通过敏感度标签应用加密,从而限制对内容的访问

Microsoft 365 安全性与合规性许可指南

创建敏感度标签时,可以限制对将应用标签的内容的访问。 例如,使用敏感标签的加密设置可保护内容,以便:

  • 只有组织中的用户才能打开机密文档或电子邮件。
  • 只有市场部的用户才能编辑和打印促销声明文档或电子邮件,而组织中的所有其他用户只能阅读它。
  • 用户无法转发电子邮件或从中复制包含有关内部组织的新闻的信息。
  • 发送到业务合作伙伴的当前价目表在指定日期后无法打开。
  • 只有发送会议邀请以启动机密项目的人员才能打开会议邀请,但无法将其转发给其他人。

加密文档、电子邮件或会议邀请时,将限制对内容的访问,以便:

  • 只能由标签的加密设置授权的用户解密。
  • 无论其所在位置(组织内部或外部)如何,仍保持加密状态,即使该文件被重命名也是如此。
  • 静态加密(例如,在 OneDrive 帐户中)和传输加密(例如,正在通过 Internet 传输的电子邮件)。

最后,作为管理员,你在配置敏感度标签来应用加密时可选择执行下述任一操作:

  • 立即分配权限,以便准确确定哪些用户获得了带有该标签的内容的哪些权限。
  • 在用户将此标签应用到内容时允许用户分配权限。 这样,即可让组织内部人员在协作处理和完成任务时具有可能需要的一定程度的灵活性。

在 Microsoft Purview 门户或Microsoft Purview 合规门户中创建敏感度标签时,可以使用加密设置。

注意

Outlook 中的敏感度标签可以应用 S/MIME 保护,而不是来自 Azure Rights Management 服务的加密和权限。 有关详细信息,请参阅 配置标签以在 Outlook 中应用 S/MIME 保护

提示

如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即在 Microsoft Purview 试用中心开始。 了解有关 注册和试用条款的详细信息。

了解加密的工作方式

除非使用 S/MIME for Outlook,否则敏感度标签应用于文档、电子邮件和会议邀请的加密都使用 Azure Rights Management 服务 (Azure RMS) Microsoft Purview 信息保护。 该保护解决方案使用了加密、标识和身份验证策略。 若要了解详细信息,请参阅什么是 Azure 权限管理?

使用此加密解决方案时,超级用户功能确保了获得授权的用户和服务始终可读取和检测已针对你的组织进行加密的数据。 必要时,可删除或更改加密。 有关详细信息,请参阅为 Azure 信息保护和发现服务或数据恢复配置超级用户

重要

还可以使用 敏感度标签将加密应用于 Teams 会议的音频和视频流,但这使用不同的加密方法,而不是用于电子邮件、会议邀请和文档的 Azure Rights Management 服务。 有关用于 Teams 会议的加密的详细信息,请参阅 Teams 安全指南中的 媒体加密

重要先决条件

可能需要执行一些配置任务,然后才可使用加密。 配置加密设置时,不检查是否满足这些先决条件。

  • 激活 Azure Rights Management

    若要使用权限管理应用加密的敏感度标签,必须为租户激活来自 Microsoft Purview 信息保护 的 Azure Rights Management 服务。 在较新的租户中,这是默认设置,但你可能需要手动激活该服务。 有关详细信息,请参阅激活 Azure 信息保护中的保护服务

  • 查看网络要求

    可能需要对防火墙等网络设备做出一些更改。 有关详细信息,请参阅 防火墙和网络基础结构

  • 检查Microsoft Entra配置

    有一些Microsoft Entra配置可能会阻止对加密内容的授权访问。 例如,跨租户访问设置和条件访问策略。 有关详细信息,请参阅加密内容的Microsoft Entra配置

  • 配置 Exchange for Azure Rights Management

    用户无需为 Azure Rights Management 配置 Exchange,用户便可以在 Outlook 中应用标签来加密其电子邮件。 但是,在为 Azure Rights Management 配置 Exchange 之前,你不会获得通过权限管理进行加密的完整功能。

    例如,用户无法在移动电话上或使用Outlook 网页版查看加密电子邮件或加密会议邀请,无法为加密电子邮件编制索引以供搜索,并且无法为权限管理保护配置Exchange Online DLP。

    为确保 Exchange 可以支持这些其他应用场景:

如何配置加密标签

  1. 按照常规说明创建或编辑敏感度标签,并确保为标签的范围选择了“文件 & 其他数据资产”选项:

    敏感度标签范围选项 项,用于基于加密的访问控制。

  2. 然后,在 “为所选项目类型选择保护设置” 页上,确保选择“ 控制访问权限”。

    适用于项目的敏感度标签保护选项。

  3. “访问控制 ”页上,选择以下选项之一:

    • 删除访问控制设置(如果已应用于项目):选择此选项时,应用标签会删除现有加密,即使它独立于敏感度标签应用也是如此。

      请务必了解,此设置可能会导致敏感度标签,当用户没有足够的权限删除现有加密时,可能无法应用该标签。 有关此方案的详细信息,请参阅应用标签时,对现有加密的影响部分。

    • 配置访问控制设置:使用权限管理启用加密,并使以下设置可见:

      用于加密的敏感度标签选项。

      有关这些设置的说明,请参阅以下配置加密设置 部分。

编辑标签以新应用加密或更改现有加密设置

这是一种常见的部署策略,最初配置不应用加密的敏感度标签,然后编辑一些现有标签以应用加密。 当标签更改 到达你的应用时,你编辑的标签将为新标记的项目应用该加密。

在为 SharePoint 和 OneDrive 启用敏感度标签后,对于在 SharePoint 和 OneDrive 中访问的文件,下次访问这些文件时,文件的新加密状态会自动更改。 例如,它们是在 Office 网页版 中打开或下载的。 无需删除标签并重新应用标签。 例如,以前未加密的文件会加密。

对于已标记的其他项,除非删除标签并重新应用,否则它们会保留其以前的加密状态。 例如,在将敏感度标签更改为现在应用加密后,在 Office 桌面或 Office 移动版中打开以前标记且未加密的文档或电子邮件时,这些项目将保持未加密状态,除非删除标签并重新应用它。 同样,如果将敏感度标签设置更改为不应用加密 (删除访问控制) 选项,则除非删除标签并重新应用,否则这些项目将保持加密状态。

对于已标记为加密和“立即分配权限”选项的项目,更改用户或权限的加密设置时,当用户使用加密服务进行身份验证时,新设置将应用于现有项目。 在大多数情况下,无需删除并重新应用标签。 但是,如果用户已打开加密的文档或电子邮件,则在用户使用许可证过期且必须重新进行身份验证之前,他们不会获得新设置。 有关此方案的详细信息,请参阅有关加密工作原理的相关 常见问题解答

每当更改允许用户分配权限的加密选项时,该更改仅适用于新标记或重新标记的项。 例如:

  • 现在将标签从分配权限更改为允许用户分配权限,反之亦然
  • 将标签从“请勿转发”更改为“仅加密”,或者相反

应用标签后,现有加密会发生什么情况

如果敏感度标签应用于未加密的内容,则可以选择的加密选项的结果不言而喻。 例如,如果未选择“ 控制访问权限”,则内容将保持未加密状态。

但是,内容可能已经加密。 例如,其他用户可能已应用以下内容:

  • 其自己的权限,包括在标签提示时用户定义的权限、Microsoft Purview 信息保护客户端的自定义权限,以及 Office 应用中的受限访问文档保护。
  • 独立于标签加密内容的权限管理模板。 此类别包括通过权限保护应用加密的邮件流规则。
  • 使用管理员分配的权限应用加密的标签。

下表说明了在向该内容应用敏感度标签后现有加密发生的情况:

加密:未选择 加密:已配置 加密:删除
用户指定的权限 删除原有加密 应用新的标签加密 删除原有加密
权限管理模板 保留原有加密 应用新的标签加密 删除原有加密
具有管理员定义的权限的标签 删除原有加密 应用新的标签加密 删除原有加密

如果应用了新的标签加密或删除了原有加密,则仅在应用标签的用户具有支持此操作的使用权限或角色时才会发生此情况:

如果用户没有上述权限或角色之一,则无法应用标签,因此原有加密将保留。 用户会看到以下消息:你无权对敏感度标签进行此更改。请联系内容所有者。

例如,向电子邮件应用“请勿转发”标签的用户可重新标记会话,以替换或删除加密,因为他们是该电子邮件的权限管理所有者。 但除超级用户外,此电子邮件的收件人无法对其重新标记,因为他们没有必需的使用权限。

加密电子邮件和会议邀请的Email附件

通过任何方法加密电子邮件或会议邀请时,附加到电子邮件或邀请的任何未加密 Office 文档都会自动继承相同的加密设置。 无法关闭此加密继承,例如,使用设置或 标签范围

电子邮件或会议邀请中的任何敏感度标签都不会由附件继承,但可以在同一租户中的用户打开文档时自动应用。 有关详细信息,请参阅 文档的基于加密的标签匹配

已加密且随后添加为附件的文档始终保留其原有加密。

配置加密设置

在“访问控制”页上选择“配置访问控制设置”以创建或编辑敏感度标签时,请选择以下选项之一:

  • 立即分配权限,以便可准确确定哪些用户对已应用标签的内容具有哪些权限。 有关详细信息,请参阅下一部分:立即分配权限
  • 在用户向内容应用标签时允许用户分配权限。 通过此选项,可使组织内部人员在协作处理和完成任务时具有一定程度可能需要的灵活性。 有关详细信息,请参阅下述部分:允许用户分配权限

例如,如果你有一个名为“高度机密”的敏感度标签,它将应用于你的大部分敏感内容,则你可能需要决定谁对该内容获得哪种类型的权限。

或者,如果你有一个名为“商业合同”的敏感度标签,而你所在组织的工作流要员工临时在非计划的基础上与不同的人合作处理这个内容,则你可能需要允许用户在分配此标签时决定由谁获得权限。 这种灵活性都能帮助你的用户保持高效,同时减少管理员要更新或新建敏感度标签来应对特定场景的请求。

选择是要立即分配权限还是允许用户分配权限:

用于选择管理员定义的权限或用户定义的权限的选项。

立即分配权限

使用以下选项控制谁可以访问电子邮件、会议邀请 ((如果已启用) )或应用此标签的文档。 可以执行下列操作:

  • 允许对已标记内容的访问权限在特定的日期或应用标签后的特定天数后过期。 在此时间过后,用户将无法打开已标记的项。 如果指定日期,则它将在当前时区中的该日期午夜生效。 由于某些电子邮件客户端的缓存机制,某些电子邮件客户端可能不会强制过期并显示其过期日期。

  • 始终允许脱机访问 ,或在应用标签后的特定天数内允许脱机访问。 使用此设置可以平衡任何安全要求,使用户能够在用户没有 Internet 连接时打开加密内容。 如果将脱机访问限制为从不或数天,则达到该阈值时,必须重新对用户进行身份验证,并记录其访问权限。 有关此过程的工作原理的详细信息,请参阅以下有关 Rights Management 使用许可证 的部分。

加密内容的访问控制设置:

管理员定义权限的设置。

有关过期和脱机访问设置的建议:

设置 推荐设置
用户访问内容的权限过期 除非内容具有特定的时间限制要求,否则请切勿这样做。
允许脱机访问 取决于内容的敏感度:

- 仅在若干天内 = 7为敏感商业数据,如果与未经授权的人分享,可能会对企业造成损害。 此建议在灵活性和安全性之间提供了平衡的折衷方案。 示例包括合同、安全报告、预测摘要和销售帐户数据。

- 切勿用于非常敏感的商业数据,如果与未经授权的人分享,将对企业造成损害。 此建议将安全性置于灵活性之上,并确保如果取消一个或多个用户对文件的访问,他们将无法打开文件。 示例包括员工和客户信息、密码、源代码和预先宣布的财务报表。

对于不太敏感的内容,- 始终在访问被删除后,用户可以继续打开加密内容长达 30 天(或为租户配置的使用许可有效期),而对于他们之前打开过加密内容,这并不重要。

现在,只有配置为分配权限的标签才支持不同的脱机访问值。 允许用户分配权限的标签自动使用租户的 Rights Management 使用许可证有效期。 例如,为“不转发”、“仅加密”配置的标签,并提示用户指定自己的权限。 此设置的默认值为 30 天。

针对脱机访问的 Rights Management 使用许可证

注意

尽管可以将加密设置配置为允许脱机访问,但某些应用可能不支持对加密内容进行脱机访问。 例如,如果处于脱机状态,则 Power BI 桌面 中标记和加密的文件将无法打开。

当用户打开受 Azure Rights Management 服务加密保护的项目时,将向用户授予该内容的 Azure Rights Management 使用许可证。 此使用许可证是一种证书,其中包含用户对文档或电子邮件的使用权限,以及用于加密内容的加密密钥。 此使用许可证还包含过期日期(若已设置)及其有效时长。

如果未设置到期日期,则租户的默认使用许可证有效期为 30 天。 在使用许可证期间,用户不会对内容重新进行身份验证或重新授权。 此过程允许用户在没有 Internet 连接的情况下继续打开受保护的文档或电子邮件。 当使用许可证有效期到期时,用户下次访问受保护的文档或电子邮件时,必须重新对用户进行身份验证并重新授权。

除重新进行身份验证以外,还将重新评估策略和用户组成员身份。 这意味着,如果用户上次访问内容时加密设置或组成员身份发生了更改,则同一项的访问结果可能会有所不同。

若要了解如何更改默认的 30 天设置,请参阅 Rights Management 使用许可证

向特定用户或组分配权限

可向特定人员授予权限,只允许这些人员与标记的内容进行交互:

  1. 首先,添加将向其分配对标记的内容具有访问权限的用户或组。

  2. 然后,选择这些用户应对标记的内容具有的权限。

分配权限:

用于向用户分配权限的加密选项。

添加用户或组

分配权限时,可以选择:

  • 组织中的每个人都 () 的所有租户成员。 此设置排除来宾帐户。

  • 所有经过身份验证的用户。 选择前,请确保你了解此设置的相关要求和限制

  • Microsoft Entra ID中任何启用特定用户或电子邮件的安全组、通讯组或Microsoft 365 组。 Microsoft 365 组可以有静态或动态成员资格。 不能从 Exchange 使用动态通讯组,因为此组类型未同步到Microsoft Entra ID。 也无法使用未启用电子邮件的安全组。

    尽管可以指定包含邮件联系人的组,以作为向组织外部的多个人员授予访问权限的便捷方法,但此配置当前存在已知问题。 有关详细信息,请参阅 组中的邮件联系人对加密内容具有间歇性访问权限

  • 任何电子邮件地址或域。 使用此选项可指定另一个组织中使用Microsoft Entra ID的所有用户,方法是输入该组织的任何域名。 你可使用此选项处理社交提供商,方式是输入其域名,例如 gmail.comhotmail.comoutlook.com

    注意

    如果指定组织使用Microsoft Entra ID的域,则无法限制对该特定域的访问。 相反,Microsoft Entra ID中的所有已验证域都会自动包含在拥有指定域名的租户中。

选择组织中的所有用户和组或浏览目录时,这些用户或组必须具有电子邮件地址。

最佳做法是使用组而不是用户。 此策略可使配置更简单。

有关“添加任何经过身份验证的用户”的要求和限制

此设置不会限制谁可访问标签加密的内容,但仍会加密内容并向你提供用来限制内容使用方式(权限)和访问方式(过期和脱机访问)的选项。 但是,打开加密内容的应用程序必须能够支持正在使用的身份验证。 因此,联合社交提供商(如 Google)和一次性密码身份验证仅适用于电子邮件和会议邀请,并且仅适用于使用 Exchange Online。 Microsoft帐户可用于Office 365应用和Microsoft Purview 信息保护查看器

注意

为 SharePoint 和 OneDrive 中的 Office 文件启用敏感度标签时,请考虑将此设置与 sharePoint 和 OneDrive 与 Microsoft Entra B2B集成配合使用

“所有经过身份验证的用户”设置的一些典型场景:

  • 你不在乎谁会查看内容,但你想要限制内容使用方式。 例如,你不希望内容遭到编辑、复制或打印。
  • 你不需要限制谁有权访问内容,但你想要能够确定谁可打开内容。
  • 你要求内容必须在静态和传输中经过加密,但不要求访问权限控制。

选择权限

选择允许为这些用户或组使用哪些权限时,可以选择:

  • 具有预设权限组的预定义权限级别,例如编辑器或受限编辑器。
  • 自定义权限,可在其中选择一个或多个使用权限。

有关帮助你选择适当权限的详细信息,请参阅使用权限和说明

用于选择权限级别或自定义权限的加密选项。

请注意,同一标签可以向不同的用户授予不同的权限。 例如,单个标签可以将某些用户分配为“受限编辑器”,将其他用户分配为“所有者”,如以下屏幕截图所示。

为此,请添加用户或组,为其分配权限,并保存这些设置。 然后重复这些步骤,添加用户并为其分配权限,每次保存设置。 可以根据需要经常重复此配置,为不同的用户定义不同的权限。

配置了具有不同权限的加密的不同用户。

Rights Management 颁发者(应用敏感度标签的用户)始终具有完全控制

默认情况下,敏感度标签的加密使用 Microsoft Purview 信息保护 中的 Azure Rights Management 服务。 当用户通过加密应用敏感度标签来保护文档或电子邮件时,该用户就成为了该内容的权限管理颁发者。

权限管理颁发者始终具有对文档或电子邮件的完全控制权限;此外:

  • 如果加密设置包含过期日期,权限管理颁发者在该日期后仍可打开和编辑文档或电子邮件。
  • Rights Management 颁发者可以始终在脱机状态下访问文档或电子邮件。
  • 在文档被撤销后,Rights Management 颁发者仍然可以打开该文档。

有关详细信息,请参阅 Rights Management 颁发者和 Rights Management 所有者

动态水印

注意

此选项处于预览状态,并且可能会发生更改。

使用 功能表 和行 动态水印确定所需的最低 Office 应用版本。

当用户访问应用了此敏感度标签的文件时,默认情况下,其通用主体名称 (UPN) 将作为水印动态插入到文件的每个页面上。 通常,用户的 UPN 与其电子邮件地址相同。 (可选)通过将 PowerShell cmdlet Set-LabelDynamicWatermarkDisplay 参数配合使用,可以指定一个自定义字符串,该字符串也支持包含日期和时间的变量。

在设备上查看文件时,此水印高度可见,打印时会保留,但导出时不会保留。 此水印比标签的标准内容标记更安全,因为用户无法轻松手动删除或更改它。

当用户重新标记文档、选择应用其他动态水印的敏感度标签或没有动态水印时,水印将被删除。 但是,与所有加密内容一样,用户必须具有“导出”或“完全控制” 的使用权限 才能删除现有加密。

仅应用加密的敏感度标签支持这种保护性水印,并且具有“ 立即分配权限 ”配置(有时称为“管理员定义的权限”)。 与其他加密设置一样,支持跨租户使用动态水印。 将其用于最敏感的文档,作为对打开文档的人员的屏幕捕获的视觉威慑。 但是,请注意以下注意事项。

若要打开应用动态水印的已标记文档,必须满足以下条件之一:

  • 用户是 Rights Management 所有者,在大多数情况下,这意味着他们自己应用了标签。 有关详细信息,请参阅 Rights Management 颁发者和 Rights Management 所有者

  • 用户使用了解动态水印的应用打开文档。 使用 功能表 和行 动态水印 确认支持的版本。

  • 用户在 Office web 版 中打开文档。

如果用户在 Office 应用中打开文档时未满足这些条件,则不会打开文档。 使用此标签配置之前,请确保了解此限制。

警告

Microsoft Office 应用将拒绝访问(如果它们不支持动态水印),或者强制实施动态水印(如果支持)。

以前标记的文档的注意事项:

  • 与所有已更改的加密设置一样,如果已有有效的 文档权限管理使用许可证 ,则不会立即应用新配置的动态水印。 使用许可证过期后,必须重新对 Azure Rights Management 服务进行身份验证才能打开文档,然后应用动态水印设置。

  • 如果敏感度标签以前将标准水印用作内容标记,则不会自动检测和解析。

双密钥加密

注意

对于内置标记,请使用 功能表 和行 双密钥加密 (DKE) 来确定所需的最低版本。

仅在配置 了双密钥加密 服务并且需要对应用此标签的文件和电子邮件使用此双密钥加密之后,才选择“双密钥加密标签”选项。 配置并保存标签后,将无法对其进行编辑。

了解更多信息、先决条件、以及配置说明,请参阅双密钥加密 (DKE)

允许用户分配权限

重要

并非所有的标签客户端都支持让用户自己分配权限所有的选项。 请使用本节了解更多信息。

可使用下述选项来允许用户在向内容手动应用敏感度标签时分配权限:

  • 在 Outlook 中,用户可以为他们选择的收件人选择相当于 “不转发”“只加密” 的限制。

    所有支持敏感标签的电子邮件客户端都支持 “不转发” 选项。 但是,应用具有敏感度标签的 “仅加密” 选项是较新的版本。 对于不支持此功能的邮件客户端,标签将不可见。

    若要检查使用内置标签的 Outlook 应用的最低版本支持应用带有敏感标签的“只加密”选项,请使用 “Outlook 能力表”“让用户分配权限: - 只加密” 行。

  • 在 Word、PowerPoint 和 Excel 中,除非标签配置为扩展 SharePoint 文档库的权限,否则系统会提示用户为特定用户、组或组织选择自己的权限。

    对于不支持此功能的 Office 应用,标签对用户不可见,或者标签为一致性可见,但不能与说明消息一起应用于用户。

    若要检查哪些 Office 应用支持此选项,请使用 Word、Excel 和 PowerPoint 的功能表以及“允许用户分配权限”的行。

注意

如果标签范围排除了“请勿转发”和“仅加密”) 的电子邮件 (,或者排除 (Word、PowerPoint 和 Excel) 中提示用户的文件,则你将无法使用这些配置。 有关详细信息,请参阅 将标签范围限定为文件或电子邮件

在这些选择受到支持时,请使用以下标签确定用户何时回看到敏感度标签:

设置 标签在 Outlook 中可见 标签在 Word、Excel 和 PowerPoint 中可见
在 Outlook 中,使用“不转发”或“仅加密”选项实施限制
在 Word、PowerPoint 和 Excel 中提示用户指定权限

同时选中这两个选项时,标签在 Outlook 和 Word、Exce、PowerPoint 中都可见。

可以向用户推荐允许用户分配权限的敏感度标签,但只能自动应用于“请勿转发”和“Encrypt-Only”选项。

配置用户分配的权限:

有关用户定义的权限的加密设置。

Outlook 限制

在 Outlook 中,当用户应用一个让他们为邮件分配权限的敏感标签时,可以选择 “不转发”选项“只加密”。 用户将在邮件顶部看到标签名称和说明,这表示正在保护该内容。 与 Word、PowerPoint 和 Excel 不同(详见下一部分),系统不会提示用户选择特定权限。 对于此配置,管理员控制权限,但不控制谁具有访问权限。

应用于 Outlook 中的邮件的敏感度标签。

当这些选项中的任何一个应用于电子邮件时,都会加密电子邮件且收件人必须经过身份验证。 然后,收件人自动拥有受限制的使用权限:

  • 不转发: 收件人无法转发、打印或复制该邮件。 例如,在 Outlook 客户端中,“转发”按钮不可用,“另存为”和“打印”菜单选项也不可用,并且你不可在“收件人”、“抄送”和“密件抄送”框中添加或更改收件人。

    有关此选项工作方式的更多信息,请参阅 电子邮件的 “不转发” 选项

  • 只加密密: 收件人拥有除 “另存为”、“导出” 和 “完全控制” 以外的所有使用权。 这种使用权的组合意味着收件人除了无法取消保护外,没有任何限制。 例如,收件人可以从邮件中复制、打印和转发。

    有关此选项工作方式的更多信息,请参见 电子邮件的 “只加密” 选项

附加到电子邮件或会议邀请的未加密 Office 文档会自动继承相同的限制。 对于“请勿转发”,适用于这些文件的使用权限是“编辑内容”,“编辑”; “保存”; “查看”、“打开”、“读取”; 以及“允许宏”。 如果用户希望附件具有不同的使用权限,或者附件不是支持此继承保护的 Office 文档,则用户需要在将文件附加到电子邮件或会议邀请之前对其进行加密。

Word、PowerPoint 和 Excel 权限

在 Word、PowerPoint 和 Excel 中,当用户向文档应用允许其分配权限的敏感度标签时,系统会提示用户在应用加密时指定其对用户和权限的选择。 对于此配置,用户(而不是管理员)控制谁可以访问文档以及他们拥有的权限。

支持组织范围的自定义权限

对于 Windows 中的内置标记,用户还可以在系统提示他们指定其选择的用户和权限时指定域名。 输入域名后,权限将应用于拥有域且处于Microsoft Entra ID的组织中所有用户。 若要确定支持此设置的最低版本,请使用 功能表 和行 “允许用户分配权限:- 提示用户 (用户、组和组织) 自定义权限

较旧的对话框,其中包含有关支持组织范围的自定义权限的文本。

注意

显示的对话框在最新版本的 Office 应用中已更新,但在输入域名时,对组织范围的自定义权限的支持仍然存在。 有关此支持的信息包含在弹出信息框中。

例如,用户键入 @contoso.com (或 contoso.com) 并授予读取访问权限。 由于 Contoso Corporation 拥有 contoso.com 域,因此该域中的所有用户以及组织在 Microsoft Entra ID 拥有的所有其他域都将被授予读取访问权限。

注意

指定这些值时,不要用引号将它们括起来。

请务必让用户知道,访问权限不仅限于指定域中的用户。 例如,@sales.contoso.com 不会仅限制对销售子域中的用户的访问权限,还会向 marketing.contoso.com 域中的用户授予访问权限,甚至是同一Microsoft Entra租户中具有不连续命名空间的用户。

加密设置的配置示例

对于下面的每个示例,在选择“配置访问控制设置”选项时,从“访问控制”页执行配置:

在敏感度标签配置中应用基于控制访问的加密选项。

示例 1:应用“请勿转发”以将加密的电子邮件发送至 Gmail 帐户的标签

此标签仅显示 Outlook 和 Outlook 网页版,且你必须使用 Exchange Online。 在用户需要向使用 Gmail 帐户(或你组织外部的任何其他电子邮件帐户)的人员发送加密电子邮件时,指示这些用户选择此标签。

用户需在“收件人”框中键入 Gmail 电子邮件地址。 然后选中该标签,“请勿转发”选项会自动添加到电子邮件中。 这样的话,收件人就无法转发、打印或复制该电子邮件,也不能使用“另存为”选项在其邮箱之外保存该电子邮件。

  1. “访问控制 ”页上,对于 “立即分配权限还是让用户决定?” 选择“ 允许用户在应用标签时分配权限”。

  2. 选择复选框:在 Outlook 中,强制实施与“请勿转发”选项等效的限制

  3. 如果选中,请清除复选框:在 Word、PowerPoint 和 Excel 中提示用户指定权限

  4. 选择“下一步”并完成配置。

示例 2:将只读权限局限于另一组织中的所有用户的标签

此标签适用于以只读形式共享非常敏感的文档,文档始终需要 Internet 连接才能查看。

此标签不适用于电子邮件。

  1. 在“访问控制 ”页上,对于 “立即分配权限还是让用户决定?” 选择“ 立即分配权限”。

  2. 对于“允许脱机访问”,选择“从不”。

  3. 选择“分配权限”。

  4. 在“分配权限”窗格上,选择“添加特定电子邮件地址或域”。

  5. 在文本框中,输入另一组织中的域的名称,例如 fabrikam.com。 然后,选择“添加”。

  6. 选择“选择权限”。

  7. 在“选择权限”窗格中,选择下拉框,选择“查看者”,然后选择“保存”。

  8. 返回到“分配权限”窗格中,选择“保存”。

  9. “访问控制 ”页上,选择“ 下一步 ”并完成配置。

示例 3:将外部用户添加到加密内容的现有标签

添加的新用户将能够打开已使用此标签保护的文档和电子邮件。 授予这些用户的权限可能与现有用户拥有的权限不同。

  1. “访问控制 ”页上:对于 “立即分配权限还是让用户决定?” ,请确保“ 立即分配权限” 处于选中状态。

  2. 选择“分配权限”。

  3. 在“分配权限”窗格上,选择“添加特定电子邮件地址或域”。

  4. 在文本框中,输入要添加的第一名用户(或组)的电子邮件地址,然后选择“添加”。

  5. 选择“选择权限”。

  6. 在“选择权限”窗格中,选择此用户(或组)的权限,然后选择“保存”。

  7. 返回到“分配权限”窗格,对要添加到此标签的每位用户(或组)重复步骤 3 到步骤 6。 然后单击“保存”。

  8. “访问控制 ”页上,选择“ 下一步 ”并完成配置。

示例 4:对内容进行加密但不限制可访问的人员的标签

此配置的优势在于,你无需指定用户、组或域即可加密电子邮件或文档。 内容仍将被加密,但你仍可指定使用权限、过期日期和脱机访问权限。

仅在无需限制谁可打开受保护文档或电子邮件时才使用此配置。 请参与 有关此设置的详细信息

  1. “访问控制 ”页上:对于 “立即分配权限还是让用户决定?” ,请确保“ 立即分配权限” 处于选中状态。

  2. 根据需要配置“用户访问内容的权限过期”和“允许脱机访问”。

  3. 选择“分配权限”。

  4. 在“分配权限”窗格中,选择“添加任何经过身份验证的用户”。

    对于“用户和组”,你将看到认证用户已自动添加。 无法更改此值,只能将其删除,但这会取消选择“添加任何经过身份验证的用户”。

  5. 选择“选择权限”。

  6. 在“选择权限”窗格中,选择下拉框,选择所需的权限,然后选择“保存”。

  7. 返回到“分配权限”窗格中,选择“保存”。

  8. “访问控制 ”页上,选择“ 下一步 ”并完成配置。

有关加密内容的注意事项

加密最敏感的文档和电子邮件有助于确保只有授权人员可访问此数据。 但是,需要考虑以下注意事项:

  • 如果你的组织未启用 SharePoint 和 OneDrive 中 Office 文件的灵敏度标签

    • “搜索”、“电子数据展示”和 Delve 将无法用于加密文件。
    • DLP 策略适用于这些加密文件的元数据(包括保留标签信息),但不适用于这些文件的内容(如文件内的信用卡号)。
    • 用户无法使用Office 网页版打开加密文件。 在 SharePoint 和 OneDrive 中启用 Office 文件的敏感度标签后,用户可以使用Office 网页版打开加密文件,但存在一些限制,包括已使用本地密钥 (称为“保留自己的密钥”的加密,或者 HYOK) 、双密钥加密和独立于敏感度标签应用的加密。
  • 如果与组织外部人员共享加密文档,可能需要创建来宾帐户并修改条件访问策略。 有关详细信息,请参阅《与外部用户共享加密的文档》。

  • 当授权用户在其 Office 应用中打开加密文档时,将在其应用顶部的黄色消息栏中看到标签名称和说明。 当加密权限扩展到组织外部的人员时,请仔细查看打开文档时将在此消息栏中显示的标签名称和说明。

  • 对于要同时编辑加密文件的多个用户,他们必须全部使用 Office 网页版,或者你已 为使用敏感度标签加密的文件启用共同创作,并且所有用户都具有 支持此功能的 Office 应用。 如果不是这种情况且文件已打开:

    • 在 Office 应用(Windows、Mac、Android 和 iOS)中,用户会看到一条“文件正在使用中”消息,其中包含签出该文件的用户的姓名。 然后,他们可查看只读副本或保存和编辑文件副本,并可在文件可用时收到通知。
    • 在 Web 版 Office 中,用户会看到一则错误消息,其中指出他们可与其他人一起编辑文档。 然后,他们可选择“在阅读视图中打开”。
  • 如果尚未为使用 敏感度标签加密的文件启用共同创作 ,则 Office 应用中的 自动保存 功能将禁用加密文件。 用户会看到一条消息,其中指出文件具有受限权限且必须删除此权限才能启用“自动保存”。

  • Office for Windows 支持在用户未连接到 Internet 时应用加密的标签。 但对于其他平台(macOS、iOS、Android),用户必须处于联机状态才能在 Office 应用中应用这些标签。 Microsoft Purview 信息保护客户端还必须处于联机状态才能在 文件资源管理器 和 PowerShell 中应用这些标签。 用户无需联机即可打开加密内容。 有关脱机访问的详细信息,请参阅 Rights Management 使用许可证进行脱机访问 部分。

  • 在 Office 应用(Windows、Mac、Android 和 iOS)中打开加密文件可能需要更长时间。

  • 如果在 SharePoint 中签出文档时使用 Office 应用添加应用了加密的标签,并且用户随后放弃签出,则文档将保持含标签和加密状态。

  • 除非你 为使用敏感度标签加密的文件启用共同创作,否则不支持从 Windows、Mac、Android 和 iOS) 的 Office 应用 (对加密文件执行以下操作,并且用户会看到一条错误消息,指出出现问题。 但是,可将 SharePoint 功能用作替代项:

为了在已用敏感度标签加密的文件上获得更佳的协作体验,建议使用 SharePoint 和 OneDrive中 Office 文件的敏感度标签并使用 Web 版 Office。

后续步骤

需要与组织外的人员共享你的标记和加密文档吗? 请参阅与外部用户共享加密文档

若要使用敏感度标签加密 Teams 会议的视频和音频流,请参阅 使用敏感度标签保护日历项目、Teams 会议和聊天