Microsoft 365 解决方案:Office 365 Sensitivity Label+Azure Conditional Access打造 SharePoint 数据安全保障

51CTO 博客链接:​​https://blog.51cto.com/u_13637423​​  

最近遇到一个客户需求,对设备和数据的安全性管理有一定的安全+合规标准,今天整理一下,分享给大家,希望能给相关行业的用户带来一些解决方案性的帮助。

客户需求:

·       关于机密数据,小部分Managed Device的员工可以访问存储机密数据的网站,其他员工即便使用Managed Device也无法访问该网站

·       员工不可以通过Unmanaged device访问存储机密数据的任意网站,可以通过Unmanaged device访问存储非机密数据的网站

解决方案分析:

客户对数据安全和硬件设备访问都有一定的要求标准,在满足Office 365 E5的License的情况下,可以结合Office 365 Compliance Admin Center的Sensitivity Label和Azure AD的Conditional Access以及SharePoint Permission等相关功能进行设计,满足客户的需求。

·       Sensitivity Label,启用SharePoint Site和Teams,容器级别申请使用Sensitivity Label,而不是Mail+Document内容级别的设定

·       Conditional Access,启用Office App设定的规则,限制相关设备访问

·       SharePoint Permission 来限制谁有权限访问机密数据的网站

Sensitivity Label核心配置如下:

1.      在配置Sensitivity Label的过程中,Scope需要选择“Group & Sites”,如下图所示:

Microsoft 365 解决方案:Office 365  Sensitivity Label+Azure Conditional Access打造 SharePoint 数据安全保障

2.      定义受限访问页面,选择“External sharing and configure Conditional Access settings,确保能与Azure AD中的Conditional Access做集成,一起保护SharePoint中的数据访问,如下所示:

Microsoft 365 解决方案:Office 365  Sensitivity Label+Azure Conditional Access打造 SharePoint 数据安全保障

3.      在External sharing and configure Conditional Access settings页面,选择“Block Access”,确保即便有访问机密网站的用户在Unmanaged device上也不能访问该网站

Microsoft 365 解决方案:Office 365  Sensitivity Label+Azure Conditional Access打造 SharePoint 数据安全保障

说明:配置+Publish Sensitivity Label之后,不会立刻生效,会在24小时内生效

Azure AD Conditional Access 核心配置如下:

1.      在Azure AD ->Security-> Conditional Access页面,新建Policy,如下图所示:

Microsoft 365 解决方案:Office 365  Sensitivity Label+Azure Conditional Access打造 SharePoint 数据安全保障

2.      在User or Workload identity页面,选择“All Users”,如下所示:

Microsoft 365 解决方案:Office 365  Sensitivity Label+Azure Conditional Access打造 SharePoint 数据安全保障

3.      在Cloud Apps or Actions页面,选择“Office 365 SharePoint Online”,如下所示:

Microsoft 365 解决方案:Office 365  Sensitivity Label+Azure Conditional Access打造 SharePoint 数据安全保障

4.      在Conditional 页面,选择Client Apps页面的Configure是Yes,Modern Authentication Clients,确保全部选中状态,如下所示:

Microsoft 365 解决方案:Office 365  Sensitivity Label+Azure Conditional Access打造 SharePoint 数据安全保障

5.      Access Control的session页面,选择“Use app enforced restriction”,如下图所示:

Microsoft 365 解决方案:Office 365  Sensitivity Label+Azure Conditional Access打造 SharePoint 数据安全保障

新建网站集核心配置如下:

1.      在新建网站集页面,展开“Advanced”,选择预先设定的Sensitivity Label,如下图所示:

Microsoft 365 解决方案:Office 365  Sensitivity Label+Azure Conditional Access打造 SharePoint 数据安全保障

2.      执行PowerShell命令,启用SharePoint Online受限访问:Set-SPOTenant -ConditionalAccessPolicy AllowLimitedAccess

3.      执行PowerShell命令,对设置Sensitivity Label的网站设置block access:Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site or OneDrive account> -ConditionalAccessPolicy BlockAccess

Device 核心配置如下:

确保Device属于Managed Device,一种Device是Hybrid Azure AD Managed Device:Device加入本地DomainController,通过Azure AD Connect同步到云端,作为Hybrid Azure AD Managed Device;另一种是Device通过Access Connection,注册了Office 365 Cloud账户,该Device为Registered Device。

通过这两种Device类型,用户在有网站权限的情况下,可以访问Sensitivity Label Sensitivity Label 的网站。

如果用户有网站的访问权限,但是通过unmanaged device访问该网站的话,收到如下提示:

Microsoft 365 解决方案:Office 365  Sensitivity Label+Azure Conditional Access打造 SharePoint 数据安全保障

说明

·       不影响用户在unmanaged device访问public 的网站内容。

·       SharePoint Permission,正常配置即可,没有特别复杂度。

发表评论

相关文章