Etykiety poufności Microsoft 365 – klasyfikacja i ochrona danych

Czym są etykiety poufności i dlaczego firma ich potrzebuje

W każdej firmie codziennie powstają dziesiątki plików – oferty, umowy, dane klientów, raporty finansowe. Problem polega na tym, że nie wszystkie dokumenty powinny być dostępne dla wszystkich – a bez systemu klasyfikacji trudno to kontrolować.

Etykiety poufności (ang. sensitivity labels) to funkcja wbudowana w Microsoft 365 i zarządzana przez portal Microsoft Purview. Pozwalają przypisywać dokumentom, e-mailom i witrynom Teams określoną kategorię – na przykład Publiczne, Wewnętrzne, Poufne lub Ściśle poufne. Do każdej kategorii można przypisać automatyczne akcje: szyfrowanie, znak wodny, ograniczenie kopiowania czy blokadę przesyłania na zewnątrz firmy.

Wdrożenie etykiet poufności przynosi firmom wymierne korzyści:

• Zgodność z RODO – wiesz, gdzie przechowywane są dane osobowe i kto ma do nich dostęp
• Redukcja ryzyka wycieku – poufny dokument nie trafi przypadkowo do zewnętrznej skrzynki
• Ułatwione audyty bezpieczeństwa – każde działanie na etykietowanym pliku jest rejestrowane przez Purview
• Budowanie świadomości pracowników – etykieta na dokumencie przypomina o jego wadze i wymaga świadomej decyzji

Wymagane licencje: Podstawowa funkcjonalność etykiet poufności dostępna jest w planie Microsoft 365 Business Premium. Automatyczne etykietowanie po stronie serwera oraz zaawansowane polityki zgodności wymagają planu E3 lub E5.

Jak zaplanować strukturę etykiet – zanim zaczniesz konfigurację

Najczęstszy błąd przy wdrożeniu etykiet poufności to pominięcie etapu planowania i przeskoczenie od razu do konfiguracji technicznej. Efekt? Zbyt wiele etykiet, które pracownicy ignorują, lub zbyt mało, które nie oddają rzeczywistości firmy.

Zasada: zacznij od minimum. Dla większości MŚP wystarczą cztery poziomy poufności:

1. Publiczne – materiały przeznaczone do publicznego udostępnienia (np. broszury marketingowe, regulaminy na stronie)
2. Wewnętrzne – dokumenty robocze tylko do użytku wewnątrz firmy (np. notatki ze spotkań, procedury wewnętrzne)
3. Poufne – dokumenty z danymi wrażliwymi (umowy, dane klientów, dane osobowe objęte RODO)
4. Ściśle poufne – najwyższy poziom ochrony (dane finansowe, strategia firmy, dokumenty HR – dostęp tylko dla wybranych osób)

Zanim przejdziesz do konfiguracji, odpowiedz na pytania:

• Jakie typy dokumentów są najczęściej tworzone w firmie?
• Które z nich zawierają dane osobowe objęte RODO?
• Kto powinien mieć dostęp do dokumentów finansowych i kadrowych?
• Czy współpracujesz z zewnętrznymi partnerami – i które dokumenty możesz im udostępniać?

Warto też rozważyć podetykiety – np. Poufne / Dane klientów lub Poufne / HR. Dają większą granularność, ale mogą komplikować codzienne użytkowanie. W małej firmie zazwyczaj wystarczają etykiety główne.

Konfiguracja etykiet poufności w portalu Microsoft Purview krok po kroku

Etykiety poufności konfiguruje się w portalu Microsoft Purview. Do konfiguracji potrzebujesz roli Compliance Administrator lub Global Administrator w Microsoft 365.

Krok 1: Utwórz etykietę poufności

1. W portalu Microsoft Purview przejdź do sekcji Information protection → Labels
2. Kliknij Create a label i podaj nazwę oraz opis widoczny dla użytkowników końcowych
3. W sekcji Scope wybierz zakres: pliki i e-maile, spotkania, grupy i witryny Teams

Krok 2: Skonfiguruj ochronę dokumentów

1. W sekcji Encryption określ, czy etykieta ma szyfrować dokumenty i kto może je odczytać
2. W sekcji Content marking dodaj znak wodny, nagłówek lub stopkę – np. tekst POUFNE – tylko do użytku wewnętrznego
3. Dla etykiety Ściśle poufne zalecamy: szyfrowanie z ograniczeniem odbiorców oraz zakaz przesyłania dalej w e-mailach

Krok 3: Opublikuj etykiety przez politykę

1. Przejdź do Label policies i kliknij Publish label
2. Wybierz etykiety do opublikowania oraz grupę użytkowników (na początku warto zacząć od pilotażu – 5–10 osób)
3. Ustaw etykietę domyślną dla nowych dokumentów, np. Wewnętrzne – zmniejsza to opór użytkowników i zapewnia natychmiastowy efekt klasyfikacji
4. Włącz opcję wymagania uzasadnienia przy obniżaniu poziomu etykiety na niższy

Po opublikowaniu polityki etykiety pojawią się w aplikacjach Word, Excel, PowerPoint i Outlook w formie paska z wyborem kategorii. W Teams i SharePoint etykieta jest widoczna przy każdym pliku i witrynie.

Automatyczne etykietowanie – jak Purview klasyfikuje dokumenty za Ciebie

Ręczne przypisywanie etykiet przez pracowników to dobry start, ale prawdziwą wartość przynosi automatyczne etykietowanie. Microsoft Purview potrafi samodzielnie wykrywać wrażliwe informacje w dokumentach i e-mailach – i przypisywać odpowiednią etykietę bez udziału użytkownika.

Dostępne są dwa rodzaje automatycznego etykietowania:

• Po stronie klienta – aplikacje Office wykrywają wzorce (np. numer PESEL, numer karty kredytowej) i rekomendują lub automatycznie przypisują etykietę podczas pracy użytkownika. Dostępne w planie Microsoft 365 Business Premium i wyższych.
• Po stronie usługi – Purview skanuje pliki w SharePoint, OneDrive i wiadomości w Exchange, etykietując je w tle, niezależnie od działań użytkownika. Wymaga licencji E3 lub E5.

Konfiguracja automatycznego etykietowania krok po kroku:

1. W portalu Purview przejdź do Information protection → Auto-labeling
2. Kliknij Create auto-labeling policy i wybierz lokalizacje (SharePoint, OneDrive, Exchange)
3. Wskaż typy informacji wrażliwych (Sensitive Information Types) – Purview zawiera ponad 200 gotowych wzorców, w tym polskie identyfikatory jak PESEL, NIP czy numer konta bankowego IBAN
4. Określ, jaką etykietę przypisać po dopasowaniu wzorca
5. Uruchom politykę w trybie symulacji – zobaczysz, które pliki zostałyby oetykietowane, zanim włączysz tryb aktywny

Zawsze zacznij od trybu symulacji. Pozwala to uniknąć masowego nadpisania etykiet w całej organizacji i zweryfikować poprawność reguł przed pełnym wdrożeniem produkcyjnym.

Etykiety dla Teams i SharePoint – ochrona całych przestrzeni roboczych

Etykiety poufności można stosować nie tylko do pojedynczych plików, ale też do całych kontenerów – witryn SharePoint, zespołów Teams i grup Microsoft 365. To pozwala ustawić spójną politykę bezpieczeństwa dla całego projektu lub działu za pomocą jednej etykiety.

Co można kontrolować za pomocą etykiety kontenera:

• Prywatność grupy lub zespołu – publiczny (widoczny dla wszystkich w firmie) vs. prywatny (tylko zaproszeni członkowie)
• Dostęp zewnętrznych gości – czy użytkownicy spoza organizacji mogą dołączyć do zespołu Teams lub przeglądać witrynę SharePoint
• Niemanagowane urządzenia – blokada pobierania plików z prywatnych telefonów i komputerów pracowników nieobjętych zarządzaniem przez Intune
• Szyfrowanie spotkań Teams – wymagane dla wrażliwych rozmów na poziomie zarządu, HR czy negocjacji handlowych

Aby skonfigurować etykietę kontenera, w ustawieniach etykiety poufności włącz zakres Groups and sites, skonfiguruj ustawienia prywatności i dostępu gości, a następnie opublikuj etykietę przez politykę. Po opublikowaniu pojawi się jako opcja przy tworzeniu nowego zespołu Teams lub witryny SharePoint.

Przykład praktyczny: Zespół Dział Finansowy w Teams powinien mieć etykietę Ściśle poufne. Oznacza to, że żaden gość zewnętrzny nie może dołączyć, pliki są szyfrowane, a pobieranie możliwe jest wyłącznie z zarządzanych urządzeń firmowych zarejestrowanych w Intune.

Wdrożenie bez chaosu – plan rollout dla firmy MŚP

Nawet najlepsza konfiguracja nie wystarczy, jeśli pracownicy nie wiedzą, czym są etykiety i jak ich używać. Oto sprawdzony schemat wdrożenia dla firm MŚP:

Faza 1 – Pilotaż (tydzień 1–2)

• Wdróż etykiety dla wybranej grupy 5–10 pracowników – najlepiej z działu IT i kierownictwa
• Zbierz feedback: czy kategorie są zrozumiałe? Czy odpowiadają rzeczywistości firmy?
• Wprowadź korekty do nazw etykiet i opisów wyświetlanych użytkownikom końcowym

Faza 2 – Szkolenie (tydzień 3)

• Przygotuj krótką instrukcję (1 strona A4) – co oznacza każda etykieta i kiedy jej używać
• Przeprowadź 30-minutowe szkolenie online lub nagraj krótki tutorial wideo
• Podaj konkretne przykłady z życia firmy – są dużo bardziej przekonujące niż suche definicje

Faza 3 – Pełne wdrożenie (tydzień 4)

• Opublikuj politykę etykiet dla wszystkich użytkowników organizacji
• Ustaw etykietę domyślną np. Wewnętrzne – większość dokumentów będzie automatycznie oetykietowana już w momencie zapisu
• Rozważ włączenie wymogu etykietowania: użytkownik nie może zapisać pliku bez wybrania kategorii

Faza 4 – Monitorowanie (po wdrożeniu)

• W portalu Purview przejdź do Reports → Information protection – zobaczysz statystyki etykietowania i alerty bezpieczeństwa
• Co kwartał przeglądaj strukturę etykiet i sprawdzaj, czy nadal odpowiada potrzebom organizacji
• Koreluj zdarzenia Purview z alertami DLP – razem tworzą pełny obraz przepływu danych w firmie

Jeśli chcesz przeprowadzić wdrożenie sprawnie i bez ryzyka błędów konfiguracyjnych, specjaliści NovaSys pomogą od audytu stanu obecnego, przez konfigurację Microsoft Purview, aż po szkolenie całego zespołu.