Triển khai Sensitivity Label trên Microsoft Purview (Phần 2)

  1. Home
  2. »
  3. Microsoft Security
  4. »
  5. Triển khai Sensitivity Label trên Microsoft Purview (Phần 2)

1. Kích hoạt chức năng nhãn cho Groups

Cài đặt Microsoft.GraphMicrosoft.Graph.Beta module bằng 2 lệnh bên dưới:

Install-Module Microsoft.Graph -Scope CurrentUser

Install-Module Microsoft.Graph.Beta -Scope CurrentUser

Tiến hành kết nối đến tenant
Connect-MgGraph -Scopes "Directory.ReadWrite.All"

Lấy các cài đặt nhóm hiện tại cho Microsoft Entra và hiển thị cài đặt nhóm hiện tại.
$grpUnifiedSetting = Get-MgBetaDirectorySetting -Search DisplayName:"Group.Unified"

Cấu hình các thiết lập mới

Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params

Và kiểm tra giá trị mới đã hiện diện
$Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
$Setting.Values

Thông tin EnableMIPLabels ở trạng thái True đồng nghĩa chức năng nhãn đã được kích hoạt trên Group.

Giao diện tạo Group Microsoft 365 trên Entra ID sau khi kích hoạt chức năng tạo nhãn

Tham khảo thêm chi tiết ở đây Assign sensitivity labels to groups – Microsoft Entra ID | Microsoft Learn

2. Kích hoạt chức năng nhãn cho các tập tin trong SharePoint và OneDrive

Trong bước này, chúng ta sẽ cài đặt module MSOnlineSharePoint Online PowerShell, kích hoạt chức năng hỗ trợ Sensitivity Label cho OneDrive, Teams, SharePoint trên tenant của tổ chức.

Mở PowerShell bằng quyền quản trị và chọn Yes ở thông báo User Account Control

Nhập vào dòng lệnh sau để cài đặt module MS Online PowerShell mới nhất, chọn Y (Yes) hoặc A (Yes to All) để tiến hành cài đặt. Quá trình này có thể cần vài phút để hoàn tất.
Install-Module -Name MSOnline

Thực hiện tương tự trên module SharePoint Online PowerShell
Install-Module -Name Microsoft.Online.SharePoint.PowerShell

Sau khi cài đặt hoàn tất, tiến hành kết nối với tenant Microsoft 365 qua PowerShell. Trong giao diện Sign into your account, đăng nhập bằng tài khoản quản trị tenant của tổ chức.
Connect-MsolService

Lấy thông tin domain
$domain = get-msoldomain

Lấy SharePoint admin url
$adminurl = "https://" + $domain.Name.split('.')[0] + "-admin.sharepoint.com"

Đăng nhập vào trung tâm quản trị SharePoint Online admin center:
Connect-SPOService -url $adminurl

Kích hoạt chức năng hỗ trợ Sensitivity Label cho SharePoint, Teams, OneDrive
Set-SPOTenant -EnableAIPIntegration $true

Kích hoạt chức năng hỗ trợ cho tập tin định dạng PDF
Set-SPOTenant -EnableSensitivityLabelforPDF $true

03. Use Case

Trong ví dụ minh họa này, chúng ta sẽ tạo nhãn Payroll để phân quyền cho bảng lương công ty chỉ có 3 người là Giám đốc tài chính (Finance Manager), Giám đốc Nhân sự (HR Manager) và Tổng Giám Đốc (CEO) có thể truy cập được. Trong tình huống vô tình/cố ý gửi tập tin bảng lương những người dùng khác, họ cũng không thể truy cập

Bước 1: Tạo Sensitivity Label

Để thực hiện, bạn truy cập trang web https://purview.microsoft.com/, vào Information Protection > Sensitivity Labels.  Chọn + Create a label để bắt đầu tạo một nhãn nhạy cảm mới.

Bạn điền các thông tin cơ bản cho nhãn nhạy cảm như Name (tên nhãn), Display name (tên hiển thị của nhãn), Label Priority (mức độ ưu tiên của nhãn), Description for users (phần mô tả hiển thị cho người dùng khi nhấn vào nhãn), Description for admins (phần mô tả cho quản trị viên) và Label color (màu nhãn).

Ở trang Define the scope for this label, bạn chọn vào phạm vi áp dụng cho nhãn và nơi nhãn sẽ xuất hiện sau khi xuất bản. Tùy vào các lựa chọn của mình mà các tùy chọn phía sau có thể sẽ khác nhau.

Trong ví dụ minh họa này, chọn tất cả các lựa chọn trừ Schematized data assets (preview) để sử dụng nhãn trên File (các tập tin tạo ra trong Word, Excel, Powerpoint,…), Emails (các email trong tất cả các phiên bản của Outlook), Meetings (lịch, cuộc họp trong Outlook và Teams), Groups & Sites (cấu hình quyền riêng tư, quyền truy cập, trên Teams, Microsoft 365 Groups, và SharePoint site)…Chọn Next để qua bước tiếp theo.

Chọn Control Access

Chọn Assign Permissions trong phần Assign permissions to specific users and groups. Tại đây bạn có thể lựa chọn đối tượng (gồm người dùng, nhóm, domain) có quyền trên nhãn. Trong trường hợp minh họa, chọn Add users and groups và lựa chọn 3 người dùng HR Manager, Finance Manager CEO.

Có thể chọn Choose Permissions để cấu hình quyền cụ thể hơn cho từng người.

Chọn Next cho đến khi gặp thông báo Create label để tiến hành tạo nhãn. Chọn Don’t create a policy yet.

Nhãn đã tạo sẽ xuất hiện trong giao diện Sensitivity Labels, và bạn có thể nhấn vào nút có đấu ba chấm kế bên tên nhãn chọn Create sublabel để tạo thêm nhãn phụ. Các thao tác thực hiện hoàn toàn tương tự như trên.

Bước 2: Xuất bản nhãn đã tạo

Trên giao diện Sensitivities Labels bạn nhấn chọn vào Publish Label để tiến hành xuất bản nhãn. Lưu ý nếu bạn muốn xuất bản nhãn phụ bạn cũng cần xuất bản luôn cả nhãn chính.

Trên trang Publish to users and groups, chọn để mặc định để xuất bản nhãn này cho tất cả người dùng. Lưu ý rằng đây là những người sẽ thấy nhãn xuất hiện trong các ứng dụng và dịch vụ của họ, còn những người có thể truy cập nội dung tài liệu có gắn nhãn đã được định nghĩa ở bước Control Access trước đó.

Bạn có thể nhấn Next đến khi gặp trang Name your policy để tiến hành đặt tên cho Label Policy này.

Các nhãn đã tạo xong sẽ xuất hiện ở giao diện Publishing Policies

Bước 3: Gán nhãn cho tài liệu

Trên bảng lương công ty, chọn vào mục Sensitivity > nhãn Payroll đã tạo để gán nhãn. Lưu lại tập tin bảng lương.

Kiểm tra hoạt động của nhãn dữ liệu đã tạo

Bạn tạo một email mới và gửi đính kèm bảng lương đến toàn bộ nhân viên trong công ty, những người bên ngoài tổ chức (cả email doanh nghiệp và email cá nhân như Gmail, Outlook.com).

 

Truy cập các email đã phân quyền của CEOHR Manager sẽ truy cập bình thường, trong khi các tài khoản khác sẽ báo lỗi truy cập.

04. Một số cấu hình nâng cao cho nhãn bằng PowerShell

Mặc dù bạn có thể xác định nhãn theo tên, nhưng lời khuyên nên sử dụng GUID để tránh nhầm lẫn tiềm ẩn khi chỉ định tên nhãn hoặc tên hiển thị. Tên nhãn là duy nhất trong tenant, do đó bạn có thể chắc chắn rằng mình cấu hình đúng nhãn. Tuy nhiên tên hiển thị không phải là duy nhất và có thể dẫn đến khả năng cấu hình nhãn sai. Để tìm GUID và xác nhận phạm vi của nhãn, bạn có thể sử dụng 2 dòng lệnh sau

Kết nối đến Information Protection PowerShell module bằng tài khoản Purview Admin

Connect-IPPSSession -UserPrincipalName [email protected]

Lấy thông tin của nhãn

Get-Label | Format-Table -Property DisplayName, Name, Guid, ContentType

Để xóa các cài đặt nâng cao khỏi nhãn, sử dụng cú pháp tham số AdvancedSettings tương tự, nhưng chỉ định giá trị chuỗi là null (ký tự rỗng). Ví dụ:
Set-Label -Identity 34e9c59a-3c18-493d-a0d1-00a7f9a83a0c -AdvancedSettings @{DefaultSharingScope=""}

Để kiểm tra cấu hình của nhãn, bao gồm các thiết lập nâng cao, sử dụng cú pháp sau với GUID của nhãn riêng:
(Get-Label -Identity 34e9c59a-3c18-493d-a0d1-00a7f9a83a0c).settings

Một số câu lệnh thường sử dụng khi làm việc với nhãn dữ liệu

Tạo một nhãn dữ liệu có tên là HR và tên hiển thị là HR Department
New-Label -DisplayName "HR Department" -Name "HR"

Tạo một policy mới có tên HR Policy dựa trên nhãn HR
New-LabelPolicy -Name "HR Policy" -Labels "HR"

Đặt tên nhãn bản địa hóa và nhãn Tooltips cho “HR” bằng các ngôn ngữ khác nhau (tiếng Anh, tiếng Đức và tiếng Tây Ban Nha).
Set-Label -Identity "HR" -LocaleSettings '{"localeKey":"DisplayName","Settings":[{"Key":"en-us","Value":"English display name"},{"Key":"de-de","Value":"Deutscher Anzeigename"},{"Key":"es-es","Value":"Nombre para mostrar en Español"}]}','{"localeKey":"tooltip","Settings":[{"Key":"en-us","Value":"This is an example label"},{"Key":"de-de","Value":"Dies ist ein Beispieletikett"},{"Key":"es-es","Value":"Esta es una etiqueta de ejemplo"}]}'

Xóa tên nhãn được bản địa hóa và nhãn Tooltips cho “HR” ở các ngôn ngữ khác nhau (tiếng Anh, tiếng Đức và tiếng Tây Ban Nha).
Set-Label -Identity "HR" -LocaleSettings '{"localeKey":"DisplayName","Settings":[{"Key":"en-us","Value":""},{"Key":"de-de","Value":""},{"Key":"es-es","Value":""}]}','{"localeKey":"tooltip","Settings":[{"Key":"en-us","Value":""},{"Key":"de-de","Value":""},{"Key":"es-es","Value":""}]}'

Ví dụ này cấu hình cài đặt nâng cao được chỉ định cho tên chính sách nhãn Global Policy.
Set-LabelPolicy -Identity "Global Policy" -AdvancedSettings @{EnableCustomPermissions="False"}

 

Phụ lục: 

Bạn có thể tham khảo chi tiết hơn các dòng lệnh trong những link hướng dẫn sau trên Microsoft Learn.

Enable sensitivity labels for files in SharePoint and OneDrive | Microsoft Learn

New-Label (ExchangePowerShell) | Microsoft Learn

New-LabelPolicy (ExchangePowerShell) | Microsoft Learn

Set-Label (ExchangePowerShell) | Microsoft Learn

Set-LabelPolicy (ExchangePowerShell) | Microsoft Learn

 

Bài viết công nghệ: