安全性 & 合規性的 Microsoft 365 指導方針

  • 發行項

基於本文的目的,租用戶層級服務是一種在線服務,會針對租使用者中的所有使用者部分或完整啟用, (獨立授權和/或作為 Microsoft 365 或 Office 365 方案) 的一部分。 客戶需要適當的訂用帳戶授權才能使用 線上服務。 若要查看授權使用者從 Microsoft 365 合規性功能獲益的選項,請下載 適用於企業和一線員工計劃的 Microsoft 365 比較數據表 或適用於 中小型商務方案的 Microsoft 365 比較數據表

如需可讓使用者使用 Microsoft 365 合規性功能,且目前適用於歐洲經濟區域 (EEA) 國家/地區和瑞士的訂用帳戶詳細計劃資訊,請參閱 EEA 的 Microsoft 365 商務方案比較EEA 的 Microsoft 365 企業版 計劃比較

某些租用戶服務目前無法限制特定用戶的權益。 若要檢閱控管使用 Microsoft 產品和透過 Microsoft 授權方案取得之專業服務的條款和條件,請參閱 產品條款

Microsoft Entra ID 控管

Microsoft Entra ID 控管 可讓您平衡組織對安全性和員工生產力的需求,以及正確的程式和可見度。 它會使用權利管理、存取權檢閱、特殊許可權身分識別管理和使用規定原則,以確保適當的人員能夠正確存取正確的資源。

使用者如何從此服務獲益?

Microsoft Entra ID 控管 可讓您更輕鬆地在一個存取套件中要求應用程式、群組和 Microsoft Teams 的存取權,藉此提高使用者的生產力。 使用者也可以設定為核准者,而不需要涉及系統管理員。 針對存取權檢閱,用戶可以檢閱具有智慧型手機建議的群組成員資格,以定期採取動作。

哪些授權提供使用者從服務獲益的許可權?

Microsoft Entra ID 控管 功能目前可在 Microsoft Entra ID 控管 和 Microsoft Entra ID 控管 Step Up for Microsoft Entra ID P2 中取得。 這兩項產品提供與購買基座數量一樣多的用戶許可權,以具備身分識別控管功能。 Microsoft Entra ID 控管 要求租用戶也必須有使用中訂用帳戶,才能 Microsoft Entra ID P1 (先前稱為 Azure Active Directory Premium P1) 或 Microsoft Entra ID P2 (先前稱為Azure Active Directory Premium P2) 或包含 Microsoft Entra ID P1 或 P2 的訂用帳戶。 Microsoft Entra ID 控管 逐步執行 Microsoft Entra ID P2 需要租使用者也具有 Microsoft Entra ID P2 的使用中訂用帳戶,或包含 Microsoft Entra ID P2 的訂用帳戶。

服務如何佈建/部署?

Microsoft Entra ID 控管 功能會在租用戶層級啟用,但會針對每個用戶實作。 如需 Microsoft Entra ID 控管 的相關信息,請參閱什麼是 Microsoft Entra ID 控管?

如何只將服務套用到租用戶中已取得服務授權的使用者?

系統管理員應該確保他們有足夠的 Microsoft Entra ID 控管 基座供範圍內的所有員工使用,或受益於 Microsoft Entra ID 控管 功能,包括存取套件、存取權檢閱、生命週期工作流程和特殊許可權身分識別管理。 如需如何設定部署範圍 Microsoft Entra ID 控管 指示,請參閱:

Microsoft Entra ID Protection

Microsoft Entra ID Protection 是 Microsoft Entra ID P2 方案的一項功能,可讓您偵測影響組織身分識別的潛在弱點、設定自動化回應以偵測到與貴組織身分識別相關的可疑動作,以及調查可疑事件,並採取適當動作來解決這些問題。

使用者如何從此服務獲益?

由於有了基於機器學習演算法、標幟的使用者和風險事件的彙總檢視,安全作業分析人員和安全性專業人員可從中獲益。 使用者則可獲益於透過風險式條件存取提供的自動防護,以及可對弱點採取行動而改善的安全性。

哪些授權提供使用者從服務獲益的許可權?

  • Microsoft 365 E5/A5/G5、Enterprise Mobility & Security A5/E5/G5、Microsoft 365 A5/E5/F5/G5 安全性和 Microsoft 365 F5 安全性 & 合規性

如需不同方案中所含功能的詳細資訊,請參閱什麼是 Microsoft Entra ID Protection?

服務如何佈建/部署?

根據預設,租使用者內的所有用戶都會在租用戶層級啟用 Microsoft Entra ID Protection 功能。 如需 Microsoft Entra ID Protection 的相關信息,請參閱什麼是 Identity Protection?

如何只將服務套用到租用戶中已取得服務授權的使用者?

系統管理員可以指派風險原則來定義密碼重設的層級,並只允許授權使用者存取,以 Microsoft Entra ID Protection 範圍。 如需如何設定部署範圍 Microsoft Entra ID Protection 的指示,請參閱如何設定和啟用風險原則

Microsoft Cloud 合規性計畫

Microsoft Cloud 合規性計畫 旨在提供個人化的客戶支援、教育與網路機會。 藉由加入計劃,客戶將獲得在安全性、合規性和隱私權方面直接與監管者、業界同儕和 Microsoft 專家互動的唯一機會。 此計劃會取代 2013 年建立的現有金融服務產業 (FSI) 合規性計劃。

誰可以存取 Microsoft Cloud 合規性計畫?

Microsoft Cloud 合規性計畫 適用於具有 Microsoft 365 和 Office 365 授權的組織。

目前已註冊 FSI 合規性計劃的客戶必須購買新 Microsoft Cloud 合規性計畫 的訂用帳戶。 如需詳細資訊,請參閱 Microsoft Cloud 合規性計畫

使用者如何從此服務獲益?

希望 Microsoft 協助其雲端旅程的企業組織,例如風險評估人員、合規性主管、內部稽核員、隱私權主管、法規事務/法律、CISO 將受益於此服務。 以下是客戶可獲得之可用權益的範例案例:

  • 持續的風險和合規性協助,可讓風險評估上線並使用 Microsoft 雲端服務。
  • 支援 Microsoft 和客戶管理的 Microsoft 雲端服務控制件。
  • 使用第三方雲端服務的內部稽核、監管者或面板層級核准協助。
  • 支援使用雲端服務時,與複雜風險和合規性需求相關的持續技術問題。
  • 直接協助填寫固定數目的客戶風險和合規性問卷。
  • 與監管者和產業專家的連線,以協助解決其合規性旅程的問題。

服務如何佈建/部署?

根據預設,Microsoft Cloud 合規性計畫 會在租用戶層級為受益於服務的所有用戶啟用。 如需詳細資訊,請參閱 Microsoft Cloud 合規性計畫

適用於企業的 Microsoft Defender

適用於企業的 Microsoft Defender 是專為中小型企業設計的端點安全性解決方案, (最多 300 名員工) 。 商務用 Defender 是以獨立解決方案形式提供,也包含在 Microsoft 365 商務進階版 中。 透過此端點安全性解決方案,小型和中型企業 (SMB) 組織裝置會受到更好的保護,免於遭受勒索軟體、惡意代碼、網路釣魚和其他威脅。

如需詳細資訊,請參閱 適用於企業的 Microsoft Defender

哪些授權提供使用者從服務獲益的許可權?

適用於企業的 Microsoft Defender 包含在 Microsoft 365 商務進階版 訂用帳戶方案中。

商務用Defender的獨立版本也可作為中小型商務 (SMB的選項,) 最多300名員工。 若要深入了解,請參閲 如何取得適用於企業的 Microsoft Defender

使用者如何從此服務獲益?

將 適用於企業的 Microsoft Defender 新增至 Microsoft 365 商務進階版 透過使用端點偵測和回應等技術,以及自動化調查與補救等技術,新增跨平臺端點保護和複雜的勒索軟體防禦,來強化商務進階版現有的生產力和安全性供應專案。

獨立版的商務用Defender為擁有最多300名員工的中小型企業提供選項,以經濟實惠的價格取得企業級端點安全性技術。

服務如何佈建/部署?

如果您有 Microsoft 365 商務進階版,您可以透過 Microsoft Defender 入口網站存取商務用 Defender。

根據預設,租使用者內的所有用戶都會在租用戶層級啟用 適用於企業的 Microsoft Defender 功能。 如需如何設定商務用 Defender 的資訊,請參閱 適用於企業的 Microsoft Defender 檔 |Microsoft Docs

適用於 適用於企業的 Microsoft Defender 的商務用Defender伺服器附加元件是什麼?

適用於商業伺服器的 Microsoft Defender 為中小型企業提供 Windows 和 Linux 伺服器的端點安全性。 商務用 Defender 伺服器體驗為商務用 Defender 內部單一系統管理員體驗內的客戶端和伺服器提供相同層級的保護,協助您在一個位置保護所有端點。

如需詳細資訊,請參閱取得 適用於商業伺服器的 Microsoft Defender |Microsoft Learn

請注意,商務用Defender伺服器每位客戶的最大數量/基座上限為60個授權。 如果客戶需要超過 60 個伺服器授權,請參閱伺服器 Microsoft Defender

哪些授權提供使用者從服務獲益的許可權?

商務用 Defender 伺服器可作為附加元件提供給具有下列項目的組織:

  • 適用於企業的 Microsoft Defender (獨立)
  • Microsoft 365 商務進階版

客戶必須擁有至少一個 Microsoft 365 商務進階版 或 適用於企業的 Microsoft Defender 的授權,才能購買和使用 適用於商業伺服器的 Microsoft Defender。

如需詳細資訊和更多資源的連結,請檢閱 適用於企業的 Microsoft Defender 常見問題。

Microsoft 雲端 App 安全性

Microsoft Defender for Cloud Apps 是一種雲端存取安全性訊息代理程式 (CASB) 解決方案,可讓客戶彈性地實作核心功能和支援多種類型的部署。

哪些授權提供使用者從服務獲益的許可權?

Microsoft Defender for Cloud Apps 以獨立授權形式提供,也可在下列方案中使用:

  • 企業行動力 + 安全性 E5
  • Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 安全性
  • Microsoft 365 E5/A5/G5/F5 合規性
  • Microsoft 365 F5 安全性 & 合規性
  • Microsoft 365 E5/F5/G5 資訊保護 與控管

若要受益於適用於雲端應用程式的Defender中的條件式存取應用程控功能,使用者也必須獲得 Microsoft Entra ID P1 的授權,其包含在 Enterprise Mobility + Security F1/F3/E3/A3/G3、Enterprise Mobility + Security E5 中、Microsoft 365 E3/A3/G3、Microsoft 365 E5/A5/G5 和 Microsoft 365 E5/A5/G5/F5 安全性和 Microsoft 365 F5 安全性 & 合規性。

若要受益於自動用戶端標籤,用戶必須獲得 Azure 資訊保護 P2 的授權,其包含在 Enterprise Mobility + Security E5/A5/G5、Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 合規性、Microsoft 365 F5 安全性 & 合規性中,以及Microsoft 365 E5/F5/G5 資訊保護 和治理。

注意:自動伺服器端卷標需要 資訊保護 Office 365 - 進階授權 (MIP_S_CLP2 或 efb0351d-3b08-4503-993d-383af8de41e3) 。 如需參考,請參閱 授權的產品名稱和服務方案標識符

服務如何佈建/部署?

根據預設,租使用者內的所有用戶都會在租用戶層級啟用 Microsoft Defender for Cloud Apps。

如何只將服務套用到租用戶中已取得服務授權的使用者?

系統管理員可以使用服務中提供的限定範圍部署功能,將 Microsoft Defender for Cloud Apps 部署範圍限定給授權使用者。 如需詳細資訊,請參閱限定範圍的部署

什麼是應用程式控管?

應用程式控管是針對在 Microsoft Entra ID 上註冊且已啟用 OAuth 的應用程式所設計的安全性和原則管理功能。 其可透過可採取動作的深入解析和自動化原則警示和動作,提供這些應用程式及其使用者如何存取、使用及共用儲存在 Microsoft 365 中的敏感數據的完整可見度、補救和控管。

哪些授權提供許可權讓使用者受益於這項功能?

應用程式控管包含在包含適用於雲端應用程式的 Defender 的 Microsoft Defender for Cloud Apps 和產品供應專案中:

  • Microsoft Defender for Cloud Apps (獨立)
  • Enterprise Mobility + Security E5/A5/G5
  • Microsoft 365 E5/A5/G5
  • Microsoft 365 安全性 E5/A5/F5/G5
  • Microsoft 365 合規性 E5/A5/F5/G5
  • Microsoft 365 E5/A5/F5/G5 資訊保護與控管
  • Microsoft 365 F5 安全性 + 合規性

如需詳細資訊,請參閱 Microsoft 365 中的應用程式控管和開始使用應用程式控管

適用於端點的 Microsoft Defender

適用於端點的 Microsoft Defender 是端點安全性解決方案,其中包含:

  • 風險型弱點管理和評量
  • 受攻擊面縮小功能
  • 行為型和雲端式新一代保護
  • 端點偵測及回應 (EDR)
  • 自動調查和補救
  • 受控搜捕服務

如需詳細資訊,請參閱 適用於端點的 Microsoft Defender

哪些授權提供使用者從服務獲益的許可權?

適用於端點的 Microsoft Defender 方案 1 (P1)

適用於端點的 Microsoft Defender P1 提供核心端點保護功能,例如新一代的反惡意代碼、受攻擊面縮小規則、裝置控制、端點防火牆、網路保護等等。 如需詳細資訊,請參閱 適用於端點的 Microsoft Defender 方案 1 和方案 2

適用於端點的 Microsoft Defender P1 可作為獨立使用者訂用帳戶授權,並作為 Microsoft 365 E3/A3/G3 的一部分。

適用於端點的 Microsoft Defender 方案 2 (P2)

適用於端點的 Microsoft Defender P2 提供完整的端點保護功能,包括 適用於端點的 Microsoft Defender P1 的所有功能,以及端點偵測和回應、自動化調查和補救等額外功能,威脅與弱點管理、威脅情報、沙箱和 Microsoft 威脅專家。 如需詳細資訊,請參閱 適用於端點的 Microsoft Defender 檔

適用於端點的 Microsoft Defender P2 可作為獨立授權,並作為下列方案的一部分:

  • Windows 11 企業版 E5/A5
  • Windows 10 企業版 E5/A5
  • Microsoft 365 E5/A5/G5 (其中包含 Windows 10 或 Windows 11 企業版 E5)
  • Microsoft 365 E5/A5/G5/F5 安全性
  • Microsoft 365 F5 安全性 & 合規性

適用於端點的 Microsoft Defender Server

伺服器的 Microsoft Defender 已針對傳統的內部部署伺服器工作負載進行優化,但也支援 Windows 和 Linux 伺服器。 伺服器或虛擬機的每個作業系統環境 (OSE) 都需要個別的授權。

適用於IoT的 Microsoft Defender – 企業IoT安全性

Microsoft Defender IoT – 企業 IoT 安全性與 適用於端點的 Microsoft Defender 整合,以從單一體驗探索、持續監視及管理企業 IoT 裝置上的弱點。

適用於IoT的 Microsoft Defender – Microsoft 365 E5 和 Microsoft 365 E5 安全性 訂用帳戶隨附的企業 IoT 安全性

Microsoft Defender IoT – 企業 IoT 安全性包含在 Microsoft 365 E5 和 Microsoft 365 E5 安全性 訂用帳戶中。 具有這些訂用帳戶的客戶有權 Microsoft Defender IoT – 企業 IoT 安全性涵蓋範圍,每個合格的用戶授權最多 5 個 eIoT 裝置。

適用於IoT的 Microsoft Defender – 每個裝置附加元件的企業IoT安全性

Microsoft Defender IoT – 每個裝置附加元件的企業 IoT 安全性適用於具有 適用於端點的 Microsoft Defender P2 的客戶,或包含 適用於端點的 Microsoft Defender P2 的訂用帳戶:

  • Microsoft 365 A5/E5
  • Microsoft 365 A5/E5/F5 安全性
  • Microsoft 365 F5 安全性與合規性
  • Windows 10/11 企業版 A5/E5。

Microsoft Defender IoT – 每個裝置的企業 IoT 安全性附加元件授權涵蓋每個授權一個 eIoT 裝置。

如需詳細資訊,請參閱使用適用於端點的 Defender 在 Microsoft 365 中啟用企業 IoT 安全性 - Microsoft Defender for IoT |Microsoft Learn

Microsoft Defender 弱點管理

Microsoft Defender 弱點管理可作為獨立使用者訂用帳戶授權,以及作為 適用於端點的 Microsoft Defender 方案 2 客戶的附加元件。

Defender 弱點管理提供適用於 Windows、macOS、Linux、Android、iOS 和網路裝置的資產可見性、智慧型評量和內建補救工具。 利用 Microsoft 威脅情報、缺口可能性預測、商務內容和裝置評量,Defender 弱點管理會快速且持續地優先處理您最重要的資產上最大的弱點,並提供安全性建議來降低風險。

Defender 弱點管理獨立: 沒有適用於端點的 Defender 方案 2 的客戶可以使用 Defender 弱點管理獨立方案來補充其端點偵測和回應 (EDR) 解決方案,以符合其弱點管理計劃的需求。

Defender 弱點管理附加元件:適用於端點的 Microsoft Defender 方案 2 包含弱點管理功能,可藉由新增 Microsoft Defender 弱點管理 附加元件隨附的新進階弱點管理工具來增強。

Microsoft Defender 弱點管理 伺服器 適用於端點的 Microsoft Defender 附加元件:為具有伺服器 適用於端點的 Microsoft Defender 的客戶提供進階弱點管理功能。

伺服器方案 1 和適用於伺服器的 Defender 方案 2 的 Microsoft Defender 也包含弱點管理功能的存取權。

如需詳細資訊,請參閱 Microsoft Defender 弱點管理 |Microsoft LearnCompare Microsoft Defender 弱點管理 方案和功能 |Microsoft Learn

哪些授權提供使用者從服務獲益的許可權?

Microsoft Defender 弱點可作為商業、教育與政府雲端客戶的獨立使用者訂用帳戶授權。
Defender 弱點管理可作為附加元件提供給具有下列功能的組織:

  • 適用於端點的 Microsoft Defender 方案 2 (獨立)
  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5/F5/G5 安全性
  • Microsoft 365 F5 安全性與合規性附加元件
  • Windows 11 企業版 E5/A5/G5
  • Windows 10 企業版 E5/A5/G5

Microsoft Defender 弱點管理 伺服器的 適用於端點的 Microsoft Defender 附加元件可供具有伺服器 適用於端點的 Microsoft Defender 的組織使用。 如需包含功能的詳細資訊,請參閱比較 Microsoft Defender 弱點管理 方案和功能 |Microsoft Learn

適用於身分識別的 Microsoft Defender

適用於身分識別的 Microsoft Defender (先前稱為 Azure 進階威脅防護) 是一項雲端服務,可協助保護企業混合式環境免於遭受多種類型的進階目標網路攻擊和內部威脅。 適用於身分識別的 Microsoft Defender 是每個使用者的訂用帳戶授權

使用者如何從此服務獲益?

SecOp 分析師和安全性專業人員受益於 適用於身分識別的 Microsoft Defender 偵測和調查進階威脅、遭入侵的身分識別,以及惡意內部人員動作的能力。 終端用戶藉由 適用於身分識別的 Microsoft Defender 監視其數據而受益。

哪些授權提供使用者從服務獲益的許可權?

Enterprise Mobility + Security E5/A5、Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 安全性、Microsoft F5 安全性 & 合規性,以及使用者 適用於身分識別的 Microsoft Defender 提供從中獲益的許可權適用於身分識別的 Microsoft Defender。

服務如何佈建/部署?

適用於身分識別的 Microsoft Defender 功能會在租用戶層級針對租使用者內的所有用戶啟用。 如需設定 適用於身分識別的 Microsoft Defender 的資訊,請參閱建立 適用於身分識別的 Microsoft Defender 實例

如何只將服務套用到租用戶中已取得服務授權的使用者?

某些租用戶服務,例如 適用於身分識別的 Microsoft Defender 服務,目前無法限制特定用戶的權益。 若要檢閱控管使用 Microsoft 產品和透過 Microsoft 授權方案取得之專業服務的條款和條件,請參閱 產品條款

適用於 Office 365 的 Microsoft Defender

適用於 Office 365 的 Microsoft Defender (先前 Office 365 進階威脅防護) 可協助保護組織抵禦複雜的攻擊,例如網路釣魚和零時差惡意代碼。 適用於 Office 365 的 Microsoft Defender 也提供可採取動作的深入解析,方法是將來自廣泛數據的訊號相互關聯,以協助識別、排定優先順序,並提供如何解決潛在威脅的建議。

使用者如何從此服務獲益?

適用於 Office 365 的 Microsoft Defender 保護使用者免於遭受複雜的攻擊,例如網路釣魚和零時差惡意代碼。 如需方案 1 和方案 2 中提供的完整服務清單,請參閱 適用於 Office 365 的 Microsoft Defender

哪些授權提供使用者從服務獲益的許可權?

適用於 Office 365 的 Microsoft Defender 方案 1 和 2、Office 365 E5/A5/G5、Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 安全性、Microsoft 365 F5 安全性 & 合規性,以及 Microsoft 365 商務進階版提供使用者從 適用於 Office 365 的 Microsoft Defender 獲益的許可權。

此快速參考將協助您瞭解每個 適用於 Office 365 的 Microsoft Defender 訂用帳戶隨附哪些功能。 結合您對於 EOP 功能的知識,它可以協助企業決策者判斷哪些適用於 Office 365 的 Microsoft Defender 最符合其需求。

適用於 Office 365 的 Microsoft Defender 方案 1 與計劃 2 小秘技

適用於 Office 365 的 Defender 方案 1 適用於 Office 365 的 Defender 方案 2
設定、保護和偵測功能:
  • 安全附件
  • 安全連結
  • 適用於 SharePoint、OneDrive 和 Microsoft Teams 的安全附件
  • 適用於 Office 365 的 Defender 中的反網路釣魚防護
  • 即時偵測
 適用於 Office 365 的 Defender 方案 1 功能
---加上---
自動化、調查、補救和教育功能:
  • 威脅追蹤工具
  • 威脅總管
  • 自動化調查及回應
  • 攻擊模擬訓練

如需詳細資訊,請移至 Office 365 安全性,包括 適用於 Office 365 的 Microsoft Defender 和 Exchange Online Protection - Office 365 |Microsoft Docs

服務如何佈建/部署?

根據預設,租使用者內的所有用戶都會在租用戶層級啟用 適用於 Office 365 的 Microsoft Defender 功能。 如需為授權用戶設定 適用於 Office 365 的 Microsoft Defender 原則的相關信息,請參閱 適用於 Office 365 的 Microsoft Defender

資訊保護:Microsoft Purview 進階郵件加密

Microsoft Purview 進階郵件加密可協助客戶符合合規性義務,這些義務需要對外部收件者及其加密電子郵件的存取提供更彈性的控制。 透過 Purview 進階郵件加密,系統管理員可以使用自動原則來控制在組織外部共用的敏感性電子郵件,這些原則可以偵測敏感性資訊類型 (例如,個人識別資訊或財務或健康狀態標識符) ,或是使用關鍵詞來增強保護,方法是透過安全的入口網站套用自定義電子郵件範本和即將到期的存取加密電子郵件。 此外,系統管理員可隨時撤銷存取,進一步控制透過安全網頁入口網站存取的加密電子郵件。

使用者如何從此服務獲益?

郵件寄件者可從進階郵件加密所提供對敏感性電子郵件新增的控制而獲益。

哪些授權提供使用者從服務獲益的許可權?

Office 365 E5/A5/G5、Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 合規性和 F5 安全性 & 合規性,以及 Microsoft 365 E5/A5/F5/G5 資訊保護 和治理提供使用者從進階訊息加密獲益的許可權。

服務如何佈建/部署?

系統管理員會在 Exchange 系統管理中心的 [郵件流程>規則] 下建立和管理進階郵件加密原則。 根據預設,這些規則會套用至租用戶中的所有使用者。 如需設定新的郵件加密功能的詳細資訊,請參閱設定全新的 Office 365 郵件加密功能

如何只將服務套用到租用戶中已取得服務授權的使用者?

系統管理員應僅將進階郵件加密的郵件流程規則套用至授權使用者。 如需定義郵件流程規則的詳細資訊,請參閱定義郵件流規則以加密 Office 365 中的電子郵件

資訊保護:Microsoft Purview 郵件加密

Microsoft Purview 郵件加密 是以 Azure Rights Management (Azure RMS) 為基礎的服務,可讓您將加密的電子郵件傳送給組織內部或外部的人員,不論目的地電子郵件位址 (Gmail、Yahoo! Mail、Outlook.com 等 ) 。

若要檢視加密的郵件,收件者可以取得單次密碼、登入 Microsoft 帳戶、或登入工作或學校相關聯的 Office 365 帳戶。 收件者也可以傳送加密的回覆。 他們不需要訂用帳戶即可檢視加密的訊息或傳送加密的回復。

使用者如何從此服務獲益?

郵件寄件者可從 Office 365 郵件加密所提供對敏感性電子郵件新增的控制而獲益。

哪些授權提供使用者從服務獲益的許可權?

  • Microsoft 365 F3/E3/A3/G3/E5/A5/G5 和 Microsoft Business Premium
  • Office 365 A1/E3/A3/G3/E5/A5/G5
  • Azure 資訊保護 方案 1 也提供組織在新增到下列方案時,從 Office 365 訊息加密獲益的許可權:Exchange Online Kiosk、Exchange Online 方案 1、Exchange Online 方案 2、Office 365 F3、Microsoft 365 商務基本版、Microsoft 365 商務標準版 或 Office 365 企業版 E1

服務如何佈建/部署?

系統管理員會在 Exchange 系統管理中心的 [郵件流程]> [規則] 下建立及管理 Office 365 郵件加密原則。 根據預設,這些規則會套用至租用戶中的所有使用者。 如需設定新 Office 365 訊息加密功能的詳細資訊,請參閱設定新的訊息加密功能

如何只將服務套用到租用戶中已取得服務授權的使用者?

系統管理員應僅將 Office 365 郵件加密的郵件流程規則套用至授權使用者。 如需定義郵件流程規則的詳細資訊,請 參閱定義郵件流程規則來加密電子郵件訊息

Microsoft Priva

如需詳細資訊,請參閱 Microsoft Priva

Office 365 的 Privileged Access Management

特殊許可權存取管理 (PAM) 提供對 Office 365 中特殊許可權系統管理員工作的細微訪問控制。 啟用 PAM 之後,若要完成提升許可權和特殊許可權的工作,用戶必須透過高度限定範圍和時間系結的核准工作流程要求 Just-In-Time 存取權。

使用者如何從此服務獲益?

啟用 PAM 可讓組織使用無常設權限作業。 使用者可從能抵禦為其資料提供不受束縛的常設系統管理存取所產生弱點新增的防禦層獲益。

哪些授權提供使用者從服務獲益的許可權?

Office 365 E5/A5、Microsoft 365 E5/A5、Microsoft 365 E5/A5/F5 合規性和 F5 安全性 & 合規性,以及 Microsoft 365 E5/A5/F5 測試人員風險管理提供許可權,讓使用者從 PAM 獲益。

服務如何佈建/部署?

根據預設,PAM 功能會在租用戶層級針對租用戶內的所有使用者啟用。 如需設定 PAM 原則的資訊,請 參閱開始使用特殊許可權存取管理

如何只將服務套用到租用戶中已取得服務授權的使用者?

客戶可以透過核准者群組和存取原則,以每位使用者為基礎管理 PAM (該原則可套用至授權的使用者)。

Microsoft Purview 稽核

如需詳細資訊,請參閱 Microsoft Purview 服務描述

Microsoft Purview 通訊合規性

如需詳細資訊,請參閱 Microsoft Purview 服務描述

Microsoft Purview 合規性管理員

合規性管理員是 Microsoft Purview 合規性入口網站 中的一項功能,可協助您更輕鬆且方便地管理組織的合規性需求。 合規性管理員可在整個合規性過程中協助您,從盤點資料保護風險到管理實施控制措施的複雜性、保持最新的法規和認證,以及向稽核員報告。

合規性管理員提供下列專案,以協助簡化合規性並降低風險:

  • 針對一般產業和地區標準和法規預先建置的評量。
  • 工作流程功能可透過單一工具協助您有效率地完成風險評定。
  • 建議改進動作的詳細逐步指引,可協助您遵守與組織最相關的標準和法規。 對於由 Microsoft 管理的動作,您會看到實作詳細數據和稽核結果。
  • 風險型合規性分數,可藉由測量完成改進動作的進度,協助您瞭解合規性狀態。

誰可以存取合規性管理員?

合規性管理員適用於具有 Office 365 和 Microsoft 365 授權的組織,以及美國政府社群雲端 (GCC) 、GCC High 和美國國防部 (DoD) 客戶。 評定可用性與管理功能取決於您的許可協定。

什麼是進階範本?

進階範本是合規性管理員和說明的附加元件值:

  • 將複雜的法規需求轉譯為特定控件
  • 建議建議的改進動作
  • 針對法規提供可量化的合規性措施

合規性管理員有 300 項以上的進階評定,客戶可用來評估其符合各種全球、地區和產業法規和標準的合規性。

任何訂用帳戶包含 Microsoft Exchange Online 授權的客戶,都可購買合規性管理員進階範本。

哪些進階範本可供使用?

以下是進階 範本的清單

默認會包含哪些範本, (免費) ?

某些評量會包含為合規性管理員和客戶授權類型的一部分。 如需詳細資訊,請參閱下表和常見問題:

授權類型 根據預設,評定範本 (包含) 1
  • Microsoft 365 或 Office 365 A1/E1/F1/G1
  • Microsoft 365 或 Office 365 A3/E3/F3/G3
  • 數據保護基準
  • Microsoft 365 或 Office 365 A5/E5/G5
  • Microsoft 365 A5/E5/F5/G5 合規性
  • Microsoft 365 A5/E5/F5/G5 電子檔探索和稽核
  • Microsoft 365 A5/E5/F5/G5 測試人員風險管理
  • Microsoft 365 A5/E5/F5/G5 資訊保護 與控管
  • 選擇任何 3 個進階範本2
  • 數據保護基準
  • CMMC 層級 1-5 (僅適用於 G5)
  • 自訂評定

1 對應至法規的範本現在全都會群組在一起,並視為單一範本。 例如,CMMC - 層級 1 和 CMMC - 層級 2 現在會計算為一個範本。 當該規定有多個層級或版本時,您不需要針對相同的法規購買多個範本。
2 所有用戶都必須獲得授權。

Microsoft Purview 客戶加密箱

如需詳細資訊,請參閱 Microsoft Purview 服務描述

Microsoft Purview 資料連接器

Microsoft 提供可在 Microsoft Purview 合規性入口網站 中設定的第三方數據連接器。 如需 Microsoft 提供的數據連接器清單,請參閱 第三方數據連接器 數據表。 下表也會摘要說明在 Microsoft 365 中匯入和封存數據之後,可套用至第三方數據的合規性解決方案,以及每個連接器的逐步指示連結。

使用者如何從此服務獲益?

使用數據連接器 (先前命名為 Microsoft 365 數據連接器的主要優點,) 在 Microsoft 365 中匯入和封存第三方數據,就是您可以在匯入數據之後,將各種 Microsoft Purview 解決方案套用至數據。 這有助於確保貴組織的非 Microsoft 數據符合影響貴組織的法規和標準。

哪些授權提供使用者從服務獲益的許可權?

下列授權提供使用者從資料連接器獲益的許可權:

  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5/F5/G5 資訊保護 & 控管
  • Microsoft 365 E5/A5/G5/F5 合規性
  • Microsoft 365 F5 安全性 & 合規性
  • Microsoft 365 E5/A5/F5/G5 內部風險管理
  • Microsoft 365 E5/A5/F5/G5 電子檔探索和稽核
  • Office 365 E5/A5/G5

針對 Microsoft 合作夥伴所提供 Microsoft Purview 合規性入口網站 中的數據連接器,您的組織需要與合作夥伴建立業務關係,才能部署這些連接器。

服務如何佈建/部署?

連接器是使用 Microsoft Purview 合規性入口網站和連接器目錄來設定。

如何只將服務套用到租用戶中已取得服務授權的使用者?

數據連接器服務是租用戶層級的值。 每個想要從此服務獲益的用戶都必須獲得授權。

Microsoft Purview 資料生命週期管理與 Microsoft Purview 記錄管理

Microsoft Purview 資料生命週期管理 (先前的 Microsoft 資訊控管) 和 Microsoft Purview 記錄管理 提供您保留所需內容的工具和功能,並刪除您不需要的內容。 組織通常會保留和刪除內容,以符合合規性和數據法規需求。 刪除不再具有商業價值的內容也可協助您管理風險和責任。

數據生命週期管理和記錄管理都會使用保留原則、保留標籤和保留標籤原則來強制執行保留和刪除設定。 此外,此區域包含電子郵件封存功能。

保留原則的授權

針對全組織、全位置或包含/排除保留原則,下列授權提供用戶權力:

  • Microsoft 365 E5/A5/G5/E3/A3/G3、商務進階版
  • Microsoft 365 E5/A5/G5/F5 合規性和 F5 安全性 & 合規性
  • Microsoft 365 E5/A5/F5/G5 資訊保護與控管
  • Office 365 E5/A5/G5/E3/A3/G3

如果保留原則位置是 Exchange 信箱,則下列授權也會提供用戶權力:

  • Exchange 方案 2
  • Exchange Online Archiving

如果保留原則位置是 SharePoint 或 商務用 OneDrive,下列授權也會提供用戶權力:

  • SharePoint 方案 2

如果保留原則位置是 Microsoft Teams 聊天、頻道或私人頻道,則下列授權也會提供用戶權力。 對於加上 底線的計劃,保留或刪除期間必須超過 30 天:

  • Microsoft 365 E5/G5/A5/E3/G3/A3/F3/F1Business BasicBusiness StandardBusiness Premium
  • Office 365 E5/G5/A5/E3/G3/A3/F3/E1/G1
  • Microsoft 365 F5 合規性和 Microsoft 365 F5 安全性與合規性附加元件方案

如果保留原則使用調適型原則範圍,則需要下列其中一個授權才能提供用戶權力:

  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5/G5/F5 合規性和 F5 安全性 & 合規性
  • Office 365 E5/A5/G5
  • Microsoft 365 E5/A5/F5/G5 資訊保護與控管

如果保留原則適用於 Microsoft 365 Copilot 互動,下列授權會提供用戶權力:

  • Microsoft 365 E3/E5 + Microsoft 365 Copilot
  • Microsoft 365 E3 + Microsoft E5 合規性 + Microsoft 365 Copilot
  • Microsoft 365 E3 + Microsoft E5 資訊保護 與控管 + Microsoft 365 Copilot

保留標籤的授權

針對保留標籤的建立,下列授權提供用戶權力:

  • Microsoft 365 E5/A5/G5/E3/A3/G3/F3/F1/Business Premium
  • Microsoft 365 E5/A5/G5/F5 合規性和 F5 安全性 & 合規性
  • Microsoft 365 E5/A5/F5/G5 資訊保護與控管
  • Office 365 E5/A5/G5/E3/A3/G3/F3/E1/A1/G1

下列保留標籤建立設定:

  • 根據事件類型啟動保留期間
  • 在保留期間結束時觸發處置檢閱
  • 在保留期間,將項目標示為記錄或法規記錄
  • 在保留期間之後,自動變更保留標籤,

需要這些特定授權才能提供使用者權限:

  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5/G5/F5 合規性和 F5 安全性 & 合規性
  • Office 365 E5/A5/G5
  • Microsoft 365 E5/A5/F5/G5 資訊保護與控管

保留標籤原則的授權

保留標籤會以下列三種方式之一套用至檔案和電子郵件:

  • 發佈標籤,讓使用者可以手動套用標籤。
  • 透過保留標籤原則設定自動套用它們。
  • 透過其他應用程式方法,例如預設標籤。

若要發佈保留標籤,下列授權提供用戶權力:

  • Microsoft 365 E5/A5/G5/E3/A3/G3/F3/F1/Business Premium
  • Microsoft 365 E5/A5/G5/F5 合規性和 F5 安全性 & 合規性
  • Microsoft 365 E5/A5/F5/G5 資訊保護與控管
  • Office 365 E5/A5/G5/E3/A3/G3/F3/E1/A1/G1

如果發佈位置是 Exchange 信箱,則 Exchange Online 方案 1 和方案 2 授權提供用戶權力。

如果發佈位置是 SharePoint Online 或 OneDrive,SharePoint Online 方案 1 和方案 2 授權會提供用戶權力。

保留標籤的下列部署方法需要特定授權:

  • 自動套用至包含敏感性信息的內容
  • 自動套用至包含特定單字、片語或屬性的內容
  • 將預設保留標籤套用至 SharePoint 文件庫、資料夾或檔案集
  • 在保留標籤原則中使用調適型原則範圍

下列授權提供這些部署方法的用戶權力:

  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5/G5/F5 合規性和 F5 安全性 & 合規性
  • Microsoft 365 E5/A5/F5/G5 資訊保護與控管
  • Office 365 E5/A5/G5

若要使用可訓練分類器自動套用保留標籤,下列授權提供用戶權力:

  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5/G5/F5 合規性和 F5 安全性 & 合規性
  • Microsoft 365 E5/A5/F5/G5 資訊保護與控管

其他保留標籤應用程式方法

若要使用 Outlook 規則或 Outlook 預設資料夾原則套用標籤,下列授權提供用戶權力:

  • Microsoft 365 E5/A5/G5/E3/A3/G3/F3/F1/Business Premium
  • Microsoft 365 E5/A5/G5/F5 合規性和 F5 安全性 & 合規性
  • Microsoft 365 E5/A5/F5/G5 資訊保護與控管
  • Office 365 E5/A5/G5/E3/A3/G3/F3/E1/A1/G1

若要使用 SharePoint Syntex 模型套用保留標籤,下列授權會提供用戶權力。 此外,您必須購買適當的 SharePoint Syntex 授權。

  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5/G5/F5 合規性和 F5 安全性 & 合規性
  • Microsoft 365 E5/A5/F5/G5 資訊保護與控管
  • Office 365 E5/A5/G5

若要使用檔案計劃來維護保留標籤,包括匯入和匯出,下列授權提供用戶權力:

  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5/G5/F5 合規性和 F5 安全性 & 合規性
  • Microsoft 365 E5/A5/F5/G5 資訊保護與控管
  • Office 365 E5/A5/G5

若要使用調適型原則範圍,以動態方式將 適用於 Microsoft 365 的 Microsoft Copilot 互動保留原則的目標設為特定使用者和/或保留 Microsoft 365 Copilot 互動中共用之文件的確切版本,下列授權提供用戶權力:

  • Microsoft 365 E5 + Microsoft 365 Copilot
  • Microsoft 365 E3 + Microsoft E5 合規性 + Microsoft 365 Copilot
  • Microsoft 365 E3 + Microsoft 365 E5 資訊保護 與治理 + Microsoft 365 Copilot

Email 封存

若要將 PST 檔案大容量導入至 Exchange Online 信箱,下列授權提供用戶權力:

  • Exchange Online P2
  • Microsoft 365 E5/A5/G5/E3/A3/G3
  • Microsoft 365 E5/A5/G5/F5 合規性和 F5 安全性 & 合規性
  • Microsoft 365 E5/A5/F5/G5 資訊保護與控管
  • Office 365 E5/A5/G5/E3/A3/G3

若要啟用封存信箱和自動展開封存,下列授權提供用戶權力:

  • 封存信箱限制為 50 GB
    • Exchange Online Plan 1
    • Office 365 E1
  • 封存信箱限制為 1.5 TB
    • Exchange Online Archiving
    • Exchange Online Plan 2
    • Microsoft 365 E5/A5/G5/E3/A3/G3
    • Microsoft 365 E5/A5/G5/F5 合規性和 F5 安全性 & 合規性
    • Microsoft 365 E5/A5/F5/G5 資訊保護與控管
    • Office 365 E5/A5/G5/E3/A3/G3
    • Microsoft 365 商務進階版

哪些使用者需要授權?

從服務獲益的任何使用者都需要授權。 如需服務條款 & 條件的詳細資訊,請參閱 產品條款。 以下是從服務獲益的使用者範例:

  • 在 Microsoft Purview 合規性入口網站 中找到具有下列指派角色的用戶:處置管理、記錄管理、保留管理、View-Only 記錄管理、View-Only 保留管理。

  • 在網站上使用保留原則或保留標籤原則時,SharePoint 網站擁有者和成員。 網站訪客不需要授權。

  • 在網站、信箱或 Teams 訊息上使用保留原則或保留標籤原則時,Microsoft 365 群組擁有者和成員。

  • 針對使用者信箱,用戶必須獲指派必要的授權。

  • 使用者、SharePoint 網站和 Microsoft 365 群組 包含在調適型原則範圍中。

針對許多功能,共用或資源信箱不需要指派授權。 針對需要下列其中一個授權的功能,共用或資源信箱需要指派授權以提供許可權:

  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5/G5/F5 合規性和 F5 安全性 & 合規性
  • Microsoft 365 E5/A5/F5/G5 資訊保護與控管
  • Office 365 E5/A5/G5

非作用中信箱不需要使用許可證。

此外,共用信箱限製為 50 GB,而不需要 Exchange 附加元件。 若要將大小限制增加到 100 GB,共用信箱需要 Exchange Online 方案 2 或 Exchange Online 封存 + Exchange Online 方案 1。

Microsoft Purview 資料外洩防護:端點數據遺失保護 (DLP)

組織可以使用 Microsoft Purview 資料外洩防護 (DLP) 來偵測判斷為敏感性之專案上的活動,並協助防止意外共用這些專案。 如需 DLP 詳細資訊,請參閱 深入了解資料外洩防護

端點數據外洩防護 (端點 DLP) 將 DLP 的活動偵測和保護功能延伸到實際儲存在 Windows 10、Windows 11 和 macOS (Catalina 10.15 和更新版本) 裝置上的敏感性專案。

哪些授權提供使用者從服務獲益的許可權?

  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5/F5/G5 合規性和 F5 安全性 & 合規性
  • Microsoft 365 E5/A5/F5/G5 資訊保護 & 控管

服務如何佈建/部署?

如需詳細資訊,請參閱開始使用端點數據外泄防護 - Microsoft Purview (合規性) |Microsoft Docs 和了解數據外洩防護 - Microsoft Purview (合規性) |Microsoft Docs

使用 Microsoft Purview 合規性入口網站,端點 DLP 原則的範圍可以限於登入已上線裝置的使用者。 當有範圍的使用者登入已上線的裝置時,會評估原則。 如需詳細資訊,請參閱適用於裝置的 Microsoft 端點 DLP 互動式指南

用戶可以將其加密的數據移轉至雲端,進而受益於雙重密鑰加密,只要密鑰仍受到使用者的控制,就會防止第三方存取。 用戶可以保護和取用雙密鑰加密內容,類似於任何其他受敏感度標籤的內容。

哪些授權提供使用者從服務獲益的許可權?

Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/F5/G5 合規性和 Microsoft 365 F5 安全性 & 合規性、Microsoft 365 E5/A5/G5 資訊保護 和治理,EMS E5 提供使用者享有雙重密鑰加密的許可權。

下列授權提供套用雙密鑰加密 (DKE) 的許可權,以防止 Copilot 存取敏感數據:

  • Microsoft 365 E5 + Microsoft 365 Copilot
  • Microsoft 365 E3 + Microsoft E5 合規性 + Microsoft 365 Copilot
  • Microsoft 365 E3 + Microsoft 365 E5 資訊保護 與治理 + Microsoft 365 Copilot

服務如何佈建/部署?

雙重密鑰加密支持傳統型版本的 Microsoft Office for Windows。

如何只將服務套用到租用戶中已取得服務授權的使用者?

若要為授權使用者指派加密密鑰給 Office 365 和/或 Microsoft 365 組織內的數據,請遵循雙重密鑰加密部署指示。

Microsoft Purview 資料外洩防護:Exchange Online、SharePoint Online 和 商務用 OneDrive 的數據外洩防護 (DLP)

使用 Exchange Online、SharePoint Online 和先前命名為 Microsoft Office 365 商務用 OneDrive (的 Microsoft Purview 資料外洩防護數據外洩防護) ,組織可以識別、監視及自動保護電子郵件和檔案之間的敏感性資訊, (包括儲存在 Microsoft Teams 檔案存放庫中的檔案) 。

使用者如何從此服務獲益?

用戶可在檢查其電子郵件和檔案是否有敏感性資訊時,從 Exchange Online、SharePoint Online 和 商務用 OneDrive 的 DLP 獲益,如組織 DLP 原則中所設定。

哪些授權提供使用者從服務獲益的許可權?

  • Microsoft 365 E5/A5/G5/E3/A3/G3、Microsoft 365 商務進階版、SharePoint Online 方案 2、商務用 OneDrive (方案 2) 、Exchange Online 方案 2
  • Office 365 E5/A5/G5/E3/A3/G3
  • Microsoft 365 E5/A5/G5/F5 合規性和 F5 安全性 & 合規性
  • Microsoft 365 E5/A5/F5/G5 資訊保護與控管

服務如何佈建/部署?

根據預設,Exchange Online 電子郵件、SharePoint 網站和 OneDrive 帳戶為針對租用戶內所有使用者的這些 DLP 功能的啟用位置 (工作負載)。 如需使用 DLP 原則的詳細資訊,請參閱資料外洩防護概觀

如何只將服務套用到租用戶中已取得服務授權的使用者?

系統管理員可以自定義工作負載 () 的位置、包含使用者,以及排除 Microsoft Purview 合規性入口網站 中的使用者。

Microsoft Purview 資料外洩防護:適用於 Teams 的數據外洩防護 (DLP)

透過 Teams 的 DLP,組織可以封鎖包含敏感性資訊的聊天和頻道訊息,例如財務資訊、個人識別資訊、健康情況相關信息或其他機密資訊。

哪些使用者可從此服務獲益?

  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5/G5/F5 合規性和 F5 安全性 & 合規性
  • Microsoft 365 E5/A5/F5/G5 資訊保護與控管
  • Office 365 E5/A5/G5

使用者如何從此服務獲益?

如組織 DLP 原則中所設定,寄件者可在其傳出聊天和頻道訊息中檢查敏感性資訊,以獲得好處。

服務如何佈建/部署?

根據預設,Teams 聊天和頻道訊息為針對租用戶內所有使用者的這些 DLP 功能的啟用位置 (工作負載)。 若要啟用 Teams 的數據外洩防護,必須在 Microsoft 365 系統管理 入口網站的上述其中一個授權下選取「Microsoft Communications DLP」服務。 如需使用 DLP 原則的詳細資訊,請參閱資料外洩防護概觀

如何只將服務套用到租用戶中已取得服務授權的使用者?

系統管理員可以自定義工作負載 (位置,) 、包含的使用者,以及 Microsoft Purview 合規性入口網站 中排除的使用者。

Microsoft Purview 資料外洩防護:適用於 Teams 數據外洩防護的圖形 API (DLP) 和 Teams 導出

這些 API 可讓開發人員建置安全性與合規性應用程式,以近乎即時的方式「接聽」Microsoft Teams 訊息,或在 1:1/群組聊天或 Teams 頻道中匯出小組訊息。 這些 API 可為客戶和 ISV 啟用 DLP 和其他 資訊保護 和治理案例。 此外,Microsoft Graph 修補程式 API 允許將 DLP 動作套用至 Teams 訊息。

使用者如何從此服務獲益?

數據外洩防護 (DLP) 功能在 Microsoft Teams 中廣泛使用,特別是當組織已移至遠端工作時。 如果您的組織有 DLP,您現在可以定義原則,防止人員在 Microsoft Teams 頻道或聊天會話中共用敏感性資訊。

信息保護和控管功能在 Microsoft Teams 中廣泛使用,特別是當組織已移至遠端工作時。 使用 Teams 匯出 API 時,數據可以匯出至第三方電子檔探索或合規性封存應用程式,以確保符合合規性做法。

哪些授權提供使用者從服務獲益的許可權?

  • Office 365 E5/A5/G5
  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5/F5/G5 合規性和 Microsoft 365 F5 安全性 & 合規性
  • Microsoft 365 E5/A5/F5/G5 資訊保護與控管

服務如何佈建/部署?

API 存取是在租用戶層級設定。 若要啟用適用於 Teams DLP 的 Microsoft Graph API,必須在 Microsoft 365 系統管理中的上述其中一個授權下選取「Microsoft Communications DLP」服務。

如何只將服務套用到租用戶中已取得服務授權的使用者?

適用於 Teams DLP 和 Teams 導出的 Microsoft Graph API 提供租用戶層級值。 每個想要從此服務獲益的用戶都必須獲得授權。 作為新增值,我們會為每個授權使用者新增植入容量、每月計算,並在租用戶層級匯總。 對於超過植入容量的使用量,應用程式擁有者將需支付API耗用量費用。

如需植入容量和取用費用的詳細資訊,請參閱存 取聊天訊息的圖形需求

Microsoft Purview 電子文件探索

如需詳細資訊,請參閱 Microsoft Purview 服務描述

Microsoft Purview 資訊屏障

資訊屏障是系統管理員可以設定的原則,以防止個人或群組彼此通訊。 比方說,如果某個部門處理的資訊不應與其他部門共用,或需要防止某個群組與外部連絡人通訊,此功能就相當實用。 資訊屏障原則也可以防止查閱和探索。 這表示如果您嘗試與不應與之通訊的人員通訊,您將不會在人員選擇器中找到該使用者。

使用者如何從此服務獲益?

使用者可從使用者會受限而無法與其他人通訊之資訊屏障的進階符合性功能獲益。 您可以定義資訊屏障原則,以防止特定用戶區段與每個用戶通訊,或只允許特定區段與特定其他區段通訊。 如需定義資訊屏障原則的詳細資訊,請參閱 定義資訊屏障 (IB) 原則。 定義 IB 原則 (封鎖或允許) 時,屬於「指派的區段」下定義區段的使用者需要授權。 以下是兩個範例案例:

案例 誰需要授權?
1. IB 封鎖原則 - 群組 1 和群組 2 (兩個群組) 無法彼此通訊 (也就是,群組 1 使用者無法與群組 2 用戶通訊,而群組 2 使用者則受限無法與群組 1 用戶通訊。)

範例:

New-InformationBarrierPolicy-Name“Group1-Group2” -AssignedSegment“Group1”-SegmentsBlocked“Group2”

New-InformationBarrierPolicy-Name“Group2-Group1” -AssignedSegment“Group2”-SegmentsBlocked“Group1”		 群組 1 和群組 2 中的使用者
2. IB 允許原則 - 群組 1、群組 2 & 群組 3 (三個群組) 只能與群組 4 和群組 5 交談。

範例:

New-InformationBarrierPolicy-Name“Group1-Group4 Group5” -AssignedSegment“Group1”-SegmentsAllowed“Group4,Group5”

New-InformationBarrierPolicy-Name“Group2-Group4 Group5” -AssignedSegment“Group2”-SegmentsAllowed“Group4,Group5”

New-InformationBarrierPolicy-Name“Group3-Group4 Group5” -AssignedSegment“Group3”-SegmentsAllowed“Group4,Group5”		 群組 1、群組 2 & 群組 3 中的使用者

哪些授權提供使用者從服務獲益的許可權?

  • Microsoft 365 E5/G5/A5/A3/A1
  • Office 365 E5/A5/A3/A1
  • Microsoft 365 E5/F5 合規性
  • Microsoft 365 E5/G5/A5 測試人員風險管理
  • Microsoft 365 F5 安全性 + 合規性
  • Office 365 E3 + Enterprise Mobility & 安全性 E3 + E5 合規性
  • Office 365 E3 + Enterprise Mobility & Security E3 + Insider Risk Management
  • Office 365 進階合規性 附加元件 (不再適用於新的訂用帳戶)

服務如何佈建/部署?

系統管理員會使用 Microsoft Purview 合規性入口網站 中的PowerShell Cmdlet來建立和管理資訊屏障原則。 系統管理員必須獲指派 Microsoft 365 企業全域系統管理員、Office 365 全域系統管理員或合規性系統管理員角色,才能建立資訊屏障原則。 根據預設,這些原則會套用至租用戶中的所有使用者。 如需資訊屏障的詳細資訊,請參閱 Microsoft Teams 中的資訊屏障

如何只將服務套用到租用戶中已取得服務授權的使用者?

系統管理員可以自定義工作負載 (位置,) 、包含的使用者,以及 Microsoft Purview 合規性入口網站 中排除的使用者。 如需詳細資訊,請參閱 Microsoft Teams 中的資訊屏障

Microsoft Purview 資訊保護:客戶金鑰

使用客戶金鑰 (之前名為 Microsoft 365) 的客戶金鑰,您可以控制組織的加密金鑰,並設定 Microsoft 365 使用它們來加密 Microsoft 數據中心內的待用數據。 換句話說,客戶金鑰可讓您新增屬於您、使用您自己的金鑰的一層加密。 客戶密鑰透過 Microsoft 365 待用數據加密服務,為多個 Microsoft 365 工作負載提供待用數據加密支援。 此外,客戶金鑰還提供 SharePoint Online 和 商務用 OneDrive 資料的加密,以及 Exchange Online 信箱層級加密。

使用者如何從此服務獲益?

使用者可讓其待用資料在應用程式層使用其自己的組織所提供、控制及管理的加密金鑰加密,藉此從客戶金鑰獲益。

哪些授權提供使用者從服務獲益的許可權?

Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 合規性、365 F5 安全性 & 合規性、Microsoft 365 E5/A5/G5/F5 資訊保護 和治理,Office 365 E5/A5/G5 提供使用者從客戶密鑰獲益的許可權。 若要獲得客戶金鑰的完整優勢,您也必須具有 Azure 金鑰保存庫的訂閱。

服務如何佈建/部署?

設定 客戶金鑰 一文說明建立和設定必要 Azure 資源所需的步驟,然後提供設定客戶金鑰的步驟。

如何只將服務套用到租用戶中已取得服務授權的使用者?

提供多工作負載加密支援的 Microsoft 365 待用數據服務是租用戶層級服務。 雖然部分未取得授權的使用者在技術上可能可存取服務,但想要從服務獲益的任何使用者都必須具備授權。 若要 Exchange Online 信箱層級加密,使用者信箱必須獲得授權,才能指派數據加密原則。

Microsoft Purview 資訊保護:數據分類分析:活動總管 & 概觀內容

數據分類分析功能可在 Microsoft Purview 合規性入口網站 內使用。 概觀顯示數字內容的位置,以及最常見的敏感性資訊類型和標籤。 內容總管可讓您查看敏感數據的數量和類型,並可讓使用者依標籤或敏感度類型進行篩選,以取得敏感數據儲存位置的詳細檢視。 活動總管會顯示與敏感數據和標籤相關的活動,例如標籤降級或外部共用,可能會讓您的內容暴露在風險中。

活動總管提供單一窗格,讓系統管理員能夠看到與使用者正在使用的敏感性資訊相關的活動。 這些數據包括標籤活動、數據外洩防護 (DLP) 記錄、自動套用標籤、端點 DLP 等等。

內容總管可讓系統管理員為儲存在支援的 Microsoft 365 工作負載內的敏感性文件編製索引,並識別其所儲存的敏感性資訊。 此外,內容總管可協助識別以敏感度和保留標籤分類的檔。

使用者如何從此服務獲益?

信息保護和合規性系統管理員可以存取服務來取得這些記錄和索引數據的存取權,以瞭解敏感數據的儲存位置,以及哪些活動與此數據相關,並由用戶執行。

哪些授權提供使用者從服務獲益的許可權?

Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5 合規性、Microsoft 365 E5/A5/G5 資訊保護 & 治理和 Office 365 E5 的授權用戶可受益於 Microsoft 365 數據分類分析。

Microsoft 365 E3/A3/G3 和 Office 365 E3/A3/G3 僅允許使用者受益於內容總管數據匯總。

服務如何佈建/部署?

根據預設,租使用者內的所有用戶都會在租用戶層級啟用 [概觀內容] 和 [活動總管] 功能。 如需為授權使用者設定數據分類分析的資訊,請參閱:

如何只將服務套用到租用戶中已取得服務授權的使用者?

這項功能必須限於在 Microsoft Purview 合規性入口網站 內主動使用解決方案的使用者。

Microsoft Purview 資訊保護:雙重密鑰加密

雙重密鑰加密 (先前命名為 Microsoft 365 的雙重密鑰加密) 可讓您保護高度敏感的數據,以符合特殊需求,並維持加密密鑰的完整控制權。 雙重密鑰加密會使用兩個金鑰來保護您的數據,其中一個密鑰在您的控件中,第二個密鑰由 Microsoft Azure 安全地儲存。 若要檢視數據,您必須能夠存取這兩個金鑰。 因為 Microsoft 只能存取一個金鑰,所以您的金鑰和您的數據也無法供 Microsoft 使用,確保您完全掌控數據的隱私權和安全性。

使用者如何從此服務獲益?

用戶可以將其加密的數據移轉至雲端,進而受益於雙重密鑰加密,只要密鑰仍受到使用者的控制,就會防止第三方存取。 用戶可以保護和取用雙密鑰加密內容,類似於任何其他受敏感度標籤的內容。

哪些授權提供使用者從服務獲益的許可權?

Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/F5/G5 合規性和 Microsoft 365 F5 安全性 & 合規性、Microsoft 365 E5/A5/G5 資訊保護 和治理,EMS E5 提供使用者享有雙重密鑰加密的許可權。

服務如何佈建/部署?

雙重密鑰加密支持傳統型版本的 Microsoft Office for Windows。

如何只將服務套用到租用戶中已取得服務授權的使用者?

若要為授權使用者指派加密密鑰給 Office 365 和/或 Microsoft 365 組織內的數據,請遵循雙重密鑰加密部署指示。

Microsoft Purview 資訊保護:敏感度標籤

資訊保護 可協助組織探索、分類、標記及保護敏感性文件、電子郵件和會議,以及群組和網站。 系統管理員可以定義規則和條件來自動套用標籤、使用者可以手動套用標籤,或使用兩者的組合,其中會提供使用者套用標籤的建議。

使用者如何從此服務獲益?

使用者可以建立、手動套用或自動套用敏感度標籤,以及取用已套用敏感度標籤的內容,藉此受益。

哪些授權提供使用者從服務獲益的許可權?

針對 手動敏感度標籤,下列授權提供用戶權力:

  • Microsoft 365 E5/A5/G5/E3/A3/G3/F1/F3/Business Premium/商務用 OneDrive (方案 2)
  • 企業行動力 + 安全性 E3/E5
  • Office 365 E5/A5/E3/A3
  • AIP 方案 1
  • AIP 方案 2

針對 排程會議的手動敏感度標籤,下列授權提供用戶權力:

  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5/G5/F5 合規性
  • Microsoft E5/A5/G5/F5 資訊保護 與控管
  • Microsoft 365 F5 安全性 & 合規性
  • Office 365 E5/A5

針對 Teams 在線會議的手動敏感度標籤,下列額外授權提供用戶權力:

  • Microsoft 365 E5/A5/G5 + Teams 進階版
  • Microsoft 365 E5/A5/G5/F5 合規性 + Teams 進階版
  • Microsoft E5/A5/F5/G5 資訊保護 與治理 + Teams 進階版
  • Microsoft 365 F5 安全性 & 合規性 + Teams 進階版
  • Office 365 E5/A5 + Teams 進階版

要從輸入繼承標籤至 Microsoft 365 Copilot 的輸出,下列額外授權會提供用戶權力:

  • Microsoft 365 E3/E5 + Microsoft 365 Copilot

針對 Microsoft 365 Copilot 所產生內容的敏感度標籤,下列額外授權會提供用戶權力:

  • Microsoft 365 E5 + Microsoft 365 Copilot
  • Microsoft 365 E3 + Microsoft E5 合規性 + Microsoft 365 Copilot
  • Microsoft 365 E3 + Microsoft E5 資訊保護 與控管 + Microsoft 365 Copilot

針對 客戶端和服務端自動敏感度標籤,下列授權提供用戶權力:

  • Microsoft 365 E5/A5/G5
  • Microsoft E5/F5 合規性
  • Microsoft F5 安全性 & 合規性
  • Microsoft 365 E5/A5/G5 資訊保護 與控管
  • Office 365 E5/A5/G5

僅針對客戶端自動敏感度標籤,下列授權提供用戶權力:

  • Enterprise Mobility + Security E5/A5/G5
  • AIP 方案 2

要在Power BI中套用和檢視敏感度標籤,以及在從Power BI 匯出至 Excel、PowerPoint 或 PDF 時保護數據,下列授權提供用戶權力:

  • Microsoft 365 E5/A5/G5/E3/A3/G3/F1/F3/Business Premium
  • 企業行動力 + 安全性 E3/E5
  • AIP 方案 1
  • AIP 方案 2

若要 將默認敏感度標籤套用至 SharePoint 文件庫,下列授權會提供用戶權力:

  • Microsoft Syntex - SharePoint 進階管理
  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5/G5/F5 合規性
  • Microsoft 365 F5 安全性與合規性
  • Microsoft 365 E5/A5/G5/F5 資訊保護 與控管
  • Office 365 E5/A5/G5

若要使用敏感度標籤透過驗證內容條件式存取原則用至 SharePoint 網站,下列授權提供用戶權力:

  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5 資訊保護和控管
  • Office 365 E5/A5/G5

注意事項

您也可以透過驗證內容,直接透過 Set-SPOSite PowerShell Cmdlet 將條件式存取原則套用至 SharePoint 網站,而下列授權提供用戶權力:

  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/F5 合規性
  • Microsoft 365 E5 資訊保護和控管
  • Office 365 E5/A5/G5
  • Microsoft Syntex - SharePoint 進階管理

若要深入了解這些功能,請參閱 SharePoint 網站和 OneDrive 的條件式存取原則 - Microsoft 365 中的 SharePoint |Microsoft Learn

如需使用者如何從 AIPService PowerShell 模組獲益以管理 Azure 資訊保護 的 Azure Rights Management 保護服務的詳細資訊,請參閱 Azure 資訊保護

注意事項

除了上述授權資訊之外:

  • 除了進階/P2 授權之外,還必須指派標準/方案 1 授權,使用者才能存取 Office 365 和 AIP 的 資訊保護 敏感度標籤,即使已指派進階授權/方案 2 也一般。 例如,如果將 Office 365 Premium 的 資訊保護 指派給使用者,該使用者也必須具有指派 Office 365 標準的 資訊保護,才能使用敏感度標籤。 如果將 AIP P2 指派給使用者,該使用者也必須指派 AIP P1。
  • Power BI 隨附於 Microsoft 365 E5/A5/G5;在所有其他方案中,必須個別授權 Power BI。
  • 如需以機器學習為基礎之自動分類的使用者權益資訊, (可訓練分類器) ,請參閱 資訊控 管和/或 記錄管理
  • 不支援 MIP) (敏感度按鈕,或不適用於 Office 365 Apps 的裝置型授權。

服務如何佈建/部署?

根據預設,租使用者內的所有用戶都會在租用戶層級啟用信息保護功能。 如需設定授權用戶原則的相關信息,請參閱啟用 Azure Rights Management。

如何只將服務套用到租用戶中已取得服務授權的使用者?

除了使用 Microsoft Purview 資訊保護掃描器 (先前稱為 AIP 掃描器,且現在可透過 Purview 合規性入口網站) 功能存取時,原則的範圍可以限於特定群組或使用者,而且可以編輯登錄,以防止未授權的使用者執行分類或標記功能。

針對 Microsoft Purview 資訊保護掃描器功能,Microsoft 不會認可為未獲授權的使用者提供檔案分類、標籤或保護功能。

如需詳細資訊,請參閱:

Microsoft Purview 內部風險管理

如需詳細資訊,請參閱 Microsoft Purview 服務描述

測試人員風險管理鑑識辨識項

測試人員風險管理的鑑識辨識證據附加元件是什麼?

鑑識辨識項是 Microsoft Purview 內部風險管理 中加入加入的容量附加元件功能,可讓安全性小組深入瞭解潛在的內部數據安全性事件,並內建用戶隱私權。

哪一個授權提供客戶從服務獲益的許可權?

測試人員風險管理的鑑識辨識證據附加元件適用於具有 Microsoft 365 E5/G5、Microsoft 365 E5/G5 合規性或 Microsoft 365 E5/G5 測試人員風險管理授權的組織。

客戶可以每月以 100 GB 的單位購買鑑識辨識項附加元件。 購買的容量會根據租用戶層級的鑑識辨識項擷取,針對以系統管理員所設定之鑑識辨識項原則為範圍的用戶進行計量。

客戶如何存取服務?

客戶可以在 Microsoft Purview 合規性入口網站 中存取服務。 您可以 在我們的技術檔中深入瞭解鑑識辨識項