Microsoft 365 安全性与合规性指南

项目
07/19/2024

就本文而言，租户级服务是一种为租户中的所有用户部分或完全激活的联机服务（独立许可证和/或作为 Microsoft 365 或 Office 365 计划的一部分）。客户如需使用联机服务，则需要相应的订阅许可证。若要查看许可用户以使其能够使用 Microsoft 365 合规性功能的选项，请下载 Microsoft 365 大型企业和一线员工计划比较表或 Microsoft 365 中小型企业计划比较表。

有关允许用户使用 Microsoft 365 合规性功能且目前在欧洲经济区 (EEA) 国家/地区和瑞士提供的订阅的详细计划信息，请参阅面向 EEA 的 Microsoft 365 中小企业计划比较和面向 EEA 的 Microsoft 365 大型企业计划比较。

某些租户服务目前无法将权益的享受范围限制为特定用户。若要查看有关使用通过 Microsoft 许可计划获得的 Microsoft 产品和专业服务的条款和条件，请参阅产品条款。

Microsoft Entra ID 治理

借助 Microsoft Entra ID 治理，你可以通过正确的流程和可见性平衡组织对安全性和员工工作效率的需求。它使用权利管理、访问评审、特权标识管理和使用条款策略来确保合适的人员拥有合适的权限来访问合适的资源。

用户如何通过该服务受益？

Microsoft Entra ID 治理可帮助更为轻松地请求应用、组和 Microsoft Teams 的访问权限（只需通过一个访问包即可完成），从而提高用户的工作效率。还可以将用户配置为审批者，而无需管理员参与。对于访问评审，用户可以定期审查组的成员身份，以及有关采取何种行动的智能建议。

哪些许可证可为用户提供通过该服务受益的权限？

Microsoft Entra ID 治理功能目前在 Microsoft Entra ID 治理和面向 Microsoft Entra ID P2 的 Microsoft Entra ID 治理升级版中提供。这两种产品可为任意数量的用户提供权限，只要不超过购买了席位能够拥有标识治理功能的用户数即可。 Microsoft Entra ID 治理要求租户还必须拥有针对 Microsoft Entra ID P1（前身为 Azure Active Directory Premium P1）或 Microsoft Entra ID P2（前身为 Azure Active Directory Premium P2）的活动订阅或包含 Microsoft Entra ID P1 或 P2 的订阅。面向 Microsoft Entra ID P2 的 Microsoft Entra ID 治理升级版要求租户还必须具有针对 Microsoft Entra ID P2 的活动订阅或包含 Microsoft Entra ID P2 的订阅。

如何预配/部署该服务？

Microsoft Entra ID 治理服务的各项功能在租户级别启用，但需按用户实现。有关 Microsoft Entra ID 治理的信息，请参阅什么是 Microsoft Entra ID 治理？

如何将该服务仅应用于租户中获得了针对该服务的许可的用户？

管理员应确保针对涉及或受益于 Microsoft Entra ID 治理功能（包括访问包、访问评审、生命周期工作流和特权标识管理）的所有员工拥有足够的 Microsoft Entra ID 治理席位。有关如何限定 Microsoft Entra ID 治理的部署范围的说明，请参阅：

Microsoft Entra ID 保护

Microsoft Entra ID 保护是 Microsoft Entra ID P2 计划中的一项功能，可用于检测影响组织标识的潜在漏洞、配置针对检测到的组织标识相关可疑操作的自动响应，以及调查可疑事件并采取适当措施来解决这些问题。

用户如何通过该服务受益？

SecOps 分析师和安全专业人员将能够使用基于机器学习算法提供的已标记用户和风险事件的合并视图。最终用户将能够获得通过基于风险的条件访问实现的自动保护，以及通过对漏洞采取措施实现的更高安全性。

哪些许可证可为用户提供通过该服务受益的权限？

Microsoft 365 E5/A5/G5、企业移动性 + 安全性 A5/E5/G5、Microsoft 365 A5/E5/F5/G5 安全性以及 Microsoft 365 F5 安全性 + 合规性

有关不同计划中包含的功能的详细信息，请参阅什么是Microsoft Entra ID 保护？

如何预配/部署该服务？

默认情况下，Microsoft Entra ID 保护服务的各项功能在租户级别为租户中的所有用户启用。有关 Microsoft Entra ID 保护的信息，请参阅什么是标识保护？

如何将该服务仅应用于租户中获得了针对该服务的许可的用户？

管理员可以通过分配定义密码重置级别的风险策略并仅允许获得许可的用户进行访问，来限定 Microsoft Entra ID 保护的适用范围。有关如何限定 Microsoft Entra ID 保护的部署范围的说明，请参阅如何配置和启用风险策略。

Microsoft Cloud 合规性计划

Microsoft Cloud 合规性计划旨在提供个性化的客户支持、教育和人脉机会。通过加入该计划，客户将在安全性、合规性和隐私领域获得直接与监管人员、行业同行和 Microsoft 专家进行互动的独特机会。此计划取代了现有的金融服务行业 (FSI) 合规性计划（2013 年创建）。

Microsoft Cloud 合规性计划面向哪些对象？

Microsoft Cloud 合规性计划适用于具有 Microsoft 365 和 Office 365 许可证的组织。

当前已注册 FSI 合规性计划的客户需要购买针对新的 Microsoft Cloud 合规性计划的订阅。有关详细信息，请参阅 Microsoft Cloud 合规性计划。

用户如何通过该服务受益？

希望在 Microsoft 的帮助下完成云旅程的大型企业组织中的人员将受益于此服务，如风险评估员、合规官、内部审核员、隐私官、监管事务/法律人员和首席信息安全官等。下面是客户可以获得的好处的示例场景：

持续提供风险和合规性协助，助力进行加入和使用 Microsoft 云服务所需的风险评估。
支持 Microsoft 和客户管理的 Microsoft 云服务控件。
提供针对使用第三方云服务的内部审核、监管人员或董事会级审批方面的帮助。
支持解决与使用我们的云服务时的复杂风险和合规性要求相关的持续技术问题。
直接协助填写固定数量的客户风险和合规性问卷。
与监管人员和行业专家建立联系，以便解决确保合规的过程中的问题。

如何预配/部署该服务？

默认情况下，Microsoft Cloud 合规性计划在租户级别为受益于该服务的所有用户启用。有关详细信息，请参阅 Microsoft Cloud 合规性计划。

Microsoft Defender 商业版

Microsoft Defender 中小型企业版是一种专为中小型企业（最多 300 名员工）设计的终结点安全解决方案。 Microsoft Defender 中小型企业版可作为独立解决方案提供，也可作为 Microsoft 365 中小型企业高级版的一部分提供。借助此终结点安全解决方案，中小型企业 (SMB) 组织的设备可以更好地抵御勒索软件、恶意软件、网络钓鱼和其他威胁。

有关详细信息，请参阅 Microsoft Defender 中小型企业版。

哪些许可证可为用户提供通过该服务受益的权限？

Microsoft Defender 中小型企业版可作为 Microsoft 365 中小型企业高级版订阅计划的一部分提供。

对于员工人数不超过 300 名的中小型企业 (SMB)，也可以选择独立提供的 Defender 中小型企业版。若要了解详细信息，请参阅如何获取 Microsoft Defender 中小型企业版。

用户如何通过该服务受益？

添加了 Microsoft Defender 中小型企业版的 Microsoft 365 中小型企业高级版通过终结点检测和响应以及自动调查和修正等技术添加了跨平台终结点保护和精密的勒索软件防御功能，这增强了中小型企业高级版的现有生产力和安全性产品/服务。

员工人数不超过 300 名的中小型企业还可以选择独立提供的 Defender 中小型企业版，以实惠的价格获取大型企业级别的终结点安全技术。

如何预配/部署该服务？

如果拥有 Microsoft 365 中小型企业高级版，可以通过 Microsoft Defender 门户访问 Defender 中小型企业版。

默认情况下，Microsoft Defender 中小型企业版的各项功能在租户级别为租户中的所有用户启用。有关如何设置和配置 Defender 中小型企业版的信息，请参阅 Microsoft Defender 中小型企业版文档 | Microsoft Docs。

Microsoft Defender 中小型企业版的 Defender 中小型企业版服务器附加产品是什么？

Microsoft Defender 中小型企业版服务器为中小型企业的 Windows 和 Linux 服务器提供终结点安全性。 Defender 中小型企业版服务器体验在 Defender 中小型企业版内的单一管理体验中为客户端和服务器提供相同级别的保护，从而帮助你在一个位置保护所有终结点。

有关详细信息，请参阅获取 Microsoft Defender 中小型企业版服务器 | Microsoft Learn。

请注意，对于 Defender 中小型企业版服务器，每个客户的最大数量/席位上限为 60 个许可证。如果客户需要超过 60 个服务器许可证，请参阅 Microsoft Defender for Servers。

哪些许可证可为用户提供通过该服务受益的权限？

组织可通过以下方式获得作为附加产品提供的 Defender 中小型企业版服务器：

Microsoft Defender 中小型企业版（独立）
Microsoft 365 商业高级版

客户必须至少拥有一个 Microsoft 365 中小型企业高级版或 Microsoft Defender 中小型企业版许可证才能购买和使用 Microsoft Defender 中小型企业版服务器。

有关详细信息和指向更多资源的链接，请查看 Microsoft Defender 中小型企业版常见问题解答。

Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps 是一种云访问安全代理 (CASB) 解决方案，可让客户灵活地实现核心功能和支持多种类型的部署。

哪些许可证可为用户提供通过该服务受益的权限？

Microsoft Defender for Cloud Apps 可以独立许可证的形式提供，也可作为以下计划的一部分提供：

企业移动性 + 安全性 E5
Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 安全性
Microsoft 365 E5/A5/G5/F5 合规性
Microsoft 365 F5 安全性 + 合规性
Microsoft 365 E5/F5/G5 信息保护和治理

若要使用 Defender for Cloud Apps 中的条件访问应用控制功能，用户还必须获得 Microsoft Entra ID P1 许可，后者包含在企业移动性 + 安全性 F1/F3/E3/A3/G3、企业移动性 + 安全性 E5、Microsoft 365 E3/A3/G3、Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 安全性和 Microsoft 365 F5 安全性 + 合规性中。

若要使用客户端自动标记功能，用户必须获得 Azure 信息保护 P2 许可，后者包含在企业移动性 + 安全性 E5/A5/G5、Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 合规性、Microsoft 365 F5 安全性 + 合规性和 Microsoft 365 E5/F5/G5 信息保护和治理中。

注意：服务器端自动标记需要 Office 365 信息保护高级版许可证（MIP_S_CLP2 或 efb0351d-3b08-4503-993d-383af8de41e3）。有关参考，请参阅用于许可的产品名称和服务计划标识符。

如何预配/部署该服务？

默认情况下，Microsoft Defender for Cloud Apps 在租户级别为租户中的所有用户启用。

如何将该服务仅应用于租户中获得了针对该服务的许可的用户？

管理员可以使用 Microsoft Defender for Cloud Apps 中提供的范围化部署功能，将该服务的部署范围限定为许可用户。有关详细信息，请参阅范围化部署。

什么是应用治理？

应用治理是一种安全和策略管理功能，专为在 Microsoft Entra ID 上注册的已启用 OAuth 的应用而设计。该功能通过可操作的见解以及自动化的策略警报和操作，针对这些应用及其用户如何访问、使用和共享存储在 Microsoft 365 中的敏感数据提供全面的可见性、修复和治理。

哪些许可证可为用户提供通过此功能受益的权限？

应用治理包含在 Microsoft Defender for Cloud Apps 和包含 Defender for Cloud Apps 的产品/服务中：

Microsoft Defender for Cloud Apps（独立）
企业移动性 + 安全性 E5/A5/G5
Microsoft 365 E5/A5/G5
Microsoft 365 安全性 E5/A5/F5/G5
Microsoft 365 合规性 E5/A5/F5/G5
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Microsoft 365 F5 安全性 + 合规性

有关详细信息，请参阅 Microsoft 365 中的应用治理和应用治理入门。

Microsoft Defender for Endpoint

Microsoft Defender for Endpoint 是一种终结点安全解决方案，包括：

基于风险的漏洞管理和评估
攻击面减少功能
云驱动且基于行为的下一代保护
终结点检测和响应 (EDR)
自动调查和修正
托管搜寻服务

有关详细信息，请参阅 Microsoft Defender for Endpoint。

哪些许可证可为用户提供通过该服务受益的权限？

Microsoft Defender for Endpoint 计划 1 (P1)

Microsoft Defender for Endpoint P1 提供核心终结点保护功能，例如下一代反恶意软件、攻击面减少规则、设备控制、终结点防火墙、网络保护等。有关详细信息，请参阅 Microsoft Defender for Endpoint 计划 1 和计划 2。

Microsoft Defender for Endpoint P1 可以独立用户订阅许可证的形式提供，也可作为 Microsoft 365 E3/A3/G3 的一部分提供。

Microsoft Defender for Endpoint 计划 2 (P2)

Microsoft Defender for Endpoint P2 提供全面的终结点保护功能，包括 Microsoft Defender for Endpoint P1 的所有功能，以及终结点检测和响应、自动调查和修正、威胁和漏洞管理、威胁情报、沙盒和Microsoft威胁专家等额外的功能。有关详细信息，请参阅 Microsoft Defender for Endpoint 文档。

Microsoft Defender for Endpoint P2 可以独立许可证的形式提供，也可作为以下计划的一部分提供：

Windows 11 企业版 E5/A5
Windows 10 企业版 E5/A5
Microsoft 365 E5/A5/G5（包括 Windows 10 或 Windows 11 企业版 E5）
Microsoft 365 E5/A5/G5/F5 安全性
Microsoft 365 F5 安全性 + 合规性

Microsoft Defender for Endpoint 服务器版

Microsoft Defender for Endpoint 服务器版针对传统的本地服务器工作负载进行了优化，但也支持 Windows 和 Linux 服务器。服务器或虚拟机的每个操作系统环境 (OSE) 都需要单独的许可证。

Microsoft Defender for IoT – 企业 IoT 安全性

Microsoft Defender IoT – 企业 IoT 安全性与 Microsoft Defender for Endpoint 集成，可通过单个体验发现、持续监视和管理所有企业 IoT 设备中的漏洞。

Microsoft 365 E5 订阅和 Microsoft 365 E5 安全性订阅均附带 Microsoft Defender for IoT – 企业 IoT 安全性

Microsoft 365 E5 订阅和 Microsoft 365 E5 安全性订阅中均包含 Microsoft Defender for IoT – 企业 IoT 安全性。拥有这些订阅的客户有权通过每个符合条件的用户许可证为最多 5 个 eIoT 设备提供 Microsoft Defender for IoT - 企业 IoT 安全性。

基于设备的 Microsoft Defender for IoT – 企业 IoT 安全性附加产品

如需使用基于设备的 Microsoft Defender for IoT – 企业 IoT 安全性附加产品，客户需要拥有 Microsoft Defender for Endpoint P2，或者拥有包含 Microsoft Defender for Endpoint P2 的订阅：

Microsoft 365 A5/E5
Microsoft 365 A5/E5/F5 安全性
Microsoft 365 F5 安全性和合规性
Windows 10/11 企业版 A5/E5。

对于基于设备的 Microsoft Defender for IoT – 企业 IoT 安全性附加产品许可证，每个许可证涵盖一个 eIoT 设备。

有关详细信息，请参阅使用 Defender for Endpoint 在 Microsoft 365 中启用企业 IoT 安全性 - Microsoft Defender for IoT | Microsoft Learn。

Microsoft Defender 漏洞管理

Microsoft Defender 漏洞管理可以独立用户订阅许可证的形式提供，也可作为 Microsoft Defender for Endpoint 计划 2 的附加产品向客户提供。

Defender 漏洞管理可为 Windows、macOS、Linux、Android、iOS 和网络设备提供资产可见性、智能评估和内置修正工具。利用 Microsoft 威胁情报、入侵可能性预测、业务上下文和设备评估，Defender 漏洞管理可以快速且持续地优先处理最关键资产上的最大漏洞，并提供安全建议来降低风险。

Defender 漏洞管理独立版：没有 Defender for Endpoint 计划 2 的客户可以为其终结点检测和响应 (EDR) 解决方案补充 Defender 漏洞管理独立版，以满足其漏洞管理计划需求。

Defender 漏洞管理附加产品：Microsoft Defender for Endpoint 计划 2 包括的漏洞管理功能可通过添加 Microsoft Defender 漏洞管理附加产品附带的全新高级漏洞管理工具来获得增强。

Microsoft Defender for Endpoint 服务器版的 Microsoft Defender 漏洞管理附加产品：为具有 Microsoft Defender for Endpoint 服务器版的客户提供高级漏洞管理功能。

Microsoft Defender for Servers 计划 1 和 Defender for Servers 计划 2 也可提供漏洞管理功能。

有关详细信息，请参阅 Microsoft Defender 漏洞管理 | Microsoft Learn 和比较 Microsoft Defender 漏洞管理计划和功能 | Microsoft Learn。

哪些许可证可为用户提供通过该服务受益的权限？

Microsoft Defender漏洞管理可以独立用户订阅许可证的形式面向商业、教育和政府云客户提供。
对于拥有以下产品的组织，Defender 漏洞管理可作为附加产品提供：

Microsoft Defender for Endpoint 计划 2（独立）
Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/G5/F5 安全性
Microsoft 365 F5 安全性 + 合规性附加产品
Windows 11 企业版 E5/A5/G5
Windows 10 企业版 E5/A5/G5

拥有 Microsoft Defender for Endpoint 服务器版的组织可获得 Microsoft Defender for Endpoint 服务器版的 Microsoft Defender 漏洞管理附加产品。有关包含的功能的详细信息，请参阅比较 Microsoft Defender 漏洞管理计划和功能 | Microsoft Learn。

Microsoft Defender for Identity

Microsoft Defender for Identity（前身为 Azure 高级威胁防护）是一项云服务，可帮助保护企业混合环境免受多种类型的高级定向网络攻击和内部威胁的影响。 Microsoft Defender for Identity 采用的是按用户订阅许可证。

用户如何通过该服务受益？

SecOp 分析师和安全专业人员将受益于 Microsoft Defender for Identity 检测和调查高级威胁、身份泄露和恶意内部操作的能力。最终用户则可通过 Microsoft Defender for Identity 对其数据的监视受益。

哪些许可证可为用户提供通过该服务受益的权限？

企业移动性 + 安全性 E5/A5、Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 安全性、Microsoft F5 安全性 + 合规性和 Microsoft Defender for Identity 许可证可为用户提供通过 Microsoft Defender for Identity 受益的权限。

如何预配/部署该服务？

Microsoft Defender for Identity 的各项功能在租户级别为租户中的所有用户启用。有关如何配置 Microsoft Defender for Identity 的信息，请参阅创建 Microsoft Defender for Identity 实例。

如何将该服务仅应用于租户中获得了针对该服务的许可的用户？

某些租户服务（如 Microsoft Defender for Identity）目前无法将权益的享受范围限制为特定用户。若要查看有关使用通过 Microsoft 许可计划获得的 Microsoft 产品和专业服务的条款和条件，请参阅产品条款。

Microsoft Defender for Office 365

Microsoft Defender for Office 365（前身为 Office 365 高级威胁防护）可帮助组织防御网络钓鱼和零时差恶意软件等复杂攻击。 Microsoft Defender for Office 365 还通过关联来自各种数据的信号来提供可操作的见解，以帮助识别、优先处理潜在威胁并提供有关如何解决这些威胁的建议。

用户如何通过该服务受益？

Microsoft Defender for Office 365 可帮助用户防御网络钓鱼和零时差恶意软件等复杂攻击。有关计划 1 和计划 2 中提供的服务的完整列表，请参阅 Microsoft Defender for Office 365。

哪些许可证可为用户提供通过该服务受益的权限？

Microsoft Defender for Office 365 计划 1 和 2、Office 365 E5/A5/G5、Microsoft 365 E5/A5/G5、Microsoft 365 E5/A5/G5/F5 安全性、Microsoft 365 F5 安全性 + 合规性和 Microsoft 365 中小型企业高级版许可证可为用户提供通过 Microsoft Defender for Office 365 受益的权限。

此快速参考将帮助你了解每个 Microsoft Defender for Office 365 订阅附带的功能。结合对 EOP 功能的了解，可以帮助业务决策者确定最适合需要的 Microsoft Defender for Office 365。

Microsoft Defender for Office 365 计划 1 与计划 2 速查表

Defender for Office 365 计划 1	Defender for Office 365 计划 2
配置、保护和检测功能：安全附件安全链接用于 SharePoint、OneDrive 和 Microsoft Teams 的安全附件 Defender for Office 365 中的防钓鱼保护实时检测	Microsoft Defender for Office 365 计划 1 的功能 --- 以及 --- 自动化、调查、修正和教育功能：威胁跟踪器威胁资源管理器自动调查和响应攻击模拟培训

有关详细信息，请转到 Office 365 安全性，包括 Microsoft Defender for Office 365 和 Exchange Online Protection - Office 365 | Microsoft Docs。

如何预配/部署该服务？

默认情况下，Microsoft Defender for Office 365 的各项功能在租户级别为租户中的所有用户启用。有关如何为许可用户配置 Microsoft Defender for Office 365 策略的信息，请参阅 Microsoft Defender for Office 365。

有关如何为许可用户配置安全链接的信息，请参阅 Microsoft Defender for Office 365 中的安全链接。
有关如何为许可用户配置安全附件的信息，请参阅 Microsoft Defender for Office 365 中的安全附件。

信息保护：Microsoft Purview 高级邮件加密

有关 Microsoft Purview 高级消息加密的信息，请参阅 Microsoft Purview 信息保护高级消息加密。

信息保护：Microsoft Purview 邮件加密

有关 Microsoft Purview 消息加密的信息，请参阅 Microsoft Purview 信息保护消息加密。

Microsoft Priva

有关详细信息，请参阅 Microsoft Priva。

Office 365 中的 Privileged Access Management

Privileged Access Management (PAM) 提供对 Office 365 中特权管理任务的精细访问控制。启用 PAM 后，若要完成升级的特权任务，用户需要通过具有较高范围和时间限制的审批工作流请求即时访问。

用户如何通过该服务受益？

启用 PAM 可让组织以零长期特权运营。用户将受益于额外的防御层，可抵御因允许不受约束地访问其数据的长期管理访问权限而引起的漏洞。

哪些许可证可为用户提供通过该服务受益的权限？

Office 365 E5/A5、Microsoft 365 E5/A5、Microsoft 365 E5/A5/F5 合规性及 F5 安全性 + 合规性和 Microsoft 365 E5/A5/F5 内部风险管理许可证可为用户提供通过 PAM 受益的权限。

如何预配/部署该服务？

默认情况下，PAM 的各项功能在租户级别为租户中的所有用户启用。有关如何配置 PAM 策略的信息，请参阅 Privileged Access Management 入门。

如何将该服务仅应用于租户中获得了针对该服务的许可的用户？

客户可以通过审批者组和访问策略（可应用于许可用户）按用户管理 PAM。

Microsoft Purview 审核

有关详细信息，请参阅 Microsoft Purview 审核服务说明

Microsoft Purview 通信合规性

有关详细信息，请参阅 Microsoft Purview 通信合规性

Microsoft Purview 合规性管理器

有关详细信息，请参阅 Microsoft Purview 合规性管理器。

Microsoft Purview 客户密码箱

有关详细信息，请参阅 Microsoft Purview 客户密码箱

Microsoft Purview 数据连接器

有关详细信息，请参阅 Microsoft Purview 数据连接器

Microsoft Purview 数据生命周期管理和 Microsoft Purview 记录管理

Microsoft Purview 数据生命周期管理（前身为 Microsoft 信息治理）和 Microsoft Purview 记录管理为你提供了用于保留需要保留的内容和删除不需要的内容的工具和功能。组织经常会为了满足合规性和数据监管要求而保留和删除内容。删除不再具有业务价值的内容也有助于管理风险和责任。

数据生命周期管理和记录管理都使用保留策略、保留标签和保留标签策略来强制实施保留和删除设置。此外，此领域还包括电子邮件存档功能。

保留策略的许可

对于组织范围、位置范围或包含/排除保留策略，以下许可证可提供用户权限：

Microsoft 365 E5/A5/G5/E3/A3/G3、中小型企业高级版
Microsoft 365 E5/A5/G5/F5 合规性及 F5 安全性 + 合规性
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Office 365 E5/A5/G5/E3/A3/G3

如果保留策略位置是 Exchange 邮箱，则以下许可证也可以提供用户权限：

Exchange 计划 2
Exchange Online Archiving

如果保留策略位置为 SharePoint 或 OneDrive for Business，则以下许可证也可提供用户权限：

SharePoint 计划 2

如果保留策略位置为 Microsoft Teams 聊天、频道或专用频道，则以下许可证也可提供用户权限。对于带下划线的计划，保留或删除期必须超过 30 天：

Microsoft 365 E5/G5/A5/E3/G3/A3/F3/F1、中小型企业基础版、中小型企业标准版或中小型企业高级版
Office 365 E5/G5/A5/E3/G3/A3/F3/E1/G1
Microsoft 365 F5 合规性和 Microsoft 365 F5 安全性 + 合规性附加产品计划

如果保留策略使用自适应策略范围，则需要通过以下某个许可证来提供用户权限：

Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/G5/F5 合规性及 F5 安全性 + 合规性
Office 365 E5/A5/G5
Microsoft 365 E5/A5/F5/G5 信息保护和治理

如果保留策略适用于 Microsoft 365 Copilot 交互，则由以下许可证提供用户权限：

Microsoft 365 E3/E5 + Microsoft 365 Copilot
Microsoft 365 E3 + Microsoft E5 合规性 + Microsoft 365 Copilot
Microsoft 365 E3 + Microsoft E5 信息保护和治理 + Microsoft 365 Copilot

保留标签的许可

如需创建保留标签，以下许可证可提供用户权限：

Microsoft 365 E5/A5/G5/E3/A3/G3/F3/F1/中小型企业高级版
Microsoft 365 E5/A5/G5/F5 合规性及 F5 安全性 + 合规性
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Office 365 E5/A5/G5/E3/A3/G3/F3/E1/A1/G1

以下保留标签创建设置：

基于事件类型启动保留期
在保留期结束时触发处置评审
在保留期内，将项目标记为记录或法规记录
保留期过后，自动更改保留标签

需要以下特定许可证才能提供用户权限：

Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/G5/F5 合规性及 F5 安全性 + 合规性
Office 365 E5/A5/G5
Microsoft 365 E5/A5/F5/G5 信息保护和治理

保留标签策略的许可

保留标签将通过以下三种方式之一应用于文件和电子邮件：

发布标签，以便最终用户可以使用它们进行手动标记。
通过保留标签策略配置自动应用它们。
通过其他应用程序方法（例如默认标签）。

若要发布保留标签，以下许可证可提供用户权限：

Microsoft 365 E5/A5/G5/E3/A3/G3/F3/F1/中小型企业高级版
Microsoft 365 E5/A5/G5/F5 合规性及 F5 安全性 + 合规性
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Office 365 E5/A5/G5/E3/A3/G3/F3/E1/A1/G1

如果发布位置为 Exchange 邮箱，则 Exchange Online 计划 1 和计划 2 许可证可提供用户权限。

如果发布位置为 SharePoint Online 或 OneDrive，则 SharePoint Online 计划 1 和计划 2 许可证可提供用户权限。

保留标签的以下部署方法需要特定的许可：

自动应用于包含敏感信息的内容
自动应用于包含特定字词、短语或属性的内容
将默认保留标签应用于 SharePoint 文档库、文件夹或文档集
在保留标签策略中使用自适应策略范围

以下许可证可为这些部署方法提供用户权限：

Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/G5/F5 合规性及 F5 安全性 + 合规性
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Office 365 E5/A5/G5

若要使用可训练的分类器自动应用保留标签，以下许可证可提供用户权限：

Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/G5/F5 合规性及 F5 安全性 + 合规性
Microsoft 365 E5/A5/F5/G5 信息保护和治理

其他保留标签应用程序方法的许可证

若要使用 Outlook 规则或 Outlook 默认文件夹策略应用标签，以下许可证可提供用户权限：

Microsoft 365 E5/A5/G5/E3/A3/G3/F3/F1/中小型企业高级版
Microsoft 365 E5/A5/G5/F5 合规性及 F5 安全性 + 合规性
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Office 365 E5/A5/G5/E3/A3/G3/F3/E1/A1/G1

若要使用 SharePoint Syntex 模型应用保留标签，以下许可证可提供用户权限。此外，还需要购买相应的 SharePoint Syntex 许可证。

Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/G5/F5 合规性及 F5 安全性 + 合规性
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Office 365 E5/A5/G5

若要使用文件计划来维护保留标签（包括导入和导出），以下许可证可提供用户权限：

Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/G5/F5 合规性及 F5 安全性 + 合规性
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Office 365 E5/A5/G5

若要使用自适应策略范围将适用于 Microsoft 365 的 Microsoft Copilot 交互保留策略动态定位到特定用户，并且/或者保留 Microsoft 365 Copilot 交互中共享的文档的确切版本，以下许可证可提供用户权限：

Microsoft 365 E5 + Microsoft 365 Copilot
Microsoft 365 E3 + Microsoft E5 合规性 + Microsoft 365 Copilot
Microsoft 365 E3 + Microsoft 365 E5 信息保护和治理 + Microsoft 365 Copilot

电子邮件存档许可证

若要将 PST 文件批量导入 Exchange Online 邮箱，以下许可证可提供用户权限：

Exchange Online P2
Microsoft 365 E5/A5/G5/E3/A3/G3
Microsoft 365 E5/A5/G5/F5 合规性及 F5 安全性 + 合规性
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Office 365 E5/A5/G5/E3/A3/G3

若要启用存档邮箱和自动扩展存档，以下许可证可提供用户权限：

存档邮箱限制为 50 GB
- Exchange Online 计划 1
- Office 365 E1
存档邮箱限制为 1.5 TB
- Exchange Online Archiving
- Exchange Online 计划 2
- Microsoft 365 E5/A5/G5/E3/A3/G3
- Microsoft 365 E5/A5/G5/F5 合规性及 F5 安全性 + 合规性
- Microsoft 365 E5/A5/F5/G5 信息保护和治理
- Office 365 E5/A5/G5/E3/A3/G3
- Microsoft 365 商业高级版

哪些用户需要许可证？

通过该服务受益的任何用户都需要许可证。有关服务条款和条件的详细信息，请参阅产品条款。下面是通过该服务受益的示例用户：

Microsoft Purview 合规门户中分配了以下角色的用户：处置管理、记录管理、保留管理、仅供查看记录管理、仅供查看保留管理。
SharePoint 网站所有者和成员（在网站上使用保留策略或保留标签策略时）。网站访问者不需要许可证。
Microsoft 365 组所有者和成员（在网站、邮箱或 Teams 消息中使用保留策略或保留标签策略时）。
对于用户邮箱，用户必须分配有所需的许可证。
自适应策略范围中包含的用户、SharePoint 网站和 Microsoft 365 组。

对于许多功能，共享邮箱或资源邮箱不需要分配有许可证。对于需要以下许可证之一的功能，共享邮箱或资源邮箱确实需要分配有许可证才能提供使用权限：

Microsoft 365 E5/A5/G5
Microsoft 365 E5/A5/G5/F5 合规性及 F5 安全性 + 合规性
Microsoft 365 E5/A5/F5/G5 信息保护和治理
Office 365 E5/A5/G5

非活动邮箱不需要具有使用许可证。

此外，共享邮箱的限制为 50 GB，且无需 Exchange 加载项。若要将大小限制增加到 100 GB，共享邮箱需要 Exchange Online 计划 2 或 Exchange Online Archiving + Exchange Online 计划 1。

Microsoft Purview 数据丢失防护：终结点数据丢失防护 (DLP)

有关详细信息，请参阅 Microsoft Purview 数据丢失防护：终结点数据丢失防护 (DLP)

适用于 Exchange Online、SharePoint Online 和 OneDrive for Business 的 Microsoft Purview 数据丢失防护 (DLP)

借助适用于 Exchange Online、SharePoint Online 和 OneDrive for Business 的 Microsoft Purview 数据丢失防护（前身为 Microsoft Office 365 数据丢失防护），组织可以跨电子邮件和文件（包括存储在 Microsoft Teams 文件存储库中的文件）识别、监视和自动保护敏感信息。

用户如何通过该服务受益？

当系统根据组织在 DLP 策略中的配置检查用户的电子邮件和文件中是否存在敏感信息时，用户便可以通过适用于 Exchange Online、SharePoint Online 和 OneDrive for Business 的 DLP 受益。

哪些许可证可为用户提供通过该服务受益的权限？

Microsoft 365 E5/A5/G5/E3/A3/G3、Microsoft 365 中小型企业高级版、SharePoint Online 计划 2、OneDrive for Business（计划 2）、Exchange Online 计划 2
Office 365 E5/A5/G5/E3/A3/G3
Microsoft 365 E5/A5/G5/F5 合规性及 F5 安全性 + 合规性
Microsoft 365 E5/A5/F5/G5 信息保护和治理