创建和管理敏感度标签

  • 8 分钟

通过 Microsoft Purview 信息保护中的敏感度标签,可以对组织的数据进行 分类保护,同时确保用户工作效率及其协作能力不受影响。 敏感度标签允许 Teams 管理员保护并控制对在团队内协作期间创建的敏感组织内容的访问。

组织可以使用敏感度标签来执行以下操作:

  • 提供包含加密和内容标记的保护设置。

  • 跨不同平台和设备保护 Office 应用中的内容。

  • 利用 Microsoft Defender for Cloud Apps 保护第三方应用和服务中的内容。

  • 保护容器,包括 Teams、Microsoft 365 组和 SharePoint 网站。

  • 将敏感度标签扩展到 Power BI。

  • 将敏感度标签扩展到 Microsoft Purview Data Map 中的资产。

  • 将灵敏度标签扩展到第三方应用程序和服务。

  • 对内容进行分类,无需使用任何保护设置。

标记范围

创建灵敏度标签时,系统会要求你配置标签的范围,该范围决定了两件事:

  • 可为该标签配置的标签设置

  • 用户将可以看到标签的位置

你可以将敏感度标签应用于以下范围:

  • 文件和电子邮件:电子邮件和 Office 文件

  • 组和网站:Microsoft Teams 网站、Microsoft 365组和 SharePoint 网站

  • 架构化数据资产

    敏感度标签的范围选项的屏幕截图。

组和网站(容器)的敏感度标签设置

敏感度标签可应用于项目级 (或容器) 电子邮件,如 Microsoft Teams 网站、Microsoft 365 组和 SharePoint 网站。 对于此容器级别分类和保护,请使用以下标签设置:

  • 与 Microsoft 365 组连接的团队网站的隐私(公共或专用)

  • 外部用户访问

  • 从 SharePoint 网站进行外部共享

  • 非托管设备的访问

  • 身份验证内容(预览)

  • SharePoint 网站的默认共享链接(仅限 PowerShell 的配置)

  • 预览版: 网站共享设置(仅限 PowerShell 的配置)

隐私和外部用户访问设置

配置 隐私外部用户访问 设置。

  • 隐私:如果要使组织中的每个人都可访问应用此标签的团队网站或组,请保留“公用”的默认设置。

    如果要将访问权限限制为仅允许组织中的已批准成员,请选择“专用”。

    如果要使用敏感度标签保护容器中的内容,但仍允许用户自行配置隐私设置,请选择“”。

    公用”或“专用”的设置可在你将此标签应用到容器时设置和锁定隐私设置。 你选择的设置将替换之前可能已为团队或组配置的任何隐私设置,并锁定隐私值,因此只有先从容器中删除敏感度标签才能更改它。 删除敏感度标签后,标签中的隐私设置仍将保留,用户现在可以再次更改它。

  • 外部用户访问:控制组所有者是否可以向组添加来宾。

    隐私和外部用户访问设置的屏幕截图。

设备外部共享和设备访问设置

若要配置 控制来自标记的 SharePoint 网站的外部共享,使用Azure AD条件访问保护标记的 SharePoint 网站 设置。

  • 控制来自标记为 SharePoint 网站或网站 的外部共享:选择此选项,然后选择对任何人、新来宾和现有来宾、现有来宾或仅对组织内部人员的外部共享。

  • 使用 Azure AD 条件访问保护已标记的 SharePoint 网站:仅当你的组织已配置并且使用 Azure Active Directory 条件访问 时才选择此选项。然后选择以下设置之一:

    • 确定用户是否可以从非托管设备访问 SharePoint 网站:此选项使用利用 Azure AD 条件访问来阻止或限制从非托管设备访问 SharePoint 和 OneDrive 内容的 SharePoint 功能。

    • 选择现有的身份验证上下文:当前处于预览状态,当用户访问已应用此标签的 SharePoint 网站时,此选项可让您强制执行更严格的访问条件。 当选择为组织的条件访问部署创建和发布的现有身份验证上下文时,将强制执行这些条件。 如果用户不满足配置的条件,或者使用不支持身份验证上下文的应用,则拒绝他们访问。

      设备外部共享和设备访问设置的屏幕截图。

如果你将此敏感度标签应用于受支持的容器,此标签会自动向连接的网站或组应用分类和保护设置。 但是,这些容器中的内容不会继承用于分类和设置的标签,例如标签名称、视觉标记或加密。

  • 确保已为 SharePoint 和 OneDrive 中的 Office 文件启用敏感度标签,以便用户可以在 SharePoint 网站或团队网站中标记其文档。

    已启用的 SharePoint 和 OneDrive 中 Office 文件的敏感度标签的屏幕截图。

  • 当标签与指定的条件匹配时,可以自动将该标签分配给文件和电子邮件。 有关详细信息,请参阅 将敏感度标签自动应用于内容

    当条件匹配时,自动将该标签分配给文件和电子邮件的屏幕截图。

为组和网站启用敏感度标签

在启用此功能前,不会显示“网站和组设置”的配置选项。 按照步骤在 Azure AD 中启用该功能。

  1. 打开计算机上的 Windows PowerShell 窗口。

  2. 使用管理员凭据连接到 Azure AD。

    Import-Module AzureADPreview
Connect-AzureAD

  3. 获取 Azure AD 组织的当前组设置。

    $Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id

    备注

    如果尚未为此 Azure AD 组织创建任何组设置,则必须首先创建设置。 按照 Azure Active Directory cmdlet 中的步骤配置组设置 为此Azure AD 组织创建组设置。

  4. 启用功能:

    $Setting["EnableMIPLabels"] = "True"

  5. 然后保存更改并应用设置:

    Set-AzureADDirectorySetting -Id $Setting.Id -DirectorySetting $Setting

    备注

    如果你在 2019 年 9 月之前使用了敏感度标签,则还需要将敏感度标签同步到Azure AD。 有关说明,请参阅 如何为容器启用敏感度标签以及如何同步标签

创建和发布敏感度标签

全局管理员可以从 Microsoft Purview 合规门户创建和管理敏感度标签。 请参阅 创建和发布敏感度标签 中的说明。

  1. 转到 Microsoft Purview 合规门户 > 信息保护

  2. 选择“标签”选项卡,然后选择“+ 创建标签”,以启动“新建敏感度标签”向导。

  3. 名称和为标签创建工具提示 页面上,提供信息。

  4. 定义此标签范围 页上,选择 组和网站 或其他作用域。

    所选选项决定了可配置的设置的标签范围,以及它们在发布时可见的位置

  5. 按照向导中标签设置提示完成创建。

    网站和组设置选项卡的屏幕截图。

创建敏感度标签后,需要 通过创建标签策略发布敏感度标签。 分配的敏感度标签策略包含此标签的用户将能够为网站和组选择该标签。

将标签应用于团队、组或网站时,只有这些网站和组设置会生效。 其他标签设置(例如加密和内容标记)不适用于团队、组或网站中的内容。

在 Teams 中使用敏感度标签

管理员可以创建敏感度标签,在团队创建期间应用该标签时,允许用户创建具有特定隐私(公共或专用)设置的团队。

例如,管理员使用策略创建名为“机密”的敏感度标签,使用此标签创建的任何团队都必须是专用团队。 当用户创建新团队并选择 机密 标签时,用户可用的唯一隐私选项是 专用。 其他隐私选项(如公用和组织范围)会为用户禁用。

机密敏感度标签的屏幕截图。

创建团队后,敏感度标签显示在团队中频道的右上角。

团队频道窗口中敏感度标签的屏幕截图。

团队所有者随时都可以更改团队的敏感度标签和隐私设置,方法是转到团队,然后单击 编辑团队

“编辑我的团队”频道页面的屏幕截图。

备注

为容器启用敏感度标签后,Microsoft 365 不再支持新 Microsoft 365 组和 SharePoint 网站的旧分类。 但是,除非进行转换以使用敏感度标签,否则支持敏感度标签的现有组和网站仍会显示旧分类值。 有关详细信息,请参阅 Microsoft 365 组的 Azure Active Directory 分类和敏感度标签

有关更多信息,请参阅: