默认情况下，使用 Microsoft Purview 进行保护，并防止过度共享 - 阶段 1

本指南分为四个阶段：

• 简介
• 阶段 1：基础 - 从此页面 (建议的标签开始)
• 阶段 2：托管 - 对敏感度最高的文件进行寻址
• 阶段 3：优化 - 扩展到整个Microsoft 365 数据资产
• 阶段 4：战略 - 操作、扩展和追溯操作

阶段 1：基础 - 从建议的标签开始

敏感度标签是组织标记，对最终用户而言有意义且直观。 它们在Microsoft解决方案和非Microsoft解决方案（如 Adobe Acrobat Reader）之间集成且一致。

标签上的保护策略因数据资产而异。 例如：

• 支持的文件类型上的加密和动态水印
• SharePoint 网站和 Teams 的条件访问控制和隐私
• Azure SQL数据库、Azure 存储和 Amazon Web Services (AWS) S3 的权限控制

应用标签的策略通常从手动标记开始，然后是使用敏感信息类型 (SIT) 的客户端自动标记，然后是服务端自动标记静态 () SIT 和上下文条件。 SharePoint 还为每个库提供上下文默认标签，本指南中对此进行了更详细的介绍。

从文件和站点级别的默认标签和保护开始

对于大多数客户，我们建议从以下定义开始。 如果你有现有部署，则可以调整这些建议的标签，并在以后使用更多方案进行迭代。

在顶层，我们建议从以下标签开始：

• 公共 - 公共数据是供公众使用的不受限制的数据，例如公开发布的源代码和公布的财务数据。 自由共享。
• 常规 - 不适合公共使用的业务数据，例如日常工作产品。 可在内部与受信任的合作伙伴共享的数据。
• 机密 - 对实现组织目标至关重要的敏感业务数据。 受限分发。
• 高度机密 - 最关键的数据。 仅与命名收件人共享。

注意

对于在托管设备上接受个人内容的组织，我们建议在最低优先级且没有保护的情况下定义 非企业 或 个人 标签。

对于 “机密” 和 “高度机密”，我们添加以下子标签：

• \所有员工 - 组织内的任何人都可以访问数据。
• \Specific 人员 - 数据只能由指定的人员访问。
• \内部异常 - 任何人都可以在内部访问数据，但无法从外部共享数据。 在加密影响日常操作的情况下使用此标签。

有关具有建议配置的父/子标签的完整列表，请参阅下表：

标签名称	用户的标签说明	设置
公共	准备并批准供公共使用的业务数据。	范围：项目（文件、电子邮件） 内容标记：否 自动标记：否 数据丢失防护：无
一般信息	不适合公共使用的业务数据。 但是，可以与外部合作伙伴共享此内容（如果需要）。	此标签被选为电子邮件的默认标签。 还会为允许外部合作伙伴的网站选择此标签。范围：项目 (文件、Email、会议、网站) 内容标记：否 自动标记：否 网站隐私：专用或公共 数据丢失防护：阻止任何人使用链接
机密 \ 所有员工	需要保护的机密数据，允许所有员工拥有完全权限。 数据所有者可跟踪和撤销内容。	此标签被选为文档和网站的默认标签。 范围：项目 (文件、Email、会议、网站) 加密：组织中的所有用户和组：共同创作 内容标记：页脚：分类为机密 自动标记：否 网站隐私：专用或公共 数据丢失防护：使用链接阻止任何人，阻止外部链接
机密 \ 特定人员	可以与组织内外的受信任人共享的机密数据。 这些人员还可以根据需要重新共享数据。	范围：项目 (文件、Email、会议、网站) 加密：允许用户分配权限： - 适用于 Outlook 的仅加密 - 在 Word、PowerPoint 和 Excel 中提示用户 内容标记：页脚：分类为机密 自动标记：否 网站隐私：专用或公共 数据丢失防护：阻止任何人使用链接
机密 \ 内部异常	不需要加密的机密数据。 请谨慎使用此选项，并提供合适的业务理由。	对于不需要加密的机密信息，会选择此标签。 当使用此信息的进程或应用程序不支持加密时，这可以用作内部异常。 利用 数据丢失防护 和 内部风险管理 来管理风险和用户偏差。 范围：项目 (文件、Email、会议、网站) 内容标记：页脚：分类为机密 自动标记：否 网站隐私：专用或公共 数据丢失防护：使用链接阻止任何人，阻止外部链接
高度机密 \ 所有员工	高度机密的数据，允许所有员工查看、编辑和答复此内容的权限。 数据所有者可跟踪和撤销内容。	已选择此 标签进行客户端自动标记 和服务器端 自动标记。 范围：项目 (文件、Email、会议、网站) 加密：组织中的所有用户和组：共同创作 内容标记：页脚：分类为高度机密 自动标记：自动应用标签。 请考虑自动申请高度敏感的 所有凭据敏感信息类型。 网站隐私：专用或公共 数据丢失防护：使用链接阻止任何人，阻止外部链接
高度机密 \ 特定人员	需要保护且只有你指定的人员以及你选择的权限级别才能查看的高度机密数据。	范围：项目 (文件、Email、会议、网站) 加密：允许用户分配权限： - 不转发 Outlook - 在 Word、PowerPoint 和 Excel 中提示用户 内容标记：页脚：分类为高度机密 自动标记：否 网站隐私：专用或公共 数据丢失防护：使用链接阻止任何人，阻止外部链接
高度机密 \ 内部异常	不需要加密的高度机密数据。 请谨慎使用此选项，并提供合适的业务理由。	对于不需要加密的高度机密信息，会选择此标签。 当使用此信息的进程或应用程序不支持加密时，这可以用作内部异常。 利用 数据丢失防护 和 内部风险管理 来管理风险和用户偏差。 范围：项目 (文件、Email、会议、网站) 内容标记：页脚：分类为机密 自动标记：否 网站隐私：专用或公共 数据丢失防护：使用链接阻止任何人，阻止外部链接

默认处于保护状态

与传统的爬网/演练/运行方法或 用于保护数据的默认标签和策略 相比，此部署模型中建议的标签有一些差异：

• 将文件的默认标签设置为 “机密\所有员工 ”。 对于现有文件，将服务端自动标记与上下文 条件文件扩展名用于 所有相关 SharePoint 网站的所有 PPTX/DOCX/XLSX/PDF 文件。
• 将电子邮件的默认标签设置为 “常规 ”。 这可以减少用户能够正常运行的部署摩擦，但附加到电子邮件的机密文件会继承该文件的标签。
• 默认共享和 DLP 限制的控制
• 以高度机密为中心的自动标记用例
• 特定人员标签，直观命名和自我解释
• 内部异常 解决了加密阻止最终用户日常工作的边缘情况。

亮点和建议

• 标签命名应直观。
  • 避免将 机密、 受限或 内部 等术语混合在一起 - 了解术语的不同含义对用户来说可能具有挑战性。
  • 建议尽可能将标签列表保留为 5x5，即：一个父标签下最多 5 个父标签和最多 5 个子标签。
• 如果适用，标签用于文件和 SharePoint 网站。
• 高度机密 通常通过自动标记和上下文默认值完成，并提供更多控制和限制。
• 默认情况下，使用标签将 SharePoint 网站和 Teams 隐私设置为 “专用 ”。
  • 对于在 SharePoint/Teams 中广泛使用公共隐私设置的组织，我们建议将 更新为 Private ，并改为使用公司可共享的链接。
  • 具有公司可共享链接的专用 SharePoint 网站提供相同的协作灵活性，但降低了搜索和 Copilot 中意外发现的风险。
  • 为了获得更多保护，请将默认共享设置为 “特定人员”。
• 创建与网站所有者的问责链。 使用报告和图形 API来识别使用和行为的偏差。
• 对已标记的内容启用 DLP，从而阻止 任何具有链接 和 外部 （如果适用）的人。 与这些条件块匹配的现有共享内容、引发 DLP 警报以及对最终用户可见的策略提示。
• 启用电子邮件标签继承。 有关详细信息，请参阅 配置电子邮件附件中的标签继承。

启用数据安全先决条件和高级分析

Microsoft Purview 具有许多功能。 为了减少对用户的影响，默认情况下不会激活某些功能。 建议查看以下设置：

1. 启用在 Office Online 中处理内容的功能： 为 SharePoint 和 OneDrive 中的文件启用敏感度标签
2. 为Microsoft Teams 和 SharePoint 网站启用标签：将敏感度标签用于 Microsoft Teams、Microsoft 365 组 和 SharePoint 网站
   • 建议保持 标签不匹配的电子邮件 标签。 此功能向文档所有者和网站所有者发送一封关于敏感度高于网站的敏感度标签的文档的电子邮件。 可以通过验证“-BlockSendLabelMismatchEmail”是否设置为“$False
   • 包含“-LabelMismatchEmailHelpLink”的帮助链接
3. 在 OneDrive 和 SharePoint 中启用对 PDF 文件的支持： 为 SharePoint 和 OneDrive 中的文件启用敏感度标签
4. 默认情况下将文件标记为敏感： 在应用 DLP 规则时阻止来宾访问文件 - Microsoft 365 中的 SharePoint
5. DLP 分析： 数据丢失防护分析入门
6. 为具有敏感度标签的文件启用共同 创作：为加密文档启用共同创作
7. 启用内部风险管理指标： 在内部风险管理中配置策略指示器
8. 启用 Purview 审核： 审核解决方案入门
9. 启用与 Microsoft Entra B2B 的集成：SharePoint 和 OneDrive 与 Microsoft Entra B2B 集成

特定人员的公司可共享链接或链接

OneDrive 和 SharePoint 共享是通过可共享链接配置的。 在此处了解详细信息： Microsoft 365 中的 OneDrive 和 SharePoint 中的可共享链接的工作原理

对于使用将隐私设置设置为公共的 SharePoint 网站的组织，我们建议将默认可共享链接设置为组织中的人员移动到专用。 开放式协作可供用户使用，但会降低企业搜索和 Copilot 中的自动内容可发现性。

提示

为了进一步降低风险，我们建议将 特定人员 配置为默认人员。

Microsoft Purview 敏感度标签允许您基于 SharePoint 网站敏感度标签配置可共享链接。 例如，此设置大大简化了 常规 站点和 机密 站点之间的精细配置。 在此处了解详细信息： 使用敏感度标签配置默认共享链接类型

培训用户管理异常

使用默认安全方法时，培训侧重于：

• 使组织了解默认情况下保护信息的重要性。
• 在 SharePoint 网站上标记的重要性，以及标签如何影响对文件和共享的保护。
• 用户在与受信任的外部合作伙伴合作时如何更改标签。
• 当业务线应用程序或外接程序无法正常使用加密时，用户如何更改标签。
• 是从 OneDrive 还是 SharePoint 与受信任的外部合作伙伴共享，以及如何选择适当的网站标签。
• 降级标签时需要理由。

从 SharePoint 网站标记派生文件标签可以减少用户必须更改其标签的次数。 例如：

• John 正在通过 OneDrive 在外部共享文件。 然后，他检查内容并确定它不是机密的，并将标签更改为“常规”。 约翰然后对外分享。
• Jane 正在与合作伙伴合作并共享多个文件。 Jane 使用 SharePoint 并将网站标签为“常规”。 可以共享网站中的所有文件。 但是，如果机密文件上载到网站上，该文件会受到保护，则会向 Jane 发送一条关于敏感度较高的文件的通知，她可以移动文件或更改标签。
• Jack 在 Excel 中与合作伙伴合作，使用对业务运营非常重要的加载项。 如果此加载项与加密不兼容，则 Jack 必须将标签更改为 Confidential\Internal 异常。

重要

在标签优先级、降级和理由以及默认值之间需要考虑一个重要的权衡。 例如，假设 常规 优先级低于 Confidential\All 员工，并且如果 Office 客户端默认为 Confidential\All 员工，则设置为 “常规 ”的 SharePoint 默认库标签将不适用。 同样，设置为较高优先级的 机密\内部异常 不需要理由。 请务必查看标签优先级和理由要求。

为已标记的内容启用 DLP

Microsoft Purview 数据丢失防护 (DLP) 提供与敏感度标签的集成，从而通过有限的配置快速满足 DLP 要求。

例如，建议的标签和默认设置为 “机密\所有员工”，我们建议包含 DLP 规则，以阻止与外部共享，并阻止 任何人使用链接。 有关每个标签的详细信息，请参阅建议的标签表和 DLP 限制列。

若要详细了解此功能，请执行以下操作：

• 在 DLP 策略中使用敏感度标签作为条件
• 数据丢失防护策略参考
• 数据丢失防护交换条件和操作参考

阶段 1 - 摘要

在此阶段结束时，你的组织已：

• 可供最终用户手动使用的标签。
• 任何新/更新的文档和电子邮件的默认标签。
• 有关如何管理异常的用户通信和培训，无论是在共享时还是加密是否对其业务文件造成挑战。
• 阻止共享机密文件的 DLP。

另请参阅

• 使用敏感度标签应用加密
• 管理 Office 应用中的敏感度标签
• 敏感度标签最终用户培训
• 了解用于保护数据的默认标签和策略

下一步： 阶段 2：托管 - 对敏感度最高的文件进行寻址