为使用敏感度标签加密的文件启用共同创作

Microsoft 365 安全性与合规性许可指南

启用此设置以支持 Office 桌面应用的 共同创作 ,以便当通过 敏感度标签标记和加密文档时,多个用户可以同时编辑这些文档。

如果不为租户启用此设置,用户必须在使用 Office 桌面应用时签出存储在 SharePoint 或 OneDrive 中的加密文档。 因此,他们无法实时协作。 或者,在 SharePoint 和 OneDrive 中为 Office 文件启用敏感度标签时,它们必须使用Office 网页版。

此外,启用此功能可实现 的文件都支持自动保存和自动保存功能。

若要阅读发布公告,请参阅博客文章共同创作Microsoft 信息保护加密文档现已正式发布

提示

如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即在 Microsoft Purview 试用中心开始。 了解有关 注册和试用条款的详细信息。

敏感度标签的元数据更改

重要

启用共同创作的设置后,未加密文件的标签信息不再保存在自定义属性中。

如果组织中具有用于将标签元数据读或写到旧位置的任何应用、服务、脚本或工具,请不要启用此设置。

启用此设置以支持 Office 桌面应用共同创作之前,了解此操作对保存到 Office 文件并读取的标签元数据的更改非常重要。

标签元数据包含标识租户和应用敏感度标签的信息。 此设置所做的更改是 Word、Excel 和 PowerPoint 文件的元数据格式和位置。 无需对加密文件或电子邮件执行任何操作,因为加密文件的元数据更改是向后兼容的,并且电子邮件没有更改。 但是,你需要注意加密文件的元数据更改,它们可以自动升级,但不向后兼容。

此更改将影响新标签的文件和已标记的文件。 使用支持共同创作设置的应用和服务时:

  • 对于新标记的文件,仅将新格式和位置用于标签元数据。
  • 对于已标记的文件,如果文件具有旧格式和位置的元数据,则下次打开和保存文件时,该信息将复制到新格式和位置。

可以从以下资源中阅读有关此元数据更改更多内容:

由于这些更改,如果你组织中有任何应用、服务、脚本或工具在旧位置读取或写入标记元数据,请不要启用此设置。 如果这样做,某些示例会产生什么影响:

  • 标记为用户的文档将显示为未标记。

  • 文档向用户显示过期标签。

  • 如果另一个用户在不支持新标签元数据的 Office 桌面应用中打开了已标记的文档,则共同创作和自动保存将不适用于该文档。 请注意,如果外部用户和受邀来宾打开了文件,则组织外部的用户也可能出现此情况。

  • 将标签标识为 Office 附件中的自定义属性的 Exchange Online 邮件流规则无法加密电子邮件和附件,或无法正确加密它们。

查看下一部分,查看支持此设置以及标签元数据的更改的应用和服务列表。

先决条件

启用此功能前,请确保了解以下先决条件。

  • 若要打开或关闭此功能,至少需要 DLP 合规性管理或信息保护 管理员角色。 替代角色包括安全管理员和合规性管理员角色。

  • 必须为租户启用 SharePoint 和 OneDrive 敏感度标签。 如果尚未启用此功能,则当你选择设置来为具有敏感度标签的文件启用共同创作时,会自动启用此功能。

  • 适用于企业的 Microsoft 365 应用:

    • Windows:当前频道或每月企业频道中的最低版本 2107,或半年企业频道中的最低版本 2202
    • macOS:最低版本 16.51
    • iOS:最低版本 2.58
    • Android:最低版本 16.0.14931
  • 租户中所有应用、服务和操作工具必须支持用于标记元数据 的新。 如果你使用以下任一方法,请检查所需的最低版本:

    • Microsoft Purview 信息保护客户端和扫描程序:

      • 可以从Microsoft下载中心安装的最低版本 3.0,或旧版 Azure 信息保护统一标记客户端和扫描程序的最低版本 2.12.62.0
    • 适用于 Windows 或 macOS 的 OneDrive 同步应用:

      • 最低版本 19.002.0121.0008
    • 终结点数据丢失防护 (Endpoint DLP):

      • Windows 10 1809 KB 4601383
      • Windows 10 1903 和 1909,KB 4601380
      • Windows 10 2004 KB 4601382
      • 支持早于 Windows 10 2004 的 Windows 版本,无需 KB 更新
    • 使用 Microsoft 信息保护 SDK 的应用和服务:

      • 最低版本 1.7

启用此功能时,Microsoft 365 服务自动支持新的标签元数据。 例如:

限制

为使用敏感度标签加密的文件启用租户设置进行共同创作之前,请确保了解此功能的下列限制。

  • 由于标签 元数据的更改,租户中的所有应用、服务和操作工具必须支持新的标签元数据,确保标签体验一致且可靠。

    特定于 Excel:如果某人使用不支持敏感度标签的元数据更改的 Excel 版本编辑并保存该文件,则不应用加密的敏感度标签的元数据可删除。

  • 使用标签加密配置的 Office 文档不支持共同创作和自动保存当用户对内容的访问权限设置为“从不”以外的值时过期,或者配置了双密钥加密

    具有这些配置的标签仍显示在 Office 应用中。 但是,当用户选择这些标签,而没有人在编辑文档时,会警告他们共同创作且自动保存将不可用。 如果其他人正在编辑文档,用户会看到一条消息,指出标签无法应用。

  • 现在在预览版中支持共同创作和自动保存,其 特定版本和 针对用户定义的权限配置的敏感度标签的限制。 此加密配置是指“允许用户在应用标签时分配权限”设置,以及“在 Word、PowerPoint 和 Excel 中,提示用户指定权限”复选框处于选中状态。

如何为具有敏感度标签的文件启用共同创作

警告

只有在已阅读并了解此页上记录的元数据更改、先决条件、限制和任何已知问题后,才启用此选项。

对于此配置,可以使用 Microsoft Purview 门户,或者可能仍可以使用较旧的Microsoft Purview 合规门户。 使用至少具有 DLP 合规性管理或信息保护 管理员角色的帐户。

  1. 根据所使用的门户,导航到以下位置之一:

  2. “共同创作具有敏感度标签的文件 ”页上,阅读摘要说明、先决条件和预期内容。

    然后选择 针对具有敏感度标签的文件启用共同创作应用

    为具有敏感度标签的文件启用共同创作的选项。

  3. 请等待 24 小时,让此设置在整个环境中复制,然后再用这个新功能进行共同创作。

如果需要禁用此功能

重要

例如,如果你确实需要禁用此功能,你发现某些应用不支持元数据更改,并且无法立即更新这些应用,请注意标记信息可能会丢失。

为租户启用具有敏感度标签的文件的共同创作后,无法在合规性门户中禁用此设置,并且仅使用 PowerShell 支持此操作。 这不是你随意禁用的设置,以及为什么在启用此设置之前检查并了解先决条件、后果和限制如此重要的原因。

如果为租户禁用此设置:

  • 对于支持新的标签元数据的应用和服务,读取或保存标签时,它们现在将还原为原始元数据格式和位置。

  • 启用设置时使用的 Office 文档的新元数据格式和位置不会复制到原始格式和位置。 因此,此未加密 Word、Excel 和 PowerPoint 文件的标记信息将会丢失。

  • 对于标记文档和加密文档,租户中的共同创作和自动保存不再有效。

  • 对 OneDrive 和 SharePoint 中的 Office 文件,敏感度标签保持启用状态。

为租户禁用共同创作

Set-PolicyConfig cmdlet 与 EnableLabelCoauth 参数一起使用。

  1. 在 PowerShell 会话中, 连接到安全性 & 合规性 PowerShell

  2. 运行以下命令:

    Set-PolicyConfig -EnableLabelCoauth:$false
    

命令在未提示或确认的情况下完成。