本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

安全的 SharePoint Online 網站及檔案

 

適用版本:Office 365, Office 365 Enterprise, SharePoint Online

上次修改主題的時間:2017-08-09

摘要: 設定建議的保護 SharePoint Online 和 Office 365 中的檔案。

本文提供設定 SharePoint Online 網站及檔案保護,簡化共同作業與平衡安全性建議。本文定義四個不同的設定,啟動與公用網站最開啟的共用原則與組織內。每個額外的設定向上代表有意義的步驟中保護,但會比較難進行共同作業。使用這些建議當做起點並調整以符合組織需求的設定。

本文中的設定對齊的三層的資料、 身分識別、 和裝置的保護我們建議:

  • [比較基準保護

  • 機密保護

  • 高度機密保護

如需這些層與建議的每一層的功能的詳細資訊,請參閱下列資源。

在 Office 365 功能的各種上繪製小組網站的建議。高度機密網站的建議 Azure 資訊保護。這包含在企業行動性 + 安全性 (EMS)。

下圖顯示四個 SharePoint 小組網站的建議的設定。

如下所示:

  • [比較基準保護包含 SharePoint Online 小組網站的兩個選項-公用及私人網站。可以探索和組織中的任何人存取公用網站。私用網站可以只探索和存取網站的成員。這兩個這些站台組態允許共用外的群組。

  • 敏感和最高機密保護的網站有共用限制為僅群組成員的私用網站。

  • Office 標籤所定義。每個 SharePoint Online 小組網站設定成自動 label 的預設標籤與文件庫中的網站的檔案。對應的四個網站設定,在此範例中的標籤是內部公用、 私人、 機密、 和高度機密。使用者可以變更標籤,但此設定可確保所有檔案都接收的預設標籤。

  • 資料外洩防護 (DLP) 規則會為敏感和最高機密網站組態設定。DLP 規則為警告或其嘗試傳送組織外的受保護的檔案時防止使用者使用之標籤。

  • 使用高度機密保護設定的網站、 Azure 資訊保護被設定為加密並授與權限的檔案。

SharePoint Online 和 OneDrive for Business 包含整個租用戶的設定會影響所有網站及使用者。這些設定的一些也可以在網站層級設為更嚴格 (但不是小於) 調整。本章節將討論影響安全性及共同作業的租用戶整體設定。

此解決方案,我們建議下列整個租用戶的設定:

  • 保留預設共用原則允許與所有的帳戶類型,包括匿名共用的所有共用。

  • 如果想要設定到期,匿名連結。

  • 變更預設的連結類型共用為 Internal。這有助於防止組織外部的意外資料外洩。

儘管可能有些直覺式允許外部共用,這個方法會提供更多控制權檔案共用相較於傳送電子郵件中的檔案。SharePoint Online 和 Outlook 共同運作來提供安全共同作業的檔案。

  • 根據預設,Outlook 會共用檔案而不是電子郵件中傳送之檔案的連結。

  • SharePoint Online 和 OneDrive for Business 輕鬆與所組織內外的參與者共用檔案的連結

您也可以協助管理外部共用的控制項。例如,您可以:

  • 停用匿名來賓連結。

  • 撤銷使用者對網站的存取。

  • 查看哪些人員擁有特定網站或文件的存取權。

  • 設定匿名共用到期 (租用戶設定) 的連結。

  • 可以共用 (租用戶設定) 您組織外部的限制。

如果您不允許外部共用,請使用商務使用者需要找到替代工具和方法。Microsoft 建議您將合併外部共用以保護機密檔案的 DLP 規則。

SharePoint Online 和 OneDrive for Business 的裝置存取設定可讓您判斷是否限制為僅使用瀏覽器存取 (無法下載檔案) 或如果封鎖存取。這些設定是目前正在第一個版本及套用租用戶全。即將推出的是能夠在網站層級設定裝置存取原則。此解決方案,建議您不使用適用於整個租用戶的裝置存取設定。

若要使用這些是在第一個版本時的裝置存取設定:設定 [一般] 或 [Office 365 中的第一個版本選項

瀏覽這些設定決定想要變更 OneDrive for Business 的網站的預設設定。目前的共用和裝置存取的設定重複從 SharePoint Online 系統管理中心並套用至這兩個環境。

下表摘要說明每個網站本文稍早所述的設定。使用這些設定作為起始點的建議及調整網站類型和設定以符合組織的需求。不是每個的組織需要每一種網站。只有少數組織需要高度機密保護。

 

 

[比較基準保護 #1

[比較基準保護 #2

機密保護

高度機密

描述

開啟搜索與組織內的共同作業。

私人的網站與使用共用允許外部群組的群組。

隔離的網站。共用只允許網站的成員。DLP 用來保護檔案。

隔離網站 + Azure 資訊保護加密的檔案。

私人或公開的小組網站

公用

私人

私人

私人

已經有存取權?

大家包括 B2B 使用者及來賓使用者的組織中。

僅限網站的成員。其他人可以要求存取。

僅限網站的成員。其他人可以要求存取。

僅限成員。其他人無法要求存取。

網站層級共用的控制項

允許與共用任何人。預設設定。

允許與共用任何人。預設設定。

只有網站的成員可存取之網站的內容。

成員可以授與特定網站、 內容非成員權限,但網站管理員需要核准這些動作。

只有群組成員可以存取此網站的內容。

共用僅限於網站的成員。

其他使用者無法要求網站或內容的存取權。

網站層級裝置存取控制項

沒有任何額外的控制項。

沒有任何額外的控制項。

即將推出的站台層級控制項。防止使用者下載檔案至非相容或非網域加入裝置。這可讓您僅供瀏覽器存取所有其他裝置。

即將推出的站台層級控制項。封鎖檔案下載至非相容或非網域加入裝置。

Office 365 標籤

內部公用

私人

機密

高度機密

DLP 規則

   

警告使用者傳送會標示為機密組織外的檔案時。

若要封鎖外部共用機密資料類型,例如信用卡號或其他個人的資料設定 (包括您所設定的自訂資料類型) 這些資料類型的 DLP 規則。

封鎖使用者傳送組織外部的檔案。允許使用者覆寫此設定以提供對齊,包括誰共用與檔案。

Azure 資訊保護

     

使用 Azure 資訊保護自動加密,並授與權限的檔案。萬一他們會外洩與檔案一起出差此保護。

Office 365 無法讀取使用 Azure 資訊保護加密的檔案。因此請注意的 DLP 規則可以只使用中繼資料 (包括標籤),但不是 (例如檔案內的信用卡號碼) 這些檔案的內容。

使用 Office 365 標籤建議與機密資料的環境。之後安裝和部署標籤:

  • 您可以將預設標籤套用至 SharePoint Online 小組網站、 文件庫使所有文件的文件庫中取得的預設標籤。

  • 您可以套用標籤內容自動是否符合特定條件。

  • 您可以套用保護使用 DLP 功能。

  • 在組織中的人員可以套用標籤手動在 web 上的 Outlook 中的內容 Outlook 2010 及更新版本、 OneDrive for Business、 SharePoint Online 和 Office 365 的群組。使用者經常知道最佳的內容類型他們正在處理,讓他們可以用它來分類及已套用適當的原則。

如下圖所,此解決方案包含建立下列標籤:

  • 高度機密

  • 機密

  • 私人

  • 內部公用

這些標籤會對應至在圖例中建議的網站和本文稍早的圖表。此解決方案建議設定 DLP 規則,以保護資料分類為敏感和最高機密。

使用 Azure 資訊保護套用標籤和儘向哪個部門請求追蹤檔案的保護設定。此解決方案,建議您用來加密及檔案需要保護的最高層級的權限授與的高度機密的標籤。

請注意 Azure Rights Management 加密套用至 Office 365 中的檔案、 時服務無法處理這些檔案的內容。共同撰寫 」、 「 eDiscovery 」、 「 搜尋 」、 「 Delve、 和 「 其他共同作業功能無法運作。DLP 可以採取行動基礎標籤,但不是在檔案的內容。

如下所示:

  • Azure 的資訊保護會設定 Microsoft Azure 入口網站中。建議設定的預設原則。

  • Azure 的資訊保護用戶端工具列設定標籤顯示。

有兩種方式可授與外部使用者存取權與 Azure 資訊保護受保護的檔案。在這兩個這些情況下,外部使用者必須具備 Azure AD 帳戶。如果外部使用者不會使用 Azure AD 組織中的成員,他們可以使用此註冊頁面為個別取得 Azure AD 帳戶: https://aka.ms/aip-signup

  • 將外部使用者新增至可用來設定標籤保護 Azure AD 群組 — 需要先將帳戶新增為 B2B 使用者您的目錄中。可能需要幾個小時的群組成員資格的 Azure Rights Management 快取。。使用此方法之後,權限會授與所有受保護的標籤 (偶數之前將使用者新增至 Azure AD 群組受保護的檔案) 與現有的檔案。

  • 外部使用者直接新增至標籤保護-您可以從組織 (例如 Fabrikam.com)、 Azure AD 的群組 (如 finance 組織內的群組) 或個別使用者加入的所有使用者。例如,您可以新增以及外部小組來保護標籤。使用此方法之後,權限會授與僅外部的實體新增至 [保護之後標籤以受保護的檔案。

若要使用 Azure 資訊保護由此解決方案所建議執行此程序。

  1. 啟動 Azure Rights Management

    請參閱 <啟動 Azure Rights Management

  2. 使用保護設定高度機密的標籤和發佈原則

    選取 [將對其套用之原則的使用者與群組]。建議的保護包含停用來列印、 複製及擷取內容、 和轉送的能力。請參閱如何設定 Rights Management 保護的標籤

  3. 安裝的資訊保護用戶端

    您可以使用指令碼及自動化安裝,或使用者可以手動安裝用戶端。請參閱下列資源:

  4. 檔案上傳至 SharePoint 文件庫

    請確定使用者知道要使用您的高度機密檔案的 SharePoint 文件庫。

https://technet.microsoft.com/zh-tw/library/mt784690.aspx
顯示: