分類及保護敏感性資訊

Defender for Cloud Apps 架構的其中一個關鍵元素是保護您的敏感性資訊。敏感性是一個主觀片語，各個組織各有不同。

您可在這裡了解如何尋找哪些應用程式正在存取您的資料、如何分類敏感性資訊、如何防止不合法的存取，以及如何監視及報告環境的整體健康情況。

什麼是資訊保護？

員工可能會不小心將檔案上傳到錯誤的位置。或者，他們可能會傳送機密資訊給不應擁有該機密資訊的人員。因此，資訊可能會遺失或讓錯誤的人易於取得。任何遺失或不當公開的資訊都可能會對貴組織造成嚴重的法律、財務或信譽後果。資訊對於任何現代化組織都非常重要，而且您想要確保資訊隨時受到保護。

為了協助您，Microsoft Defender for Cloud Apps 會原生地與 Azure 資訊保護整合，這是一種雲端式服務，可協助分類及保護整個組織的檔案和電子郵件。

注意事項

您必須啟用 Microsoft 365 的應用程式連接器，才能利用 Azure 資訊保護

您可以分階段使用 Defender for Cloud Apps 來強制執行資訊保護：

在此階段期間，您確定應用程式已連線到 Microsoft Defender for Cloud Apps，以便掃描和分類資料，然後套用原則與控制項。您可以用兩種不同的方式來執行這項操作：使用應用程式連接器，或使用條件式存取應用程式控制。

在這個階段中，您會執行下列操作：

決定貴組織內容中哪些項目是敏感性。 Microsoft Defender for Cloud Apps 包含超過 100 種預先定義的敏感性資訊類型，以及 Azure 資訊保護中的預設標籤。敏感性資訊類型和標籤會定義如何處理，例如，護照號碼和國家/地區身分識別號碼。您也可以使用 Azure 資訊保護中的預設標籤。 Microsoft Defender for Cloud Apps 將在掃描時使用這些標籤來分類資訊。標籤包括：
- 個人：資料僅適用於個人、非商業用途。
- 公用：可共用以供公用使用的數據，例如營銷海報和部落格文章。
- 一般：無法共用供大眾使用，但是可以與外部合作夥伴共用的資料。例如，專案時間表和組織架構。
- 機密：如果與未經授權的人員共用，可能會損害組織的資料。例如，銷售帳戶資料和預測。
- 高度機密：如果與未經授權的人員共用，將會造成嚴重損害的非常敏感性資料。例如，客戶詳細資料、密碼和原始程式碼。
藉由選取 [設定] 窗格中的 [自動掃描 Azure 資訊保護分類標籤的新檔案]，在 Microsoft Defender for Cloud Apps 中啟用 Azure 資訊保護整合：

您可以建立不同類型的原則來偵測敏感性資訊，並據此採取行動。例如，您可以建立檔案原則以即時掃描您應用程式中的檔案內容，以及掃描其餘資料。檔案原則可讓您套用控管動作。然後，您可以自動：

若要建立檔案原則

選取 [檔案原則]

當表單出現時，填入下列欄位：

欄位	描述
原則重要性	定義原則的重要性，以及是否要觸發通知。您可以自定義原則的嚴重性，以快速識別與原則相符專案相關聯的風險。
類別	這是您指派給原則的參考標籤，可協助您稍後找到它。根據預設，檔案原則為 DLP。
針對此原則將採取動作的檔案建立篩選	它用來決定哪些應用程式會觸發原則。在理想情況下，這應該定義為盡可能縮小以避免誤判。
套用到 (第 1 個)	選取哪些探索到的應用程式會觸發原則。有兩個選擇： ·排除所選資料夾的所有檔案：將原則套用至所有檔案。 ·選取的資料夾：將原則套用至Box、SharePoint、OneDrive和Dropbox等應用程式。
套用到 (第 2 個)	選取此原則中應包含哪些使用者和群組。有三個選項： ·所有檔案擁有者 ·來自選取使用者群組的檔案擁有者。排除所選群組的所有檔案擁有者
內容檢查方法	選取您想要檢查檔案的方式。有兩個選項： ·內建 DLP ·數據分類服務 (DCS) Microsoft 建議 DCS，因為這可讓您跨 Microsoft 365、Azure 資訊保護和適用於雲端應用程式的 Microsoft Defender 使用統一的標籤體驗。
Governance	選取您希望適用於雲端應用程式的 Microsoft Defender 在偵測到相符項目時執行的治理動作。

檢查您的儀表板以監視警示和環境的整體健康情況。例如，若要檢閱檔案相關的警示，請前往 [警示] 窗格，然後選取 [類別] 欄位中的 [DLP]。

您可以調查檔案相關的警示，進一步了解觸發的原因。或者，您可以關閉您判斷可以忽略的警示。您也可以將警示匯出至 CSV 檔案，以進一步分析。