Шаг 2. Обнаружение электронных данных и аудит

В этой статье описывается настройка обнаружения электронных данных и аудита в среде Microsoft 365 для образовательных учреждений с лицензией A3. Эти функции имеют решающее значение для обеспечения соответствия требованиям, управления удержаниями по юридическим причинам и обеспечения того, чтобы все необходимые данные сохранялись и были доступны во время юридических или нормативных расследований.

Требования

  • лицензия Microsoft 365 A3

Роли и обязанности.

  • ИТ-Администратор
  • Администратор удостоверений
  • OneDrive Администратор
  • Администратор SharePoint
  • EXO Администратор

Microsoft Purview

Функция Описание Дополнительные ссылки
Аудит (стандарт) Предоставляет возможность регистрировать и искать проверенные действия, а также обеспечивать проведение судебно-медицинских, ИТ-, нормативных и юридических расследований. Сведения о решениях аудита в Microsoft Purview
Standard обнаружения электронных данных для сайтов, файлов и сообщений электронной почты Базовое средство обнаружения электронных данных, которое организации могут использовать для поиска и экспорта содержимого в Microsoft 365 и Office 365 Начало работы с eDiscovery (стандарт)
Аналитика классификации данных: Обозреватель содержимого Содержимое Обозреватель обеспечивает видимость объема и типов конфиденциальных данных и позволяет пользователям фильтровать по меткам или типам конфиденциальности. Защита информации Microsoft Purview. Аналитика классификации данных: обзор содержимого & действий Обозреватель
Шифрование сообщений Information Protection Служба, основанная на Azure Rights Management (Azure RMS), которая позволяет отправлять зашифрованные сообщения электронной почты пользователям внутри организации или за ее пределами. Шифрование сообщений Защита информации Microsoft Purview
Метки конфиденциальности (вручную) Пользователи могут применять метки конфиденциальности вручную к Сведения о метках конфиденциальности
Защита от потери данных для файлов и сообщений электронной почты Запретить пользователям неуместно делиться конфиденциальными данными с людьми, которые не должны их иметь Сведения о защите от потери данных
Метки хранения (вручную) Управление данными для организации путем упреждающего принятия решения о том, следует ли хранить содержимое, удалять содержимое или сохранять, а затем удалять содержимое. Создание и настройка политик хранения

Базовые политики хранения на уровне организации или на уровне расположения

Что такое базовые политики хранения?

Базовые политики хранения в Microsoft 365 позволяют учебным заведениям хранить или удалять содержимое в таких службах, как Exchange Online, SharePoint, OneDrive и Microsoft Teams. Эти политики централизованно управляются через портал Microsoft Purview и предназначены для помощи учреждениям:

  • Соблюдать такие правила, как FERPA, GDPR и HIPAA.
  • Сохранение институциональных знаний и академических записей.
  • Снижение риска путем удаления устаревшего или ненужного содержимого.

Можно применить следующие политики:

  • Для всей организации: для всех пользователей и расположений содержимого в клиенте.
  • На уровне расположения: для определенных служб, таких как почтовые ящики, сайты SharePoint или чаты Teams.

Как они работают в сфере образования:

Политики хранения поддерживают три основных действия:

  • Только хранение: храните содержимое в течение указанного периода времени (например, семь лет для записей учащихся).
  • Только удаление: автоматически удаляет содержимое по истечении заданного времени (например, 30 дней для нежелательной почты).
  • Сохранить, а затем удалить: хранить содержимое в течение определенного периода времени, а затем удалять его (например, сохранять сообщения электронной почты преподавателей в течение пяти лет, а затем очищать).

Эти действия применяются на месте, то есть содержимое остается в исходном расположении и может быть обнаружено в соответствии с требованиями или юридическими целями без необходимости перемещать или дублировать его.

Основные варианты использования для образовательных учреждений:

  • Записи учащихся. Хранение файлов OneDrive и сообщений электронной почты Exchange не менее семи лет.
  • Сообщения преподавателей. Применяйте хранение к сообщениям Teams и почтовым ящикам Outlook.
  • Исследовательские данные. Сохраняйте содержимое SharePoint в соответствии с требованиями к грантам или финансированию.
  • Выпускники. Автоматическое удаление неактивных учетных записей и связанных данных по истечении определенного периода.

Управление политиками и ограничения:

Администраторы могут создать до 10 политик на уровне организации и 1000 политик с определенными включениями или исключениями. Политики можно комбинировать с метками хранения для более детализированного управления, например пометкой определенных документов как "Конфиденциальные — данные учащихся" с настраиваемыми правилами хранения.

Подробнее:

Удержание для судебного разбирательства

Microsoft 365 для образовательных учреждений предоставляет надежные возможности удержания судебных процессов, которые помогают учебным заведениям сохранять электронные данные (ESI) во время судебного разбирательства. Ниже приведены некоторые ключевые функции:

  • Сохранение почтового ящика: Когда почтовый ящик помещается на удержание в судебном порядке, все содержимое, включая удаленные элементы и исходные версии измененных элементов, сохраняется. Это хранение применяется как к основному, так и к архивным почтовым ящикам.
  • Длительность удержания: Вы можете указать длительность удержания (на основе времени) для хранения элементов в течение определенного периода или выбрать неограниченное удержание до удаления удержания по судебному разбирательству.
  • Увеличенная квота хранилища: Квота хранилища для папки "Элементы с возможностью восстановления" увеличивается с 30 ДО 110 ГБ, когда почтовый ящик находится на удержании в судебном порядке.
  • Политики хранения: Microsoft 365 позволяет создавать политики хранения и метки для управления хранением и удалением данных, помогая обеспечить соответствие юридическим и нормативным требованиям.
  • Средства обнаружения электронных данных: Платформа включает в себя средства обнаружения электронных данных для поиска, хранения и экспорта данных, относящихся к юридическим делам, что упрощает управление большими объемами информации и их просмотр.

Подробнее:

В Microsoft 365 для образовательных учреждений вы можете использовать удержание для судебного разбирательства в нескольких сценариях, чтобы сохранить электронную информацию (ESI), если есть разумное ожидание судебного разбирательства. Ниже приведены некоторые распространенные ситуации:

  • Ожидаемый судебный иск: Если вы ожидаете судебных исков с участием учебного заведения, таких как споры о записях учащихся, вопросы трудоустройства или соблюдение федеральных правил.
  • Текущие судебные разбирательства: Во время текущего судебного разбирательства убедитесь, что все соответствующие данные сохраняются и не случайно удаляются или не изменяются.
  • Нормативные исследования: При наличии нормативных расследований, требующих сохранения конкретных данных, таких как соблюдение закона о семейных правах на образование и конфиденциальности (FERPA) или других нормативных актов в области образования.
  • Внутренние исследования: Для внутренних расследований, связанных с неправомерными действиями, нарушениями политики или другими проблемами, которые могут привести к судебному разбирательству.

Чтобы поместить почтовый ящик в удержание для судебного разбирательства в Microsoft 365, необходимо иметь соответствующие разрешения, обычно назначенные через группу ролей Управление обнаружением. После того как почтовый ящик находится на удержании в судебном порядке, все содержимое, включая удаленные элементы и исходные версии измененных элементов, сохраняется до тех пор, пока удержание не будет удалено.

Чтобы настроить удержание для судебного разбирательства в Microsoft 365, выполните следующие действия.

  1. Перейдите к Центр администрирования Microsoft 365 и выберите Пользователи > Активные пользователи.
  2. Выберите пользователя, почтовый ящик которого вы хотите поместить на удержание для судебного разбирательства, и выберите имя пользователя, чтобы открыть его свойства.
  3. Чтобы управлять удержанием судебного разбирательства, перейдите на вкладку Почта под свойствами пользователя. В разделе Дополнительные действия выберите Управление удержанием судебного разбирательства.
  4. Чтобы включить удержание для судебного разбирательства, установите флажок Включить удержание для судебного разбирательства. При необходимости можно указать длительность удержания (в днях), чтобы создать удержание на основе времени. Если оставить это поле пустым, элементы будут храниться на неопределенный срок, пока удержание не будет удалено.
  5. Выберите Сохранить изменения , чтобы применить удержание для судебного разбирательства.

Кроме того, вы можете использовать Центр Администратор Exchange (EAC) для размещения почтового ящика в судебном порядке:

  1. Перейдите к EAC.
  2. Выберите Почтовые ящики > получателей.
  3. Чтобы изменить функции почтового ящика, выберите почтовый ящик, который нужно поместить на удержание для судебного разбирательства, а затем нажмите кнопку Изменить. В свойствах почтового ящика перейдите к разделу Функции почтового ящика и в разделе Удержание для судебного разбирательства выберите Включить.
  4. Чтобы указать длительность удержания, введите продолжительность хранения для судебного разбирательства и нажмите кнопку Сохранить .

Подробнее:

Аудит Microsoft Purview (Standard)

Что такое Аудит Microsoft Purview (Standard)?

Аудит Microsoft Purview (Standard) — это базовое решение для аудита, входящее в состав подписок Microsoft 365 и Office 365, включая номера SKU для образовательных учреждений, такие как A1, A3 и A5. Она позволяет ИТ-администраторам и сотрудникам по обеспечению соответствия требованиям:

  • Поиск журналов аудита для действий пользователей и администраторов в службах Microsoft 365 (например, Exchange, SharePoint, Teams).
  • Экспорт и анализ записей аудита для изучения инцидентов или запросов на поддержку.
  • Отслеживайте поведение пользователей, чтобы обеспечить соответствие институциональным политикам.
  • Устранение неполадок путем отслеживания действий, выполняемых с файлами, почтовыми ящиками или конфигурациями.

Основные возможности образования:

В образовательных средах аудит (Standard) особенно полезен для:

  • Отслеживание действий учащихся и преподавателей в Microsoft Teams, OneDrive и Exchange.
  • Исследование инцидентов безопасности, таких как несанкционированный доступ или утечка данных.
  • Поддержка соответствия нормативным требованиям, таким как FERPA, COPPA и GDPR.
  • Обеспечение прозрачности для цифровых сред обучения и гибридных аудиторий.

Аудит (Standard) включен по умолчанию для клиентов с соответствующими лицензиями и сохраняет журналы аудита в течение 180 дней. Он поддерживает поиск по пользователям, типу действий, диапазону дат и рабочей нагрузке, что делает его практическим инструментом для ит-администраторов и команд соответствия требованиям.

Аудит (Standard) и аудит (премиум):

В то время как аудит (Standard) охватывает большинство основных потребностей аудита, аудит (премиум) (доступен с Microsoft 365 A5) добавляет:

  • Более длительное хранение (до 10 лет)
  • Важные события аудита (например, когда пользователь обращается к конфиденциальному файлу)
  • Интеллектуальная аналитика и более высокая пропускная способность API для автоматизации и интеграции

Аналитика классификации данных

Что такое аналитика классификации данных?

Аналитика классификации данных, включающая в себя набор Microsoft Purview, — это возможность обеспечения соответствия требованиям и управления, которая помогает организациям, включая учебные заведения, выявлять, классифицировать и отслеживать конфиденциальные данные в средах Microsoft 365. Он обеспечивает видимость того, как данные используются, маркируются и защищаются, позволяя учреждениям принимать обоснованные решения об управлении данными и управлении рисками.

Основные возможности в сфере образования:

В образовательных учреждениях, где учреждения обрабатывают широкий спектр конфиденциальных данных (например, записи учащихся, финансовая помощь, медицинская информация), аналитика классификации данных поддерживает:

  • Обнаружение конфиденциальной информации. Автоматически определяет более 300 встроенных типов конфиденциальной информации (SIT), таких как номера идентификаторов учащихся, медицинские записи или финансовые данные. Учреждения также могут определять настраиваемые типы в соответствии с конкретными требованиями к соответствию.
  • Классификация и маркировка. Применяет метки конфиденциальности и хранения к содержимому в Microsoft 365 (например, Teams, SharePoint, Exchange), чтобы обеспечить надлежащую обработку данных на протяжении всего жизненного цикла.
  • Мониторинг и создание отчетов. Предоставляет панели мониторинга и отчеты, показывающие, где находятся конфиденциальные данные, как к ним обращаются и защищены ли они. Сюда входят основные SIT, основные источники данных и действия пользователей с помеченным содержимым.
  • Обучаемые классификаторы. Использует модели машинного обучения для определения собственных шаблонов данных или шаблонов данных для конкретного учреждения, таких как исследовательские данные или внутренние оценки.
  • Управление нулевыми изменениями. Позволяет учреждениям оценивать свой ландшафт данных без немедленного применения политик. Идеально подходит для пилотного развертывания стратегий управления до полного развертывания.

Роль в платформах управления данными:

Классификация данных является базовым элементом более широкой платформы управления данными. В сфере образования эта платформа гарантирует, что данные являются следующими:

  • Собраны и классифицированы соответствующим образом в точке входа.
  • Охраняется и сохраняется в соответствии с институциональной и нормативной политикой (например, FERPA, GDPR).
  • Архивируется или удаляется безопасно, когда больше не требуется.

Интеграция с более широкой аналитикой образования:

Классификация данных также поддерживает более широкие аналитические инициативы в сфере образования. Данные образования и аналитика ИИ показывают, как классифицируются каналы данных в панелях мониторинга и прогнозных моделях, которые информируют учащихся о стратегиях успешности, распределении ресурсов и институциональном планировании.

Обнаружение электронных данных (Standard) для сайтов, файлов, сообщений электронной почты

Что такое Microsoft Purview eDiscovery (Standard)?

Microsoft Purview eDiscovery (Standard) — это встроенное средство соответствия требованиям в Microsoft 365, которое позволяет организациям, включая учебные заведения, определять, сохранять, искать и экспортировать содержимое в службах Майкрософт в юридических, нормативных или следственных целях. Он поддерживает содержимое из:

  • Exchange Online (сообщения электронной почты)
  • SharePoint Online и OneDrive для бизнеса (файлы и сайты)
  • Microsoft Teams, Группы Microsoft 365 и Viva Engage

Ключевые возможности в области образования:

В образовательных учреждениях обнаружение электронных данных (Standard) используется для:

  • Поддержка юридических удержаний для расследований, связанных с учащимися или сотрудниками.
  • Отвечайте на запросы FOIA или FERPA путем поиска в почтовых ящиках, чатах Teams и библиотеках документов.
  • Сохранение доказательств в случаях неправомерных действий в учебных заведениях, преследованиях или нарушениях безопасности данных.

С помощью обнаружения электронных данных (Standard) вы можете:

  • Создание случаев для управления расследованиями.
  • Используйте ключевое слово и запросы на основе свойств для поиска в нескольких расположениях контента.
  • Предварительный просмотр и уточнение результатов поиска перед экспортом.
  • Экспортируйте данные в безопасное хранилище Azure и скачайте их с помощью средства экспорта обнаружения электронных данных.

Лицензирование и доступ:

Обнаружение электронных данных (Standard) входит в планы Microsoft 365 для образования A1, A3 и A5. Однако для его использования:

  • Администраторы должны назначать разрешения на обнаружение электронных данных юридическим ролям, ролям соответствия требованиям или ИТ- ролям.
  • Необходимо включить необходимые корпоративные приложения, такие как ComplianceWorkbenchApp и Exchange Online Protection.

Переход от устаревших средств:

Классический интерфейс обнаружения электронных данных будет прекращен в августе 2025 г., поэтому учреждениям следует перейти на современный портал Microsoft Purview. Этот новый интерфейс обеспечивает улучшенную интеграцию, производительность и поддержку гибридных и облачных образовательных сред.

Защита от потери данных Microsoft Purview (для электронной почты и файлов)

Защита от потери данных Microsoft Purview (DLP) — это облачное решение, которое помогает организациям, в том числе образовательным, выявлять, отслеживать и защищать конфиденциальную информацию в службах Microsoft 365, таких как Exchange Online, SharePoint, OneDrive и Teams. На основе корпоративных данных и общедоступной документации, которую я рассмотрел, ниже приведена подробная разбивка по работе с электронной почтой и файлами в образовательных учреждениях:

Цель в образовании:

  • Защита конфиденциальных данных, таких как записи учащихся, финансовая помощь, данные о здоровье и содержимое исследований.
  • Обеспечение соответствия нормативным требованиям, таким как FERPA, HIPAA и GDPR.
  • Предотвращение случайной утечки данных через электронную почту или платформы совместного доступа к файлам, часто используемые в академических средах.

Основные возможности электронной почты (Exchange Online):

  • Автоматическое обнаружение и защита. Политики защиты от потери данных могут обнаруживать конфиденциальные данные (например, идентификаторы учащихся, имена SSN, кредитные карта номера) и автоматически блокировать, шифровать или помечать электронные письма перед отправкой.
  • Советы по политике в Outlook. Пользователи оповещаются в режиме реального времени, если их сообщение содержит конфиденциальное содержимое, помогая им принимать обоснованные решения перед отправкой.
  • Рабочие процессы утверждения. Сообщения с высоким риском могут активировать оповещения или требовать утверждения руководителем перед отправкой.

Основные возможности файлов (SharePoint, OneDrive, Teams):

  • Внешние элементы управления общим доступом. Защита от потери данных может ограничивать или отслеживать общий доступ к конфиденциальным файлам с несанкционированными пользователями.
  • Метки конфиденциальности и шифрование. Файлы могут автоматически помечаться и шифроваться на основе их содержимого.
  • Мониторинг действий. Администраторы могут отслеживать поведение доступа к файлам и совместного использования для обеспечения соответствия требованиям.

Дополнительные возможности:

  • Глубокий анализ содержимого. Выходит за рамки ключевое слово сопоставления с помощью классификаторов машинного обучения, точного сопоставления данных (EDM) и пользовательских типов конфиденциальной информации.
  • Единое управление политиками. Администраторы могут управлять всеми политиками защиты от потери данных на портале Microsoft Purview с помощью адаптивных областей.
  • Реагирование на инциденты. Оповещения включают расширенные метаданные (пользователя, устройства, сведения о политике) и могут рассматриваться непосредственно из электронной почты или Microsoft Defender XDR.

Развертывание и интеграция:

  • Управление облаком. Локальная инфраструктура не требуется. Защита от потери данных встроена в приложения и службы Microsoft 365, конечные точки Windows и может распространяться на приложения сторонних разработчиков через Microsoft Defender for Cloud Apps.
  • Сценарии для образовательных учреждений. Например, блокировка передачи исполняемых файлов в чатах Teams путем нацеливания на политики OneDrive и SharePoint, так как Teams хранит данные в этих службах.
  • Last updated on