第 4 階段：策略 - 營運、將保護擴展到 M365 之外，並對現有內容採取追溯行動

本指南分為四個階段：

• 簡介
• 階段 1：基礎 – 從預設標籤開始
• 階段 2：受控 – 以最高敏感度的檔案位址
• 階段 3：優化 – 將保護擴展到整個 Microsoft 365 數據資產
• 第 4 階段：策略 – 營運、將保護擴展到 M365 之外，並對現有內容採取追溯行動， (此頁面)

此藍圖也可供下載： PDF、 PowerPoint。

在最後階段，我們著眼於實施操作程序並擴展到 Microsoft 365 之外。

使用者標註行為的作業檢閱

檔案標籤是此藍圖不可或缺的一部分。 系統管理員應檢閱偏離標準的風險行為和設定。

以下是要檢閱的核心作業案例：

• 未標記的網站/團隊 – 使用圖形 API 來識別網站並連絡網站擁有者或套用糾正措施。
• 網站標籤與預設文件庫標籤不相符 — 使用圖形 API 來識別差異，並連絡網站擁有者或套用更正措施。
• 在 SIT 和不受限制的標籤上利用資料外洩防護 (DLP) – 當內容在沒有保護的情況下標記並嘗試共用時，使用 DLP 攔截例外狀況。
• 使用測試人員風險管理稽核尋找有風險的使用者 – 檢閱有風險的使用者和行為、微調 IRM 原則，以及實作更嚴格的調適型保護。

使用新的標籤案例反覆運算

在此部署模型中，我們著重於標記適合大部分組織的案例，以允許快速部署並快速保護您的資料資產，而不需要識別所有邊緣案例。

在本節中，我們將探討您的組織在核心部署之後應考慮的潛在反覆專案。

與值得信賴的合作夥伴/多租戶組織進行安全協作

如果您的組織有多個租用戶，或與受信任的合作夥伴公開合作，請考慮使用具有支援多個網域的加密標籤，例如 「@contoso.com + @adventureworks.com”。

這些將被標記為機密和高度機密。

帳篷項目

帳篷項目是高度保密的。 例如，併購項目，其中內容的存取權限必須限制為特定使用者群組。

您可以為安全群組建立具有加密的標籤，並僅將其發佈給相同的個人。 在不需要此專案的一段時間之後，可以取消發佈標籤，且資訊仍會受到保護，但不會使用此標籤進行新的標籤。

Full-Time 員工、供應商、離岸或區域團隊

某些組織需要識別和保護使用者區段，例如：

• Full-Time 員工 (FTE)
• 供應商
• 離岸
• 地區/國家

在本指南中，我們將標籤簡化為「所有員工」，但我們瞭解在某些情況下，FTE 和廠商/合作夥伴之間可能需要以不同的方式保護標籤，有時甚至針對特定區域。

與上一個案例一樣，我們建議將使用者可見的標籤數量限制為不超過 5 個群組標籤，每個標籤的標籤不得超過 5 個，並儘可能 (5x5) 。 在區域或國家/地區標籤的內容中，您可以將發佈目標設定為適當的使用者，並使用容器來檔案標籤，以簡化預設為最適當的標籤。

標記內部部署檔案共用和 SharePoint 伺服器

您可以搭配內部部署檔案共用使用敏感度標籤，並將 SharePoint 伺服器搭配資訊保護掃描器使用。 由於本指南著重於預設保護，因此建議您在 SharePoint 中設定正確的預設值、將內容移轉至 SharePoint，並在上傳內容時自動標記內容。

自帶密鑰 (BYOK) 和雙密鑰加密 (DKE)

BYOK 和 DKE 都是選項，可用於滿足監管要求，它們不在本指南的範圍之內。 BYOK 是關於所有權以及加密密鑰滾動的功能，而 DKE 則適用於需要更高安全性的一小部分高度敏感內容。 DKE 會影響多種協作能力。

您可以在這裡深入瞭解 BYOK： 服務加密和金鑰管理 - Microsoft Purview

您可以在此處了解有關 DKE 的更多信息： 雙密鑰加密 (DKE)

設定責任鏈和生命週期管理

啟用 SharePoint 共同作業需要網站擁有者的責任。 請務必實作責任和生命週期管理鏈，並提出下列建議：

• 所有網站上的 2+ 網站擁有者 – 使用網站擁有權原則來識別沒有至少兩個擁有者的網站，並連絡目前的擁有者或成員以解決問題。
• 非作用中網站 — 非作用中網站原則，以移除未使用的網站。
• 網站證明 – 要求網站擁有者定期證明網站。
• 檢閱與「外部使用者以外的所有人」共用的內容 – 使用 SharePoint 進階管理報告來識別與來賓以外的所有人共用的內容，並連絡網站擁有者。
• 網站存取檢閱 – 使用 SharePoint 進階管理、檢閱網站資料控管，以及起始網站存取檢閱，特別是針對具有大量共用或存取的網站。

將保護延伸至 Azure SQL 和非 Microsoft 365 儲存體

敏感度標籤現在可以將保護延伸至非 Microsoft 365 資料來源。 我們目前在公開預覽版中支援下列資料來源：

• Azure SQL Database
• Azure Blob 儲存體
• Azure Data Lake Storage Gen2
• Amazon S3 儲存貯體

Microsoft Purview 是先前稱為 Azure Purview 和 Microsoft Purview 的組合。 此體驗現在都在新的 Microsoft Purview 入口網站下，自 2024 年 7 月起正式推出。 它可讓資料安全性系統管理員在 Microsoft 365 和非 Microsoft 365 之間設定標籤、自動標籤和保護原則。

您允許在數據層級設定具有「拒絕所有例外」許可權的非 Microsoft 365 資料資產的保護原則。 例如，不小心用於比預期更敏感內容的儲存體帳戶，保護原則可以確保許可權僅限於資料安全性系統管理員。

同樣地，針對 Azure SQL 資料庫，如果找到敏感性內容且資料行已標示，保護原則會限制對資料行的存取。 精細的設定可用來設定誰可以保留每個資料資產的存取權。

第 4 階段：總結

• 起始資料存取控管報告的網站存取檢閱 - Microsoft 365 中的 SharePoint
• 使用內部風險管理稽核記錄檢閱活動
• 在內部風險管理中管理警示磁碟區的最佳做法
• 管理網站生命週期原則 - Microsoft 365 中的 SharePoint
• 起始資料存取控管報告的網站存取檢閱 - Microsoft 365 中的 SharePoint

另請參閱

• 瞭解 Microsoft Purview 入口網站
• 撰寫和發佈保護原則 (預覽)
• 撰寫和發佈 Azure 來源的保護原則 (預覽)
• Amazon S3 的編寫和發佈保護政策 (預覽)