Создание и настройка меток конфиденциальности и соответствующих политик

Руководство по лицензированию Microsoft 365 для обеспечения безопасности и соответствия требованиям.

Все решения для защиты информации Microsoft Purview реализуются с помощью меток конфиденциальности. Чтобы создать и опубликовать эти метки, можно использовать портал Microsoft Purview или Портал соответствия требованиям Microsoft Purview.

Сначала создайте и настройте метки конфиденциальности, которые должны быть доступны для приложений и других служб. Например, метки, которые пользователям нужно найти и применить из приложений Office.

Затем создайте одну или несколько политик меток, содержащих настраиваемые метки и параметры политики. При публикации политики меток для выбранных пользователей:

  • Метки становятся видимыми для этих пользователей в приложениях, поддерживающих метки конфиденциальности
  • Параметры политики применяются к этим пользователям

Примечание.

Если у вас еще нет меток конфиденциальности, возможно, у вас есть право на автоматическое создание меток по умолчанию и политику меток по умолчанию. Даже если у вас есть метки, вам может быть полезно посмотреть конфигурацию этих меток по умолчанию, которые мы создаем для новых клиентов. Например, вы можете установить те же настройки вручную, чтобы ускорить развертывание собственной метки.

Подробнее см. в разделе Метки и политики по умолчанию для Microsoft Purview Information Protection.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Подготовка к работе

Чтобы убедиться, что у вас есть разрешения на создание меток конфиденциальности и управление ими, см. раздел Разрешения, необходимые для создания меток конфиденциальности и управления ими.

Создание и настройка меток конфиденциальности

Для этой конфигурации можно использовать портал Microsoft Purview или Портал соответствия требованиям Microsoft Purview.

  1. В зависимости от используемого портала перейдите в одно из следующих расположений:

  2. На странице Метки выберите + Создать метку , чтобы начать новую конфигурацию меток конфиденциальности. Например, на портале Microsoft Purview:

    Создание метки конфиденциальности.

    Примечание.

    По умолчанию в клиентах отсутствуют метки, их необходимо создать. Если вам нужны рекомендации по созданию новых меток, см. статью Начало работы с метками конфиденциальности.

  3. На странице Определение область для этой метки выбранные параметры определяют область метки для параметров, которые можно настроить, и место их отображения при публикации:

    Области для меток конфиденциальности.

  4. Следуйте инструкциям по настройке параметров меток.

    Дополнительные сведения о параметрах меток см. в разделе Возможности меток конфиденциальности обзорной статьи. Используйте справку в пользовательском интерфейсе для настройки отдельных параметров.

  5. Повторите эти действия для создания дополнительных меток. Однако если вы хотите создать вложенную метку, сначала выберите родительскую метку и выберите ... в поле Действия, а затем щелкните Создать вложенную метку.

  6. Создав все нужные метки, проверьте их порядок и при необходимости переместите их вверх или вниз. Чтобы изменить порядок метки, выберите ... для параметра Действия, а затем выберите один из параметров изменения порядка, например Переместить вверх или Вниз. Дополнительные сведения см. в разделе Приоритет метки (важен порядок) обзорной статьи.

Чтобы изменить существующую метку, выберите ее и нажмите кнопку Изменить метку.

Кнопка

При нажатии этой кнопки начнется настройка изменения метки конфиденциальности, позволяющая изменить любые параметры метки на шаге 4.

Не удаляйте метку, если не знаете, как это повлияет на пользователей. Дополнительные сведения см. в разделе Удаление меток.

Примечание.

При изменении метки, уже опубликованной с помощью политики меток, после завершения настройки никаких дополнительных действий не требуется. Например, вам не нужно добавлять ее в новую политику меток, чтобы сделать изменения доступными для тех же пользователей. Однако репликация этих изменений для всех приложений и служб может занять до 24 часов.

Пока вы не опубликуете метки, они будут недоступны для выбора в приложениях и службах. Чтобы опубликовать метки, их нужно добавить в политику меток.

Важно!

На этой вкладке Метки не нажимайте вкладку Опубликовать метки (или кнопку Опубликовать метку при изменении метки), если не нужно создавать политику меток. Несколько политик меток требуются только в том случае, если пользователям необходимы разные метки или другие параметры политики. Целью является минимально возможное число политик меток. Часто в организациях используется только одна политика меток.

Дополнительные настройки меток с помощью Безопасности и соответствия требованиям PowerShell

Дополнительные параметры метки доступны с помощью командлета Set-Label из Безопасности и соответствия требованиям PowerShell.

Например:

  • Используйте параметр LocaleSettings для развертывания в многоязычной среде, чтобы пользователи видели имя метки и подсказку на своем языке. В следующем разделе содержится пример настройки, определяющей имя метки и текст подсказки для французского, итальянского и немецкого языков.

  • В документацию PowerShell включены дополнительные параметры, поддерживаемые встроенной маркировкой. Дополнительные сведения об определении этих дополнительных параметров PowerShell см. в разделе Советы PowerShell по определению дополнительных параметров. Дополнительные дополнительные параметры, поддерживаемые клиентом Защита информации Microsoft Purview, см. в отдельной документации по этим параметрам.

Пример настройки метки конфиденциальности для различных языков

В приведенном ниже примере показана конфигурация метки "Общедоступные" в PowerShell с замещающим текстом для подсказки. В этом примере имя метки и текст подсказки настраиваются для французского, итальянского и немецкого языков.

В результате такой настройки пользователи, имеющие приложения Office, в которых используются указанные выше языки интерфейса, видят имена меток и подсказки на этих языках. Аналогичным образом, если у вас установлен клиент Защита информации Microsoft Purview, чтобы пометить файлы из проводник, пользователи с этими языковыми версиями Windows видят имена меток и подсказки на локальном языке при использовании действий правой кнопки мыши для маркировки.

Для языков, которые вам нужны, используйте идентификаторы языков в Office (также именуемые тегами языков) и укажите свой перевод для имени метки и подсказки.

Прежде чем запускать команды в PowerShell, необходимо сначала подключиться к Безопасности и с требованиям PowerShell.

$Languages = @("fr-fr","it-it","de-de")
$DisplayNames=@("Publique","Publico","Oeffentlich")
$Tooltips = @("Texte Français","Testo italiano","Deutscher text")
$label = "Public"
$DisplayNameLocaleSettings = [PSCustomObject]@{LocaleKey='DisplayName';
Settings=@(
@{key=$Languages[0];Value=$DisplayNames[0];}
@{key=$Languages[1];Value=$DisplayNames[1];}
@{key=$Languages[2];Value=$DisplayNames[2];})}
$TooltipLocaleSettings = [PSCustomObject]@{LocaleKey='Tooltip';
Settings=@(
@{key=$Languages[0];Value=$Tooltips[0];}
@{key=$Languages[1];Value=$Tooltips[1];}
@{key=$Languages[2];Value=$Tooltips[2];})}
Set-Label -Identity $Label -LocaleSettings (ConvertTo-Json $DisplayNameLocaleSettings -Depth 3 -Compress),(ConvertTo-Json $TooltipLocaleSettings -Depth 3 -Compress)

Советы по настройке расширенных параметров в PowerShell

Хотя вы можете указать метку конфиденциальности по ее имени, рекомендуется использовать GUID метки, чтобы избежать путаницы при указании имени метки или отображаемого имени. Имя метки уникально в вашем клиенте, поэтому вы можете быть уверены, что настраиваете правильную метку. Отображаемое имя не является уникальным и может привести к настройке неправильной метки. Чтобы найти GUID и подтвердить область действия метки:

Get-Label | Format-Table -Property DisplayName, Name, Guid, ContentType

Чтобы удалить расширенный параметр из метки конфиденциальности, используйте тот же синтаксис параметра AdvancedSettings, но укажите пустое строковое значение. Например:

Set-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e -AdvancedSettings @{DefaultSharingScope=""}

Чтобы проверить конфигурацию вашей метки, включая дополнительные параметры, используйте следующий синтаксис с вашим собственным GUID метки:

(Get-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e).settings

Публикация меток конфиденциальности путем создания политики меток

В рамках политики меток вы выбираете пользователей и группы, чтобы иметь метки конфиденциальности и параметры политики меток. Для более низкого уровня административного обслуживания рекомендуется использовать группы, а не отдельных пользователей. Однако если пользователь удаляется из указанной группы, политика меток автоматически удаляется для этого пользователя.

Для этой конфигурации можно использовать портал Microsoft Purview или Портал соответствия требованиям Microsoft Purview.

  1. В зависимости от используемого портала перейдите в одно из следующих расположений:

  2. На странице Политики меток выберите Опубликовать метку , чтобы начать настройку создания политики . Например, на портале Microsoft Purview:

    Публикация меток.

    Примечание.

    По умолчанию в клиентах отсутствуют политики меток, их необходимо создать.

  3. На странице Выбор меток конфиденциальности для публикации щелкните ссылку Выбрать метки конфиденциальности для публикации. Выберите метки, которые нужно сделать доступными в приложениях и службах, и нажмите кнопку Добавить.

    Важно!

    Если вы выбрали вложенную метку, убедитесь, что вы также выбрали родительскую метку.

  4. Если в вашей организации используются административные единицы в Microsoft Entra ID, политика меток может быть автоматически ограничена определенными пользователями, выбрав административные единицы. Если вашей учетной записи назначены административные единицы, необходимо выбрать одну или несколько административных единиц.

    Если вы не хотите ограничивать политику с помощью административных единиц или ваша организация не настроила административные единицы, оставьте значение по умолчанию Полный каталог.

  5. Следуйте инструкциям, чтобы завершить настройку.

    Отображаемые параметры политики соответствуют области выбранных меток. Например, если вы выбрали метки с только файлами & другими ресурсами данных область, параметры политики Применить эту метку по умолчанию к группам и сайтам и Требовать от пользователей применять метку к своим группам и сайтам не отображаются.

    Дополнительные сведения об этих параметрах см. в разделе Возможности политик меток обзорной статьи. Используйте справку в пользовательском интерфейсе для настройки отдельных параметров.

    Для меток, настроенных для ресурсов Microsoft Purview Data Map (предварительная версия): у этих меток нет соответствующих параметров политики.

  6. Повторите эти действия, если вам требуются разные параметры политики для разных пользователей или областей. Например, вы можете использовать дополнительные метки для группы пользователей или другую метку по умолчанию для подмножества пользователей. Кроме того, если вы настроили метки с разными областями.

  7. Если вы создаете несколько политик меток, которые могут конфликтовать при применении для пользователей или областей, проверьте порядок политик и при необходимости измените их очередность. Чтобы изменить порядок политики меток, выберите ... для параметра Действия, а затем выберите один из параметров изменения порядка. Дополнительные сведения см. в разделе Приоритет политики меток (важен порядок) обзорной статьи.

После завершения настройки создания политики политика меток автоматически публикуется. Чтобы внести изменения в опубликованную политику, просто отредактируйте ее. Вам не нужно выбирать конкретное действие публикации или повторной публикации.

Чтобы изменить существующую политику меток, выберите ее и нажмите кнопку Изменить политику.

Изменение метки конфиденциальности.

При нажатии этой кнопки начнется настройка создания политики, позволяющая изменить метки, которые будут включены, и параметры меток. После завершения настройки все изменения автоматически реплицируются для выбранных пользователей и служб.

Дополнительные параметры политики меток в Безопасности и соответствии требованиям PowerShell

Дополнительные параметры политики меток доступны с помощью командлета Set-LabelPolicy из Безопасности и соответствия требованиям PowerShell.

Документация по командлетам содержит дополнительные параметры, поддерживаемые встроенными метками. Дополнительные дополнительные параметры, поддерживаемые клиентом Защита информации Microsoft Purview, см. в отдельной документации по этим параметрам.

Создание и настройка политик защиты

Политики защиты в настоящее время находятся в предварительной версии и применяются к элементам, хранящимся за пределами Microsoft 365. Например, в Microsoft Fabric, Microsoft Azure и Amazon Web Services (AWS).

Дополнительные сведения см. в статье Создание и публикация политик защиты.

Когда ожидать вступления в силу новых меток и изменений

Для меток и параметров политик меток распространение изменений в службах занимает 24 часа. Существует большое количество внешних зависимостей, каждая из которых использует собственные циклы времени, поэтому рекомендуется подождать в течение этого 24-часового периода времени, прежде чем тратить время на устранение неполадок меток и политик меток в связи с последними изменениями.

Однако существуют сценарии, в которых изменения меток и политик меток могут вступать в силу гораздо быстрее или дольше 24 часов. Например, репликацию обновлений новых и удаленных меток конфиденциальности для Word, Excel и PowerPoint в Интернете можно увидеть в течение часа. Но для конфигураций, которые зависят от заполнения изменений новых групп и участия в группах, или для задержки репликации в сети и ограничений пропускной способности реализация этих изменений может занять 24–48 часов.

Использование PowerShell для меток конфиденциальности и соответствующих политик

Теперь вы можете использовать Безопасность и соответствие требованиям PowerShell для создания и настройки всех параметров, которые вы видите в своем центре администрирования меток. Это означает, что в дополнение к использованию PowerShell для параметров, недоступных в центрах администрирования меток, теперь можно использовать полноценный сценарий создания и настройки меток конфиденциальности и политик меток конфиденциальности.

Поддерживаемые параметры и значения см. в следующих документах:

Совет

При настройке расширенных параметров для метки конфиденциальности может оказаться полезным обратиться к разделу советов PowerShell по определению расширенных параметров на этой странице.

Кроме того, вы можете использовать параметры Remove-Label и Remove-LabelPolicy, если требуется создать сценарий удаления меток конфиденциальности или политик меток конфиденциальности. Однако перед удалением меток конфиденциальности обязательно прочтите следующий раздел.

Удаление меток

В рабочей среде вряд ли потребуется удалить метки конфиденциальности из политики меток или удалить метки конфиденциальности. Скорее всего, вам потребуется выполнить одно или оба следующих действия на этапе первоначального тестирования. Убедитесь, что вы понимаете, что происходит при выполнении любого из этих действий.

Удаление метки из политики меток менее рискованно, чем ее удаление, и при необходимости ее всегда можно добавить обратно. Вы не можете удалить метку, если она по-прежнему находится в политике меток.

Когда вы удаляете метку из политики меток, чтобы она больше не публиковалась для первоначально указанных пользователей, при следующем обновлении политики меток пользователи больше не увидят эту метку для выбора в своих приложениях Office. Если эта метка уже применена, она не удаляется из содержимого или контейнера. Например, пользователи, использующие встроенные метки в классических приложениях для Word, Excel и PowerPoint, по-прежнему видят имя примененной метки в строке состояния. Применяемая метка контейнера продолжает защищать сайт Teams или SharePoint.

Сравнение с удалением метки:

  • Если метка применяла шифрование, базовый шаблон защиты архивируется, чтобы можно было по-прежнему открыть ранее защищенное содержимое. Из-за этого архивированного шаблона защиты вы не можете создать новую метку с тем же именем. Хотя можно удалить шаблон защиты с помощью PowerShell, не делайте этого, если вам может потребоваться открыть содержимое, зашифрованное с помощью архивированного шаблона.

  • Для документов, хранящихся в SharePoint или OneDrive, и тех, для которых вы включили метки конфиденциальности для файлов Office: при открытии документа в Office для Интернета вы не увидите метку, примененную в приложении, и имя файла. в столбце Конфиденциальность в SharePoint. Если удаленная метка применяет шифрование и службы могут обрабатывать зашифрованное содержимое, шифрование удаляется. Выходные действия из этих служб приводят к тому же результату. Например, скачивание, копирование, перемещение и открытие в настольном или мобильном приложении Office. Хотя информация о метке остается в метаданных файла, приложения больше не могут сопоставлять идентификатор метки с отображаемым именем, поэтому пользователи будут считать, что файл не помечен.

  • Для документов, хранящихся за пределами SharePoint и OneDrive, или тех, для которых вы не включили метки конфиденциальности для файлов Office и для электронных писем: при открытии содержимого информация метки в метаданных остается, но без сопоставления идентификатора метки с именем пользователи не увидеть отображаемое имя примененной метки (например, в строке состояния для настольных приложений). Если удаленная метка применяла шифрование, шифрование остается, и пользователи по-прежнему видят имя и описание заархивированного шаблона защиты.

  • Для контейнеров, таких как сайты в SharePoint и Teams: метка удаляется, и любые параметры, настроенные с этой меткой, больше не применяются. Это действие обычно занимает от 48 до 72 часов для сайтов SharePoint и может быть быстрее для Teams и групп Microsoft 365.

  • Имейте в виду, что без сопоставления GUID-имени, доступного после удаления метки, удаленные метки могут отображаться в виде идентификаторов GUID, а не имен меток в таких приложениях, как обозреватель содержимого и обозреватель действий.

Как и в случае всех изменений меток, удаление метки конфиденциальности из политики меток или удаление метки конфиденциальности требует времени для репликации для всех пользователей и служб.

Дальнейшие действия

Чтобы настроить и использовать метки конфиденциальности для определенных сценариев, вам могут пригодиться следующие статьи:

Сведения о том, как используются метки, см. в статье Использование панели мониторинга классификации данных Майкрософт.