MS-102 GĐ7 Module cuối — 51/51

Sensitivity Labels & Data Classification

Xây dựng taxonomy nhãn phân loại dữ liệu, manual và auto-labeling, label policies, bảo vệ bằng encryption/watermark và Data Classification dashboard.

Tình huống – VinaCorp

VinaCorp triển khai Information Protection: 4 cấp độ nhãn (Public → Internal → Confidential → Highly Confidential). File "Highly Confidential" phải tự động mã hoá và watermark "VinaCorp CONFIDENTIAL". Email chứa CCCD tự động được gán nhãn "Confidential - PII".

Label Taxonomy – VinaCorp

Label	Mô tả	Protection	Visual marking
Public	Dữ liệu công khai, không nhạy cảm	Không	Header: "Public"
Internal	Nội bộ VinaCorp — không chia sẻ ra ngoài	Không	Header: "Internal Use Only"
Confidential	Dữ liệu nhạy cảm: hợp đồng, CCCD, lương	Encrypt (internal only)	Watermark: "CONFIDENTIAL"
Highly Confidential	Bí mật kinh doanh, dữ liệu executive	Encrypt (named users only)	Header + Watermark "VinaCorp STRICTLY CONFIDENTIAL"

Lab A – Tạo Sensitivity Labels (PowerShell)

Connect-IPPSSession -UserPrincipalName [email protected] # Label 1: Internal New-Label -Name "Internal" -DisplayName "Internal" ` -Tooltip "Dữ liệu nội bộ VinaCorp — không chia sẻ ra ngoài" ` -ContentType File,Email ` -ApplyContentMarkingFooterEnabled $true ` -ApplyContentMarkingFooterText "VinaCorp Internal Use Only" ` -ApplyContentMarkingFooterFontSize 10 ` -ApplyContentMarkingFooterFontColor "#0000FF" # Label 2: Confidential với encryption New-Label -Name "Confidential" -DisplayName "Confidential" ` -Tooltip "Dữ liệu nhạy cảm — chỉ nhân viên VinaCorp" ` -ContentType File,Email ` -EncryptionEnabled $true ` -EncryptionProtectionType Template ` -EncryptionRightsDefinitions "vinacorp.vn:VIEW,VIEWRIGHTSDATA,DOCEDIT,EDIT,PRINT,EXTRACT,REPLY,REPLYALL,FORWARD,OBJMODEL" ` -ApplyWaterMarkingEnabled $true ` -ApplyWaterMarkingText "VinaCorp CONFIDENTIAL" ` -ApplyWaterMarkingFontSize 40 ` -ApplyWaterMarkingFontColor "#FF0000" ` -ApplyWaterMarkingLayout Diagonal # Label 3: Highly Confidential — chỉ named users New-Label -Name "HighlyConfidential" -DisplayName "Highly Confidential" ` -Tooltip "Bí mật kinh doanh — chỉ executive và Legal" ` -ContentType File,Email ` -EncryptionEnabled $true ` -EncryptionProtectionType Template ` -EncryptionRightsDefinitions @( "[email protected]:OWNER", "[email protected]:OWNER", "[email protected]:VIEW,PRINT" ) ` -ApplyWaterMarkingEnabled $true ` -ApplyWaterMarkingText "VinaCorp STRICTLY CONFIDENTIAL" ` -ApplyContentMarkingHeaderEnabled $true ` -ApplyContentMarkingHeaderText "⚠ STRICTLY CONFIDENTIAL — DO NOT DISTRIBUTE" Write-Host "Sensitivity labels created: Internal, Confidential, Highly Confidential"

Labels created: - Internal: footer marking, no encryption - Confidential: encryption (all VinaCorp users) + diagonal watermark - Highly Confidential: encryption (CEO/CFO/Legal only) + header + watermark

Lab B – Label Policy & Auto-labeling

Publish Label Policy (all users)

# Publish labels cho toàn bộ user
New-LabelPolicy -Name "VinaCorp-Label-Policy" `
    -Labels @("Public","Internal","Confidential","HighlyConfidential") `
    -ExchangeLocation All `
    -SharePointLocation All `
    -OneDriveLocation All `
    -Settings @{
        requiredowngradejustification = "true"
        defaultlabelid = (Get-Label -Identity "Internal").Guid
        disablemandatorylabelinoutlook = "false"
    }

Write-Host "Label policy published to all users"

Label policy published: VinaCorp-Label-Policy Default label: Internal Mandatory labeling: enabled Downgrade justification: required

Auto-labeling Policy (server-side — áp dụng cả file cũ)

# Auto-label khi detect CCCD → gán nhãn "Confidential"
New-AutoSensitivityLabelPolicy -Name "AutoLabel-CCCD-Confidential" `
    -ApplySensitivityLabel "Confidential" `
    -ExchangeLocation All `
    -SharePointLocation All `
    -OneDriveLocation All `
    -Mode Enable

New-AutoSensitivityLabelRule -Name "AutoLabel-CCCD-Rule" `
    -Policy "AutoLabel-CCCD-Confidential" `
    -ContentContainsSensitiveInformation @(
        @{Name="Vietnam National Identification Number"; minCount=1; minConfidence=75}
    ) `
    -Workload Exchange,SharePoint,OneDrive

Write-Host "Auto-labeling policy: CCCD → Confidential"

Auto-labeling policy created: AutoLabel-CCCD-Confidential - Trigger: Vietnam National ID detected (≥1 instance, 75% confidence) - Action: Apply label "Confidential" - Scope: Exchange + SharePoint + OneDrive Note: Simulation mode recommended first → review results → enable

Data Classification Dashboard

1purview.microsoft.com → Data classification → Overview

2Tab Labeled content: xem % content theo từng label, trend 30 ngày

3Tab Sensitive info types: top SITs được detect — số lượng instances theo location

4Tab Trainable classifiers: xem built-in classifiers (Résumés, Tax documents, Source code...)

5Content explorer: drill down từng file bị label/detect — cần "Content Explorer Content Viewer" role

# Xem thống kê labeled content qua Graph
Connect-MgGraph -Scopes "InformationProtectionPolicy.Read.All"

# Xem tất cả labels trong tenant
Get-MgInformationProtectionSensitivityLabel -All |
    Select-Object Name, Id, IsActive, Color |
    Format-Table -AutoSize

Name Id IsActive Color ---- -- -------- ----- Public aaa-001 True #00B050 Internal bbb-002 True #0070C0 Confidential ccc-003 True #FF6600 Highly Confidential ddd-004 True #FF0000

Tổng kết M51 & Toàn bộ Curriculum

Kiến thức cốt lõi M51

✅ Label taxonomy 4 cấp: Public → Internal → Confidential → HC
✅ Client-side labeling: user chọn trong Office apps
✅ Server-side auto-labeling: áp dụng cả file cũ trên SharePoint
✅ Mandatory labeling + downgrade justification = audit trail
✅ Encryption trong label: RMS rights gắn vào file, bảo vệ kể cả khi share ra ngoài

Lab đã thực hành

🔬 Lab A: Tạo 4 labels với encryption/watermark/header khác nhau
🔬 Lab B: Label policy — mandatory, default = Internal
🔬 Auto-labeling: CCCD → Confidential (Exchange + SharePoint)
🔬 Data Classification dashboard + Content Explorer

🎓 Hoàn thành 51/51 Modules!

MD-102 (M01–M25) · MS-102 (M26–M51) · 7 Giai đoạn · 100+ Labs thực chiến

Xem mục lục đầy đủ HOME

M50: DLP