Настроить группы с защитой для конфиденциальных данных

сведений. Для некоторых функций в этой статье требуется Microsoft Syntex — Расширенное управление SharePoint

В этой статье мы рассмотрим настройку команды для высокочувствительного уровня защиты. Перед выполнением действий, описанных в этой статье, убедитесь, что вы выполнили действия, описанные в разделе Развертывание групп с базовой защитой.

Для этого уровня защиты мы создаем метку чувствительности, которая может использоваться в вашей организации для высокочувствительных групп и файлов.

Высокочувствительный уровень предлагает следующие дополнительные защиты по сравнению с базовым уровнем:

• Метка конфиденциальности для команды, которая позволяет включать или выключать общий доступ гостей и применять политику условного доступа для доступа к сайту SharePoint.
• Метка также используется в качестве метки по умолчанию для файлов и шифрует файлы, к которым она применяется. Только члены вашей организации и гости, которых вы указали, смогут расшифровывать файлы, использующие этот ярлык.
• Только владельцы команд могут создавать частные каналы.
• Доступ к сайту ограничен участниками команды.

Видеодемонстрация

Посмотрите это видео с обзором процедур, описанных в этой статье.

Предоставление общего доступа гостям

В зависимости от характера вашего бизнеса, вы можете или не можете включить гостевой обмен для команд, которые содержат очень конфиденциальные данные. Если вы планируете сотрудничать с людьми, не входящими в вашу организацию, в команде, мы рекомендуем включить обмен гостями. Microsoft 365 включает в себя множество функций безопасности и соответствия требованиям, которые помогут вам безопасно делиться конфиденциальным контентом. Как правило, это более безопасный вариант, чем отправка содержимого по электронной почте непосредственно людям за пределами вашей организации.

Подробнее о том, как безопасно делиться с гостями, см. На следующих ресурсах:

• Ограничьте случайное воздействие файлов при обмене с людьми за пределами вашей организации
• Создание безопасной среды гостевого общего доступа

Чтобы разрешить или заблокировать общий доступ к гостевым пользователям, мы используем элементы управления, доступные в метках конфиденциальности.

Контекст проверки подлинности

Мы используем контекст проверки подлинности Microsoft Entra для обеспечения более строгих условий доступа при доступе пользователей к сайтам SharePoint.

Сначала добавьте контекст проверки подлинности в идентификатор Microsoft Entra.

Добавление контекста проверки подлинности

1. В Microsoft Entra условный доступ в разделе Управление выберите Контексты проверки подлинности.

2. Выберите Новый контекст проверки подлинности.

3. Введите имя и описание и установите флажок Опубликовать в приложениях проверка.

   

4. Нажмите кнопку Сохранить.

Затем создайте политику условного доступа, которая применяется к контексту проверки подлинности и требует от гостей использовать многофакторную проверку подлинности при доступе к SharePoint.

Чтобы создать политику условного доступа

1. В Microsoft Entra условный доступ выберите Создать политику.

2. Введите имя политики.

3. На вкладке Пользователи выберите параметр Выбрать пользователей и группы, а затем установите флажок Гостевые или внешние пользователи проверка.

4. Выберите гостевых пользователей совместной работы B2B в раскрывающемся списке.

5. На вкладке Целевые ресурсы в разделе Выберите, к чему применяется эта политика, выберите Контекст проверки подлинности и выберите поле проверка для созданного контекста проверки подлинности.

   

6. На вкладке Предоставление выберите Требовать многофакторную проверку подлинности и нажмите кнопку Выбрать.

7. Выберите, хотите ли вы включить политику, а затем нажмите кнопку Создать.

Мы укажем на контекст проверки подлинности в метке конфиденциальности.

Метки конфиденциальности

Чтобы обеспечить высокий уровень защиты, мы используем метку конфиденциальности для классификации команды. Мы также используем эту метку для классификации и шифрования отдельных файлов в команде. (Его также можно использовать для файлов в других расположениях файлов, таких как SharePoint или OneDrive.)

В качестве первого шага необходимо включить метки чувствительности для Teams. Дополнительные сведения см. в статье Использование меток конфиденциальности для защиты содержимого на сайтах Microsoft Teams, Группы Microsoft 365 и SharePoint.

Если у вас уже есть метки чувствительности, развернутые в вашей организации, подумайте, как эта метка согласуется с вашей общей стратегией меток. Вы можете изменить имя или настройки, если это необходимо для удовлетворения потребностей вашей организации.

После того, как вы включили метки чувствительности для Команд, следующим шагом будет создание метки.

Чтобы создать метку чувствительности

1. Откройте портал соответствия требованиям Microsoft Purview.
2. В разделе Решения разверните узел Защита информации.
3. Нажмите Создать метку.
4. Дайте ярлыку имя. Мы предлагаем Высокочувствительный, но вы можете выбрать другое имя, если оно уже используется.
5. Добавьте отображаемое имя и описание, а затем нажмите кнопку Далее.
6. На странице Определение область для этой метки выберите Элементы, Файлы, Сообщения электронной почты и Группы & сайтов. Снимите флажок Собрания проверка.
7. Нажмите кнопку Далее.
8. На странице Выбор параметров защиты для файлов и сообщений электронной почты выберите Применить или удалить шифрование, а затем нажмите кнопку Далее.
9. На странице Шифрование выберите Настройка параметров шифрования.
10. В разделе Назначение разрешений определенным пользователям и группам выберите Назначить разрешения.
11. Выберите Добавить всех пользователей и группы в организации.
12. Если есть гости, которые должны иметь разрешения на расшифровку файлов, выберите Добавить пользователей или группы и добавьте их.
13. Выберите Сохранить, а затем нажмите Далее.
14. На странице Автоматическое присвоение меток для файлов и сообщений электронной почты нажмите кнопку Далее.
15. На странице Определение параметров защиты для групп и сайтов выберите Конфиденциальность и доступ внешних пользователей , Внешний общий доступ и условный доступ , а затем нажмите кнопку Далее.
16. На странице Определение параметров конфиденциальности и доступа для внешних пользователей в разделе Конфиденциальность выберите вариант Частный.
17. Если вы хотите разрешить гостевой доступ, в разделе Доступ внешних пользователей выберите Разрешить владельцам групп Microsoft 365 добавлять людей из-за пределов организации в группу в качестве гостей.
18. Нажмите кнопку Далее.
19. На странице Определение параметров внешнего общего доступа и условного доступа выберите Управление внешним общим доступом с сайтов SharePoint с метками.
20. В разделе Доступ к контенту можно предоставить таким пользователям выберите Новые и существующие гости, если вы разрешаете гостевой доступ, или Только пользователи из вашей организации (если не разрешаете гостевой доступ).
21. Выберите Использовать условный доступ Microsoft Entra для защиты сайтов SharePoint с метками.
22. Выберите параметр Выбрать существующий контекст проверки подлинности , а затем выберите созданный контекст проверки подлинности в раскрывающемся списке.
23. Нажмите кнопку Далее.
24. На странице Автоматическое присвоение меток для ресурсов с схематизированными данными нажмите кнопку Далее.
25. Выберите Создать метку, а затем — Готово.

После создания метки вам потребуется опубликовать ее для пользователей, которые будут ее использовать. Для конфиденциальной защиты мы делаем метку доступной для всех пользователей. Вы публикуете метку в Портал соответствия требованиям Microsoft Purview на странице Политики меток в разделе Защита информации. Если у вас есть существующая политика, которая применяется ко всем пользователям, добавьте эту метку к этой политике. Если вам нужно создать новую политику, см. Публикация меток чувствительности путем создания политики меток.

Параметры Teams

Дальнейшая настройка сценария с высокой степенью конфиденциальности выполняется в самой команде и на связанном с ней сайте SharePoint, поэтому следующим шагом является создание команды.

Мы создадим команду в Центре администрирования Teams.

Создать команду для высокочувствительной информации

1. В Центре администрирования Teams разверните узел Teams и выберите Управление командами.
2. Нажмите Добавить.
3. Введите имя и описание команды.
4. Добавьте одного или нескольких владельцев для команды. (Оставьте себя владельцем, чтобы выбрать метку конфиденциальности по умолчанию для файлов ниже.)
5. Выберите метку конфиденциальности, созданную для конфиденциальной информации, в раскрывающемся списке Конфиденциальность .
6. Нажмите Применить.

Настройки частного канала

На этом уровне мы ограничиваем создание частных каналов для владельцев команд.

Ограничить создание частного канала

1. В Центре администрирования Teams выберите созданную команду и нажмите кнопку Изменить.
2. Разверните узел Разрешения сообщений.
3. Установите для свойства Добавить и изменить частные каналы значение Выкл.
4. Нажмите Применить.

Параметры общего канала

У общих каналов нет параметров уровня команды. Параметры общего канала, настроенные в Центре администрирования Teams и центре администрирования Microsoft Entra, применяются к отдельным пользователям.

Параметры SharePoint

Каждый раз, когда вы создаете новую команду с высокочувствительной меткой, в SharePoint нужно выполнить два шага:

• Ограничьте доступ к сайту только участникам команды
• Выберите метку конфиденциальности по умолчанию для библиотеки документов, подключенной к команде.

Метка конфиденциальности по умолчанию должна быть настроена на самом сайте и не может быть настроена в Центре администрирования SharePoint или с помощью PowerShell.

Ограничение доступа к сайту для участников группы

Каждый раз, когда вы создаете новую команду с высокочувствительной меткой, необходимо включить ограничение доступа к сайту на связанном сайте SharePoint. Это предотвращает доступ пользователей извне команды к сайту или его содержимому. (Для этого требуется лицензия Microsoft Syntex — SharePoint Advanced Management.)

Если вы ранее не использовали ограничение доступа к сайту, его необходимо включить для своей организации.

1. В Центре администрирования SharePoint разверните Политики и выберите Управление доступом.
2. Выберите Ограничение доступа к сайту.
3. Выберите Разрешить ограничение доступа , а затем нажмите кнопку Сохранить.

Это может занять до часа.

Включение ограничения доступа к сайту для сайта

1. В Центре администрирования SharePoint разверните узел Сайты и выберите Активные сайты.
2. Выберите сайт, которым вы хотите управлять.
3. На вкладке Параметры выберите Изменить в разделе Ограниченный доступ к сайту .
4. Установите флажок Ограничить доступ к этому сайту и нажмите кнопку Сохранить.

Выбор метки конфиденциальности по умолчанию для файлов

Мы будем использовать метку конфиденциальности, созданную в качестве метки конфиденциальности по умолчанию для библиотеки документов сайта, подключенной к Teams. При этом метка с высокой степенью конфиденциальности будет автоматически применена к новым файлам, совместимым с метками, которые отправляются в библиотеку, зашифровав их. (Для этого требуется лицензия Microsoft Syntex — SharePoint Advanced Management.)

Для выполнения этой задачи необходимо быть владельцем команды.

Установка метки конфиденциальности по умолчанию для библиотеки документов

1. В Teams перейдите к каналу Общие команды, которую вы хотите обновить.

2. На панели инструментов для команды выберите Файлы.

3. Выберите Открыть в SharePoint.

4. На сайте SharePoint откройте раздел Параметры и выберите Параметры библиотеки.

5. Во всплывающей области Параметры библиотеки выберите Метки конфиденциальности по умолчанию, а затем выберите метку с высоким уровнем конфиденциальности в раскрывающемся списке.

Дополнительные сведения о работе меток библиотек по умолчанию см. в разделах Настройка метки конфиденциальности по умолчанию для библиотеки документов SharePoint и Добавление метки конфиденциальности в библиотеку документов SharePoint.

См. также

Создание и настройка меток конфиденциальности и соответствующих политик