Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это руководство состоит из четырех этапов:
- Введение
- Шаг 1. Начало работы с метками по умолчанию (эта статья)
- Шаг 2. Адрес файлов с наибольшей конфиденциальности
- Шаг 3. Расширение защиты для всего хранилища данных Microsoft 365
- Шаг 4. Эксплуатация, развертывание и ретроактивные действия
Метки конфиденциальности в Microsoft Purview
Метки конфиденциальности — это теги организации, понятные и интуитивно понятные для пользователей. Они интегрированы и согласованы в решениях Майкрософт и сторонних решений, таких как Adobe Acrobat Reader.
Политики защиты меток зависят от ресурса данных. Например, вы можете:
- Шифрование и динамическое подложка для поддерживаемых типов файлов
- Элементы управления условным доступом и конфиденциальностью для сайтов SharePoint и Teams
- Управление разрешениями для баз данных Azure SQL, хранилища Azure и Amazon Web Services (AWS) S3
Стратегия применения меток часто начинается с ручной маркировки, затем автоматической маркировки на стороне клиента с помощью типов конфиденциальной информации (SIT), а затем автоматической маркировки на стороне службы (неактивных) с помощью SIT и контекстных условий. SharePoint также предлагает контекстную метку по умолчанию для каждой библиотеки, которая более подробно рассматривается в этом руководстве.
Начните с меток по умолчанию и защиты на уровне файла и сайта
Большинство клиентов должны начинать с следующего определения. Вы можете адаптировать эти рекомендуемые метки, если у вас есть существующее развертывание, а затем выполнить итерацию с дополнительными сценариями.
На верхнем уровне начните со следующих меток:
- Общедоступные. Общедоступные данные — это неограниченные данные, предназначенные для общественного потребления, например общедоступный исходный код и объявленные финансовые данные. Поделитесь им свободно.
- Общие. Бизнес-данные, не предназначенные для общественного использования, например ежедневный рабочий продукт. Данные, которыми можно делиться внутри и с доверенными партнерами.
- Конфиденциально. Конфиденциальные бизнес-данные, важные для достижения целей организации. Ограниченное распространение.
- Строго конфиденциальные данные. Самые важные данные. Предоставлять доступ только именованным получателям.
Примечание.
Для организаций, которые принимают личное содержимое на управляемых устройствах, определите метку , не относясь к бизнесу или личную , с наименьшим приоритетом и без защиты.
Для конфиденциальных и строго конфиденциальных добавьте следующие вложенные метки:
- \Все сотрудники. Доступ к данным может получить любой пользователь в вашей организации.
- \Конкретная People: доступ к данным может осуществляться только указанными пользователями.
- \Внутреннее исключение. Доступ к данным может получить любой пользователь изнутри, но запрещено предоставлять общий доступ извне. Используйте эту метку в ситуациях, когда шифрование влияет на ежедневные операции.
Полный список родительских и дочерних меток с рекомендуемыми конфигурациями см. в следующей таблице:
| Имя метки | Описание метки для пользователей | Settings |
|---|---|---|
| Общедоступное | Бизнес-данные, подготовленные и утвержденные для общедоступного использования. |
Область: Files и другие ресурсы данных (файл, Email) Маркировка содержимого: нет Автоматическое применение меток: нет Защита от потери данных: нет |
| Общие | Бизнес-данные, которые не предназначены для общедоступного использования. Однако при необходимости вы можете предоставить доступ к этим данным внешним партнерам. | Эта метка выбрана в качестве метки по умолчанию для сообщений электронной почты. Эта метка также выбрана для сайтов, разрешающих внешних партнеров. Область: Files и другие ресурсы данных (файл, Email, собрания, сайты) Маркировка содержимого: нет Автоматическое применение меток: нет Конфиденциальность сайта: частная или общедоступная Защита от потери данных: блокировка всех пользователей, имеющих ссылку |
| Конфиденциально \ Все сотрудники |
Конфиденциальные данные, требующие защиты. Всем сотрудникам предоставляются все разрешения. Владельцы данных могут отслеживать и отзывать содержимое. | Эта метка выбрана в качестве метки по умолчанию для документов и сайтов. Область: Files и другие ресурсы данных (файл, Email, собрания, сайты) Шифрование: все пользователи и группы в организации: Co-Author (примечание. Шифрование меток может быть реализовано позже) Маркировка содержимого: нижний колонтитул — классифицировано как конфиденциальные данные Автоматическое применение меток: нет Конфиденциальность сайта: частная или общедоступная Защита от потери данных: блокировать всех пользователей, имеющих ссылку, блокировать внешние |
| Конфиденциально \ Определенные пользователи |
Конфиденциальные данные, которыми можно делиться с доверенными людьми в организации и за ее пределами. Доверенные лица также могут делиться этими данными при необходимости. |
Область: Files и другие ресурсы данных (файл, Email, собрания, сайты) Шифрование: предоставление пользователям возможности назначать разрешения — Только шифрование для Outlook — Предлагать пользователям в Word, PowerPoint и Excel Маркировка содержимого: нижний колонтитул — классифицировано как конфиденциальные данные Автоматическое применение меток: нет Конфиденциальность сайта: частная или общедоступная Защита от потери данных: блокировка всех пользователей, имеющих ссылку |
| Конфиденциально \ Внутреннее исключение |
Конфиденциальные данные, которые не нужно шифровать. Используйте этот вариант с осторожностью и при соответствующем деловом обосновании. | Эта метка выбрана для конфиденциальной информации, которую не требуется шифровать. Эту метку можно использовать в качестве внутреннего исключения, если шифрование не поддерживается процессом или приложением, использующим эти сведения. Используйте предотвращение потери данных и управление внутренними рисками для управления рисками и отклонениями пользователей. Область: Files и другие ресурсы данных (файл, Email, собрания, сайты) Маркировка содержимого: нижний колонтитул — классифицировано как конфиденциальные данные Автоматическое присвоение меток:Нет Конфиденциальность сайта: частная или общедоступная Защита от потери данных: блокировать всех пользователей, имеющих ссылку, блокировать внешние |
| Строго конфиденциально \ Все сотрудники |
Строго конфиденциальные данные. Все сотрудники могут просматривать и редактировать эти данные, а также отвечать на них. Владельцы данных могут отслеживать и отзывать содержимое. | Эта метка предназначена для автоматического применения меток на стороне клиента и автоматического применения меток на стороне службы. Область: Files и другие ресурсы данных (файл, Email, собрания, сайты) Шифрование: все пользователи и группы в организации — совместное редактирование Маркировка содержимого: нижний колонтитул — классифицировано как строго конфиденциальные данные Автоматическое применение меток. Автоматическое применение метки. Рассмотрите возможность автоматического применения для типов конфиденциальной информации "Все учетные данные". Конфиденциальность сайта: частная или общедоступная Защита от потери данных: блокировать всех пользователей, имеющих ссылку, блокировать внешние |
| Строго конфиденциально \ Определенные пользователи |
Строго конфиденциальные данные, требующие защиты. Только определенные пользователи с соответствующим уровнем разрешений могут просматривать эти данные. |
Область: Files и другие ресурсы данных (файл, Email, собрания, сайты) Шифрование: предоставление пользователям возможности назначать разрешения — Не пересылать для Outlook — Предлагать пользователям в Word, PowerPoint и Excel Маркировка содержимого: нижний колонтитул — классифицировано как строго конфиденциальные данные Автоматическое применение меток: нет Конфиденциальность сайта: частная или общедоступная Защита от потери данных: блокировать всех пользователей, имеющих ссылку, блокировать внешние |
| Строго конфиденциально \ Внутреннее исключение |
Строго конфиденциальные данные, которые не требуется шифровать. Используйте этот вариант с осторожностью и при соответствующем деловом обосновании. | Эта метка выбрана для строго конфиденциальной информации, которую не требуется шифровать. Эту метку можно использовать в качестве внутреннего исключения, если шифрование не поддерживается процессом или приложением, использующим эти сведения. Используйте предотвращение потери данных и управление внутренними рисками для управления рисками и отклонениями пользователей. Область: Files и другие ресурсы данных (файл, Email, собрания, сайты) Маркировка содержимого: нижний колонтитул — классифицировано как конфиденциальные данные Автоматическое применение меток: нет Конфиденциальность сайта: частная или общедоступная Защита от потери данных: блокировать всех пользователей, имеющих ссылку, блокировать внешние |
Защита по умолчанию
Рекомендуемые метки в этой модели развертывания немного отличаются от традиционного подхода обхода, обхода, выполнения или меток и политик по умолчанию для защиты данных :
- Установите метку по умолчанию Конфиденциально\Все сотрудники для файлов. Для существующих файлов используйте автоматическую метку на стороне службы с расширением файла контекстного условия для всех PPTX, DOCX, XLSX и PDF-файлов на всех соответствующих сайтах SharePoint.
- Установите для электронной почты метку по умолчанию Общие . Эта метка снижает трудности развертывания, позволяя пользователям нормально работать, за исключением того, что конфиденциальные файлы, вложенные в сообщение электронной почты, наследуют метку файла.
- Задайте элементы управления для общего доступа по умолчанию и ограничений защиты от потери данных.
- Используйте варианты использования автоматической маркировки, сосредоточенные на строго конфиденциальности.
- Используйте метку Specific People, интуитивно именованную и понятную.
- Используйте внутреннее исключение для решения пограничных случаев, когда шифрование препятствует повседневной работе пользователей.
Основные моменты и рекомендации
- Используйте интуитивно понятные имена для меток.
- Избегайте совместного использования таких терминов, как Конфиденциальный, Ограниченный или Внутренний . Пользователям может быть сложно понять различные значения этих терминов.
- По возможности сохраняйте список меток 5x5, то есть до пяти родительских меток и до пяти дочерних меток под родительским элементом.
- При необходимости используйте метки как для файлов, так и для сайтов SharePoint.
- Используйте строго конфиденциальный режим чаще всего с автоматической маркировкой и контекстными значениями по умолчанию. Он предоставляет больше элементов управления и ограничений.
- Используйте метки, чтобы по умолчанию задать для сайтов SharePoint и конфиденциальности Teams значение Частное .
- Для организаций, которые широко используют параметры общедоступной конфиденциальности в SharePoint и Teams, обновите их на Частные и используйте ссылки для общего доступа к компании.
- Частные сайты SharePoint с общими ссылками компании обеспечивают одинаковую гибкость совместной работы, но снижают риски непреднамеренного обнаружения в поиске и Copilot.
- Для дополнительной защиты задайте для общего доступа по умолчанию значение Определенные люди.
- Создайте цепочку отчетности с владельцами сайтов. Используйте отчеты и API Graph для выявления отклонений использования и поведения.
- Включите защиту от потери данных для содержимого с метками, блокируя всех пользователей со ссылкой и внешних , где это применимо. Если существующее общее содержимое соответствует этим блокам условий, защита от потери данных создает оповещения и подсказки политики, видимые для пользователей.
- Включите наследование меток электронной почты. Дополнительные сведения см. в разделе Настройка наследования меток из вложений электронной почты.
Включение необходимых компонентов для обеспечения безопасности данных и расширенной аналитики
Microsoft Purview имеет множество возможностей. Чтобы уменьшить влияние на пользователей, некоторые возможности не активируются по умолчанию. Просмотрите следующие параметры:
- Включение возможности обработки содержимого в Office Online: включение меток конфиденциальности для файлов в SharePoint и OneDrive
- Включение маркировки для Microsoft Teams и сайтов SharePoint: использование меток конфиденциальности для защиты рабочих областей для совместной работы (групп и сайтов)
- Сохраните метку электронной почты с несоответствием метки. Эта функция отправляет владельцу документа и владельцу сайта сообщение электронной почты о документе, который имеет более высокую чувствительность, чем метка конфиденциальности сайта. Вы можете убедиться, что он не отключен, убедившись,
-BlockSendLabelMismatchEmailчто для задано значение$False. - Добавьте ссылку на справку с
-LabelMismatchEmailHelpLinkпомощью .
- Сохраните метку электронной почты с несоответствием метки. Эта функция отправляет владельцу документа и владельцу сайта сообщение электронной почты о документе, который имеет более высокую чувствительность, чем метка конфиденциальности сайта. Вы можете убедиться, что он не отключен, убедившись,
- Включение поддержки PDF-файлов в OneDrive и SharePoint: включение меток конфиденциальности для файлов в SharePoint и OneDrive
- Пометить файлы как конфиденциальные по умолчанию: запретить гостевой доступ к файлам при применении правил защиты от потери данных — SharePoint в Microsoft 365
- Аналитика защиты от потери данных: начало работы с аналитикой защиты от потери данных
- Включение совместного редактирования для файлов с метками конфиденциальности: включение совместного редактирования для зашифрованных документов
- Аналитика управления внутренними рисками: включение аналитики в управлении внутренними рисками
- Включение индикаторов управления внутренними рисками: настройка индикаторов политики в управлении внутренними рисками
- Включение аудита Microsoft Purview: начало работы с решениями аудита
- Включение интеграции с Microsoft Entra B2B: интеграция SharePoint и OneDrive с Microsoft Entra B2B
Ссылки, доступные для общего доступа к компании, или ссылки для определенных людей
Общий доступ к OneDrive и SharePoint настраивается через ссылки для общего доступа. Дополнительные сведения см. в статье Принцип работы ссылок с возможностью совместного доступа в OneDrive и SharePoint в Microsoft 365.
Для организаций, использующих сайты SharePoint с параметрами конфиденциальности, для которых задано значение public, перейдите в частный режим, а ссылки для общего доступа по умолчанию — People в вашей организации. Открытая совместная работа доступна пользователям, но она снижает возможность автоматического обнаружения содержимого в корпоративном поиске и Copilot.
Совет
Чтобы еще больше снизить риски, настройте конкретные люди в качестве значения по умолчанию.
Метки конфиденциальности Microsoft Purview позволяют настроить ссылки для общего доступа на основе метки конфиденциальности сайта SharePoint. Например, этот параметр значительно упрощает детализацию конфигураций между общими и конфиденциальными сайтами. Дополнительные сведения см. в статье Использование меток конфиденциальности для настройки типа канала общего доступа по умолчанию.
Обучение пользователей управлению исключениями
При использовании безопасного подхода по умолчанию сосредоточьтесь на следующих темах:
- Информирование вашей организации о том, насколько важно защищать информацию по умолчанию.
- Важность маркировки на сайтах SharePoint и влияние меток на защиту файлов и общего доступа.
- Как пользователи могут изменять метки при работе с доверенными внешними партнерами.
- Как пользователи могут изменять метки, если бизнес-приложение или надстройка неправильно работают с шифрованием.
- Следует ли предоставлять общий доступ из OneDrive или SharePoint доверенным внешним партнерам и как выбрать соответствующую метку сайта.
- Обоснование, необходимое при понижении уровня меток.
Наследование меток файлов от меток сайта SharePoint сокращает количество раз, когда пользователям приходится изменять метку. Например, вы можете:
- Джон предоставляет общий доступ к файлу извне через OneDrive. Затем он проверяет содержимое и определяет, что оно не является конфиденциальным, и меняет метку на Общее. Затем Джон делится извне.
- Джейн работает с партнером и предоставляет доступ к нескольким файлам. Джейн использует SharePoint и помечает сайт как общий. Все файлы на сайте можно совместно использовать. Но если конфиденциальный файл передается на сайт, этот файл защищен, Джейн отправляется уведомление о файле с повышенной конфиденциальности, и она может переместить файл или изменить метку.
- Джек работает в Excel с партнером, используя надстройку, важную для бизнес-операций. Если эта надстройка несовместима с шифрованием, Джек должен изменить метку на Конфиденциально\Внутреннее исключение.
Важно!
Существует важный компромисс, который следует учитывать между приоритетом меток, понижением и обоснованием, а также значениями по умолчанию. Например, при условии, что общий имеет более низкий приоритет, чем Конфиденциальные\Все сотрудники, и если клиент Office по умолчанию имеет значение Конфиденциально\Все сотрудники, метка библиотеки SharePoint по умолчанию имеет значение Общие , не применяется. Аналогичным образом для параметра Конфиденциально-внутреннее исключение , заданное с более высоким приоритетом, не требуется обоснование. Ознакомьтесь с приоритетами меток и требованиями к оправданию.
Включение защиты от потери данных для содержимого с метками
Защита от потери данных Microsoft Purview (DLP) интегрируется с метками конфиденциальности, поэтому вы можете быстро удовлетворить требования защиты от потери данных с ограниченными конфигурациями.
Например, если вы используете рекомендуемые метки и задаете значение по умолчанию Конфиденциальные\Все сотрудники, добавьте правило защиты от потери данных, которое блокирует общий доступ внешним пользователям и блокирует любой пользователь со ссылкой. Дополнительные сведения о каждой метки см. в рекомендуемой таблице меток и столбце Ограничения защиты от потери данных.
Дополнительные сведения об этой функции см. в разделе:
- Использование меток конфиденциальности в качестве условия в политиках защиты от потери данных
- Справочник по политике защиты от потери данных
- Справочник по условиям и действиям Exchange для защиты от потери данных
Сводка
В конце этого шага в вашей организации будет реализовано следующее:
- Метки, доступные пользователям для использования вручную.
- Маркировка по умолчанию для всех новых или обновленных документов и сообщений электронной почты.
- Взаимодействие с пользователями и обучение управлению исключениями при совместном использовании или при возникновении проблем с их бизнес-файлами.
- Защита от потери данных предотвращает общий доступ к конфиденциальным файлам.