Защита файлов SharePoint Online с помощью меток Office 365 и DLPProtect SharePoint Online files with Office 365 labels and DLP

Сводка. Применяйте метки Office 365 и политики защиты от потери данных для сайтов групп SharePoint Online с различными уровнями защиты информации.Summary: Apply Office 365 labels and data loss prevention (DLP) policies for SharePoint Online team sites with various levels of information protection.

В этой статье описано создание и развертывание меток Office 365 и политик защиты от потери данных для базовых, конфиденциальных и строго конфиденциальных сайтов группы SharePoint Online. Дополнительные сведения об этих трех уровнях защиты см. в статье Безопасность сайтов и файлов SharePoint Online.Use the steps in this article to design and deploy Office 365 labels and DLP policies for baseline, sensitive, and highly confidential SharePoint Online team sites. For more information about these three tiers of protection, see Secure SharePoint Online sites and files.

Как это работаетHow this solution works

  1. Создайте нужные метки и опубликуйте их. Для их публикации может потребоваться до 12 часов.Create the desired labels and publish these. It can take up to 12 hours for these to be published.
  2. Для нужных сайтов SharePoint измените параметры библиотеки документов, чтобы присвоить метку к элементам в библиотеке.For the desired SharePoint sites, edit the document library settings to apply a label to items in the library.
  3. Создайте политики защиты от потери данных, чтобы выполнять действия на основе меток.Create DLP policies to take action based on the labels.

Когда пользователи добавляют документ в библиотеку, этот документ получает назначенную метку по умолчанию. При необходимости пользователи могут изменить метку. Если пользователь делится документом за пределами организации, служба защиты от потери данных проверяет, назначена ли метка, и выполняет действия, если политика защиты от потери данных соответствует метке. Служба защиты от потери данных также проверяет соответствие другим политикам, таким как защита файлов с номерами кредитных карт, если этот тип политики настроен.When users add a document to the library, the document will receive the assigned label by default. Users can change the label,if needed. When a user shares a document outside the organization, DLP will check to see if a label is assigned and take action if a DLP policy matches the label. DLP will look for other policy matches as well, such as protecting files with credit card numbers if this type of policy is configured.

Метки Office 365 для сайтов SharePoint OnlineOffice 365 labels for your SharePoint Online sites

Существует три этапа создания и назначения меток Office 365 для сайтов группы SharePoint Online.There are three phases to creating and then assigning Office 365 labels to SharePoint Online team sites.

Этап 1. Определение имен меток Office 365Phase 1: Determine the Office 365 label names

На этом этапе нужно определить названия меток Office 365 для четырех уровней защиты информации, применяемых к сайтам группы SharePoint Online. В приведенной ниже таблице перечислены рекомендуемые имена для каждого уровня.In this phase, you determine the names of your Office 365 labels for the four levels of information protection applied to SharePoint Online team sites. The following table lists the recommended names for each level.

Уровень защиты сайта группы SharePoint OnlineSharePoint Online team site protection level Имя меткиLabel name
Базовый общедоступныйBaseline-Public
Внутренний общедоступныйInternal public
Базовый частныйBaseline-Private
PrivatePrivate
КонфиденциальныйSensitive
КонфиденциальныйSensitive
Строго конфиденциальноHighly Confidential
Строго конфиденциальноHighly Confidential

Этап 2. Создание меток Office 365Phase 2: Create the Office 365 labels

На этом этапе нужно создать и опубликовать определенные метки для разных уровней защиты информации.In this phase, you create and then publish your determined labels for the different levels of information protection.

Создать метки можно с помощью Microsoft PowerShell или Центра администрирования Office 365.To create the labels, you can use the Office 365 Admin center or Microsoft PowerShell.

Создание меток Office 365 в Центре администрирования Office 365Create Office 365 labels with the Office 365 Admin center

  1. Войдите на портал Office 365, используя учетную запись с ролью администратора компании или администратора безопасности. Справочные сведения см. в статье Вход в Office 365.Sign in to the Office 365 portal with an account that has the Security Administrator or Company Administrator role. For help, see Where to sign in to Office 365.

  2. На вкладке Домашняя страница Microsoft Office щелкните плитку Администрирование.From the Microsoft Office Home tab, click the Admin tile.

  3. На новой вкладке браузера Центр администрирования Office выберите Центры администрирования > Безопасность и соответствие требованиям.From the new Office Admin center tab of your browser, click Admin centers > Security & Compliance.

  4. На новой вкладке браузера Главная — безопасность и соответствие требованиям выберите Классификации > Метки.From the new Home - Security & Compliance tab of your browser, click Classifications > Labels.

  5. В области Главная > Метки щелкните Создать метку.From the Home > Labels pane, click Create a label.

  6. В области Задайте имя для метки введите название метки, а затем нажмите кнопку Далее.On the Name your label pane, type the name of the label, and then click Next.

  7. В области Параметры метки нажмите кнопку Далее.On the Label settings pane, click Next.

  8. В области Проверьте параметры нажмите Создать эту метку, а затем — кнопку Закрыть.On the Review your settings pane, click Create this label, and then click Close.

  9. Повторите действия 5–8, чтобы создать дополнительные метки.Repeat steps 5-8 for your additional labels.

Создание меток Office 365 с помощью PowerShellCreate Office 365 labels with PowerShell

  1. Подключитесь к Центру безопасности и соответствия требованиям Office 365 с помощью удаленного сеанса PowerShell и укажите данные учетной записи, которой назначена роль администратора безопасности или роль администратора организации.Connect to the Office 365 Security & Compliance Center using remote PowerShell and specify the credentials of an account that has the Security Administrator or Company Administrator role.

  2. Заполните список имен меток, а затем выполните эти команды в командной строке PowerShell:Fill out the list of label names, and then run these commands at the PowerShell command prompt:

    $labelNames=@(<list of label names, each enclosed in quotes and separated by commas>)
    ForEach ($element in $labelNames){ New-ComplianceTag -Name $element }
    

Для публикации новых меток Office 365 выполните действия, указанные ниже.Next, use these steps to publish the new Office 365 labels.

  1. В области Главная > Метки Центра безопасности и соответствия требованиям выберите Опубликовать метки.From the Home > Labels pane the Security & Compliance Center, click Publish labels.

  2. В области Выбор меток для публикации щелкните Выбрать метки для публикации.On the Choose labels to publish pane, click Choose labels to publish.

  3. В области Выбор меток нажмите кнопку Добавить и выберите все четыре метки.On the Choose labels pane, click Add and select all four labels.

  4. Нажмите кнопку Готово.Click Done.

  5. В области Выберите метки для публикации нажмите кнопку Далее.On the Choose labels to publish pane, click Next.

  6. В области Выбор расположений нажмите кнопку Далее.On the Choose locations pane, click Next.

  7. В области Укажите имя для политики введите название для своего набора меток в поле Имя, а затем нажмите кнопку Далее.On the Name your policy pane, type a name for your set of labels in Name, and then click Next.

  8. В области Проверьте настройки выберите Опубликовать метки и нажмите кнопку Закрыть.On the Review your settings pane, click Publish labels, and then click Close.

Этап 3. Применение меток Office 365 к сайтам SharePoint OnlinePhase 3: Apply the Office 365 labels to your SharePoint Online sites

Инструкции по применению меток Office 365 к папкам документов, размещенным на сайтах группы SharePoint Online, приведены ниже.Use these steps to apply the Office 365 labels to the documents folders of your SharePoint Online team sites.

  1. На вкладке браузера Главная (Microsoft Office) щелкните плитку SharePoint.From the Microsoft Office Home tab of your browser, click the SharePoint tile.

  2. На новой вкладке SharePoint в браузере выберите сайт, которому нужно назначить метку Office 365.On the new SharePoint tab in your browser, click a site that needs an Office 365 label assigned.

  3. На новой вкладке SharePoint в браузере щелкните Документы.In the new SharePoint site tab of your browser, click Documents.

  4. Щелкните значок параметров, а затем Параметры библиотеки.Click the settings icon, and then click Library settings.

  5. В разделе Разрешения и управление нажмите Применить метку к элементам в этой библиотеке.Under Permissions and Management, click Apply label to items in this library.

  6. В разделе Параметры — применение метки выберите соответствующую метку, а затем нажмите кнопку Сохранить.In Settings-Apply Label, select the appropriate label, and then click Save.

  7. Закройте вкладку сайта SharePoint Online.Close the tab for the SharePoint Online site.

  8. Повторите шаги с 3 по 8, чтобы назначить метки Office 365 для дополнительных сайтов SharePoint Online.Repeat steps 3-8 to assign Office 365 labels to your additional SharePoint Online sites.

Ниже показана итоговая конфигурация.Here is your resulting configuration.

Метки Office 365 для четырех типов сайтов групп SharePoint Online.

Политики защиты от потери данных для сайтов SharePoint OnlineDLP policies for your SharePoint Online sites

Выполните следующие действия, чтобы настроить политику защиты от потери данных, которая уведомляет пользователей, когда они совместно используют документы на конфиденциальном сайте группы SharePoint Online за пределами организации.Use these steps to configure a DLP policy that notifies users when they share a document on a SharePoint Online sensitive team site outside the organization.

  1. На вкладке браузера Домашняя страница Microsoft Office щелкните плитку Безопасность и соответствие требованиям.From the Microsoft Office Home tab in your browser, click the Security & Compliance tile.

  2. На новой вкладке Безопасность и соответствие требованиям выберите Защита от потери данных > Политика.On the new Security & Compliance tab in your browser, click Data loss prevention > Policy.

  3. В области Защита от потери данных нажмите кнопку + Создание политики.In the Data loss prevention pane, click + Create a policy.

  4. В области Начните с шаблона или создайте настраиваемую политику выберите Настраиваемая, а затем нажмите кнопку Далее.In the Start with a template or create a custom policy pane, click Custom, and then click Next.

  5. В области Укажите имя для политики введите название для политики защиты от потери конфиденциальных данных в поле Имя, а затем нажмите кнопку Далее.In the Name your policy pane, type the name for the sensitive level DLP policy in Name, and then click Next.

  6. В области Выбор расположений щелкните Let me choose specific locations (Предоставить мне выбор конкретных расположений) и нажмите кнопку Далее.In the Choose locations pane, click Let me choose specific locations, and then click Next.

  7. В списке расположений отключите параметры Электронная почта Exchange и Учетные записи OneDrive, а затем нажмите кнопку Далее.In the list of locations, disable the Exchange email and OneDrive accounts locations, and then click Next.

  8. В области Выберите тип содержимого, которое вы хотите защитить щелкните ссылку Изменить.In the Customize the types of sensitive info you want to protect pane, click Edit.

  9. В области Выбрать типы содержимого для защиты выберите Добавить в раскрывающемся списке, а затем выберите Метки.In the Choose the types of content to protect pane, click Add in the drop-down box, and then click Labels.

  10. В области Метки нажмите кнопку + Добавить, укажите метку Конфиденциальный и последовательно нажмите кнопки Добавить > Готово.In the Labels pane, click + Add, select the Sensitive label, click Add, and then click Done.

  11. В области Выбрать типы содержимого для защиты нажмите кнопку Сохранить.In the Choose the types of content to protect pane, click Save.

  12. В области Customize the types of sensitive info you want to protect (Настройка типов защищаемых конфиденциальных сведений) нажмите кнопку Далее.In the Customize the types of sensitive info you want to protect pane, click Next.

  13. В области What do you want to do if we detect sensitive info? (Что делать при обнаружении конфиденциальной информации?) щелкните Customize the tip and email (Настроить подсказки и уведомления по электронной почте).In the What do you want to do if we detect sensitive info? pane, click Customize the tip and email.

  14. В области Customize policy tips and email notifications (Настройка подсказок политики и уведомления по электронной почте) щелкните Customize the policy tip text (Настроить текст подсказки политики).In the Customize policy tips and email notifications pane, click Customize the policy tip text.

  15. В текстовом поле введите или вставьте одну из следующих подсказок в зависимости от того, применена ли служба Azure Information Protection, чтобы защитить строго конфиденциальные файлы:In the text box, type or paste in one of the following tips, depending on if you implemented Azure Information Protection to protect highly confidential files:

    • Чтобы предоставить доступ пользователю за пределами организации, скачайте файл и откройте его. Выберите пункты "Файл > Защитить документ > Зашифровать паролем", а затем укажите надежный пароль. Отправьте пароль в отдельном сообщении или с помощью других средств связи.To share with a user outside the organization, download the file and then open it. Click File, then Protect Document, and then Encrypt with Password, and then specify a strong password. Send the password in a separate email or other means of communication.
    • Строго конфиденциальные файлы защищены с помощью шифрования. Их могут просматривать только те внешние пользователи, которым ваш ИТ-отдел предоставил разрешения для этих файлов.Highly confidential files are protected with encryption. Only external users who are granted permissions to these files by your IT department can read them.

    Вы также можете ввести или вставить, скопировав, собственную подсказку политики, которая укажет пользователям, как делиться файлом с людьми за пределами организации. Дополнительные сведения по предоставлению разрешений внешним пользователям для файлов, защищенных с помощью службы Azure Information Protection см. в статье "Добавление разрешений для внешних пользователей".Alternately, type or paste in your own policy tip that instructs users on how to share a file outside your organization. For more information on giving external users permissions to files protected wiht Azure Information Protection, see Adding permissions for external users.

  16. Нажмите кнопку ОК.Click OK.

  17. В области Что делать при обнаружении конфиденциальной информации? снимите флажки Запретить пользователям делиться контентом и ограничить доступ к совместно используемому содержимому, а затем нажмите кнопку Далее.In the What do you want to do if we detect sensitive info? pane, clear the Block people from sharing, and restrict access to shared content check box, and then click Next.

  18. В области Включить политику или сначала протестировать ее? выберите пункт Да, включить ее сразу, а затем нажмите кнопку Далее.In the Do you want to turn on the policy or test things out first? pane, click Yes, turn it on right away, and then click Next.

  19. В области Проверка параметров нажмите Создать, а затем нажмите кнопку Закрыть.In the Review your settings pane, click Create, and then click Close.

Здесь показана итоговая конфигурация для конфиденциальных сайтов групп SharePoint Online.Here is your resulting configuration for sensitive SharePoint Online team sites.

Политика защиты от потери данных для изолированного сайта группы SharePoint Online с использованием метки "Конфиденциальный" в Office 365.

Выполните следующие действия, чтобы настроить политику защиты от потери данных, которая блокирует пользователей, когда они совместно используют документы на строго конфиденциальном сайте группы SharePoint Online за пределами организации.Next, use these steps to configure a DLP policy that blocks users when they share a document on a SharePoint Online highly confidential team site outside the organization.

  1. На вкладке браузера Домашняя страница Microsoft Office щелкните плитку Безопасность и соответствие требованиям.From the Microsoft Office Home tab in your browser, click the Security & Compliance tile.

  2. На новой вкладке Безопасность и соответствие требованиям выберите Защита от потери данных > Политика.On the new Security & Compliance tab in your browser, click Data loss prevention > Policy.

  3. В области Защита от потери данных нажмите кнопку + Создание политики.In the Data loss prevention pane, click + Create a policy.

  4. В области Начните с шаблона или создайте настраиваемую политику выберите Настраиваемая, а затем нажмите кнопку Далее.In the Start with a template or create a custom policy pane, click Custom, and then click Next.

  5. В области Укажите имя для политики введите название для политики защиты от потери строго конфиденциальных данных в поле Имя, а затем нажмите кнопку Далее.In the Name your policy pane, type the name for the highly sensitive level DLP policy in Name, and then click Next.

  6. В области Выбор расположений щелкните Let me choose specific locations (Предоставить мне выбор конкретных расположений) и нажмите кнопку Далее.In the Choose locations pane, click Let me choose specific locations, and then click Next.

  7. В списке расположений отключите параметры Электронная почта Exchange и Учетные записи OneDrive, а затем нажмите кнопку Далее.In the list of locations, disable the Exchange email and OneDrive accounts locations, and then click Next.

  8. В области Выберите тип содержимого, которое вы хотите защитить щелкните ссылку Изменить.In the Customize the types of sensitive info you want to protect pane, click Edit.

  9. В области Выбрать типы содержимого для защиты выберите Добавить в раскрывающемся списке, а затем выберите Метки.In the Choose the types of content to protect pane, click Add in the drop-down box, and then click Labels.

  10. В области Метки нажмите кнопку + Добавить, выберите метку Строго конфиденциальный, нажмите Добавить, а затем нажмите кнопку Готово.In the Labels pane, click + Add, select the Highly Confidential label, click Add, and then click Done.

  11. В области Выбрать типы содержимого для защиты нажмите кнопку Сохранить.In the Choose the types of content to protect pane, click Save.

  12. В области Customize the types of sensitive info you want to protect (Настройка типов защищаемых конфиденциальных сведений) нажмите кнопку Далее.In the Customize the types of sensitive info you want to protect pane, click Next.

  13. В области What do you want to do if we detect sensitive info? (Что делать при обнаружении конфиденциальной информации?) щелкните Customize the tip and email (Настроить подсказки и уведомления по электронной почте).In the What do you want to do if we detect sensitive info? pane, click Customize the tip and email.

  14. В области Customize policy tips and email notifications (Настройка подсказок политики и уведомления по электронной почте) щелкните Customize the policy tip text (Настроить текст подсказки политики).In the Customize policy tips and email notifications pane, click Customize the policy tip text.

  15. В текстовом поле введите или вставьте следующее:In the text box, type or paste in the following:

    • Чтобы предоставить доступ пользователю за пределами организации, скачайте файл и откройте его. Выберите пункты "Файл > Защитить документ > Зашифровать паролем", а затем укажите надежный пароль. Отправьте пароль в отдельном сообщении или с помощью других средств связи.To share with a user outside the organization, download the file and then open it. Click File, then Protect Document, and then Encrypt with Password, and then specify a strong password. Send the password in a separate email or other means of communication.

    Вы также можете ввести или вставить, скопировав, собственную подсказку политики, которая укажет пользователям, как делиться файлом с людьми за пределами организации.Alternately, type or paste in your own policy tip that instructs users on how to share a file outside your organization.

  16. Нажмите кнопку ОК.Click OK.

  17. В области Что делать при обнаружении конфиденциальной информации? выберите Требовать коммерческое обоснование для переопределения, а затем нажмите кнопку Далее.In the What do you want to do if we detect sensitive info? pane, select Require a business justification to override, and then click Next.

  18. В области Включить политику или сначала протестировать ее? выберите пункт Да, включить ее сразу, а затем нажмите кнопку Далее.In the Do you want to turn on the policy or test things out first? pane, click Yes, turn it on right away, and then click Next.

  19. В области Проверка параметров нажмите Создать, а затем нажмите кнопку Закрыть.In the Review your settings pane, click Create, and then click Close.

Ниже показана итоговая конфигурация для строго конфиденциальных сайтов групп SharePoint Online.Here is your resulting configuration for high confidentiality SharePoint Online team sites.

Политика защиты от потери данных для изолированного сайта группы SharePoint Online с использованием метки "Строго конфиденциальный" в Office 365.

Следующий шагNext step

Защита файлов SharePoint Online с помощью Azure Information ProtectionProtect SharePoint Online files with Azure Information Protection

См. такжеSee Also

Безопасность сайтов и файлов SharePoint OnlineSecure SharePoint Online sites and files

Защита сайтов SharePoint Online в среде разработки и тестированияSecure SharePoint Online sites in a dev/test environment

Руководство по безопасности (Майкрософт) для политических кампаний, некоммерческих и других динамических организацийMicrosoft Security Guidance for Political Campaigns, Nonprofits, and Other Agile Organizations

Освоение облака и гибридные решенияCloud adoption and hybrid solutions