使用 Microsoft 365 安全工具保护适用于 Microsoft 365 的 Copilot 数据
许多组织担心其用户过度共享内部或个人信息。 为了解决这些问题,Microsoft 在其 Microsoft 365 和 Azure 生态系统中提供了强大的安全工具。 这些工具可帮助组织加强权限并实现“恰到足其量的访问权限”。管理员在这些工具中定义的策略和设置不仅由 Microsoft 365 和 Azure 用来防止数据过度共享,还可用于智能 Microsoft 365 Copilot 副驾驶®。 管理员应验证其组织的安全做法,因为它们与权限、敏感度标签和数据访问相关,以帮助防止可能过度共享专有和敏感的业务数据。
Microsoft 建议使用“恰好足够的访问权限”方法来解决此问题。 在此方法中,每个用户只能访问其作业所需的特定信息。 此方法需要严格控制权限,以便用户无法访问他们不应看到的文档、网站或数据。
为了防止过度共享,组织应考虑实施以下最佳做法:
- 对网站、文档、电子邮件和其他内容进行访问评审。 识别任何过度曝光的资产。 让数据所有者清点 SharePoint 网站、文档库、电子邮件邮箱和其他数据资产。 确定用户权限范围大于所需权限的区域。 例如,“HR 权益”SharePoint 网站对所有员工可见,而不仅仅是 HR 团队可见。
- 加强对过度曝光的资产的权限,以便只有授权用户才能访问。 使用上一项中的示例,将“HR 权益”站点访问权限限制为人力资源部门成员。 同样,仅将机密产品路线图文档限制为相关的产品经理。 若要限制公开,请配置电子邮件和文档的外部共享和访问过期时间。
- 验证限制访问不会妨碍任何用户执行其作业的能力。 调查和采访受限资产的用户,以确认他们仍然有权访问其角色的所有必要信息。 例如,确保即使公司限制人力资源数据,Sales 仍可以访问客户联系信息和项目规格。
- 测试搜索功能以确认用户只能访问与其角色相关的信息。 以不同的内部角色的形式对文档、网站、电子邮件进行采样搜索。 确认财务人员无法访问人力资源数据。 验证跨部门团队是否保留对共享项目资源的访问权限。 优化权限是一个迭代过程。
-
实现 Microsoft SharePoint 高级管理工具。 如前面的培训中所述,SharePoint 高级管理 (SAM) 包括多种工具来帮助组织防止过度共享,包括:
- 数据访问治理报告。 这些报表标识包含可能过度共享或敏感内容的网站。 这些报表还提供对组织中顶级权限过度的网站的见解。 当管理员使用数据访问治理报告来标识这些站点时,管理员可以采取纠正措施,以确保未经授权的用户访问敏感数据。 这种主动方法可帮助组织维护安全的数据环境,并防止意外的数据泄漏。
- SharePoint 和 OneDrive 的受限访问控制。 可以通过启用 SharePoint 网站受限访问控制策略,防止在网站级别发现网站和内容。 站点访问限制仅允许指定安全组或 Microsoft 365 组中的用户访问内容。 还可以将用户 OneDrive 共享内容的访问权限限制为仅具有 OneDrive 受限访问控制策略的安全组中的人员。 启用策略后,不在指定安全组中的任何人都无法访问该 OneDrive 中的内容,即使之前已与他们共享。
- 站点访问评审。 此工具可帮助管理员定期查看和管理谁有权访问特定 SharePoint 网站。 此功能使 IT 管理员能够将数据访问治理报告的审阅过程委托给网站所有者,网站所有者最有能力了解共享内容的上下文和必要性。 此工具可用于解决数据访问治理报告中发现的过度共享问题。 当网站被标记为潜在的过度共享时,管理员可以启动网站访问评审,提示网站所有者验证和管理访问权限。
- 受限内容发现。 此功能可防止未经授权的用户发现敏感内容,通过基于用户权限限制可见性来增强数据安全性。 此功能根据用户权限限制某些内容的可见性,确保只有具有适当访问级别的用户才能查找和查看敏感信息。 受限内容发现对于维护数据安全性和合规性非常重要,因为它有助于控制谁可以查看机密数据并与之交互。 此工具会限制内容可发现性,这有助于组织更安全地管理其数据并防止意外过度共享。
用于保护数据的 Microsoft 工具
Microsoft 365、智能 Microsoft 365 Copilot 副驾驶®和连接的服务都使用管理员定义的策略和设置来加强权限并实现“恰到足其量的访问权限”。它们通过插件和Microsoft Graph 连接器来执行此操作,以防止数据过度共享。 以下列表简要概述了管理员可用于定义这些策略和设置的一些工具:
Microsoft Purview 信息保护。 根据敏感度对文档和电子邮件进行分类和选择性加密。 可以创建策略以将访问权限限制为仅授权用户。 例如,你能够:
- 将包含员工工资的文档或电子邮件分类为“高度机密”,并将访问权限限制为人力资源团队。
- 将客户数据分类为“机密”,仅允许分配给该客户端的销售代表访问它。
- 将财务报告分类为“仅限内部”,并自动加密它们以防止外部共享。
- 将高管通信分类为“仅限内部眼睛”,并限制对领导团队成员的访问。
Microsoft Purview 敏感度标签。 使用敏感度标记(如“机密”或“仅限内部使用”)对 SharePoint 网站、文档和电子邮件进行分类和标记。可以创建策略来限制对具有特定敏感度标记的资产的访问。 例如,你能够:
- 使用“HR 机密”敏感度标记标记员工绩效评审,并限制仅 HR 经理的访问权限。
- 使用“客户机密”标记标记客户数据,并配置策略以阻止下载、打印或共享具有该标记的项目。
- 使用“机密”标记客户数据,并配置为自动加密应用此标签的文件。
- 将会计电子表格标记为“财务机密”,并将访问权限限制为仅财务团队成员。
Microsoft Entra 条件访问策略。 根据用户位置、设备或网络等条件授予或限制对 Microsoft 365 信息和服务(包括 SharePoint)的访问权限。 当系统检测到风险或用户凭据泄露时,这些策略可用于限制访问。 例如,你能够:
- 需要多重身份验证才能在远程连接时访问包含财务数据的 SharePoint 网站。
- 除非用户通过企业网络上的托管设备进行连接,否则阻止外部共享包含内部演示文稿的网站。
- 要求托管设备访问包含专有源代码的站点。
- 阻止在公开公告日期之前访问包含新闻稿的网站。
- 在系统检测到不可能的行程的情况下,阻止访问或要求使用另一个因素进行升级身份验证,这通常是凭据被盗的一个指标。
Microsoft Entra Privileged Identity Management (PIM) 。 提供实时管理员访问权限,强制实施最低特权原则,并通过仅在需要时向用户授予所需的权限来限制永久永久特权。 例如,你能够:
- 仅为批准的营业时间授予特权角色(如 SharePoint 管理员或全局管理员)以最大程度地减少长期访问。
- 需要多重身份验证和理由来激活对数据或应用的特权访问。
- 将计费管理员等特权访问限制为每周最多 5 小时。
- 需要批准才能激活 Microsoft 365 全局管理员角色访问权限。
SharePoint 高级管理 (SAM) 网站访问评审。 此 SAM 工具要求并自动对网站所有者、成员和访问请求进行访问评审,以撤销用户不需要或不再需要的权限。 本单元前面已介绍此工具,以帮助组织防止数据过度共享。 它还可帮助组织确保只有经过授权的用户才能访问敏感信息,进而降低数据泄露的风险。 站点访问评审可确保用户仅保留其角色所需的访问权限。 例如,你能够:
- 除非经过审查和批准,否则在 90 天后自动撤销对 HR 或财务系统的权限。
- 要求外部用户帐户在每个季度提供业务理由,以验证持续的访问权限需求。
- 要求对用户访问权限进行季度评审,并删除离职员工的访问权限。
- 对协作网站的外部用户访问强制实施策略时间限制。
Microsoft Graph 连接器和插件。 使用 Microsoft Graph 连接器或插件限制对连接外部数据的访问。 例如,你能够:
- 定义用户和组访问连接的数据提供程序所需的访问范围。
- 要求对与 智能 Microsoft 365 Copilot 副驾驶® 插件一起使用的连接服务和数据进行基于用户帐户的服务身份验证。
- 将扩展搜索功能限制为通过 Graph 连接器编制索引的外部内容,仅限应具有访问权限的用户。
通过使用这些工具的组合来加强访问并实现最低特权,组织可以限制敏感数据的暴露并防止过度共享,以确保敏感信息的安全。 这些工具是用于启用“足够访问权限”的强大机制。通过确保每个员工具有足够的访问权限,无需过多的权限即可完成工作,还可以使智能 Microsoft 365 Copilot 副驾驶®仅关注提供有用建议所需的适当数据。
其他读取。 有关保护数据和用户设备的详细信息,请参阅以下培训产品/服务:
- 浏览 Microsoft 365 Defender 中的安全指标。
- 通过 Microsoft Defender for Endpoint 启用终结点保护。
- 管理 Microsoft 365 中的合规性。
知识检查
为以下每个问题选择最佳答案。