Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это руководство состоит из четырех этапов:
- Введение
- Шаг 1. Начало работы с метками по умолчанию
- Шаг 2. Адрес файлов с наибольшей конфиденциальности
- Шаг 3. Расширение защиты для всего пространства данных Microsoft 365 (эта статья)
- Шаг 4. Эксплуатация, развертывание и ретроактивные действия
На предыдущих шагах мы заложили основу безопасности и обсудили приоритетные сайты. Были охвачены функции автоматической маркировки как на стороне клиента, так и на стороне службы. Таблицу сравнения см . в статье Автоматическое применение метки конфиденциальности в Microsoft 365.
На этом шаге мы объясним варианты, которые помогут итеративно решить все ваше пространство данных Microsoft 365.
Ранее мы рекомендовали начальные политики для ознакомления пользователей. На этом шаге вы сможете постепенно использовать их в сценариях. Автоматическая маркировка лучше всего подходит для сценариев, где требуется более высокая чувствительность, чем метка по умолчанию.
Мы также обсудим, как задним числом пометить существующие сайты и задать метки библиотеки по умолчанию.
Автоматическая маркировка конфиденциальных файлов на клиентах (низкие пороговые значения)
Автоматическая маркировка на стороне клиента дает пользователям возможность решить, следует ли применять рекомендуемую метку или сообщить о ложном срабатывании. Этот процесс можно реализовать с помощью более чем 300 типов конфиденциальной информации (SIT) и обучаемых классификаторов.
На высоком уровне следуйте этому подходу. Пороговые значения являются только примерами.
- Определите соответствующий sit для вашей отрасли.
- Рекомендуется использовать метку с более низкими порогами SIT (1–9).
- Автоматическое применение метки с более высокими порогами (10+) и (или) обучаемыми классификаторами.
Метка клиента по умолчанию влияет на стратегию автоматической маркировки. Хотя в этом руководстве рекомендуется задать для этой метки значение Конфиденциально\Все сотрудники, оно также предоставляет альтернативы, если клиент Office по умолчанию имеет значение Общие, а затем — Конфиденциально\Все сотрудники при сохранении в SharePoint.
Совет
Если для параметра по умолчанию задано значение Конфиденциально\Все сотрудники, стратегия автоматической маркировки будет менее сложной и ориентирована на метки с высоким уровнем конфиденциальности .
Вы можете постепенно развертывать эту стратегию с помощью дополнительных sit и обучаемых классификаторов с течением времени при определении большего количества бизнес-сценариев. Используя значения по умолчанию и автоматическую маркировку на стороне клиента, вы обращаетесь ко всему новому и обновленному содержимому.
Имитация автоматического присвоения меток конфиденциальным файлам при хранении
Автоматическое присвоение меток на стороне службы помечает неактивные файлы в SharePoint и OneDrive и обеспечивает дополнительные условия. В настоящее время в организации поддерживается автоматическая маркировка до 100 000 файлов в день.
Хотя автоматическая маркировка на стороне клиента ограничена конфиденциальным содержимым, автоматическая маркировка на стороне службы добавляет поддержку контекстных условий, таких как:
- Общий доступ к содержимому
- Расширение файла :
- Имя документа содержит слова или фразы
- Свойство документа
- Размер документа равен или больше
- Документ, созданный
Эти условия, в сочетании с выбором определенных сайтов и OneDrive пользователя, позволяют вашей организации определить приоритеты содержимого для маркировки в первую очередь.
Например, если ваша организация использует шаблоны со свойствами документов или префиксами имен документов, вы можете запустить политику на всех сайтах SharePoint и OneDrive. Вы также можете определить приоритеты в зависимости от размера файла или документов, созданных командами руководителей.
Вы можете завершить маркировку всех документов с помощью расширений файлов Office/PDF в пакетах сайтов SharePoint и задать соответствие метке соответствующего сайта, начиная с сайтов с более высокой конфиденциальности, постепенно перехватывая общие сайты.
Наконец, можно реализовать больше автоматической маркировки на стороне службы для содержимого с высоким уровнем конфиденциальности , часто с более высокими порогами, чем при автоматической маркировке на стороне клиента, чтобы уменьшить потенциальные ложные срабатывания.
Уменьшение ложноположительных результатов с помощью расширенных классификаторов
В этом разделе описаны основные сведения о расширенных классификаторах и их использовании.
В контексте этой безопасной схемы по умолчанию сосредоточьтесь на использовании классификаторов с автоматической маркировкой для строго конфиденциального содержимого. Расширенные классификаторы ограничены обучаемыми классификаторами. В большинстве случаев типы конфиденциальной информации (SIT) представляют собой сочетание шаблонов и ключевых слов. Шаблоны, такие как защищенная информация о работоспособности (PHI) и личная информация (PII), могут возвращать много ложных срабатываний, так как они не могут определить контекст или могут быть ложными срабатываниями для вашей организации.
Администраторы Microsoft Purview могут уменьшить количество ложных срабатываний, выполнив следующие действия:
- Увеличение количества требуемых доверительных и пороговых значений.
- Поиск нескольких SIT с оператором AND вместо оператора OR.
- Клонирование SIT в пользовательский SIT и точная настройка требований.
- Использование нескольких регулярных выражений вместо одного, но широкого.
- Принудительное сопоставление слов.
- Использование обучаемых классификаторов, точного соответствия данных (EDM) и отпечаток документов.
Обучаемые классификаторы используют машинное обучение для идентификации шаблонов документов. Microsoft Purview предоставляет несколько предварительно обученных классификаторов, таких как юридические документы, стратегические бизнес-документы и финансовая информация. Вы также можете создавать и обучать пользовательские классификаторы из библиотеки документов SharePoint.
Используя как SIT, так и обучаемые классификаторы, вы можете сузить область, например, содержит кредитные карты SIT и обучаемый классификатор финансовой информации.
Точное сопоставление данных и отпечаток документов в настоящее время недоступны для автоматической маркировки, но их следует учитывать в общей стратегии Защита от потери данных Microsoft Purview (DLP). Как и обучаемые классификаторы, они могут помочь уменьшить количество ложноположительных результатов. С помощью EDM вы можете, например, найти содержит SSN из коробки SIT, а затем проверить в EDM SIT, чтобы убедиться, что это SSN от одного из ваших клиентов или сотрудников. EDM позволяет безопасно хранить хэш информации для поиска.
Дактилоскопия документов работает иначе, чем обучаемые классификаторы, определяя шаблоны документов и используя их в политиках защиты от потери данных. Этот метод наиболее полезен, если в вашей организации есть стандартизированные шаблоны. Эти шаблоны можно использовать для создания точных отпечатков пальцев.
Автоматизация и улучшение защиты Microsoft 365 для исторических и используемых данных
В заключительной части этого шага просмотрите варианты ретроактивного применения меток на существующих сайтах SharePoint и соответствующим образом применить метки библиотеки по умолчанию.
На этом этапе вы настроили значения по умолчанию во всей среде и остановили распространение сайтов и документов без меток. Вы начали обращаться к сайтам и библиотекам меток вручную на приоритетных сайтах и хотите масштабировать этот процесс на протяжении всего вашего полного ресурса содержимого Microsoft 365.
Рассмотрим несколько стратегий:
- Использование владельцев сайтов . Сообщите владельцам сайтов, что они должны настроить метку на своем сайте и библиотеке по умолчанию. Если вы планируете использовать второй вариант, добавьте упоминания о том, что он автоматически получает новое значение по умолчанию в целевую дату.
- Выполнение скриптов автоматизации на оставшихся не маркированных сайтах. Используйте API Graph, чтобы определить немаркированные сайты и настроить метку контейнера и метку библиотеки по умолчанию для параметра "Конфиденциально\Все сотрудники".
- При необходимости можно запретить общий доступ только к файлам без меток. Используя предыдущие меры, такие как защита от потери данных для содержимого без меток и автоматическая маркировка файлов, можно разрешить сайтам естественное истечение срока действия, чем скрипты задним числом действий для всех сайтов.
- Сбор временная шкала сайтов без меток. Если вы планируете использовать автоматическую маркировку на стороне службы для всех исторических данных, основанных на метках контейнеров, записывайтесь при добавлении меток контейнеров и постепенно добавляйте новые помеченные сайты в политики автоматической маркировки.
Ваше состояние риска определяет, как наилучшим образом подходить ко всем стратегиям или, возможно, использовать их постепенно. Хотя защита пространства данных важна, она может быть сложной задачей в зависимости от его размера. Начните с малого и часто выполняете итерацию.
Вы можете создавать скрипты меток конфиденциальности для сайтов SharePoint с помощью Set-PnPTenantSite параметра и SensitivityLabel .
Для метки библиотеки по умолчанию задайте DefaultSensitivityLabelForLibrary параметр с помощью REST API в библиотеке.
Пример приведен в этой статье.
Сводка
- Автоматически применять метку чувствительности в Microsoft 365
- Минимальные версии меток конфиденциальности в Приложения Microsoft 365
- Управление метками конфиденциальности в приложениях Office
- Автоматически применять метку чувствительности в Microsoft 365