本文為澳洲政府組織提供應該部署至組織的服務和元件的指引,以充分利用敏感度標籤和其他 Microsoft Purview 功能。 其目的是協助組織瞭解部署Microsoft Purview 資訊保護的必要條件,以符合 PSPF) 的保護性安全性原則架構和資訊安全性手冊 (ISM) 中所述的需求 (。
若要充分利用本指南中所述的設定,組織應該實作下列 Microsoft 365 服務核心集:
- Exchange Online
- Microsoft Office Online 或 Microsoft 365 Apps Office 用戶端
- SharePoint
- Microsoft Teams
本指南中討論的設定是指標記和分類,包括 PROTECTED,組織也應該使用本指南範圍之外的 PROTECTED 環境需求。
注意事項
實作 PROTECTED 標籤並不表示環境適合容納 PROTECTED 資料。 政府組織必須根據 ISM) (資訊安全手冊 和 ASD 的安全雲端藍圖制定基礎控制措施。
Microsoft Office 用戶端支援
用戶端支援是成功實作 Microsoft Purview 資訊保護 功能的關鍵。 使用者用來與 Office 檔案、電子郵件和其他服務互動的用戶端需要標籤感知,以方便標籤套用。 本節討論能夠進行此整合的 Microsoft Office 用戶端版本,並嘗試識別 Purview 部署之前所需的任何必要條件工作。
Microsoft 365 Apps 企業版
Microsoft 365 Apps 企業版是 Microsoft Office 的一個版本,可與 Microsoft 365 服務套件整合。 由於 Microsoft 365 是持續演進的雲端式服務,因此 Microsoft 365 Apps 版本的 Office 用戶端會收到高頻率的更新,以跟上雲端平臺的步伐。 Office 用戶端與 Microsoft 365 雲端服務之間的整合可讓使用者使用比獨立 Office 用戶端更廣泛的功能集。 傳統用戶端提供靜態功能集並接收安全性更新,但通常不會收到新發行的功能或存取以雲端為中心的功能。
如需 Microsoft 365 Apps 可用更新通道的詳細資訊,請參閱 Microsoft 365 Apps 更新通道概觀。
Mac、iOS 和 Android 用戶端支援
新的 Purview 功能通常會先提供給 Windows 型 Microsoft 365 Apps 版本的 Office,然後再提供給其他 Office 版本。 如需用戶端版本功能的狀態,請參閱 不同用戶端中敏感度標籤的最低版本。 部署 Microsoft 365 的組織應該評估此資訊,以確保組織使用的版本上都提供所有所需的功能。
Microsoft 365 Web 用戶端
Microsoft 365 Apps 中敏感度標籤的最低版本也包含 Microsoft 365 Web 用戶端所支援功能的相關資訊。 應該評估此資訊,以確保組織所需的任何敏感度標籤功能可供 Web 用戶端使用。
還值得注意的是,Microsoft Edge Chromium 包含 Microsoft 資料外洩防護功能。 此類功能可以透過擴充功能新增至其他瀏覽器,例如 Chrome 和 Firefox。 例如, 適用於 Chrome 的 Microsoft Purview 延伸模組 和 適用於 Firefox 的 Microsoft Purview 延伸模組。 這些 DLP 功能有助於防止安全性分類或其他敏感性專案外洩,因此應該考慮進行部署。
強制執行客戶需求
瞭解使用者將標記套用至專案需求的用戶端應用程式,可以透過強制使用者在建立專案時套用標記來協助我們符合需求。 標記後,可以強制執行操作控制以保護項目的隨附內容。 這種配置通常稱為“強制標籤”。 在 Microsoft 365 中,這主要是透過標籤原則選項來達成,如 強制標籤中所述。 強制標籤使我們能夠滿足 2024 版要求 59:
| 需求 | 詳細資料 |
|---|---|
| PSPF 2024 版需求 59 | 官方資訊的價值、重要性或敏感性由原始人評估,考慮如果資訊的機密性受到損害,對政府、國家利益、組織或個人造成的潛在損害,將 (用作官方記錄) 。 |
為了證明強制標籤的重要性,請考慮一封發送的電子郵件,該電子郵件沒有先應用保護標記,這可能是由於缺乏客戶支援而發生的。 在這種情況下,我們必須假設使用者沒有機會評估所附資訊的敏感度。 因此,我們必須假設該物品的分發是高風險的。 強制執行強制標籤的選項只能由知道組織 Microsoft Purview 設定的用戶端套用。 因此,組織應該考慮確保使用者只能透過支援這類 Microsoft Purview 整合的用戶端存取 Microsoft 365 服務,這可以透過條件式存取原則來達成。
如需在 Essential 8 下套用條件式存取的相關資訊,請參閱 應用程式控制 和 條件式存取。
PDF 整合
Windows 型 Microsoft 365 Apps 用戶端包含在匯出或儲存為 PDF 檔案時,維護套用至 Office 檔的標籤的能力。 這些 PDF 會維護其來源 Office 檔案的保護設定,包括加密。
受保護的 PDF 文件可在標籤感知 PDF 閱讀器中讀取,包括 Microsoft Edge、Chrome、Foxit Reader 和 Adobe Reader (,並安裝 Acrobat 和 Acrobat Reader 外掛程式的資訊保護外掛程式) 。
政府組織應部署和使用標籤感知的 PDF 用戶端或用戶端外掛程式。 這類用戶端有助於在將專案匯出為 PDF 時,保持敏感資訊的清晰識別和控制項的套用。
如需這些功能的詳細資訊,請透過下列連結找到:
注意事項
光學字元辨識 (OCR) 可用於掃描影像和基於影像的 PDF 的內容。 掃描之後,Microsoft Purview 功能,例如資料外洩防護 (DLP) ,都可以套用至它們。 澳大利亞政府組織可能會考慮啟用 OCR 以更好地支持其數據安全要求。 如需詳細資訊,請參閱 瞭解 Microsoft Purview 中的光學字元辨識。
必要的授權
使用 Purview 資訊保護功能的入門級需要 E3 授權。 然而,大多數政府組織應考慮使用以前稱為Microsoft 365 E5 合規性) 附加元件的Microsoft 365 E5 (或同等Microsoft Purview 套件 () ,以更好地滿足其資料安全要求。
下表包含常見政府使用案例的子集,以及執行該使用案例所需的最低授權。
| 應用案例 | License |
|---|---|
| 手動將敏感度標籤套用至專案。 | E3 |
| 防止將已標記的項目分發給未經授權的使用者。 | E3 |
| 將主旨標記套用至已標記的項目,以指出項目敏感度。 | E3 |
| 根據其他組織所套用的標記自動套用敏感度標籤。 | E5 |
| 監控和報告整個環境中的標籤使用情況。 | E5 |
| 將標籤套用至會議和行事曆項目。 | E5 |
| 建議根據敏感性內容的偵測套用敏感度標籤。 | E5 |
| 監視和控制裝置上已標記項目的使用。 | E5 |
| 根據具有已標記或其他敏感性專案的活動來識別惡意使用者。 | E5 |
| 偵測敏感內容並透過 Teams 聊天控制其分發。 | E5 |
| 瀏覽已標記和其他敏感內容在環境中的位置。 | E5 |
具有 E3 授權的政府組織可以在基本層級實作 Purview,並達到 PSPF 成熟度模型的 臨機操作 或 開發 層級 ( (PSPF) 評量報告) 中包含的保護性安全性原則架構 。 不過,若要確保專案透過與其敏感度相關的控制項受到保護,需要 E5 或對等授權中包含的功能。 透過可用的 E5 授權,組織可以達到 PSPF 成熟度的 管理 或 內嵌 層級。
實現更高合規成熟度的一個重要因素是使用 敏感度自動標記。 自動標籤可讓政府組織遵循已套用至外部的分類。 如果電子郵件由一個實體分類並標記,則當傳送到第二個實體時,仍會標記該項目,但預設不會標記。 因為它缺少標籤,所以它不在一系列標籤型資料安全性控制的範圍之內,例如 DLP 原則。 自動標記允許在收到電子郵件時) 解釋澳大利亞政府Email保護標記Standard中定義的保護標記 (。 一旦解釋完畢,就會在傳輸過程中套用匹配標籤,確保所有相關控制在使用者收到時都適用於隨附的資訊。