使用 Microsoft Purview 部署資訊保護解決方案。
您的資訊保護策略是由您的商務需求所驅動。 許多組織必須遵守法規、法律及商務慣例。 此外,組織必須保護專屬資訊,例如特定專案的資料。
Microsoft Purview 資訊保護 (先前Microsoft 資訊保護) 提供架構、程式和功能,可用來保護雲端、應用程式和裝置之間的敏感數據。
若要查看運作中的 Microsoft Purview 資訊保護 範例,從用戶體驗到系統管理員設定,請 watch 下列影片:
提示
如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
Microsoft Purview 資訊保護架構
使用 Microsoft Purview 資訊保護可協助您探索、分類、保護以及控管敏感性資訊,無論這些資料儲存在某處在或傳輸中。
如需資料控管,請參閱 使用 Microsoft Purview 部署資料控管解決方案。
提示
請考慮使用 資料安全性態勢管理 和 資料安全性態勢管理 (DSPM) 來補充此頁面上的資訊,並使用 Microsoft Purview 資訊保護 來快速開始保護您的數據。
這些解決方案使用相同的控件架構搭配一些現成的報告和建議、預設敏感度標籤,以及自動建立一些容易修改的原則來保護您的敏感數據。
授權
Microsoft Purview 資訊保護功能包含在 Microsoft Purview 中。 授權需求可能會因功能而異,視設定選項而定。 若要識別授權需求與選項,請參閱安全性規範的 Microsoft 365 指導方針。
了解您的資料
了解敏感性資料的所在位置通常是許多組織的最大挑戰。 Microsoft Purview 資訊保護資料分類可協助您探索並正確分類貴組織所建立之數量不斷增加的資料。 以圖形方式呈現可協助深入了解此資料,以便您設定及監視可保護及監控其的原則。
| 步驟 | 描述 | 其他資訊 |
|---|---|---|
| 1 | 描述要保護的敏感性資訊類別。 您已經知道何種資訊類型對組織最有價值,而哪些不是。 請與專案關係人一起描述這些類別,其中這些類別是您的起點。 |
了解敏感性資訊類型 |
| 2 | 探索和分類敏感性資料。 您可以使用許多不同的方法找到項目中的敏感性資料,包括預設 DLP 原則、使用者手動套用標籤,以及使用敏感性資訊類型或機器學習的自動化模式識別。 |
了解資料分類 |
| 3 | 檢視您的敏感性項目。 使用內容總管和活動總管對敏感性項目以及使用者對這些項目所採取的動作進行較深入的分析。 |
開始使用內容總管 |
保護您的資料
使用了解您敏感性資料所在位置的資訊,以更有效率地保護資料。 不過,您不需要等候,您可以使用手動、預設和自動標籤的組合,立即開始保護您的數據。 然後,使用上一節 的內容總 管和 活動總管 來確認哪些專案已加上標籤,以及標籤的使用方式。
| 步驟 | 描述 | 其他資訊 |
|---|---|---|
| 1 | 定義將保護組織資料的敏感度標籤和原則。 除了識別內容的敏感度之外,這些標籤還可以套用保護動作,例如標頭 (內容標記、頁尾、浮水印) 、加密和其他訪問控制。 敏感度標籤範例: 個人 Public 一般 - 任何人 (不受限制的) - 所有員工 (不受限制的) 機密 - 任何人 (不受限制的) - 所有員工 - 受信任的 人員 高度機密 - 所有員工 - 特定 人員 敏感度標籤原則範例: 1.將所有標籤發佈給租使用者中的所有使用者 2.一 般 \ 所有員工 的默認標籤 (專案不受限制的) 3.用戶必須提供移除標籤或降低其分類的理由 |
開始使用敏感度標籤 建立及設定敏感度標籤及其原則 使用敏感度標籤來套用加密以限制存取內容 |
| 2 | Microsoft 365 應用程式和服務的標籤和保護數據。 敏感度標籤支援Microsoft 365 Word、Excel、PowerPoint、Outlook、Teams 會議,以及包含 SharePoint 和 OneDrive 網站的容器,以及Microsoft 365 群組。 請使用混合的標籤方法,例如手動套用標籤、自動套用標籤、預設套用標籤和強制套用標籤。 用戶端自動套用標籤的範例組態: 1.如果 1-9 個信用卡號碼,建議機密 \ 任何人 (不受限制的 ) 2.如果信用卡號碼超過 10 個,則建議 [機密] \ [所有員工 ] -- 一般終端用戶體驗,且用戶選取按鈕以顯示敏感性內容 (僅 Word) 服務端自動套用標籤的範例組態: 適用於 Exchange、SharePoint、OneDrive (的所有位置) 1.如果 1-9 個信用卡號碼,則套用 機密 \ 任何人 (不受限制的 ) 2.如果信用卡號碼超過 10 個,則套用機密 \ 所有員工 3.如果 1-9 個美國個人資料和全名,則套用 機密 \ 任何人 (不受限制 的) 4.如果 10 個以上的美國個人資料和全名,則套用機密 \ 所有員工 |
在 Office 應用程式中使用敏感度標籤 對 SharePoint 和 OneDrive 中的檔案啟用敏感度標籤 針對使用敏感度標籤加密的檔案啟用共同撰寫 設定 SharePoint 文件庫的預設敏感度標籤 自動將敏感度標籤套用至Microsoft 365數據 對 Microsoft Teams、Microsoft 365 群組和 SharePoint 網站使用敏感度標籤 使用敏感度標籤來保護行事曆專案、Teams 會議和聊天 搭配使用敏感度標籤與 Microsoft Loop 使用敏感度標籤,在 SharePoint 和 OneDrive 中設定網站和文件的預設共用連結 將敏感度標籤套用至 Microsoft Syntex 中的模型 在 Power BI 套用敏感度標籤 |
| 3 | 使用 Microsoft Defender for Cloud Apps 搭配敏感度標籤,探索、標記及保護位於雲端 (Box、GSuite、SharePoint 和 OneDrive ) 資料存放區中的敏感性專案。 檔案原則的範例組態:在 Box 帳戶中儲存的檔案中尋找信用卡號碼,然後套用敏感度標籤來識別高度機密的資訊並加以加密。 |
探索、分類、標記及保護儲存在雲端的管制資料及敏感性資料 |
| 4 | 使用敏感度標籤部署 資訊保護掃描器 ,以探索、標記及保護位於內部部署資料存放區中的敏感性專案。 | 設定和安裝資訊保護掃描器 |
| 5 | 在 Microsoft Purview 資料對應 中自動套用敏感度標籤,以探索並標記 Azure Blob 儲存體、Azure 檔案和 Azure Data Lake Storage Gen2 的專案。 | 瞭解 Microsoft Purview 資料對應 中的敏感度標籤 |
如果您是想要將敏感度標籤延伸至企業營運應用程式或協力廠商 SaaS 應用程式的開發人員,請參閱 Microsoft 資訊保護 (MIP) SDK 安裝和設定。
額外保護功能
Microsoft Purview 包含額外功能,可協助保護資料。 並非每位客戶都需要這些功能,而且某些功能可能由較新的版本所取代。
如需保護功能的完整清單,請參閱使用 Microsoft Purview 保護您的資料 ] 頁面。
防止資料遺失
部署 Microsoft Purview 資料外洩防護 (DLP) 原則,以控管並防止跨應用程式和服務間的不當共用、傳輸或敏感性資料的使用。 這些原則可協助使用者在使用敏感性資料時,做出正確的決策並採取適當的動作。
| 步驟 | 描述 | 其他資訊 |
|---|---|---|
| 1 | 了解 DLP。 組織在其控制下具有敏感性資訊,例如財務數據、專屬數據、信用卡號碼、健康記錄和社會安全號碼。 為了協助保護此敏感性資料並降低風險,他們需要有防止使用者與不應擁有此資料之人員不當共用的方法。 此做法稱為資料外洩防護 (DLP)。 |
深入了解資料外洩防護 |
| 2 | 規劃您的 DLP 實作。 每個組織會以不同方式規劃及實作資料外洩防護 (DLP),因為每個組織的商務需求、目標、資源和情況都是獨一無二的。 然而,所有成功的 DLP 實作還是有通用的元素。 |
規劃資料外洩防護 |
| 3 | 設計和建立 DLP 原則。 建立資料外洩防護 (DLP) 原則快速又簡單,但如果您必須進行大量的調整,取得產生預期結果的原則可能會很耗時。 在實作原則之前花點時間來設計原則,可讓您更快速地取得所需的結果,並減少非預期的問題,而不是單獨根據試用和錯誤進行微調。 DLP 原則的範例設定:如果電子郵件包含信用卡號碼,或電子郵件具有識別高度機密資訊的特定敏感度標籤,則防止傳送電子郵件。 |
設計 DLP 原則 |
| 4 | 調整您的 DLP 原則。 部署 DLP 原則後,您就會看到它符合預期目標的程度。 使用該資訊來調整您的原則設定,以提升效能。 |
建立及部署資料外洩防護原則 |
部署策略
信用卡號碼範例通常有助於初始測試和使用者教育。 即使您的組織通常不需要保護信用卡號碼,使用者也很容易了解這些是需要保護之敏感性專案的概念。 許多網站都提供僅適用於測試用途的信用卡號碼。 您也可以搜尋提供信用卡號碼產生器的網站,以便將號碼貼到文件和電子郵件中。
當您準備好將自動標籤和 DLP 原則移至生產環境時,請變更為適合組織所使用之資料類型的分類器和設定。 例如,您可能需要針對智慧財產和特定類型的檔使用可訓練分類器,或針對與客戶或員工相關的隱私權數據,使用 EDM) 敏感性資訊類型的確切數據比對 (。
或者,您可能想要從探索和保護經常是安全性攻擊目標的IT相關信息開始。 然後,檢查並防止與電子郵件和 Teams 聊天的 DLP 原則共用密碼,以補充此功能:
- 使用可訓練分類器 IT 和 IT 基礎結構和網路安全性檔
- 使用內建敏感性資訊類型 一般密碼 ,併為使用者所使用的不同語言建立「密碼為」的自定義敏感性信息類型
部署資訊保護解決方案不是線性部署,而是反覆的,而且通常是迴圈的。 您越瞭解您的數據,就越能正確地標記數據,並防止數據外洩。 這些已套用標籤和原則的結果會流入數據分類儀錶板和工具,進而讓您看到更敏感的數據來保護。 或者,如果您已經在保護該敏感數據,請考慮它是否需要額外的保護動作。
您可以在定義敏感度標籤后,立即開始手動為數據加上標籤。 您用於 DLP 的相同分類器可以用來自動尋找並標記更多數據。 您甚至可以使用敏感度標籤作為分類器,例如封鎖標示為高度機密的共享專案。
大部分的客戶都已備妥一些解決方案來保護其數據。 您的部署策略可能是根據您已有的專案來建置,或著重於提供最多商業價值或解決高風險區域的差距。
若要協助您規劃獨特的部署策略,請參閱 開始使用敏感度標籤 和 規劃數據外洩防護。
考慮分階段部署
您可能偏好使用實作漸進式限制性控件的階段式部署來部署信息保護。 當您熟悉技術並有信心時,此方法會逐漸為用戶導入新的保護措施。 例如:
- 從默認標籤和無加密,到建議在找到敏感數據時套用加密的標籤,然後在找到敏感數據時自動套用標籤。
- 從稽核過度共用動作到更嚴格封鎖的 DLP 原則,其警告會教育用戶,然後封鎖所有共用。
這類階段式部署的詳細數據看起來可能類似下列計劃,其中敏感度標籤和 DLP 原則會彼此更加整合,以提供比獨立使用時更高的數據保護:
敏感度標籤設定:
- 一般\所有員工:電子郵件的默認標籤。 無加密。 如果在電子郵件上套用,請封鎖使用者過度共用。
- 機密\所有員工:文件的默認標籤。 無加密。 如果在電子郵件上套用,請封鎖使用者過度共用。
- 高度機密\所有員工:無加密。 如果在電子郵件上套用,請封鎖使用者過度共用。
DLP 原則 A:
- 如果找到 1-2 個信用卡實例,請封鎖外部共用,除非項目標示為 個人 或 機密\任何人 (不受限制) 。 使用記錄和報告進行分析。
DLP 原則 B:
- 如果找到 3-9 個信用卡實例,請封鎖外部共用、雲端輸出,並複製到抽取式磁碟驅動器,除非項目標示為機密 \任何人 (不受限制) 。 使用記錄和報告進行分析。
DLP 原則 C:
- 如果找到10個以上的信用卡實例,請封鎖外部共用、雲端輸出,並複製到抽取式磁碟驅動器,但沒有任何例外狀況。 使用記錄和報告進行分析。
此範例階段式部署的設定詳細資料:
- 父標籤的預設子標籤
- 資料外洩防護 Exchange 條件和動作參考
- 敏感度類型的信賴等級和其他元素
- 在 DLP 原則中使用敏感度標籤做為條件
- 可讓使用者指派許可權的加密
- 特定許可權的加密
- 設定和檢視數據外洩防護原則的警示
如需包含階段式部署策略的其他部署指導方針,請參閱 預設使用 Microsoft Purview 保護安全,並防範 產品工程小組過度共用。
訓練資源
互動式指南:Microsoft Purview 資訊保護
適用於顧問和系統管理員的學習課程:
- Microsoft Purview 中的資訊保護和資料生命週期管理簡介
- 分類資料以進行保護與控管
- 保護 Microsoft Purview 中的資訊
- 防止 Microsoft Purview 中的資料遺失
若要協助訓練您的使用者套用與使用為他們設定的敏感度標籤,請參閱敏感度標籤的使用者文件。
當您為 Teams 部署數據外洩防護原則時,您可能會發現下列用戶指導方針在介紹這項技術時很有用。 其中包含使用者可能會看到的一些潛在訊息: 關於數據外洩防護 (DLP) 和通訊合規性原則的 Teams 訊息。