此 Microsoft Purview 資訊保護指南 已由 Microsoft 準備,供澳洲政府和其他有興趣的組織使用。 其目的是協助澳洲政府組織改善其資料安全態勢,同時滿足資訊分類和保護要求。 本指南中提供的指引旨在盡可能符合 PSPF) 和資訊安全手冊 (ISM) 的受保護安全性原則架構 ( 中規定的需求。 本指南中提供的指引也將符合並支援 透過 ASD 的安全雲端藍圖建議的組態。
本指南針對澳洲政府 (CDO) 、技術長 (CTO) 、首席安全官 (CSO) 、首席資訊安全官 (CISO) 、風險或合規官、資訊隱私或其他資訊管理角色。
已建立適用於澳洲政府的 Microsoft Purview 成熟度模型,以協助組織瞭解其 Microsoft Purview 計劃應該從何處開始,以及他們需要採取哪些動作來提高其數據安全性成熟度和合規性層級。
本指南是為典型的政府組織編寫的,並提供了適用於此效果的範例。 然而,每個政府組織都需要客製化指南以滿足其獨特要求。
標題為 澳洲政府需求至功能對應 的指南一節包含 PSPF 需求清單,以及如何設定 Microsoft Purview 功能以符合每個需求的說明,以及對應指南區段的連結。 還討論了 ISM) (相關信息安全手冊和澳大利亞政府記錄保存元數據Standard ( AGRkMS) 要求。
架構概觀
本指南利用三個關鍵功能來滿足政府資訊保護和分類要求,即:
- 敏感度標籤
- 資料外洩防護 (DLP)
- 敏感度自動標記
下圖提供這三個 Microsoft 365 功能之間互動的概念概觀,以及使用範例。
敏感度標籤
Microsoft Purview 資訊保護包含稱為敏感度標籤的功能。 敏感度標籤可讓使用者將標籤套用至檔案和電子郵件等專案。 這些標籤可以與資料安全控制保持一致,以保護隨附的資訊。 敏感度標籤也可以延伸至其他服務,例如 SharePoint 網站、Teams 和會議。
敏感度標籤與組織的分類需求一致時,例如保護安全性原則架構 (PSPF) 中定義的需求,可讓我們將標籤視為分類。 它們透過使用者介面和其他標記選項為我們提供視覺標記。 例如:
可透過敏感度標籤套用的資料安全性控制包括:
- 能夠 加密項目,防止未經授權的使用者存取。
- 能夠在偵測到敏感資訊時向使用者提供 標籤建議 。
- 控制 外部使用者 對已標記位置的存取。
- 控制已套用特定標籤之會議的 Teams 會議安全性設定 。
標記用戶端體驗
如 Microsoft Office 用戶端支援中所述,使用者通常會透過 Microsoft 365 Apps Office 用戶端、Web 型用戶端或行動裝置對等專案與標記專案互動。 這些用戶端允許使用者將標籤套用至專案:
如果使用者忘記將標籤套用至項目,用戶端 會提示使用者 在儲存項目之前套用標籤,如果是電子郵件,則在傳送項目之前。
當使用者處理專案時,如果尚未套用標籤,且偵測到符合安全性分類的資訊,則可以向使用者提供 標籤建議 。 如果偵測到敏感性內容符合比目前套用的分類更高的分類,則可以向使用者提供建議,要求他們提高項目的敏感度。
此類建議有助於確保標籤準確性。 標籤準確性很重要,因為許多控制資訊流的控制項都是基於項目敏感度。
適用於 Microsoft 365 的 Copilot 的適用性
Microsoft 365 Copilot 繼承了 Microsoft 365 的多種形式的保護,以防止入侵和未經授權的存取。 Microsoft 365 內的許可權模型有助於確保資訊不會在使用者和群組之間故意外洩。
重要事項
Microsoft Purview 設定不是適用於 Microsoft 365 的 Copilot 的必要條件。 不過,部署 Microsoft Purview 設定可強化組織整個環境中的整體資訊安全性狀態,包括 Copilot。
Microsoft Purview 提供的資訊風險降低是適用於 Microsoft 365 的 Copilot 的補充。 最直接的例子是透過標籤繼承。 如果 Copilot 是用來根據來源專案產生專案,例如,產生來源 Word 文件的摘要,則套用至來源專案的任何敏感度標籤都會由產生的專案繼承。 這有助於確保在資訊變更時維護套用至資訊的保護。
在評估可能因啟用 Copilot for Microsoft 365 而產生的潛在安全性問題時,風險可以分為三類:
- 數據從 AI 工具中洩露:Copilot 生成的內容可能包含敏感信息。
- 資料過度共用:使用者可能會散發包含敏感資訊的 Copilot 產生的專案。
- 資料外洩到 AI 工具中:使用者可能會無意中將敏感資料洩漏到 Copilot。
本指南中討論的下列功能能夠協助降低 Copilot 的資料外洩和資料過度共用風險:
- 識別資訊可 識別產生的內容或共用的內容是否包含敏感或安全機密資訊。 控制項保護資訊會自動套用。
- 用戶端型自動標籤 會識別產生的項目何時包含敏感資訊,並向使用者提供標籤建議。 標籤受限於任何標籤型控制項。
- 標籤群組和網站設定會 將安全性控制 (包括共用和外部使用者存取權的限制) 套用至位置。 如果 Copilot 產生的項目被移動到某個位置,該位置對於應用於該項目的標籤來說不被認為是安全的,則警報觸發器以允許清理。
- 保護機密資訊的 DLP 規則,當與 強制標籤設定配對時,會套用至所有 Office 文件和電子郵件。 由於標籤繼承,Copilot 產生的內容會繼承套用至其來源資訊的標籤,這表示它們也會在相關標籤型 DLP 原則的範圍內。
- 保護敏感資訊的 DLP 規則 可確保,無論已套用至項目的標籤為何,正確的安全性控制仍會套用。 這可確保如果 Copilot 可能在產生的項目中使用了敏感資訊,則可以保護該資訊免於過度共用。
- 敏感度標籤加密 可確保只有授權的使用者才能存取安全性分類專案,以防止過度共用。 此外,加密權限將 Copilot 鎖定在高度敏感的項目之外,從而降低資訊包含在生成內容中的風險。
如需有關這些控制項的更多適用於 Microsoft 365 的 Copilot 特定資訊,請參閱 Copilot 的資訊保護考慮。
關於資料外洩到 AI 工具的風險, 敏感度標籤加密 與此相關。 其他控件不是 Microsoft Purview 特定的,而且不會作為本指南的一部分來解決。 但是,以下連結提供了相關資訊:
- 受限的 SharePoint 搜尋 (RSS) 可讓組織將 Copilot for Microsoft 365 限制為僅存取最多 100 個網站的核准清單。 實作此功能有助於降低組織未準備好存取的 Copilot 索引資訊的風險。 這項功能是為了啟用 Copilot,同時實作先前的 Microsoft Purview 控制項清單,並解決因不適當的許可權而導致的任何現有過度共用。 一旦潛在的資訊風險得到緩解,RSS 就會被停用,讓使用者充分受益於 Copilot 的功能。
- SharePoint Premium 中包含的資料存取控管報告可用來探索包含可能過度共用或敏感性內容的網站,以便解決這些問題。
- SharePoint Premium 中包含的網站生命週期管理可用來自動偵測非使用中網站並採取行動。 移除非作用中網站有助於確保 Copilot 可以存取的資訊是最新且相關的。
連絡我們
如果您想聯繫本指南的創建者討論所提供的指導,請隨時通過 AUGovMPIPGuide@microsoft.com進行。