本指南分為四個階段:
- 簡介
- 階段 1:基礎 – 從此頁面 (建議的標籤開始)
- 階段 2:受控 – 以最高敏感度的檔案位址
- 階段 3:優化 – 將保護擴展到整個 Microsoft 365 數據資產
- 第 4 階段:策略 – 營運、將保護擴展到 M365 之外,並對現有內容採取追溯行動
此藍圖也可供下載: PDF、 PowerPoint。
Microsoft Purview 中的敏感度標籤
敏感度標籤是對終端使用者有意義且直覺的組織標籤。 它們在 Microsoft 解決方案和非 Microsoft 解決方案 (例如 Adobe Acrobat Reader) 之間整合且一致。
標籤的保護原則會因資料資產而異。 例如:
- 支援檔案類型的加密和動態浮水印
- SharePoint 網站和 Teams 的條件式存取控制和隱私權
- AWS) S3 (Azure SQL Databases、Azure Storage 和 Amazon Web Services 的權限控制
套用標籤的策略通常會從手動套用標籤開始,然後使用敏感性資訊類型 (SIT) 用戶端自動套用標籤,接著是服務端自動套用標籤 (待用) SIT 和內容條件。 SharePoint 也為每個文件庫提供內容預設標籤,我們將在本指南中更詳細地介紹這一點。
從檔案和網站層級的預設標籤和保護開始
對於大多數客戶,我們建議從以下定義開始。 如果您有現有的部署,可以調整這些建議的標籤,並在稍後使用更多案例反覆查看。
在最上層,我們建議從下列標籤開始:
- 公開 - 公開資料是供公開使用的不受限制的資料,例如公開發行的原始程式碼和已公佈的財務資料。 自由分享。
- 一般 - 不供公開取用的商務資料,例如日常工作產品。 可以在內部和與值得信賴的合作夥伴共享的數據。
- 機密 - 對實現組織目標至關重要的敏感業務數據。 有限的分發。
- 高度機密 - 您最關鍵的資料。 僅與具名收件者共用。
注意事項
對於在受控裝置上接受個人內容的組織,建議您以最低優先順序定義非 商務 或 個人 標籤,且沒有保護。
對於 「機密」 和 「高度機密」,我們會新增下列子標籤:
- \所有員工 - 組織內的任何人都可以存取資料。
- \特定人員 - 資料只能由指定人員存取。
- \內部例外狀況 - 任何人都可以在內部存取資料,但無法在外部共用。 在加密影響日常作業的情況下使用此標籤。
如需具有建議配置的父/子標籤的完整清單,請參閱下表:
| 標籤名稱 | 給使用者的標籤描述 | 設定 |
|---|---|---|
| 公開 | 已準備並核准供公眾取用的商務資料。 |
範圍:檔案 & 其他資料資產 (檔案、Email) 內容標記:否 自動套用標籤:否 資料外洩防護:無 |
| 一般 | 不供公開取用的商務資料。 但是,這可以視需要與外部合作夥伴共用。 | 此標籤會選取為電子郵件的預設標籤。 此標籤也會針對允許外部合作夥伴的網站選取。 範圍:檔案 & 其他資料資產 (檔案、Email、會議、網站) 內容標記:否 自動套用標籤:否 網站隱私:私人或公共 資料外洩防護:封鎖任何知道連結的人 |
| 機密 \ 所有員工 |
需受保護的機密資料,所有員工皆具備完整權限。 資料擁有者可追蹤及撤銷內容。 | 此標籤會選取為文件和網站的預設標籤。 範圍:檔案 & 其他資料資產 (檔案、Email、會議、網站) 加密:組織中的所有使用者和群組:Co-Author (注意:標籤的加密可以在稍後) 實作 內容標記:頁尾:分類為機密 自動套用標籤:否 網站隱私:私人或公共 資料外洩防護:封鎖任何有連結的人,封鎖外部 |
| 機密 \ 特定人員 |
可與組織內外的信任人員共用的機密資料。 這些人員還可以視需要重新共用資料。 |
範圍:檔案 & 其他資料資產 (檔案、Email、會議、網站) 加密:讓使用者指派權限:: - 適用於 Outlook 的僅加密 - 在 Word、PowerPoint 和 Excel 中提示使用者 內容標記:頁尾:分類為機密 自動套用標籤:否 網站隱私:私人或公共 資料外洩防護:封鎖任何知道連結的人 |
| 機密 \ 內部異常 |
無需加密的機密資料。 請謹慎使用此選項並提供適當的業務理由。 | 此標籤是針對不需要加密的機密資訊選取的。 當使用此資訊的進程或應用程式不支援加密時,這可以用作內部例外狀況。 利用 資料外洩防護 和 內部風險管理 來管理風險和使用者偏差。 範圍:檔案 & 其他資料資產 (檔案、Email、會議、網站) 內容標記:頁尾:分類為機密 自動標籤:無 網站隱私:私人或公共 資料外洩防護:封鎖任何有連結的人,封鎖外部 |
| 高度機密 \ 所有員工 |
高度機密資料,所有員工皆具備檢視、編輯及回覆此內容的權限。 資料擁有者可追蹤及撤銷內容。 | 此標籤用於 用戶端自動套用標籤 和 服務端自動套用標籤。 範圍:檔案 & 其他資料資產 (檔案、Email、會議、網站) 加密:組織中的所有使用者和群組:共同撰寫 內容標記:頁尾:分類為高度機密 自動標記:自動套用標籤。 請考慮自動套用高度敏感性的 [所有認證] 敏感性資訊類型。 網站隱私:私人或公共 資料外洩防護:封鎖任何有連結的人,封鎖外部 |
| 高度機密 \ 特定人員 |
需要保護且僅能由您指定的人員及選擇的權限等級檢視的高度機密資料。 |
範圍:檔案 & 其他資料資產 (檔案、Email、會議、網站) 加密:讓使用者指派權限:: - 適用於 Outlook 的不可轉寄 - 在 Word、PowerPoint 和 Excel 中提示使用者 內容標記:頁尾:分類為高度機密 自動套用標籤:否 網站隱私:私人或公共 資料外洩防護:封鎖任何有連結的人,封鎖外部 |
| 高度機密 \ 內部異常 |
不需要加密的高度機密資料。 請謹慎使用此選項並提供適當的業務理由。 | 針對不需要加密的高度機密資訊選取此標籤。 當使用此資訊的進程或應用程式不支援加密時,這可以用作內部例外狀況。 利用 資料外洩防護 和 內部風險管理 來管理風險和使用者偏差。 範圍:檔案 & 其他資料資產 (檔案、Email、會議、網站) 內容標記:頁尾:分類為機密 自動套用標籤:否 網站隱私:私人或公共 資料外洩防護:封鎖任何有連結的人,封鎖外部 |
預設安全性
此部署模型中的建議標籤與傳統的編目/步行/執行方法或 保護資料的預設標籤和原則 一文相比,有一些差異:
- 將檔案的預設標籤設定為 Confidential\All Employees 。 對於現有檔案,利用具有內容 條件副檔名 的服務端自動標記適用於所有相關 SharePoint 網站的所有 PPTX/DOCX/XLSX/PDF 檔案。
- 將電子郵件的預設標籤設定為 一般 。 這減少了與能夠正常運作的使用者的部署摩擦,但附加到電子郵件的機密檔案會繼承檔案的標籤。
- 預設共用和資料遺失防護限制的控制項
- 以高度機密為中心的自動標記使用案例
- 特定人員標籤,直觀命名且不言自明
- 內部例外狀況 可解決加密妨礙一般使用者進行日常工作的邊緣情況。
亮點和建議
- 標籤應該直觀地命名。
- 避免將 機密、 受限或 內部 等術語混合在一起——理解這些術語的不同含義對使用者來說可能具有挑戰性。
- 盡可能將標籤清單保持為 5x5,也就是說:父項下最多五個父標籤和最多五個子標籤。
- 如果適用,請同時針對檔案和 SharePoint 網站使用標籤。
- 高度機密通常 透過自動標記和內容預設值來完成,並提供更多控制和限制。
- 預設,使用標籤將 SharePoint 網站和 Teams 隱私權設定為 私人 。
- 對於在 SharePoint/Teams 中廣泛使用公用隱私權設定的組織,建議您更新為 [ 私人 ],並改用公司可共用的連結。
- 具有公司可共用連結的私人 SharePoint 網站提供相同的共同作業彈性,但可降低搜尋和 Copilot 中意外發現的風險。
- 若要獲得更多保護,請將預設共用設定為特定人員。
- 與網站所有者建立責任鏈。 使用報告和圖形 API 來識別使用和行為的偏差。
- 在標記內容上開啟 DLP,封鎖 任何有連結 和 外部 內容的人 (如適用)。 符合這些條件區塊的現有共用內容、會引發 DLP 警示,以及一般使用者可以看到原則提示。
- 開啟電子郵件標籤繼承功能。 如需詳細資訊,請參閱 設定電子郵件附件的標籤繼承。
開啟資料安全性先決條件和進階分析
Microsoft Purview 具有許多功能。 為了減少對使用者的影響,預設不會啟用某些功能。 建議您檢閱下列設定:
- 開啟在 Office Online 中處理內容的功能: 啟用 SharePoint 和 OneDrive 中檔案的敏感度標籤
- 開啟 Microsoft Teams 和 SharePoint 網站的標籤:搭配 Microsoft Teams、Microsoft 365 群組和 SharePoint 網站使用敏感度標籤
- 建議您保留 標籤不相符的電子郵件 標籤。 此功能會傳送電子郵件給文件擁有者和網站擁有者,以說明敏感度高於網站敏感度標籤的文件。 您可以驗證 '-BlockSendLabelMismatchEmail' 已設定為 $False 來確認它未停用
- 包含帶有 '-LabelMismatchEmailHelpLink' 的說明連結
- 在 OneDrive 和 SharePoint 中啟用 PDF 檔案的支援: 啟用 SharePoint 和 OneDrive 中檔案的敏感度標籤
- 預設將檔案標示為敏感性: 在套用 DLP 規則時防止來賓存取檔案 - Microsoft 365 中的 SharePoint
- DLP 分析:開始 使用資料外洩防護分析
- 開啟具有敏感度標籤的檔案共同撰寫: 啟用加密檔的共同撰寫
- IRM 分析: 在測試人員風險管理中啟用分析
- 開啟測試人員風險管理指標: 在測試人員風險管理中設定原則指標
- 開啟 Purview 稽核: 開始使用稽核解決方案
- 啟用與 Microsoft Entra B2B 的整合:SharePoint 和 OneDrive 與 Microsoft Entra B2B 的整合
公司可共用的連結或特定人員的連結
OneDrive 和 SharePoint 共用是透過可共用連結設定。 在這裡深入瞭解: 可共用連結在 Microsoft 365 中的 OneDrive 和 SharePoint 中的運作方式
對於使用隱私權設定設定為公用的 SharePoint 網站的組織,建議您在組織中移至私人,並將預設可共用連結設定為 人員。 開放式共同作業可供使用者使用,但會降低企業搜尋和 Copilot 中的自動內容探索性。
提示
為了進一步降低風險,建議您將 特定人員設定 為預設值。
Microsoft Purview 敏感度標籤可讓您根據 SharePoint 網站敏感度標籤來設定可共用的連結。 例如,此設定可大幅促進一般網站和機密網站之間的細微設定。 在這裡深入瞭解: 使用敏感度標籤來設定預設共用連結類型
訓練使用者管理例外狀況
使用預設安全方法,訓練著重於:
- 讓您的組織意識到預設保護資訊的重要性。
- 在 SharePoint 網站中標記的重要性,以及標籤如何影響檔案和共用的保護。
- 使用者在與受信任的外部合作夥伴合作時如何變更標籤。
- 當企業營運應用程式或增益集無法正常使用加密時,使用者如何變更標籤。
- 是否要從 OneDrive 或 SharePoint 與受信任的外部合作夥伴共用,以及如何選取適當的網站標籤。
- 降級標籤時需要理由。
從 SharePoint 網站標籤衍生檔案標籤可減少使用者必須變更其標籤的次數。 例如:
- John 正在通過 OneDrive 在外部共享文件。 然後,他會檢閱內容,並判斷該內容不是機密內容,並將標籤變更為「一般」。 然後約翰對外分享。
- Jane 正在與合作夥伴合作並共用多個檔案。 Jane 使用 SharePoint 並將網站標示為 [一般]。 網站內的所有檔案都可以共用。 但是,如果機密檔案上傳到網站上,則該檔案會受到保護,並會將有關較高敏感度檔案的通知傳送給 Jane,而且她可以移動檔案或變更標籤。
- Jack 在 Excel 中與合作夥伴合作,使用對業務運營很重要的增益集。 如果此增益集與加密不相容,Jack 必須將標籤變更為 Confidential\Internal exception。
重要事項
在標籤優先順序、降級和理由以及預設值之間需要考慮一個重要的權衡。 例如,假設 [ 一般 ] 的優先順序低於 [機密\所有員工],而且如果您的 Office 用戶端預設為 [機密\所有員工],則不會套用設定為 [ 一般 ] 的 SharePoint 預設文件庫標籤。 同樣地,設定為較高優先順序的 Confidential\Internal 例外狀況 將不需要理由。 請務必檢閱標籤優先順序和理由需求。
為已標記的內容開啟資料遺失防護
Microsoft Purview 資料外洩防護 (DLP) 提供與敏感度標籤的集成,以有限的配置快速滿足 DLP 要求。
例如,將建議的標籤和預設值設定為 [機密\所有員工],建議您包含 DLP 規則,以封鎖與外部共用,並封鎖 具有連結的任何人。 請參閱建議的標籤表和 DLP 限制欄,以取得每個標籤的詳細資料。
若要深入瞭解此功能:
第一階段:總結
在此階段結束時,您的組織具有:
- 可供一般使用者手動使用的標籤。
- 任何新/更新的文件和電子郵件的預設標籤。
- 使用者通訊和訓練,以瞭解如何管理例外狀況,無論是在共用時,或加密是否對其商務檔案造成挑戰。
- DLP 防止共用機密檔案。
另請參閱
下一步: 階段 2:受控 – 以最高敏感度位址檔案