在您的Cato DLP访问权限策略中使用MIP敏感度标签

本文介绍如何在您的Cato DLP访问权限策略中使用Microsoft信息保护（MIP）框架中的Microsoft敏感度标签。

使用MIP标签与Cato DLP的概览

您可以利用现有的Microsoft信息保护访问权限策略与Cato DLP一起简化数据控制管理。通过将MIP标签作为数据类型，您可以设计一个与您的MIP访问权限策略保持一致的清晰且易于管理的DLP访问权限策略。这让您可以使用MIP标签在Cato处理的所有流量中保护您的敏感信息，超越Azure生态系统。

与MIP标签配合工作的高级概览

以下是与DLP一起使用MIP标签的工作流程的高级描述：

在Cato管理应用程序中创建敏感度标签。
将标签添加到内容配置文件。
根据敏感度标签创建DLP规则，以管理不同用户和组的内容访问权限。

例如，如果您有带有MIP标签“保密”的文件，请在您的Cato DLP访问权限策略中创建该标签，并将其添加到受限文件内容配置文件。然后定义一个DLP规则，该规则禁止没有足够安全许可的用户组的访问。

将MIP标签添加到DLP访问权限策略

您可以通过两种方式将MIP标签添加到Cato管理应用程序中的DLP访问权限策略：

使用API连接器自动导入，从您的Microsoft 365帐户检索标签
通过输入所需标签数据进行手动配置

扫描带有敏感度标签的文件

DLP引擎扫描文件元数据中定义的标签，而不是实际内容，这有助于减少误报结果。引擎根据您配置的标签 ID强制执行敏感度标签，而不是根据名称。当您手动配置标签时，请确保敏感度标签的标签 ID与MIP标签ID完全匹配。

有关查找您组织账户的MIP标签ID的更多信息，请参阅Microsoft文档。

已知限制

不支持对加密DOCX文件进行敏感度标签的DLP扫描。
有关文件要求的信息，请参阅Cato DLP服务是什么？。

自动导入MIP标签

您可以在Cato管理应用程序中配置一个API连接器，以自动获取现有Microsoft敏感度标签用于自定义DLP数据类型。连接器同时获取所有必要的MIP标签数据，并使这些标签可用于轻松配置为自定义数据类型。如果您对Microsoft 365账户中的敏感度标签访问权限策略进行了更改，您可以使用连接器来获取最新的敏感度标签配置，然后更新您的Cato DLP数据类型以匹配。

Microsoft连接器概览

要配置Cato的MIP标签连接器以获取您组织的敏感度标签，首先需要将Microsoft 365连接器配置为父应用程序，以授予MIP标签连接器读取权限。父应用程序仅具有管理Microsoft连接器的权限。配置Microsoft 365连接器后，您可以配置一个MIP标签连接器以检索敏感度标签。

如果您想从您组织内不同子组织的MIP访问权限策略导入敏感度标签，请为每个相关Azure租户创建一个单独的Microsoft 365连接器，然后为每个租户配置一个MIP标签连接器。

先决条件

Microsoft 365连接器需要具有全局管理员角色的管理员来授予Cato的MIP标签连接器权限。

MIP标签连接器的必需权限

要让MIP标签连接器从您的Microsoft 365帐户检索敏感度标签，连接器会向Cato提供以下权限和动作与Microsoft 365：

连接到Microsoft的API，读取组织的所有已发布敏感度标签和标签访问权限策略
登录并读取用户个人资料

配置Microsoft连接器

配置一个父级Microsoft 365连接器，然后为具有您要使用的敏感度标签的Microsoft 365账户定义一个MIP标签连接器。

如果您的组织为Microsoft应用程序配置了SaaS安全API访问权限策略，相关的父级Microsoft 365连接器可能已配置并显示在数据类型和配置文件页面中。在这种情况下，您只需配置一个MIP标签连接器。

配置Microsoft 365连接器

使用Cato管理应用程序为具有您想使用的MIP敏感度标签的Azure租户创建Microsoft 365 SaaS应用程序连接器。您必须拥有正确的凭证来进行Microsoft 365认证，以将连接器添加到您的Cato账户。

要配置Microsoft 365父连接器：

从导航菜单中选择安全性> 数据类型和配置文件，并在设置标签中选择DLP连接器。
点击新建。 新连接器面板打开。
从SaaS应用程序下拉菜单中选择Microsoft 365应用程序。
输入唯一的连接器名称。
点击授权并保存。

一个新的浏览器标签打开到Microsoft 365应用程序。
在新的浏览器标签中，进行Microsoft 365应用程序认证：
1. 选择Microsoft 365应用程序的Microsoft账户。
  
  否则，会有Microsoft认证错误。
2. 输入应用程序的密码并批准。
3. 接受权限，以允许Cato访问Microsoft 365应用程序。
4. 屏幕显示您已成功应用应用程序的权限。
  
  您可以关闭浏览器标签并返回到Cato管理应用程序。
Microsoft 365 SaaS应用程序已添加到DLP连接器设置屏幕中。

Microsoft Azure处理请求可能需要几秒钟，因此如果状态显示为等待用户同意，请刷新浏览器。

配置MIP标签连接器

使用Cato管理应用程序为具有您想使用的MIP敏感度标签的Azure租户创建MIP标签SaaS应用程序连接器。您必须拥有正确的凭证来进行Microsoft 365认证，以将连接器添加到您的Cato账户。

注意

注意：当您为Microsoft 365应用程序创建API连接器时，连接器会创建一个有效期为3个月的认证证书，并在到期前7天更新证书。

要配置MIP标签连接器：

从导航菜单中选择安全性> 数据类型和配置文件，并在设置标签中选择DLP连接器。
点击新建。 新连接器面板打开。
从SaaS应用程序下拉菜单中选择MIP标签应用程序。
从连接器租户下拉菜单中选择要使用标签的父级Microsoft 365连接器。
为MIP标签连接器输入唯一的连接器名称。
点击保存。

等待至少30秒以便Microsoft在Azure中创建Cato连接器应用程序。
连接器成功创建后，点击授权。

一个新的浏览器标签打开到Microsoft 365应用程序。
在新的浏览器标签中，进行Microsoft 365应用程序认证：
1. 等待至少30秒，以便Microsoft在Azure中创建Cato连接器应用程序，然后选择Microsoft 365应用程序的Microsoft账户。
  
  否则，会有Microsoft认证错误。
2. 输入应用程序的密码并批准。
3. 接受权限，以允许Cato访问Microsoft 365应用程序。
4. 屏幕显示您已成功应用应用程序的权限。
  
  您可以关闭浏览器标签并返回到Cato管理应用程序。
MIP标签SaaS应用程序已添加到DLP连接器设置屏幕中。

Microsoft Azure处理请求可能需要几秒钟，因此如果状态显示为等待用户同意，请刷新浏览器。

了解连接器状态

状态列在DLP连接器设置屏幕上显示Microsoft应用程序和您的Cato账户之间的连接状态。这些是状态的解释：

已连接 - 您的账户已连接到应用程序，并正常工作
等待用户同意 - 尚未授予权限以允许Cato访问Microsoft 365应用程序。要解决此问题，请刷新浏览器。如果状态变为已连接，问题已解决，如果状态不变，请删除并重新创建连接器。
错误 - Microsoft连接器存在连接性、权限或其他问题。删除并重新创建连接器。

将MIP标签导入DLP访问权限策略

从您的 Microsoft 365 账户检索 MIP 敏感度标签，并选择您希望在 Cato DLP 访问权限策略中用作数据类型的标签。

到 DLP 访问权限策略上传 MIP 标签：

从导航菜单，选择安全性 > 数据类型和数据丢失防护配置文件，然后选择数据类型标签页。
在敏感度标签内，单击新建。 添加敏感性标签面板开放。
选择检索标签选项。
在选择连接器下拉菜单中，为您希望检索标签的 Microsoft 365 租户选择 MIP 标签连接器。

导入的标签名称下拉菜单已填充检索到的标签。
从导入的标签名称下拉菜单中，选择要上传的标签。必填字段会自动填入标签详细信息。
单击应用。

标签已添加到敏感度标签列表中，可以作为自定义 DLP 数据类型添加到内容配置文件。

在 Cato DLP 中手动配置 MIP 标签

您也可以选择在 Cato 管理应用程序中手动配置 MIP 标签。例如，如果您只需要 Cato DLP 访问权限策略中的少数 MIP 标签，此方法可能很方便。在数据类型标签页的数据类型和数据丢失防护配置文件页面中，在敏感度标签下配置标签。要配置新标签，请输入标签的详细信息，包括名称、描述和标签 ID。确保您输入的标签 ID与 MIP 标签 ID 完全匹配。

上传敏感性标签配置：

从导航菜单，选择安全性 > 数据类型和数据丢失防护配置文件，然后选择数据类型标签页。
在敏感度标签内，单击新建。 添加敏感性标签面板开放。
选择自定义标签选项。
输入标签的名称和描述。
输入与 MIP 标签 ID 相同的标签 ID。
单击应用。

标签已添加到敏感度标签列表中，可以作为自定义 DLP 数据类型添加到内容配置文件。