为使用敏感度标签加密的文件启用共同创作

Microsoft 365 安全性与合规性许可指南。

启用此设置以支持 Office 桌面应用的 共同创作 ，以便当通过 敏感度标签标记和加密文档时，多个用户可以同时编辑这些文档。

如果不为租户启用此设置，用户必须在使用 Office 桌面应用时签出存储在 SharePoint 或 OneDrive 中的加密文档。 因此，他们无法实时协作。 或者，在 SharePoint 和 OneDrive 中为 Office 文件启用敏感度标签时，他们必须使用 Office 网页版。

此外，启用此功能可实现 和 的文件都支持自动保存和自动保存功能。

若要阅读发布公告，请参阅博客文章共同创作Microsoft 信息保护加密文档现已正式发布。

提示

如果你不是 E5 客户，请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从 Microsoft Purview 合规性门户试用中心开始。 了解有关 注册和试用条款的详细信息。

敏感度标签的元数据更改

重要

启用共同创作的设置后，未加密文件的标签信息不再保存在自定义属性中。

如果组织中具有用于将标签元数据读或写到旧位置的任何应用、服务、脚本或工具，请不要启用此设置。

启用此设置以支持 Office 桌面应用共同创作之前，了解此操作对保存到 Office 文件并读取的标签元数据的更改非常重要。

标签元数据包含标识租户和应用敏感度标签的信息。 此设置所做的更改是 Word、Excel 和 PowerPoint 文件的元数据格式和位置。 无需对加密文件或电子邮件执行任何操作，因为加密文件的元数据更改是向后兼容的，并且电子邮件没有更改。 但是，你需要注意加密文件的元数据更改，它们可以自动升级，但不向后兼容。

此更改将影响新标签的文件和已标记的文件。 使用支持共同创作设置的应用和服务时：

• 对于新标记的文件，仅将新格式和位置用于标签元数据。
• 对于已标记的文件，如果文件具有旧格式和位置的元数据，则下次打开和保存文件时，该信息将复制到新格式和位置。

可以从以下资源中阅读有关此元数据更改更多内容：

• 博客文章： 即将推出的 Microsoft 信息保护元数据存储更改

• 打开规范： 2.6.3 LabelInfo 与自定义文档属性对比

由于这些更改，如果你组织中有任何应用、服务、脚本或工具在旧位置读取或写入标记元数据，请不要启用此设置。 如果这样做，某些示例会产生什么影响：

• 标记为用户的文档将显示为未标记。

• 文档向用户显示过期标签。

• 如果另一个用户在不支持新标签元数据的 Office 桌面应用中打开了已标记的文档，则共同创作和自动保存将不适用于该文档。 请注意，如果外部用户和受邀来宾打开了文件，则组织外部的用户也可能出现此情况。

• 将标签标识为 Office 附件中的自定义属性的 Exchange Online 邮件流规则无法加密电子邮件和附件，或无法正确加密它们。

查看下一部分，查看支持此设置以及标签元数据的更改的应用和服务列表。

先决条件

启用此功能前，请确保了解以下先决条件。

• 若要打开或关闭此功能，至少需要 DLP 合规性管理或信息保护管理员角色。 替代角色包括安全管理员和合规性管理员角色。

• 必须为租户启用 SharePoint 和 OneDrive 敏感度标签。 如果尚未启用此功能，则当你选择设置来为具有敏感度标签的文件启用共同创作时，会自动启用此功能。

• 适用于企业的 Microsoft 365 应用：

  • Windows：当前频道或每月企业频道中的最低版本 2107，或半年企业频道中的最低版本 2202
  • macOS：最低版本 16.51
  • iOS：最低版本 2.58
  • Android：最低版本 16.0.14931

• 租户中所有应用、服务和操作工具必须支持用于标记元数据 的新。 如果你使用以下任一方法，请检查所需的最低版本：

  • Microsoft Purview 信息保护客户端和扫描程序：

    • 可以从 Microsoft下载中心安装的最低版本 3.0，或旧版 Azure 信息保护统一标记客户端和扫描程序的最低版本 2.12.62.0

  • 适用于 Windows 或 macOS 的 OneDrive 同步应用：

    • 最低版本 19.002.0121.0008

  • 终结点数据丢失防护 （Endpoint DLP）：

    • Windows 10 1809 KB 4601383
    • Windows 10 1903 和 1909，KB 4601380
    • Windows 10 2004 KB 4601382
    • 支持早于 Windows 10 2004 的 Windows 版本，无需 KB 更新

  • 使用 Microsoft 信息保护 SDK 的应用和服务：

    • 最低版本 1.7

启用此功能时，Microsoft 365 服务自动支持新的标签元数据。 例如：

• 自动标记策略
• 使用敏感度标签作为条件的 DLP 策略
• 配置为应用敏感度标签的 Microsoft Defender for Cloud Apps

限制

为使用敏感度标签加密的文件启用租户设置进行共同创作之前，请确保了解此功能的下列限制。

• 由于标签 元数据的更改，租户中的所有应用、服务和操作工具必须支持新的标签元数据，确保标签体验一致且可靠。

  特定于 Excel：如果某人使用不支持敏感度标签的元数据更改的 Excel 版本编辑并保存该文件，则不应用加密的敏感度标签的元数据可删除。

• 使用标签加密配置的 Office 文档不支持共同创作和自动保存当用户对内容的访问权限设置为“从不”以外的值时过期，或者配置了双密钥加密。

  具有这些配置的标签仍显示在 Office 应用中。 但是，当用户选择这些标签，而没有人在编辑文档时，会警告他们共同创作且自动保存将不可用。 如果其他人正在编辑文档，用户会看到一条消息，指出标签无法应用。

• 现在在预览版中支持共同创作和自动保存，其 特定版本和 针对用户定义的权限配置的敏感度标签的限制。 此加密配置是指设置 “允许用户在应用标签时分配权限 ”和“ 在 Word、PowerPoint 和 Excel 中，提示用户指定权限 ”复选框处于选中状态。

如何为具有敏感度标签的文件启用共同创作

警告

只有在已阅读并了解此页上记录的元数据更改、先决条件、限制和任何已知问题后，才启用此选项。

对于此配置，可以使用 Microsoft Purview 门户 或 Microsoft Purview 合规性门户，其中包含至少具有 DLP 合规性管理或信息保护管理员角色的帐户。

1. 根据所使用的门户，导航到以下位置之一：

   • 登录到 Microsoft Purview 门户>设置 卡 >解决方案设置>信息保护>具有敏感度标签的文件的共同创作。

     如果未显示“设置”卡，请选择“查看所有解决方案”，然后从“核心”部分选择“设置”。

   • 登录到 Microsoft Purview 合规性门户>设置>共同创作具有敏感度标签的文件。

2. 在 “共同创作具有敏感度标签的文件 ”页上，阅读摘要说明、先决条件和预期内容。

   然后选择 针对具有敏感度标签的文件启用共同创作， 应用：

   

3. 请等待 24 小时，让此设置在整个环境中复制，然后再用这个新功能进行共同创作。

如果需要禁用此功能

重要

例如，如果你确实需要禁用此功能，你发现某些应用不支持元数据更改，并且无法立即更新这些应用，请注意标记信息可能会丢失。

为租户启用具有敏感度标签的文件的共同创作后，无法在合规性门户中禁用此设置，并且仅使用 PowerShell 支持此操作。 这不是你随意禁用的设置，以及为什么在启用设置之前，检查并了解先决条件、后果和限制如此重要的原因。

如果为租户禁用此设置：

• 对于支持新的标签元数据的应用和服务，读取或保存标签时，它们现在将还原为原始元数据格式和位置。

• 启用设置时使用的 Office 文档的新元数据格式和位置不会复制到原始格式和位置。 因此，此未加密 Word、Excel 和 PowerPoint 文件的标记信息将会丢失。

• 对于标记文档和加密文档，租户中的共同创作和自动保存不再有效。

• 对 OneDrive 和 SharePoint 中的 Office 文件，敏感度标签保持启用状态。

为租户禁用共同创作

将 Set-PolicyConfig cmdlet 与 EnableLabelCoauth 参数一起使用。

1. 在 PowerShell 会话中， 连接到安全性 & 合规性 PowerShell。

2. 运行以下命令：

   Set-PolicyConfig -EnableLabelCoauth:$false
   

命令在未提示或确认的情况下完成。