Sensitivity label (gọi là nhãn nhạy cảm) là thành phần không thể thiếu trong quá trình triển khai các giải pháp bảo mật thông tin và chống thất thoát dữ liệu trong các tổ chức. Tất cả các giải pháp Microsoft Purview Information Protection đều được triển khai dựa trên các sensitivity label này.
Bài viết sẽ gồm 2 phần: phần 1 tập trung vào phần giải thích chi tiết, phần 2 sẽ tập trung vào các câu lệnh Powershell và Use case.
Trong bài viết này sẽ sử dụng từ nhãn cho ngắn gọn. Để tạo được những nhãn này, chúng ta có thể sử dụng giao diện Microsoft Purview compliance portal cũ (https://compliance.microsoft.com) hoặc giao diện Microsoft Purview mới (https://purview.microsoft.com). Lưu ý rằng cuối năm 2024 này, Microsoft sẽ bỏ giao diện Microsoft Purview Compliance portal cũ.
Các hướng dẫn đều sẽ thực hiện trên giao diện Microsoft Purview mới.
1. Phân quyền tạo nhãn
Để đảm bảo có đủ quyền thực hiện việc tạo và quản lý nhãn, người dùng cần thuộc một trong các nhóm vai trò (Role Group) sau đây:
- Information Protection
- Information Protection Admins
- Information Protection Analysts
- Information Protection Investigators
- Information Protection Readers
Để gán một người dùng vào một Role Group, Global Admin truy cập vào trang https://purview.microsoft.com chọn View all solutions > Settings.
Dưới mục Settings chọn Roles and scopes > Role groups, chọn một trong các Role Group ở phía trên.
Chọn Edit > Choose Users và lựa chọn người dùng muốn phân quyền tạo nhãn. Xong chọn Select > Next > Save.
2. Quy trình tạo Sensitivity Label
Quá trình tạo và sử dụng Sensitivity Label có thể mô tả gồm 3 bước chính:
Bước 1: Tạo Sensitivity Label
Tạo và cấu hình Sensitivity Label sẽ sử dụng cho các ứng dụng và dịch vụ. Chẳng hạn, bạn tạo nhãn để người dùng thấy và chọn trong các ứng dụng Office.
Tổ chức có thể tạo nhiều nhãn ứng với nhiều nhu cầu khác nhau
Bước 2: Tạo Label Policy/Auto labeling Policy
Tạo một hoặc nhiều chính sách nhãn (Label Policy) sử dụng nhãn đã tạo. Quá trình này đồng nghĩa bạn sẽ xuất bản nhãn đã tạo cho những người dùng được chọn trong tổ chức. Theo đó, các nhãn sẽ xuất hiện cho những người dùng này trên những ứng dụng có hỗ trợ nhãn.
Xuất bản nhãn là bước bắt buộc để người dùng có thể chọn nhãn
Bước 3: Gán Sensitivity Label
Người dùng sẽ chọn nhãn để áp dụng các thiết lập, chính sách của tổ chức trên các ứng dụng và dịch vụ. Trong trường hợp sử dụng Auto labeling policy, nhãn sẽ tự động được gán khi thỏa điều kiện.
Nhãn đã xuất bản sẽ xuất hiện để người dùng lựa chọn hoặc tự động gán với chức năng Auto labeling
Mặc định trên hệ thống Microsoft Purview sẽ không có bất kỳ nhãn nào, tuy nhiên bạn có thể tự động các nhãn mặc định và một chính sách nhãn mặc định. Ngay cả việc bạn đã có vài nhãn trên tenant của mình, cũng sẽ rất hữu ích để xem các cấu hình của những nhãn mặc định này. Bạn có thể tạo các cấu hình thủ công/tự động tương tự để giúp đẩy nhanh quá trình triển khai nhãn của riêng mình.
Bạn có thể tìm hiểu kỹ hơn về các nhãn mặc định và yêu cầu về license để sử dụng trên Microsoft Learn Default labels and policies for Microsoft Purview Information Protection.
3. Lưu ý khi sử dụng Sensitivity Label
Bạn có thể chỉnh sửa nhãn và chính sách nhãn sau khi đã xuất bản.
Hãy chờ tối đa 24 giờ để các thay đổi được áp dụng cho tất cả các ứng dụng và dịch vụ. Tuy nhiên, có một số trường hợp trong đó các thay đổi về chính sách nhãn và nhãn có thể có hiệu lực nhanh hơn hoặc lâu hơn 24 giờ. Chẳng hạn, đối với các nhãn mới hoặc nhãn đã xóa cho Word, Excel và PowerPoint trên web, bạn có thể thấy các bản cập nhật chỉ trong vòng một giờ. Tuy nhiên, đối với các cấu hình cho Group mới và các thay đổi về thành viên Group, những thay đổi này có thể mất 24-48 giờ.
Nếu bạn chỉ tạo mà không xuất bản, nhãn sẽ không có sẵn để chọn trong ứng dụng hoặc dịch vụ. Để người dùng thấy nhãn, chúng phải được thêm vào chính sách nhãn
Nếu muốn xuất bản một nhãn phụ (sublabel), bạn cũng phải xuất bản nhãn chính.
4. Loại bỏ và xóa nhãn nhạy cảm
Trong môi trường vận hành thực tế của doanh nghiệp, bạn có thể sẽ khó loại bỏ nhãn (Remove) khỏi chính sách nhãn hoặc xóa nhãn (Delete) vì có thể ảnh hưởng đến nhiều thành phần tài liệu liên quan. Nhiều khả năng bạn sẽ cần phải thực hiện 2 thao tác này trong giai đoạn thử nghiệm ban đầu khi triển khai các giải pháp bảo vệ và chống thất thoát dữ liệu. Và quan trọng, hãy chắc chắn một điều rằng bạn hiểu rõ những gì sẽ xảy ra khi bạn thực hiện một trong hai hành động (loại bỏ nhãn ra khỏi chính sách nhãn, xóa nhãn) này.
Loại bỏ một nhãn ra khỏi chính sách nhãn sẽ ít rủi ro hơn so với việc xóa luôn nhãn vì bạn luôn có thể thêm lại sau này nếu có nhu cầu sử dụng lại. Bạn sẽ không thể xóa một nhãn nếu nhãn đó vẫn còn nằm trong chính sách nhãn. Do đó cần xóa chính sách nhãn trước, xóa nhãn sau.
Khi bạn loại bỏ một nhãn khỏi chính sách nhãn để nhãn không còn xuất hiện với những người dùng được chỉ định ban đầu nữa thì ở lần làm mới chính sách nhãn tiếp theo, người dùng sẽ không còn thấy nhãn đó xuất hiện để chọn trong ứng dụng Office của họ nữa.
Nếu nhãn đó đã được áp dụng cho dữ liệu thì nhãn vẫn sẽ tồn tại, sẽ không bị xóa khỏi nội dung hoặc vùng chứa đã chọn ban đầu. Chẳng hạn, người dùng đang sử dụng nhãn trong ứng dụng Word, Excel và PowerPoint trên máy tính vẫn thấy tên nhãn được áp dụng trên thanh trạng thái. Một nhãn cho vùng chứa đã được áp dụng sẽ vẫn tiếp tục bảo vệ Teams hoặc trang SharePoint.
Khi nói về việc xóa nhãn:
Nếu nhãn đã áp dụng mã hóa (encryption), template bảo vệ cơ bản sẽ được lưu trữ để nội dung được bảo vệ trước đó vẫn có thể mở được. Bởi vì có template bảo vệ đã lưu trữ này nên bạn không thể tạo nhãn mới có cùng tên. Mặc dù bạn có thể xóa template bảo vệ bằng cách sử dụng PowerShell nhưng đừng làm điều này trừ khi bạn chắc chắn rằng mình sẽ không cần mở nội dung đã được mã hóa bằng template đã lưu trữ trước đó nữa.
Đối với các tài liệu được lưu trữ trong SharePoint hoặc OneDrive và bạn đã bật chức năng nhãn cho các tập tin Office: Khi bạn mở tài liệu trong Office dành cho web, bạn sẽ không thấy nhãn được áp dụng trong ứng dụng và tên nhãn không còn hiển thị trong cột Sensitivity trong SharePoint. Nếu nhãn đã xóa có áp dụng chính sách mã hóa và các dịch vụ có thể xử lý nội dung được mã hóa thì mã hóa sẽ bị xóa. Các hành động đi ra từ các dịch vụ này đều dẫn đến kết quả tương tự nhau. Chẳng hạn các tác vụ như download (tải xuống), copy to (sao chép đến), move to (di chuyển đến) và open with an Office desktop or mobile app (mở bằng ứng dụng Office trên máy tính hoặc thiết bị di động). Mặc dù thông tin nhãn vẫn còn trong siêu dữ liệu (metadata) của tập tin nhưng các ứng dụng không còn có thể ánh xạ ID nhãn với tên hiển thị được nữa, vì vậy người dùng sẽ cho rằng tập tin không được gắn nhãn.
Đối với các tài liệu được lưu trữ bên ngoài SharePoint và OneDrive hoặc bạn chưa bật nhãn nhạy cảm cho tập tin Office và cho email. Khi mở nội dung, thông tin nhãn trong siêu dữ liệu vẫn còn nhưng không có ID nhãn để ánh xạ với tên, do đó người dùng sẽ không thấy tên nhãn đã áp dụng được hiển thị. Nếu nhãn đã xóa có áp dụng mã hóa thì mã hóa vẫn còn và người dùng vẫn thấy tên cũng như mô tả của template bảo vệ hiện đã được lưu trữ.
Đối với các vùng chứa (container), chẳng hạn như các site trong SharePoint và Teams: Nhãn sẽ bị loại bỏ và mọi cài đặt được cấu hình bằng nhãn đó sẽ không còn được thực thi nữa. Hành động này thường mất từ 48-72 giờ đối với các trang SharePoint và có thể nhanh hơn đối với Teams và Microsoft 365 Groups.
Xin lưu ý rằng nếu không có ánh xạ GUID-to-name sau khi bạn xóa nhãn, các nhãn đã xóa có thể hiển thị dưới dạng GUID thay vì tên nhãn trong các ứng dụng như Content Explorer và Activity Explorer trên Microsoft Purview.
Giống như tất cả các thay đổi về nhãn, việc loại bỏ nhãn khỏi chính sách nhãn hoặc xóa nhãn cần có thời gian để hiển thị cho tất cả người dùng và dịch vụ.
