使用 Microsoft Purview 資訊保護的技術必要條件,以符合澳大利亞政府與 PSPF 的規範
本文針對應部署至組織的服務和元件,為澳大利亞政府組織提供指引,以充分利用敏感度標籤和其他Microsoft Purview 功能。 其目的是協助組織瞭解部署 Microsoft Purview 資訊保護 的必要條件,以符合保護安全策略架構 (PSPF) 和資訊安全性手冊 (ISM) 中所述的需求。
為了充分利用本指南中所述的設定,組織應該實作下列核心Microsoft 365 服務:
- Exchange Online
- Microsoft Office Online 或 Microsoft 365 Apps Office 用戶端
- SharePoint Online
- Microsoft Teams
本指南中所討論的設定會參考最多包含 PROTECTED 的標記和分類,組織也應該使用本指南範圍內的 PROTECTED 環境需求。
注意事項
實作 PROTECTED 標籤並不會自動表示環境適用於受保護的數據。 政府組織必須根據 資訊安全手冊 (ISM) 和 ASD 的「安全雲端藍圖」來設定基礎控制。
Microsoft Office 用戶端支援
用戶端支援是成功實作 Microsoft Purview 資訊保護 功能的關鍵。 使用者用來與 Office 檔案、電子郵件和其他服務互動的用戶端,必須要有標籤感知,才能加速捲標應用程式。 本節討論Microsoft能夠進行此整合的 Office 用戶端版本,並尋求找出 Purview 部署之前所需的任何必要工作。
Microsoft 365 Apps 企業版
Microsoft 365 Apps 企業版是 Microsoft Office 的版本,可讓您與 Microsoft 365 服務套件整合。 由於 Microsoft 365 是持續演進的雲端式服務,Microsoft 365 Apps 版的 Office 用戶端會收到高頻率的更新,以跟上雲端平臺。 Office 用戶端與 Microsoft 365 雲端服務之間的這項整合,可讓使用者使用比透過獨立 Office 用戶端可達成的更廣泛功能集。 傳統用戶端提供靜態功能集並接收安全性更新,但通常無法存取新發行的功能或以雲端為中心的功能。
如需Microsoft 365 應用程式可用更新通道的詳細資訊,請參閱 Microsoft 365 Apps 更新通道概觀。
Microsoft Purview 資訊保護用戶端
先前,執行傳統 Office 用戶端的組織使用 Azure 資訊保護 (AIP) 統一標籤用戶端,在非 Microsoft 365 Apps 客戶端上啟用標籤選取。 AIP 已由組建中 Microsoft 365 Apps 用戶端功能取代。
Microsoft Purview 資訊保護 仍與AIP相關的用戶端功能會繼續受到支援。 其中包括 Windows 殼層擴充功能、資訊保護掃描器,以及資訊保護檔案標籤器和資訊保護查看器。 如需這些功能的詳細資訊,請參閱 在 Windows 上擴充敏感度標籤。
Mac、iOS 和 Android 用戶端支援
新的 Purview 功能通常會先提供給 Windows 型 Microsoft 365 Apps 版 Office,然後再提供給其他 Office 版本使用。 如需用戶端版本功能的狀態,請參閱 不同用戶端中敏感度標籤的最低版本。 部署 Microsoft 365 的組織應該評估這項資訊,以確保組織所使用版本上的所有所需功能都可供使用。
Microsoft 365 Web 用戶端
在 Microsoft 365 Apps 數據表中敏感度標籤的最小版本中,許多 Purview 功能都會列為 Office 用戶端 Web 版本的「是 - 選擇加入」。 此字組的目的是要說明這些功能可供使用,但需要在特定案例中啟用。 例如,Web 型 Office 和 Outlook 用戶端預設會啟用將標籤套用至檔案或電子郵件的功能,但必須先啟用,才能將標籤套用至 SharePoint 網站。 因此,Web 會列為此功能的「選擇加入」。 列為「正在檢閱」的功能通常是新的,而且仍在開發網頁型平臺。
值得注意的是,某些網頁瀏覽器,例如 Microsoft Edge Chromium、Chrome 和 Firefox,具有產品內建或透過載入巨集提供的 Microsoft Purview 資料外洩防護 功能。 這些 DLP 功能可防止遺失安全性分類或敏感性專案,因此應考慮進行部署。
提示
在 DLP 設定過程中,組織應該使用 DLP 感知用戶端。 如需如何使用 Essential 8 實作此內嵌功能,請參閱 條件式存取 。
管理用戶端需求
保護安全策略架構 (PSPF) 原則 8 需求,包括三個核心需求,都與識別敏感性資訊或相依於先識別敏感性資訊的控件有關。 瞭解使用者將標記套用至專案需求的用戶端應用程式,可以強制使用者在專案建立時套用標記,以協助我們符合需求。 標示之後,就可以強制執行操作控件來保護專案的封入內容。 在本文中,我們將這類設定稱為「強制標籤」。 在 Microsoft 365 內,這主要是透過標籤原則選項來達成,這在 強制卷標中會加以討論。
作為強制標籤重要性的範例,請考慮已傳送但未先套用保護標記的電子郵件。 這可能是因為缺少客戶端支持而發生。 在這種情況下,我們必須假設用戶沒有機會根據 PSPF 原則 8 核心需求 2) 來評估所含資訊 (的敏感度。 由於項目在數據外泄方面具有高風險,因此 ISM-0565 等 ISM 控件應適用:
| 需求 | 詳細資料 |
|---|---|
| ISM-0565 (2024 年 6 月) | Email 伺服器設定為封鎖、記錄和報告具有不當保護標記的電子郵件。 |
套用保護標記或敏感度標籤可確保內容的擁有者或建立者已評估專案的敏感度,並允許對包含的信息進行適當的控制。
強制執行強制標籤的選項只能由知道組織Microsoft Purview 標籤原則的用戶端套用。 因此,我們應該考慮確保使用者只能透過支援 Purview 標籤原則的用戶端存取服務Microsoft。 若要達到此目的,應該實作條件式存取原則。
如需在 Essential 8 下套用條件式存取的相關信息,請參閱 應用程控 和 條件式存取。
就地強制套用標籤可確保使用者無法傳送未標記的電子郵件。 不過,仍有一些情況是由組織產生未標記的電子郵件,包括應用程式或多功能裝置和掃描器所產生的電子郵件。 為了強制執行需要 標示所有 電子郵件的設定,組織可以實作控件,以封鎖用戶產生的電子郵件傳輸,而該電子郵件沒有適當的標記。 如需實作這些控件的資訊,請參閱 封鎖未標記電子郵件的傳輸。
PDF 整合
Windows 型 Microsoft 365 Apps 用戶端可在匯出或儲存為 PDF 檔案時,維護套用至 Office 檔的標籤。 這些 PDF 會維護其來源 Office 檔案的保護設定,包括加密。
您可以在標籤感知 PDF 讀取器中讀取受保護的 PDF 檔,包括Microsoft Edge、Chrome、Foxit Reader 和 Adobe Reader (,以及已安裝) 的 Acrobat 和 Acrobat Reader 外掛程式 資訊保護 外掛程式。
政府組織應該部署和使用標籤感知 PDF 用戶端或用戶端外掛程式。 這類客戶端可協助您在將專案匯出至 PDF 時,清楚識別敏感性資訊和控件的應用。
如需這些功能的詳細資訊,請參閱下列連結:
必要的授權
基本使用 Purview 資訊保護 功能需要至少一個 E3 授權。 不過,大部分的政府組織都需要使用 Microsoft 365 E5 (或對等的 E5 合規性附加元件) 才能成熟地使用 Purview 功能。
下表包含一部分常見的政府使用案例,以及執行該使用案例所需的最低授權。
| 用例 | License |
|---|---|
| 手動將敏感度標籤套用至專案。 | E3 |
| 防止將標記的專案散發給未經授權的使用者。 | E3 |
| 將主旨標記套用至標記的專案,以表示專案敏感度。 | E3 |
| 根據其他組織所套用的標記自動套用敏感度標籤。 | E5 |
| 監視和報告整個環境的標籤使用量。 | E5 |
| 將標籤套用至會議和行事曆專案。 | E5 |
| 建議根據敏感性內容的偵測來套用敏感度標籤。 | E5 |
| 監視和控制在裝置上使用已加上標籤的專案。 | E5 |
| 根據具有標籤或其他敏感性項目的活動來識別惡意使用者。 | E5 |
| 偵測敏感性內容,並透過Teams聊天控制其發佈。 | E5 |
| 流覽已加上標籤和敏感性內容位於整個環境的位置。 | E5 |
如上表所示,具有 E3 授權的政府組織可以在基本層級實作 Purview,並達成 PSPF 成熟度模型的 臨機操作 或 開發 層級。 不過,為了確保專案透過與其敏感度相關的控件受到保護,需要 E5 或對等授權中包含的功能。 組織可以使用 E5 達到管理 或 內嵌 的 PSPF 成熟度層級。
達到更高層級合規性成熟度的一個重要因素是使用 敏感度自動套用標籤。 自動套用標籤可讓政府組織接受已在外部套用的分類。 如果電子郵件由一個實體分類並標示,當電子郵件傳送至第二個實體時,該專案仍會標示,但預設不會加上標籤。 由於缺少標籤,因此不在標籤數據安全性控制的範圍範圍內,例如數據外洩防護 (DLP) 原則。 自動套用標籤可讓保護標記 (如 PSPF 原則 8 附錄 F:澳大利亞政府 Email 保護標記標準) 在收到電子郵件時解譯。 解譯之後,會在傳輸期間套用相符的標籤,確保所有相關的控件都會在使用者收到時套用至封入的資訊。