Применение защиты к персональным данным в Office 365Apply protection to personal data in Office 365

Защита персональных данных в Office 365 включает использование защиты от потери данных. Политики защиты от потери данных в Центре соответствия требованиям и безопасности Office 365 позволяют определять, отслеживать и автоматически защищать конфиденциальную информацию в Office 365.Protection of personal information in Office 365 includes using data loss prevention capabilities. With data loss prevention (DLP) policies in the Office 365 Security & Compliance Center, you can identify, monitor, and automatically protect sensitive information across Office 365.

В этой статье описано, как защитить персональные данные с помощью защиты от потери данных. Кроме того, в ней также перечислены другие возможности защиты, которые можно использовать для обеспечения соответствия требованиям регламента GDPR, в том числе путем установки разрешений в библиотеках SharePoint и с помощью политик доступа к устройствам.This topic describes how to use DLP to protect personal data. This topic also lists other protection capabilities that can be used to achieve GDPR compliance, including setting permissions in SharePoint libraries and using device access policies.

Обеспечение безопасности с помощью защиты от потери данных в Office 365Apply protection using data loss prevention in Office 365

Защита от потери данных позволяет:With DLP, you can:

  • находить конфиденциальную информацию в ряде расположений;Identify sensitive information across many locations.

  • предотвращать случайное предоставление общего доступа к конфиденциальным данным;Prevent accidental sharing of sensitive information.

  • помогать пользователям соответствовать требованиям организации, не прерывая рабочий процесс;Help users learn how to stay compliant without interrupting their workflow.

  • просматривать отчеты DLP, в которых перечисляется содержимое, нарушающее политики защиты от потери данных вашей организации.View DLP reports showing content that matches your organization’s DLP policies.

Подробнее см. в статье Обзор политик защиты от потери данных.For more information, see Overview of data loss prevention policies.

Способы создания политики защиты от потери данных

На этом рисунке показаны способы создания политики защиты от потери данных:This illustration shows the options for creating a DLP policy:

  • Выберите защиту, которую необходимо применить. Она может включать:Choose the protection to apply. Protection can include:

    • подсказки политик для пользователей;Policy tips for users

    • отчет для администраторов, отправляемый по электронной почте;Email report for admins

    • запрет на предоставление внутреннего и/или внешнего доступа.Prevent sharing externally, internally, or both

  • Выберите условия для применения защиты. Примените защиту к документам с соответствующим типом содержимого: вы можете настроить использование типов конфиденциальной информации и/или меток.Choose the criteria for applying the protection. Apply the protection to documents with this type of content: you can configure the policy to use sensitive information types and/or labels.

Использование защиты от потери данных для обеспечения соответствия требованиям регламента GDPRUsing DLP for GDPR compliance

Одна из главных целей защиты от потери данных в Office 365 — выявление персональных данных, связанными с субъектами данных из ЕС в среде Office 365. С помощью защиты от потери данных в Office 365 ответственные за обеспечение соответствия требованиям могут узнавать, где хранятся персональные данные в SharePoint Online и OneDrive для бизнеса, а также получать уведомления об отправке сообщений электронной почты с персональными данными. Кроме того, благодаря защите от потери данных ваши сотрудники могут получать подсказки политик при работе с персональными данными, относящимися к жителям ЕС.One of the primary uses of Office 365 DLP is to identify personal data related to EU data subjects in your Office 365 environment. Office 365 DLP can notify your compliance teams of where personal information is stored in SharePoint Online and OneDrive for Business, or when users send email containing personal information. DLP can also provide policy tips to your employees when working with personal information related to EU residents.

Повышение осведомленности сотрудников о местах хранения данных о жителях ЕС в вашей среде, а также контроль над разрешениями на управление этими данными представляет собой один уровень защиты информации Office 365. Часто сотрудникам, у которых уже есть доступ к информации такого типа, необходим доступ на этом уровне для выполнения повседневных задач. Для применения политик защиты от потери данных с целью соблюдения регламента GDPR может не требоваться ограничение доступа.Educating and raising awareness to where EU resident data is stored in your environment and how your employees are permitted to handle it represents one level of information protection using Office 365 DLP. Often, employees who already have access to this type of information require this access to perform their day to day work. Enforcing DLP policies to help comply with GDPR may not require restricting access.

Тем не менее соответствие организации требованиям регламента GDPR, как правило, включает оценку рисков с точки зрения соблюдения законодательства и обеспечения информационной безопасности, определение типов персональных данных и местах их хранения, а также наличие юридических оснований для хранения и обработки этих сведений. С учетом этой оценки для внедрения политик с целью защиты организации и соблюдения регламента GDPR может потребоваться запретить сотрудникам доступ к документам, содержащим личные сведения субъектов данных ЕС. Для усиленной защиты можно настроить дополнительные параметры защиты от потери данных.However, complying with GDPR typically involves a risk based assessment of the organization from both a legal and information security perspective, identification of what type and where personal information is stored, as well as if there is a legal justification to store and process that information. Based on this assessment, implementing policies to protect the organization and comply with GDPR might require removing access for employees to documents that contain personal information for EU data subjects. In cases where further protection is required, additional DLP protection can be configured.

В таблице ниже приведены три конфигурации, которые позволяют повысить уровень защиты от потери данных. Первая конфигурация (информирование) может использоваться в качестве отправной точки для обеспечения минимального уровня защиты в соответствии с регламентом GDPR.The following table lists three configurations of increasing protection using DLP. The first configuration, awareness, can be used as a starting point and minimum level of protection for GDPR.

Примеры уровней защиты, которые настраиваются с помощью политик защиты от потери данных и используются для соблюдения регламента GDPRExample protection levels that can be configured with DLP policies and used for GDPR compliance

Уровень защитыProtection level Настройка защиты от потери данных для документов с персональными данными, связанными с субъектами данных ЕСDLP configuration for documents with personal information related to EU data subjects Преимущества и рискиBenefits and risks
ИнформированиеAwareness

Отправка ответственным за обеспечение соответствия требованиям уведомлений по электронной почте при обнаружении таких данных в документах в SharePoint Online и OneDrive для бизнеса.Send email notifications to compliance teams when this data is found in documents in SharePoint Online and OneDrive for Business.

Настройка и отображение подсказок политик в SharePoint и OneDrive для бизнеса при доступе к документам, содержащим эти данные.Customize and display Policy Tips to employees in SharePoint and OneDrive for Business when accessing documents containing this data.

Обнаружение случаев предоставления общего доступа к этим данным и создание соответствующих отчетов.Detect and report when this data is being shared.

Повышение осведомленности ответственных за обеспечение соответствия требованиям и сотрудников о местах хранения этих данных.Raise awareness with compliance teams as well as employees regarding where this data is stored.

Ознакомление сотрудников с корпоративной политикой по работе с документами, содержащими эти данные.Educate employees on corporate policy for handling documents containing this data.

Сотрудники могут предоставлять внутренний и внешний доступ к этим данным.Does not prevent employees from sharing this data internally or externally.

Вы можете просмотреть отчеты по защите от потери данных для общих данных и решить, нужно ли повысить уровень защиты.You can review DLP reports for shared data and decide if you need to increase the protection.

Предотвращение внешнего общего доступаPrevent external sharing

Ограничение доступа в SharePoint Online и OneDrive для бизнеса к документам, которые содержат эти данные, если доступ к этому содержимому предоставляется внешним пользователям.Restrict access to documents that contain this data in SharePoint Online and OneDrive for Business when that content is shared with external users.

Запрет отправки внешним получателям сообщений электронной почты с документами, которые содержат эти данные.Prevent sending emails with documents that contain this data to external recipients.

Обнаружение случаев предоставления общего доступа к этим данным и создание соответствующих отчетов.Detect and report when this data is being shared.

Запрет внешнего общего доступа к таким данным и разрешение на работу с ними в пределах организации.Prevents external sharing of this data while allowing for employees to work with this data internally.

Вы можете просмотреть отчеты по защите от потери данных для данных, к которым предоставляется общий доступ в пределах организации, и решить, нужно ли повысить уровень защиты.You can review DLP reports for internally shared data and decide if you need to increase this protection.

Предотвращение внутреннего и внешнего общего доступаPrevent internal and external sharing

Ограничение доступа в SharePoint Online и OneDrive для бизнеса к документам, которые содержат эти данные, если к этому содержимому предоставляется общий доступ в организации или за ее пределами.Restrict access to documents that contain this data in SharePoint Online and OneDrive for Business when that content is shared internally or externally.

Запрет отправки внутренним и внешним получателям сообщений электронной почты, которые содержат эти данные.Prevent sending emails which contain this data to both internal and external recipients.

Предотвращение внутреннего и внешнего общего доступа к таким данным.Prevents internal and external sharing of this data.

Возможно, сотрудники не смогут выполнять задачи, для которых требуются эти данные.Employees might not be able to complete tasks that require working with this data.

Вы можете просмотреть отчеты по защите от потери данных для данных, к которым предоставляется общий доступ в организации или за ее пределами, и решить, требуется ли обучение пользователей.You can review DLP reports for internally or externally shared data and decide if end user training is needed.

Примечание. Повышение уровней защиты в некоторых случаях приводит к ограничению доступа пользователей к информации, что может затронуть их производительность или способность выполнять повседневные задачи. Повышение уровней защиты путем внедрения политик, которые влияют на сотрудников, обычно сопровождается обучением пользователей, в ходе которого они знакомятся с новыми политиками безопасности и процедурами, которые помогают им эффективно работать в более безопасной среде.Note: As the levels of protection increase, the ability of users to access information will decrease in some cases, and could potentially impact their productivity or ability to complete day to day tasks. Increasing protection levels by implementing policies that impact employees is typically accompanied by end user training, educating users on new security policies and procedures to help them continue to be productive in a more secure environment.

Пример политики защиты от потери данных для соблюдения регламента GDPR — информированиеExample DLP policy for GDPR — Awareness

Имя. Информирование о персональных данных, подпадающих под действие регламента GDPR.Name: Awareness for personal data that is subject to GDPR.

Описание. Отображение подсказок политик для сотрудников, уведомление ответственных за обеспечение соответствия требованиям о наличии этих данных в документах в SharePoint Online и OneDrive для бизнеса, обнаружение случаев предоставления общего доступа к этим данным за пределами организации и создание соответствующих отчетов.Description: Display policy tips to employees, notify compliance teams when this data is found in documents in SharePoint Online and OneDrive for Business, detect and report when this data is being shared outside your organization.

Элемент управленияControl НастройкиSettings
Выбор информации для защитыChoose information to protect Выберите шаблон специальной политики.Select a Custom policy template.
РасположенияLocations Все расположения в Office 365All locations in Office 365
Поиск определенного содержимогоFind content that contains Нажмите кнопку "Изменить" и добавьте все типы конфиденциальной информации, подобранные для вашей среды.Click ‘Edit’ and add all the sensitive information types you curated for your environment.
Обнаружение случаев предоставления общего доступа к этому содержимомуDetect when this content is shared Установите этот флажок и выберите "Пользователям за пределами моей организации".Check this box and select ‘with people outside my organization.’
Уведомление пользователей о соответствии содержимого параметрам политикиNotify users when content matches the policy settings

Установите этот флажок ("Отображать подсказки политик пользователям и отправлять уведомление по электронной почте").Check this box (“Show policy tips to users and send them an email notification.”)

Щелкните "Настройка подсказки и уведомления по электронной почте" и обновите эти элементы в своей среде. Описание стандартных уведомлений см. в статье Отправка уведомлений и отображение подсказок для политик защиты от потери данных.Click ‘Customize the tip and email’ and update these for your environment. See the default notifications in this article: Send email notifications and show policy tips for DLP policies.

Обнаружение случаев одновременного предоставления общего доступа к конфиденциальной информации в определенном объемеDetect when a specific amount of sensitive info is being shared at one time

"Определять, когда предоставляемый контент содержит: хотя бы такое количество экземпляров одного типа конфиденциальных данных: ": укажите значение 1.‘Detect when content that’s being shared contains: At least instances of the same sensitive info type’ — Set this to 1.

"Отправлять отчеты об инцидентах по электронной почте": установите этот флажок. Щелкните "Выберите содержимое отчета и получателей". Обязательно добавьте ответственных за обеспечение соответствия требованиям.‘Send incident reports in email’ — check this box. Click ‘Choose what to include in the report and who receives it.’ Be sure to add your compliance team.

"Ограничить доступ к содержимому и переопределить политику": снимите этот флажок, чтобы получать уведомления о конфиденциальной информации, не ограничивая доступ к ней для пользователей.‘Restrict who can access the content and override the policy’ — clear this checkbox to receive notifications about sensitive information without preventing users from access that information.

Все расположения включают:All locations includes:

  • SharePoint Online;SharePoint Online

  • учетные записи OneDrive для бизнеса;OneDrive for Business accounts

  • почтовые ящики Exchange.Exchange mailboxes

Так как веб-часть "Поиск контента" сейчас не позволяет проверить типы конфиденциальной информации с помощью электронной почты, рекомендуется создать отдельные политики для Exchange с подмножеством типов конфиденциальной информации в каждой политике и отследить развертывание этих политик.Because Content Search doesn’t currently let you test sensitive information types with email,consider creating separate policies for Exchange with a subset of sensitive information types in each policy and monitoring the rollout of these policies.

Дополнительная защита персональных данных в Office 365Additional protection you can apply to protect personal data in Office 365

Типы конфиденциальной информации, метки и политики защиты от потери данных помогают определять документы, содержащие определенные данные, и применять к ним защиту. Тем не менее эти средства защиты зависят от соответствующих разрешений на доступ к данным, пользователей с нескомпрометированными учетными записями и работоспособных устройств.Sensitive information types, labels, and data loss protection policies help you identify documents containing specific data and apply protection. However, these protections depend on appropriate permissions being set for access to data, users with accounts that are not compromised, and devices that are healthy.

Ниже показаны дополнительные категории защиты, которые можно применить для ограничения доступа к персональным данным.The following illustration details additional protection you can apply to protect access to personal data.

Дополнительная защита для ограничения доступа к персональным данным

Для поддержки специальных возможностей данные, изображенные на рисунке, также приведены в таблице ниже.For accessibility, the following table provides the same information in the illustration.

Область защитыScope of protection ВозможностиCapabilities
Защита на уровне документов и электронной почты (в том числе передаваемых сообщений; сейчас защита не применяется к неактивным данным в почтовых ящиках)Document and email-level protection (includes mail in transit, but not currently mailboxes at rest)

Типы конфиденциальной информацииSensitive information types

Метки OfficeOffice labels

Политики защиты от потери данныхData loss prevention policies

Шифрование сообщений Office 365 для электронной почтыOffice 365 Message Encryption for email

Защита на уровне сайта и библиотеки (в том числе сайтов SharePoint Online и OneDrive для бизнеса)Site and library-level protection (includes SharePoint Online and OneDrive for Business sites)

Разрешения для сайтов и библиотек SharePoint Online и OneDrive для бизнесаPermissions for SharePoint Online and OneDrive for Business sites and libraries

Политики внешнего общего доступа для SharePoint Online и OneDrive для бизнеса (на уровне сайтов)External sharing policies for SharePoint Online and OneDrive for Business (site-level)

Политики доступа к устройствам на уровне сайтаSite-level device access policies

Защита при доступе к службам (включая доступ ко всем службам в Office 365)Service access protection (includes access to all services in Office 365)

Защита идентификации и доступа к устройствам в наборе Enterprise Mobility + Security (EMS)Identity and device access protection in Enterprise Mobility + Security (EMS) suite

управление привилегированным доступом;Privileged access management

возможности защиты Windows 10.Windows 10 security capabilities

Дополнительные сведения о каждой из этих категорий защиты приведены далее в этой статье.The rest of this article provides more information on each of these categories of protection.

Возможности, совместимые с регламентом GDPRCapabilities that are OK to use with GDPR

В среде, настроенной на соблюдение регламента GDPR, можно использовать приведенные ниже возможности. Они не являются обязательными для обеспечения соответствия требованиям регламента GDPR, но их можно применять без негативного воздействия на вашу способность выявлять, защищать и отслеживать данные, связанные с соблюдением регламента GDPR, а также создавать соответствующие отчеты.You can use the following capabilities in an environment configured for GDPR compliance. These capabilities are not necessary for GDPR compliance, but they can be used without adversely affecting your ability to discover, protect, monitor, and report on data related to GDPR compliance.

Ключ клиента: позволяет клиентам обеспечить и сохранить контроль над ключами шифрования, которые используются для шифрования неактивных данных в среде Office 365. Рекомендуется только для клиентов, которым требуется управлять собственными ключами шифрования для соблюдения нормативных требований.Customer Key — Allows customers to provide and retain control over the encryption keys that are used to encrypt data at rest within Office 365. Recommended only for customers with a regulatory need to manage their own encryption keys.

Защищенное хранилище: позволяет вам управлять доступом сотрудника службы поддержки Майкрософт к вашим данным, если это требуется для устранения технических проблем в отдельных случаях. Вы можете предоставить сотруднику службы поддержки доступ к своим данным или отказать в нем. При каждом запросе указывается время окончания срока действия.Customer Lockbox — Customer lockbox allows you to control how a Microsoft support engineer accesses your data, if needed, to fix a technical issue on a case by case basis. You can control whether to give the support engineer access to your data or not. An expiration time is provided with each request.

Защита на уровне сайта и библиотекиSite and library-level protection

Разрешения для библиотек SharePoint и OneDrive для бизнесаPermissions for SharePoint and OneDrive for Business libraries

Используйте разрешения в SharePoint, чтобы предоставить пользователям доступ к сайту или его содержимому или отказать в нем. Добавьте отдельных пользователей или группы Azure Active Directory в стандартные группы SharePoint. Кроме того, можно создать настраиваемую группу для более точного управления.Use permissions in SharePoint to provide or restrict user access to the site or its contents. Add individual users or Azure Active Directory groups to the default SharePoint groups. Or, create a custom group for finer-grain control.

Уровни разрешений от "Полный доступ" до "Только просмотр"

На этом рисунке изображены уровни разрешений от "Полный доступ" до "Только просмотр". Аналогичные сведения приведены в таблице ниже.The illustration plots permission levels from Full control to View Only. The following table includes the same information.

Полный доступFull Control РазработкаDesign ПравкаEdit УчастиеContribute ЧтениеRead Только просмотрView Only
Участие + утверждение и настройкаContribute + approve and customize Участие + добавление, правка и удаление списков (в не только элементов списков)Contribute + add, edit and delete lists (not just list items) Просмотр, добавление, обновление, удаление элементов списков и документовView, add, update, delete list items and documents Просмотр и скачиваниеView and download Просмотр без скачиванияView, no download

Дополнительные сведения:More information:

Политики внешнего общего доступа для библиотек SharePoint и OneDrive для бизнесаExternal sharing policies for SharePoint and OneDrive for Business libraries

Во многих организациях разрешен внешний общий доступ для поддержки совместной работы. Узнайте, как настроить параметры для всего клиента. Затем проверьте параметры внешнего доступа для сайтов, которые содержат персональные данные.Many organizations allow external sharing to support collaboration. Find out how your tenant-wide settings are configured. Then review the external sharing settings for sites that contain personal data.

Внешний пользователь — это пользователь за пределами вашей организации, получивший доступ к вашим сайтам и документам SharePoint Online, но у которого нет лицензии на вашу подписку на SharePoint Online или Microsoft Office 365.An external user is someone outside of your organization who is invited to access your SharePoint Online sites and documents but does not have a license for your SharePoint Online or Microsoft Office 365 subscription.

Политики внешнего общего доступа применяются к SharePoint Online и OneDrive для бизнеса.External sharing policies apply to both SharePoint Online and OneDrive for Business.

  • Настраивать политики общего доступа может только администратор SharePoint Online.You must be a SharePoint Online admin to configure sharing policies.

  • Предоставить общий доступ к сайту или документу внешним пользователям может только владелец сайта или пользователь с разрешениями на полный доступ.You must be a Site Owner or have full control permissions to share a site or document with external users.

В таблице ниже перечислены проверки, которые вы можете настроить.The following table summarizes the controls you can configure.

Категория проверкиControl category ПараметрыOptions
Тип общего доступаType of sharing

Не разрешать общий доступ за пределами организации (можно задать для отдельных семейств веб-сайтов)Don’t allow sharing outside your organization (can be set for individual site collections)

Разрешить общий доступ только внешним пользователям, которые прошли проверку подлинности (разрешать доступ для новых или только существующих пользователей, можно задать для отдельных семейств веб-сайтов)*Allow sharing to authenticated external users only (allow new or limit to existing, can be set for individual site collections)*

Разрешить общий доступ внешним пользователям со ссылкой для анонимного доступа (можно задать для отдельных семейств веб-сайтов)Allow sharing to external users with an anonymous access link (can be set for individual site collections)

Ограничить внешний общий доступ с помощью доменов (список разрешенных и запрещенных)Limit external sharing using domains (allow and deny list)

Выбрать стандартный тип ссылки (анонимный доступ, общий доступ в пределах компании или ограниченный доступ)Choose the default link type (anonymous, company shareable, or restricted)

Возможности, предоставленные внешним пользователямWhat external users can do

Запретить внешним пользователям предоставлять общий доступ к файлам, папкам и сайтам, которые им не принадлежатPrevent external users from sharing files, folders, sites they don’t own

Требовать, чтобы внешние пользователи принимали приглашения на общий доступ в учетной записи, на которую были отправлены эти приглашенияRequire external users to accept sharing invitations with the same account the invitation was sent to

УведомленияNotifications

Сейчас доступны только в OneDrive для бизнеса. Пользователи получают уведомления, когда:Currently only available in OneDrive for Business. Notify owners when:

-

пользователи отправляют дополнительным внешним пользователям приглашения на доступ к общим файлам;Users invite additional external users to shared files

-

внешние пользователи принимают приглашения на доступ к файлам;External users accept invitations to access files

-

создается или изменяется ссылка для анонимного доступа.An anonymous access link is created or changed

Дополнительные сведения:More information:

Политики доступа к устройствам на уровне сайтаSite-level device access policies

В SharePoint Online и OneDrive для бизнеса можно настроить политики доступа к устройствам на уровне сайта. Это позволяет настроить дополнительные параметры защиты для сайтов с конфиденциальными данными.SharePoint Online and OneDrive for Business let you configure device access policies at the site level. This lets you configure more protection for sites with sensitive data.

Настраивая политики доступа к устройствам на уровне сайта, обязательно согласовывайте их с политиками на уровне клиента, а также с политиками доступа, настроенными в Azure Active Directory, Intune и Intune App Management.If you configure site-level device access policies, be sure to coordinate these with tenant-level policies and also with access policies that are configured in Azure Active Directory, Intune, and Intune App Management.

Политики доступа к устройствам в SharePoint и OneDrive для бизнеса требуют наличия вспомогательных политик в Azure Active Directory и Microsoft Intune в зависимости от внедряемого сценария. В таблице ниже перечислены цели, которых можно достичь с помощью политик доступа к устройствам, а также приведены продукты, для которых требуются вспомогательные политики.Device access policies for SharePoint and OneDrive for Business require supporting policies in Azure Active Directory and Microsoft Intune depending on the scenario you are implementing. The following table summarizes objectives you can achieve with device access policies and indicates which products require supporting policies.

Разрешить доступ только с определенных IP-адресовOnly allow access from specific IP address locations Запретить пользователям скачивать файлы на устройства, которые не присоединены к доменуPrevent users from downloading files to non-domain joined devices Блокировать доступ на устройствах, которые не присоединены к доменуBlock access on non-domain joined devices Запретить пользователям скачивать файлы на устройства, которые не соответствуют требованиямPrevent users from downloading files to non-compliant devices Блокировать доступ на устройствах, которые не соответствуют требованиямBlock access on non-compliant devices
Центр администрирования SharePointSharePoint admin center ДаYes ДаYes ДаYes ДаYes ДаYes
Azure Active DirectoryAzure Active Directory ДаYes ДаYes ДаYes ДАYes
Microsoft IntuneMicrosoft Intune ДАYes ДаYes

Дополнительные сведения: Центр администрирования SharePoint Online. Управление доступом с неуправляемых устройств.More information: SharePoint Online admin center: Control access from unmanaged devices.

Защита при доступе к службам для пользователей и устройствService access protection for identities and devices

Корпорация Майкрософт рекомендует настроить защиту для пользователей и устройств, которые получают доступ к службе. Параметры защиты доступа к службам Office 365 также можно использовать для защиты доступа к другим службам SaaS, PaaS и даже приложениям в других облачных службах.Microsoft recommends you configure protection for identities and devices that access the service. The work you put into protecting access to Office 365 services can also be used to protect access to other SaaS services, PaaS services, and even apps in other cloud providers.

Защита доступа для пользователей и устройств обеспечивает базовую безопасность, гарантируя защиту удостоверений и устройств, а также изолирование и безопасность данных организации, расположенных на устройствах.Access protection for identities and devices provides a baseline of protection to ensure that identities are not compromised, devices are safe, and organization data that is accessed on devices is isolated and protected.

Начальные рекомендации и указания по настройке см. в статье Руководство по безопасности (Майкрософт) для политических кампаний, некоммерческих и других динамических организаций.For starting point recommendations and configuration guidance, see Microsoft security guidance for political campaigns, nonprofits, and other agile organizations.

Инструкции для сред с гибридными удостоверениями и AD FS см. в статье, посвященной рекомендуемым политикам и конфигурациям безопасности.For hybrid identity environments with AD FS, see Recommended security policies and configurations.

Ниже показано, как связаны между собой облачные службы (SaaS, PaaS), типы учетных записей (учетные записи доменов клиента и учетные записи типа "бизнес-бизнес") и возможности доступа к службам. Важно отметить, какие возможности можно использовать с учетными записями типа "бизнес-бизнес".The following illustration describes how cloud services (SaaS, PaaS), account types (tenant domain accounts vs. B2B accounts) and service access capabilities relate. It’s important to note which capabilities can be used with B2B accounts.

Облачные службы, типы учетных записей и возможности доступа

Для работы специальных возможностей данные, изображенные на рисунке, также приведены далее в этом разделе.For accessibility, the rest of this section describes this illustration.

Облачные службыCloud services

Azure Active Directory обеспечивает доступ на основе удостоверений к любой облачной службе, в том числе службам сторонних поставщиков, таким как Amazon Web Services. На рисунке показаны службы Office 365, "Другое приложение SaaS" и "Приложение PaaS". Стрелки указывают с Azure Active Directory на каждую из этих служб, то есть Azure Active Directory можно использовать для проверки подлинности во всех этих приложениях.Azure Active Directory provides identity access to any cloud service, including non-Microsoft providers such as Amazon Web Services. The illustration shows Office 365, “Other SaaS app,” and “PaaS app.” Arrows point from Azure Active Directory to each of these services, showing that Azure Active Directory can be used for authentication to all of these app types.

Типы учетных записейTypes of accounts

Учетные записи доменов клиента — это учетные записи, которые вы непосредственно добавляете в свой клиент и которыми вы управляете. Учетные записи типа "бизнес-бизнес" предназначены для пользователей за пределами вашей организации, которых вы пригласили для совместной работы. Они могут включать другие учетные записи Office 365, учетные записи других организаций или обычные учетные записи (например, Gmail). На рисунке показаны оба типа учетных записей в Azure Active Directory.Tenant domain accounts are account you add to your tenant and manage directly. B2B accounts are accounts for users outside your organization you invite to collaborate with. These can be other Office 365 accounts, other organization accounts, or consumer accounts (such as Gmail). The illustration shows both account types within Azure Active Directory.

ВозможностиCapabilities

Возможности, приведенные в таблице ниже, предназначены для защиты удостоверений и устройств. В таблице, как и на рисунке, показано, какие возможности также можно использовать с учетными записями типа "бизнес-бизнес".The capabilities in the following table protect identities and devices. The table indicates which capabilities can also be used with B2B accounts, similar to the illustration.

ВозможностьCapability Поддержка учетных записей доменов клиентаWorks with tenant domain accounts Поддержка учетных записей Azure типа "бизнес-бизнес" (без дополнительного лицензирования)Works with Azure B2B accounts (without additional licensing)
Многофакторная проверка подлинности и условный доступMulti-factor authentication and conditional access ДаYes ДаYes
Защита идентификации Azure ADAzure AD Identity Protection ДаYes ДаYes
Azure AD Privileged Identity ManagementAzure AD Privileged Identity Management ДаYes
Управление мобильными приложениями (MAM)Mobile Application Management (MAM) ДаYes
Регистрация устройств и управление имиDevice enrollment and management ДаYes Управлять устройством может только одна организация.Only one organization can manage a device
Возможности защиты Windows 10 (для условного доступа на основе соответствия устройства требованиям требуется управление устройством)Windows 10 security capabilities (conditional access based on device compliance requires device management) ДаYes ДаYes

Вы можете добавить лицензии в учетные записи типа "бизнес-бизнес", чтобы предоставить этим пользователям дополнительные возможности, если это требуется для защиты доступа к персональным данным в вашей среде.You can add licenses to B2B accounts to give these users additional capabilities, if needed, to protect access to personal data in your environment.