jannenevalainen.com logo
microsoft purview sensitivity labels jannenevalainen.com

Purview perusteet osa 6: Sensitivity Labels

Sensitivity Labelit ovat varmasti se näkyvin ja tunnetuin osa Purviewia. Niillä onkin tärkeä rooli organisaatiossa datan tunnistamiseen, luokitteluun ja suojaamiseen perustuen. Sensitivity Labelit ovat olleet jo pitkään osa Microsoft 365 -ekosysteemiä ja nykyisin ne ovatkin jo hyvin helposti käyttöön otettavissa ja säädettävissä organisaation tarpeen mukaan.

Mihin Sensitivity Labeleita käytetään?

Sensitivity labeleita käytetään pääsääntöisesti seuraaviin tarkoituksiin:

Tiedon luokittelu

Sensitivity labelit mahdollistavat tietojen systemaattisen luokittelun niiden sisällön perusteella. Esimerkiksi dokumentti voidaan luokitella labelilla ”Luottamuksellinen” tai ”Sisäinen” joka puolestaan auttaa käyttäjiä ja järjestelmiä ymmärtämään dokumentin luonteen. Luokittelemattoman tiedon haaste on juurikin se että esimerkiksi tiedostojen arkaluonteisuutta voi olla vaikea tiedostaa ilman luokittelua.

Dokumenttien visuaalinen merkitseminen

Labelien avulla voidaan lisätä dokumentteihin ja sähköposteihin visuaalisia merkintöjä, kuten vesileimoja, ylätunnisteita tai alatunnisteita. Tällä metodilla voi esimerkiksi ilmaista että kyseinen tieto on erityisen arkaluonteista ja vaatii huolellista käsittelyä.

Tiedon suojaaminen käyttöoikeuksilla

Sensitivity labelit eivät pelkästään merkitse tietoja, vaan ne voivat myös suojata niitä käyttöoikeuksilla. Esimerkiksi dokumentti voidaan suojata niin, että vain tietyt henkilöt voivat avata sen tai dokumentin tulostaminen voidaan estää.

Kuinka Sensitivity Labelit toimivat?

Kun lisäät tiedostoon Sensitivity Labelin, lisäät siihen metatietoa. Tämä metatieto sisältää tiedot siitä kuinka tunnistetta on käytetty ja mitä suojaus/hallintatoimia se edellyttää. Tämä metatieto on pysyvä ja se seuraa tiedostoa kaikkialle, lähetettiin tiedosto sitten sähköpostilla, kopioitiin muistitikulle tai ladattiin tietokoneelle.

Sensitivity Labeleita voi nykyisin käyttää laajasti eri käyttökohteisiin mukaan lukien Office-tiedostot, PDF-tiedostot, sähköpostit, tapaamiset, tiimit ja Sharepoint-sivustot. Tällä kertaa keskitymme yleisimpään käyttökohteeseen eli Office-tiedostojen labelointiin.

Sensitivity Labelien hallinnointi

Sensitivity Labeleita pääsee hallinnoimaan Purviewin portaalissa valitsemalla valikosta Information Protection -osa-alueen. Jos olet lukenut sarjan aikaisempia osia saatat huomata että kävimme jo tässä valikossa kun tutustuimme SIT-tietueisiin mutta tällä kertaa keskitymme eri osaan Information Protection -alueella.

sensitivity labels purview jannenevalainen.com

Sensitivity Labels

Sensitivity Labels -osiossa pääsemme määrittämään itse Sensitivity Labelit. Kuten esimerkissä huomaamme testiympäristöstä löytyy jo valmiiksi luodut Sensitivity Labelit nimellä:

  • Julkinen
  • Sisäinen
  • Luottamuksellinen
 
Huomaa myös että listassa näkyy myös prioriteettinumero. Tämä on tärkeä tekijä silloin jos labeleissa on ristiriitaisuuksia. Tällöin label jolla on korkeampi priority-numero voittaa. Scope -osiossa kerrotaan mihin resursseihin Sensitivity Labelia voidaan käyttää joka on näiden labelien osalta tiedostot ja sähköpostit. Halutessamme voimme klikata labelin aktiiviseksi ja muokata sen ominaisuuksia mutta tehdäänpä täysin uusi Sensitivity Label nimeltä SuperSalainen. Tämä tapahtuu klikkaamalla +Create a label -nappia. Voit lukea lisää Sensitivity Labelien luomisesta Microsoft Learnista.
jannenevalainen.com sensitivity labels purview

Sensitivity Labelin luominen

Ensimmäisessä ikkunassa määritellään Sensitivity Labelin:

  • Name (huomaa että tätä ei voi muuttaa jälkikäteen)
  • Display Name
  • Label priority (määritetään automaattisesti korkeimmaksi mutta tämän voi muuttaa myöhemmin Sensitivity Label -valikosta)
  • Description for Users / Admin
  • Halutessasi voit myös määrittää millä värillä Sensitivity Label näytetään käyttäjälle (Label color)
 
create sensitivity label purview jannenevalainen.com

Seuraavaksi määritellään Sensitivity Labelin scope. Valittavissa olevat asiat ovat:

  • Files & Other data assets (tiedostojen labelointi)
  • Emails (sähköpostien labelointi)
  • Meetings (Teams-kokousten labelointi, vaatii Teams Premium -lisenssin)
  • Groups & Sites (Sharepoint-sivustojen ja Teams-tiimien labelointi, jos valinta on harmaana joudutaan tekemään ominaisuuden aktivointi Powershellilla, Microsoftin ohjeet löytyvät täältä.)

Tällä kertaa haluamme labeloida tiedostoja ja sähköposteja joten valitaan ne.
sensitivity label scope jannenevalainen.com purview

Seuraava vaihe riippuu mitä ollaan valittu scopeksi. Koska nyt valittiin tiedostot ja sähköpostit, voimme halutessamme valita Control access sekä Apply content marking.

sensitivity labels scope jannenevalainen.com purview

Seuraavaksi pääsemme määrittämään valintamme mukaisesti SuperSalainen -labelimme pääsynhallintaa eli access controlia (voit lukea lisää access controlista täältä.) Voimme määrittää seuraavat asiat:

  • Assign permissions now or let users decide – Sisältääkö label suoraan käyttöoikeudet vai saako käyttäjä itse päättää käyttöoikeudet tiedostoa labeloitaessa
  • User access to content expires – pääsy tiedostoon voidaan evätä tietyn aikamäärän / päivämäärän jälkeen.
  • Allow offline access – saako tiedostoa käyttää offline tilassa.
  • Assign permissions – Jos labelissa määritetään suoraan käyttöoikeudet, määritä tähän käyttöoikeudet. Voit esimerkiksi valita kaikki sisäiset käyttäjät, tiettyjä käyttäjiä tai ryhmiä. Kuvan esimerkissä käyttöoikeudet on annettu SecretGroupille, käyttöoikeustasona Co-Author.
  • Use dynamic watermarking – lisää dynaaminen vesileima dokumenttiin. Kirjoitushetkellä UPN ja timestamp ovat tuettuina.
  • Use Double Key Encryption
 
microsoft purview sensitivity label access control jannenevalainen.com

Seuraavassa vaiheessa määritämme dokumentin vesileiman (Content Marking). Vaihtehtoina ovat:

  • Watermark (dokumentin keskelle tuleva vesileima)
  • Header (ylätunniste)
  • Footer (alatunniste)
Kuvan mukaisesti labeliin on valittu watermark tekstillä Supersalainen, fontti 30, väri punainen, diagonaalinen suunta.
microsoft purview content marking sensitivity labels jannenevalainen.com

Halutessani voisin myös määrittää säännöt jolloin dokumenttiin määritetään automaattisesti label. Tulemme käsittelemään automaattista labelointia myöhemmässä artikkelissa joten tällä kertaa emme valitse automaattista labelointia. Voit lukea lisää automaattisesta labeloinnista Microsoft Learnissa täältä.

sensitivity labels automatic labeling

Lopuksi tarkistamme enää että asetuksemme ovat kunnossa ja luomme labelin.

sensitivity labels jannenevalainen.com

Publishing policies

Nyt meillä on uusi label tehty mutta siitä ei ole meille hyötyä ennen kuin label on julkaistu. Tämä puolestaan tapahtuu Label Publishing Policyilla, siirrytäänpä siis niiden hallintavalikkoon.
purview sensitivity label publishing policies

Kuten huomaamme yksi policy on jo julkaistu (Sensitivity labels base policy) joka määrittää testitenantissa yleiset labelit (Julkinen, Sisäinen, Luottamuksellinen) kaikille testiympäristön käyttäjille. Mutta luodaanpa uusi label policy nimeltään ”SuperSalainen policy” jolla julkaistaan label vain tietyille käyttäjille. Tämä tapahtuu klikkaamalla Publish Label -nappia.

sensitivity labels policies jannenevalainen.com

Ensimmäisessä ikkunassa valitsemme mitä labeleita kyseinen policy koskee. Valitsemme äsken luomamme labelin SuperSalainen.

 

sensitivity labels publishing policies microsoft purview jannenevalainen.com

Ohitamme Admin unit -valinnan jolloin saavumme Users and groups valintaan jossa kerrotaan kenelle valittu label julkaistaan. Koska label antaa käyttöoikeden Salainen ryhmä -nimiselle ryhmälle, annan heille myös oikeuden käyttää labelia.

sensitivity label publishing label microsoft purview
Halutessani voisin myös lisätä muita asetuksia policyyn:
  • Users must provide justification…. -Käyttäjän täytyy antaa selitys pudottaessaan dokumentin labelia pienemmälle prioriteetille (muistathan prioriteettijärjestyksestä josta puhuttiin aikaisemmin?)
  • Require users to apply label… – Käyttäjien täytyy määrittää uuteen dokumenttiin label ennen dokumentin muokkaamista
  • Require users to apply label to fabric and Power BI… – Käyttäjien täytyy määrittää label Fabric / Power BI sisältöön. Voit lukea ominaisuudesta lisää Microsoft Learnissa täältä.
  • Provide users with link… – Voit määrittää URL-osoitteen josta käyttäjät voivat lukea lisää Sensitivity labelien käytöstä klikatessaan Learn more näppäintä Sensitivity Labels -valikossa.
 
purview sensitivity label publish policy

Seuraavaksi voin valita julkaistavien labelien puitteissa oletuslabelin uusille dokumenteille halutessani. Kuvassa voidaan valita label dokumenteille mutta sama valinta toistuu myös sähköposteille, tapaamisille sekä Fabric/Power BI sisällölle, näistä ei ole otettu erillisiä kuvia.

sensitivity labels publishing policies

Lopuksi keksitään vielä nimi policylle jonka jälkeen olemme valmiita. Nyt meillä on luotu sekä label että policy sen julkaisuun

purview publish policy

Kun muutokset ovat menneet läpi, käyttäjä näkee labelit Microsoft 365:ssa esimerkiksi Wordissa, Powerpointissa tai Excelissa. Alla olevassa kuvassa on valittu label nimeltä SuperSalainen jolloin tähän labeliin määritetyt ominaisuudet astuvat voimaan (mm. vesileima)

microsoft 365 sensitivity labels jannenevalainen.com

Automaattinen labelointi

Äsken luomamme Sensitivity Labelit ovat näppärä työkalu uusien dokumenttien labeloimiseen mutta entäpä se vanhojen dokumenttien massa joka piilottelee Sharepointeissa ja Onedriveissa? Jos sinulla on käytössä E5-tason lisenssi, sinulle on hyviä uutisia. Auto-Label Policies on työkalu joka mahdollistaa Microsoft 365:ssa olemassaolevan datan labeloinnin Auto-Labeling policyyn määritettyjen ominaisuuksien perusteella. Löydät työkalun Information Protection -> Auto-Labeling Policies -valikosta.
sensitivity labels autolabel policies purview

Automaattisen labeloinnin mahdollisuuksia tullaan käsittelemään tulevassa artikkelissa mutta alla olevassa kuvassa näkyy esimerkki automaattisesta labeloinnissa:

  • Käytettävä label:Standeni sisäiset projektit
  • Kriteeri: itse luotu Sensitive info type ”Projektinumerot”
  • Haettavat sijainnit: Sharepoint ja Onedrive

 

sensitivity labels automatic labels purview

Luokittele ja suojaa

Sensitivity Labelit ovat keskeinen osa Microsoft Purview -ekosysteemiä, ja niiden avulla organisaatiot voivat suojata ja hallita tietojaan tehokkaasti. Niiden tarjoama pysyvä suojaus ja helppo integrointi Microsoft 365 -sovelluksiin tekevät niistä erinomaisen työkalun tietoturvan ja tiedonhallinnan parantamiseen. Olipa kyseessä luottamuksellisten asiakirjojen suojaaminen, käyttöoikeuksien hallinta tai automaattinen luokittelu, Sensitivity Labelit auttavat varmistamaan, että tiedot pysyvät luokiteltuna ja turvassa.

Jos Sensitivity Labelit eivät vielä ole käytössä, nyt on hyvä hetki tutustua niiden mahdollisuuksiin. Oikein suunniteltuna ja käyttöönotettuna ne voivat merkittävästi vähentää tietoturvariskejä ja parantaa tiedonhallinnan käytäntöjä.

RSS Kyberturvallisuuskeskus
Artikkelit
Sanapilvi
apt Azure AD CVE CVSS forms identiteetti intune kyberrikollisuus kyberturvallisuus kyberturvallisuussuunnitelma MFA Microsoft 365 Microsoft 365 Business Premium Mitä kuuluu Microsoft Passwordless Purview Salasanat Stream supply chain attack Teams tietoturva tuottavuus ubuntu Windows 11 yleinen

Copyright jannenevalainen.com. All rights reserved

Youtube Linkedin

Tietosuojaseloste