DoD 零信任 戰略與藍圖概述國防部元件和國防工業基地(DIB)合作夥伴根據 零信任 原則採用新的網路安全架構的路徑。 零信任 可消除傳統的周邊和信任假設,以提升安全性、用戶體驗和任務效能的更有效率的架構。
本指南針對 DoD 零信任 功能執行藍圖中的 152 個 零信任 活動提供建議。 這些區段會對應 DoD 零信任 模型的七個支柱。
使用下列連結來移至指南的章節。
4 數據
本節針對數據支柱中的 DoD 零信任 活動Microsoft指導方針和建議。 若要深入瞭解,請參閱使用 零信任 保護數據以取得詳細資訊。
4.1 資料目錄風險對齊
Microsoft Purview 解決方案可協助探索、識別、控管、保護及管理其所在數據。 Microsoft Purview 提供三個來識別專案,以便分類這些專案。 您可以透過自動化模式辨識,以及敏感性資訊類型,以及透過機器學習,手動分類專案。
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Target
4.1.1 數據分析DoD 組織會使用資料分類來更新服務和應用程式類別目錄。 數據標記也會新增至每個服務和應用程式。 結果: - 服務類別目錄會根據數據分類層級更新每個應用程式和服務的數據類型 |
Microsoft Purview 檢閱Microsoft Purview 合規性入口網站 中的敏感性資訊類型,並定義自定義的敏感性信息類型。 - Purview 合規性入口網站 中的自定義敏感性資訊類型使用 Purview 內容總管或活動總管來檢視已標記Microsoft 365 內容的快照集,以及檢視相關聯的用戶活動。 - 內容總 - 管活動總 管 適用於雲端的 Microsoft Defender 應用程式 整合 Microsoft Purview 資訊保護,將敏感度標籤套用至符合原則的數據。 調查跨雲端應用程式的潛在敏感數據暴露。 - 整合 資訊保護 Microsoft Purview 資料目錄 Browse Purview 資料目錄,以探索數據資產中的數據。 - Purview 資料目錄 |
4.2 DoD 企業數據控管
Microsoft Purview 資訊保護 使用敏感度標籤。 您可以建立與組織相關的敏感度標籤、控制哪些標籤可供使用者看見,以及定義標籤範圍。 將標籤的範圍設定為檔案、電子郵件、會議、Microsoft Teams、SharePoint 網站等等。 卷標會使用加密保護內容、限制外部共用,以及防止數據遺失。
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Target
4.2.1 定義數據標記標準DoD Enterprise 會與組織合作,根據業界最佳做法建立數據標記和分類標準。 分類會在程式中達成一致並實作。 標記會識別為未來活動的手動和自動化。 結果: - 已開發 企業數據分類和標記標準 - 組織符合企業標準並開始實作 |
Microsoft Purview 根據您定義的數據標記標準,在 Microsoft Purview 中建立和發佈敏感度標籤。 - 敏感度標籤和原則 - Microsoft 365中的敏感度標籤 |
Target
4.2.2 互操作性標準與組織共同作業的 DoD Enterprise 會開發互操作性標準,將必要的 Data Rights Management (DRM) 和保護解決方案與必要的技術整合,以啟用 ZT 目標功能。 結果: - 企業已針對適當的數據標準制定正式標準 |
Azure Rights Management使用 Azure RMS 進行數據版權管理 (DRM) 和保護互操作性,而 DoD 實體會與 Microsoft 365 服務共同作業。 - 支援敏感度標籤的 Azure RMS - 應用程式 |
Target
4.2.3 開發軟體定義記憶體 (SDS) 原則與組織合作的 DoD 企業會根據業界最佳做法,建立軟體定義記憶體 (SDS) 原則和標準。 DoD 組織會評估目前的數據儲存策略和技術,以實作 SDS。 針對 SDS 實作識別適當的儲存技術。 結果: - 判斷 SDS 工具實 作的需求 - 在企業和組織層級建立 SDS 的原則 |
SharePoint Online 使用 SharePoint Online 和 商務用 OneDrive 作為標準互通軟體設計記憶體 (SDS) 解決方案。 使用網站存取限制原則來限制對敏感性 SharePoint Online 網站和內容的存取。 在套用數據外洩防護 (DLP) 規則時,防止來賓存取檔案。 - 限制群組成員 - 存取檔案安全來賓共用 適用於雲端的 Microsoft Defender 應用程式使用 適用於雲端的 Defender Apps 來封鎖未經授權雲端記憶體服務的存取。 - 控管探索到的應用程式 |
4.3 數據標記和標記
Microsoft Purview 資訊保護 會根據您定義的敏感性資訊類型自動分類數據。 服務與用戶端標籤的原則可確保Microsoft使用者所建立的365內容已加上標籤並受到保護。
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Target
4.3.1 實作數據標記和分類工具DoD 組織會利用企業標準和需求來實作數據標記和分類解決方案。 組織可透過 DoD 企業需求,確保解決方案支持未來的 ML 和 AI 整合。 結果: - 資料分類和標記工具的需求必須包括整合和/或支援 機器學習 (ML) - 資料分類和標記工具是在組織和企業層級實作 |
Microsoft Purview 資訊保護 使用 Microsoft Purview 資訊保護,根據機器學習 (ML) 定型的敏感性資訊類型和分類器來分類數據。 - 敏感數據和 Purview - 標籤原則 |
Target
4.3.2 手動數據標記 Pt1使用 DoD 企業數據標記和分類原則和標準,手動標記會開始使用基本數據層級屬性來符合 ZT 目標功能。 結果: - 手動數據標記從企業層級開始,具有基本屬性 |
Microsoft Purview 根據您定義的數據標記標準,在 Microsoft Purview 中建立及發佈敏感度標籤。 請參閱 4.2.1 中的Microsoft指引。 設定標籤原則,要求使用者將敏感度標籤套用至電子郵件和檔。 - 使用者將標籤套用至電子郵件和檔 |
Advanced
4.3.3 手動數據標記 Pt2DoD 組織特定的數據層級屬性會整合到手動數據標記程式中。 DoD 企業和組織會共同作業,以決定符合 ZTA 進階功能所需的屬性。 ZTA 進階功能的數據層級屬性會在整個企業中標準化併併入。 結果: - 手動數據標記會擴充至具有特定屬性的程式/組織層級 |
Microsoft Purview 檢閱 Microsoft Purview 合規性入口網站 中的敏感性信息類型。 視需要定義自定義敏感性資訊類型。 請參閱 4.1.1 中的Microsoft指引。 |
Advanced
4.3.4 自動化數據標記與支援 Pt1DoD 組織會使用數據外洩防護、版權管理和/或保護解決方案來執行數據存放庫掃描。 標準化標籤會套用至支援的數據存放庫和數據類型。 識別不支持的數據存放庫和類型。 結果: - 基本自動化從掃描數據存放庫和套用標籤開始 |
Microsoft Purview 資訊保護 設定在Microsoft Office 應用程式 數據列中建立之檔案和電子郵件的用戶端標籤。 - Office 應用程式 的自動標記: 設定儲存在 Office 365 中之內容的服務端標籤。 - SharePoint、OneDrive 和 Exchange的自動標記原則:將敏感度標籤至容器:Microsoft Teams 網站、Microsoft 365 群組 和 SharePoint 網站。 - Teams 的敏感度標籤,Microsoft 365 個群組和 SharePoint 網站 若要在環境中尋找檔和電子郵件,請掃描其中已定義敏感性資訊類型中的數據比對值。 - 數據比對敏感性資訊類型 使用檔指紋來尋找和標記符合檔範本和標準表單的內容。 - 文件指紋 註冊數據源、掃描、擷取和分類 Microsoft Purview 治理入口網站中的數據。 - Purview掃描和擷取 數據遺失。 - 整合 資訊保護 - 應用程式敏感度標籤 - DLP內容檢查 |
Advanced
4.3.5 自動化數據標記與支援 Pt2其餘支持的數據存放庫具有使用機器學習和人工智慧來套用的基本和擴充數據標記。 擴充數據標記會套用至現有的存放庫。 不支持的數據存放庫和數據類型會評估為使用以風險為基礎的方法解除委任。 核准的例外狀況會利用手動數據標記方法與數據擁有者和/或監管人來管理標記。 結果: - 資料標記的完整自動化已完成 - 資料標記的結果會饋送至 ML 演算法。 |
Purview 中的 Microsoft Purview 資訊保護 Trainable 分類器可協助您使用機器學習 (ML) 辨識內容。 使用人工挑選和正面比對樣本建立和定型分類器。 - 可訓練分類器 |
4.4 數據監視和感知
Microsoft Purview 資料外洩防護 (DLP) 原則會防止數據離開您的組織。 您可以將 DLP 原則套用至待用數據、使用中和移動中。 DLP 原則會強制執行數據位於雲端服務、內部部署檔案共用,以及 Windows 和 macOS 裝置上的位置。
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Target
4.4.1 DLP 強制點記錄和分析DoD 組織會識別數據外洩防護 (DLP) 強制點,例如特定服務和用戶端點。 使用已建立的 DoD Enterprise 網路安全事件響應標準,DoD 組織可確保擷取適當的數據詳細數據。 此外,系統會開發保護、偵測和回應使用案例,以更清楚地概述解決方案涵蓋範圍。 結果: - 已識別 強制點- 在企業和組織層級強制執行標準化記錄架構 |
Microsoft Purview 資料外洩防護 在 Purview 合規性中建立 DLP 原則。 針對 Microsoft 365 個應用程式、Windows 和 macOS 端點,以及非Microsoft雲端應用程式強制執行 DLP。 - 規劃 DLP 設計 DLP - 原則 - 稽核記錄活動 - Office 365 管理活動 API 架構 適用於雲端的 Microsoft Defender 應用程式 整合 Purview 資訊保護 與 適用於雲端的 Defender自動套用敏感度標籤的應用程式、強制執行加密原則,以及防止資料遺失。 請參閱 4.3.4 中的Microsoft指引。 |
Target
4.4.2 DRM 強制點記錄和分析DoD 組織會識別數據版權管理 (DRM) 強制點,例如特定服務和用戶端點。 使用已建立的 DoD Enterprise 網路安全事件響應標準,DoD 組織可確保擷取適當的數據詳細數據。 此外,系統會開發保護、偵測和回應使用案例,以更清楚地概述解決方案涵蓋範圍。 結果: - 已識別 強制點- 在企業和組織層級強制執行標準化記錄架構 |
Microsoft Purview 資訊保護 Purview 資料版權管理 (DRM) 強制執行點包括Microsoft 365 和第三方應用程式和服務,與 Microsoft 資訊保護 (MIP) SDK、在線應用程式和豐富的用戶端整合。 - 保護敏感數據 - :在 Microsoft 365 加密限制內容存取 適用於雲端的 Microsoft Defender 應用程式 整合 Purview 資訊保護 與 適用於雲端的 Defender自動套用敏感度標籤的應用程式、強制執行加密原則,以及防止資料遺失。 請參閱 4.3.4 中的Microsoft指引。 |
Target
4.4.3 檔案活動監視 Pt1DoD 組織會利用檔案監視工具來監視應用程式、服務和存放庫中最重要的數據分類層級。 監視的分析會以基本數據屬性送入 SIEM,以完成 ZT 目標功能。 結果: -正在主動監視 重要分類的數據和檔案- 基本整合已與 SIEM 等監視系統一起就緒 |
Microsoft Purview 資料外洩防護 DLP 警示會出現在 Microsoft Defender 全面偵測回應 中。 關於建立、標記、列印和共用的檔案活動位於統一稽核記錄檔中,以及 Microsoft Purview 合規性入口網站 的活動總管中。 - DLP 警示 - 匯出、設定及檢視稽核記錄記錄 Microsoft Defender 全面偵測回應 和Microsoft Sentinel 整合 Microsoft Defender 全面偵測回應使用 Sentinel 在企業安全性事件和事件管理 (SIEM) 系統中檢視和調查數據外洩防護 (DLP) 警示。 - 整合 SIEM 工具 - 資訊保護 Sentinel - Connect Defender XDR 數據的連接器與 Sentinel - DLP 調查 |
Target
4.4.4 檔案活動監視 Pt2DoD 組織會利用檔案監視工具來監視應用程式、服務和存放庫中所有受法規保護的數據(例如 CUI、PII、PHI 等)。 擴充整合可用來將數據傳送至適當的內部/支柱解決方案,例如數據外泄防護、數據版權管理/保護和使用者和實體行為分析。 結果: 系統會主動監視 所有受管制分類的數據和檔案- 已適當地進行擴充整合,以進一步管理風險 |
Microsoft Sentinel 判斷所需的敏感度標籤,並設定自訂 Sentinel 分析規則。 當 DLP 警示觸發重大檔案事件時,建立事件。 重大檔案事件包括偵測敏感性資訊、原則違規和其他可疑活動。 - 使用劇本偵測威脅 - 威脅回應的自定義分析規則 |
Advanced
4.4.5 資料庫活動監視DoD 組織會採購、實作及利用資料庫監視器解決方案來監視包含受管制數據類型的所有資料庫(CUI、PII、PHI 等)。 來自資料庫監視解決方案的記錄和分析會饋送至 SIEM 以進行監視和回應。 分析會饋送至跨支柱活動,例如「企業安全性配置檔」和「即時存取」,以更直接的決策制定。 結果: -正在主動監視 適當的資料庫-監視技術與 SIEM、PDP 和動態 存取控制 機制等解決方案整合 |
Microsoft適用於 SQL 的適用於 SQL的 Defender 可保護 Azure 和其他雲端中的資料庫。 - 適用於 SQL - 安全性的 Defender 警示 Microsoft Sentinel Connect 適用於雲端的 Microsoft Defender,並將數據連接器 Microsoft Defender 全面偵測回應 至 Sentinel。 - 已將 適用於雲端的 Defender 警示連線至 Sentinel Connect Defender XDR 至 Sentinel- 敏感度標籤 - 使用 Azure SQL 資料庫 和 Azure Synapse Analytics 驗證內容 - 條件式存取 |
Advanced
4.4.6 綜合數據活動監視DoD 組織會根據有條不紊的風險方法,擴充數據存放庫的監視,包括資料庫。 符合 ZT 進階功能的其他資料屬性會整合到分析中以取得其他整合。 結果: 數據活動監視機制已整合,以提供跨數據存放庫 監視的統一檢視- SIEM 和 PDP 等解決方案有適當的整合 |
Microsoft Graph API使用 Microsoft Graph 活動記錄,以取得Microsoft Graph 服務所接收和租使用者所處理之要求的稽核記錄。 - 活動記錄 Microsoft Purview 資料對應 設定 Purview 數據對應,以掃描組織數據資產中的敏感性檔案。 - 管理數據源 Microsoft Sentinel 若要與安全性資訊和事件管理 (SIEM) 系統整合,請設定 Sentinel 數據連接器以進行 適用於雲端的 Microsoft Defender、Microsoft Defender 全面偵測回應 和 Purview。 請參閱 4.4.5 中的Microsoft指引。 Microsoft Defender 全面偵測回應 找到異常檔案存取的條件式存取 偵測會提高用戶風險層級。 用戶風險是條件式存取中的條件,這是Microsoft Entra標識符的原則決策點 (PDP)。 定義條件式存取驗證內容,且用戶風險條件沒有風險。 保護加上標籤的 SharePoint 網站;需要條件式存取驗證內容。 - 風險偵測 - 異常檔案存取 - 驗證內容範例 |
4.5 數據加密和版權管理
Microsoft 365 服務會加密待用和傳輸中的數據。 Microsoft Purview 會根據敏感度標籤加密原則來限制對內容的存取。 Purview 使用另一層電子郵件和檔案加密來完成目標。
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Target
4.5.1 實作DRM和保護工具 Pt1DoD 組織會遵循 DoD Enterprise 標準和需求,視需要採購並實作DRM與保護解決方案。 新實作的DRM和保護解決方案會使用 ZTA 目標層級保護,以高風險的數據存放庫實作。 結果: - 具有基本保護的高風險數據存放庫已啟用DRM和保護工具 |
Microsoft 365 加密Microsoft 365 具有 Windows 安全性功能 BitLocker 和分散式密鑰管理員 (DKM) 的基準、磁碟區層級加密。 - 瞭解加密 使用標籤原則,根據敏感度標籤,在 Microsoft 365 中自動套用更多高風險數據的加密。 - 在 Microsoft 365 電子郵件加密的內容存取 適用於雲端的 Microsoft Defender 應用程式 整合 Microsoft Purview 資訊保護 與 適用於雲端的 Defender自動套用敏感度標籤的應用程式、強制執行加密原則,以及防止資料遺失。 請參閱 4.3.4 中的Microsoft指引。 Azure 原則 使用 Azure 原則 要求安全傳輸層安全性 (TLS) 版本、實作 透明資料加密 (TDE),並使用客戶管理的密鑰來加密待用數據。 - Azure SQL Database 和 SQL 受管理執行個體 的 Azure 原則 定義 |
Target
4.5.2 實作DRM和保護工具 Pt2DRM 和保護涵蓋範圍已擴充,以涵蓋範圍數據存放庫中的所有專案。 加密金鑰會自動管理以符合最佳做法(例如 FIPS)。 擴充數據保護屬性會根據環境分類來實作。 結果: -所有可能存放庫都已啟用DRM和保護工具 |
Azure 金鑰保存庫 使用 Azure 金鑰保存庫 受控硬體安全性模組 (Azure 金鑰保存庫 HSM) 來保護使用 FIPS 140-2 層級 3 驗證的硬體安全性模組的應用程式密碼編譯密鑰。 - Azure 金鑰保存庫 受控 HSM Microsoft Purview 客戶密鑰 Microsoft 365 提供一層加密,讓您的內容使用客戶密鑰。 - 服務加密 Azure 資訊保護 租使用者密鑰 Azure 資訊保護 支援Microsoft產生的租使用者根密鑰,並攜帶您自己的密鑰(BYOK)。 - 租使用者密鑰雙重金鑰 - 加密 - BYOK |
Target
4.5.3 透過數據標記和分析 Pt1強制執行DRM數據版權管理 (DRM) 和保護解決方案會與 DoD Enterprise 標準所定義的基本數據標記整合。 初始數據存放庫會受到監視,並啟用保護和回應動作。 待用數據會在存放庫中加密。 結果: - 數據標記會與DRM整合,並擴充 受監視的存放庫- 根據數據標記,數據會在待用時加密 |
Microsoft Purview 資訊保護 使用標籤原則,根據敏感度標籤,在 Microsoft 365 中自動套用更多高風險數據的加密。 - 使用敏感度標籤 來限制內容存取Microsoft 365 加密 Microsoft 365 具有基準、磁碟區層級加密與 BitLocker 和分散式密鑰管理員 (DKM)。 請參閱 4.5.1 中的Microsoft指引。 |
Advanced
4.5.4 透過數據標記和分析 Pt2強制執行DRM擴充數據存放庫會受到DRM和保護解決方案的保護。 DoD 組織會實作適用於組織與受授權企業之延伸數據標記。 數據會使用其他標記在擴充存放庫中加密。 結果: - 所有適用的數據存放庫都會使用DRM 保護- 資料會使用組織層級的擴充數據標記來加密數據 |
Azure 加密 Azure 會針對待用和傳輸中的數據使用加密。 - Azure 加密 Azure 原則 保護 Azure SQL 資料庫 的安全 Azure 原則 請參閱Microsoft指引 4.5.1。 條件式存取 針對連線至 Azure SQL 的使用者使用條件式存取原則。 請參閱 4.4.5 中的Microsoft指引。 |
Advanced
4.5.5 透過數據標記和分析 Pt3強制執行DRMDRM 和保護解決方案會與 AI 和 ML 工具整合,以進行加密、版權管理和保護功能。 結果: -ML/AI 的分析已與DRM整合,以更佳的自動化保護 -加密保護會與AI/ML整合,並視需要使用更新的加密方法 |
Microsoft Purview 資訊保護 使用 Microsoft Purview 資訊保護 ,根據敏感性資訊類型,以及機器學習 (ML) 定型的分類器來分類數據。 請參閱 4.3.5 中的Microsoft指引。 Azure 機器學習 Azure 機器學習 和 Azure OpenAI 服務會使用加密數據的 Azure 儲存體 和 Azure 計算服務。 - 待用數據 Azure OpenAI 加密條件式存取 定義使用 Identity Protection 風險訊號的驗證內容。 需要已標記 SharePoint 網站和自訂應用程式的驗證內容。 - 驗證內容 請參閱 4.4.5 中的Microsoft指引。 |
4.6 數據外洩防護 (DLP)
Microsoft Purview 資料外洩防護 (DLP) 原則會防止數據離開您的組織。 您可以將 DLP 原則套用至待用數據、使用中和移動中。 DLP 原則會強制執行數據位於雲端服務、內部部署檔案共用,以及 Windows 和 macOS 裝置上的位置。
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Target
4.6.1 實作強制點數據外洩防護 (DLP) 解決方案會部署到範圍內的強制點。 DLP 解決方案會設定為「僅限監視」和/或「學習」模式限制影響。 系統會分析 DLP 解決方案結果,並微調原則以將風險管理到可接受的層級。 結果: 識別的強制執行點已部署 DLP 工具,並設定為使用標準化記錄監視模式 |
Microsoft Purview 資料外洩防護 Microsoft 365 個應用程式和 Windows 端點會強制執行 DLP 原則。 在 DLP 模擬模式中設定原則。 - 中建立原則。 使用原則提示設定原則狀態以測試或測試。 將原則動作設定為 [僅稽核] 或 - DLP 原則部署 將 Windows 10、11 和 macOS 裝置上線至端點數據外洩防護 (端點 DLP) - 端點 DLP 部署 Microsoft Purview 資訊保護 掃描器。 為內部部署 SQL 資料庫、檔案共用、網路連接記憶體 (NAS) 和 SharePoint Server 文件庫中的內容加上標籤並強制執行 DLP 原則。 - DLP 內部部署存放庫 - 資訊保護 掃描器 Microsoft Purview 資料外洩防護 使用 適用於雲端的 Defender Integrate Microsoft Purview 資訊保護自動套用敏感度標籤的應用程式、強制執行加密原則,以及防止資料遺失。 請參閱 4.3.4 中的Microsoft指引。 條件式訪問控制 存取 Office 365 和其他Microsoft Entra 整合式應用程式。 使用僅限報表模式來監視結果,再啟用具有封鎖存取授與控制的原則。 - 建置原則 - 僅報告模式 - 會話原則:監視全部 |
Target
4.6.2 透過數據標記和分析 Pt1強制執行 DLP數據外洩防護 (DLP) 解決方案會從監視模式更新為預防模式。 基本數據標記會用於 DLP 解決方案,並整合記錄架構。 結果: - 設定為防止模式整合記錄架構和手動標記環境分類的強制點。 |
Microsoft Purview 資料外洩防護 在測試模式中建立 DLP 原則。 將狀態變更為 [開啟] 以啟用強制模式。 如果您將原則動作設定為 [封鎖],原則會防止觸發 DLP 的用戶活動。 - DLP 原則 中的動作 啟用 Just-In-Time (JIT) 保護,針對離線裝置上建立的檔案強制執行端點 DLP。 - 離線裝置 適用於雲端的 Microsoft Defender 應用程式 在 適用於雲端的 Defender Apps 中啟用內容檢查。 - DLP 內容檢查 條件式存取 測試之後,啟用套用會話控件的條件式存取原則,或使用封鎖訪問控制。 若要避免租用戶鎖定,請排除緊急存取帳戶。 - 緊急存取帳戶 請參閱 4.6.1 中的Microsoft指引。 |
Advanced
4.6.3 透過數據標記和分析 Pt2強制執行 DLP數據外洩防護 (DLP) 解決方案會更新,以根據平行自動化活動包含擴充的數據標記。 結果: - 強制點已套用用於其他預防的數據標記屬性 |
Microsoft Purview 資訊保護 定義自定義敏感性信息類型。 建立標籤和數據外洩防護原則。 請參閱 4.1.1 中的Microsoft指引。 |
Advanced
4.6.4 透過數據標記和分析 Pt3強制執行 DLP數據外洩防護 (DLP) 解決方案會與自動化數據標記技術整合,以包含任何遺漏的強制點和標記。 結果: - 自動化標記屬性會與 DLP 整合,並針對 ML 使用產生的計量 |
Microsoft Purview 資訊保護 根據敏感性資訊類型和機器學習 (ML) 定型的分類器,使用 Microsoft Purview 資訊保護 來分類數據。 請參閱 4.3.5 中的Microsoft指引。 |
4.7 數據訪問控制
Microsoft 365 和 Azure 儲存體 服務會與以身分識別為基礎的授權Microsoft Entra 標識符整合。 Microsoft Entra ID 支援角色型存取控制 (RBAC) 和屬性型存取控制 (ABAC)。
Microsoft Entra 角色和安全組提供組織角色型訪問控制。 動態安全組會使用使用者、群組和裝置物件上定義的屬性,根據豐富的運算式和規則集來定義成員資格。
Microsoft Entra ID 屬性型訪問控制會利用自定義安全性屬性,這是您可以定義並指派給Microsoft Entra 對象的商務特定屬性。 自訂安全性屬性會儲存敏感性資訊。 自定義安全性屬性的存取權僅限於屬性管理員角色。
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Target
4.7.1 整合 DAAS 存取 w/ SDS 原則 Pt1利用 DoD 企業 SDS 原則,組織 DAAS 原則會隨著預定的整合而開發。 SDS 實作指南是由 DoD 組織所開發,因為環境特有的本質。 結果: - 開發以屬性為基礎的精細 DAAS 原則 w/ 企業和組織層級支援 - SDS 整合計劃開發以支援 DAAS 原則 |
Microsoft Entra ID實作屬性型數據、資產、應用程式和服務 (DAAS) 原則,其中包含 Microsoft具有 Azure 屬性型存取控制(Azure ABAC)、應用程式自定義安全性屬性篩選,以及動態安全組等機制的 Entra 識別符。 - 屬性型控件 自定義安全性屬性 定義自定義安全性屬性 ,並將值指派給使用者。 針對 Azure 角色設定 Azure ABAC 的角色指派條件。 此功能目前處於預覽狀態,Azure 儲存體 帳戶許可權。 - Azure ABAC - 的存取權:使用委派 管理屬性 使用自定義安全性屬性進行更細緻的動態應用程式授權。 為條件式存取原則中的應用程式指派自定義安全性屬性,並使用屬性篩選條件(預覽)。 - 管理應用程式自定義安全性屬性 動態安全組 使用動態安全組將存取權指派給支援Microsoft Entra ID 群組授與許可權的資源。 這包括Microsoft 365 個角色群組、Microsoft Entra ID 應用程式、Azure 角色和應用程式指派的應用程式角色。 條件式存取原則會使用動態群組,併為具有各種屬性值的使用者套用授權層級。 - 動態群組成員資格規則 - 從條件發出宣告 |
Advanced
4.7.2 整合 DAAS 存取 w/ SDS 原則 Pt2DoD 組織會以自動化方式實作 DAAS 原則。 結果: - 以自動化方式實作以屬性為基礎的精細 DAAS 原則 |
Microsoft 圖形 API 使用 Microsoft Graph API 自動設定條件式存取原則、自訂安全性屬性、動態安全性群組和其他 Microsoft Entra ID 功能。 |
Advanced
4.7.3 整合 DAAS 存取 w/ SDS 原則 Pt3新實作的 SDS 技術和/或功能會以風險為基礎的方式與 DAAS 原則整合。 實作期間應採用階段式方法,以測量結果並據以調整。 結果: - SDS 與 DAAS 原則功能 整合- 所有應用程式中的所有資料都會受到屬性型細部 DAAS 原則的保護。 |
適用於雲端的 Microsoft Defender 應用程式 整合 Microsoft Purview 和 適用於雲端的 Defender Apps。 建立檔案原則,以使用雲端提供者 API 強制執行自動化程式。 - 整合 資訊保護 - File 原則 |
Target
4.7.4 整合解決方案與企業IDP Pt1的原則DoD 組織使用 SDS 原則和技術/功能搭配企業識別提供者 (IdP) 解決方案來開發整合計畫。 結果: - 開發 SDS 與授權識別提供者之間的整合計劃,以支援現有的 DAAS 存取 |
Microsoft Entra ID Microsoft 365 記憶體服務,例如 SharePoint Online 和 商務用 OneDrive 會與 Microsoft Entra ID 整合。 設定 Azure 儲存體 服務,以便與 Microsoft Entra ID 整合,以身分識別為基礎的 Blob、檔案、佇列和數據表服務要求授權。 - Microsoft Entra ID - 在應用連結庫中,整合更多軟體定義記憶體 (SDS) 解決方案與 Microsoft Entra ID。 - 應用連結庫 |
Advanced
4.7.5 整合解決方案與企業IDP Pt2的原則新實作的 SDS 技術和/或功能會遵循整合計劃,與企業識別提供者 (IdP) 整合。 整合需要符合 ZT 目標功能的身分識別屬性。 結果: - 與企業 IDP 和 SDS 工具完全整合,以支援所有屬性型細部 DAAS 存取 |
完成活動 4.7.1 和 4.7.4。 |
Advanced
4.7.6 實作 SDS 工具和/或與DRM 工具 Pt1整合根據軟體定義記憶體工具的需求,會實作新的解決方案,或識別出現有的解決方案符合與 DLP、DRM/Protection 和 ML 解決方案整合的功能需求。 結果: - 如果需要工具,請確定已支援與 DLP、DRM 和 ML 工具整合 |
Microsoft Purview Microsoft Purview 資訊保護 數字版權管理 (DRM) 和 Microsoft Purview 資料外洩防護 (DLP) 功能與 Office 用戶端和 Microsoft 365 服務原生整合。 整合是內建的,不需要部署更多。 - Purview 概觀 使用 Microsoft 資訊保護 SDK (MIP SDK) 建置自定義工具,以將標籤和保護套用至檔案。 請參閱 4.4.2 中的Microsoft指導方針。 |
Advanced
4.7.7 實作 SDS 工具和/或與DRM 工具 Pt2整合DoD 組織會視需要設定 SDS 功能和/或解決方案與基礎 DLP 和DRM/Protection 基礎結構整合。 較低層級的整合可啟用更有效的保護和回應。 結果: - 整合 SDS 基礎結構與現有的 DLP 和 DRM 基礎結構 |
Microsoft 365 和 Microsoft Purview Microsoft Purview 保護Microsoft 365 內容,且數據外泄防護 (DLP) 和數據管理 (DRM) 沒有更多基礎結構。 - 保護敏感數據 |
下一步
為 DoD 零信任 策略設定 Microsoft 雲端服務: