配置具有敏感数据保护的团队

  • 项目

信息图标本文中的某些功能需要Microsoft Syntex - SharePoint 高级管理

在本文中,我们将了解如何针对敏感级别的保护设置团队。 在执行本文中的步骤之前,请确保已完成部署具有基线保护的团队中的步骤。 敏感级别提供了以下超出基线层级的额外保护:

  • 团队的敏感度标签,可用于打开或关闭来宾共享,并仅允许未托管设备通过 Web 访问 SharePoint 内容。 此标签也用作文件的默认标签。
  • 限制性更强的默认共享链接类型
  • 只有团队所有者可以创建专用频道。

视频演示

观看此视频,演练本文中介绍的过程。

来宾共享

根据业务性质,你可能希望也可能不希望为包含敏感数据的团队启用来宾共享。 如果确实计划与团队中的组织外部人员进行协作,则建议启用来宾共享。 Microsoft 365 包括许多安全性和合规性功能,可帮助你安全地共享敏感内容。 这通常比直接通过电子邮件向组织外部的人员发送内容更安全。

有关与来宾安全共享的详细信息,请参阅以下资源:

为允许或阻止来宾共享,我们将团队的敏感度标签与关联 SharePoint 网站的网站级别共享控件结合使用,这两者将在后面讨论。

敏感度标签

对于敏感级别的保护,我们使用敏感度标签对团队进行分类。 我们还使用此标签对团队中的单个文件进行分类。 (它还可用于其他文件位置(如 SharePoint 或 OneDrive.) )

首先,必须为 Teams 启用敏感度标签。 有关详细信息,请参阅使用敏感度标签保护 Microsoft Teams、Microsoft 365 组和 SharePoint 网站中的内容

如果已在组织中部署了敏感度标签,请考虑此标签与总体标签策略的匹配情况。 可根据需要更改名称或设置以满足组织的需求。

为 Teams 启用灵敏度标签后,下一步是创建标签。

创建敏感度标签

  1. 打开 Microsoft Purview 合规性门户
  2. “解决方案”下,展开 “信息保护”。
  3. 选择“创建标签”。
  4. 为标签命名。 建议使用“敏感”,但如果该名称已在使用,则可以选择其他名称。
  5. 添加显示名称和说明,然后选择“ 下一步”。
  6. “定义此标签的范围”页上,选择“ 项目文件电子邮件组 & 网站”。 清除“会议检查”框。
  7. 选择“下一步”。
  8. “为已标记的项目选择保护设置” 页上,选择“ 下一步”。
  9. “文件和电子邮件的自动标记 ”页上,选择“ 下一步”。
  10. “定义组和网站的保护设置 ”页上,选择“ 隐私和外部用户访问 ”和“ 外部共享和条件访问 ”,然后选择“ 下一步”。
  11. 在“定义隐私和外部用户权限设置”页面中,选择“隐私”下的“私人”选项。
  12. 如果你想允许来宾访问,选择“外部用户权限”下的“让 Microsoft 365 组所有者添加组织外的人员为来宾”。
  13. 选择“下一步”。
  14. “定义外部共享和条件访问设置 ”页上,选择“ 控制已标记 SharePoint 网站的外部共享”。
  15. 如果当前允许来宾访问,在“无法共享的内容”下选择“新的和当前来宾”;如果不允许,则选择“仅组织中的人员”。
  16. 选择“使用Microsoft Entra条件访问”来保护标记的 SharePoint 网站
  17. 选择“ 确定用户是否可以从非托管设备访问 SharePoint 网站 ”选项,然后选择 “允许受限的仅限 Web 的访问”。
  18. 选择“下一步”。
  19. “架构化数据资产的自动标记 ”页上,选择“ 下一步”。
  20. 选择“ 创建标签”,然后选择“ 完成”。

创建标签后,需要将其发布到使用它的用户。 为了进行敏感保护,我们向所有用户提供标签。 在“信息保护”下的“标签策略”页上的“Microsoft Purview 合规门户中发布标签。 如果你拥有适用于所有用户的现有策略,请将此标签添加到该策略。 如果需要创建新策略,请参阅通过创建标签策略来发布灵敏度标签

Teams 设置

敏感方案的进一步配置是在团队本身以及与团队关联的 SharePoint 网站中完成的,因此下一步是创建团队。

我们将在 Teams 管理中心创建团队。

创建机密信息团队

  1. 在 Teams 管理中心中,展开 “Teams ”,然后选择“ 管理团队”。
  2. 选择“添加”。
  3. 键入团队的名称和说明。
  4. 为团队添加一个或多个所有者。 (将自己保留为所有者,以便你可以 为文件选择默认敏感度标签 ,并在下方设置 网站共享设置 。)
  5. 从“敏感度”下拉列表中选择为敏感信息创建的 敏感度 标签。
  6. 选择“应用”。

专用频道设置

在此层级,仅限团队所有者创建专用频道。

限制专用频道创建

  1. 在 Teams 管理中心,选择你创建的团队,然后选择 “编辑”。
  2. 展开 “邮件权限”。
  3. “添加和编辑专用频道” 设置为 “关闭”。
  4. 选择“应用”。

共享频道设置

共享频道 没有团队级别的设置。 在 Teams 管理中心Microsoft Entra管理中心配置的共享频道设置适用于单个用户。

SharePoint 设置

每次使用敏感标签创建新团队时,SharePoint 中需要执行三个步骤:

  • 更新 SharePoint 管理中心中网站的来宾共享设置,将默认共享链接更新为“特定人员”。
  • 更新网站本身的网站共享设置,防止成员共享网站。
  • 为连接到团队的文档库选择默认敏感度标签。

网站共享设置和默认敏感度标签必须在网站本身中配置,不能从 SharePoint 管理中心或通过 PowerShell 进行设置。

更新网站默认共享链接类型

  1. 打开 SharePoint 管理中心,在“网站”下,选择 活动网站
  2. 选择与团队关联的网站。
  3. “设置” 选项卡上的“ 外部文件共享”下,选择“ 更多共享设置”。
  4. 在“默认共享链接类型”下,清除“与组织级别设置相同”复选框,然后选择“特定人员(仅用户指定的人员)”。
  5. 选择“保存”。

若要将脚本作为团队创建过程的一部分进行编写,可使用 Set-SPOSite-DefaultSharingLinkType Direct 参数,将默认共享链接更改为特定人员

请注意,如果向团队添加专用或共享频道,则每个频道都会使用默认共享设置创建新的 SharePoint 网站。 可以通过选择与团队关联的网站,在 SharePoint 管理中心内更新它们。

网站共享设置

为了帮助确保 SharePoint 网站不会与非团队成员共享,我们将此类共享限制为所有者。 这仅对与团队一起创建的 SharePoint 网站是必需的。 无法在团队或频道外部共享作为专用或共享频道一部分创建的其他网站。

你需要是团队所有者才能执行此任务。

配置仅限所有者的网站共享

  1. 在 Teams 中,导航至要更新团队的“常规”标签。
  2. 在团队的工具栏中,选择“ 文件”。
  3. 选择省略号,然后选择“ 在 SharePoint 中打开”。
  4. 在基础 SharePoint 网站的工具栏中,选择设置图标,然后选择“ 网站权限”。
  5. 在“ 网站权限 ”窗格中的“ 网站共享”下,选择“ 更改成员共享方式”。
  6. “共享权限”下,选择“ 网站所有者和成员”,具有“编辑”权限的人员可以共享文件和文件夹,但只有网站所有者可以共享网站,然后选择“ 保存”。

为文件选择默认敏感度标签

我们将使用创建的敏感度标签作为连接到 Teams 的网站文档库的默认敏感度标签。 这会自动将高度敏感的标签应用于上传到库的任何新标签兼容文件。 (这需要Microsoft Syntex - SharePoint 高级管理许可证。)

你需要是团队所有者才能执行此任务。

设置文档库的默认敏感度标签

  1. 在 Teams 中,导航到要更新的团队的 “常规” 频道。

  2. 在团队的工具栏中,选择“ 文件”。

  3. 选择“ 在 SharePoint 中打开”。

  4. 在 SharePoint 网站中,打开 “设置” ,然后选择“ 库设置”。

  5. 在“ 库设置” 浮出控件窗格中,选择“ 默认敏感度标签”,然后从下拉框中选择敏感标签。

有关默认库标签工作原理的更多详细信息,请参阅 为 SharePoint 文档库配置默认敏感度标签向 SharePoint 文档库添加敏感度标签

创建和配置敏感度标签及其策略