Microsoft 365 解决方案:Office 365 Sensitivity Label+Azure Conditional Access打造 SharePoint 数据安全保障
Posted Shelley0415
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Microsoft 365 解决方案:Office 365 Sensitivity Label+Azure Conditional Access打造 SharePoint 数据安全保障相关的知识,希望对你有一定的参考价值。
51CTO 博客链接:https://blog.51cto.com/u_13637423
最近遇到一个客户需求,对设备和数据的安全性管理有一定的安全+合规标准,今天整理一下,分享给大家,希望能给相关行业的用户带来一些解决方案性的帮助。
客户需求:
· 关于机密数据,小部分Managed Device的员工可以访问存储机密数据的网站,其他员工即便使用Managed Device也无法访问该网站
· 员工不可以通过Unmanaged device访问存储机密数据的任意网站,可以通过Unmanaged device访问存储非机密数据的网站
解决方案分析:
客户对数据安全和硬件设备访问都有一定的要求标准,在满足Office 365 E5的License的情况下,可以结合Office 365 Compliance Admin Center的Sensitivity Label和Azure AD的Conditional Access以及SharePoint Permission等相关功能进行设计,满足客户的需求。
· Sensitivity Label,启用SharePoint Site和Teams,容器级别申请使用Sensitivity Label,而不是Mail+Document内容级别的设定
· Conditional Access,启用Office App设定的规则,限制相关设备访问
· SharePoint Permission 来限制谁有权限访问机密数据的网站
Sensitivity Label核心配置如下:
1. 在配置Sensitivity Label的过程中,Scope需要选择“Group & Sites”,如下图所示:
2. 定义受限访问页面,选择“External sharing and configure Conditional Access settings”,确保能与Azure AD中的Conditional Access做集成,一起保护SharePoint中的数据访问,如下所示:
3. 在External sharing and configure Conditional Access settings页面,选择“Block Access”,确保即便有访问机密网站的用户在Unmanaged device上也不能访问该网站
说明:配置+Publish Sensitivity Label之后,不会立刻生效,会在24小时内生效
Azure AD Conditional Access 核心配置如下:
1. 在Azure AD ->Security-> Conditional Access页面,新建Policy,如下图所示:
2. 在User or Workload identity页面,选择“All Users”,如下所示:
3. 在Cloud Apps or Actions页面,选择“Office 365 SharePoint Online”,如下所示:
4. 在Conditional 页面,选择Client Apps页面的Configure是Yes,Modern Authentication Clients,确保全部选中状态,如下所示:
5. Access Control的session页面,选择“Use app enforced restriction”,如下图所示:
新建网站集核心配置如下:
1. 在新建网站集页面,展开“Advanced”,选择预先设定的Sensitivity Label,如下图所示:
2. 执行PowerShell命令,启用SharePoint Online受限访问:Set-SPOTenant -ConditionalAccessPolicy AllowLimitedAccess
3. 执行PowerShell命令,对设置Sensitivity Label的网站设置block access:Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site or OneDrive account> -ConditionalAccessPolicy BlockAccess
Device 核心配置如下:
确保Device属于Managed Device,一种Device是Hybrid Azure AD Managed Device:Device加入本地DomainController,通过Azure AD Connect同步到云端,作为Hybrid Azure AD Managed Device;另一种是Device通过Access Connection,注册了Office 365 Cloud账户,该Device为Registered Device。
通过这两种Device类型,用户在有网站权限的情况下,可以访问Sensitivity Label Sensitivity Label 的网站。
如果用户有网站的访问权限,但是通过unmanaged device访问该网站的话,收到如下提示:
说明:
· 不影响用户在unmanaged device访问public 的网站内容。
· SharePoint Permission,正常配置即可,没有特别复杂度。
整理本文,是想给大家分享一下Office 365 Compliance与Azure AD集成的解决方案,加强对客户数据安全的管理,希望对大家有帮助,若有类似需求,欢迎线下讨论。
以上是关于Microsoft 365 解决方案:Office 365 Sensitivity Label+Azure Conditional Access打造 SharePoint 数据安全保障的主要内容,如果未能解决你的问题,请参考以下文章
微软宣布Office 365正式更名为Microsoft 365
Microsoft 365 解决方案:Office 365 Sensitivity Label+Azure Conditional Access打造 SharePoint 数据安全保障
更名为 Microsoft 365,Office 365进化了吗?
office 365被取消,全新 Microsoft 365 订阅版终于到来!