以防護措施賦能員工自助服務：我們如何運用資料敏感度標籤來提升微軟的安全性

April 3, 2024 | Lukas Velush

透過建立一套嚴謹的資料敏感度標籤系統，並與我們資料領域中不同層級的保護措施對應，我們能夠將資料遺失的可能降至最低，同時賦予員工更多的自主權。

在微軟，賦予員工發揮最佳表現的能力，就是信任他們能夠自主決定。但為了確保過程中的安全，我們必須建立清晰的資料防洩漏系統。我們將這樣的系統稱為具備防護措施的自助服務。

能夠賦予員工這樣的自由，仰賴的是一套健全的治理策略，該策略涵蓋了我們資料領域中的各項資源，包括為 Microsoft 365 群組、SharePoint 網站、Microsoft Teams、Viva Engage 社群以及員工創建和使用的任何其他工作區或檔案所設置的員工專用資料敏感度標籤。良好的治理結果使員工能夠在自助服務環境中自信地採取行動，而不必擔心洩露敏感資訊的風險。

如果您正在考慮更新貴組織的治理策略，我們在這方面的豐富經驗，可以為您的規劃提供指引。

[了解我們如何運用資料敏感度標籤來保護 Microsoft Teams Premium會議的安全性。 了解我們如何在 Microsoft 365中使用自助式資料度敏感標籤。探索我們如何透過良好的治理來充分發揮生成式 AI 在微軟的潛力。]

我們必須真正退一步思考，以對企業和員工有意義的方式來劃分資料。透過標籤，讓我們能夠將政策直接套用於物件和容器，進而防止或控制敏感內容的過度共享。

— David Johnson, 微軟數位首席專案管理架構師

關鍵問題與風險所在：正確實施自助服務的重要性

為了遵循零信任原則運作，我們需要一個能讓我們檢視、標記和保護資料的連貫系統。否則，資料防洩漏的責任將完全落在員工身上，他們每次皆必須自行判斷如何儲存和分享潛在敏感內容。

每次處理工作文件時，將這樣的重擔放在員工身上，實在過於沉重。

微軟數位部門（MSD）首席專案經理架構師，, David Johnson 表示：「我們必須真正退一步思考，以對企業和員工有意義的方式來劃分資料。透過標籤，讓我們能夠將政策直接套用於物件和容器，進而防止或控制敏感內容的過度共享。」

除了保護內部內容、客戶資料和專有資訊之外，主要風險是透過公開存取憑證將為我們的資料資產帶來漏洞。例如，內部文件可能包括知識產權，如原始碼。

微軟安全與合規合作夥伴集團產品經理 Maithili Dandige 表示：「我們在保護資料中心和資訊來源方面投入了大量安全投資，因為它們儲存著我們最敏感的資訊，而憑證是存取這些資訊的關鍵。」

如果惡意攻擊者可以存取這些憑證或其他敏感訊息，將可能造成極大損害。正確地分類、標記和保護文件和容器，是確保敏感資訊和憑證不會洩露的最佳方法。

以使用者為中心的資料敏感度標籤

MSD 是一個負責支援、保護並透過技術賦能公司的組織，其內部的 IT 專業人員與跨領域團隊合作，以建立正確的治理架構。

微軟安全與風險部門資訊保護服務的首席專案經理 Faye Harold 表示：「我們花費了大量時間與監督委員會合作，這過程中涉及了我們的法務團隊、人力資源、安全團隊以及微軟數位部門（MSD），共同定義每個標籤的含義。」

在支援各種資料治理控制所需的深度與確保標籤不會對使用者造成負擔之間，找到一個平衡點是非常重要的。

在微軟，我們使用四個標籤對容器和檔案進行分類：

高度機密性：我們僅與指定接收者分享微軟最關鍵的資料。

保密：任何對於實現微軟目標至關重要的專案，僅根據需要知道的原則進行有限範圍的分發。

一般：個人設定和郵遞區號等日常工作資料，可以在微軟內部共用。
公用：我們自由分享供公眾使用的無限制公開資料。包括公開發布的原始碼和財務狀況等資訊

處理敏感標籤的方法是詢問它解決了什麼問題。標籤決定了您對特定項目所應用的自動化控制措施，例如加密、浮水印，或者員工是否可以與組織外部的人員共用專案。

— Maithili Dandige, 微軟安全與合規合作夥伴集團產品經理

負責管理 SharePoint 網站等工作區的管理員會設定預設標籤，這為容器內物件的適當存取和流通提供了基礎，減輕了員工標籤的負擔。

「處理敏感度標籤的方法是問它解決了什麼問題，」Dandige 說。「標籤決定了你對某些項目應用的自動控制，例如加密、浮水印，或員工是否可以與組織外的人分享項目。」

使用者和管理員應用的敏感度標籤對應到幾個不同類別的政策，這些政策預測並降低資料丟失和風險。它們傳達了四個關鍵領域：

隱私等級：標籤決定了工作區在內部是否廣泛可用或是私人網站。

外部權限：訪客許可透過群組分類管理，允許指定的合作夥伴在適當時存取團隊。

共享指南：我們將重要的治理政策與容器的標籤綁定。例如，員工是否可以在微軟之外共享此工作區？這個群組是否限於特定部門或團隊？是否僅限於特定人員？標籤確立了這些規則。

條件存取：雖然在微軟尚未實施，但將身份和設備驗證與容器標籤綁定引入了額外的治理控制。

在 MSD 內部，我們對每個標籤如何與相關政策對齊進行了大量考慮。例如，當容器接收到「機密」的預設標籤時，訪客成員資格和共享將被禁用。即使文件離開了員工創建它的 SharePoint 網站，這也提供了權利保護。你可以在下面看到我們的敏感度標籤及其政策的更多邏輯。

這張圖表展示了不同政策在工作中的邏輯，這些政策都是由我們在 Microsoft 365 中的不同敏感度標籤所驅動的。

如果容器擁有者需要為一組文件設定不同的政策以提供更大的外部存取權限，他們可以自行建立新群組，而不會意外違反我們的治理規範。

Microsoft Purview 是我們數據資產管理工具套件，對這些治理工作至關重要。它完成了三組任務：將我們的標籤結構映射到相關政策，根據我們的標準進行驗證，並透過自動化支援自助數據丟失防護措施。

自動化特別有用。我們已配置 Microsoft Purview Information Protection 自動掃描不當憑證、惡意用戶行為和其他未受適當保護的敏感資訊。當 Purview 檢測到違規行為時，我們的治理團隊會收到警報，提示他們透過升級項目的敏感度標籤或要求員工解決問題來控制風險。

最終達成一個系統，允許員工靈活地自我管理他們的數位工作區，同時提供護欄，幫助我們的治理專家在不過度消耗時間和資源的情況下採取適當的行動。

有效數據治理的藍圖

那麼，你如何開始自己的治理之旅呢？我們學到的許多經驗教訓可以適應不同的業務環境。

你的標籤、政策和整體治理策略不會與我們完全相同。但透過考慮你組織的獨特需求和你試圖解決的問題，Microsoft 365 的標籤功能和 Microsoft Purview 提供的數據治理能力將擁有大多數你所需的工具，而無需從頭開始建構解決方案。

將事情分解為你的數據作為整體資產的位置、當前的保護方式以及未受保護的最珍貴數據。然後你可以制定計劃。

—— Faye Harold，微軟安全與風險信息保護服務首席項目經理

首先要牢牢掌握你的數據資產狀況。

「將事情分解為你的數據作為整體資產的位置、當前的保護方式以及未受保護的最珍貴數據，」Harold 說。「然後你可以制定計劃。」

在你對數據資產有了全面了解之後，你可以應用一致的標籤和治理策略。以下是結構化你努力的十步藍圖。

正確進行租戶數據治理的十個步驟

我們認為你可能會發現，在開始考慮如何標籤電子郵件和文件或考慮自動標籤之前，先標籤你的容器會更容易。

1	讓員工能夠在你的 Microsoft 365 應用程式中創建新的工作區。透過在統一的 Microsoft 365 租戶上維護所有數據，你可以確保你的治理策略適用於任何新的工作區。	2	將你的分類限制在最多五個主標籤和五個子標籤。這樣一來，員工就不會因為選項過多而感到不知所措
3	讓你的標籤簡單且易讀。例如，「業務關鍵」標籤可能暗示機密性，但每個員工的工作對他們來說都感覺很重要。另一方面，「高度機密」或「公開」的含義則非常明確。	4	對你的數據容器進行標籤以進行分段，確保你的數據不會在默認情況下過度曝光。考慮將你的容器標籤預設為「私人：無訪客」設置。
5	從主容器標籤派生文件標籤。這種一致性在多個層級上增強了安全性，並確保偏離預設值的情況是例外，而不是常態。	6	訓練員工處理和標記敏感數據，以提高準確性，並確保他們能夠識別生產力套件中的標籤提示。
7	信任員工應用敏感度標籤，但也要進行驗證。根據資料防洩漏標準進行檢查，並透過 Microsoft Purview 自動化進行自動標籤和隔離。	8	使用強大的生命周期管理政策，要求員工對容器進行認證，建立責任鏈。
9	從源頭限制過度共享，啟用公司可共享的連結，而不是強迫員工添加大型群組以獲取訪問權限。對於高度機密的項目，僅限於需要知道的員工進行共享。	10	使用 Microsoft Graph Data Connect 提取功能結合 Microsoft Purview 來在事後捕捉並報告過度共享的情況。當你發現異常時，控制漏洞或要求負責人自行修復。