配置具有高度敏感数据保护的团队

信息图标本文中的某些功能需要Microsoft Syntex - SharePoint 高级管理

在本文中,我们将了解如何针对高度敏感级别的保护设置团队。 在执行本文中的步骤之前,请确保已完成部署具有基线保护的团队中的步骤。

对于这一层级的保护,我们创建了敏感度标签,可在组织中使用此敏感度标签来处理高度敏感的团队和文件。

高度敏感级别提供了以下超出基线层级的额外保护:

  • 团队的敏感度标签,允许打开或关闭来宾共享,并强制实施条件访问策略以访问 SharePoint 网站。
  • 标签还用作文件的默认标签,并加密应用标签的文件。 只有组织成员和指定来宾才能解密使用此标签的文件。
  • 只有团队所有者可以创建专用频道。
  • 网站访问权限仅限于团队成员。

视频演示

观看此视频,演练本文中介绍的过程。

来宾共享

根据业务性质,你可能希望也可能不希望为包含高度敏感数据的团队启用来宾共享。 如果确实计划与团队中的组织外部人员进行协作,则建议启用来宾共享。 Microsoft 365 包括许多安全性和合规性功能,可帮助你安全地共享敏感内容。 这通常比直接通过电子邮件向组织外部的人员发送内容更安全。

有关与来宾安全共享的详细信息,请参阅以下资源:

为了允许或阻止来宾共享,我们使用敏感度标签中提供的控件。

身份验证上下文

我们使用Microsoft Entra身份验证上下文在用户访问 SharePoint 网站时强制实施更严格的访问条件。

首先,在Microsoft Entra ID 中添加身份验证上下文。

添加身份验证上下文

  1. “Microsoft Entra条件访问”中的“管理”下,选择“身份验证上下文”。

  2. 选择“ 新建身份验证上下文”。

  3. 键入名称和说明,然后选择“发布到应用检查”框。

    添加身份验证上下文 UI 的屏幕截图。

  4. 选择“保存”。

接下来,创建一个条件访问策略,该策略适用于该身份验证上下文,并要求来宾在访问 SharePoint 时使用多重身份验证。

创建条件访问策略

  1. “Microsoft Entra条件访问”中,选择“创建新策略”。

  2. 键入策略的名称。

  3. 在“用户”选项卡上,选择“选择用户和组”选项,然后选择“来宾或外部用户检查”框。

  4. 从下拉列表中选择 B2B 协作来宾用户

  5. 在“目标资源”选项卡上的“选择此策略应用于的内容”下,选择“身份验证上下文”,然后选择所创建的身份验证上下文的“检查”框。

    云应用中的身份验证上下文选项或条件访问策略的操作设置的屏幕截图。

  6. 在“ 授予 ”选项卡上,选择“ 需要多重身份验证”,然后选择“ 选择”。

  7. 选择是否要启用策略,然后选择“ 创建”。

我们将指向敏感度标签中的身份验证上下文。

敏感度标签

对于高度敏感的保护级别,我们使用敏感度标签对团队进行分类。 我们还使用此标签对团队中的单个文件进行分类和加密。 (它还可用于其他文件位置(如 SharePoint 或 OneDrive.) )

首先,必须为 Teams 启用敏感度标签。 有关详细信息,请参阅使用敏感度标签保护 Microsoft Teams、Microsoft 365 组和 SharePoint 网站中的内容

如果已在组织中部署了敏感度标签,请考虑此标签与总体标签策略的匹配情况。 可根据需要更改名称或设置以满足组织的需求。

为 Teams 启用灵敏度标签后,下一步是创建标签。

创建敏感度标签

  1. 打开 Microsoft Purview 合规性门户
  2. “解决方案”下,展开 “信息保护”。
  3. 选择“创建标签”。
  4. 为标签命名。 建议使用“高度敏感”,但如果该名称已在使用,则可以选择其他名称。
  5. 添加显示名称和说明,然后选择“ 下一步”。
  6. “定义此标签的范围”页上,选择“ 项目文件电子邮件组 & 网站”。 清除“会议检查”框。
  7. 选择“下一步”。
  8. “为文件和电子邮件选择保护设置 ”页上,选择“ 应用或删除加密”,然后选择“ 下一步”。
  9. 在“加密页面中”页面中,选择“配置加密设置”。
  10. “向特定用户和组分配权限”下,选择“ 分配权限”。
  11. 选择 “添加组织中的所有用户和组”。
  12. 如果有来宾应有权解密文件,请选择 “添加用户或组 ”并添加它们。
  13. 选择“保存”,然后选择“下一步”。
  14. “文件和电子邮件的自动标记 ”页上,选择“ 下一步”。
  15. “定义组和网站的保护设置 ”页上,选择“ 隐私和外部用户访问 ”和“ 外部共享和条件访问 ”,然后选择“ 下一步”。
  16. 在“定义隐私和外部用户权限设置”页面中,选择“隐私”下的“私人”选项。
  17. 如果你想允许来宾访问,选择“外部用户权限”下的“让 Microsoft 365 组所有者添加组织外的人员为来宾”。
  18. 选择“下一步”。
  19. “定义外部共享和条件访问设置 ”页上,选择“ 控制已标记 SharePoint 网站的外部共享”。
  20. 如果当前允许来宾访问,在“无法共享的内容”下选择“新的和当前来宾”;如果不允许,则选择“仅组织中的人员”。
  21. 选择“使用Microsoft Entra条件访问”来保护标记的 SharePoint 网站
  22. 选择“ 选择现有身份验证上下文 ”选项,然后从下拉列表中选择创建的身份验证上下文。
  23. 选择“下一步”。
  24. “架构化数据资产的自动标记 ”页上,选择“ 下一步”。
  25. 选择“ 创建标签”,然后选择“ 完成”。

创建标签后,需要将其发布到使用它的用户。 为了进行敏感保护,我们向所有用户提供标签。 在“信息保护”下的“标签策略”页上的“Microsoft Purview 合规门户中发布标签。 如果你拥有适用于所有用户的现有策略,请将此标签添加到该策略。 如果需要创建新策略,请参阅通过创建标签策略来发布灵敏度标签

Teams 设置

高度敏感方案的进一步配置是在团队本身以及与团队关联的 SharePoint 网站中完成的,因此下一步是创建团队。

我们将在 Teams 管理中心创建团队。

创建高度敏感信息团队

  1. 在 Teams 管理中心中,展开 “Teams ”,然后选择“ 管理团队”。
  2. 选择“添加”。
  3. 键入团队的名称和说明。
  4. 为团队添加一个或多个所有者。 (将自己保留为所有者,以便你可以 为下面的文件选择默认敏感度标签 。)
  5. 从“敏感度”下拉列表中选择为高度敏感信息创建的 敏感度 标签。
  6. 选择“应用”。

专用频道设置

在此层级,仅限团队所有者创建专用频道。

限制专用频道创建

  1. 在 Teams 管理中心,选择你创建的团队,然后选择 “编辑”。
  2. 展开 “邮件权限”。
  3. “添加和编辑专用频道” 设置为 “关闭”。
  4. 选择“应用”。

共享频道设置

共享频道 没有团队级别的设置。 在 Teams 管理中心Microsoft Entra管理中心配置的共享频道设置适用于单个用户。

SharePoint 设置

每次使用高度敏感标签创建新团队时,都需要在 SharePoint 中执行两步操作:

  • 仅限团队成员访问网站
  • 为连接到团队的文档库选择默认敏感度标签。

默认敏感度标签必须在网站本身中配置,不能从 SharePoint 管理中心或通过 PowerShell 进行设置。

限制对工作组成员的网站访问

每次创建具有高度敏感标签的新团队时,都需要在关联的 SharePoint 网站上启用网站访问限制。 这可以防止团队外部的人员访问网站或其内容。 (这需要Microsoft Syntex - SharePoint 高级管理许可证。)

如果以前未使用过站点访问限制,则需要为组织启用它。

  1. 在 SharePoint 管理中心中,展开“策略”,然后选择“访问控制”。
  2. 选择“ 站点访问限制”。
  3. 选择“允许访问限制”,然后选择“保存

此操作可能需要长达一小时才能生效。

为站点启用站点访问限制

  1. 在 SharePoint 管理中心中,展开 “网站” ,然后选择“ 活动网站”。
  2. 选择要管理的网站。
  3. “设置”选项卡上,选择“受限网站访问”部分中的“编辑”。
  4. 选择“ 限制对此网站的访问 ”框,然后选择“ 保存”。

为文件选择默认敏感度标签

我们将使用创建的敏感度标签作为连接到 Teams 的网站文档库的默认敏感度标签。 这会自动将高度敏感的标签应用于上传到库的任何新标签兼容文件,并对其进行加密。 (这需要Microsoft Syntex - SharePoint 高级管理许可证。)

你需要是团队所有者才能执行此任务。

设置文档库的默认敏感度标签

  1. 在 Teams 中,导航到要更新的团队的 “常规” 频道。

  2. 在团队的工具栏中,选择“ 文件”。

  3. 选择“ 在 SharePoint 中打开”。

  4. 在 SharePoint 网站中,打开 “设置” ,然后选择“ 库设置”。

  5. 从“ 库设置” 浮出控件窗格中,选择“ 默认敏感度标签”,然后从下拉框中选择高度敏感的标签。

有关默认库标签工作原理的更多详细信息,请参阅 为 SharePoint 文档库配置默认敏感度标签向 SharePoint 文档库添加敏感度标签

另请参阅

创建和配置敏感度标签及其策略