开始使用敏感度标签

Microsoft 365 安全性与合规性许可指南

如需了解什么是敏感度标签以及该标签如何帮助你保护组织数据,请参阅了解敏感度标签

如果已准备好使用敏感度标签来开始保护组织的数据:

  1. 创建应用程序。 根据组织的分类法为不同敏感度级别的内容创建和命名敏感度标签。 使用对用户有意义的常用名称或术语。 如果尚未建立分类,请考虑以“个人”、“公共”、“常规”、“机密”和“高度机密”等标签名称开头。 可以使用子标签按类别对类似标签进行分组。

    对于每个标签,请指定一个工具提示,以帮助用户选择适当的标签,并考虑包括特定示例。 但是,不要使工具提示太长,以至于用户无法阅读它,并请注意,某些应用可能会截断长工具提示。

    注意

    有关一些建议的示例,请参阅 默认敏感度标签的标签名称和说明。 有关定义分类的更多指导,请参阅 数据分类 & 敏感度标签分类

    始终与需要应用敏感度标签名称和工具提示的人员一起测试和定制你的敏感度标签名称和工具提示。

  2. 定义每个标签的用途。 配置要与每个标签关联的保护设置。 例如,你可能希望较低灵敏度的内容(例如“常规”标签)仅应用页眉或页脚,而较高灵敏度的内容(例如“机密”标签)应该应用水印和加密。

  3. 发布标签。 配置灵敏度标签后,使用标签策略发布它们。 确定应该应用标签的用户和组以及要使用的策略设置。 单个标签可重用,可将其定义一次,然后可将其包含在分配给不同用户的多个标签策略中。 例如,可以通过将标签策略分配给少数用户来试用灵敏度标签。 然后,当你准备在整个组织中推广标签时,可以为标签创建新的标签策略,这次指定所有用户。

提示

你可能可以自动创建默认标签,并且可以使用默认标签策略为你完成步骤 1-3。 有关详细信息,请参阅 适用于 Microsoft Purview 信息保护的默认标签和策略

部署和应用敏感度标签的基本流程如下:

敏感度标签工作流关系图。

提示

如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

灵敏度标签的订阅和许可要求

许多不同的订阅都支持灵敏度标签,并且用户的许可要求取决于你使用的功能。 管理员还需要许可证来管理敏感度标签。

要查看许可用户以便其受益于 Microsoft Purview 功能的选项,请参阅 Microsoft 365 安全性与合规性许可指南。 对于敏感度标签,请参阅 Microsoft Purview 信息保护:敏感度标签 部分和相关 PDF 下载 内容,以了解功能级别许可要求。

创建和管理敏感度标签所需的权限

重要

Microsoft 建议使用权限最少的角色。 最大程度地减少具有全局管理员角色的用户数,有助于提高组织的安全性。 详细了解 Microsoft Purview 角色和权限

将创建敏感度标签的合规性团队成员需要对 Microsoft Purview 门户Microsoft Purview 合规门户的权限。

若要访问管理门户以创建和管理敏感度标签,可以使用以下角色组:

  • 信息保护
  • 信息保护管理员
  • 信息保护分析师
  • 信息保护调查员
  • 信息保护读取器

有关每个角色及其包含的角色的说明,请在 Microsoft Purview 门户或Microsoft Purview 合规门户中选择一个角色组,然后在浮出控件窗格中查看说明。 或者,请参阅 Microsoft Defender for Office 365 和 Microsoft Purview 合规性中的角色组

或者,除了使用默认角色组,还可以创建一个新角色组,并将 敏感度标签管理员 角色添加到此组。 对于只读角色,请使用敏感度标签阅读器

另一个选项是将用户添加到 合规性数据管理员合规性管理员安全管理员 角色组。

有关配置说明,请参阅以下指南,具体取决于所使用的门户:

只有在创建和配置灵敏度标签及其标签策略时才需要这些权限。 在应用或服务中应用标这些签时不需要这些权限。 如果与敏感度标签相关的特定配置需要其他权限,则这些权限将在其各自的文档说明中列出。

对管理单元的支持

敏感度标签支持已在 Microsoft Entra ID 中配置的管理单元

  • 可以将管理单元分配给与 Microsoft Purview 信息保护 一起使用的角色组的成员。 编辑这些角色组并选择单个成员,然后通过“分配管理单元”选项从Microsoft Entra ID选择管理单元。 现在,这些管理员仅限于管理这些管理单元中的用户。

  • 创建或编辑这些策略时,可以定义敏感度标签策略和自动标记策略的初始范围。 选择管理单元时,只有这些管理单元中的用户才有资格获得该策略。

  • 保护策略 不支持管理单元。

重要

不要为要应用于 SharePoint 中的文档的自动标记策略选择管理单元。 由于管理单元仅支持用户和组,因此如果将自动标记策略配置为使用管理单元,则无法选择 SharePoint 位置。

管理单元的配置及其成员身份的准确性是Microsoft Entra ID依赖项。 尽管管理单元main目的是确保最低特权的安全最佳做法,但将管理单元用于标记策略可以简化其配置和维护。

例如,你的组织已针对特定国家/地区配置了管理单元,你需要仅向法国用户发布新的敏感度标签,并为这些用户分配特定的策略设置:

  1. 登录到Microsoft Purview 合规门户。 你的帐户是 信息保护 管理员角色组的成员,并且该角色组中的帐户已分配有法国、德国和西班牙的管理单位。

  2. 创建敏感度标签策略时,只看到三个管理单元,并为 France 选择一个管理单元,保留所有用户和组的默认值。

    此配置自动将策略范围限定为法国的所有用户。 无需担心要选择哪些组或手动选择用户。 当法国有新用户时,也无需担心更改策略,因为此更改由 Microsoft Entra 中的管理单元处理。

有关 Microsoft Purview 如何支持管理单元的详细信息,请参阅 管理单元

敏感度标签部署策略

为组织部署敏感度标签的成功策略是创建一个工作虚拟团队,该团队可识别和管理业务和技术要求、概念证明测试、内部检查点和审批以及针对生产环境的最终部署。

建议使用下一节中的表,确定映射到最有影响的业务需求的前一两个场景。 部署这些场景后,返回到列表,确定下一个或两个部署的优先级。

提示

若要帮助加速部署,请使用 Microsoft Purview 门户中信息保护“概述”页或Microsoft Purview 合规门户查看特定于组织的标签建议和报告等。

敏感度标签的常见场景

所有场景都要求创建和配置灵敏度标签及其策略

我想... 文档
管理 Office 应用的敏感度标签,以便在创建内容时对其进行标记 — 包括在所有平台上支持手动标记 管理 Office 应用中的敏感度标签
将标签扩展到 Windows 文件资源管理器 和 PowerShell 在 Windows 上扩展敏感度标签
使用敏感度标签加密文档和电子邮件,并限制谁可以访问该内容以及可以如何使用它 通过敏感度标签应用加密,从而限制对内容的访问
确保 SharePoint 网站中的文档在下载文件时保留其当前权限,并防止它们移动和复制 使用敏感度标签配置 SharePoint 以扩展对下载的文档的权限
保护 Teams 会议,从会议邀请和响应到保护会议本身和相关聊天 使用敏感度标签保护日历项目、Teams 会议和聊天
保护 Teams 语音邮件 在组织中启用受保护的语音邮件
为Office 网页版启用敏感度标签,支持共同创作、电子数据展示、数据丢失防护和搜索,即使文档已加密 启用 SharePoint 和 OneDrive 中文件的敏感度标签
将敏感度标签与Microsoft Loop配合使用来保护Loop内容 将敏感度标签用于Microsoft Loop
SharePoint 中的文件将自动标记为默认敏感度标签 为 SharePoint 文档库配置默认敏感度标签
文档加密后,在 Office 桌面应用中使用共同创作和自动保存 为使用敏感度标签加密的文件启用共同创作
自动将敏感度标签应用于文档和电子邮件 自动将敏感度标签应用于Microsoft 365 数据
使用敏感度标签保护 Teams 和 SharePoint 中的内容 将敏感度标签与 Microsoft Teams、Microsoft 365 组和 SharePoint 网站配合使用
使用敏感度标签为 SharePoint 和 OneDrive 中的网站和单个文档配置默认共享链接类型 使用敏感度标签设置 SharePoint 和 OneDrive 中网站和文档的默认共享链接
将敏感度标签应用于文档理解模型,以便自动对 SharePoint 库中标识的文档进行分类和保护 在 Microsoft Syntex 中将敏感度标签应用于模型
阻止或警告用户与特定的灵敏度标签共享文件或电子邮件 在 DLP 策略中使用敏感度标签作为条件
当我收到一条警报,指出包含个人数据的内容正在共享并且需要保护时,将敏感度标签应用于文件 在隐私风险管理中调查和修正警报
应用保留标签以保留或删除具有特定敏感度标签的文件或电子邮件 自动应用保留标签来保留或删除内容
发现、标记和保护本地数据存储中存储的文件 部署信息保护扫描程序以自动对文件进行分类和保护
发现、标记和保护云端数据存储中存储的文件 发现、分类、标记和保护存储在云中的管控和敏感数据
使用与用于文件和电子邮件的标签相同的敏感度标签来标记 SQL 数据库列,使组织具有统一的标签解决方案,以便在导出此结构化数据时可以继续保护这些结构化数据 Azure SQL 数据库、Azure SQL 托管实例、Azure Synapse Analytics 的数据发现和分类

SQL 本地服务器的 SQL 数据发现和分类
将敏感度标签扩展到 Power BI:启用此功能后,可以在 Power BI 中应用和查看标签,并在数据保存在服务之外时保护数据。 如何在 Power BI 中应用敏感度标签
标记 Microsoft Fabric 中的项,以限制访问并向用户授予只读或完全控制权限 为 Fabric 创建和管理保护策略
监视和了解在我的组织中如何使用灵敏度标签 如何使用Microsoft数据分类仪表板
我的组织中的审核敏感度标记 审核日志活动 - 敏感度标签活动
根据应用的敏感度标签(例如机密和高度机密)识别电子数据展示事例的内容 使用条件生成器在电子数据展示中创建搜索查询
将灵敏度标签扩展到第三方应用和服务 Microsoft 信息保护 SDK
将敏感度标签扩展到我的 Microsoft Purview 数据映射资产的内容中,如 Azure Blob 存储、Azure 文件存储、Azure Data Lake Storage 和多云数据源 Microsoft Purview 数据映射中的标签

敏感度标签的最终用户文档

最有效的最终用户文档将用作你为所选标签名称和配置提供的定制指南和说明。 可使用标签策略设置为用户提供指向自定义帮助页面的链接,以指定本文档的内部链接。

然后,在 Office 应用中,用户可以通过 “敏感度 ”按钮、 “了解详细信息 ”菜单选项轻松访问自定义帮助。

在 Windows 文件资源管理器 Microsoft Purview 信息保护 文件 labler 中,用户可以从文件标签器对话框中的“帮助和反馈>告诉我更多”中获取相同的自定义帮助。

为帮助提供自定义文档,请参阅以下页面并下载可用于帮助培训用户的内容:敏感度标签的最终用户培训

此外,还可使用以下资源来获取基本说明:

如果你的敏感度标签对 PDF 文档应用了加密,则可以使用 Windows 或 Mac 上的 Microsoft Edge 来打开这些文档。 有关详细信息,请参阅 在 Windows 或 Mac 上使用 Microsoft Edge 查看受保护的 PDF