 SharePoint 管理员门户中配置网站敏感度标签。 稍后我们将介绍如何使用 PowerShell 在网站和库上配置敏感度标签。
凭据和上下文条件的自动标记
Purview 提供客户端和服务端自动标记。
客户端提供最终用户感知和决策的灵活性。 在默认情况下进行保护的上下文中,客户端标记最适用于为敏感信息阈值较低的收件人推荐更高的敏感度标签。 用户可以决定接受或不接受建议,并在标签建议不合适时进行报告。
客户端自动标记为最终用户提供感知和决策灵活性。 默认情况下,客户端标记对于为敏感信息阈值较低的收件人推荐更高的敏感度标签最有用。 然后,用户可以决定接受或不接受建议,并在标签建议不合适时进行报告。
服务端标签适用于 OneDrive 和 SharePoint 中的现有文件,以及电子邮件传输中的现有文件,并提供更多条件,例如用于以下对象的上下文条件:
- 文件类型
- 文件大小
- 文档属性
默认情况下,在安全指南的上下文中,我们首先通过站点上下文(而不是仅通过敏感信息类型)进行保护。 因此,我们可以在这些网站的所有 Office/.pdf 文件扩展名上使用上下文条件(例如 将标签设置为机密\所有员工 ),并快速处理现有优先级网站。 我们在阶段 3 中大规模介绍了更多选项。
重要
建议针对敏感信息为所有 凭据 配置自动标记策略,因为攻击者最重视此信息。 对于客户端自动标记,请将标签设置为高度机密\特定人员。 对于服务端自动标记,请将标签设置为 “高度机密\所有员工”。
针对未标记的内容启用数据丢失防护
在此阶段,基础已到位,默认值是安全的,我们开始处理现有数据。 为未标记 (启用数据丢失防护 (DLP) 规则时,在终结点和 Exchange 上使用 “内容未标记 ”条件) 可加速用户对内容的标记,并防止共享未标记的内容。
对于具有 Office/PDF 文件类型的终结点 DLP,以及上传到云等相关限制性操作,建议启用此 DLP 规则条件。 在在网站上上传文件之前,用户必须打开并标记其文件。
启用自适应保护和数据泄露行为规则
内部风险管理 (IRM) 基于用户行为提供一层分析和控制。 在默认使用敏感度标签的安全上下文中,当用户降级标签或下载、模糊处理和/或泄露该内容时,IRM 可以识别并发出警报。
管理员控制触发器和阈值。 此外,现在可以使用自适应保护根据用户的风险来加强 DLP 规则。 例如,默认情况下,使用标签“ 常规”共享文件时,DLP 规则可以进行审核。 可以阻止标识为高风险的用户共享同一文件。
提示
建议使用自适应保护打开并测试默认策略,并在现有 DLP 规则中(如果适用)进行迭代。
IRM 提供了更多功能、配置和控制。 查看以下参考和将来的 Purview 部署蓝图,这些蓝图更详细地介绍了内部风险管理。
阶段 2 - 摘要
- 将敏感度标签用于 Microsoft Teams、组 和 SharePoint 网站
- 向 SharePoint 文档库添加敏感度标签
- 为 SharePoint 文档库配置默认敏感度标签
- 在 Microsoft 365 中自动应用敏感度标签