Microsoft 365 解决方案：Office 365 Sensitivity Label+Azure Conditional Access打造 SharePoint 数据安全保障

Posted 2022-08-15 Shelley0415

51CTO 博客链接：​​​https://blog.51cto.com/u_13637423​​  

最近遇到一个客户需求，对设备和数据的安全性管理有一定的安全+合规标准，今天整理一下，分享给大家，希望能给相关行业的用户带来一些解决方案性的帮助。

客户需求：

·       关于机密数据，小部分Managed Device的员工可以访问存储机密数据的网站，其他员工即便使用Managed Device也无法访问该网站

·       员工不可以通过Unmanaged device访问存储机密数据的任意网站，可以通过Unmanaged device访问存储非机密数据的网站

解决方案分析：

客户对数据安全和硬件设备访问都有一定的要求标准，在满足Office 365 E5的License的情况下，可以结合Office 365 Compliance Admin Center的Sensitivity Label和Azure AD的Conditional Access以及SharePoint Permission等相关功能进行设计，满足客户的需求。

·       Sensitivity Label，启用SharePoint Site和Teams，容器级别申请使用Sensitivity Label，而不是Mail+Document内容级别的设定

·       Conditional Access，启用Office App设定的规则，限制相关设备访问

·       SharePoint Permission 来限制谁有权限访问机密数据的网站

Sensitivity Label核心配置如下：

1.      在配置Sensitivity Label的过程中，Scope需要选择“Group & Sites”，如下图所示：

2.      定义受限访问页面，选择“External sharing and configure Conditional Access settings”，确保能与Azure AD中的Conditional Access做集成，一起保护SharePoint中的数据访问，如下所示：

3.      在External sharing and configure Conditional Access settings页面，选择“Block Access”，确保即便有访问机密网站的用户在Unmanaged device上也不能访问该网站

说明：配置+Publish Sensitivity Label之后，不会立刻生效，会在24小时内生效

Azure AD Conditional Access 核心配置如下：

1.      在Azure AD ->Security-> Conditional Access页面，新建Policy，如下图所示：

2.      在User or Workload identity页面，选择“All Users”，如下所示：

3.      在Cloud Apps or Actions页面，选择“Office 365 SharePoint Online”，如下所示：

4.      在Conditional 页面，选择Client Apps页面的Configure是Yes，Modern Authentication Clients，确保全部选中状态，如下所示：

5.      Access Control的session页面，选择“Use app enforced restriction”，如下图所示：

新建网站集核心配置如下：

1.      在新建网站集页面，展开“Advanced”，选择预先设定的Sensitivity Label，如下图所示：

2.      执行PowerShell命令，启用SharePoint Online受限访问：Set-SPOTenant -ConditionalAccessPolicy AllowLimitedAccess

3.      执行PowerShell命令，对设置Sensitivity Label的网站设置block access：Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site or OneDrive account> -ConditionalAccessPolicy BlockAccess

Device 核心配置如下：

确保Device属于Managed Device，一种Device是Hybrid Azure AD Managed Device：Device加入本地DomainController，通过Azure AD Connect同步到云端，作为Hybrid Azure AD Managed Device；另一种是Device通过Access Connection，注册了Office 365 Cloud账户，该Device为Registered Device。

通过这两种Device类型，用户在有网站权限的情况下，可以访问Sensitivity Label Sensitivity Label 的网站。

如果用户有网站的访问权限，但是通过unmanaged device访问该网站的话，收到如下提示：

说明：

·       不影响用户在unmanaged device访问public 的网站内容。

·       SharePoint Permission，正常配置即可，没有特别复杂度。

整理本文，是想给大家分享一下Office 365 Compliance与Azure AD集成的解决方案，加强对客户数据安全的管理，希望对大家有帮助，若有类似需求，欢迎线下讨论。