行事歷專案的敏感度標籤,以及澳大利亞政府與 PSPF 合規性的 Teams 會議
本文為澳大利亞政府組織提供將敏感度標籤套用至會議和行事歷專案的指引。 其目的是協助政府組織提高其安全性和合規性成熟度,同時遵循保護 安全策略架構 (PSPF) 和 資訊安全性手冊 (ISM) 中所述的需求。
有兩個選項可用來協助保護會議和會議內容:
- 具有 E5 或 A5 授權的組織可以將敏感度標籤套用至行事歷專案。
- 擁有 Teams 進階版 附加元件授權的組織可以將這些保護延伸到小組會議。
行事曆專案的標籤
敏感度標籤會議範圍選項適用於具有 E5 或 A5 授權的客戶,並允許將標籤發佈至 Outlook 或 Teams 行事曆。 行事歷專案可以受限於強制標籤設定。 如果在標籤原則中啟用,系統會提示使用者先套用標籤,才能建立行事曆專案或傳送行事曆邀請。
標記的行事歷專案會收到以客戶端為基礎的視覺標記,以指出邀請和/或會議內容的敏感度。 透過電子郵件轉寄的邀請會收到任何設定的文字型標頭。 例如:
重要事項
如果標籤套用加密,則會透過標籤的 Azure Rights Management 加密設定封裝會議邀請、行事歷專案和任何附件,以確保只有授權的用戶能夠存取封入的內容。 這包括會議邀請的外部收件者。
若要啟用行事曆專案的標籤,必須從標籤範圍內選取 [會議] 選項。
應考慮哪些標籤需要啟用會議範圍選項。 如同群組和網站標籤,適合只啟用標籤的會議範圍,而不需要資訊管理標記 (IMM) 。
下列範例示範此設定:
| 敏感度標籤 | 會議範圍選項 |
|---|---|
| 非官方 | 啟用 |
| 官方 | 啟用 |
| OFFICIAL 機密 (類別目錄) | OFF |
| • 官方敏感性 | 啟用 |
| • 官方敏感性個人隱私權 | OFF |
| • OFFICIAL 敏感性法律許可權 | OFF |
| • 官方機密機密機密密碼 | OFF |
| • 官方機密國家封包 | OFF |
| PROTECTED (類別目錄) | OFF |
| •保護 | 啟用 |
| • 受保護的個人隱私權 | OFF |
| • PROTECTED Legal Privilege | OFF |
| • 受保護的保密 | OFF |
| • 受保護的封包 | 啟用 |
上表的組態設定會示範 (更可能包含實際敏感數據的任何會議附件) 可以套用 IMM,而不會影響套用至會議的卷標,因為自動套用卷標不建議在一組子捲標內變更卷標。
不過,如果會議標示為較低層級的標籤,例如 OFFICIAL,然後新增較高層級附件,例如 PROTECTED,則標籤繼承設定就會生效。 結果是會將 PROTECTED 標籤套用至會議,確保會議邀請的內容會與套用的最高標籤一起處理。 標籤標繼承不會變更套用至會議邀請的文字標記。 套用標籤型數據外洩防護 (DLP) 原則中所述 ,以防止不當散布安全性分類資訊 ,包括將主旨標記套用至電子郵件的原則。
注意事項
標籤繼承僅適用於專案附件。 會議邀請中包含的共享連結不會提升套用至會議的標籤。 卷標繼承目前無法檢查套用至 Azure Rights Management 加密附件的標籤。 需要 DLP 原則才能保護附加至會議邀請的這類內容。
政府組織應該考慮 [會議卷標範圍] 選項與 PSPF 原則 8 核心需求之間的相互關聯:
| 需求 | 詳細資料 |
|---|---|
| PSPF 原則 8、核心需求 (v2018.6) | 每個實體都必須: i. 識別資訊擷取 ii. 評估資訊的敏感度和安全性分類,以及iii。 針對這些資訊實作作業控件,這些資訊與其價值、重要性和敏感度成正比。 |
啟用會議的標籤功能可讓我們將標記功能延伸至 (符合 PSPF 原則 8 需求 4) 的行事歷專案,並允許應用作業控件 (例如,與專案敏感度相關的專案加密) 。
| 需求 | 詳細資料 |
|---|---|
| PSPF 原則 8,需求 4:將資訊標 (v2018.6) | 寄件者必須使用適用的保護標記,清楚識別機密和安全性分類資訊,包括電子郵件。 |
| PSPF 原則 8、核心需求 C (v2018.6) | 針對這些資訊實作作業控件,這些資訊與其價值、重要性和敏感度成正比。 |
如需有關行事歷專案敏感度標籤應用程式的詳細資訊,請 參閱使用敏感度標籤來保護行事歷專案、Teams 會議和聊天。
Teams 進階版 標籤設定
重要事項
本文假設您已 Teams 進階版 授權,且已啟用。 若未套用此授權,您將無法啟用 Teams 進階版 標籤範圍選項。
E5 授權可讓我們啟用 [會議卷標範圍] 選項,並將敏感度標籤套用至會議。 Microsoft Teams 進階版 是包含各種功能的附加元件授權,其中有些功能不在目前文章的範圍內。 不過,它也包含數個可套用至 Teams 會議的增強式安全性控制。 這些功能會分組為稱為 受保護會議的功能類別,包括:
- 會議浮水印
- 用來控制像是大廳旁路、複製和貼上聊天內容等設定的原則和範本
- 對錄製許可權的細微控制
- 在線會議的端對端加密 (包括多個參與者會議)
這些控件會延伸標記和上一節中所參考的功能,一直延伸到實際的Teams會議,其中視覺標記可以套用至Teams介面,以指出所討論內容的敏感度。
浮浮浮水印功能可以套用至會議背景,其中包含登入使用者的用戶主體名稱 (UPN) 。 這些浮浮浮浮水印旨在協助防止使用者不當公開資訊。 如果要透過非 Teams 應用程式或外部裝置錄製工作階段錄製,錄製內容會標示出席者的身分識別。 用戶會識別為未經授權錄製的 起始者 。
會議範本
Teams 進階版 介紹Teams會議範本,可讓Teams系統管理員預先設定使用者在排程會議時選取的會議設定。 這些樣本允許控制下列設定:
| 設定 | 描述 |
|---|---|
| 聊天 | 控制會議出席者的聊天,包括會議前後是否可使用聊天。 也可讓您控制將聊天內容複製到剪貼簿。 |
| 端對端加密 | 控制會議視訊和音訊的端對端加密。 |
| 大堂 | 控制誰可以略過大廳並直接加入會議。 |
| 管理出席者所看到的內容 | 控制會議召集人是否可以預覽和核准要在螢幕上共用的內容,其他會議參與者才能看到內容。 |
| 出席者的麥克風和相機 | 控制會議出席者的靜音和相機使用。 |
| 當來電者加入並離開時通知 | 當使用者透過電話加入或離開會議來電時播放音效。 |
| 問與答 | 控制會議期間 Q&A 功能的使用。 |
| 反應 | 控制會議中反應和手部舉的使用。 |
| 錄製 | 控制誰可以錄製,以及是否自動錄製會議。 |
| 敏感度標籤 | 指定要用於會議的敏感度標籤。 |
| 浮水印 | 將浮浮浮浮水印套用至會議畫面上共用的相機摘要和內容。 |
這些範本可藉由以特定使用者群組的範本為目標,提供給使用者使用。
這些範本可以透過Teams系統管理員設定以用戶為目標,也可以與標籤設定一致,以根據會議的敏感度來控制設定。
這是根據套用至會議的標籤來細微控制會議設定的範例:
| 設定 | 官方 | OFFICIAL:敏感性 | 保護 |
|---|---|---|---|
| 允許照相機 | 開啟 | 開啟 | 開啟 |
| 允許麥克風 | 開啟 | 開啟 | 開啟 |
| 套用水印 | 關閉 | 開啟 | 開啟 |
| 端對端加密 | 關閉 | 關閉 | 開啟 |
| 會議聊天 | 開啟 | 僅限會議內 | 僅限會議內 |
如需這些功能的詳細資訊,請參閱 Microsoft Teams 中的自定義會議範本概觀。
會議的敏感度標籤應用程式
啟用 [會議卷標範圍] 選項,並 Teams 進階版 授權套用至環境之後,Teams 會議範圍選項就會在標籤設定內可供使用。
有些選項,例如大廳和簡報設定,可以透過其他方法進行設定,例如透過Teams系統管理中心。 針對每個標籤設定這些選項,可讓您根據專案的敏感度來細微控制這些設定。
Teams 會議端對端加密
Microsoft Teams 端對端會議加密 (E2EE) 允許 Teams 會議的延伸加密。 若未啟用此功能,Teams 數據仍會加密。 不過 ,E2EE 藉由確保只有會議參與者可以解密會議數據,來新增額外的保護層級。 這可防止所有未指定的物件存取內容。
透過 E2EE 加密 Teams 會議時,Teams 通話畫面頂端會顯示掛鎖圖示。 此掛鎖圖示與標籤加密電子郵件和文件上顯示的圖示類似。
Teams 會議加密控件符合 PSPF 原則 8 附錄 A - v2018.6 (傳輸需求) :
| 安全性分類 | 傳輸需求 |
|---|---|
| 官方敏感性 | 加密 OFFICIAL:透過公用網路基礎結構或透過不安全空間傳輸的敏感性資訊 (包括區域 1 安全性區域) ,除非實體已辨識並接受未這麼做的剩餘安全性風險。 |
| 保護 | 針對未透過 PROTECTED 網路 (或較高分類) 網路的任何通訊,加密 PROTECTED 資訊。 |
重要事項
啟用 E2EE 會停用某些 Teams 服務功能。 基於這些原因,需要仔細考慮 E2EE 的影響。