创建和配置敏感度标签及其策略

Microsoft 365 安全性与合规性许可指南

所有 Microsoft 信息保护解决方案(有时缩写为 MIP)通过使用 敏感度标签实现。 若要创建和发布这些标签,可以使用 Microsoft Purview 门户Microsoft Purview 合规门户

首先,创建和配置要在应用和其他服务中使用的敏感度标签。 例如,希望用户在 Office 应用中看到和采用的标签。

然后,创建一个或多个包含标签和你配置的策略设置的标签策略。 将标签策略发布到所选用户时:

  • 标签在支持敏感度标签的应用中对这些用户可见
  • 策略设置将应用于这些用户

注意

如果还没有任何敏感度标签,则可能符合条件自动创建默认标签和默认标签策略。 即使已有一些标签,你也可能会发现查看我们为新客户创建的这些默认标签的配置非常有用。 例如,你可以进行相同的手动配置,以帮助加快自己的标签部署。

有关详细信息,请参阅 适用于 Microsoft Purview 信息保护的默认标签和策略

提示

如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

开始之前

若要确保你有权创建和管理敏感度标签,请参阅 创建和管理敏感度标签所需的权限

创建和配置敏感度标签

对于此配置,可以使用 Microsoft Purview 门户Microsoft Purview 合规门户

  1. 根据所使用的门户,导航到以下位置之一:

  2. “标签 ”页上,选择“ + 创建标签 ”以启动新的敏感度标签配置。 例如,从 Microsoft Purview 门户:

    创建敏感度标签。

    注意

    默认情况下,租户没有任何标签,并且必须由你创建。 如果需要指导来创建新标签,请参阅 敏感度标签入门

  3. “定义此标签的范围 ”页上,所选选项确定标签的范围,确定可以配置的设置的范围,以及发布设置时这些设置的可见位置:

    敏感度标签的范围。

    • 除非“文件”& 其他数据资产,否则无法选择“会议”,并且还选择了“电子邮件”。 有关此依赖项和扩展标签以 包括会议的详细信息,请参阅 使用敏感度标签保护日历项、Teams 会议和聊天

      如果未选择范围选项,你将看到第一个页面来配置作用域的设置,但无法配置它们,并且标签将不可供用户在这些应用中选择。

  4. 按照配置提示进行标签设置。

    有关标签设置的详细信息,请参阅概述信息中的 敏感度标签有何用途 并使用 UI 中针对单个设置的帮助。

  5. 重复这些步骤以创建更多标签。 但是,如果要创建子标签,请先选择父标签并选择 “...” 作为 “操作”,然后选择“ 创建子标签”。

  6. 创建所需的所有标签后,请查看其顺序,如有必要,请向上或向下移动它们。 若要更改标签的顺序,请为“操作”选择“...”,然后选择一个重新排序选项,例如“上移”“下移”。 有关详细信息,请参阅概述信息中的“标签优先级(顺序非常重要)”。

若要编辑现有标签,请将其选中,然后选择“编辑标签”按钮:

编辑标签按钮以编辑敏感度标签。

此按钮将启动 编辑敏感度标签 配置,可用于更改步骤 4 中的所有标签设置。

除非你了解对用户的影响,否则不要删除标签。 有关更多信息,请参阅移除和删除标签部分。

注意

如果要编辑已使用标签策略发布的标签,则在完成该配置时不需要执行额外步骤。 例如,不需要将其添加到新的标签策略,以便对相同用户提供所做的更改。 但是,请留出长达 24 小时的时间将更改复制到所有应用和服务。

发布标签之前,无法在应用程序或服务中使用。 若要发布标签,必须将其添加到标签策略

重要

在此“标签”选项卡上,不要选择“发布标签”选项卡(或在编辑标签时的“发布标签”按钮),除非你需要创建新的标签策略。 仅当用户需要不同的标签或不同的策略设置时,才需要多个标签策略。 旨在创建尽可能少的标签策略 - 组织只有一个标签策略的情况并不少见。

安全与合规 PowerShell 的其他标签设置

其他标签设置可通过安全与合规中心 PowerShellSet-Label 调整。

例如:

  • 使用 LocaleSettings 参数来进行跨国部署,以便用户可查看使用本地语言的标签名称和工具提示。 下列部分有一个示例配置,用于为法语、意大利语和德语指定标签名称和工具提示文本。

  • PowerShell 文档中包含了内置标签支持的高级设置。 有关指定 PowerShell 高级设置的更多帮助,请参阅 用于指定高级设置的 PowerShell 提示 部分。 有关 Microsoft Purview 信息保护 客户端支持的其他高级设置,请参阅这些设置的单独文档

配置不同语言的灵敏度标签的配置示例

下面的示例显示了名为“Public”的标签的 PowerShell 配置以及工具提示的占位符文本。 在此示例中,将为法语、意大利语和德语配置标签名称和工具提示文本。

进行此配置后,如果用户拥有使用这些显示语言的 Office 应用,则会看到他们的标签名称和工具提示使用相同的语言。 同样,如果你安装了 Microsoft Purview 信息保护 客户端来标记文件资源管理器中的文件,则具有这些 Windows 语言版本的用户在使用右键单击操作进行标记时,将看到其本地语言的标签名称和工具提示。

对于需要支持的语言,请使用 Office 语言标识符(也称为语言标记),并指定你自己的标签名称和工具提示翻译。

在 PowerShell 中运行命令之前,必须先连接到安全与合规 PowerShell

$Languages = @("fr-fr","it-it","de-de")
$DisplayNames=@("Publique","Publico","Oeffentlich")
$Tooltips = @("Texte Français","Testo italiano","Deutscher text")
$label = "Public"
$DisplayNameLocaleSettings = [PSCustomObject]@{LocaleKey='DisplayName';
Settings=@(
@{key=$Languages[0];Value=$DisplayNames[0];}
@{key=$Languages[1];Value=$DisplayNames[1];}
@{key=$Languages[2];Value=$DisplayNames[2];})}
$TooltipLocaleSettings = [PSCustomObject]@{LocaleKey='Tooltip';
Settings=@(
@{key=$Languages[0];Value=$Tooltips[0];}
@{key=$Languages[1];Value=$Tooltips[1];}
@{key=$Languages[2];Value=$Tooltips[2];})}
Set-Label -Identity $Label -LocaleSettings (ConvertTo-Json $DisplayNameLocaleSettings -Depth 3 -Compress),(ConvertTo-Json $TooltipLocaleSettings -Depth 3 -Compress)

指定高级设置的 PowerShell 提示

虽然可以按其名称指定敏感度标签,但我们建议使用标签 GUID 来避免在指定标签名称或显示名称时可能发生的混淆。 标签名称在租户中是唯一的,因此你可以确保配置正确的标签。 显示名称不是惟一的,因此可能会导致配置错误的标签。 要查找 GUID 并确认标签的作用域,请执行以下操作:

Get-Label | Format-Table -Property DisplayName, Name, Guid, ContentType

要删除敏感度标签中的高级设置,请使用相同的 AdvancedSettings 参数语法,但需指定一个空字符串值。 例如:

Set-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e -AdvancedSettings @{DefaultSharingScope=""}

要检查标签的配置(包括高级设置),请配合使用以下语法与自己的标签 GUID:

(Get-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e).settings

通过创建标签策略来发布敏感度标签

作为标签策略的一部分,可以选择具有敏感度标签和标签策略设置的用户和组。 对于较低的管理维护,建议使用组而不是单个用户。 但是,如果从指定的组中删除了某个用户,则会自动删除该用户的标签策略。

对于此配置,可以使用 Microsoft Purview 门户Microsoft Purview 合规门户

  1. 根据所使用的门户,导航到以下位置之一:

  2. “标签策略 ”页上,选择“ 发布标签 ”以启动 “创建策略 配置”。 例如,从 Microsoft Purview 门户:

    发布标签。

    注意

    默认情况下,租户没有任何标签策略,且必须由你创建。

  3. 选择要发布的敏感度标签 页面上,选择 选择要发布的敏感度标签 链接。 选择可在应用和服务中可以使用的标签,随后选择“添加”。

    重要

    如果选择子标签,请确保也选择其父标签。

  4. 对于“分配管理单位”:如果你的组织在 Microsoft Entra ID 中使用管理单元,则可以通过选择管理单元自动将标签策略限制为特定用户。 如果帐户已 分配管理单元,则必须选择一个或多个管理单元。

    如果不想使用管理单元来限制策略,或者组织尚未配置管理单元,请保留默认的 “完整目录”。

  5. 按照提示完成配置。

    所看到的策略设置会匹配你选择的标签的范围。 例如,如果选择的标签仅包含 “文件”& 其他数据资产 范围,则看不到策略设置“ 默认情况下将此标签应用于组和网站 ”和 “要求用户对其组和网站应用标签”。

    有关这些设置的详细信息,请参阅概述信息中的 标签策略有何用途 并使用 UI 中针对单个设置的帮助。

    对于为 Microsoft Purview 数据映射资产(预览版):这些标签没有任何关联的策略设置。

  6. 如果不同的用户或范围需要不同的策略设置,请重复这些步骤。 例如,希望为一组用户创建附加标签,或用户为子集创建不同的默认标签。 或者,如果你配置的标签具有不同的范围。

  7. 如果创建多个可能导致用户发生冲突的标签策略,请查看策略顺序,并根据需要向上或向下移动。 若要更改标签策略的顺序,请选择“操作”,然后选择一个重新排序选项。 有关详细信息,请参阅概述信息中的“标签策略优先级(顺序非常重要)”。

完成 创建策略 配置会自动发布标签策略。 若要更改已发布的策略,只需对其进行编辑。 没有可供选择的特定发布或重新发布操作。

若要编辑现有标签策略,请将其选中,然后选择“编辑策略”按钮:

编辑敏感度标签。

此按钮将启动 创建策略 配置,可用于编辑所包含的标签和标签设置。 完成配置后,所有更改都将自动复制到所选用户和服务。

安全与合规 PowerShell 的其他标签策略设置

其他标签策略设置可通过安全与合规 PowerShellSet-LabelPolicy cmdlet 调整。

cmdlet 文档包括内置标记支持的高级设置。 有关 Microsoft Purview 信息保护 客户端支持的其他高级设置,请参阅这些设置的单独文档

创建和配置保护策略

保护策略目前处于预览状态,适用于存储在 Microsoft 365 之外的项。 例如,在 Microsoft Fabric 中,Microsoft Azure 和 Amazon Web Services (AWS) 。

有关详细信息,请参阅 创作和发布保护策略

预计新标签和更改何时生效

对于标签和标签策略设置,允许更改在 24 小时内传播到服务中。 由于有许多外部依赖项,并且每个依赖项都有自己的计时周期,因此建议先等待 24 小时,然后再花时间对最近更改的标签和标签策略进行故障排除。

但是,在某些情况下,标签和标签策略更改的生效速度更快或超过 24 小时。 例如,对于 Word、Excel 和 PowerPoint 网页版的新敏感度标签和已删除的敏感度标签,你可能会看到更新在一小时内复制。 但对于依赖于填充新组和组成员身份更改的配置,或者网络复制延迟和带宽限制,这些更改可能需要 24-48 小时。

为灵敏度标签及其策略使用 PowerShell

现在,你可以使用安全与合规性 PowerShell 创建和配置你在标签管理中心里看到的所有设置。 这意味着,除了将 PowerShell 用于标记管理中心里不可用的设置外,你现在还可以完全编写灵敏度标签和灵敏度标签策略的创建和维护脚本。

请参阅以下文档,获取受支持的参数和值:

提示

为敏感度标签配置高级设置时,可能会发现参考此页上 用于指定高级设置部分的 PowerShell 提示 很有帮助。

如果你需要编写对敏感度标签或灵敏度标签策略的删除脚本,则还可使用 Remove-LabelRemove-LabelPolicy。 但在删除敏感度标签之前,请务必阅读以下部分。

移除和删除标签

在生产环境中,不太可能需要从标签策略中删除敏感度标签或删除敏感度标签。 更有可能是在初始测试阶段需要执行这两项操作之一。 请务必了解执行这两项操作之一时所发生的情况。

从标签策略中移除标签的风险比从标签策略中删除标签的风险要小,如果需要,始终可以稍后重新添加移除的标签。 如果标签仍位于标签策略中,则无法删除。

如果从标签策略中移除了标签,让标签不再发布给最初指定的用户,那么当标签策略下次刷新时,标签就不再可供这些用户在 Office 应用程序中选择。 如果该标签已应用,则标签没有从内容或容器中移除。 例如,在 Word、Excel、PowerPoint 桌面应用中使用内置标签的用户仍会在状态栏上看到应用的标签名称。 应用的容器标签将继续保护 Teams 或 SharePoint 网站。

相比之下,如果删除标签:

  • 如果标签应用了加密,则会存档基础保护模板,这样以前受保护的内容就仍能打开。 由于有此已存档保护模板,因此无法新建同名的标签。 虽然可以使用 PowerShell 删除保护模板,但请不要这样做,除非你确定无需打开使用已存档模板加密的内容。

  • 对于存储在 SharePoint 或 OneDrive 中的文档,并且已为 Office 文件启用敏感度标签:在 Office 网页版中打开文档时,不会看到应用中应用的标签,并且标签名称不再显示在 SharePoint 的敏感度列中。 如果已删除的标签应用了加密,并且服务可以处理加密的内容,则会删除加密。 来自这些服务的出口操作会产生相同的结果。 例如,使用 Office 桌面或移动应用下载、复制到、移动到、打开。 尽管标签信息仍保留在文件的元数据中,但应用无法再将标签 ID 映射到显示名称,因此用户将假定未标记文件。

  • 对于存储在 SharePoint 和 OneDrive 外部的文档,或者尚未为 Office 文件和电子邮件启用敏感度标签:打开内容时,元数据中的标签信息将保留,但没有标签 ID 来映射名称,用户将看不到显示的已应用标签名称(例如,不在桌面应用的状态栏上)。 如果已删除的标签应用了加密,则会保留加密,且用户仍会看到当前已存档的保护模板的名称和说明。

  • 对于容器,例如 SharePoint 和 Teams 中的网站:标签将被删除,并且不再强制执行使用该标签配置的任何设置。 对于 SharePoint 网站,此操作通常需要 48-72 小时,对于 Teams 和 Microsoft 365 组可能更快。

  • 请注意,删除标签后,如果没有 GUID 到名称映射,已删除的标签可以在内容资源管理器和活动资源管理器等应用程序中显示为 GUID,而不是标签名称。

与所有标签更改一样,从标签策略中移除敏感度标签或删除敏感度标签需要一些时间后才能复制到所有用户和服务。

后续步骤

若要针对特定方案配置和使用敏感度标签,可能会发现以下文章有所帮助:

若要监视标签的使用方式,请参阅如何使用Microsoft数据分类仪表板