使用 Microsoft Purview 实现零信任

Microsoft Purview 解决方案可帮助你实现基于以下安全原则的零信任安全策略：

显式验证	使用最小特权	假定漏洞
始终根据所有可用的数据点进行身份验证和授权。	使用实时访问和恰时访问限制用户访问权限， (JIT/JEA) 、基于风险的自适应策略和数据保护。	最小化爆炸半径和段访问。 验证端到端加密，并使用分析获取可见性、促进威胁检测和加强防范。

Microsoft Purview 是通过提供数据保护解决方案 来使用最低特权访问 原则的主要组件。 使用 Purview 功能来帮助跨平台、应用和云保护数据。

保护数据的零信任

Microsoft Purview 为数据深层防御策略和数据保护零信任实现提供了以下功能和选项：

• 数据分类：以便了解数据

  发现和检测整个组织中的敏感数据，以便更好地保护这些数据。 有关详细信息，请参阅如何使用Microsoft数据分类仪表板。

• 信息保护：因此可以保护数据

  应用敏感度标签以与 智能 Microsoft 365 Copilot 副驾驶® 和其他应用和服务集成，以提供访问控制防护措施，并通过权限管理对最敏感的数据进行加密。 内容标记（如页脚和水印）可以提高认知度和安全策略符合性。 当用户创建或更新内容时，高度可见的标签和标签建议支持用户有关敏感数据的教育。 有关详细信息，请参阅 了解敏感度标签。

  将敏感度标签与 保护策略结合使用时，可以在检测到敏感信息的那一刻自动跨数据资产强制实施访问限制。

• 数据丢失防护 (DLP) ：这样就可以防止数据丢失

  用户有时会对组织的敏感数据承担风险，这可能会导致数据安全或合规性事件。 数据丢失防护可帮助你监视敏感数据并防范敏感数据过度共享的风险。 与敏感度标签一样，策略提示支持用户对敏感数据的教育。 有关详细信息，请参阅 了解数据丢失防护。

• 数据生命周期管理：因此可以删除不需要的内容，并保护重要数据

  部署策略来管理敏感数据的生命周期，以减少数据泄露。 通过自动限制敏感数据的副本数或传播，并在不再需要敏感数据时将其永久删除。 相反，在用户删除数据后，通过在安全位置自动保留副本来保护重要数据免受恶意或意外删除。 有关详细信息，请参阅 了解数据生命周期管理。

支持工具和技术：

注意

Microsoft 适用于 AI 的数据安全状况管理现已正式发布，可帮助你更快地保护数据，并深入了解用户如何与 AI 应用（例如智能 Microsoft 365 Copilot 副驾驶®和其他副驾驶）交互，Microsoft、ChatGPT、Gemini 和其他第三方 LLM。

• 实现这些功能时，请使用适当的 基于角色的权限和管理单元 来提供 Just-Enough-Access 和细分访问权限。 通过 针对实时访问的特权访问管理 来增强这些保护措施。

• 考虑特定方案的 加密 要求，例如：

  • Microsoft 365 Copilot
  • 当只有组织且没有云服务能够解密时，使用敏感度标签对所选文档和电子邮件应用 双密钥加密 。
  • 如果需要将敏感内容保留在组织边界内、记录外部邮件访问或撤销对加密电子邮件的访问权限，请使用 高级邮件加密 。
  • 如果需要控制Microsoft 365 个静态数据的根加密密钥，请使用 客户 密钥。
  • 如果使用条件访问或跨租户访问设置，这些服务需要 特定的配置来支持加密内容。

• 对于高价值文档和电子邮件， 记录管理 支持其他限制和处置评审过程。

• 使用 内部风险管理 来识别与安全相关的风险用户活动和数据活动模式并采取措施。

• 如果需要通过限制 Microsoft Teams、SharePoint 和 OneDrive 中的组和用户之间的双向通信和协作，在特定用户之间划分访问权限，请考虑使用 信息屏障 。

• 其他治理选项：

  • Microsoft Purview 统一目录中的访问策略允许用户请求对数据的访问权限，但也为你提供了工具，以确保他们仅有权访问所需的数据，并且只要他们需要，他们才有权访问数据。
  • 使用 数据共享应用 尽量减少数据重复，改为提供只读访问权限，你可以限制时间或删除访问权限。

• 请考虑使用 合规性管理器 来帮助推动采用和监视安全功能和配置的实现。 具有自动监视的易于构建的评估有助于跟踪多云环境中的要求。

• 使用 审核解决方案 来帮助你监视Microsoft 365 数据并响应安全事件。

• 使用 客户密码箱 确保Microsoft服务工程师在访问在支持调查期间拥有的任何Microsoft 365 数据之前必须获得批准。

后续步骤

解决方案指南，帮助你使用 Microsoft Purview 实现数据保护零信任策略：

• 使用 Microsoft Purview 部署信息保护解决方案
• 使用 Microsoft Purview 部署数据治理解决方案

由于数据保护有助于保护组织存储和管理的个人数据，另请参阅使用 Microsoft Priva 和 Microsoft Purview 管理数据隐私和数据保护。

零信任解决方案指南：

• 有关数据保护概念和部署目标，请参阅 使用零信任保护数据
• 有关有助于Microsoft 365 数据的强大零信任策略和体系结构的其他功能，请参阅使用 Microsoft 365 零信任部署计划
• 若要了解如何将零信任应用于智能 Microsoft 365 Copilot 副驾驶®，请参阅将零信任原则应用于智能 Microsoft 365 Copilot 副驾驶®。

详细了解零信任以及如何使用 零信任 指导中心构建企业级策略和体系结构。