為小組設定高敏感度資料保護
本文中的某些功能需要 Microsoft -SharePoint 進階管理
在本文中,我們將說明如何為小組設定高敏感度層級的保護。 在按照本文所述的步驟操作之前,請確定您已完成為小組部署基準保護中的步驟。
為了獲得這一層保護,我們會建立敏感度標籤以供整個組織用於高敏感度的小組和檔案。
高敏感度層可提供基準層所未提供的下列額外保護:
- 小組的敏感度標籤,可讓您開啟或關閉來賓共用,並強制執行條件式存取原則以存取 SharePoint 網站。
- 卷標也會作為檔案的默認標籤,並加密套用的檔案。 只有貴組織的成員和您指定的來賓能夠解密使用了這個標籤的檔案。
- 只有小組擁有者可以建立私人頻道。
- 網站存取僅限於小組成員。
影片示範
請觀看這段影片,以取得本文所述程序的逐步解說。
來賓共用
視貴公司的性質而定,您不一定會想要為包含高敏感度資料的小組啟用來賓共用。 如果您打算與小組內的非組織內部人員共同作業,建議您啟用來賓共用。 Microsoft 365 有各種安全性與合規性功能可協助您安全地共用敏感內容。 一般來說,這個選項的安全性高過直接用電子郵件將內容傳送給組織外的人員。
如需如何安全地與來賓共用的詳細資訊,請參閱下列資源:
為了允許或封鎖來賓共享,我們使用敏感度標籤中可用的控制件。
驗證內容
我們使用 Microsoft Entra 驗證內容 ,在使用者存取 SharePoint 網站時強制執行更嚴格的存取條件。
首先,在 Microsoft Entra ID 中新增驗證內容。
若要新增驗證內容
在 [Microsoft內部條件式存取] 的 [ 管理] 底下,選取 [ 驗證內容]。
選 取 [新增驗證內容]。
輸入名稱和描述,然後選取 [ 發佈至應用程式] 複選框。
選取 [儲存]。
接下來,建立適用於該驗證內容的條件式存取原則,並要求來賓在存取 SharePoint 時使用多重要素驗證。
若要建立條件式存取原則
在 [Microsoft內部條件式存取] 中,選取 [ 建立新原則]。
輸入原則的名稱。
在 [ 使用者] 索引標籤上,選擇 [ 選取使用者和群組] 選項,然後選取 [ 來賓或外部使用者] 複選框。
從下拉式清單中選擇 [B2B 共同作業來賓使用者 ]。
在 [ 目標資源] 索引 標籤的 [ 選取此原則適用的內容] 下,選擇 [ 驗證內容],然後選取您所建立之驗證內容的複選框。
在 [ 授與] 索引 標籤上,選取 [ 需要多重要素驗證],然後選擇 [ 選取]。
選擇是否要啟用原則,然後選取 [ 建立]。
我們將指向敏感度標籤中的驗證內容。
敏感度標籤
針對高敏感性保護層級,我們會使用敏感度標籤來分類小組。 我們也會使用此標籤來分類和加密小組中的個別檔案。 (它也可以用於其他檔案位置的檔案,例如 SharePoint 或 OneDrive.)
首先,您必須為 Teams 啟用敏感度標籤。 如需詳細資訊,請參閱 使用敏感度標籤保護 Microsoft Teams、Microsoft 365 群組和 SharePoint 網站中的內容 。
如果組織已部署敏感度標籤,請考慮這個標籤與整體標籤策略的配合程度。 您可以視需要變更名稱或設定,以符合組織的需求。
在為 Teams 啟用敏感度標籤後,下一步是建立標籤。
建立敏感度標籤
- 開啟 Microsoft Purview 合規性入口網站。
- 在 [ 方案] 底下,展開 [信息保護]。
- 選取 [建立標籤]。
- 為標籤命名。 我們建議命名為高敏感度,但如果有已經使用的名稱,則可以選擇不同名稱。
- 新增顯示名稱和描述,然後選取 [ 下一步]。
- 在 [ 定義此標籤的範圍] 頁面上,選取 [專案]、[ 檔案]、[ 電子郵件] 和 [群組 & 網站] 。 清除 [ 會議] 複選框。
- 選取 [下一步]。
- 在 [ 選擇檔案和電子郵件的保護設定 ] 頁面上,選取 [ 套用或移除加密],然後選取 [ 下一步]。
- 在 [加密] 頁面上,選擇 [設定加密設定]。
- 在 [指派許可權給特定使用者和群組] 下,選取 [ 指派許可權]。
- 選 取 [新增您組織中的所有使用者和群組]。
- 如果有應具有解密檔案許可權的來賓,請選取 [ 新增使用者或群組 ] 並加以新增。
- 選取 [儲存],然後選取 [下一步]。
- 在 [ 自動標記檔案和電子郵件 ] 頁面上,選取 [ 下一步]。
- 在 [ 定義群組和網站的保護設定 ] 頁面上,選取 [ 隱私權和外部使用者存取 權] 和 [ 外部共用] 和 [條件式存取] ,然後選取 [ 下一步]。
- 在 [定義隱私權和外部使用者存取權設定] 頁面上,於 [隱私權] 底下選取 [私人] 選項。
- 如果您想要允許來賓存取,請在 [外部使用者存取權] 底下,選取 [讓 Microsoft 365 群組擁有者將貴組織外部人員新增到群組做為來賓] 群組。
- 選取 [下一步]。
- 在 [ 定義外部共用和條件式存取設定 ] 頁面上, 選取 [從標示的 SharePoint 網站控制外部共用]。
- 如果您要允許來賓存取,在 [內容可以與誰共用] 底下,選擇 [新的及現有的來賓],或如果您不要允許來賓存取,則選擇 [僅限組織中的人員]。
- 選 取 [使用Microsoft環境條件式存取] 來保護標記的 SharePoint 網站。
- 選取 [ 選擇現有的驗證內容 ] 選項,然後從下拉式清單中選取您建立的驗證內容。
- 選取 [下一步]。
- 在 [ 架構化數據資產的自動 套用卷標] 頁面上,選取 [ 下一步]。
- 選 取 [建立卷標],然後選取 [ 完成]。
在建立好標籤後,您必須將標籤發佈給將使用該標籤的使用者。 為了提供敏感性保護,我們會將標籤提供給所有使用者。 您可以在 Microsoft Purview 合規性入口網站的 [捲標原則] 頁面上,於 [信息保護] 底下發佈標籤。 如果您有適用於所有使用者的現有原則,請將這個標籤新增至該原則。 如果您需要建立新原則,請參閱建立標籤原則來發佈敏感度標籤。
Teams 設定
高敏感性案例的進一步設定是在小組本身和與小組相關聯的 SharePoint 網站中完成,因此下一個步驟是建立小組。
我們將在 Teams 系統管理中心建立小組。
為高敏感度資訊建立小組
- 在 Teams 系統管理中心中,展開 [Teams] ,然後選取 [ 管理團隊]。
- 選取 新增。
- 輸入小組的名稱和描述。
- 為小組新增一或多個擁有者。 (保持擁有者身分,讓您可以選擇下列 檔案的默認敏感度標籤 。)
- 從 [敏感度] 下拉式清單中,選擇您為高敏感性資訊建立 的敏感度 標籤。
- 選取 [套用]。
私人頻道設定
在這一層中,我們會限制只有團隊擁有者能夠建立私人頻道。
限制私人頻道的建立
- 在 Teams 系統管理中心中,選取您建立的小組,然後選取 [ 編輯]。
- 展開 [訊息許可權]。
- 將 [新增和編輯私人頻道] 設定為 [關閉]。
- 選取 [套用]。
共用頻道設定
共用頻道 不具備小組層級設定。 您在 Teams 系統管理中心和 Microsoft Entra 系統管理中心設定的共用頻道設定適用於個別使用者。
SharePoint 設定
每次使用高敏感度標籤建立新的小組時,都要在 SharePoint 中進行兩個步驟:
- 將網站的存取限制為僅限小組成員
- 為與小組連線的文件庫選擇預設敏感度標籤。
默認敏感度標籤必須在網站本身設定,而且無法從 SharePoint 系統管理中心或透過 PowerShell 設定。
限制小組成員的網站存取
每次您建立具有高敏感度標籤的新小組時,都必須在相關聯的 SharePoint 網站上開啟網站存取限制。 這可防止小組外部人員存取網站或其內容。 (這需要 Microsoft Syntex - SharePoint Advanced Management license.)
如果您之前未使用過網站存取限制,則必須為您的組織開啟它。
- 在 SharePoint 系統管理中心,展開 [原則],然後選取 [存取控制]。
- 選 取 [網站存取限制]。
- 選 取 [允許存取限制 ],然後選取 [ 儲存]
這可能需要一小時才會生效。
開啟網站的網站存取限制
- 在 SharePoint 系統管理中心中,展開 [ 網站 ],然後選取 [ 使用中網站]。
- 選取您要管理的網站。
- 在 [設定] 索引標籤上,選取 [限制網站存取] 區段中的 [編輯]。
- 選取 [ 限制存取此網站] 方塊,然後選取 [ 儲存]。
選擇檔案的預設敏感度標籤
我們將使用我們建立的敏感度標籤,作為連線到Teams之網站文檔庫的默認敏感度標籤。 這會自動將高敏感度標籤套用至任何已上傳至連結庫的新標籤檔案,並加密這些檔案。 (這需要 Microsoft Syntex - SharePoint Advanced Management license.)
您必須是小組擁有者才能執行這項工作。
設定文檔庫的預設敏感度標籤
在 Teams 中,流覽至您想要更新之小組的 [ 一般 ] 頻道。
在小組的工具列中,選取 [ 檔案]。
選取 [在 SharePoint 中開啟]。
在 SharePoint 網站中,開啟 [ 設定] ,然後選擇 [鏈接 庫設定]。
從 [鏈接 庫設定] 飛出視窗窗格中,選取 [ 預設敏感度卷標],然後從下拉式方塊中選取高度敏感度標籤。
如需默認文檔庫標籤運作方式的詳細資訊,請參閱設定 SharePoint 文件庫的預設敏感度標籤 和 將敏感度標籤新增至 SharePoint 文件庫。