Cách Ngăn chặn tải xuống file nhạy cảm trên thiết bị di động trong Microsoft 365

Nhiều người sử dụng các ứng dụng Microsoft 365 như Teams, SharePoint và OneDrive trên điện thoại di động của họ. Nhưng nếu không thiết lập đúng cách, các tệp có thể được tải xuống và chia sẻ mà không có sự kiểm soát.

Đó là lý do tại sao việc chặn tải xuống tập tin trên thiết bị di động rất quan trọng – đặc biệt là khi các tập tin đó chứa thông tin nhạy cảm. Với thiết lập phù hợp trong Microsoft 365, bạn có thể:

  • Sử dụng Quyền truy cập có điều kiện để chặn tải xuống trên các thiết bị không được quản lý.
  • Áp dụng các chính sách bảo vệ ứng dụng Intune
  • Đặt SharePoint và OneDrive ở chế độ chỉ xem.
  • Thêm hình mờ vào các tài liệu nhạy cảm
  • Hạn chế quyền truy cập vào các thiết bị cá nhân

Trong hướng dẫn này, Tri Thức Software sẽ hướng dẫn bạn cách thiết lập từng bước một và cung cấp cho bạn danh sách kiểm tra để giúp bảo vệ các tập tin của bạn.

Các công cụ của Microsoft 365 cho phép kiểm soát tải xuống

Microsoft 365 cung cấp cho bạn một số công cụ mạnh mẽ giúp ngăn chặn việc tải xuống các tập tin nhạy cảm vào điện thoại di động. Điều tuyệt vời nhất? Các công cụ này hoạt động cùng nhau, vì vậy bạn có thể tạo ra các quy tắc thông minh mà không cần quyền kiểm soát hoàn toàn thiết bị.

Hãy cùng phân tích các công cụ chính giúp ngăn chặn việc tải xuống tập tin trong Microsoft 365 – đặc biệt là từ các ứng dụng như SharePoint, OneDrive và Teams.

1. Phạm vi quyền hạn của Microsoft (Nhãn độ nhạy)

Hãy coi nhãn bảo mật như những “nhãn dán” kỹ thuật số mà bạn dán lên các tập tin. Những nhãn dán này cho Microsoft 365 biết cách xử lý tập tin đó.

Với Microsoft Purview, bạn có thể:

  • Đánh dấu các tập tin là Bí mậtNội bộ hoặc Hạn chế.
  • Tự động mã hóa tập tin để đảm bảo tập tin luôn được bảo vệ – ngay cả khi ai đó sao chép hoặc tải xuống.
  • Chặn một số thao tác nhất định như in, sao chép hoặc tải xuống (tùy thuộc vào ứng dụng).

Ví dụ, nếu một tệp trong SharePoint được gắn nhãn là “Bí mật”, bạn có thể hạn chế quyền truy cập vào tệp đó chỉ ở chế độ xem trong Teams hoặc trình duyệt, giúp ngăn chặn việc tải xuống tệp từ SharePoint.

2. Truy cập có điều kiện (Microsoft Entra ID)

Truy cập có điều kiện giống như một người gác cổng thông minh. Nó kiểm tra các yếu tố như:

  • Thiết bị nào đang được sử dụng?
  • Thiết bị này là thiết bị do công ty quản lý hay thiết bị cá nhân?
  • Người này đang đăng nhập từ đâu?

Bạn có thể sử dụng Truy cập có điều kiện để:

  • Chặn việc tải xuống tập tin trên các thiết bị di động không được quản lý.
  • Cho phép xem – chỉ truy cập được trên trình duyệt di động
  • Yêu cầu xác thực đa yếu tố trước khi truy cập tập tin.

Vì vậy, nếu ai đó cố gắng mở một tập tin nhạy cảm trên điện thoại cá nhân của họ, Quyền truy cập có điều kiện có thể ngăn chặn việc tải xuống trong các ứng dụng Office 365 như Teams hoặc OneDrive.

3. Microsoft Defender dành cho ứng dụng đám mây (Kiểm soát phiên)

Công cụ này bổ sung thêm các quyền kiểm soát sau khi người dùng đăng nhập. Defender cho phép bạn:

  • Dừng quá trình tải xuống trong thời gian thực, ngay cả khi đang có phiên tải xuống hoạt động.
  • Áp dụng hình mờ cho các tài liệu được xem
  • Theo dõi các hoạt động như sao chép, dán hoặc in.

Ví dụ, nếu ai đó mở một tập tin trong Microsoft Teams, bạn có thể sử dụng Defender để ngăn chặn việc tải xuống tập tin trừ khi thiết bị đáp ứng một số điều kiện nhất định.

Hướng dẫn từng bước: Cách ngăn chặn tải xuống trên thiết bị di động

Giờ bạn đã biết các công cụ có sẵn trong Microsoft 365, hãy cùng tìm hiểu cách thiết lập chúng. Bạn không cần phải là chuyên gia bảo mật – chỉ cần làm theo các bước này, bạn sẽ có thể ngăn chặn việc tải xuống tập tin trong Microsoft 365 trên thiết bị di động một cách an toàn và hiệu quả.

Cách 1: Truy cập hạn chế với nhãn bảo mật

Hãy bắt đầu bằng cách xác định những tập tin nào là nhạy cảm, chẳng hạn như hợp đồng, tài chính hoặc hồ sơ nhân viên và gắn nhãn độ nhạy cảm cho chúng.

Các nền tảng được sử dụng: Microsoft Purview, Microsoft Entra Admin Center, SharePoint Admin Center.

Bước 1: Cấu hình nhãn độ nhạy

  1. Vào Microsoft Purview > Solutions > Information Protection > Sensitivity Labels
  2. Click + Create a label
  1. Trong phần Label details > hãy đặt tên cho nhãn.
  1. Hãy điền thêm các chi tiết khác như Mô tả: “Ngăn chặn việc tải xuống, in ấn hoặc sao chép nội dung được gắn nhãn.” Bạn cũng có thể chọn màu nhãn.

Mở PowerShell với quyền quản trị viên để cài đặt các mô-đun PowerShell cần thiết và chạy lệnh sau:

Install-Module -Name AzureADPreview -Force
Install-Module -Name ExchangeOnlineManagement -Force
Install-Module -Name Microsoft.Online.SharePoint.PowerShell -Force
#You will be prompted to confirm installation and trust the repository. Type Y when asked.
#Sign in to Your Tenant
Connect-AzureAD
#Enter your admin credentials (e.g., [email protected])
Connect to SharePoint Online:
Connect-SPOService -Url https://yourtenant-admin.sharepoint.com
#Replace your tenant with your actual tenant name.
#Enable Sensitivity Labels for Groups & Sites
$template = Get-AzureADDirectorySettingTemplate | Where-Object {$_.DisplayName -eq "Group.Unified"}
$setting = $template.CreateDirectorySetting()
$setting["EnableMIPLabels"] = "True"
New-AzureADDirectorySetting -DirectorySetting $setting
Sync Labels to Azure AD
Execute-AzureAdLabelSync
Set SharePoint Conditional Access Policy
Set-SPOTenant -ConditionalAccessPolicy AllowLimitedAccess

Sau khi chạy các tập lệnh, bạn có thể kiểm tra xem tùy chọn đó đã được bật hay chưa.

  1. Trong mục Items, hãy chọn cả hai tùy chọn Control Access và Apply content marking (Add custom headers, footings and watermarks to labeled items).

6.1 Trong mục Kiểm soát truy cập, nhấp vào Cấu hình cài đặt kiểm soát truy cập và chọn Gán quyền ngay. Trong mục Cho phép truy cập ngoại tuyến , chọn Không bao giờ.

6.2 Phân quyền cho người dùng và nhóm cụ thể để họ có thể tương tác với nội dung có gắn nhãn này.

6.3 Trong mục Chọn quyền, chọn Tùy chỉnh. Sau đó, bỏ chọn tất cả các quyền ngoại trừ Quyền xem. Lưu lại.

6.4 Trong phần đánh dấu nội dung, bạn có thể thêm tiêu đề, chân trang hoặc hình mờ với văn bản tùy chỉnh.

  1. (Tùy chọn) Áp dụng các quy tắc tự động gắn nhãn cho các từ khóa như “lương” hoặc “khách hàng”.
  2. Trong mục Nhóm & trang web, hãy để nguyên các tùy chọn không được chọn trừ khi bạn cần cấu hình Nhóm Teams hoặc Nhóm Microsoft 365.
  1. Trong phần Cài đặt Chia sẻ bên ngoài và Truy cập có điều kiện, chọn Sử dụng Truy cập có điều kiện Azure AD để bảo vệ các trang SharePoint được gắn nhãn. Chọn Cho phép truy cập hạn chế, chỉ dành cho web. (hoặc Chặn truy cập nếu đó là điều bạn muốn)
  1. Nhấp vào Tiếp theo và xem lại cài đặt của bạn. Cuối cùng, nhấp vào nút Tạo nhãn để hoàn tất.

Bước 2: Cấu hình chính sách truy cập có điều kiện

  1. Vào Microsoft Entra Admin Center → Protection → Conditional Access
  2. Nhấp vào + Create new policy
  1. Cấu hình Chính sách Truy cập Có điều kiện như mô tả dưới đây:
    • Tên: Hãy đặt tên cho chính sách  sao cho phù hợp với quy ước đặt tên của công ty bạn.
    • Người dùng: Chọn một nhóm người dùng để áp dụng chính sách.
    • Ứng dụng hoặc hành động trên đám mây: Chọn ứng dụng đám mây SharePoint Online.
    • Điều kiện: {trống}
    • Cấp phát: {trống}
    • Phiên: Chọn Sử dụng các hạn chế do ứng dụng áp đặt
  1. Bật chính sách và Lưu

Bước 3: Cấu hình chính sách nhãn độ nhạy

  1. Vào Microsoft Purview > Solutions > Information Protection > Label Protection Policies > Publish Label
  1. Nhấp vào Chọn Nhãn Độ nhạy để xuất bản. Từ danh sách, chọn Nhãn Độ nhạy mới tạo mà bạn vừa thiết kế (“Dữ liệu bí mật” trong trường hợp này). Nhấp vào Thêm.
  1. Nhấp chuột vào Tiếp theo hai lần. (Bỏ qua trang đơn vị quản trị)
  2. Nhấp vào “Chọn người dùng hoặc nhóm” và chọn những người dùng mong muốn, hoặc để nguyên tùy chọn “Tất cả” để bao gồm tất cả người dùng.
  1. Nhấp chuột vào Tiếp theo hai lần. (bỏ qua trang Cài đặt)
  2. Tùy chọn: Nếu muốn, bạn có thể đặt nhãn mới tạo làm nhãn mặc định hoặc yêu cầu người dùng áp dụng nhãn cho nhóm hoặc trang web của họ.
  3. Nhập Tên cho hợp đồng bảo hiểm của bạn. Tùy chọn: Nhập Mô tả cho hợp đồng bảo hiểm của bạn.
  1. Nhấp vào Tiếp theo Gửi để tạo chính sách Nhãn độ nhạy.

Giờ đây, chính sách đã được thiết lập, người dùng có thể áp dụng nhãn khi tạo trang web hoặc nhóm. Xin lưu ý rằng có thể mất đến 24 giờ để nhãn hiển thị, vì vậy bạn cần kiên nhẫn.

Bước 4: Áp dụng nhãn cho các trang web (với tư cách quản trị viên)

  1. Truy cập SharePoint Admin Center và điều hướng đến Sites > Active Sites
  1. Chọn trang web. Nhấp vào
  2. Vào phần Cài đặt. Nhấp vào Nhãn mới tạo từ tùy chọn Nhãn Độ nhạy.
  1. Nhấp vào Lưu

Kết quả!

Cách 2: Kiểm soát quyền truy cập thiết bị không được quản lý trên SharePoint và OneDrive

Bước 1: Xây dựng chính sách truy cập có điều kiện

Quyền truy cập có điều kiện cho phép bạn kiểm soát ai có thể truy cập những gì, từ đâu và bằng cách nào. Chính sách này xác định lưu lượng truy cập từ các trình duyệt không được quản lý và chuyển phiên đó cho MDCA để kiểm tra.

Các nền tảng được sử dụng: Microsoft Entra Admin Center, Defender

Để chặn việc tải xuống trên điện thoại di động cá nhân hoặc không do người khác quản lý:

  1. Vào Microsoft Entra Admin Center > Protection > Conditional Access
  2. Nhấp vào + Create new policy
  1. Tên:

Hãy đặt tên cho nó là ‘Chặn tải xuống trên các thiết bị di động không được quản lý’.

  1. Bài tập :
    • Người dùng hoặc nhóm: Nhắm mục tiêu vào các phòng ban cụ thể hoặc tất cả người dùng.
    • Nguồn lực mục tiêu :
      • Trong mục Bao gồm, hãy chọn Chọn ứng dụng đám mây.
      • Tìm kiếm và chọn: Office 365, Office 365 SharePoint Online
        (Bao gồm các ứng dụng SharePoint và OneDrive for Business)
(Lưu ý: Bạn cần có giấy phép Microsoft Entra ID P1 hoặc P2 hoặc giấy phép Microsoft 365 E5 để nhắm mục tiêu vào các ứng dụng cụ thể.)
  1. Đặt điều kiện:
    • Nền tảng thiết bị:
      • Cho phép cấu hình: Có
      • Chọn nền tảng thiết bị: iOS và Android

Ứng dụng khách: Cấu hình thành Có, sau đó chọn Ứng dụng di động và ứng dụng khách trên máy tính để bàn.

    • Lọc theo thiết bị: Đặt tùy chọn này thành , sau đó cấu hình bộ lọc để Bao gồm các thiết bị có IsCompliant bằng False hoặc DeviceOwnership bằng Personal.
  1. Kiểm soát truy cập

         Phiên họp :

    • Chọn Sử dụng Kiểm soát truy cập có điều kiện
    • Sau đó chọn ‘Sử dụng chính sách tùy chỉnh’.
  1. Lưu chính sách và bật nó lên (không chỉ ở chế độ báo cáo).

Bước 2: Áp dụng Kiểm soát Phiên thông qua Microsoft Defender for Cloud Apps

Defender cho phép bạn kiểm soát ngay cả trong khi phiên làm việc đang hoạt động – mà không cần chặn hoàn toàn quyền truy cập.

Lưu ý quan trọng: Hãy đăng nhập vào office.com từ một thiết bị không được quản lý bằng tài khoản người dùng thử nghiệm để kích hoạt chính sách Truy cập có điều kiện. Điều này cho phép Defender tích hợp ứng dụng để bạn có thể tạo chính sách phiên.

Để tạo chính sách phiên của bạn:

  1. Truy cập Microsoft Defender Portal > Cloud Apps > Policies > Policy management > Conditional Access.
  1. Nhấp vào Tạo chính sách → Chính sách phiên
  2. Thiết lập chính sách phiên:
    • Tên chính sách: Chặn tải xuống trên các thiết bị không được quản lý
    • Mức độ nghiêm trọng của chính sách: Trung bình hoặc Cao
    • Danh mục: Ngăn ngừa mất dữ liệu (DLP)
    • Loại điều khiển phiên: Điều khiển việc tải xuống tập tin (có chức năng kiểm tra)
    • Nguồn hoạt động: Cấu hình để đáp ứng tất cả các điều kiện sau:
      1. Loại thiết bị tương ứng là Thiết bị di động hoặc Máy tính
      2. Thẻ thiết bị không đồng nghĩa với việc tuân thủ Intune hoặc tham gia Microsoft Entra Hybrid.
    • Hành động: Chặn
    • Thông báo: Tùy chọn
  1. Nhấp vào Tạo.

Ngay cả khi ai đó đã đăng nhập, bạn vẫn có thể dừng quá trình tải xuống trước khi nó diễn ra.

Kết quả!

Chế độ xem trên máy tính để bàn:

Chế độ xem trên thiết bị di động:

Tổng kết

Vậy là tôi vừa hướng dẫn xong cho bạn Cách Ngăn chặn tải xuống tập tin nhạy cảm trên thiết bị di động trong Microsoft 365. Nếu gặp bất kỳ khó khăn nào trong quá trình thực hiện, bạn có thể liên hệ banquyenphanmem.com hoặc gọi số 028.22443013 để được trợ giúp. Với các hướng dẫn trên, chúng tôi hy vọng bạn đã giải quyết được nhu cầu của mình một cách nhanh chóng và hiệu quả.

Bài viết liên quan

zalo-icon
phone-icon