Открыть сервис

Microsoft 365 Compliance Center

Microsoft 365 Compliance Center (также известный как Центр соответствия требованиям Microsoft 365) — это веб-портал и набор инструментов управления в облачной платформе Microsoft 365, предназначенный для администрирования политик соответствия нормативным требованиям, управления рисками, защиты информации и проведения расследований. Центр предоставляет единый интерфейс для настройки и мониторинга функций, связанных с соблюдением законодательства (например, GDPR, HIPAA, ФЗ-152), управлением жизненным циклом данных, предотвращением утечек и внутренними угрозами.

История и развитие

Платформа Microsoft 365 Compliance Center была запущена в 2017 году как часть перехода Microsoft к модели «единого центра управления соответствием». До этого функции управления соответствием были распределены между несколькими порталами, включая Exchange Admin Center, Security & Compliance Center (в Office 365) и Azure Information Protection. В 2019 году Microsoft объединила эти возможности в рамках единого портала compliance.microsoft.com, который постепенно заменил устаревший Office 365 Security & Compliance Center.

В 2022 году Microsoft анонсировала интеграцию Compliance Center с Microsoft Purview — платформой управления данными, что позволило расширить возможности классификации, маркировки и контроля доступа к данным в гибридных средах (локальные серверы, облачные хранилища, сторонние SaaS-приложения). По состоянию на 2025 год Microsoft 365 Compliance Center является основным инструментом для организаций, использующих подписки Microsoft 365 E3, E5, а также отдельные планы соответствия (например, Microsoft 365 Business Premium).

Основные функциональные области

Управление информацией и защита данных

Центр позволяет настраивать политики классификации и маркировки данных. С помощью меток конфиденциальности (Sensitivity labels) администраторы могут автоматически или вручную присваивать документам и электронным письмам уровни доступа (например, «Для служебного пользования», «Конфиденциально», «Секретно»). Метки могут применяться к данным в Microsoft 365 (SharePoint, OneDrive, Teams, Exchange) и, при использовании Microsoft Purview, к данным в локальных файловых серверах и сторонних облачных хранилищах (например, AWS S3, Dropbox).

Политики предотвращения потери данных (DLP) позволяют блокировать или уведомлять о попытках передачи конфиденциальной информации (номера кредитных карт, паспортные данные, медицинские записи) за пределы организации. DLP-политики могут применяться к электронной почте, файлам в SharePoint, сообщениям в Teams и к устройствам, управляемым Microsoft Intune.

Управление рисками и расследования

Управление внутренними рисками (Insider Risk Management) — это модуль, анализирующий поведение пользователей на предмет аномалий, указывающих на возможные утечки данных, саботаж или нарушение политик. Система использует машинное обучение для выявления таких паттернов, как массовое копирование файлов, отправка данных на личные почтовые ящики, работа с конфиденциальными документами в нерабочее время. Администраторы могут настраивать политики на основе предопределённых шаблонов (например, «Утечка данных по неосторожности», «Кража данных увольняющимся сотрудником»).

Обнаружение электронных данных (eDiscovery) — инструмент для поиска, сбора и экспорта данных, связанных с судебными разбирательствами или внутренними расследованиями. Поддерживает поиск по всем почтовым ящикам, сайтам SharePoint, чатам Teams и файлам OneDrive. Результаты могут быть помещены в «юридическую удерживающую» (legal hold) для предотвращения удаления.

Управление соответствием нормативным требованиям

Центр предоставляет встроенные оценки соответствия (Compliance Manager) — шаблоны для проверки соответствия стандартам и регуляторам, включая:

  • GDPR (Общий регламент по защите данных ЕС)
  • HIPAA (Закон о переносимости и подотчётности медицинского страхования США)
  • ISO 27001 (Стандарт управления информационной безопасностью)
  • ФЗ-152 (Российский закон о персональных данных)
  • PCI DSS (Стандарт безопасности данных индустрии платёжных карт)

Каждая оценка содержит список контрольных пунктов, рекомендации по настройке политик и автоматические проверки, которые показывают, какие из требований уже выполнены, а какие требуют доработки. Compliance Manager генерирует отчёты для аудиторов и руководства.

Управление жизненным циклом данных

Политики хранения и удаления (Retention policies) позволяют автоматически удалять или архивировать данные по истечении заданного срока. Например, можно настроить хранение электронных писем в течение 7 лет, а затем их автоматическое удаление. Политики могут применяться ко всем типам данных в Microsoft 365, а также к файлам на локальных серверах через Microsoft Purview.

Метки хранения (Retention labels) предоставляют более гибкий контроль, позволяя применять разные сроки хранения к разным категориям документов (например, договоры хранить 10 лет, а черновики — 90 дней).

Интеграция с другими продуктами Microsoft

Microsoft 365 Compliance Center тесно интегрирован с другими компонентами экосистемы Microsoft:

  • Microsoft Entra ID (ранее Azure Active Directory) — для управления доступом и идентификацией.
  • Microsoft Defender for Cloud Apps — для мониторинга облачных приложений и предотвращения утечек.
  • Microsoft Intune — для управления политиками на мобильных устройствах и компьютерах.
  • Microsoft Purview — для расширенной классификации и контроля данных в гибридных средах.

Ограничения и критика

Несмотря на широкие возможности, Microsoft 365 Compliance Center имеет ряд ограничений:

  • Сложность настройки: Для полноценного использования многих функций (например, управления внутренними рисками или eDiscovery) требуется глубокая экспертиза в области информационной безопасности и соответствия нормативам. Неправильная настройка политик может привести к блокировке легитимных действий или к ложным срабатываниям.
  • Зависимость от лицензирования: Полный набор функций доступен только в подписках Microsoft 365 E5 или в виде дополнительных надстроек (например, Microsoft 365 E5 Compliance). Организации с базовыми планами (E3, Business Premium) имеют ограниченный доступ к DLP, eDiscovery и управлению рисками.
  • Проблемы с юрисдикцией: Для российских организаций, работающих с персональными данными граждан РФ, использование Microsoft 365 Compliance Center может быть затруднено из-за требований ФЗ-152 о локализации данных. Microsoft предлагает хранение данных в российских дата-центрах (через партнёров, например, «Ростелеком»), но полный функционал Compliance Center может быть недоступен в этих регионах.
  • Отсутствие поддержки некоторых российских регуляторов: Встроенные шаблоны Compliance Manager не включают все требования российских отраслевых регуляторов (например, ЦБ РФ для финансового сектора, Минздрава для медицинских организаций). Администраторам приходится вручную создавать собственные оценки.

Интересные факты

  • Центр соответствия требованиям Microsoft 365 является одним из наиболее часто обновляемых сервисов Microsoft: новые функции и шаблоны добавляются ежемесячно.
  • В 2023 году Microsoft добавила в Compliance Center возможность автоматического распознавания и маркировки изображений с помощью компьютерного зрения (например, для обнаружения сканов паспортов или медицинских снимков).
  • Compliance Manager использует шкалу от 0 до 100 для оценки уровня соответствия, причём Microsoft публикует собственные баллы по каждому стандарту (например, для GDPR компания заявляет о 98% выполнении требований).

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →