Skydda information som omfattas av datasekretess
Ett antal kontroller för informationsskydd kan användas i din prenumeration för att tillgodose behov och bestämmelser gällande datasekretess. Dessa omfattar Allmän dataskyddsförordning (GDPR), HIPAA-HITECH (United States Health Care Privacy Act), California Consumer Protection Act (CCPA) och Brazil Data Protection Act (LGPD).
Dessa kontroller finns inom följande lösningsområden:
- Känslighetsetiketter
- Skydd mot dataförlust (DLP)
- Meddelandekryptering i Office (OME)
- Teams och åtkomstkontroller för webbplatser

Anteckning
Den här lösningen beskriver säkerhets- och efterlevnadsfunktioner för att skydda information som omfattas av bestämmelser om datasekretess. En fullständig lista över säkerhetsfunktioner i Microsoft 365 finns Microsoft 365 säkerhetsdokumentation. En fullständig lista över efterlevnadsfunktioner i Microsoft 365 finns Microsoft 365 kompatibilitetsdokumentation.
Bestämmelser om datasekretess som påverkar informationsskyddskontrollerna
Här är en exempellista över bestämmelser om datasekretess som kan gälla informationsskyddskontroller:
- GDPR, artikel 5(1)(f))
- GDPR-artikel (32)(1)(a)
- LGPD, artikel 46
- HIPAA-HITECH (45 CFR 164.312(e)(1))
- HIPAA-HITECH (45 C.F.R. 164.312(e)(2)(ii))
Mer information om dessa finns i bedöma risker för datasekretess och identifiera känsliga objekt.
Bestämmelser om datasekretess för informationsskydd rekommenderas:
- Skydd mot förlust eller obehörig åtkomst, användning och/eller överföring.
- Riskbaserad tillämpning av skyddsmekanismer.
- Användning av kryptering där det är lämpligt.
Din organisation kan också vilja skydda innehåll Microsoft 365 andra syften, till exempel för andra efterlevnadsbehov eller av företagsskäl. Etablering av ditt informationsskyddssystem för datasekretess bör göras som en del av den övergripande planeringen, implementeringen och hanteringen av informationsskydd.
För att hjälpa dig att komma igång med ett informationsskyddsschema i Microsoft 365 innehåller följande avsnitt en kort lista över relaterade funktioner och förbättringsåtgärder för Microsoft 365. Listan innehåller funktioner och förbättringsåtgärder som är tillämpliga i datasekretessbestämmelser. Listan innehåller emellertid inte äldre tekniker om det finns en nyare funktion som till stor del ersätter den äldre. Information Rights Management (IRM) för SharePoint och OneDrive inte ingår i listan men känslighetsetiketter ingår.
Hantera informationsskydd i Microsoft 365
Microsofts informationsskyddslösningar omfattar ett antal integrerade funktioner i Microsoft 365, Microsoft Azure och Microsoft Windows. I Microsoft 365 omfattar informationsskyddslösningar:
- Typer av känslig information (beskrivs i utvärdera datasekretessrisker och identifiera känsliga objekt
- Känslighetsetiketter
- Service/container-nivå
- Klient/innehållsnivå
- Automatiserat för data i vila i SharePoint och OneDrive
- Skydd mot dataförlust (DLP)
- Microsoft 365 Skydd mot dataförlust i Slutpunkt
- Meddelandekryptering i Office 365 nya funktioner (OME) och AVANCERAD meddelandekryptering i OME
Dessutom är skydd på webbplats- och biblioteksnivå viktiga mekanismer som ska ingå i alla skyddsscheman.
Information om andra funktioner för informationsskydd utanför Microsoft 365 finns i:
- Microsoft Defender for Cloud Apps
- Azure Information Protection
- Microsoft Endpoint Manager
- Windows Information Protection
Känslighetsetiketter
Känslighetsetiketter från Microsoft Information Protection-ramverket gör att du kan klassificera och skydda organisationens data utan att hindra användarnas produktivitet och deras förmåga att samarbeta.

Förutsättningar för känslighetsetiketter
Utför de här aktiviteterna innan du implementerar någon av de känslighetsetikettsbaserade funktionerna som är markerade nedan:
Förstå följande:
- Affärskrav. Upprätta affärsorsakerna för att använda känslighetsetiketter i ditt företag. Till exempel dina datasekretesskrav för informationsskydd.
- Funktioner för känslighetsetikett. Känslighetsetiketter kan bli komplexa, så läs dokumentationen för känslighetsetiketter innan du börjar.
- Viktiga saker att komma ihåg Känslighetsetiketter hanteras i administrationscentret för Microsofts efterlevnad, men alternativen för mål och program varierar avsevärt.
- Det finns känslighetsetiketter för webbplatser, grupper och Teams på behållarnivån (inställningarna gäller inte för innehåll i behållaren). Dessa publiceras för användare och grupper som använder dem när en webbplats, grupp eller team etableras.
- Det finns känslighetsetiketter för aktivt innehåll. Dessa publiceras även för användare eller grupper, som antingen tillämpar dem manuellt eller så används de automatiskt när:
- Filen öppnas/redigeras/sparas, antingen på användarens skrivbord eller på en SharePoint webbplats.
- Ett e-postmeddelande utkast och skickas.
- Det finns känslighetsetiketter för automatisk tillämpning till filer i vila i SharePoint och OneDrive utöver e-postmeddelanden som överförs via Exchange. De är avsedda för antingen alla webbplatser eller specifika och gäller automatiskt för filerna som finns vi i dessa miljöer.
Rationalisera aktuell känslighet med tidigare eller alternativa metoder
Azure Information Protection
Det aktuella känslighetsetikettsschemat kan behöva förenas med eventuell befintlig Azure Information Protection-märkningsimplementering.
OME
Om du planerar att använda moderna känslighetsetiketter för e-postskydd och befintliga metoder för e-postkryptering som OME finns kan de finnas tillsammans, men du bör förstå scenarier som antingen ska användas. Se Meddelandekryptering i Office 365 nya funktioner (OME),som innehåller en tabell som jämför skydd av modern känslighetsetikett med OME-baserat skydd.
Planera för integration i ett bredare informationsskyddsschema. Utöver samexistens med OME kan känslighetsetiketter användas längs med sidan funktioner som Microsoft 365 skydd mot dataförlust (DLP) och Microsoft Defender för molnappar. Läs Microsoft Information Protection i Microsoft 365 för att uppnå sekretessrelaterade informationsskyddsmål.
Utveckla en känslighetsetikettklassificering och ett kontrollschema. Se Taxonomi för dataklassificering och känslighetsetikett.
Allmän vägledning
Schemadefinition. Innan du använder tekniska funktioner för att tillämpa etiketter och skydd bör du arbeta i hela organisationen för att definiera ett klassificeringsschema. Du kanske redan har ett klassificeringsschema, vilket gör det enklare att lägga till personliga data.
Komma igång. Börja med att bestämma antalet och namnen på etiketterna som ska implementeras. Gör den här aktiviteten utan att bekymra dig om vilken teknik som ska användas och hur etiketter används. Använd det här schemat globalt i hela organisationen, inklusive data som finns lokalt och i andra molntjänster.
Ytterligare rekommendationer När du utformar och implementerar principer, etiketter och villkor bör du överväga att följa de här rekommendationerna:
- Använd befintligt klassificeringsschema (om det finns något). Många organisationer använder redan dataklassificering i någon form. Utvärdera noga det befintliga etikettschemat och använd om möjligt det som det är. Användning av välbekanta etiketter som känns igen för slutanvändarna kommer att öka införandet.
- Börja liten. Det finns praktiskt taget ingen gräns för antalet etiketter du kan skapa. Införande av stora mängder etiketter och underetiketter kan emellertid ta lång tid.
- Använd scenarier och användningsfall. Identifiera vanliga användningsfall inom organisationen och använd scenarier som härleds från de datasekretessföreskrifter som du är ämne för. Kontrollera att konfigurationen av denvisionerade etiketten och klassificeringen fungerar i praktiken.
- Fråga alla förfrågningar om en ny etikett. Behöver varje scenario eller användningsfall en ny etikett eller kan du använda det du redan har? Om du behåller så få etiketter som möjligt blir det bättre att använda dem.
- Använd underetiketter för huvudavdelningar. Vissa avdelningar kommer att ha särskilda behov som kräver särskilda etiketter. Definiera de här etiketterna som underetiketter för en befintlig etikett och överväg att använda omfattningsprinciper som är tilldelade till användargrupper istället för globalt.
- Överväg principer med begränsad omfattning. Principer som riktar sig till delmängder av användare förhindrar att etiketter överbelastas. Med en begränsad princip kan du tilldela roll- eller avdelningsspecifika etiketter eller underetiketter till bara anställda som arbetar för den specifika avdelningen.
- Använd beskrivande etikettnamn. Försök att inte använda jargong, standarder eller förkortningar som etikettnamn. Försök att använda namn som får användaren att använda nya namn för att förbättra införandet. I stället för att använda etiketter som PII, HIPAA, LBI, MBI och HBI bör du överväga namn som Non-Business, Public, General, Confidential och Highly Confidential.
Skapa och distribuera känslighetsetiketter för webbplatser, grupper och team
När du skapar känslighetsetiketter i Microsoft 365 Efterlevnadscenterkan du nu använda dem på följande behållare:
- Microsoft Teams webbplatser
- Microsoft 365 grupper (tidigare Office 365 grupper)
- SharePoint webbplatser
Använd följande etikettinställningar för att skydda innehållet i de här behållarna:
- Sekretess (offentlig eller privat) Microsoft 365 gruppanslutna Teams webbplatser
- Åtkomst för externa användare
- Åtkomst från ohanterade enheter
För datasekretess: För att förhindra extern delning för behållare som ska användas för lagring av innehåll med känsliga personuppgifter markerar du filer som innehåller data som privata och kräver hanterade enheter.
Skapa och distribuera känslighetsetiketter för innehåll
Med känslighetsetiketter för filer kan du kryptera innehåll, vattenstämpla innehållet och definiera andra kontroller för innehåll i Office-program, till exempel Outlook och Office på webben.
När du är redo att börja skydda organisationens data med känslighetsetiketter:
- Skapa etiketterna. Skapa och namnge känslighetsetiketterna enligt organisationens klassificeringstaxonomi för olika känslighetsnivåer i innehållet. Mer information om hur du utvecklar en klassificerings taxonomi finns i informationsbladet Taxonomi för dataklassificering och känslighetsetikett.
- Definiera vad varje etikett kan göra. Konfigurera de skyddsinställningar du vill koppla till varje etikett. Du kanske till exempel vill att innehåll med lägre känslighet (t.ex. en Allmänt-etikett) bara ska ha ett sidhuvud eller en sidfot, medan innehåll med högre känslighet (t.ex. en "Konfidentiellt"-etikett) ska ha en vattenstämpel och ha kryptering aktiverad.
- Publicera etiketterna. När du har konfigurerat känsliga etiketter kan du publicera dem med hjälp av en etikett policy. Bestäm vilka användare och grupper som ska ha etiketterna och vilka principinställningar som ska användas. En enstaka etikett kan återanvändas. Du definierar det en gång och sedan kan du inkludera det i flera etikettprinciper som tilldelats olika användare.
När du publicerar känslighetsetiketter från Microsoft 365 Efterlevnadscenterbörjar de visas i Office-appar för att klassificera och skydda innehåll när det skapas eller redigeras.

För datasekretess kan du manuellt tillämpa en känslighetsetikett med kryptering och andra regler för e-post eller innehåll som innehåller känslig personlig information.
Anteckning
Känslighetsetiketter med aktiverad kryptering för e-post har en del överlappande funktioner med OME. Se Jämförelse av säkra e-postscenarier med OME och känslighetsetiketter.
Automatisk etikett på klientsidan när användare redigerar dokument eller skriver e-postmeddelanden
När du skapar en känslighetsetikett kan du automatiskt tilldela etiketten till innehåll, inklusive e-post när den matchar villkor som du anger.
Möjligheten att använda känslighetsetiketter på innehåll automatiskt är viktigt eftersom:
- Du behöver inte träna dina användare när de använder var och en av dina klassificeringar.
- Du behöver inte förlita dig på att användare ska klassificera allt innehåll på rätt sätt.
- Användarna behöver inte längre veta om dina principer – de kan istället fokusera på sitt arbete.
Automatisk märkning stöder rekommendation av en etikett för användarna samt att automatiskt använda en etikett. I båda fallen bestämmer användaren om du vill acceptera eller avvisa etiketten för att säkerställa rätt etikettering av innehållet.
På den här sidan i klienten finns det minimalt med dokument. det innebär att du inte kan använda etiketter. Det är dock inga klient program som har stöd för automatisk etikettering. Den här funktionen stöds av Den enhetliga etikettklienten för Azure Information Protection och vissa versioner av Office program.
Konfigurationsinstruktioner finns i Konfigurera automatisk etikettering för Office appar.
För datasekretess tillämpar du automatiskt känslighetsetiketter för innehåll som innehåller känslig personlig information.
Automatisk etikett på tjänstsidan när innehåll redan har sparats
Den här metoden kallas för automatisk klassificering med känslighetsetiketter. Du kan också höra det som kallas automatisk märkning för data i vila (för dokument i SharePoint och OneDrive) och data som överförs (för e-post som skickas eller tas emot av Exchange). Till Exchange inkluderas inte e-postmeddelanden i postlådor i vila.
Eftersom den här etiketten används av själva tjänsten i stället för av användarprogram behöver du inte oroa dig för vilka appar användarna har och vilken version. Därför är den här funktionen omedelbart tillgänglig i hela organisationen och lämpar sig för etikettering vid skalan. Automatiskt märkta principer har inte stöd för Rekommenderad etikett eftersom användaren inte interagerar med namngivnings processen. I stället körs principerna i simuleringsläge för att säkerställa rätt etikettering av innehållet innan etiketten tillämpas.
Konfigurationsinstruktioner finns i Konfigurera principer för automatisk märkning för SharePoint, OneDrive och Exchange.
För datasekretess på webbplatser som är av intresse kan du trycka på känslighetsetiketter för automatisk kryptering av innehåll som innehåller känslig personlig information.
Skydd mot dataförlust
Du kan använda skydd mot dataförlust i Microsoft 365 för att upptäcka, varna och blockera riskabel, oavsiktlig eller olämplig delning, t.ex. delning av data som innehåller personlig information, både internt och externt.
Med DLP kan du:
- Identifiera och övervaka riskfyllda delningsaktiviteter.
- Utbilda användare med sammanhangsbaserade vägledning för att fatta rätt beslut.
- Tillämpa dataanvändningsprinciper på innehåll utan att hindra produktiviteten.
- Integrera med klassificering och märkning för att identifiera och skydda data när de delas.
Arbetsbelastningar som stöds för DLP
Med en DLP-princip i Microsoft 365 Efterlevnadscenterkan du identifiera, övervaka och automatiskt skydda känsliga objekt på många platser i Microsoft 365, till exempel Exchange Online, SharePoint, OneDrive och Microsoft Teams.
Du kan till exempel identifiera alla dokument som innehåller kreditkortsnummer som lagras på alla OneDrive-webbplatser eller så kan du övervaka OneDrive specifika personers webbplatser.
Du kan också övervaka och skydda känsliga objekt i lokalt installerade versioner av Excel, PowerPoint och Word, vilket omfattar möjligheten att identifiera känsliga objekt och tillämpa DLP-principer. DLP ger kontinuerlig övervakning när personer delar innehåll från dessa Office program.

I den här bilden visas ett exempel på hur DLP skyddar personliga data.

DLP används för att identifiera ett dokument eller e-postmeddelande som innehåller en hälsopost och blockerar sedan automatiskt åtkomsten till dokumentet eller blockerar e-post från att skickas. DLP skickar sedan ett principtips till mottagaren och skickar en avisering till slutanvändaren och administratören.
Planering för DLP
Planera DLP-principerna för:
Dina affärskrav.
En riskbaserad bedömning av organisationen enligt beskrivningen i utvärdera datasekretessrisker och identifiera känsliga objekt.
Andra mekanismer för informationsskydd och styrning på plats eller vid planering av datasekretess.
De typer av känslig information som du har identifierat för personuppgifter baserat på ditt utvärderingsarbete enligt beskrivningen i utvärdera datasekretessrisker och identifiera känsliga objekt. Villkoren för DLP-principen kan baseras på både känslig information och bevarandeetiketter.
De bevarandeetiketter du måste ange DLP-villkor för. Mer information finns i den reglerad information som omfattas av sekretessförordningen för data i din organisation.
Löpande hantering av DLP-principer, vilket kräver att någon i organisationen sköter och finjusterar principer för ändringar i typer av känslig information, bevarandeetiketter, föreskrifter och efterlevnadsprinciper.
Även om känslighetsetiketter inte kan användas i DLP-principvillkor kan vissa skyddsscenarier för att förhindra åtkomst vara uppnåbara med bara känslighetsetiketter som kan tillämpas automatiskt baserat på typer av känslig information. Om det finns robust känslighetsetiketter bör du överväga om DLP ska användas för att förstärka skyddet eftersom:
DLP kan förhindra delning av filer. Känslighetsetiketter kan bara förhindra åtkomst.
DLP har mer detaljerad kontrollnivå när det gäller regler, villkor och åtgärder.
DLP-principer kan tillämpas på Teams chatt- och kanalmeddelanden. Känslighetsetiketter kan endast tillämpas på dokument och e-post.
DLP-principer
DLP-principer konfigureras i administrationscentret för Microsoft-efterlevnad och anger skyddsnivån, vilken typ av känslig information som principen letar efter och målarbetsbelastningen. Deras grundläggande komponenter består av att identifiera skyddet och typerna av data.

Här är ett exempel på en DLP-policy för information om GDPR.

I den här artikeln finns mer information om hur du skapar och tillämpar DLP-principer.
Skyddsnivåer för datasekretess
I följande tabell finns tre konfigurationer av ökande skydd med DLP.

Den första konfigurationen, information, kan användas som en utgångspunkt för och en lägsta skyddsnivå för att uppfylla efterlevnadskrav för dataskyddsföreskrifter.
Anteckning
I och med att skyddsnivån ökar kommer möjligheten för användare att dela och få åtkomst till information att minska i vissa fall och potentiellt påverka deras produktivitet och möjligheten att slutföra dagliga uppgifter.
För att hjälpa dina anställda att fortsätta vara produktiva i en säkrare miljö när de ökar skyddsnivåerna, bör du ta dig tid att utbilda dem om nya säkerhetsprinciper och -procedurer.
Exempel på användning av känslighetsetiketter med DLP
Känslighetsetiketter kan fungera tillsammans med DLP för att tillhandahålla datasekretess i en miljö med hög sekretess. Det här är huvudstegen i den integrerade distributionen:
- Föreskrifter och andra affärskrav för datasekretess har dokumenterats.
- Måldatakällor, typer och ägarskap karaktäriseras i förhållande till datasekretessproblem.
- En övergripande strategi för att uppfylla kraven och skydda och styra surfpunkter för datasekretess upprättas.
- En fasad handlingsplan för att hantera sekretesskontrollstrategin för data finns på plats.
När de här elementen har fastställts kan du använda känsliga informationstyper, känslighetsetiketter för taxonomi och DLP-principer tillsammans. I den här bilden visas ett exempel.

Visa en större version av den här bilden
Här är några scenarier för dataskydd som använder DLP och känslighetsetiketter tillsammans enligt bilden.
| Scenario | Process |
|---|---|
| A |
|
| B | DLP-princip som publicerats av en administratör till Användare A blockerar användare A från att skicka e-post och/eller filen till användare B. |
| C | Känslighetsetikett med inställningen "ägaren kan inte bjuda in gäster" publiceras till användare A, som upprättar en Teams-grupp eller SharePoint webbplats. En annan användare på webbplatsen försöker dela en fil med användare B, men DLP blockerar den. |
| D | Känslighetsetikett för automatiskt program till webbplatsinnehåll publiceras på en eller flera webbplatser, vilket ger ytterligare ett skyddslager, vilket resulterar i en skyddad webbplats. |
Meddelandekryptering i Office 365 nya funktioner (OME)
Personer använder ofta e-post för att utbyta känsliga objekt, till exempel patientinformation eller kund- och personalinformation. Kryptering av e-postmeddelanden säkerställer att endast tilltänkta mottagare kan visa meddelandeinnehållet.
Med OMEkan du skicka och ta emot krypterade meddelanden mellan personer inom och utanför organisationen. OME fungerar med Outlook.com, Yahoo!, Gmail och andra e-posttjänster. OME ser till att endast tilltänkta mottagare kan visa meddelandeinnehållet.
För datasekretess använder du OME för att skydda interna meddelanden som innehåller känsliga objekt. Meddelandekryptering i Office 365 är en onlinetjänst som bygger på Microsoft Azure Rights Management (Azure RMS) som ingår i Azure Information Protection. Det inkluderar principer för kryptering, identitet och auktorisering för att skydda din e-post. Du kan kryptera meddelanden med hjälp av rättighetshanteringsmallar, alternativet Vidarebefordra inte och alternativet för endast kryptering.
Du kan också definiera e-postflödesregler för att tillämpa det här skyddet. Du kan till exempel skapa en regel som kräver kryptering av alla meddelanden som är adresserade till en viss mottagare, eller som innehåller specifika nyckelord ord i ämnesraden, och även ange att mottagare inte kan kopiera eller skriva ut innehållet i meddelandet.
Dessutom hjälper OME avancerad meddelandekryptering dig att uppfylla efterlevnadsskyldigheter som kräver mer flexibel kontroll över externa mottagare och deras åtkomst till krypterade e-postmeddelanden. Med OME avancerad meddelandekryptering i Microsoft 365 kan du styra känsliga e-postmeddelanden som delas utanför organisationen med automatiska principer som identifierar typer av känslig information.
Om du vill dela e-post med en extern part kan du ange ett utgångsdatum och återkalla meddelanden om du vill ha datasekretess. Du kan bara återkalla och ange ett utgångsdatum för meddelanden som skickas till externa mottagare.
Jämförelse av säkra e-postscenarier med OME och känslighetsetiketter
OME-etiketter och känslighetsetiketter som används för e-post med kryptering har en del överlappning, så det är viktigt att förstå vilka scenarier som antingen kan gälla för, som visas i den här tabellen.
| Scenario | Känslighetsetiketter | OME |
|---|---|---|
| Internal + partners Kommunicera och samarbeta säkert mellan interna användare och betrodda partner |
Rekommendera – etiketter med helt anpassad klassificering och skydd | Ja – kryptera endast eller vidarebefordra inte skydd utan klassificering |
| Externa parter Kommunicera och samarbeta säkert med externa/konsumentanvändare |
Ja – fördefiniera mottagare i etiketten | Rekommendera – precis i tid-skydd baserat på mottagare |
| Interna + partners, med utgångs-/återkallelse Kontrollera åtkomsten till e-post och innehåll med interna användare och betrodda partner med utgångs- och återkallelse |
Rekommendera – fullständigt anpassat skydd med åtkomstlängd och användaren kan manuellt spåra och återkalla filer | Nej – ingen återkallelse eller utgång för intern e-post |
| Externa parter med utgång/återkallelse Kontrollera åtkomsten till e-post och innehåll med externa/konsumentanvändare med utgångsdatum och återkallelse |
Ja – användaren kan spåra filer manuellt | Rekommendera (E5) – administratören kan återkalla e-post från & Säkerhets- och efterlevnadscenter |
| Automatisk märkning Organisationen vill automatiskt skydda e-post/bilagor med specifikt känsligt innehåll och/eller specifika mottagare |
Recommend (E5) – Automatisk märkning i Exchange och Outlook klienter, utförstärker e-postflödesregler och DLP-princip | Ja – e-postflödesregler och DLP-princip med endast Kryptera eller Vidarebefordra inte-skydd |
Det kommer också att finnas skillnader mellan de här två metoderna för slutanvändare och administratörer.
Teams skydd för mycket känsliga data
Organisationer som planerar att lagra personliga data som omfattas av sekretessregler i Teams finns i Konfigurera ett teammed säkerhetsisolering , med detaljerade anvisningar och konfigurationssteg för:
- Identitets- och enhetsåtkomst
- Skapa ett privat team
- Nedlåst behörighet för underliggande gruppwebbplatser
- En gruppbaserad känslighetsetikett med kryptering