Защита сайтов SharePoint Online в среде разработки и тестированияSecure SharePoint Online sites in a dev/test environment

Сводка. Создание общедоступных, частных, конфиденциальных и строго конфиденциальных сайтов групп SharePoint Online в среде разработки и тестирования.Summary: Create public, private, sensitive, and highly confidential SharePoint Online team sites in a dev/test environment.

Эта статья содержит пошаговые инструкции по созданию среды разработки и тестирования, включающей четыре различных типа сайтов групп SharePoint Online для решения по защите файлов и сайтов SharePoint Online.This article provides step-by-step instructions to create a dev/test environment that includes the four different types of SharePoint Online team sites for the Secure SharePoint Online sites and files solution.

Все четыре сайта группы в безопасной среде разработки и тестирования SharePoint Online.

Используйте это окружение разработки и тестирования для экспериментов с режимами защиты информации и настройкой перед развертыванием сайтов групп SharePoint Online в рабочей среде.Use this dev/test environment to experiment with the information protection behaviors and fine-tune settings for your specific needs before deploying SharePoint Online team sites in production.

Этап 1. Создание среды разработки и тестированияPhase 1: Create your dev/test environment

На этом этапе вы получите пробные подписки для Office 365 и Enterprise Mobility + Security для вымышленной организации.In this phase, you obtain trial subscriptions for Office 365 and Enterprise Mobility + Security for a fictional organization.

Сначала следуйте инструкциям для этапа 2, представленного в разделе о среде разработки и тестирования Office 365.First, follow the instructions in Phase 2 of the Office 365 dev/test environment.

Затем оформите пробную подписку на EMS и добавьте ее к той же организации, что и пробную подписку на Office 365.Next, sign up for the EMS trial subscription and add it to the same organization as your Office 365 trial subscription.

  1. Если необходимо, войдите на портал Office 365 с использованием учетных данных учетной записи глобального администратора пробной подписки. Справочные сведения см. в статье Вход в Office 365.If needed, sign in to the Office 365 portal with the credentials of the global administrator account of your trial subscription. For help, see Where to sign in to Office 365.

  2. Выберите плитку Администрирование.Click the Admin tile.

  3. Открыв вкладку Центр администрирования Office в браузере, на панели навигации слева щелкните Выставление счетов > Приобретение служб.On the Office Admin center tab in your browser, in the left navigation, click Billing > Purchase services.

  4. На странице Приобретение служб найдите элемент Enterprise Mobility + Security E5. Наведите на него указатель мыши и выберите Начать бесплатный пробный период.On the Purchase services page, find the Enterprise Mobility + Security E5 item. Hover your mouse pointer over it and click Start free trial.

  5. На странице Подтверждение заказа нажмите кнопку Попробовать.On the Confirm your order page, click Try now.

  6. На странице Получение заказа нажмите кнопку Продолжить.On the Order receipt page, click Continue.

Затем включите лицензию Enterprise Mobility + Security E5 для своей учетной записи глобального администратора.Next, enable the Enterprise Mobility + Security E5 license for your global administrator account.

  1. Открыв вкладку браузера Центр администрирования Office 365, на панели навигации слева выберите Пользователи > Активные пользователи.On the Office 365 Admin center tab in your browser, in the left navigation, click Users > Active users.

  2. Выберите свою учетную запись глобального администратора и щелкните ссылку Изменить для параметра Лицензии на продукты.Click your global administrator account, and then click Edit for Product licenses.

  3. На панели Лицензии на продукты переведите переключатель Enterprise Mobility + Security E5 в положение Вкл., нажмите Сохранить, а затем дважды Закрыть.On the Product licenses pane, turn the product license for Enterprise Mobility + Security E5 to On, click Save, and then click Close twice.

Этап 2. Создание и настройка групп и пользователей Azure Active Directory (AD)Phase 2: Create and configure your Azure Active Directory (AD) groups and users

На этом этапе вы создадите и настроите группы и пользователей Azure AD для вымышленной организации.In this phase, you create and configure the Azure AD groups and users for your fictional organization.

Сначала создайте набор групп для обычной организации на портале Azure.First, create a set of groups for a typical organization with the Azure portal.

  1. Откройте портал Azure (https://portal.azure.com) на отдельной вкладке браузера. Если необходимо, выполните вход, используя данные учетной записи глобального администратора для пробной подписки на Office 365 E5.Create a separate tab in your browser, and then go to the Azure portal at https://portal.azure.com. If needed, sign in with the credentials of the global administrator account for your Office 365 E5 trial subscription.

  2. На портале Azure выберите Azure Active Directory > Группы.In the Azure portal, click Azure Active Directory > Licenses > All products.

  3. В колонке Группы — Все группы выберите пункт + Создать группу.On the All groups blade, click + New group.

  4. В колонке Группа:On the Group blade:

    • В разделе Тип группы выберите Office 365.Select Office 365 in Group type.

    • Введите Топ-менеджмент в поле Имя.Type C-Suite in Name.

    • Выберите Назначенные в поле Тип членства.Select Assigned in Membership.

  5. Нажмите кнопку Создать, а затем закройте колонку Группа.Click Create, and then close the Group blade.

  6. Повторите шаги с 3 по 5 для следующих групп:Repeat steps 3-5 for the following group names:

    • ИТ-персоналIT staff

    • Научный персоналResearch staff

    • Штатный персоналRegular staff

    • Маркетинговый персоналMarketing staff

    • Торговый персоналSales staff

  7. Не закрывайте вкладку портала Azure в браузере.Keep the Azure portal tab in your browser open.

После этого настройте автоматическое лицензирование, чтобы членам групп автоматически назначались лицензии на подписки Office 365 и EMS.Next, you configure automatic licensing so that members of your groups are automatically assigned licenses for your Office 365 and EMS subscriptions.

  1. На портале Azure последовательно выберите Azure Active Directory > Лицензии > Все продукты.In the Azure portal, click Azure Active Directory > Licenses > All products.

  2. В списке выберите Enterprise Mobility + Security E5 и Office 365 корпоративный E5 и нажмите Назначить.In the list, select Enterprise Mobility + Security E5 and Office 365 Enterprise E5, and then click Assign.

  3. В колонке Назначение лицензии щелкните Пользователи и группы.In the Assign license blade, click Users and groups.

  4. В списке групп выберите следующие элементы:In the list of groups, select the following:

    • Высшее руководствоC-Suite

    • ИТ-персоналIT staff

    • Научный персоналResearch staff

    • Штатный персоналRegular staff

    • Маркетинговый персоналMarketing staff

    • Сотрудники отдела продажSales staff

  5. Выберите Выбрать > Назначить.Click Select, and then click Assign.

  6. Закройте вкладку портала Azure в браузере.Close the Azure portal tab in your browser.

Далее вы подключитесь к модулю Azure Active Directory V2 PowerShell.Next, you Connect with the Azure Active Directory V2 PowerShell module.

Введите название организации, адрес и общий пароль и выполните эти команды в командной строке PowerShell или интегрированной среде сценариев (ISE), чтобы создать учетные записи пользователей и добавить их в свои группы:Fill in your organization name, your location, and a common password. Run the following commands from the PowerShell command prompt or Integrated Script Environment (ISE) to create user accounts and add them to their corresponding groups.

$orgName="<organization name, such as contoso for the contoso.onmicrosoft.com trial subscription domain name>"
$location="<the ISO ALPHA2 country code, such as US for the United States>"
$commonPassword="<common password for all the new accounts>"

$PasswordProfile=New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.Password=$commonPassword

$groupName="C-Suite"
$userNames=@("CEO","CFO","CIO") 
$groupID=(Get-AzureADGroup | Where { $_.DisplayName -eq $groupName }).ObjectID
ForEach ($element in $userNames){ 
New-AzureADUser -DisplayName $element -PasswordProfile $PasswordProfile -UserPrincipalName ($element + "@" + $orgName + ".onmicrosoft.com") -AccountEnabled $true -MailNickName $element -UsageLocation $location 
Add-AzureADGroupMember -RefObjectId (Get-AzureADUser | Where { $_.DisplayName -eq $element }).ObjectID -ObjectId $groupID
}
$groupName="IT staff"
$userNames=@("ITAdmin1","ITAdmin2") 
$groupID=(Get-AzureADGroup | Where { $_.DisplayName -eq $groupName }).ObjectID
ForEach ($element in $userNames){ 
New-AzureADUser -DisplayName $element -PasswordProfile $PasswordProfile -UserPrincipalName ($element + "@" + $orgName + ".onmicrosoft.com") -AccountEnabled $true -MailNickName $element -UsageLocation $location 
Add-AzureADGroupMember -RefObjectId (Get-AzureADUser | Where { $_.DisplayName -eq $element }).ObjectID -ObjectId $groupID
}
$groupName="Research staff"
$userNames=@("Researcher1") 
$groupID=(Get-AzureADGroup | Where { $_.DisplayName -eq $groupName }).ObjectID
ForEach ($element in $userNames){ 
New-AzureADUser -DisplayName $element -PasswordProfile $PasswordProfile -UserPrincipalName ($element + "@" + $orgName + ".onmicrosoft.com") -AccountEnabled $true -MailNickName $element -UsageLocation $location 
Add-AzureADGroupMember -RefObjectId (Get-AzureADUser | Where { $_.DisplayName -eq $element }).ObjectID -ObjectId $groupID
}
$groupName="Regular staff"
$userNames=@("Regular1", "Regular2") 
$groupID=(Get-AzureADGroup | Where { $_.DisplayName -eq $groupName }).ObjectID
ForEach ($element in $userNames){ 
New-AzureADUser -DisplayName $element -PasswordProfile $PasswordProfile -UserPrincipalName ($element + "@" + $orgName + ".onmicrosoft.com") -AccountEnabled $true -MailNickName $element -UsageLocation $location 
Add-AzureADGroupMember -RefObjectId (Get-AzureADUser | Where { $_.DisplayName -eq $element }).ObjectID -ObjectId $groupID
}
$groupName="Marketing staff"
$userNames=@("Marketing1", "Marketing2") 
$groupID=(Get-AzureADGroup | Where { $_.DisplayName -eq $groupName }).ObjectID
ForEach ($element in $userNames){ 
New-AzureADUser -DisplayName $element -PasswordProfile $PasswordProfile -UserPrincipalName ($element + "@" + $orgName + ".onmicrosoft.com") -AccountEnabled $true -MailNickName $element -UsageLocation $location 
Add-AzureADGroupMember -RefObjectId (Get-AzureADUser | Where { $_.DisplayName -eq $element }).ObjectID -ObjectId $groupID
}
$groupName="Sales staff"
$userNames=@("SalesPerson1") 
$groupID=(Get-AzureADGroup | Where { $_.DisplayName -eq $groupName }).ObjectID
ForEach ($element in $userNames){ 
New-AzureADUser -DisplayName $element -PasswordProfile $PasswordProfile -UserPrincipalName ($element + "@" + $orgName + ".onmicrosoft.com") -AccountEnabled $true -MailNickName $element -UsageLocation $location 
Add-AzureADGroupMember -RefObjectId (Get-AzureADUser | Where { $_.DisplayName -eq $element }).ObjectID -ObjectId $groupID
}

Примечание

Общий пароль используется для автоматизации и упрощения настройки среды разработки и тестирования. Не рекомендуется для рабочих подписок.The use of a common password here is for automation and ease of configuration for a dev/test environment. This is not recommended for production subscriptions.

Выполните указанные ниже действия, чтобы убедиться, что лицензирование на основе групп работает должным образом.Use these steps to verify that group-based licensing is working correctly.

  1. На вкладке браузера Домашняя страница Microsoft Office щелкните плитку Администрирование.From the Microsoft Office Home tab of your browser, click the Admin tile.

  2. На новой вкладке браузераЦентр администрирования Office щелкните Пользователи.From the new Office Admin center tab of your browser, click Users.

  3. В списке пользователей выберите Генеральный директор.In the list of users, click CEO.

  4. В области, где приведены свойства учетной записи Генеральный директор, проверьте, что этой учетной записи назначены лицензии Enterprise Mobility + Security E5 и Office 365 корпоративный E5 лицензии (в разделе Лицензии на продукты).In the pane that lists the properties of the CEO user account, verify that it has been assigned the Enterprise Mobility + Security E5 and Office 365 Enterprise E5 licenses (in Product licenses).

Этап 3. Создание меток Office 365Phase 3: Create Office 365 labels

На этом этапе мы создадим метки разных уровней защиты для папок документов на сайтах групп SharePoint Online.In this phase, you create the labels for the different levels of security for SharePoint Online team site documents folders.

  1. Если необходимо, используйте частный экземпляр интернет-браузера и войдите на портал Office 365 с помощью учетной записи глобального администратора пробной подписки Office 365 E5. Справочные сведения см. в статье Вход в Office 365.If needed, use a private instance of your Internet browser and sign in to the Office 365 portal with the global administrator account of your Office 365 E5 trial subscription. For help, see Where to sign in to Office 365.

  2. На вкладке Домашняя страница Microsoft Office щелкните плитку Администрирование.From the Microsoft Office Home tab, click the Admin tile.

  3. На новой вкладке браузера Центр администрирования Office выберите Центры администрирования > Безопасность и соответствие требованиям.From the new Office Admin center tab of your browser, click Admin centers > Security & Compliance.

  4. На новой вкладке браузера Главная — безопасность и соответствие требованиям выберите Классификации > Метки.From the new Home - Security & Compliance tab of your browser, click Classifications > Labels.

  5. В области Главная > Метки нажмите кнопку Создать метку.From the Home > Labels pane, click Create a label.

  6. В области Задайте имя для метки введите Внутренний общедоступный и нажмите кнопку Далее.On the Name your label pane, type Internal, and then click Next.

  7. В области Параметры метки нажмите кнопку Далее.On the Label settings pane, click Next.

  8. В области Проверьте параметры нажмите Создать эту метку, а затем — кнопку Закрыть.On the Review your settings pane, click Create this label, and then click Close.

  9. Повторите действия 5–8 для следующих меток:Repeat steps 5-8 for these additional labels:

    • PrivatePrivate

    • КонфиденциальныйSensitive

    • Строго конфиденциальноHighly Confidential

  10. В области Главная > Метки щелкните Опубликовать метки.From the Home > Labels pane, click Publish labels.

  11. В области Выберите метки для публикации щелкните Выберите метки для публикации.On the Choose labels to publish pane, click Choose labels to publish.

  12. В области Выбор меток нажмите кнопку Добавить и выберите все четыре метки.On the Choose labels pane, click Add and select all four labels.

  13. Нажмите кнопку Готово.Click Done.

  14. В области Выберите метки для публикации нажмите кнопку Далее.On the Choose labels to publish pane, click Next.

  15. В области Выберите расположения нажмите кнопку Далее.On the Choose locations pane, click Next.

  16. В области Укажите имя для политики введите Пример организации в поле Имя и нажмите кнопку Далее.On the Name your policy pane, type Example organization in Name, and then click Next.

  17. В области Проверьте параметры последовательно нажмите кнопки Опубликовать метки и Закрыть.On the Review your settings pane, click Publish labels, and then click Close.

Этап 4. Создание сайтов групп SharePoint OnlinePhase 4: Create your SharePoint Online team sites

На этом этапе вы создадите и настроите четыре типа сайтов групп SharePoint Online для примера организации.In this phase, you create and configure the four types of SharePoint Online team sites for your example organization.

Сайт группы "Для всей организации"Organization wide team site

Чтобы создать общедоступный сайт группы SharePoint Online с базовым уровнем защиты, выполните приведенные ниже действия.To create a baseline public SharePoint Online team site, do the following:

  1. Если необходимо, используйте браузер на локальном компьютере и войдите на портал Office 365 с помощью учетной записи глобального администратора. Справочные сведения см. в статье Вход в Office 365.If needed, use a browser on your local computer and sign in to the Office 365 portal using your global administrator account. For help, see Where to sign in to Office 365.

  2. В списке плиток выберите SharePoint.In the list of tiles, click SharePoint.

  3. На новой вкладке SharePoint в браузере щелкните + Создать сайт.On the new SharePoint tab in your browser, click + Create site.

  4. На странице Создание сайта щелкните Сайт группы.On the Create a site page, click Team site.

  5. В поле Имя сайта введите Для всей организации.In Site name, type Organization wide.

  6. В поле Описание сайта группы введите Сайт SharePoint для всей организации.In Team site description, type SharePoint site for the entire organization.

  7. В разделе Параметры конфиденциальности выберите Общедоступная группа: все в организации имеют доступ к этому сайту и нажмите кнопку Далее.In Privacy settings, select Public - anyone in the organization can access this site, and then click Next.

  8. В области Кого вы хотите добавить? нажмите кнопку Готово.On the Who do you want to add? pane, click Finish.

Далее настройте папку документов сайта группы "Для всей организации" для метки "Внутренний общедоступный".Next, configure the documents folder of the Organization wide team site for the Internal Public label.

  1. На вкладке браузера Для всей организации — главная щелкните Документы.In the Organization wide–Home tab of your browser, click Documents.

  2. Щелкните значок параметров и выберите Параметры библиотеки.Click the settings icon, and then click Library settings.

  3. В разделе Разрешения и управление нажмите Применить метку к элементам в этой библиотеке.Under Permissions and Management, click Apply label to items in this library.

  4. В разделе Параметры — применение метки выберите метку Внутренний общедоступный и нажмите кнопку Сохранить.In Settings-Apply Label, select Internal Public, and click Save.

Ниже показана полученная в итоге конфигурация.Here is your resulting configuration.

Защита базового уровня для общедоступного сайта группы SharePoint Online, используемого во всей организации.

Сайт группы "Проект 1"Project 1 team site

Чтобы создать частный сайт группы SharePoint Online с базовым уровнем защиты для проекта в организации, выполните приведенные далее действия.To create a baseline private SharePoint Online team site for a project within the organization, do the following:

  1. Если необходимо, используйте браузер на локальном компьютере и войдите на портал Office 365 с помощью учетной записи глобального администратора. Справочные сведения см. в статье Вход в Office 365.If needed, use a browser on your local computer and sign in to the Office 365 portal using your global administrator account. For help, see Where to sign in to Office 365.

  2. В списке плиток выберите SharePoint.In the list of tiles, click SharePoint.

  3. На новой вкладке SharePoint в браузере щелкните + Создать сайт.On the new SharePoint tab in your browser, click + Create site.

  4. На странице Создание сайта щелкните Сайт группы.On the Create a site page, click Team site.

  5. В поле Имя сайта введите Проект 1.In Site name, type Project 1.

  6. В поле Описание сайта группы введите Сайт SharePoint для проекта 1.In Team site description, type SharePoint site for Project 1.

  7. В разделе Параметры конфиденциальности выберите Закрытая группа: только участники имеют доступ к этому сайту и нажмите кнопку Далее.In Privacy settings, select Private - only members can access this site, and then click Next.

  8. В области Кого вы хотите добавить? нажмите кнопку Готово.On the Who do you want to add? pane, click Finish.

Далее настройте папку документов сайта группы "Проект 1" для метки "Частный".Next, configure the documents folder of the Project 1 team site for the Private label.

  1. На вкладке браузера Проект 1 — главная щелкните Документы.In the Project 1-Home tab of your browser, click Documents.

  2. Щелкните значок параметров и выберите Параметры библиотеки.Click the settings icon, and then click Library settings.

  3. В разделе Разрешения и управление нажмите кнопку Применить метку к элементам в этой библиотеке.Under Permissions and Management, click Apply label to items in this library.

  4. В разделе Параметры — применение метки выберите метку Частный и нажмите кнопку Сохранить.In Settings-Apply Label, select Private, and then click Save.

Ниже показана полученная в итоге конфигурация.Here is your resulting configuration.

Защита базового уровня для закрытого сайта группы SharePoint Online, названного Project1.

Сайт группы "Маркетинговые кампании"Marketing campaigns team site

Чтобы создать изолированный сайт группы SharePoint Online с конфиденциальным уровнем защиты для участников маркетинговых кампаний, выполните приведенные далее действия.To create a sensitive-level isolated SharePoint Online team site for marketing campaign resources, do the following:

  1. Используя браузер на локальном компьютере, войдите на портал Office 365 с помощью учетной записи глобального администратора. Справочные сведения см. в статье Вход в Office 365.Using a browser on your local computer, sign in to the Office 365 portal using your global administrator account. For help, see Where to sign in to Office 365.

  2. В списке плиток выберите SharePoint.In the list of tiles, click SharePoint.

  3. На новой вкладке SharePoint в браузере щелкните + Создать сайт.On the new SharePoint tab in your browser, click + Create site.

  4. На странице Создание сайта щелкните Сайт группы.On the Create a site page, click Team site.

  5. В поле Имя сайта группы введите Маркетинговые кампании.In Team site name, type Marketing campaigns.

  6. В поле Описание сайта группы введите Сайт SharePoint для участников маркетинговых кампаний (конфиденциальный).In Team site description, type SharePoint site for marketing campaign resources (sensitive).

  7. В разделе Параметры конфиденциальности выберите Закрытая группа: только участники имеют доступ к этому сайту и нажмите кнопку Далее.In Privacy settings, select Private - only members can access this site, and then click Next.

  8. В области Кого вы хотите добавить? нажмите кнопку Готово.On the Who do you want to add? pane, click Finish.

  9. Перейдите к новой вкладке Маркетинговые кампании в браузере, а затем на панели инструментов нажмите значок параметров и выберите Разрешения для сайта.On the new Marketing campaigns tab in your browser, in the tool bar, click the settings icon, and then click Site permissions.

  10. В области Разрешения для сайта щелкните Параметры дополнительных разрешений.In the Site permissions pane, click Advanced permissions settings.

  11. На новой вкладке браузера Разрешения щелкните Параметры запросов на доступ.In the new Permissions tab in your browser, click Access Request Settings.

  12. В диалоговом окне Параметры запросов на доступ снимите флажки Разрешить участникам совместный доступ к этому сайту, а также отдельным файлам и папкам и Разрешить участникам приглашать других пользователей в группу участников сайта, введите ITAdmin1@<название_организации>.onmicrosoft.com в поле Отправлять все запросы на доступ по следующему адресу электронной почты, а затем нажмите кнопку ОК.In the Access Request Settings dialog box, clear the Allow members to share the site and individual files and folders and Allow members to invite others to the site members group check boxes, type ITAdmin1@.onmicrosoft.com in Send all requests for access, and then click OK.

  13. В списке выберите пункт Маркетинговые кампании — участники.Click Marketing campaigns Members in the list.

  14. На странице Пользователи и группы нажмите кнопку Создать.On the People and Groups page, click New.

  15. В диалоговом окне Общий доступ введите Сотрудники отдела маркетинга, выберите эту группу и нажмите Общий доступ.In the Share dialog box, type Marketing staff, select it, and then click Share.

  16. Повторите этапы 14 и 15 для учетной записи пользователя Исследователь1.Repeat steps 14 and 15 for the Researcher1 user account.

  17. Нажмите кнопку "Назад" в браузере.Click the back button on your browser.

  18. Выберите в списке пункт Маркетинговые кампании — владельцы.Click Marketing campaigns Owners in the list.

  19. На странице Пользователи и группы нажмите кнопку Создать.On the People and Groups page, click New.

  20. В диалоговом окне Общий доступ введите ИТ-персонал, выберите группу и нажмите Общий доступ.In the Share dialog box, type IT staff, select it, and then click Share.

  21. Нажмите кнопку "Назад" в браузере.Click the back button on your browser.

  22. Закройте вкладку Пользователи и группы в браузере, перейдите на вкладку Маркетинговые кампании — главная в браузере и закройте область Разрешения для сайта.Close the People and Groups tab in your browser, click the Marketing campaigns-Home tab in your browser, and then close the Site permissions pane.

Ниже представлены результаты настройки разрешений.Here are the results of configuring permissions:

  • Группа SharePoint Маркетинговые кампании — участники содержит только группу Маркетинговые кампании (в которой находится учетная запись глобального администратора), группу Маркетинговый персонал (в которой находятся учетные записи пользователей Marketing1 и Marketing2) и учетную запись пользователя Researcher1.The Marketing campaigns-Members SharePoint group contains only the Marketing campaigns group (which contains the global administrator user account), the Marketing staff group (which contains the Marketing1 and Marketing2 user accounts), and the Researcher1 user account.

  • Группа SharePoint Маркетинговые кампании — владельцы содержит только группу ИТ-персонал (в которой находятся только учетные записи пользователей ITAdmin1 и ITAdmin2).The Marketing campaigns-Owners SharePoint group contains only the IT staff group (which contains only the ITAdmin1 and ITAdmin2 user accounts).

  • Группа SharePoint Маркетинговые кампании — посетители не содержит групп или учетных записей пользователей.The Marketing campaigns-Visitors SharePoint group contains no groups or user accounts.

  • Участники не могут изменять разрешения уровня веб-сайта (это могут делать только члены группы Маркетинговые кампании — владельцы).Members cannot modify site-level permissions (this can only be done by members of the Marketing campaigns-Owners group).

  • У других учетных записей нет доступа к сайту и его ресурсам, но они могут запрашивать доступ к сайту. При этом в почтовый ящик пользователя "ИТ-администратор1" отправляется электронное сообщение.Other user accounts cannot access the site or its resources, but can request access to the site, which will send an email to the ITAdmin1 user account mailbox.

Теперь настройте папку документов на сайте группы "Маркетинговые кампании" на использование метки "Конфиденциальный".Next, configure the documents folder of the Marketing campaigns team site for the Sensitive label.

  1. На вкладке браузера Маркетинговые кампании — главная щелкните Документы.In the Marketing campaigns-Home tab of your browser, click Documents.

  2. Щелкните значок параметров и выберите Параметры библиотеки.Click the settings icon, and then click Library settings.

  3. В разделе Разрешения и управление нажмите кнопку Применить метку к элементам в этой библиотеке.Under Permissions and Management, click Apply label to items in this library.

  4. В разделе Параметры — применение метки выберите метку Конфиденциальный и нажмите кнопку Сохранить.In Settings-Apply Label, select Sensitive, and then click Save.

Настройте политику защиты от потери данных (DLP), которая уведомляет пользователей, когда они предоставляют общий доступ к документу на сайте группы SharePoint Online с меткой "Конфиденциальный" (в число таких сайтов входит сайт "Маркетинговые кампании") за пределами организации.Next, configure a data loss prevention (DLP) policy that notifies users when they share a document on a SharePoint Online team site with the Sensitive label, which includes the Marketing campaigns site, outside the organization.

  1. На вкладке браузера Домашняя страница Microsoft Office щелкните плитку Безопасность и соответствие требованиям.From the Microsoft Office Home tab in your browser, click the Security & Compliance tile.

  2. На новой вкладке Безопасность и соответствие требованиям выберите Защита от потери данных > Политика.On the new Security & Compliance tab in your browser, click Data loss prevention > Policy.

  3. В области Защита от потери данных нажмите кнопку + Создание политики.In the Data loss prevention pane, click + Create a policy.

  4. В области Начать с шаблона или создать настраиваемую политику выберите Настраиваемая, а затем нажмите кнопку Далее.In the Start with a template or create a custom policy pane, click Custom, and then click Next.

  5. В области Назовите политику введите Сайты групп SharePoint Online с меткой "Конфиденциальный" в поле Имя, а затем нажмите кнопку Далее.In the Name your policy pane, type Sensitive label SharePoint Online team sites in Name, and then click Next.

  6. В области Выберите расположения щелкните Позволить мне выбрать расположения и нажмите кнопку Далее.In the Choose locations pane, click Let me choose specific locations, and then click Next.

  7. В списке расположений отключите параметры Электронная почта Exchange и Учетные записи OneDrive, а затем нажмите кнопку Далее.In the list of locations, disable the Exchange email and OneDrive accounts locations, and then click Next.

  8. В области Выберите тип содержимого, которое вы хотите защитить щелкните ссылку Изменить.In the Customize the types of sensitive info you want to protect pane, click Edit.

  9. В области Выбрать типы содержимого для защиты выберите Добавить в раскрывающемся списке, а затем выберите Метки.In the Choose the types of content to protect pane, click Add in the drop-down box, and then click Labels.

  10. В области Метки нажмите кнопку + Добавить, укажите метку Конфиденциальный и последовательно нажмите кнопки Добавить > Готово.In the Labels pane, click + Add, select the Sensitive label, click Add, and then click Done.

  11. В области Выбрать типы содержимого для защиты нажмите кнопку Сохранить.In the Choose the types of content to protect pane, click Save.

  12. В области Customize the types of sensitive info you want to protect (Настройка типов защищаемых конфиденциальных сведений) нажмите кнопку Далее.In the Customize the types of sensitive info you want to protect pane, click Next.

  13. В области What do you want to do if we detect sensitive info? (Что делать при обнаружении конфиденциальной информации?) щелкните Customize the tip and email (Настроить подсказки и уведомления по электронной почте).In the What do you want to do if we detect sensitive info? pane, click Customize the tip and email.

  14. В области Customize policy tips and email notifications (Настройка подсказок политики и уведомления по электронной почте) щелкните Customize the policy tip text (Настроить текст подсказки политики).In the Customize policy tips and email notifications pane, click Customize the policy tip text.

  15. В текстовом поле введите или вставьте следующее:In the text box, type or paste in the following:

    • Чтобы предоставить доступ пользователю за пределами организации, скачайте файл и откройте его. Выберите пункты "Файл > Защитить документ > Зашифровать паролем", а затем укажите надежный пароль. Отправьте пароль в отдельном сообщении или с помощью других средств связи.To share with a user outside the organization, download the file and then open it. Click File, then Protect Document, and then Encrypt with Password, and then specify a strong password. Send the password in a separate email or other means of communication.
  16. Нажмите кнопку ОК.Click OK.

  17. В области Что делать при обнаружении конфиденциальной информации? снимите флажки Запретить пользователям делиться контентом и ограничить доступ к совместно используемому содержимому, а затем нажмите кнопку Далее.In the What do you want to do if we detect sensitive info? pane, clear the Block people from sharing, and restrict access to shared content check box, and then click Next.

  18. В области Включить политику или сначала протестировать ее? выберите пункт Да, включить ее сразу, а затем нажмите кнопку Далее.In the Do you want to turn on the policy or test things out first? pane, click Yes, turn it on right away, and then click Next.

  19. В области Проверка параметров нажмите Создать, а затем нажмите кнопку Закрыть.In the Review your settings pane, click Create, and then click Close.

Ниже показана полученная в итоге конфигурация.Here is your resulting configuration.

Защита уровня конфиденциальности для изолированного сайта группы SharePoint Online, названного "Маркетинговые кампании".

Сайт группы "Стратегия организации"Company strategy team site

Чтобы создать изолированный сайт группы SharePoint Online со строго конфиденциальным уровнем защиты для стратегических ресурсов организации, включающих высшее руководство, выполните приведенные далее действия.To create an isolated SharePoint Online team site at the highly confidential level for strategic company resources of the chief executives of the organization, do the following:

  1. Если необходимо, используйте браузер на локальном компьютере и войдите на портал Office 365 с помощью учетной записи глобального администратора. Справочные сведения см. в статье Вход в Office 365.If needed, use a browser on your local computer and sign in to the Office 365 portal using your global administrator account. For help, see Where to sign in to Office 365.

  2. В списке плиток выберите SharePoint.In the list of tiles, click SharePoint.

  3. На новой вкладке SharePoint в браузере щелкните + Создать сайт.On the new SharePoint tab in your browser, click + Create site.

  4. На странице Создание сайта щелкните Сайт группы.On the Create a site page, click Team site.

  5. В поле Имя сайта группы введите Стратегия организации.In Team site name, type Company strategy.

  6. В поле Описание сайта группы введите Сайт SharePoint для стратегии организации (строго конфиденциальный).In Team site description, type SharePoint site for company strategy (highly confidential).

  7. В разделе Параметры конфиденциальности выберите Закрытая группа: только участники имеют доступ к этому сайту и нажмите кнопку Далее.In Privacy settings, select Private - only members can access this site, and then click Next.

  8. В области Кого вы хотите добавить? нажмите кнопку Готово.On the Who do you want to add? pane, click Finish.

  9. В новой вкладке Стратегия компании в браузере нажмите значок параметров на панели инструментов и выберите Разрешения для сайта.On the new Company strategy tab in your browser, in the tool bar, click the settings icon, and then click Site permissions.

  10. В области Разрешения для сайта щелкните Параметры дополнительных разрешений.In the Site permissions pane, click Advanced permissions settings.

  11. На новой вкладке браузера Разрешения щелкните Параметры запросов на доступ.In the new Permissions tab in your browser, click Access Request Settings.

  12. В диалоговом окне Параметры запросов на доступ снимите флажки Разрешить участникам совместный доступ к этому сайту, а также отдельным файлам и папкам и Разрешить участникам приглашать других пользователей в группу участников сайта (все три флажка должны быть сняты) и нажмите кнопку ОК.In the Access Request Settings dialog box, clear Allow members to share the site and individual files and folders and Allow members to invite others to the site members group (so that all three check boxes are cleared), and then click OK.

  13. Выберите в списке пункт Стратегия компании — участники.Click Company strategy Members in the list.

  14. На странице Пользователи и группы нажмите кнопку Создать.On the People and Groups page, click New.

  15. В диалоговом окне Общий доступ введите Топ-менеджмент, выберите группу и нажмите Общий доступ.In the Share dialog box, type C-Suite, select it, and then click Share.

  16. Выберите в списке пункт Стратегия компании — владельцы.Click Company strategy Owners in the list.

  17. На странице Пользователи и группы нажмите кнопку Создать.On the People and Groups page, click New.

  18. В диалоговом окне Общий доступ введите ИТ-персонал, выберите группу и нажмите Общий доступ.In the Share dialog box, type IT staff, select it, and then click Share.

  19. Нажмите кнопку "Назад" в браузере.Click the back button on your browser.

  20. Закройте вкладку Пользователи и группы в браузере, перейдите на вкладку Стратегия компании — главная в браузере и закройте область Разрешения для сайта.Close the People and Groups tab in your browser, click the Company strategy-Home tab in your browser, and then close the Site permissions pane.

Ниже приведены результаты настройки разрешений.Here are the results of configuring permissions:

  • Группа SharePoint Стратегия организации — участники содержит только группу Высшее руководство (в которую входят только учетные записи генерального директора, финансового директора и директора по информационным технологиям) и группу Стратегия организации (в которую входит только учетная запись глобального администратора).The Company strategy-Members SharePoint group contains only the C-Suite group (which contains only the CEO, CFO, and CIO user accounts) and the Company strategy group (which contains only the global administrator user account).

  • Группа SharePoint Стратегия организации — владельцы содержит только группу ИТ-персонал (в которой находятся только учетные записи пользователей "ITAdmin1" и "ITAdmin2").The Company strategy-Owners SharePoint group contains only the IT staff group (which contains only the ITAdmin1 and ITAdmin2 user accounts).

  • Группа SharePoint Стратегия организации — посетители не содержит групп или учетных записей пользователей.The Company strategy-Visitors SharePoint group contains no groups or user accounts.

  • Участники не могут изменять разрешения уровня веб-сайта (это могут делать только члены группы Стратегия организации — владельцы).Members cannot modify site-level permissions (this can only be done by members of the Company strategy-Owners group).

  • Другие учетные записи пользователей не могут получить доступ к сайту или его ресурсам или запросить доступ к сайту. Дополнительные разрешения для сайта должен назначить глобальный администратор или участник группы Стратегия организации — владельцы.Other user accounts cannot access the site or its resources or request access to the site. Additional permissions to the site must be done by the global administrator or by a member of the Company strategy-Owners group.

Затем настройте папку документов на сайте стратегической группы компании на использование метки "Строго конфиденциально".Next, configure the documents folder of the Company strategy team site for the Highly Confidential label.

  1. На вкладке браузера Стратегия организации — главная щелкните Документы.In the Company strategy-Home tab of your browser, click Documents.

  2. Щелкните значок параметров и выберите Параметры библиотеки.Click the settings icon, and then click Library settings.

  3. В разделе Разрешения и управление нажмите кнопку Применить метку к элементам в этой библиотеке.Under Permissions and Management, click Apply label to items in this library.

  4. В разделе Параметры — применение метки выберите метку Строго конфиденциальный и нажмите кнопку Сохранить.In Settings-Apply Label, select Highly Confidential, and then click Save.

Настройте политику защиты от потери данных (DLP), которая блокирует пользователей, когда они предоставляют общий доступ к документу на сайте группы SharePoint Online с меткой "Строго конфиденциальный" (в число таких сайтов входит сайт "Стратегия организации") за пределами организации.Next, configure a DLP policy that blocks users when they share a document on a SharePoint Online team site with the Highly Confidential label, which includes the Company strategy site, outside the organization.

  1. Если необходимо, используйте браузер на локальном компьютере и войдите на портал Office 365 с помощью учетной записи с ролью администратора безопасности или администратора организации. Справочные сведения см. в статье Вход в Office 365.If needed, use a browser on your local computer and sign in to the Office 365 portal with an account that has the Security Administrator or Company Administrator role. For help, see Where to sign in to Office 365.

  2. На вкладке браузера Домашняя страница Microsoft Office щелкните плитку Безопасность и соответствие требованиям.From the Microsoft Office Home tab in your browser, click the Security & Compliance tile.

  3. На новой вкладке Безопасность и соответствие требованиям выберите Защита от потери данных > Политика.On the new Security & Compliance tab in your browser, click Data loss prevention > Policy.

  4. В области Защита от потери данных нажмите кнопку + Создание политики.In the Data loss prevention pane, click + Create a policy.

  5. В области Начать с шаблона или создать настраиваемую политику выберите Настраиваемая, а затем нажмите кнопку Далее.In the Start with a template or create a custom policy pane, click Custom, and then click Next.

  6. В области Назовите политику введите Сайты групп SharePoint Online с меткой "Строго конфиденциальный" в поле Имя, а затем нажмите кнопку Далее.In the Name your policy pane, type Highly Confidential label SharePoint Online team sites in Name, and then click Next.

  7. В области Выберите расположения щелкните Позволить мне выбрать расположения и нажмите кнопку Далее.In the Choose locations pane, click Let me choose specific locations, and then click Next.

  8. В списке расположений отключите параметры Электронная почта Exchange и Учетные записи OneDrive, а затем нажмите кнопку Далее.In the list of locations, disable the Exchange email and OneDrive accounts locations, and then click Next.

  9. В области Выберите тип содержимого, которое вы хотите защитить щелкните ссылку Изменить.In the Customize the types of sensitive info you want to protect pane, click Edit.

  10. В области Выбрать типы содержимого для защиты выберите Добавить в раскрывающемся списке, а затем выберите Метки.In the Choose the types of content to protect pane, click Add in the drop-down box, and then click Labels.

  11. В области Метки нажмите кнопку + Добавить, выберите метку Строго конфиденциальный, нажмите Добавить, а затем нажмите кнопку Готово.In the Labels pane, click + Add, select the Highly Confidential label, click Add, and then click Done.

  12. В области Выбрать типы содержимого для защиты нажмите кнопку Сохранить.In the Choose the types of content to protect pane, click Save.

  13. В области Customize the types of sensitive info you want to protect (Настройка типов защищаемых конфиденциальных сведений) нажмите кнопку Далее.In the Customize the types of sensitive info you want to protect pane, click Next.

  14. В области What do you want to do if we detect sensitive info? (Что делать при обнаружении конфиденциальной информации?) щелкните Customize the tip and email (Настроить подсказки и уведомления по электронной почте).In the What do you want to do if we detect sensitive info? pane, click Customize the tip and email.

  15. В области Customize policy tips and email notifications (Настройка подсказок политики и уведомления по электронной почте) щелкните Customize the policy tip text (Настроить текст подсказки политики).In the Customize policy tips and email notifications pane, click Customize the policy tip text.

  16. В текстовом поле введите или вставьте следующее:In the text box, type or paste in the following:

    • Чтобы предоставить доступ пользователю за пределами организации, скачайте файл и откройте его. Выберите пункты "Файл > Защитить документ > Зашифровать паролем", а затем укажите надежный пароль. Отправьте пароль в отдельном сообщении или с помощью других средств связи.To share with a user outside the organization, download the file and then open it. Click File, then Protect Document, and then Encrypt with Password, and then specify a strong password. Send the password in a separate email or other means of communication.
  17. Нажмите кнопку ОК.Click OK.

  18. В области Что делать при обнаружении конфиденциальной информации? выберите Требовать коммерческое обоснование для переопределения, а затем нажмите кнопку Далее.In the What do you want to do if we detect sensitive info? pane, select Require a business justification to override, and then click Next.

  19. В области Включить политику или сначала протестировать ее? выберите пункт Да, включить ее сразу, а затем нажмите кнопку Далее.In the Do you want to turn on the policy or test things out first? pane, click Yes, turn it on right away, and then click Next.

  20. В области Проверка параметров нажмите Создать, а затем нажмите кнопку Закрыть.In the Review your settings pane, click Create, and then click Close.

Далее выполните инструкции в статье Активация Azure RMS с помощью Центра администрирования Office 365.Next, follow the instructions in Activate Azure RMS with the Office 365 admin center.

Затем настройте для Azure Information Protection новую политику области и вложенную метку для группы "Топ-менеджмент" для защиты и разрешений, выполнив следующие действия:Next, configure Azure Information Protection with a new scoped policy and sub-label for protection and permissions with the following steps:

  1. Войдите на портал Office 365, используя учетную запись с ролью администратора компании или администратора безопасности. Справочные сведения см. в статье Вход в Office 365.Sign in to the Office 365 portal with an account that has the Security Administrator or Company Administrator role. For help, see Where to sign in to Office 365.

  2. Перейдите на портал Azure (https://portal.azure.com), открыв отдельную вкладку браузера.In a separate tab of your browser, go to the Azure portal (https://portal.azure.com).

  3. Если вы настраиваете Azure Information Protection впервые, ознакомьтесь с этими инструкциями.If this is the first time you are configuring Azure Information Protection, see these instructions.

  4. На панели списка выберите Все службы, введите information, а затем выберите Azure Information Protection.In the list pane, click More services, type information, and then click Azure Information Protection.

  5. Выберите Метки.Click Labels.

  6. Щелкните правой кнопкой мыши метку Строго конфиденциально и выберите элемент Добавить подчин. метку.For the Highly Confidential label, click the ellipses (…), and then click Add a sub-label.

  7. Введите Представители топ-менеджмента в полях Имя и Описание.Type C-Suite members in Name and Description.

  8. В разделе Задайте разрешения для документов и электронных писем, имеющих эту метку нажмите кнопку Защитить.In Set permissions for documents and emails containing this label, click Protect.

  9. В разделе Защита выберите элемент Azure (облачный ключ).In the Protection section, click Azure (cloud key).

  10. В колонке Защита в разделе Параметры защиты нажмите кнопку + Добавить разрешения.On the Protection blade, under Protection settings, click + Add permissions.

  11. Перейдите к колонке Добавление разрешений и выберите + Обзор каталога в разделе Укажите пользователей и группы.On the Add permissions blade, under Specify users and groups, click + Browse directory.

  12. В области Пользователи и группы AAD выберите группу Топ-менеджмент и нажмите кнопку Выбрать.On the AAD Users and Groups pane, select C-Suite, and then click Select.

  13. В разделе Выбрать из предустановленных разрешений или задать пользовательские выберите вариант Пользовательские, а затем установите флажки Просмотреть права, Изменить контент, Сохранить, Ответить и Ответить всем.Under Choose permissions from the preset or set custom, click Custom, and then click the View Rights, Edit Content, Save, Reply, and Reply all check boxes.

  14. Дважды нажмите кнопку ОК.Click OK twice.

  15. В колонке Подчиненная метка нажмите кнопку Сохранить, а затем щелкните ОК.On the Sub-label blade, click Save, and then click OK.

  16. В колонке Azure Information Protection, щелкните элементы Политики > + Добавить политику.On the Azure Information protection blade, click Scoped policies > + Add a new policy.

  17. Введите CompanyStrategy в поле Имя политики и Метка для документов на сайте группы стратегии компании в поле Описание.Type CompanyStrategy in Policy name and Label for documents in the Company strategy team site in Description.

  18. Щелкните пункты "Выберите, к каким пользователям или группам будет применяться эта политика" > "Пользователи или группы", а затем выберите C-Suite.Click Select which users or groups get this policy > User/Groups, and then select C-Suite.

  19. Щелкните Выбрать > ОК.Click Select > OK.

  20. Выберите элемент Добавить или удалить метки. В панели Политики: добавление и удаление меток нажмите Топ-менеджмент, а затем — ОК.Click Add or remove labels. In the Policy: Add or remove labels pane, click C-Suite, and then click OK.

  21. Нажмите кнопку Сохранить, а затем — ОК.Click Apply, and then click OK.

Чтобы защитить документ с помощью Azure Information Protection и новой метки, необходимо установить клиент Azure Information Protection на тестовом компьютере, установить Office из портала Office 365 и затем выполнить вход из Microsoft Word с помощью учетной записи в группе Топ-менеджмент пробной подписки.To protect a document with Azure Information Protection and this new label, you must install the Azure Information Protection client on a test machine, install Office from the Office 365 portal, and then sign in from Microsoft Word with an account in the Senior and strategic staff group of your trial subscription.

Ниже показана полученная в итоге конфигурация.Here is your resulting configuration.

Защита уровня строгой конфиденциальности для изолированного сайта группы SharePoint Online, названного "Стратегия компании".

Теперь вы готовы к созданию документов на этих четырех сайтах и тестированию доступа к ним с помощью различных учетных записей пользователей в пробной подписке.You are now ready to create documents in these four sites and test access to them with various user accounts in your trial subscription.

Здесь приведена общая конфигурация для всех четырех сайтов групп SharePoint Online.Here is the overall configuration for all four SharePoint Online team sites.

Все четыре сайта группы в безопасной среде разработки и тестирования SharePoint Online.

Следующее действиеNext step

Когда вы будете готовы к выполнению рабочего развертывания безопасных сайтов SharePoint Online, прочтите статью Secure SharePoint Online sites and files (Защита сайтов и файлов SharePoint Online), содержащую подробные сведения и ссылки на статьи с пошаговыми руководствами.When you are ready for production deployment of secure SharePoint Online sites, see Secure SharePoint Online sites and files for detailed information and links to step-by-step deployment articles.

См. такжеSee Also

Безопасность сайтов и файлов SharePoint OnlineSecure SharePoint Online sites and files

Решения для обеспечения безопасностиSecurity solutions

Освоение облака и гибридные решенияCloud adoption and hybrid solutions

Руководство по безопасности (Майкрософт) для политических кампаний, некоммерческих и других динамических организацийMicrosoft Security Guidance for Political Campaigns, Nonprofits, and Other Agile Organizations