適用於澳大利亞政府與 PSPF 合規性的敏感度標籤 群組 和網站設定
本文提供使用 Microsoft Purview 群組和網站設定來啟用 SharePoint 網站和 Microsoft Teams 敏感度卷標的指引。 其目的是協助澳大利亞政府組織提高保護這些服務中安全性分類資訊的能力,同時遵循保護 安全策略架構 (PSPF) 和 資訊安全性手冊 (ISM) 中 所述的需求。
設定標籤範圍時,可以為敏感度標籤啟用 群組和網站設定。 這些設定允許將敏感度標籤套用至 SharePoint 網站 Teams 等位置,以及Microsoft 365 群組。
群組 和月台設定可讓我們一致地將下列控件套用至已套用卷標的位置:
- 位置視覺標記
- 位置隱私權設定
- 位置來賓成員資格許可權
- 位置共享選項
- 根據裝置管理或完整的條件式存取原則 (位置條件式存取需求)
- 位置數據就位警示,會在將較高敏感度標籤的專案移至較低的敏感度位置時觸發
啟用群組和網站標籤設定可讓任何新建立的 SharePoint 網站或 Teams 使用已設定的標籤原則選項。 如果使用者在需要這些項目強制標記的標籤原則範圍內,則每次使用者建立新的SharePoint網站或Microsoft 365群組時,用戶都必須選取敏感度標籤。
這些設定會與保護 安全策略架構 (PSPF) 原則 8 核心需求 C 一致,因為原則的設定與位置的敏感度成正比。
| 需求 | 詳細資料 |
|---|---|
| PSPF 原則 8 核心需求 C (v2018.6) | 針對這些資訊實作作業控件,這些資訊與其價值、重要性和敏感度成正比。 |
這些設定也與 PSPF 原則 8 核心需求 A 和支援需求 1 一致,因為它們會將使用者識別檔案和電子郵件的需求延伸到 SharePoint 網站和 Teams 等位置。
| 需求 | 詳細資料 |
|---|---|
| 核心需求 A 和支援需求 1:識別 v2018.6 (的資訊) | 產生者必須判斷所產生的資訊是否為官方資訊 (用來作為官方記錄) ,以及該資訊是否已分類安全性。 |
這些設定也符合支援需求 4,因為此功能可將標記需求從檔案和電子郵件延伸至 SharePoint 網站、Teams,以及Microsoft 365 群組。
| 需求 | 詳細資料 |
|---|---|
| PSPF 原則 8 支援需求 4 - 將資訊標示 (v2018.6) | 寄件者必須使用適用的保護標記,清楚識別機密和安全性分類資訊,包括電子郵件。 |
注意事項
若要自動將選擇的標籤套用至位置內建立的任何專案,請使用 [ SharePoint 的預設標籤 ] 選項。
SharePoint 位置和專案敏感度
將敏感度標籤套用至 SharePoint 位置時,網站頂端提供的視覺標記會為使用者提供位置敏感度指示。 此資訊有助於判斷網站中的資訊是否適合散發。
套用至 SharePoint 網站的標籤會由網站擁有者或 SharePoint 系統管理員修改。
提示
您可以修改 SharePoint 文件庫中的檢視,以顯示套用至專案的敏感度標籤。 這項功能對於識別位置中可能不在位的專案很有用。
您可以自定義 SharePoint 目錄中的檔案圖示,以針對受共用限制或已設定原則提示的專案所標示的項目顯示圖示標記。 這兩個組態會與 OFFICIAL 一致:敏感性和受保護的安全性分類,為在文檔庫中工作的使用者提供不同的標記方法。 例如:
如需限制共用選項的詳細資訊,請參閱 防止共用安全性分類資訊。
Teams 位置和專案敏感度
與 SharePoint 一樣,在卷標原則範圍內的使用者所建立的新 Teams 會受限於該原則的需求,因此可能需要他們選取卷標。
套用至 Teams 的標籤會由小組擁有者、Teams 系統管理員或 Microsoft Entra ID 系統管理員透過小組的基礎Microsoft 365 群組來修改。
如同 SharePoint,可以修改 Teams 檔案檢視,讓使用者清楚指出專案敏感度。
Microsoft 365 群組敏感度
群組 和月台設定會強制執行套用至Microsoft 365 群組的原則標籤。 Microsoft 365 群組會作為 Teams 和 SharePoint 小組網站的成員資格服務。 這項功能在 Microsoft 365 環境中還有其他用途。 例如,它會作為群組信箱背後的成員資格服務。 這是傳統 Exchange 散發套件 清單 的進度,可讓使用者自行管理,以及能夠訂閱或取消訂閱直接傳遞至信箱的群組訊息。
將標籤套用至群組信箱,可以清楚指出應該存在或安全地與群組成員共用的內容敏感度。 其他控制項也可以設定為限制高敏感度內容的發佈。
需要群組和網站設定的標籤
群組 和月臺設定可能不適用於所有標籤,而且需要量身訂做。 例如,資訊管理標記 (IMM) 比位置更與個別項目相關。 比方說,套用至位置的標籤類似於套用至可鎖定封包或安全封包的容器類別。 容器隨附一組控件來保護包含的資訊,但我們不一定需要每個標籤的容器。 以卷標的各種組合標示的專案 (例如,OFFICIAL Sensitive 和所有相關聯的 IMM 及其他子捲標) ,都可能位於套用相同保護層級的相同容器中。 容器內的個別專案可能會套用任何標籤變化,最多包含容器的標籤。
以這種方式處理群組和網站設定時,我們每個類別只需要一個標籤,即可套用至群組和網站。 這可能是未套用 IMM 的標籤。 只有針對特定標籤啟用群組和網站設定時,只有這些標籤可供這些位置的應用程式使用。 下表是澳大利亞政府內容中的範例。
| 敏感度標籤 | 群組和月臺設定 | 適用於 SharePoint 和 Teams 的應用程式 |
|---|---|---|
| 非官方 | 開啟 | 選擇 |
| 官方 | 開啟 | 選擇 |
| 官方敏感性 | 關閉 | |
| - 官方敏感性 | 開啟 | 選擇 |
| - 官方敏感性個人隱私權 | 關閉 | |
| - OFFICIAL 敏感性法律許可權 | 關閉 | |
| - 官方機密機密機密密碼 | 關閉 | |
| - 官方機密國家封包 | 關閉 |
在此設定中,標示為[ 官方敏感性 ] 的位置應該會包含 OFFICIAL:敏感 性資訊,包括個人隱私權、法律許可權和保密機密的 IMM 相關信息。
在某些情況下,需要進行替代設定,而且必須完成適當的商務分析才能判斷這一點。 例如,要求將不同控件套用至 PROTECTED Legal Privilege 位置的政府組織,可能會希望為此標籤啟用群組和網站設定。 也可能需要記錄標籤變更理由,以便變更這些專案。 在這種情況下,PROTECTED Legal Privilege 標籤必須是完整標籤,而不是子捲標。 它也必須位於其他 PROTECTED 類別的上方,以便將標籤從 PROTECTED Legal Privilege 變更為 PROTECTED 可識別為降低敏感度。 下表是澳大利亞政府內容中的一個範例。
| 敏感度標籤 | 群組和月臺設定 | 適用於 SharePoint 和 Teams 的應用程式 |
|---|---|---|
| 保護 | 關閉 | |
| -保護 | 開啟 | 選擇 |
| - 受保護的個人隱私權 | 關閉 | |
| - 受保護的保密 | 關閉 | |
| - 受保護的封包 | 關閉 | |
| PROTECTED Legal Privilege | 開啟 | 選擇 |
啟用群組和網站整合
若要將群組和網站設定套用至標籤,必須為組織啟用 選項。 此程式牽涉到使用安全性 & 合規性 PowerShell。 如需此程式的詳細資訊,請參閱將敏感度標籤指派給群組 - Microsoft Entra |Microsoft Learn。
一旦透過PowerShell成功啟用群組和網站設定,選取此組態的選項就會在標籤設定內提供。
標籤隱私權設定
透過群組和網站設定提供的第一個選項是隱私權。 此設定可讓組織在任何Microsoft 365 群組上強制執行隱私權設定, (包括群組信箱) 、Teams 和 SharePoint 網站。 隱私權可以設定為公用、私人或無。
隱私權設定與 PSPF 原則 9 需求 2 相關,這與 需要知道 的原則有關:
| 需求 | 詳細資料 |
|---|---|
| PSPF 原則 9 需求 2 - 限制存取 v2018.6 (機密和分類資訊和資源) | 若要降低未經授權洩漏的風險,實體必須確保只有需要知道的人員才能存取機密和安全性分類資訊或資源。 |
公用隱私權設定可讓組織中的任何人加入群組和/或存取群組內容。 此設定可能適用於[非索引卷標]。
將標籤的隱私權設定為 無 ,可讓群組擁有者彈性地決定適當的隱私權設定。
針對 OFFICIAL 內容,PSPF 原則 8 指出建議但不強制執行需要知道的原則。 OFFICIAL 標籤可能會套用至許多要散發的專案。 因此,讓 OFFICIAL 群組的擁有者能夠彈性地決定隱私權。
| 需求 | 詳細資料 |
|---|---|
| PSPF 原則 8 附錄 A – (v2018.6) OFFICIAL 資訊的最低保護和處理需求 | 建議針對 OFFICIAL 資訊使用「需要知道」原則。 |
對於 OFFICIAL:敏感性和受保護的資訊,適用需要知道的原則。 隱私權選項應設定為 私人。 這有助於防止任何包含的資訊可供不需要知道的人員存取,並讓群組擁有者負責所有成員資格新增。
| 需求 | 詳細資料 |
|---|---|
| PSPF 原則 8 附錄 A – OFFICIAL 的最低保護和處理需求:敏感性資訊 (v2018.6) | 需要知道的原則適用於所有 OFFICIAL:敏感性資訊。 |
| PSPF 原則 8 附錄 A – v2018.6 (受保護資訊的最低保護和處理需求) | 需要知道的原則適用於所有 PROTECTED 資訊。 |
來賓存取設定
透過敏感度標籤控制來賓存取的可用選項是簡單的設定,但所需的方法會根據組織的設定及其更廣泛的外部共同作業需求而有所不同。 因此,對於具有高外部共同作業控制需求的組織,與低控制需求的組織,都有特定的建議。
高外部共同作業控制
具有高外部共同作業控制的組織需要嚴格的設定,其會嚴格控管外部存取其Microsoft 365 環境。 這類組織已設定:
- 限制來賓存取目錄物件。
- 限制使用者邀請來賓的能力,但獲得「來賓邀請者」許可權的人員除外。
- 限制只將來賓邀請限制為預先核准的網域。
- 要求使用多重要素驗證的條件式存取原則 (MFA) ,並同意來賓存取的使用規定。
- 來賓核准工作流程,可能包括檢查來賓安全性許可和確認「需要知道」。
- 持續的來賓管理程式會使用存取權檢閱來稽核來賓帳戶,並在不再需要存取權時從環境中移除來賓。
組織也會與外部組織簽訂合約,其中概述合作關係每一端的系統管理義務。
下列需求與高外部共同作業控制相關:
| 需求 | 詳細資料 |
|---|---|
| PSPF 原則 8 核心需求 C (v2018.6) | 針對這些資訊實作作業控件,這些資訊與其價值、重要性和敏感度成正比。 |
| PSPF 原則 8 附錄 A – v2018.6 (受保護資訊的最低保護和處理需求) | 持續存取 PROTECTED 資訊需要基準安全性許可 (最低) 。 |
| PSPF 原則 9 需求 1 - 與 v2018.6 (共用資訊和資源的正式協定) | 將安全性分類資訊或資源公開給政府外部的人員或組織時,實體必須已備妥合約或安排,例如合約或 deed,以管理資訊的使用和保護方式。 |
| PSPF 原則 9 需求 3a - v2018.6 版 (持續存取安全性分類資訊和資源) | 實體必須確保需要持續存取安全性分類資訊或資源的人員安全性已清除至適當的層級。 |
實作先前控件清單的組織,只要在適當的層級) 取得並維護來賓許可,就能夠針對所有標籤啟用來賓存取和外部共同作業,最多包含 PROTECTED (。
低外部共同作業控制
具有低外部共同作業控制但尚未實作先前控件清單的組織,應該注意下列事項:
- 沒有僅限已核准組織的來賓邀請。
- 沒有來賓核准工作流程,其中包含來賓安全性許可檢查。
- 沒有持續性來賓管理的程式,包括使用 存取權檢閱。
針對這類組織,啟用受保護內容的來賓存取並不適當,因為操作控制和程式可確保不會啟用適當的安全性許可。
為外部使用者存取設定加上標籤
[外部使用者存取] 設定可控制來賓是否能夠新增至Microsoft 365 群組 (,其中包括套用標籤標的Teams) 。
具有高外部共同作業控制的組織可以在所有標籤上啟用此設定,以允許客體共同作業。
具有較低控制權的人員可能只想要針對[OFFICIAL] 和 [OFFICIAL] 網站、Teams 和群組啟用此選項。
未在其租用戶內使用來賓共同作業的組織應該關閉此設定,此外,在 Entra 中停用來賓存取設定。
重要事項
在 Entra 中設定的來賓租用戶設定一律優先於任何以標籤為基礎的組態。
如果未在 Entra 中為環境啟用來賓,來自標籤的外部使用者存取設定就無關緊要,而且會予以忽略。
範 例群組和網站設定 中提供的外部存取設定會根據 PSPF 原則 8 核心需求 C) ,示範與位置敏感度 (成正比的操作控件。
標籤共享設定
卷標群組和網站設定會根據套用至位置的標籤,啟用一致的組態共用設定。
組織的預設 (最低的允許設定) 是從設定的 SharePoint 共用設定取得。 系統管理員接著可以在網站上個別設定更嚴格的設定,或根據套用敏感度標籤的網站進行設定。
以敏感度標籤為基礎的設定優點是敏感性位置會透過以標籤為基礎的設定來保護不適當的共用,而不是繼承組織的預設最小值。
下列選項適用於以標籤為基礎的共用控制項:
- 任何人都 允許專案從標示的位置共用,並由接收連結的使用者存取,而不需要任何驗證或授權。 確保未啟用此連結類型的「需要知道」。
- 新的和現有的來賓 需要來賓在存取連結之前先進行驗證,也可以在存取時用來建立來賓帳戶。 對於尋求高外部共同作業控制的組織,不建議使用此選項。
- 現有的來賓 允許從標籤位置與已存在於組織目錄中的來賓帳戶共享專案。 此選項非常適合許多情況,因為它提供驗證和授權。 針對尋求 高外部共同作業控制的組織,建議使用此選項。
- 只有貴組織中的人員 會限制僅對內部用戶共用。
一般部署會從針對低敏感度位置選取的 [新來賓和現有來賓] 選項開始,並針對高敏感度進行到「僅限貴組織中的人員」,例如 PROTECTED 位置。 具有高外部共同作業控制的組織會在所有標籤上使用 [現有來賓] 選項。
如同外部存取設定,範 例群組和月臺設定 中提供的範例組態是設計來示範根據 PSPF 原則 8 核心需求 C) ,與位置的敏感度 (成比例的操作控件。
如果組織想要進一步限制來自標記位置的共用,可以透過PowerShell啟用進階功能,以控制網站或小組成員可用的共享選項。 此設定可以套用至 PROTECTED 標籤,以符合 PSPF 原則 9 需求 2:
| 需求 | 詳細資料 |
|---|---|
| PSPF 原則 9 需求 2 - 限制存取 v2018.6 (機密和分類資訊和資源) | 若要降低未經授權洩漏的風險,實體必須確保只有需要知道的人員才能存取機密和安全性分類資訊或資源。 |
此選項可確保小組擁有者能夠控制使用者存取儲存在 PROTECTED 位置內的內容,因為他們需要代表成員完成所有共用活動,或藉由擴充其成員資格來提供網站或小組內含資訊的存取權。
您可以透過下列 PowerShell 來設定這些功能:
Set-Label -Identity <Label_GUID> -AdvancedSettings @{MembersCanShare="MemberShareNone"}
如需 MembersCanShare 選項的詳細資訊,請參閱搭配Microsoft Teams、Microsoft 365 群組 和 SharePoint 網站使用敏感度標籤。
條件式存取
Microsoft Entra ID 中的條件式存取原則提供控制控制的服務的存取。 條件式存取原則會評估特定條件,以判斷是否允許存取特定服務,例如 SharePoint、Teams 或一般Microsoft 365。 條件式存取原則的預設功能不允許更細微地控制特定群組或網站層級的存取。
敏感度標籤條件式存取組態允許套用至網站或小組 (位置的標籤) 與使用者存取需求之間的一致性。 這提供比透過標準條件式存取可達成的更細微的控制層級,在大部分情況下,會在登入或連線至服務時進行檢查。
除了任何條件式存取登入需求之外,也會套用敏感度標籤特定的條件式存取需求。 例如,如果條件式存取原則需要:
- 用戶驗證。
- 用戶會透過多重要素驗證 (MFA) 來驗證其身分識別。
- 用戶必須位於受管理的裝置上。
如果這些條件都成立,則同樣需要受管理裝置的標籤原則會提供很少的價值,因為登入時觸發的條件式存取原則符合此需求。
不過,您可以允許使用者驗證及存取某些位置 (例如,透過 Unmanaged 裝置進行) 。。非受控裝置。 如果他們接著嘗試存取較高的敏感度位置 (例如 OFFICIAL:敏感性) ,設定為需要受管理的裝置,則會封鎖其存取。 這些功能可用來允許遠端工作,方法是透過個人行動裝置或主計算機啟用存取層級,而不會讓組織面臨使用這類裝置來存取高度敏感位置的風險。
如同許多群組和月台組態選項,這些控件可以系結至 PSPF 原則 8 核心需求 C,因為它們允許根據位置的敏感度來套用存取限制:
| 需求 | 詳細資料 |
|---|---|
| PSPF 原則 8 核心需求 C (v2018.6) | 針對這些資訊實作作業控件,這些資訊與其價值、重要性和敏感度成正比。 |
此外,由於這元件涉及限制對資訊的存取,並協助確保需要知道,因此也適用 PSPF 原則 9 需求 2:
| 需求 | 詳細資料 |
|---|---|
| PSPF 原則 9 需求 2 - 限制存取 v2018.6 (機密和分類資訊和資源) | 若要降低未經授權洩漏的風險,實體必須確保只有需要知道的人員才能存取機密和安全性分類資訊或資源。 |
有兩個條件式存取組態類別可透過群組和網站設定取得,例如:
- 非受控裝置限制
- 驗證內容
非受控裝置限制
非受控裝置是未註冊到 Intune 裝置管理平臺或未加入 Microsoft Entra ID 的裝置。 識別非受控裝置有助於確保已知連線到環境的裝置、使用者已使用組織帳戶進行驗證,以及已備妥一組基本的裝置需求。 不符合這些需求的裝置可能會被視為比那些不符合這些需求的裝置有更高的風險。
如需已加入 Microsoft Entra ID 裝置的詳細資訊,請參閱什麼是已加入 Azure AD 的裝置?
在敏感度標籤上設定非受控裝置選項,可讓標示為標籤的 SharePoint 網站或 Teams 連結至以非受控裝置為目標的條件式存取原則,並強制執行「應用程式強制執行限制」。
有三個可用的組態選項:
- 允許從傳統型應用程式、行動應用程式和 Web 完整存取:此選項可讓未受管理的裝置存取標示的位置,而不受任何限制。 這可讓使用者將檔案從這些位置下載到其非受控裝置,這可能會導致數據遺失,而不需要其他控件。 因此,某些組織可能會選擇只針對較低的敏感度位置啟用此功能。
- 允許受限的僅限網頁存取:此選項允許非受控裝置只能透過網頁瀏覽器存取標記的位置。 這些僅限 Web 的會話也可以移除下載或列印檔案的功能,協助確保需要知道,方法是防止敏感性資訊遭到下載並儲存在攻擊者可以輕鬆存取或意外檢視的位置。
- 封鎖存取:此選項可用來封鎖套用標籤位置的非受控裝置存取。
驗證內容
在某些情況下,組織可能需要將更細微的控件套用至標籤位置,而不是純粹根據裝置管理狀態來套用。 驗證內容 可讓您對齊具有標籤位置的全功能條件式存取原則。
驗證內容基本上是 『object』,用來連結條件式存取原則與敏感度標籤。 嘗試存取標記的網站會觸發連結的條件式存取原則,並套用其需求。
驗證內容的優點如下:
- 它允許根據位置的敏感度,一致地套用完整的條件式存取原則。
- 完整條件式存取原則的細微控制可讓我們滿足更多利基案例,例如使用者或群組型排除、位置或IP型限制。
驗證內容及其相關聯的條件式存取原則必須在 Microsoft Entra ID 內建立,才能連結至標籤。
與最小處理保護保持一致
PSPF 原則 8 附錄 A 包含控制項清單,這些控件應該就緒,以便在政府設施外部使用和儲存資訊。
這些附錄包含受控 (安全狀態) 和非受控 (不安全狀態) 裝置的定義,以及有關使用授權的非政府裝置的陳述,都十分複雜。 如需這些附錄詳細數據的詳細資訊,請參閱 保護安全策略架構 (PSPF) 。
關於使用非授權的非政府裝置,這屬於「所有其他行動裝置」類別:
| 需求 | 詳細資料 |
|---|---|
| PSPF 原則 8 附錄 B - 2018.6 版 v2018.6 版 (政府發行行動裝置的最低保護和處理需求) | 所有其他行動裝置 – 實體未擁有、發行或授權的裝置。 這些裝置不得獲授權存取、處理、儲存或通訊政府官方:敏感性或更高資訊。 |
下列範例說明如何設定標籤條件式存取原則,以符合 PSPF 原則 8 核心需求 C (控件與敏感度) 成正比。 此範例會進一步示範一般條件式存取原則適用於使用者在透過驗證內容套用至標記位置的任何位置型控件之前,於驗證/存取服務時觸發:
| 標籤 | 條件式存取設定 |
|---|---|
| 非官方 | 允許完整存取。 |
| 官方 | 允許完整存取。 |
| OFFICIAL:敏感性 | 封鎖所有非受控裝置的存取。 |
| 保護 | 連結至驗證內容,其中: - 需要受控裝置 - 需要授權使用者群組的成員資格,以及 - 需要從信任的位置存取。 |
數據就地警示
透過群組和月台組態將標籤套用至位置可讓數據就地發出警示。
當系統管理員將標籤套用至某個位置時,他們會確定該位置適合儲存專案,最多包含套用的標籤。 如果位置設定為 『OFFICIAL: Sensitive』,則可以包含所有卷標的專案,最多包含 『OFFICIAL: Sensitive』 和任何可能存在於相同群組內的子卷標。
如果 PROTECTED 專案移至 「OFFICIAL: 敏感性」位置,這是數據外洩,而且需要補救,而這正是警示就位很重要的地方。
發生這類事件時:
- 動作不會遭到封鎖,這很重要,因為它可能是因為重新分類或其他必要的商務程式所造成。
- 偵測到不相容的敏感度標籤警示會傳送給使用者,用戶會嘗試教育他們問題、提供專案的連結、專案的和位置,並將其導向至 URL 以取得進一步的協助。
- 警示會傳送給 SharePoint 網站的系統管理員,告知他們事件。 如有必要,可以實作郵件流程規則或類似的設定,將這些警示導向安全性小組。
- 系統會產生「偵測到的檔敏感度不符」稽核記錄事件。
下列是警示的範例,會在發生這類動作時傳送給使用者:
提示
這些通知中提供的 HelpLink URL 可以透過下列方式設定:
Set-SPOTenant –LabelMismatchEmailHelpLink “URL”
數據就地警示應受到密切監視,如下所示:
- 當 PROTECTED 或 OFFICIAL 時,可能很難遵守需要知道的原則:敏感性專案會移至較低的敏感度容器,例如,可能會有更寬鬆的隱私權設定。
- 條件式存取等控件在敏感度較低的位置可能會較為寬鬆,這可能會導致數據遭到外泄或移至非受控裝置。
政府組織可以使用 Microsoft Purview 分層式方法,來降低數據遭到數據外流的風險。 這包括:
- 監視數據就地警示的方法。
- 包含 數據外洩防護層級 (DLP) 保護,以評估套用卷標 (以外的專案中包含的內容,如 限制敏感性資訊) 的發佈 中所探索。
- 透過測試人員風險管理和調適型保護等工具,在嚴重違反原則之前識別有風險的用戶行為。
監視數據的就地警示
根據預設,敏感度不符警示會顯示在稽核記錄、網站系統管理員信箱中,並顯示在活動總管中。 Microsoft政府組織的 Purview 實作應包含處理敏感度不相符警示的策略和程式。 此策略也應包含優先順序,以確保優先順序高於優先順序不相符的更重大警示。
例如,移至標示為[無意義] 之 SharePoint 位置的 OFFICIAL 資訊,其結果會比移至標示為[無意義] 之 SharePoint 位置的 PROTECTED 資訊小,而且應依排名順序提供優先順序。
下列範例優先順序矩陣示範組織判斷哪些事件要優先處理數據就地補救的方式:
| 項目標籤 | 非官方位置 | OFFICIAL 位置 | 官方敏感性位置 | 受保護的位置 |
|---|---|---|---|---|
| 非官方專案 | - | - | - | - |
| OFFICIAL 專案 | 較低優先順序 | - | - | - |
| 官方敏感性專案 | 中等優先順序 | 中等優先順序 | - | - |
| PROTECTED 專案 | 最高優先順序 | 高優先順序 | 高優先順序 | - |
若要監視和執行這些事件,請使用安全性資訊和事件管理 (SIEM) 解決方案,例如 Microsoft Sentinel 擷取稽核記錄檔,以及根據位置的敏感度和專案的敏感度篩選事件。 然後,我們會觸發警示或補救活動來解決這種情況。
對於未使用 SIEM 功能的組織,可以透過郵件流程規則提供細微的警示,該規則會檢查傳送給違規使用者的警示電子郵件本文,並將電子郵件導向其他地方以採取動作。 例如:
這類規則可以設定為檢查電子郵件內文中是否有檔案和網站敏感度詳細數據,然後觸發適當的警示,例如通知安全性小組。
Power Automate 提供其他報告或警示選項。 例如,可以建立流程來處理傳送至異地數據的專案警示信箱、從 Microsoft Entra ID 取得違規的使用者管理員字段,以及傳送事件報告給管理員,讓他們能夠透過其附屬處理情況。
提示
最佳方法是開發符合其他商務程式的警示/報告策略。 使用 Microsoft Sentinel 作為 SIEM 是最佳選項,因為它是建置且設計來與 Microsoft Purview 搭配使用。
範例群組和月台設定
下列範例說明如何根據套用的敏感度標籤,將細微控件套用至位置。 這與 PSPF 原則 8 核心需求 C 一致,並提供與專案值、重要性和敏感度成正比的操作控制件。
| 敏感度標籤 | 群組 & 網站 | 隱私權設定 | 外部存取 | 外部共用 | 條件式存取 |
|---|---|---|---|---|---|
| 非官方 | 開啟 | 關閉或無 (用戶決定) |
允許來賓 | 允許現有來賓 | 關閉或允許來自非受控裝置的完整存取 |
| 官方 | 開啟 | 關閉或無 (用戶決定) |
允許來賓 | 允許現有來賓 | 關閉或允許來自非受控裝置的完整存取 |
| OFFICIAL 機密 (類別目錄) | 關閉 | 不適用 | 不適用 | 不適用 | 不適用 |
| 官方敏感性 | 開啟 | Private | 允許來賓 | 允許現有來賓 | 封鎖非受控裝置上的存取 |
| 官方敏感性個人隱私權 | 關閉 | 不適用 | 不適用 | 不適用 | 不適用 |
| 官方敏感性法律許可權 | 關閉 | 不適用 | 不適用 | 不適用 | 不適用 |
| 官方機密機密機密密碼 | 關閉 | 不適用 | 不適用 | 不適用 | 不適用 |
| 官方機密國家封包 | 關閉 | 不適用 | 不適用 | 不適用 | 不適用 |
| protected (Category) | 關閉 | 不適用 | 不適用 | 不適用 | 不適用 |
| 保護 | 開啟 | Private | 不允許來賓 | 只有貴組織中的人員 | 驗證內容: - 需要 MFA、 - 管理的裝置;和 - 信任的位置。 |
| PROTECTED - 個人隱私權 | 關閉 | 不適用 | 不適用 | 不適用 | 不適用 |
| PROTECTED - 法律許可權 | 關閉 | 不適用 | 不適用 | 不適用 | 不適用 |
| PROTECTED - 保密 | 關閉 | 不適用 | 不適用 | 不適用 | 不適用 |
| PROTECTED CABINET | 開啟 | Private | 不允許來賓 | 只有貴組織中的人員 | 驗證內容: - 需要 MFA、 - 管理的裝置;和 - 信任的位置。 |
| PROTECTED NATIONAL CABINET | 開啟 | Private | 不允許來賓 | 只有貴組織中的人員 | 驗證內容: - 需要 MFA、 - 管理的裝置;和 - 信任的位置。 |
SharePoint 的默認標籤
默認標籤是一項功能,可讓在 SharePoint 文件庫內建立的項目自動繼承敏感度標籤。 繼承的標籤會套用至任何新的或未標記的專案,以及具有低於預設標籤之現有標籤的專案。 默認標籤可用來協助比對網站的敏感度與其中所儲存檔案的敏感度。
政府組織可能會擔心默認標籤選項與禁止使用自動分類的需求之間的明顯鄰近性,例如:
| 需求 | 詳細資料 |
|---|---|
| PSPF 原則 8,需求 2a (核心需求) :評估 v2018.6 (機密和安全性分類資訊) | 若要決定要套用哪些安全性分類,起始者必須: i. 評估官方信息的價值、重要性或敏感度,方法是考慮在資訊的機密性遭入侵時,可能會對政府、國家利益、組織或個人造成損害...和 ii. 將安全性分類設定為最低的合理層級。 |
在系統產生項目的情況下,澳大利亞政府環境中的默認標籤可能會很有用。 例如,如果有應用程式做為商務程式的一部分,它會在Power Automate流程 (大量建立專案,例如) 。 在中產生專案的位置可以套用預設標籤。 這可確保進程產生的所有專案都已套用一致的標籤。
只有新建立的專案,以及在套用預設設定之後修改或移至位置的專案,才會繼承標籤。 卷標無法套用至位置中的現有待用檔案。
對於使用標籤加密的組織,應該使用預設標籤來記下下列幾點:
- 若未依照標籤加密條件約束) 中所述 (啟用的加密內容共同撰寫,當用戶選取 [檔案>另存新檔] 選項時,套用文檔庫的默認敏感度卷標可能會有些許延遲。
- 如同網路 Office 365 的敏感度標籤,SharePoint 不支援一些套用加密的標籤設定。 例如:
- 讓使用者指派許可權 加密選項需要用戶互動,而且不適用於預設標籤。
- 使用者存取到期和雙重密鑰加密的選項也可能會受到影響。
如需默認標籤的相關信息, 請參閱設定 SharePoint 文檔庫的預設敏感度標籤。