澳洲政府的敏感度標籤加密

本文為澳洲政府組織提供使用敏感度標籤加密的指引。其目的是幫助澳大利亞政府組織加強其數據安全方法。本指南中的建議與 PSPF) (的保護性安全性原則架構和 ISM) (資訊安全性手冊中所述的需求密切一致。

Microsoft Purview 提供選項，以透過 Azure Rights Management 套用敏感度標籤來加密專案。 Azure Rights Management 可用來確認使用者驗證和授權以存取內容。若要讓使用者存取加密的專案，他們必須向 Microsoft 365 服務進行驗證，並獲授與存取專案的許可權。 Azure Rights Management 可用來將使用限制套用至專案。這些限制可能會阻止使用者執行編輯內容、儲存項目、列印、複製內容或轉寄給其他使用者等操作。

與標籤加密相關的案例

政府組織應根據存取使用標籤加密，以及加密概觀中摘要的傳輸需求。這些要求規定，在公共或非受保護的網路上傳輸官方：敏感或受保護的資訊需要加密。雖然用戶端與伺服器之間通訊的 TLS 加密等固有 Microsoft 365 功能有助於滿足這些需求，但在某些情況下，使用 Azure Rights Management 加密可以加強保護。

啟用標籤型 Azure Rights Management 加密可以加強控制的案例範例包括安全性分類專案的情況：

複製到 USB 儲存。
上傳至非 Microsoft 雲端服務，包括雲端儲存體服務。
儲存至可能不安全的裝置 (例如，沒有 BitLocker 加密) 的裝置。
透過電子郵件傳送給外部收件者，這些收件者可能會透過進一步分發資訊來違反需要知道的收件者。

澳洲政府組織通常會實施額外的策略和解決方案來應對這些風險向量。例如，使用加密的 USB 隨身碟、Cloud Access Security Broker (CASB) 解決方案和裝置管理平台。標籤型加密並非要取代這些解決方案。然而，它用於透過提供額外的保護來補充這些解決方案，防止意外濫用和惡意內部人員。

標籤加密考量

Azure Rights Management 加密不是部署 Microsoft Purview 或保護 Microsoft 365 服務中資訊的硬性需求。不過，標籤型加密被認為是確保源自或駐留在 Microsoft 365 環境中的資料免受未經授權存取的最有效方法之一，尤其是在它離開組織之後。

如需啟用敏感度標籤加密的標準考慮和潛在影響的資訊，請參閱加密內容的考慮。

還有其他更具體於澳大利亞政府組織的考慮因素。其中包括文件元資料的變更和與資訊共用相關的要求。

加密的共同撰寫變更

Microsoft 365 支援在加密檔上共同撰寫。

啟用加密共同撰寫會變更敏感度標籤中繼資料套用至 Office 檔，以及 MSIP_labels 檔屬性的使用。啟用加密共同撰寫之後，加密項目的中繼資料會從傳統文件屬性位置移至文件的內部 xml。如需詳細資訊，請參閱敏感度標籤的中繼資料變更。

在透過文件屬性檢查附件分類的電子郵件閘道上套用規則的澳洲政府組織需要注意中繼資料變更，以便其配置保持一致。 Microsoft Exchange 系統管理員應該：

閱讀並瞭解 2.6.3 LabelInfo 與自訂文件屬性。
評估其組織資料外洩防護 (非Microsoft郵件閘道上的DLP) 、郵件流規則或傳輸規則語法，以發現潛在問題。

為什麼這很重要的範例是郵件流程或傳輸規則，透過檔屬性中的標籤 GUID 檢查 PROTECTED 附件，一旦檔中繼資料從檔屬性移至 LabelInfo 位置，就無法正常運作。

作為文件屬性型方法的替代方案：

ClassificationContentMarkingHeaderText 和 ClassificationContentMarkingFooterText 文件屬性。這些屬性會在加密共同撰寫啟用之後出現，並填入套用至 Office 檔的視覺標記文字。
郵件流程方法會轉換至較新的 DLP 型方法，其中敏感度標籤可以原生查詢為 DLP 原則的一部分。

外部使用者存取加密項目

在澳洲政府內部，協作和資訊分發要求因組織類型而異。一些組織在很大程度上是孤立工作的，這使得加密配置變得簡單。其他人則需要持續與其他組織共用敏感資訊，並需要進行相應的規劃。

使用標籤型加密的澳洲政府組織應該使用此功能，以確保符合 PSPF 2024 需求 77 和 133：

需求	詳細資料
PSPF 2024 - 12. 資訊共用 - 需求 77	在與政府以外的個人或組織披露或共享安全機密信息或資源之前，已簽訂協議或安排，例如合同或契約，以確定處理要求和保護。
PSPF 2024 - 17. 存取資源 - 需求 133	需要存取警告資訊的人員符合發起人和警告控制機構施加的任何許可和適用性要求。

若要確保只有授權外部組織的使用者才能存取加密項目，可以使用下列方法：

已核准的外部網域清單可以新增至 Azure Rights Management 許可權，類似於防止將機密資訊以電子郵件散發給未經授權的組織中所述的 DLP 方法。
包含來賓帳戶的群組可用來將權限授與僅來自核准外部網域的授權使用者集。這種方法類似於允許將機密資訊透過電子郵件分發給授權的訪客。

提示

將組織的 DLP 方法與機密資訊的標籤加密方法保持一致，可簡化管理。其結果是一種強大且一致的方法來處理機密資訊，其中只有授權使用者才能收到機密資訊並有權存取機密資訊。

啟用標籤加密

如需啟用敏感度標籤加密所需必要條件和步驟的詳細資訊，請參閱使用敏感度標籤來套用加密來限制內容的存取。

下列標籤加密組態與澳洲政府要求特別相關，並詳細討論。

立即指派權限

「立即指派權限」 可對整個環境中標記項目的存取權提供一致的控制。透過此組態，當將具有加密設定的標籤套用至項目時，會立即觸發內容的加密。

選取 [ 立即指派許可權 ] 選項時，系統管理員必須設定要套用至已標記項目的許可權。可用選項包括：

組織中的所有使用者和群組：此選項會新增環境中所有使用者的權限，不包括來賓帳戶。對於想要將標籤項目的存取權限制為僅內部使用者的組織來說，這是一個很好的入門點。

對於想要加密「官方：敏感」資訊並確保整個組織可以開啟的組織來說，這是一個不錯的選擇。請記住，加密只是一層保護，可以用 DLP 進行補充，以幫助確保需要知道。
任何已驗證的使用者：此選項允許透過帳戶（例如 Microsoft 365 帳戶）、聯合社交提供者或外部電子郵件地址（已註冊為 MSA) (Microsoft帳戶）存取任何已向 Microsoft 365 進行驗證的使用者。此選項可確保項目以加密格式發送和存儲，但在對項目的訪問方面是最開放的。此選項不適合確保澳洲政府的需要了解和 PSPF 一致性。

重要事項

由於已套用許可權的開放性質，任何已驗證的使用者都不是澳洲政府組織套用至安全性分類專案的好選擇。

新增使用者或群組：此選項允許指定個別使用者 (例如個別組織使用者或來賓) 。它允許將權限分配給組。

此選項對於政府組織有多種用途。例如：
- 此選項可用來將標籤內容的存取權限制為符合需求的內部使用者子集，以確保需要知道。例如，具有基準線開放使用狀態的授權使用者會分組到 受保護的使用者 群組中，該群組會授與受保護內容的許可權。群組外部的使用者無法存取任何受保護的專案。
- 對於具有高外部共同作業控制 (的組織，如高外部共同作業控制) 中所述，可以建立包含所有來賓帳戶的動態群組。可以將此群組授與加密專案的權限，允許將專案分發到外部，同時降低群組外部實體存取的風險。此類配置還需要與允許將機密資訊以電子郵件分發給授權訪客中討論的 DLP 控制項保持一致。
  - 對於外部共同作業控制 (相對較低的組織，如在低外部共同作業控制) 中所述，可以維護安全性群組，其中包含有權存取加密內容的來賓。
  - 對於想要提供內容訪客存取權而不讓整個網域存取標籤內容的組織，可以建立動態群組來授予組織訪客存取權，例如「部門訪客」。允許將機密資訊以電子郵件分發給授權訪客中討論了這種方法。
新增特定電子郵件地址或網域 此選項允許授予外部使用者的個人電子郵件地址，這些使用者可能是也可能不是來賓。它也可用於授予整個網域的權限。例如，contoso.com。具有複雜資訊共同作業和散發需求，或需要將 OFFICIAL：敏感性或受保護資訊散發給其他政府組織的組織，可以考慮新增所有組織的網域清單，他們要將這類資訊散發到這些組織。這類清單應該符合您的組織已正式簽訂共用資訊和資源合約的網域，如 PSPF 原則 2024 需求 77 中所定義。

可以將多組許可權新增至標籤的設定，以達到所需的結果。例如， 所有使用者和群組 可以與一組動態群組結合使用，其中包含來自其他組織的來賓，以及貴組織定期協作的授權部門網域清單。

將權限指派給使用者、群組或網域

對於每個使用者、使用者群組或獲授與存取權的網域，也必須選取特定權限。這些許可權會分組為一般集合，例如 共同擁有者、 共同作者 或 檢閱者。也可以定義自訂權限集。

加密權限是精細的，因此組織需要完成自己的業務分析和風險評估，以確定最有效的方法。以下是範例方法：

用戶類別	包含	權限
所有使用者和群組	所有內部使用者	Co-Owner (授予所有權限)
有協作需求的其他部門的來賓	動態 Microsoft 365 群組： - 來自第一部門的嘉賓 - 來自部門 2 的嘉賓 - 來自第三部門的嘉賓	Co-Author (限制編輯、匯出內容和變更權限)
從合作夥伴組織清除來賓	安全群組： - 合作夥伴 1 的來賓 - 合作夥伴 2 的來賓 - 合作夥伴 3 的來賓	檢閱者 (限制列印、複製和擷取、匯出內容和變更權限)

讓使用者決定

加密的一種方法是讓使用者在選擇標籤時選擇要套用的權限。

透過此方法標記的項目行為會因應用程式而異。對於 Outlook，可用的選項包括：

請勿轉發： 選取此選項時，電子郵件會加密。加密會套用存取限制，讓收件者能夠回覆電子郵件，但無法使用轉寄、列印或複製資訊的選項。 Azure Rights Management 權限會套用至附加至電子郵件的任何未受保護的 Office 文件。此選項可防止電子郵件收件者將項目轉寄給原始電子郵件中未指定的收件者，以確保需要知道。
僅加密： 此選項會加密項目，並授與收件者除 另存新檔、匯出和 完全控制之外的所有使用權限。它對於滿足加密傳輸需求很有用，但不會套用任何存取限制， (結果是) 不會套用需要知道的控制項。

這些選項提供大量的精細度。不過，由於權限是在項目層級套用，因此這些選項可能會導致設定不一致，因為不同使用者選取的選項會有所不同。

藉由將 [請勿轉送 ] 或 [僅加密 ] 選項提供給使用者作為子標籤，組織可以在視有必要時為使用者提供保護通訊的方法。例如：

非官方
官員
官方敏感 (類別)
- 官方敏感
- 僅限官方敏感收件人

套用這些組態的標籤應該只發佈給需要這類功能的使用者。

Microsoft Purview 能夠與 PSPF 保持一致，以包含資訊管理標記 (IMM) 和警告，以及新增子標籤以滿足特定組織需求的需求。例如，需要與外部使用者溝通「官方：敏感個人隱私權」資訊的一組使用者可以向他們發布「官方：僅限敏感個人隱私權加密」標籤。

內容存取到期

內容到期選項允許存取已套用標籤的加密項目的權限，這些項目將在某個日期或一段時間後被拒絕。此功能可用來確保項目從某個時間開始就無法再存取，無論它們位於何處或已套用至它們的權限為何。

此選項對於滿足對資訊的有時限存取的需求非常有用，其中政府組織需要提供對資訊或資源的臨時存取。這些情況包含在 PSPF 2024 第 17 節中。資源獲取：

需求	詳細資料
PSPF 2024 - 17. 存取資源 - 需求 122	風險評估會決定是否授予人員暫時存取安全性機密資訊或資源。

這種方法確保需要 監督臨時訪問 ，並確保臨時用戶只能訪問允許的內容，並且只能在所需的時間內訪問。

透過標籤套用的 Azure Rights Management 加密，並具有存取到期設定，可讓您與個人或組織共用敏感性專案，而不需要建立完整帳戶。

這方面的一個範例是，政府組織有一組設計檔，需要提供給名為 Contoso 的虛構政府承包組織。系統會建立並發佈名為「官方敏感性 - Contoso 暫存存取權」的標籤，並具有授與 Contoso 電子郵件地址核准清單存取權的許可權。然後，設計文件的副本會套用此標籤，從而啟動 30 天的存取計時器。然後，文件會與 Contoso 共用，Contoso 可以存取自己系統上的專案，直到計時器到期，且存取權會撤銷，而不論專案位於何處。

由於內容到期會套用至標籤，而不是權限，因此需要專用標籤才能達成此目的。此和其他存取到期案例是利基的，不適用於大部分的政府組織。此範例建置並擴充依照本指南建議套用的基礎 PSPF Microsoft Purview 資訊保護設定。

離線存取

離線存取選項可讓使用者設定一段時間，讓使用者可以存取專案，而不需要重新驗證或重新授權其 Azure Rights Management 許可權。例如，離線存取有助於確保在網路或服務中斷時可以存取離線檔案。設定此選項時，項目仍會加密，其權限會快取在用戶端裝置上。

部署加密的政府組織通常會選擇三到七天的離線存取期，以確保使用者能夠離線工作，並作為減災措施。

在考慮此方法時，應完成對項目的快取存取權的風險評估，以對抗使用者在沒有政府組織網路存取的情況下工作時無法存取的可用性影響。

標籤加密設定範例

注意事項

這些範例旨在示範標籤加密設定，其作業控制與資訊值成比例，符合 PSPF 2024 需求 71。政府組織必須先完成自己的業務分析、風險評估和測試，才能啟用任何此類設定。

敏感度標籤	加密	權限
非官方	-	-
官員	-	-
官方敏感 (類別)	-	-
官方敏感	立即指派權限	貴機構中的所有使用者和群組： Co-Owner 新增特定電子郵件地址或網域：核准存取 - 的外部網域清單合著者
受保護 (類別)	-	-
受保護	立即指派權限	新增使用者或群組：受保護的使用者群組 - 共同所有人受保護的來賓群組 - 合著者