您的資訊保護策略是由您的商務需求所驅動。 許多組織必須遵守法規、法律及商務慣例。 此外,組織必須保護專屬資訊,例如特定專案的資料。
Microsoft Purview 資訊保護 (Microsoft 資訊保護) 提供一套框架、流程與功能,讓你能在雲端、應用程式和裝置間保護敏感資料。
Microsoft Purview 資訊保護架構
使用 Microsoft Purview 資訊保護可協助您探索、分類、保護以及控管敏感性資訊,無論這些資料儲存在某處在或傳輸中。
如需資料控管,請參閱 使用 Microsoft Purview 部署資料控管解決方案。
提示
請考慮使用新版資料安全性態勢管理 (DSPM) 補充本頁資訊,並以Microsoft Purview 資訊保護啟動保護您的資料。
DSPM 透過整合 Microsoft Purview 資訊保護與其他 Microsoft Purview 解決方案與功能,協助您發現、保護及調查數位資產中的敏感資料風險。 DSPM 專注於資料安全目標,並透過提供預設敏感度標籤、預設政策等的引導工作流程,協助你監控、評估並修復資料風險,無論敏感資料存放於何處。
授權
Microsoft Purview 資訊保護功能包含在 Microsoft Purview 中。 授權需求可能會因功能而異,視設定選項而定。 若要識別授權需求與選項,請參閱安全性規範的 Microsoft 365 指導方針。
了解您的資料
了解敏感性資料的所在位置通常是許多組織的最大挑戰。 Microsoft Purview 資訊保護資料分類可協助您探索並正確分類貴組織所建立之數量不斷增加的資料。 以圖形方式呈現可協助深入了解此資料,以便您設定及監視可保護及監控其的原則。
| 步驟 | 描述 | 其他資訊 |
|---|---|---|
| 1 | 描述要保護的敏感性資訊類別。 您已經知道何種資訊類型對組織最有價值,而哪些不是。 請與專案關係人一起描述這些類別,其中這些類別是您的起點。 |
了解敏感性資訊類型 |
| 2 | 探索和分類敏感性資料。 您可以使用許多不同的方法找到項目中的敏感性資料,包括預設 DLP 原則、使用者手動套用標籤,以及使用敏感性資訊類型或機器學習的自動化模式識別。 |
分類器概述 |
| 3 | 檢視您的敏感性項目。 使用內容總管和活動總管對敏感性項目以及使用者對這些項目所採取的動作進行較深入的分析。 |
開始使用內容總管 |
保護您的資料
使用了解您敏感性資料所在位置的資訊,以更有效率地保護資料。 然而,您不必等待——您可以立即開始透過手動、預設及自動標籤來保護您的資料。 接著,使用前一節的內容 總管 和 活動總管 確認哪些項目被標示,以及標籤的使用情況。
| 步驟 | 描述 | 其他資訊 |
|---|---|---|
| 1 | 定義將保護組織資料的敏感度標籤和原則。 除了識別內容敏感度外,這些標籤還能執行保護措施,例如內容標記 (標頭、頁尾、浮水印) 、加密及其他存取控制。 靈敏度標籤範例: 個人 Public 一般 - 有人 (無限制) - 所有員工 (無限制) 機密 - 有人 (無限制) - 所有員工 - 值得信賴的人員 高度機密 - 所有員工 - 具體人員人員 敏感度標籤政策範例: 1. 將所有標籤發佈給租戶中的所有使用者 2. 預設標籤為 「一般」\「所有員工」 (項目無限制) 3. 使用者 必須提供理由 才能移除標籤或降低其分類 |
開始使用敏感度標籤 建立及設定敏感度標籤及其原則 使用敏感度標籤來套用加密以限制存取內容 |
| 2 | 為 Microsoft 365 應用程式與服務標註並保護資料。 敏感度標籤支援 Microsoft 365 Word、Excel、PowerPoint、Outlook、Teams 會議,以及包含 SharePoint 和 OneDrive 網站的容器,以及 Microsoft 365 群組。 請使用混合的標籤方法,例如手動套用標籤、自動套用標籤、預設套用標籤和強制套用標籤。 用戶端自動標註的範例配置: 1. 推薦 保密 \ 任何人 (無限制) 若有1到9個信用卡號碼 2. 推薦保密 \ 所有員工 若有10+信用卡號碼 -- 典型的終端使用者體驗,使用者選擇顯示敏感內容的按鈕 (Word 僅) 服務端自動標註的範例配置: 申請所有地點 (Exchange、SharePoint、OneDrive) 1. 申請保密 \ 任何人若有1到9個信用卡號碼, (無限制) 2. 若有10+信用卡號碼,請申請機密 \ 所有員工 3. 申請 機密 \ 任何人 (無限制) 若1至9個美國個人資料及全名 4. 若有10+美國個人資料及全名,請申請機密 \ 所有員工 |
在 Office 應用程式中使用敏感度標籤 對 SharePoint 和 OneDrive 中的檔案啟用敏感度標籤 針對使用敏感度標籤加密的檔案啟用共同撰寫 設定 SharePoint 文件庫的預設敏感度標籤 自動對 Microsoft 365 資料套用敏感標籤 對 Microsoft Teams、Microsoft 365 群組和 SharePoint 網站使用敏感度標籤 使用敏感度標籤來保護行事曆項目、Teams 會議和聊天 使用敏感度標籤搭配 Microsoft Loop 使用敏感度標籤,在 SharePoint 和 OneDrive 中設定網站和文件的預設共用連結 在 Microsoft Syntex 中對模型套用敏感標籤 在 Power BI 套用敏感度標籤 |
| 3 | 透過使用敏感度標籤的Microsoft Defender for Cloud Apps,發現、標註並保護存放在雲端資料儲存庫中的敏感物品, (Box、GSuite、SharePoint 和 OneDrive) 。 檔案政策設定範例:在 Box 帳戶中尋找儲存在檔案中的信用卡號碼,然後套用敏感標籤來識別高度機密的資訊並加密。 |
探索、分類、標記及保護儲存在雲端的管制資料及敏感性資料 |
| 4 | 透過部署資訊 保護掃描器 與敏感標籤,發現、標註並保護存放於本地資料儲存庫中的敏感項目。 | 設定與安裝資訊保護掃描器 |
| 5 | 在 Microsoft Purview 資料對應中自動套用敏感度標籤,以發現並標記 Azure Blob 儲存體、Azure 檔案及 Azure Data Lake Storage Gen2 的項目。 | 了解 Microsoft Purview 資料對應敏感度標籤 |
如果您是想要將敏感度標籤延伸至企業營運應用程式或協力廠商 SaaS 應用程式的開發人員,請參閱 Microsoft 資訊保護 (MIP) SDK 安裝和設定。
額外保護功能
Microsoft Purview 包含額外功能,可協助保護資料。 並非每位客戶都需要這些功能,而且某些功能可能由較新的版本所取代。
請參閱「 用 Microsoft Purview 保護您的資料 」頁面,了解完整的保護功能清單。
防止資料遺失
部署 Microsoft Purview 資料外洩防護 (DLP) 原則,以控管並防止跨應用程式和服務間的不當共用、傳輸或敏感性資料的使用。 這些原則可協助使用者在使用敏感性資料時,做出正確的決策並採取適當的動作。
| 步驟 | 描述 | 其他資訊 |
|---|---|---|
| 1 | 了解 DLP。 組織掌控敏感資訊,例如財務資料、專有資料、信用卡號碼、健康紀錄及社會安全號碼。 為了協助保護此敏感性資料並降低風險,他們需要有防止使用者與不應擁有此資料之人員不當共用的方法。 此做法稱為資料外洩防護 (DLP)。 |
深入了解資料外洩防護 |
| 2 | 規劃您的 DLP 實作。 每個組織會以不同方式規劃及實作資料外洩防護 (DLP),因為每個組織的商務需求、目標、資源和情況都是獨一無二的。 然而,所有成功的 DLP 實作還是有通用的元素。 |
規劃資料外洩防護 |
| 3 | 設計和建立 DLP 原則。 建立資料外洩防護 (DLP) 原則快速又簡單,但如果您必須進行大量的調整,取得產生預期結果的原則可能會很耗時。 花時間設計政策再實施,能讓你更快達成預期結果,且比單靠試錯調整更少意外。 協助防止透過電子郵件分享信用卡號碼:防止郵件中包含信用卡號碼或郵件中有特定敏感標籤以識別高度機密資訊的郵件。 |
設計 DLP 原則 |
| 4 | 調整您的 DLP 原則。 部署 DLP 原則後,您就會看到它符合預期目標的程度。 使用該資訊來調整您的原則設定,以提升效能。 |
建立及部署資料外洩防護原則 |
部署策略
信用卡號碼範例通常有助於初步測試和使用者教育。 即使您的組織通常不需要保護信用卡號碼,這些是需要保護的敏感物品,使用者也能輕易理解。 許多網站提供的信用卡號碼僅供測試用途。 你也可以搜尋提供信用卡號碼產生器的網站,這樣你可以把號碼貼到文件和電子郵件中。
當你準備將自動標籤與 DLP 政策導入生產環境時,請更換適合組織所使用資料類型的分類器和配置。 例如,你可能需要使用可訓練的智慧財產權分類器及特定文件類型,或精確匹配 EDM () 敏感資訊類型,以取得與客戶或員工相關的隱私資料。
或者,你也可以先從發現並保護經常成為安全攻擊目標的資訊開始。 接著,還要檢查並防止電子郵件與 Teams 聊天中使用 DLP 政策的密碼共享:
- 使用可訓練的分類器 IT 及 IT 基礎設施與網路安全文件
- 使用內建的敏感資訊類型 General Password ,並為使用者使用的不同語言建立一個自訂的敏感資訊類型「password is」
部署資訊保護解決方案並非線性部署,而是迭代且常常循環進行。 你越了解資料,就能越準確地標示,並防止資料外洩。 這些標籤與政策的結果會流入 報告 與工具,進而讓您能保護更多敏感資料。 或者,如果你已經在保護這些敏感資料,請考慮是否需要額外的保護措施。
一旦定義好敏感度標籤,就可以開始手動標註資料。 你用來做 DLP 的分類器,也可以自動找到並標註更多資料。 你甚至可以用敏感標籤作為分類工具,例如區塊分享標示高度機密的項目。
大多數客戶已經有一些解決方案來保護他們的資料。 你的部署策略可能是在現有基礎上持續發展,或專注於能帶來最大商業價值或高風險領域的缺口。
為了協助你規劃獨特的部署策略,請參考「 開始使用敏感標籤 」和 「規劃資料遺失預防」。
考慮分階段部署
你可能偏好透過分階段部署,逐步實施限制性控制來部署資訊保護。 隨著使用者對技術的熟悉與信心提升,這種做法會逐步為用戶引入新的保護措施。 例如:
- 從預設標籤且不加密,到建議標籤在發現敏感資料時套用加密,然後在發現敏感資料時自動套用標籤。
- DLP 政策從審核過度分享行為,逐步擴展到更嚴格的封鎖並警告用戶教育,最後封鎖所有分享。
此類分階段部署的細節可能如下,敏感性標籤與 DLP 政策將彼此更整合,提供比單獨使用更強的資料保護:
敏感度標籤配置:
- 一般\所有員工:電子郵件的預設標籤。 沒有加密。 若用於電子郵件,請封鎖用戶過度分享。
- 機密\所有員工:文件的預設標籤。 沒有加密。 若用於電子郵件,請封鎖用戶過度分享。
- 高度機密\所有員工:禁止加密。 若用於電子郵件,請封鎖用戶過度分享。
DLP政策A:
- 若發現1至2張信用卡,請封鎖外部分享,除非該物品標示為 個人 或 機密/任何人 (無限制) 。 使用日誌記錄與報告來進行分析。
DLP 政策 B:
- 如果發現 3 到 9 張信用卡,請封鎖外部分享、雲端出口及複製到可移動硬碟,除非該物品標示為 機密/任何人 (無限制) 。 使用日誌記錄與報告來進行分析。
DLP政策C:
- 如果發現 10+ 張信用卡,請封鎖外部分享、雲端退出及複製到可移動硬碟,且不加例外。 使用日誌記錄與報告來進行分析。
此分階段部署範例的配置細節:
- 父標籤或標籤群組的預設子標籤
- 資料外洩防護 Exchange 條件和動作參考
- 信心水準及敏感度類型的其他要素
- 在 DLP 原則中使用敏感度標籤做為條件
- 允許使用者分配權限的加密
- 針對特定使用權的加密
- 設定並檢視資料遺失防護政策的警示
如需其他包含分階段部署策略的部署指引,請參閱「 以 Microsoft Purview 預設安全」及防止 產品工程團隊過度分享。
訓練資源
適用於顧問和系統管理員的學習課程:
- Microsoft Purview 中的資訊保護和資料生命週期管理簡介
- 分類資料以進行保護與控管
- 保護 Microsoft Purview 中的資訊
- 防止 Microsoft Purview 中的資料遺失
若要協助訓練您的使用者套用與使用為他們設定的敏感度標籤,請參閱敏感度標籤的使用者文件。
當您為 Teams 部署資料遺失防護政策時,可能會覺得以下的終端使用者指引對此技術有幫助。 其中包含一些使用者可能會看到的訊息: Teams 關於資料遺失防護 (DLP) 及通訊合規政策的訊息。