使用 Microsoft 365 安全性工具保護您的 Microsoft 365 Copilot 資料
許多組織都擔心其使用者過度共用內部或個人資訊。 為解決這些疑慮,Microsoft 在其 Microsoft 365 和 Azure 生態系統中提供強大的安全性工具。 這些工具可協助組織強化權限,並實作「僅夠存取」。系統管理員在這些工具中定義的原則和設定,不只可供 Microsoft 365 和 Azure 用來防止資料過度共用,也可供 Microsoft 365 Copilot 使用。 系統管理員應確認其組織的安全性做法,因為其與權限、敏感度標籤和資料存取相關,可協助防止可能過度共用專屬和敏感性商務資料。
Microsoft 建議使用「僅夠存取」方法來解決這種情況。 在此方法中,每個使用者只能存取其作業所需的特定資訊。 此方法需要嚴密控制權限,讓使用者無法存取不應看到的文件、網站或資料。
若要避免過度共用,組織應考慮實作下列最佳做法:
- 針對網站、文件、電子郵件和其他內容進行存取權審查。 識別任何過度公開的資產。 讓數據擁有者清查 SharePoint 網站、文檔庫、電子郵件信箱和其他數據資產。 識別使用者權限超出所需範圍的區域。 例如,不只是 HR 團隊,所有員工都可以看到「HR 權益」SharePoint 網站。
- 強化過度公開資產的權限,僅讓授權的使用者擁有存取權。 使用上一個項目中的範例,將「HR 權益」網站存取權限制為僅限 HR 部門成員。 同樣地,將機密產品藍圖文件限制為僅限相關的產品經理。 若要限制曝光,請在電子郵件和文件上設定外部共用和存取到期日。
- 驗證限制存取權不會妨礙任何使用者執行其工作的能力。 調查和面試受限制資產的使用者,以確認他們仍可存取其角色的所有必要資訊。 例如,確保即使公司限制 HR 資料,銷售人員仍可存取用戶端聯絡人資訊和專案規格。
- 測試搜尋功能,確認使用者只能存取與其角色相關的資訊。 以不同的內部角色執行文件、網站、電子郵件取樣的搜尋。 確認財務人員無法存取 HR 資料。 驗證跨部門團隊保留共用專案資源的存取權。 調整權限是一個需反覆執行的程序。
-
實Microsoft SharePoint 進階管理工具。 如先前的訓練所述,SharePoint 進階管理 (SAM) 包含數個工具,可協助組織防止過度共用,包括:
- 數據存取治理報告。 這些報告會識別包含可能過度共用或敏感內容的網站。 這些報告也會提供您組織內最上層許可權網站的深入解析。 當系統管理員使用數據存取治理報告來識別這些網站時,系統管理員可以採取更正動作,以確保未經授權的使用者不會存取敏感數據。 此主動式方法可協助組織維護安全的數據環境,並防止意外的數據外洩。
- SharePoint 和 OneDrive 的限制存取控制。 您可以啟用 SharePoint 網站限制訪問控制原則,防止在網站層級探索網站和內容。 網站存取限制只允許指定安全組或Microsoft 365 群組中的使用者存取內容。 您也可以將使用者 OneDrive 共用內容的存取限制為僅限安全組中具有 OneDrive 限制存取控制的人員。 一旦啟用原則,不在指定安全組中的任何人就無法存取該 OneDrive 中的內容,即使先前已與他們共用也一般。
- 網站存取權檢閱。 此工具可協助系統管理員定期檢閱及管理可存取特定 SharePoint 網站的人員。 此功能可讓IT系統管理員將數據存取治理報告的檢閱程式委派給網站擁有者,這些擁有者最適合瞭解共用內容的內容和必要性。 此工具適用於解決數據存取治理報告中識別的過度共享問題。 當網站標幟為可能過度共用時,系統管理員可以起始網站存取權檢閱,提示網站擁有者驗證和管理訪問許可權。
- 受限制的內容探索。 這項功能可防止未經授權的使用者探索敏感性內容,藉由根據用戶權力限制可見性來增強數據安全性。 這項功能會根據用戶權力來限制特定內容的可見性,確保只有具有適當存取層級的內容可以尋找和檢視敏感性資訊。 限制的內容探索對於維護數據安全性與合規性很重要,因為它有助於控制誰可以查看機密數據並與之互動。 此工具會限制內容的可探索性,以協助組織更安全地管理其數據,並防止意外過度共用。
保護資料的 Microsoft 工具
Microsoft 365、Microsoft 365 Copilot 和已連線的服務全都會使用系統管理員定義的原則和設定,來強化權限並實作「僅夠存取」。他們會透過外掛程式和 Microsoft Graph 連接器來執行此動作,以防止資料過度共用。 下列清單提供系統管理員可用以定義這些原則和設定的一些工具的簡短摘要:
Microsoft Purview 資訊保護。 根據敏感度分類並選擇性地加密文件和電子郵件。 您可以建立原則,限制僅限授權的使用者才能存取。 例如,您可以:
- 將包含員工薪資的文件或電子郵件分類為「高度機密」,並限制僅限 HR 團隊才能存取。
- 將用戶端資料分類為「機密」,並僅允許指派給該用戶端的銷售代表存取資料。
- 將財務報告分類為「僅限內部」,並自動加密報告,以防止外部共用。
- 將主管通訊分類為「僅限內部觀看」,並限制領導團隊成員才能存取。
Microsoft Purview 敏感度標籤。 將 SharePoint 網站、文件和電子郵件分類及標記為敏感度標籤,例如「機密」或「僅限內部使用」。您可以建立原則來限制對具有特定敏感度標籤之資產的存取。 例如,您可以:
- 以「HR 機密」敏感度標籤標記員工績效審查,並限制只有 HR 經理才可存取。
- 使用「客戶機密」標籤來標記客戶資料,並設定原則以封鎖下載、列印或共用具有該標籤標的項目。
- 使用「機密」來標記客戶資料,並設定為自動加密已套用此標籤的檔案。
- 將會計試算表標記為「財務機密」,並限制僅財務團隊成員才可存取。
Microsoft Entra 條件式存取原則。 根據使用者位置、裝置或網路等條件,授與或限制 Microsoft 365 資訊和服務 (包括 SharePoint) 的存取權。 這些原則有助於在系統偵測到風險或使用者認證遭入侵時限制存取。 例如,您可以:
- 遠端連線時,需要多重要素驗證才能存取包含財務資料的 SharePoint 網站。
- 封鎖包含內部簡報的網站外部共用,除非使用者透過公司網路上的受控裝置進行連線。
- 需要受控裝置才能存取包含專屬原始程式碼的網站。
- 在公開公告日期之前,封鎖包含新聞稿的網站存取權。
- 當系統偵測到不可能的移動時 (這通常是認證竊取的指標),封鎖存取或要求使用另一個因素進行逐步驗證。
Microsoft Entra 特殊權限身分識別管理 (PIM)。 藉由只在需要時授與使用者所需的權限,提供 Just-In-Time 系統管理員存取權、強制執行最低權限原則並限制永久常設特殊權限。 例如,您可以:
- 僅針對核准的上班時間授與特殊權限角色 (例如 SharePoint 系統管理員或全域管理員),以將常設存取權降至最低。
- 需要多重要素驗證和理由,才能啟用資料或應用程式的特殊權限存取。
- 將計費管理員等特殊權限存取限制為每週 5 小時上限。
- 需要核准才能啟用 Microsoft 365 全域管理員角色存取權。
SharePoint 進階管理 (SAM) 網站存取權檢閱。 此 SAM 工具需要並自動化網站擁有者、成員和存取要求的存取權檢閱,以撤銷使用者不需要或不再需要的許可權。 本單元稍早已檢查此工具,以協助組織防止數據過度共用。 它也可協助組織確保只有授權的使用者可以存取敏感性資訊,進而降低數據外泄的風險。 網站存取權檢閱可確保使用者只保留其角色所需的存取權。 例如,您可以:
- 除非經過審查和核准,否則系統會在 90 天後自動撤銷 HR 或財務系統的權限。
- 需要外部使用者帳戶每季的業務理由,以驗證持續的存取權需求。
- 需要每季審查使用者存取權,並移除離職員工的存取權。
- 對共同作業網站的外部使用者存取權強制執行原則時間限制。
Microsoft Graph 連接器和外掛程式。 使用 Microsoft Graph 連接器或外掛程式限制對已連線外部資料的存取權。 例如,您可以:
- 定義使用者和群組存取已連線資料提供者所需的存取範圍。
- 針對與 Microsoft 365 Copilot 外掛程式搭配使用的已連線服務和資料,要求使用者帳戶型服務驗證。
- 將延伸搜尋功能限制為透過 Graph 連接器編製索引的外部內容,僅限應具有存取權的使用者。
使用這些工具的組合來加強存取權並實作最低權限,可讓組織限制敏感性資料的曝光風險,並防止過度共用,以保護敏感性資訊的安全。 這些工具是啟用「僅夠存取」的強大機制。藉由確保每位員工都有足夠的存取權來完成工作,而無需過多的特殊權限,您也可以讓 Microsoft 365 Copilot 只專注於實用建議所需的適當資料。
其他閲讀資源。 如需保護資料和使用者裝置的詳細資訊,請參閱下列訓練供應項目:
知識檢查
為以下每個問題選擇最佳的回應。