了解敏感度标签

Microsoft 365 安全性与合规性许可指南

注意

如果要查找 Office 应用中可看到的敏感度标签的信息,请参阅 Office中的文件和电子邮件应用敏感度标签。

本页上的信息适用于可创建和配置这些标签的 IT 管理员。

若要完成工作,组织中的人员可以与组织内外的其他人协作。 这意味着内容不再保留在防火墙后面,它可以跨设备、应用和服务随处漫游。 当它漫游时,你希望它以符合组织业务和合规性策略的安全、受保护的方式执行此操作。

通过 Microsoft Purview 信息保护中的敏感度标签,可以对组织的数据进行分类和保护,同时确保用户工作效率及其协作能力不受影响。

Excel 中的以下示例演示了用户如何从窗口栏中查看应用的敏感度标签,以及他们如何使用最新版本 Office 中提供的 敏感度栏 轻松更改标签。 还可以从功能区“开始”选项卡上的“敏感度”按钮获取标签。

Excel 功能区和状态栏上的敏感度标签。

若要应用敏感度标签,用户必须使用其 Microsoft 365 工作或学校帐户登录。

注意

对于美国政府租户,所有平台都支持敏感度标签。

如果使用 Microsoft Purview 信息保护 客户端和扫描程序,请参阅 Azure 信息保护 Premium Government 服务说明

借助敏感度标签,你可以:

  • 提供包含加密和内容标记的保护设置。 例如,将“机密”标签应用于文档或电子邮件,该标签将加密内容并应用“机密”水印。 内容标记包括页眉和页脚以及水印,加密还可以限制指定人员可以对内容执行的操作。

  • 在为 SharePoint 文档库配置默认敏感度标签时,在下载文件时扩展 SharePoint 保护,并选择选项来扩展对未加密文件的保护。 然后,下载这些文件时,当前 SharePoint 权限随标记文件一起传输。

  • 跨不同平台和设备保护 Office 应用中的内容。 受 office 桌面应用和Office 网页版上的 Word、Excel、PowerPoint 和 Outlook 支持。 在 Windows、macOS、iOS 和 Android 上受支持。

  • 利用 Microsoft Defender for Cloud Apps 保护第三方应用和服务中的内容。 借助Defender for Cloud Apps,即使第三方应用或服务不读取或不支持敏感度标签,你也可以检测、分类、标记和保护第三方应用和服务(如 SalesForce、Box 或 DropBox)中的内容。

  • 标识电子数据展示事例的内容。 用于在电子数据展示中创建搜索查询的条件生成器支持应用于内容的敏感度标签。 例如,作为电子数据展示案例的一部分,将内容限制为具有高度机密敏感度标签的文件和电子邮件。 或者相反,排除具有公共敏感度标签的文件和电子邮件的内容。

  • 保护包含 Teams、Microsoft 365 组、SharePoint 网站和Loop工作区的容器。 例如,设置隐私设置、外部用户访问和外部共享、从非托管设备进行访问,以及控制如何与其他团队共享频道。

  • 通过标记 (来保护会议和聊天,并选择性地加密) 会议邀请和任何响应,并为会议和聊天强制实施特定于 Teams 的选项。

  • 将敏感度标签扩展到 Power BI:启用此功能后,可以在 Power BI 中应用和查看标签,并在数据保存在服务之外时保护数据。

  • 将敏感度标签扩展为 Microsoft Purview 数据映射中的资产:启用此功能时(目前为预览版),可以在Microsoft Purview 数据映射中将敏感度标签应用于文件和架构化的数据资产。 架构化的数据资产包括 SQL、Azure SQL、Azure Synapse、Azure Cosmos DB 和 AWS RDS。

  • 将灵敏度标签扩展到第三方应用程序和服务。 借助 Microsoft 信息保护 SDK,第三方应用可读取敏感度标签和应用保护设置。

  • 在不使用任何保护设置的情况下标记内容。 还可以仅应用标签来标识数据的敏感度。 此操作为用户提供组织的数据敏感度的可视化映射,标签可以为具有不同敏感度级别的数据生成使用情况报告和活动数据。 根据此类信息,稍后随时可以选择应用保护设置。

  • 将智能 Microsoft 365 Copilot 副驾驶®分配给用户时保护数据。 Copilot 识别敏感度标签并将其集成到用户交互中,以帮助保护已标记的数据。 有关详细信息,请参阅以下敏感度标签和智能 Microsoft 365 Copilot 副驾驶®部分。

在所有这些情况下,Microsoft Purview 中的敏感度标签都可帮助你针对各个内容采取恰当的操作。 使用敏感度标签,可以识别整个组织中的数据的敏感度,并且标签可以强制实施适合该数据敏感度的保护设置。 然后,这种保护将与内容同在。

有关受敏感度标签支持的这些和其他场景的详细信息,请参阅敏感度标签的常见场景。 目前正在开发支持敏感度标签的新功能,因此你可能还会发现检查 Microsoft 365 路线图 非常有用。

提示

如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

什么是敏感度标签

为内容分配敏感度标签时,它就像是应用的标记,并且:

  • 可自定义。 根据组织和业务需求,你可以为组织中不同级别的敏感内容创建类别。 例如,个人、公共、常规、机密、高度机密。

  • 明文。 由于标签以明文的方式存储在文件和电子邮件的元数据中,因此第三方应用和服务可以读取它,然后根据需要应用其自己的保护操作。

  • 永久。 由于标签存储在文件和电子邮件的元数据中,因此无论保存或存储在何处,该标签都会保留在内容中。 组织特有的标签标识将成为应用和强制执行配置的策略的基础。

当组织中的用户查看时,应用的敏感度标签显示为应用上的标记,并且可以轻松地集成到其现有工作流中。 敏感度标签 在应用中对其他组织的用户或来宾不可见

以下示例显示了一个打开的电子邮件,其中另一个用户应用了名为 “常规”的敏感度标签,该标签不应用加密。 管理员提供的标签说明向用户显示有关此敏感度标签标识的数据类别的更多详细信息。

应用于电子邮件的敏感度标签。

注意

不要将敏感度标签与 Outlook 的内置 敏感度级别混淆,这些敏感度级别 指示发件人的意图,但无法提供数据安全性。

支持敏感度标签的每个项都可以从组织应用单个敏感度标签。 文档和电子邮件可同时具有敏感度标签和保留标签应用。

敏感度标签有何用途

将敏感度标签应用于内容(例如,在电子邮件、会议邀请、文档或Loop页)后,将对内容强制执行该标签的任何配置保护设置。 可将敏感度标签配置为:

  • 使用电子邮件、会议邀请和文档加密来控制对内容的访问,以防止未经授权的人员访问此数据。 你还可以选择哪些用户或组有权执行哪些操作以及执行多长时间。 例如,你可以选择允许组织中的所有用户修改文档,而其他组织中的特定组只能查看该文档。 或者,可允许用户在应用标签时分配对内容的权限,而不是管理员分配权限。

    有关创建或编辑敏感度标签时基于加密的访问控制设置的详细信息,请参阅 在敏感度标签中使用加密限制对内容的访问

  • 通过在电子邮件、会议邀请或应用标签的文档中添加水印、页眉或页脚来标记使用 Office 应用时的内容。 水印可以应用于文档和Loop组件和页面,但不能应用于电子邮件或会议邀请。 页眉和水印示例:

    应用于文档的水印和页眉。

    内容标记也支持变量。 例如,在页眉、页脚或水印中插入标签名称或文档名称。 有关详细信息,请参阅 带有变量的内容标记

    需要检查何时应用内容标记? 请参阅 Office 应用何时应用内容标记和加密

    如果你有基于特定文档的模板或工作流,请用所选内容标记测试这些文档,然后再将标签提供给用户。 需要注意的一些字符串长度限制:

    水印的长度限制为 255 个字符。 页眉和页脚限制为 1024 个字符,但 Excel 中除外。 对于页眉和页脚,Excel 总限制为 255 个字符,但此限制包括不可见的字符,例如格式代码。 如果达到该限制,则你输入的字符串不会显示在 Excel 中。

  • 启用相应功能以将敏感度标签用于 Microsoft Teams、Microsoft 365 组和 SharePoint 网站时,可保护网站和组等容器中的内容

    如果启用此功能,则无法为组和网站配置保护设置。 此标签配置不会导致自动标记文档或电子邮件,而是通过控制对存储内容的容器的访问来保护内容。 这些设置包括隐私设置、外部用户访问和外部共享、从非托管设备访问、专用团队可发现性和频道共享控件。

  • 自动将标签应用于文件和电子邮件,或推荐标签。 选择如何识别要标记的敏感信息,标签可以自动应用,或者可以提示用户应用你推荐的标签以及策略提示。 如果推荐标签,可以自定义提示,但以下示例显示了自动生成的文本:

    默认提示用户在 Excel 中分配所需的敏感度标签。

    有关创建或编辑敏感度标签时文件和电子邮件的自动标记设置的详细信息,请参阅自动将敏感度标签应用于 Office 应用的 Microsoft 365 数据,以及 Microsoft Purview 数据映射 中的标记

  • 为 SharePoint 网站和单个文档设置默认共享链接类型。 若要帮助防止用户过度共享,请设置用户从 SharePoint 和 OneDrive 共享文档时的默认范围和权限

有关更多标签配置,请参阅 管理 Office 应用的敏感度标签

标记范围

创建敏感度标签时,系统会要求你配置标签的范围,这决定了两项内容:

  • 可为该标签配置的标签设置
  • 标签对应用和服务的可用性,其中包括用户是否可以查看和选择标签

此范围配置允许你具有仅针对文件、电子邮件和会议等项的敏感度标签,并且不能为组和网站选择。 同样,仅用于组和网站的敏感度标签,不能为项目选择。

显示敏感度标签的范围选项的屏幕截图。

默认情况下,始终为新标签选择 “文件 & 其他数据资产 ”范围。 除了 Office、Loop和 Power BI 的文件外,它还包括来自 Microsoft Fabric 的项目,以及当你将敏感度标签扩展到 Microsoft 365 之后时用于Microsoft Purview 数据映射的数据资产。 有关哪些项支持敏感度标签的详细信息:

通常,选择 “电子邮件” 范围与 “文件”& 其他数据资产,因为电子邮件通常将文件作为附件包含,并且具有相同的敏感度。 许多标签功能需要同时选择这两个选项,但有时你可能希望新标签仅可用于电子邮件。 有关详细信息,请参阅 将标签范围限定为文件或电子邮件

会议的范围包括日历事件、Teams 会议选项和团队聊天。 还必须为此选项选择 “文件 & 其他数据资产 范围”和“ 电子邮件 ”范围。 有关此标记方案的详细信息,请参阅 使用敏感度标签保护日历项、Teams 会议和聊天

容器启用敏感度标签和同步标签时,默认情况下,“组 &站点范围”变为可用并处于选中状态。 使用此选项,可以通过标记这些容器来保护 SharePoint 网站、Teams 网站和Loop工作区中的内容,但不标记其中的项。

注意

以前属于 架构化数据资产 范围的项现在包含在 文件 & 其他数据资产中。

如果未选择一个或多个范围,则会看到这些作用域的配置设置的第一页,但无法配置设置。 对于这些具有不可用选项的页面,请选择“ 下一步 ”以继续为下一个范围配置设置。 或者,选择“返回”更改标签的范围。

标签优先级(顺序非常重要)

在 Microsoft Purview 门户或Microsoft Purview 合规门户中创建敏感度标签时,它们将显示在信息保护“标签”页上的列表中。 在此列表中,标签的顺序很重要,因为它设置了其优先级。 你希望限制性最高的敏感度标签(如高度机密)显示在 列表底部, 而限制性最低的敏感度标签(如“个人”或“公共”)显示在 顶部

可仅将一个敏感度标签应用于文档、电子邮件或容器等项目。 如果使用要求用户提供将标签更改为较低项敏感度的理由的选项,则此列表的顺序将标识较低的敏感度。 但是,此选项不适用于共享其父标签优先级的子标签。

不过,子标签的优先级与 自动标记一起使用。 配置自动标记策略时,可能会为多个标签生成多个匹配项。 然后,选择最后一个敏感标签,然后选择最后一个子标签(如果适用)。 如果配置子标签本身 (而不是自动标记策略) 自动标记或建议标记,则当子标签共享同一父标签时,行为略有不同。 例如,为自动标记配置的子标签优先于为建议标记配置的子标签。 有关详细信息,请参阅在多个条件适用于多个标签时如何评估这些条件

子标签的优先级还用于 电子邮件附件中的标签继承

选择敏感度标签时,可以使用选项更改其优先级,使其移动到列表的顶部或底部(如果不是子标签),向上或向下移动一个标签,或直接分配优先级编号。

显示用于更改敏感度标签优先级的选项的屏幕截图。

子标签(对标签进行分组)

使用子标签,你可以将一个或多个标签分组到用户在 Office 应用程序中看到的父标签下方。 例如,在“机密”下,组织可能会对特定类型的敏感度使用多个不同的标签。 在此示例中,父标签“机密”仅仅是没有保护设置的文本标签,并且因为它具有子标签,所以它不能应用于内容。 相反,用户必须选择“机密”才能查看子标签,然后他们可以选择要应用于内容的子标签。

子标签只是向逻辑组中的用户显示标签的一种方式。 子标签不会从其父标签继承任何设置,其标签颜色除外。 为用户发布子标签时,该用户可以将该子标签应用于内容和容器,但不能仅应用父标签。

不要选择父标签作为默认标签,也不要将父标签配置为自动应用(或推荐)。 如果这样做,则无法应用父标签。

子标签如何向用户显示的示例:

敏感度标签中的子标签示例。

编辑或删除敏感度标签

如果从 Microsoft Purview 门户或Microsoft Purview 合规门户中删除敏感度标签,则不会自动从内容中删除该标签,并且将继续对应用了该标签的内容强制实施任何保护设置。

如果编辑敏感度标签,应用于内容的标签版本就是对相应内容强制执行的标签。

有关删除敏感度标签时发生的情况以及这与从敏感度标签策略中删除该标签有何不同的详细信息,请参阅 删除和删除标签

标签策略有何用途

创建灵敏度标签后,需要进行发布,以便组织中的人员和服务可以使用它们。 然后,敏感度标签可以应用于 Office 文档和电子邮件以及其他支持敏感度标签的项目。

与发布到诸如所有 Exchange 邮箱等位置的保留标签不同,敏感标签发布到用户或组。 然后,支持敏感度标签的应用可以将它们作为可以应用的标签显示给这些用户和组。

尽管默认设置是将标签发布到组织中的所有用户,但多个标签策略允许根据需要将不同的敏感度标签发布到不同的用户。 例如,所有用户都会看到他们可以应用于“公共”、“常规”和“机密”的标签,但只有法律部门的用户才能看到他们可以应用的“高度机密”标签。

同一组织中的所有用户都可以看到应用于内容的敏感度标签的名称,即使该标签未发布到他们也是如此。 他们不会看到其他组织的敏感度标签。

配置发布标签策略时,可以:

  • 选择可查看标签的用户和组。 标签可以发布到任何特定用户或启用电子邮件的安全组、通讯组或Microsoft 365 组 (,这些安全组在 Microsoft Entra ID 中具有动态成员身份) 。

  • 为未标记的文档和Loop组件和页面、电子邮件和会议邀请指定默认标签,为Microsoft Teams 启用敏感度标签时的新容器 (、Microsoft 365 组和 SharePoint 网站) ,以及 Power BI 内容的默认标签。 可以为所有五种类型的项目指定相同的标签,也可以指定不同的标签。 用户可以更改已应用的默认敏感度标签,以更好地匹配其内容或容器的敏感度。

    考虑使用默认标签来设置你想要应用于所有内容的基本级别的保护设置。 但是,如果没有用户培训和其他控件,此设置也会导致标签不准确。 最好不要选择应用加密的标签作为文档的默认标签。 例如,许多组织需要向外部用户发送并与其共享文档,这些用户可能不具有支持加密的应用,或者他们可能未使用可以获得授权的帐户。 有关此方案的详细信息,请参阅与外部用户共享加密的文档

    重要

    如果具有 子标签,请注意不要将父标签配置为默认标签。

  • 要求提供更改标签的理由。 对于项目,但对于团队和组,如果用户尝试删除标签或将其替换为优先级较低的标签,则默认情况下,用户必须提供执行此操作的理由。 例如,用户打开一个标记为“机密”(订单号 3)的文档,并将该标签替换为一个名为“公共”(订单号 1)的文档。 对于 Office 应用,每个应用会话触发一次此理由提示。 使用 Microsoft Purview 信息保护 客户端时,会为每个文件触发提示。 管理员可以阅读活动资源管理器或网站中的 更改

    提示用户输入理由的位置。

  • 要求用户 为不同类型的项和支持敏感度标签的容器应用标签。 这些选项也称为强制标记,可确保用户必须先应用标签,然后用户才能保存文件、发送电子邮件或会议邀请、创建新组或网站,以及为 Power BI 使用未标记的内容。

    该标签可由用户手动分配,由于您配置的条件或默认分配的条件(如上所述的 "默认标签" 选项)而自动分配。 需要用户分配标签时的示例提示:

    在 Outlook 中要求用户应用所需标签的提示。

    有关文档和电子邮件的强制标签的详细信息,请参阅要求用户应用标签到他们的电子邮件和文档

    对于容器,必须在创建组或网站时分配标签。

    有关 Power BI 强制标签的详细信息,请参阅 Power BI 的强制标签策略

    考虑使用此选项帮助增加标签的覆盖范围。 但是,如果没有用户培训,此设置也会导致标记不准确。 此外,除非你还设置了相应的默认标签,否则强制标记可能会使你的用户因更频繁地收到提示而感到沮丧。

  • 为自定义帮助页面提供帮助链接。 如果用户不确定敏感度标签的含义或应如何使用它们,则可以提供 Office 应用中可用敏感度标签列表后面的“了解详细信息”URL。 例如:

    功能区上“敏感度”按钮中的“了解更多”链接。

有关更多标签策略配置,请参阅 管理 Office 应用的敏感度标签

创建将新的敏感度标签分配给用户和组的发布标签策略后,用户开始在其 Office 应用中看到这些标签。 请留出长达 24 小时的时间将最新更改复制到整个组织内。

可以创建和发布的敏感度标签数量没有限制,但有一个例外:如果标签应用了指定用户和权限的加密,则此配置支持的每个租户最多有 500 个标签。 但是,最佳做法是减少管理开销并降低用户复杂程度,尽量将标签的数量保持在最低限度。

提示

事实证明,当用户拥有五个以上的主标签或者每个主标签拥有五个以上的子标签时,实际部署的效率就会显著降低。 你可能还会发现,当向同一用户发布太多标签时,某些应用程序无法显示所有标签。

标签策略优先级(顺序非常重要)

可以在敏感度标签策略中发布敏感度标签以向用户提供,该策略显示在“标签策略”页面的列表中。 就像敏感度标签(请参阅 标签优先级(顺序很重要))一样,敏感度标签策略的顺序也很重要,因为它反映了其优先级: 优先级最低的标签策略显示在列表顶部,顺序号 最低,优先级最高的标签策略显示在列表底部,顺序号 最高

标签策略包括:

  • 一组标签。
  • 将分配带有标签策略的用户和组。
  • 该作用域的策略和策略设置的范围(如文件和电子邮件的默认标签)。

可以在多个标签策略中包含某个用户,该用户将从这些策略中获取所有敏感度标签和设置。 如果多个策略的设置存在冲突,则会应用优先级最高 (顺序编号最高的策略) 的设置。 换句话说,每个设置的最高优先级优先。

如果看不到希望用于用户或组的标签策略设置行为,请检查敏感度标签策略的顺序。 可能需要向下移动该策略。 若要对标签策略重新排序,请选择敏感度标签策略>,为该条目>选择“操作”省略号。 例如:

敏感度标签策略页上的“移动”选项。

在显示三个标签策略的屏幕截图示例中,所有用户都分配了标准标签策略,因此它具有最低优先级 (最低订单数为 0) 是合适的。 仅为 IT 部门中的用户分配顺序号为 1 的第二项策略。 对于这些用户,如果其策略与标准策略之间的设置存在任何冲突,则其策略中的设置将获胜,因为它的顺序号更高。

同样,对于法务部门中的用户,为其分配了具有不同设置的第三项策略。 这些用户很可能具有更严格的设置,因此,其策略的订单编号最高是合适的。 法律部门的用户不太可能位于同时分配给 IT 部门的策略的组中。 但是,如果存在,订单编号 2 (最高订单编号) 可确保法律部门的设置在发生冲突时始终优先。

注意

请记住: 如果分配有多项策略的用户的设置存在冲突,则应用顺序号最高的已分配策略中的设置。

敏感度标签和智能 Microsoft 365 Copilot 副驾驶®

智能 Microsoft 365 Copilot 副驾驶®识别并使用用于保护组织数据的敏感度标签,以提供额外的保护层。 例如,在智能 Microsoft 365 Copilot 副驾驶® Business Chat可以引用不同类型的项目中的数据的对话中,通常优先级最高的敏感度标签 (限制性最高的标签) 对用户可见。 同样,当 Copilot 支持敏感度标签继承时,会选择优先级最高的敏感度标签。

如果标签从Microsoft Purview 信息保护应用了加密,则 Copilot 会检查用户的使用权限。 仅当用户被授予从项目复制 (EXTRACT 使用权限) 的权限时,Copilot 返回的该项中的数据才会显示。

有关详细信息,请参阅 Microsoft生成 AI 应用的 Purview 数据安全性和合规性保护

敏感度标签和 Azure 信息保护

较旧的标记客户端(Azure 信息保护统一标记客户端)现在已替换为 Microsoft Purview 信息保护 客户端,以将 Windows 上的标记扩展到 文件资源管理器、PowerShell、本地扫描程序,并提供加密文件的查看器。

Office 应用支持具有 Office 订阅版本的敏感度标签,例如Microsoft 365 企业应用版。

敏感度标签和 Microsoft 信息保护 SDK

由于敏感度标签存储在文档的元数据中,因此第三方应用和服务可以从此标签元数据读取标签元数据并写入内容,以补充标签部署。 此外,软件开发人员可以使用 Microsoft 信息保护 SDK 在多个平台之间全面支持标签和加密功能。 若要了解详细信息,请参阅技术社区博客上的“正式发布”公告

你还可以了解与 Microsoft Purview 信息保护集成的合作伙伴解决方案

部署指南

有关部署规划和指南(包括许可信息、权限、部署策略、支持的方案列表和最终用户文档),请参阅 敏感度标签入门

如需了解如何使用敏感度标签以遵守数据隐私法规,请参阅使用 Microsoft 365 为数据隐私法规部署信息保护